Nesta página
Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
Os switches da Série EX oferecem suporte a filtros de firewall de porta. Os filtros de firewall de porta estão configurados em um único switch da Série EX, mas para que eles operem em toda a empresa, eles devem ser configurados em vários switches. Para reduzir a necessidade de configurar o mesmo filtro de firewall de porta em vários switches, você pode aplicar o filtro centralmente no servidor RADIUS usando atributos de servidor RADIUS. Os termos são aplicados após um dispositivo ser autenticado com sucesso através do 802.1X. Para obter mais informações, leia este tópico.
Exemplo: Aplicando um filtro de firewall a suplicantes autenticados por 802.1X usando atributos de servidor RADIUS em um switch da Série EX
Você pode usar atributos de servidor RADIUS e um filtro de firewall de porta para aplicar termos a vários suplicantes (dispositivos finais) conectados a um switch da Série EX em sua empresa. Os termos são aplicados após um dispositivo ser autenticado com sucesso através do 802.1X. Se a configuração do filtro de firewall for modificada após a autenticação dos dispositivos finais usando a autenticação 802.1X, a sessão de autenticação 802.1X estabelecida deve ser terminada e restabelecida para que as alterações no filtro de firewall entrem em vigor.
Os switches da Série EX oferecem suporte a filtros de firewall de porta. Os filtros de firewall de porta estão configurados em um único switch da Série EX, mas para que eles operem em toda a empresa, eles devem ser configurados em vários switches. Para reduzir a necessidade de configurar o mesmo filtro de firewall de porta em vários switches, você pode aplicar o filtro centralmente no servidor RADIUS usando atributos de servidor RADIUS.
O exemplo a seguir usa o FreeRADIUS para aplicar um filtro de firewall de porta em um servidor RADIUS. Para obter informações sobre a configuração do seu servidor, consulte a documentação que foi incluída no seu servidor RADIUS.
Este exemplo descreve como configurar um filtro de firewall de porta com termos, criar contadores para contar pacotes para os suplicantes, aplicar o filtro aos perfis de usuário no servidor RADIUS e exibir os contadores para verificar a configuração:
- Requisitos
- Visão geral e topologia
- Configuração do filtro e contadores de firewall de porta
- Aplicando o filtro de firewall de porta nos perfis de usuário suplicante no servidor RADIUS
- Verificação
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 9.3 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX atua como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de conectar o servidor ao switch, certifique-se de ter:
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Autenticação configurada do 802.1X no switch, com o modo suplicante para interface ge-0/0/2 definido para .multiple Veja configuração das configurações da interface 802.1X (procedimento CLI) e exemplo:Configuração das configurações da interface 802.1X (procedimento CLI) Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX.
Usuários configurados no servidor de autenticação RADIUS (neste exemplo, os perfis de usuário para Supplicant 1 e Supplicant 2 na topologia são modificados no servidor RADIUS).
Visão geral e topologia
Quando a configuração 802.1X em uma interface é definida para o modo suplicante, você pode aplicar um único filtro de firewall de porta configurado através do Junos OS CLI no switch da Série EX a qualquer número de dispositivos finais (suplicantes) adicionando o filtro centralmente ao servidor RADIUS.multiple Somente um único filtro pode ser aplicado a uma interface; no entanto, o filtro pode conter vários termos para dispositivos finais separados.
Para obter mais informações sobre filtros de firewall, consulte filtros de firewall para a visão geral dos switches da Série EX ou visão geral dos filtros de firewall (Série QFX).Firewall Filters for EX Series Switches OverviewOverview of Firewall Filters (QFX Series)
Os atributos do servidor RADIUS são aplicados à porta onde o dispositivo final é conectado depois que o dispositivo é autenticado com sucesso usando o 802.1X. Para autenticar um dispositivo final, o switch encaminha as credenciais do dispositivo final para o servidor RADIUS. O servidor RADIUS combina as credenciais com informações pré-configuradas sobre o suplicante localizado no perfil do usuário do suplicante no servidor RADIUS. Se uma correspondência for encontrada, o servidor RADIUS instrui o switch a abrir uma interface para o dispositivo final. O tráfego flui de e para o dispositivo final na LAN. Outras instruções configuradas no filtro de firewall de porta e adicionadas ao perfil do usuário do dispositivo final usando um atributo de servidor RADIUS definem ainda mais o acesso que o dispositivo final é concedido. Os termos de filtragem configurados no filtro de firewall de porta são aplicados à porta onde o dispositivo final é conectado após a autenticação 802.1X ser concluída.
