Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces habilitadas para autenticação 802.1X ou MAC RADIUS

Os switches da Série EX oferecem suporte a filtros de firewall de porta. Os filtros de firewall de porta estão configurados em um único switch da Série EX, mas para que eles operem em toda a empresa, eles precisam ser configurados em vários switches. Para reduzir a necessidade de configurar o mesmo filtro de firewall de porta em vários switches, você pode aplicar o filtro centralmente no servidor RADIUS usando atributos de servidor RADIUS. Os termos são aplicados após um dispositivo ser autenticado com sucesso através do 802.1X. Para obter mais informações, leia este tópico.

Exemplo: Aplicar um filtro de firewall a suplicantes autenticados por 802.1X usando atributos de servidor RADIUS em um switch da Série EX

Você pode usar atributos de servidor RADIUS e um filtro de firewall de porta para aplicar termos centralmente a vários suplicantes (dispositivos finais) conectados a um switch da Série EX em sua empresa. Os termos são aplicados após um dispositivo ser autenticado com sucesso através do 802.1X. Se a configuração do filtro de firewall for modificada após a autenticação dos dispositivos finais usando a autenticação 802.1X, a sessão de autenticação 802.1X estabelecida deve ser encerrada e restabelecida para que as alterações no filtro de firewall entrem em vigor.

Os switches da Série EX oferecem suporte a filtros de firewall de porta. Os filtros de firewall de porta estão configurados em um único switch da Série EX, mas para que eles operem em toda a empresa, eles precisam ser configurados em vários switches. Para reduzir a necessidade de configurar o mesmo filtro de firewall de porta em vários switches, você pode aplicar o filtro centralmente no servidor RADIUS usando atributos de servidor RADIUS.

O exemplo a seguir usa o FreeRADIUS para aplicar um filtro de firewall de porta em um servidor RADIUS. Para obter informações sobre a configuração do seu servidor, consulte a documentação incluída no servidor RADIUS.

Este exemplo descreve como configurar um filtro de firewall de porta com termos, criar contadores para contar pacotes para os suplicantes, aplicar o filtro aos perfis de usuário no servidor RADIUS e exibir os contadores para verificar a configuração:

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Esse exemplo também se aplica aos switches QFX5100.

  • Junos OS Versão 9.3 ou posterior para switches da Série EX

  • Um switch da Série EX atuando como uma entidade de acesso de porta autenticadora (PAE). As portas do PAE autenticador formam um portão de controle que bloqueia todo o tráfego de e para suplicantes até que sejam autenticados.

  • Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de conectar o servidor ao switch, certifique-se de que tem:

Visão geral e topologia

Quando a configuração 802.1X em uma interface é definida para multiple um modo suplicante, você pode aplicar um filtro de firewall de porta única configurado através do Junos OS CLI no switch da Série EX para qualquer número de dispositivos finais (suplicantes) adicionando o filtro centralmente ao servidor RADIUS. Apenas um único filtro pode ser aplicado a uma interface; no entanto, o filtro pode conter vários termos para dispositivos finais separados.

Para obter mais informações sobre filtros de firewall, consulte filtros de firewall para visão geral de switches da Série EX ou visão geral dos filtros de firewall (Série QFX).

Os atributos do servidor RADIUS são aplicados à porta onde o dispositivo final está conectado depois que o dispositivo é autenticado com sucesso usando 802.1X. Para autenticar um dispositivo final, o switch encaminha as credenciais do dispositivo final para o servidor RADIUS. O servidor RADIUS combina as credenciais com informações pré-configuradas sobre o suplicante localizado no perfil do usuário do suplicante no servidor RADIUS. Se uma correspondência for encontrada, o servidor RADIUS instrui o switch a abrir uma interface para o dispositivo final. O tráfego flui de e para o dispositivo final na LAN. Outras instruções configuradas no filtro de firewall da porta e adicionadas ao perfil do usuário do dispositivo final usando um atributo de servidor RADIUS definem ainda mais o acesso que o dispositivo final é concedido. Os termos de filtragem configurados no filtro de firewall da porta são aplicados à porta onde o dispositivo final é conectado após a autenticação 802.1X estar concluída.

