示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
在 EX 系列交换机上,应用于启用 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器将与从 RADIUS 服务器发送到交换机的每用户策略动态组合。交换机使用内部逻辑将接口防火墙过滤器与 RADIUS 服务器中的用户策略动态组合在一起,并为在接口上进行身份验证的多个用户或无响应主机中的每一个创建个性化策略。
此示例介绍如何在启用了 802.1X 的接口上为多个请求方创建动态防火墙过滤器(此示例中显示的相同原则适用于启用 MAC RADIUS 身份验证的接口):
要求
此示例使用以下硬件和软件组件:
适用于 EX 系列交换机的 Junos OS 9.5 或更高版本
一台 EX 系列交换机
一台 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将防火墙过滤器应用于接口以用于多个请求方之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在交换机上配置了 802.1X 身份验证,接口 ge-0/0/2 的身份验证模式设置为 multiple。请参阅 配置 802.1X 接口设置(CLI 过程) 和 示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X。
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
拓扑学
当接口上的 802.1X 配置设置为多请求方模式时,系统会动态地将接口防火墙过滤器与身份验证期间从 RADIUS 服务器发送到交换机的用户策略相结合,并为每个用户创建单独的术语。由于在接口上进行身份验证的每个用户都有单独的术语,因此如本示例所示,您可以使用计数器查看在同一接口上进行身份验证的各个用户的活动。
当新用户(或无响应主机)在接口上进行身份验证时,系统会向与该接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,如 中 图 1所示,当 EX 系列交换机对 User1 进行身份验证时,系统会创建防火墙过滤器 dynamic-filter-example。对 User2 进行身份验证后,会将另一个术语添加到防火墙过滤器中,依此类推。
这是内部流程的概念模型 - 您无法访问或查看动态筛选器。
如果在对用户(或无响应主机)进行身份验证后修改了接口上的防火墙过滤器,则除非重新对用户进行身份验证,否则修改不会反映在动态过滤器中。
在此示例中,您将配置防火墙过滤器,以将对接口上经过 ge-0/0/2 身份验证的每个端点向位于子网 192.0.2.16/28上的文件服务器发出的请求进行计数,并将监管器定义设置为对流量进行速率限制。 图 2 显示了此示例的网络拓扑。
配置
要在启用 802.1X 的接口上为多个请求方配置防火墙过滤器,请执行以下操作:
在具有多个请求方的接口上配置防火墙过滤器
CLI 快速配置
要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1分步过程
要在为多个请求方启用的接口上配置防火墙过滤器:
为多请求模式身份验证配置接口 ge-0/0/2 :
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
设置监管器定义:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
配置防火墙过滤器以对来自每个用户的数据包进行计数,并配置限制流量速率的监管器。当每个新用户在多请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
结果
检查配置结果:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证具有多个请求方的接口上的防火墙过滤器
目的
验证防火墙过滤器在具有多个请求方的接口上是否正常工作。
操作
通过一个在界面上经过身份验证的用户检查结果。在这种情况下,将在以下位置对 ge-0/0/2用户进行身份验证:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
当第二个用户 User2 在同一接口上进行身份验证时, ge-0/0/2您可以验证过滤器是否包括在接口上进行身份验证的两个用户的结果:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意义
命令输出显示 show dot1x firewall 的结果反映了使用每个新用户的身份验证创建的动态筛选器。用户 1 访问位于指定目标地址的文件服务器 100 次,而用户 2 访问同一文件服务器 400 次。