Se você modificar o filtro de firewall de porta depois que um dispositivo final for autenticado com sucesso usando o 802.1X, você deve encerrar e restabelecer a sessão de autenticação 802.1X para que as mudanças na configuração do filtro de firewall sejam eficazes.
Topologia
Figura 1 mostra a topologia usada para este exemplo. O servidor RADIUS está conectado a um switch EX4200 na porta de acesso ge-0/0/10. Dois dispositivos finais (suplicantes) estão acessando a LAN na interface ge-0/0/2. O suplicante 1 tem o endereço MAC 00:50:8b:6f:60:3a. O suplicante 2 tem o endereço MAC 00:50:8b:6f:60:3b.
Esse número também se aplica a switches QFX5100.
Tabela 1 descreve os componentes dessa topologia.
| Propriedade | Configurações |
|---|---|
Hardware do switch |
Switch de acesso EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE. |
Um servidor RADIUS |
Banco de dados de back-end com o endereço conectado ao switch na porta .10.0.0.100ge-0/0/10 |
Suplicantes 802.1X conectados ao switch na interface ge-0/0/2 |
|
Filtro de firewall de porta a ser aplicado no servidor RADIUS |
filter1 |
Contadores |
conta com pacotes do Supplicant 1, e conta pacotes do Supplicant 2.counter1counter2 |
Policial |
policer p1 |
Perfis de usuário no servidor RADIUS |
|
Neste exemplo, você configura um filtro de firewall de porta chamado .filter1 O filtro contém termos que serão aplicados aos dispositivos finais com base nos endereços MAC dos dispositivos finais. Ao configurar o filtro, você também configura os contadores e .counter1counter2 Os pacotes de cada dispositivo final são contados, o que ajuda você a verificar se a configuração está funcionando. O policial limita a taxa de tráfego com base nos valores e parâmetros.p1exceedingdiscard Em seguida, você verifica se o atributo do servidor RADIUS está disponível no servidor RADIUS e aplica o filtro nos perfis de usuário de cada dispositivo final no servidor RADIUS. Por fim, você verifica a configuração exibindo a saída para os dois contadores.
Configuração do filtro e contadores de firewall de porta
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um filtro de firewall de porta com termos para Supplicant 1 e Supplicant 2 e criar contadores paralelos para cada suplicante, copie os seguintes comandos e cole-os na janela de terminal do switch:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Procedimento passo a passo
Para configurar um filtro de firewall de porta e contadores no switch:
Configure um filtro de firewall de porta (aqui ) com termos para cada dispositivo final com base no endereço MAC de cada dispositivo final:filter1
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Definir a definição do policiador:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Crie dois contadores que contarão pacotes para cada dispositivo final e um policial que limita a taxa de tráfego:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Resultados
Exibir os resultados da configuração:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
Aplicando o filtro de firewall de porta nos perfis de usuário suplicante no servidor RADIUS
Procedimento
Procedimento passo a passo
Para verificar se o atributo do servidor RADIUS está no servidor RADIUS e aplicar o filtro nos perfis do usuário:Filter-ID
Exibir o insumo no servidor RADIUS e verificar se o atributo está no idioma seguinte:dictionary.rfc2865Filter-ID
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Feche o arquivo de insumos.
Exibir os perfis de usuários locais dos dispositivos finais aos quais você deseja aplicar o filtro (aqui, os perfis de usuários são chamados e ):supplicant1supplicant2
[root@freeradius]# cat /usr/local/etc/raddb/users
A saída mostra:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"Aplique o filtro em ambos os perfis de usuário adicionando a linha a cada perfil e, em seguida, feche o arquivo:Filter-Id = “filter1”
[root@freeradius]# cat /usr/local/etc/raddb/users
Depois de colar a linha nos arquivos, os arquivos ficam assim:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Verificação
Verificando se o filtro foi aplicado aos suplicantes
Propósito
Após a autenticação dos dispositivos finais na interface ge-0/0/2, verifique se o filtro foi configurado no switch e inclui os resultados para ambos os suplicantes:
Ação
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Significado
A saída do comando é exibida e .show dot1x firewallcounter1counter2 Os pacotes de User_1 são contados usando , e os pacotes do Usuário 2 são contados usando .counter1counter2 A saída exibe o incremento de pacotes para ambos os contadores. O filtro foi aplicado em ambos os dispositivos finais.
Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS
Nos switches da Série EX, os filtros de firewall que você aplica às interfaces habilitadas para a autenticação do 802.1X ou MAC RADIUS são combinados dinamicamente com as políticas por usuário enviadas ao switch a partir do servidor RADIUS. O switch usa a lógica interna para combinar dinamicamente o filtro de firewall de interface com as políticas de usuário do servidor RADIUS e criar uma política individualizada para cada um dos múltiplos usuários ou hosts não responsáveis que são autenticados na interface.