Nota:

Se você modificar o filtro de firewall de porta depois que um dispositivo final for autenticado com sucesso usando o 802.1X, você deve encerrar e restabelecer a sessão de autenticação 802.1X para que as mudanças de configuração do filtro de firewall sejam eficazes.

Topologia

Figura 1 mostra a topologia usada para este exemplo. O servidor RADIUS está conectado a um switch EX4200 na porta de acesso ge-0/0/10. Dois dispositivos finais (suplicantes) estão acessando a LAN na interface ge-0/0/2. Suplicante 1 tem o endereço MAC 00:50:8b:6f:60:3a. Suplicante 2 tem o endereço MAC 00:50:8b:6f:60:3b.

Nota:

Esse número também se aplica aos switches QFX5100.

Figura 1: Topologia para filtro de firewall e configuração de atributos do servidor RADIUSTopologia para filtro de firewall e configuração de atributos do servidor RADIUS

Tabela 1 descreve os componentes desta topologia.

Tabela 1: Componentes do filtro de firewall e atributos do servidor RADIUS
Propriedade Configurações

Hardware do switch

Switch de acesso EX4200, 24 portas Ethernet Gigabit: 16 portas não PoE e 8 portas PoE.

Um servidor RADIUS

Banco de dados de back-end com o endereço 10.0.0.100 conectado ao switch na porta ge-0/0/10.

Suplicantes 802.1X conectados ao switch na interface ge-0/0/2

  • Supplicant 1 tem endereço 00:50:8b:6f:60:3aMAC.

  • Supplicant 2 tem endereço 00:50:8b:6f:60:3bMAC.

Filtro de firewall de porta a ser aplicado no servidor RADIUS

filter1

Contadores

counter1 contabiliza pacotes do Supplicant 1 e counter2 conta pacotes do Supplicant 2.

Policial

policer p1

Perfis de usuários no servidor RADIUS

  • Suplicante 1 tem o perfil supplicant1do usuário.

  • Suplicante 2 tem o perfil supplicant2do usuário.

Neste exemplo, você configura um filtro de firewall de porta chamado filter1. O filtro contém termos que serão aplicados aos dispositivos finais com base nos endereços MAC dos dispositivos finais. Ao configurar o filtro, você também configura os contadores counter1 e counter2. Os pacotes de cada dispositivo final são contados, o que ajuda você a verificar se a configuração está funcionando. Policer p1 limita a taxa de tráfego com base nos valores exceeding e discard parâmetros. Em seguida, você verifica se o atributo do servidor RADIUS está disponível no servidor RADIUS e aplica o filtro aos perfis de usuário de cada dispositivo final no servidor RADIUS. Por fim, você verifica a configuração exibindo a saída para os dois contadores.

Configuração do filtro e contadores de firewall de porta

Procedimento

Configuração rápida de CLI

Para configurar rapidamente um filtro de firewall de porta com termos para Supplicant 1 e Supplicant 2 e criar contadores paralelos para cada suplicante, copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Para configurar um filtro de firewall de porta e contra-ataques no switch:

  1. Configure um filtro de firewall de porta (aqui filter1) com termos para cada dispositivo final com base no endereço MAC de cada dispositivo final:

  2. Definir a definição do policiador:

  3. Crie dois contadores que contarão pacotes para cada dispositivo final e um policial que limita a taxa de tráfego:

Resultados

Exibir os resultados da configuração:

Aplicando o filtro de firewall de porta aos perfis de usuário suplicantes no servidor RADIUS

Procedimento

Procedimento passo a passo

Para verificar se o atributo Filter-ID do servidor RADIUS está no servidor RADIUS e aplicar o filtro aos perfis do usuário:

  1. Exibir o dicionário dictionary.rfc2865 no servidor RADIUS e verificar se o atributo Filter-ID está no dicionário:

  2. Feche o arquivo do dicionário.

  3. Exibir os perfis de usuário locais dos dispositivos finais aos quais você deseja aplicar o filtro (aqui, os perfis de usuário são chamados supplicant1 e supplicant2):

    A saída mostra:

  4. Aplique o filtro em ambos os perfis de usuário adicionando a linha Filter-Id = “filter1” a cada perfil e, em seguida, feche o arquivo:

    Depois de colar a linha nos arquivos, os arquivos ficam assim:

Verificação

Verificando se o filtro foi aplicado aos suplicantes

Propósito

Depois que os dispositivos finais forem autenticados na interface ge-0/0/2, verifique se o filtro foi configurado no switch e inclui os resultados para ambos os suplicantes:

Ação
Significado

A saída dos show dot1x firewall displays counter1 de comando e counter2. Os pacotes de User_1 são contados usando counter1, e os pacotes do Usuário 2 são contados usando counter2. A saída exibe incrementos de pacotes para ambos os contadores. O filtro foi aplicado em ambos os dispositivos finais.

Exemplo: Aplicando filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS

Nos switches da Série EX, os filtros de firewall que você aplica a interfaces habilitadas para autenticação 802.1X ou MAC RADIUS são combinados dinamicamente com as políticas por usuário enviadas ao switch do servidor RADIUS. O switch usa a lógica interna para combinar dinamicamente o filtro de firewall da interface com as políticas de usuário do servidor RADIUS e criar uma política individualizada para cada um dos múltiplos usuários ou hosts não responsável que são autenticados na interface.

Este exemplo descreve como os filtros dinâmicos de firewall são criados para vários suplicantes em uma interface habilitada para 802.1X (os mesmos princípios mostrados neste exemplo aplicam-se a interfaces habilitadas para autenticação MAC RADIUS):

Requisitos

Este exemplo usa os seguintes componentes de hardware e software:

  • Junos OS Versão 9.5 ou posterior para switches da Série EX

  • Switch da Série EX

  • Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de aplicar filtros de firewall a uma interface para uso com vários suplicantes, certifique-se de ter:

Visão geral e topologia

Topologia

Quando a configuração 802.1X em uma interface é definida para um modo suplicante múltiplo, o sistema combina dinamicamente o filtro de firewall de interface com as políticas de usuário enviadas ao switch do servidor RADIUS durante a autenticação e cria termos separados para cada usuário. Como existem termos separados para cada usuário autenticado na interface, você pode, como mostrado neste exemplo, usar contadores para visualizar as atividades de usuários individuais que são autenticadas na mesma interface.

Quando um novo usuário (ou um host não responsável) é autenticado em uma interface, o sistema adiciona um termo ao filtro de firewall associado à interface, e o termo (política) para cada usuário está associado ao endereço MAC do usuário. O termo para cada usuário é baseado no conjunto de filtros específicos do usuário no servidor RADIUS e nos filtros configurados na interface. Por exemplo, como mostrado em Figura 2, quando o Usuário1 é autenticado pelo switch da Série EX, o sistema cria o filtro dynamic-filter-examplede firewall. Quando o Usuário2 é autenticado, outro termo é adicionado ao filtro de firewall e assim por diante.

Figura 2: Modelo conceitual: Filtro dinâmico atualizado para cada novo usuárioModelo conceitual: Filtro dinâmico atualizado para cada novo usuário

Este é um modelo conceitual do processo interno — você não pode acessar ou visualizar o filtro dinâmico.

Nota:

Se o filtro de firewall na interface for modificado após a autenticação do usuário (ou host não responsável), as modificações não se refletem no filtro dinâmico, a menos que o usuário seja reauthenticado.