Este exemplo descreve como os filtros dinâmicos de firewall são criados para vários suplicantes em uma interface habilitada para 802.1X (os mesmos princípios mostrados neste exemplo se aplicam a interfaces habilitadas para autenticação MAC RADIUS):
Requisitos
Este exemplo usa os seguintes componentes de hardware e software:
Versão 9.5 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de aplicar filtros de firewall em uma interface para uso com vários suplicantes, certifique-se de ter:
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Autenticação configurada do 802.1X no switch, com o modo de autenticação para interface definida para .ge-0/0/2multiple Veja configuração das configurações da interface 802.1X (procedimento CLI) e exemplo:https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-authentication-switching-devices.html Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX.
Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
Topologia
Quando a configuração 802.1X em uma interface é definida para um modo suplicante múltiplo, o sistema combina dinamicamente o filtro de firewall de interface com as políticas de usuário enviadas para o switch do servidor RADIUS durante a autenticação e cria termos separados para cada usuário. Como existem termos separados para cada usuário autenticado na interface, você pode, como mostrado neste exemplo, usar contadores para visualizar as atividades de usuários individuais que são autenticados na mesma interface.
Quando um novo usuário (ou um host não responsável) é autenticado em uma interface, o sistema adiciona um termo ao filtro de firewall associado à interface, e o termo (política) para cada usuário está associado ao endereço MAC do usuário. O termo para cada usuário é baseado no conjunto de filtros específicos do usuário no servidor RADIUS e nos filtros configurados na interface. Por exemplo, como mostrado em , quando o Usuário1 é autenticado pelo switch da Série EX, o sistema cria o filtro de firewall.Figura 2dynamic-filter-example Quando o User2 é autenticado, outro termo é adicionado ao filtro de firewall e assim por diante.
Este é um modelo conceitual do processo interno — você não pode acessar ou visualizar o filtro dinâmico.
Se o filtro de firewall na interface for modificado após a autenticação do usuário (ou host não responsável), as modificações não se refletirão no filtro dinâmico a menos que o usuário seja reauthenticado.
Neste exemplo, você configura um filtro de firewall para contar as solicitações feitas por cada endpoint autenticado na interface para o servidor de arquivo, que está localizado na sub-rede, e definir definições de policiamento para limitar o tráfego, mostra a topologia da rede para este exemplo. ge-0/0/2192.0.2.16/28Figura 3
Configuração
Para configurar filtros de firewall para vários suplicantes em interfaces habilitadas para 802.1X:
Configuração de filtros de firewall em interfaces com vários suplicantes
Configuração rápida da CLI
Para configurar rapidamente os filtros de firewall para vários suplicantes em uma interface habilitada para 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procedimento passo a passo
Para configurar filtros de firewall em uma interface habilitada para vários suplicantes:
Configure a interface para autenticação de modo suplicante múltiplo:ge-0/0/2
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Definir a definição do policiador:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configure um filtro de firewall para contar pacotes de cada usuário e um policial que limita a taxa de tráfego. Como cada novo usuário é autenticado na interface de múltiplos suplicantes, este termo de filtro será incluído no termo criado dinamicamente para o usuário:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Confira os resultados da configuração:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificação
Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:
Verificação de filtros de firewall em interfaces com vários suplicantes
Propósito
Verifique se os filtros de firewall estão funcionando na interface com vários suplicantes.
Ação
Verifique os resultados com um usuário autenticado na interface. Neste caso, o usuário é autenticado em :ge-0/0/2
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Quando um segundo usuário, o Usuário2, é autenticado na mesma interface, você pode verificar se o filtro inclui os resultados para ambos os usuários autenticados na interface:ge-0/0/2
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Os resultados exibidos pela saída de comando refletem o filtro dinâmico criado com a autenticação de cada novo usuário.show dot1x firewall O User1 acessou o servidor de arquivo localizado no endereço de destino especificado 100 vezes, enquanto o User2 acessou o mesmo servidor de arquivo 400 vezes.
Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em switches da Série EX com suporte a ELS
Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS). Se o seu switch executa um software que não oferece suporte ao ELS, veja Exemplo: Aplicando filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS. Para obter detalhes do ELS, veja Usando a CLI de software de camada 2 aprimorada.Layer 2 Networking
Nos switches da Série EX, os filtros de firewall que você aplica às interfaces habilitadas para a autenticação do 802.1X ou MAC RADIUS são combinados dinamicamente com as políticas por usuário enviadas ao switch a partir do servidor RADIUS. O switch usa a lógica interna para combinar dinamicamente o filtro de firewall de interface com as políticas de usuário do servidor RADIUS e criar uma política individualizada para cada um dos múltiplos usuários ou hosts não responsáveis que são autenticados na interface.
Este exemplo descreve como os filtros dinâmicos de firewall são criados para vários suplicantes em uma interface habilitada para 802.1X (os mesmos princípios mostrados neste exemplo se aplicam a interfaces habilitadas para autenticação MAC RADIUS):
Requisitos
Este exemplo usa os seguintes componentes de software e hardware:
Este exemplo também se aplica a switches QFX5100.
Versão 13.2 ou posterior do Junos OS para switches da Série EX
Um switch da Série EX com suporte para ELS
Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.
Antes de aplicar filtros de firewall em uma interface para uso com vários suplicantes, certifique-se de ter:
Configure uma conexão entre o switch e o servidor RADIUS. Veja exemplo: Conectando um servidor RADIUS para 802.1X a um switch da Série EX.
Autenticação configurada do 802.1X no switch, com o modo de autenticação para a interface ge-0/0/2 definida para .
multipleVeja configuração das configurações da interface 802.1X (procedimento CLI) e exemplo:Configuração das configurações da interface 802.1X (procedimento CLI) Configuração do 802.1X para configurações de suplicante único ou múltiplo suplicante em um switch da Série EX.Usuários configurados no servidor de autenticação RADIUS.
Visão geral e topologia
Topologia
Quando a configuração 802.1X em uma interface é definida para um modo suplicante múltiplo, o sistema combina dinamicamente o filtro de firewall de interface com as políticas de usuário enviadas para o switch do servidor RADIUS durante a autenticação e cria termos separados para cada usuário. Como existem termos separados para cada usuário autenticado na interface, você pode, como mostrado neste exemplo, usar contadores para visualizar as atividades de usuários individuais que são autenticados na mesma interface.
Quando um novo usuário (ou um host não responsável) é autenticado em uma interface, o sistema adiciona um termo ao filtro de firewall associado à interface, e o termo (política) para cada usuário está associado ao endereço MAC do usuário. O termo para cada usuário é baseado no conjunto de filtros específicos do usuário no servidor RADIUS e nos filtros configurados na interface. Por exemplo, como mostrado em , quando o usuário 1 é autenticado pelo switch da Série EX, o sistema adiciona um termo ao filtro de firewall.Figura 4dynamic-filter-example Quando o Usuário 2 é autenticado, outro termo é adicionado ao filtro de firewall e assim por diante.
Esse número também se aplica a switches QFX5100.
Este é um modelo conceitual do processo interno — você não pode acessar ou visualizar o filtro dinâmico.
Se o filtro de firewall na interface for modificado após a autenticação do usuário (ou host não responsável), as modificações não se refletirão no filtro dinâmico a menos que o usuário seja reauthenticado.
Neste exemplo, você configura um filtro de firewall para contar as solicitações feitas por cada endpoint autenticado na interface ge-0/0/2 para o servidor de arquivo, que está localizado na sub-rede 192.0.2.16/28, e definir definições de policiais para limitar a taxa de tráfego. mostra a topologia da rede para este exemplo.Figura 5
Configuração
Configuração de filtros de firewall em interfaces com vários suplicantes
Configuração rápida da CLI
Para configurar rapidamente os filtros de firewall para vários suplicantes em uma interface habilitada para 802.1X, copie os seguintes comandos e cole-os na janela terminal do switch:
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procedimento passo a passo
Para configurar filtros de firewall em uma interface habilitada para vários suplicantes:
Definir a definição do policiador:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Configure um filtro de firewall para contar pacotes de cada usuário e um policial que limita a taxa de tráfego. Como cada novo usuário é autenticado na interface de múltiplos suplicantes, este termo de filtro será incluído no termo criado dinamicamente para o usuário:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Confira os resultados da configuração:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificação
Verificação de filtros de firewall em interfaces com vários suplicantes
Propósito
Verifique se os filtros de firewall estão funcionando na interface com vários suplicantes.
Ação
Verifique os resultados com um usuário autenticado na interface. Neste caso, o usuário 1 é autenticado no ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Quando um segundo usuário, o Usuário 2, é autenticado na mesma interface, ge-0/0/2, você pode verificar se o filtro inclui os resultados para ambos os usuários autenticados na interface:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Os resultados exibidos pela saída de comando refletem o filtro dinâmico criado com a autenticação de cada novo usuário.show dot1x firewall O usuário 1 acessou o servidor de arquivos localizado nos horários de endereço de destino especificados, enquanto o Usuário 2 acessou os mesmos tempos de servidor de arquivo.100400