Neste exemplo, você configura um filtro de firewall para contar as solicitações feitas por cada endpoint autenticado na interface ge-0/0/2 para o servidor de arquivo, que está localizado na sub-rede192.0.2.16/28, e definir definições do policiador para limitar o tráfego, mostra a topologia de rede para este exemplo. Figura 3

Figura 3: Vários suplicantes em uma interface habilitada para 802.1X conectando-se a um servidor de arquivoVários suplicantes em uma interface habilitada para 802.1X conectando-se a um servidor de arquivo

Configuração

Para configurar filtros de firewall para vários suplicantes em interfaces habilitadas para 802.1X:

Configuração de filtros de firewall em interfaces com vários suplicantes

Configuração rápida de CLI

Para configurar rapidamente filtros de firewall para vários suplicantes em uma interface habilitada para 802.1X copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Para configurar filtros de firewall em uma interface habilitada para vários suplicantes:

  1. Configure a interface ge-0/0/2 para autenticação de modo suplicante múltiplo:

  2. Definir a definição do policiador:

  3. Configure um filtro de firewall para contar pacotes de cada usuário e um policial que limita a taxa de tráfego. Conforme cada novo usuário é autenticado na interface de múltiplos suplicantes, este termo de filtro será incluído no termo criado dinamicamente para o usuário:

Resultados

Verifique os resultados da configuração:

Verificação

Para confirmar que a configuração está funcionando corretamente, execute essas tarefas:

Verificação de filtros de firewall em interfaces com vários suplicantes

Propósito

Verifique se os filtros de firewall estão funcionando na interface com vários suplicantes.

Ação
  1. Verifique os resultados com um usuário autenticado na interface. Nesse caso, o usuário é autenticado em ge-0/0/2:

  2. Quando um segundo usuário, o Usuário2, é autenticado na mesma interface, ge-0/0/2você pode verificar se o filtro inclui os resultados para ambos os usuários autenticados na interface:

Significado

Os resultados exibidos pela saída de show dot1x firewall comando refletem o filtro dinâmico criado com a autenticação de cada novo usuário. O User1 acessou o servidor de arquivo localizado no endereço de destino especificado 100 vezes, enquanto o User2 acessou o mesmo servidor de arquivo 400 vezes.

Exemplo: Aplicação de filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS em switches da Série EX com suporte a ELS

Nota:

Este exemplo usa o Junos OS para switches da Série EX com suporte para o estilo de configuração de Software de Camada 2 (ELS) aprimorado. Se o seu switch executa um software que não aceita ELS, veja exemplo: Aplicando filtros de firewall a vários suplicantes em interfaces habilitadas para autenticação 802.1X ou MAC RADIUS. Para obter detalhes do ELS, consulte usando o CLI de software de camada 2 aprimorado.

Nos switches da Série EX, os filtros de firewall que você aplica a interfaces habilitadas para autenticação 802.1X ou MAC RADIUS são combinados dinamicamente com as políticas por usuário enviadas ao switch do servidor RADIUS. O switch usa a lógica interna para combinar dinamicamente o filtro de firewall da interface com as políticas de usuário do servidor RADIUS e criar uma política individualizada para cada um dos múltiplos usuários ou hosts não responsável que são autenticados na interface.

Este exemplo descreve como os filtros dinâmicos de firewall são criados para vários suplicantes em uma interface habilitada para 802.1X (os mesmos princípios mostrados neste exemplo aplicam-se a interfaces habilitadas para autenticação MAC RADIUS):

Requisitos

Este exemplo usa os seguintes componentes de software e hardware:

Nota:

Esse exemplo também se aplica aos switches QFX5100.

  • Junos OS Versão 13.2 ou posterior para switches da Série EX

  • Switch da Série EX com suporte para ELS

  • Um servidor de autenticação RADIUS. O servidor de autenticação atua como o banco de dados de back-end e contém informações credenciais para hosts (suplicantes) que têm permissão para se conectar à rede.

Antes de aplicar filtros de firewall a uma interface para uso com vários suplicantes, certifique-se de ter:

Visão geral e topologia

Topologia

Quando a configuração 802.1X em uma interface é definida para um modo suplicante múltiplo, o sistema combina dinamicamente o filtro de firewall de interface com as políticas de usuário enviadas ao switch do servidor RADIUS durante a autenticação e cria termos separados para cada usuário. Como existem termos separados para cada usuário autenticado na interface, você pode, como mostrado neste exemplo, usar contadores para visualizar as atividades de usuários individuais que são autenticadas na mesma interface.

Quando um novo usuário (ou um host não responsável) é autenticado em uma interface, o sistema adiciona um termo ao filtro de firewall associado à interface, e o termo (política) para cada usuário está associado ao endereço MAC do usuário. O termo para cada usuário é baseado no conjunto de filtros específicos do usuário no servidor RADIUS e nos filtros configurados na interface. Por exemplo, como mostrado em Figura 4, quando o Usuário 1 é autenticado pelo switch da Série EX, o sistema adiciona um termo ao filtro dynamic-filter-examplede firewall. Quando o Usuário 2 é autenticado, outro termo é adicionado ao filtro de firewall e assim por diante.

Nota:

Esse número também se aplica aos switches QFX5100.

Figura 4: Modelo conceitual: Filtro dinâmico atualizado para cada novo usuárioModelo conceitual: Filtro dinâmico atualizado para cada novo usuário

Este é um modelo conceitual do processo interno — você não pode acessar ou visualizar o filtro dinâmico.

Nota:

Se o filtro de firewall na interface for modificado após a autenticação do usuário (ou host não responsável), as modificações não se refletem no filtro dinâmico, a menos que o usuário seja reauthenticado.

Neste exemplo, você configura um filtro de firewall para contar as solicitações feitas por cada endpoint autenticado na interface ge-0/0/2 para o servidor de arquivo, que está localizado na sub-rede 192.0.2.16/28, e definir definições de policiador para limitar o tráfego. Figura 5 mostra a topologia da rede para este exemplo.

Figura 5: Vários suplicantes em uma interface habilitada para 802.1X conectando-se a um servidor de arquivoVários suplicantes em uma interface habilitada para 802.1X conectando-se a um servidor de arquivo

Configuração

Configuração de filtros de firewall em interfaces com vários suplicantes

Configuração rápida de CLI

Para configurar rapidamente filtros de firewall para vários suplicantes em uma interface habilitada para 802.1X copie os seguintes comandos e cole-os na janela do terminal do switch:

Procedimento passo a passo

Para configurar filtros de firewall em uma interface habilitada para vários suplicantes:

  1. Definir a definição do policial:

  2. Configure um filtro de firewall para contar pacotes de cada usuário e um policial que limita a taxa de tráfego. Conforme cada novo usuário é autenticado na interface de múltiplos suplicantes, este termo de filtro será incluído no termo criado dinamicamente para o usuário:

Resultados

Verifique os resultados da configuração:

Verificação

Verificação de filtros de firewall em interfaces com vários suplicantes

Propósito

Verifique se os filtros de firewall estão funcionando na interface com vários suplicantes.

Ação
  1. Verifique os resultados com um usuário autenticado na interface. Nesse caso, o Usuário 1 é autenticado no ge-0/0/2:

  2. Quando um segundo usuário, o Usuário 2, é autenticado na mesma interface, ge-0/0/2, você pode verificar se o filtro inclui os resultados para ambos os usuários autenticados na interface:

Significado

Os resultados exibidos pela saída de show dot1x firewall comando refletem o filtro dinâmico criado com a autenticação de cada novo usuário. O usuário 1 acessou o servidor de arquivo localizado nos horários de endereço 100 de destino especificados, enquanto o Usuário 2 acessou os mesmos tempos do servidor 400 do arquivo.