示例:在 MX 系列路由器上启用了 802.1X 或 MAC RADIUS 身份验证的接口上,将防火墙过滤器应用于多个请求方
从 Junos OS 14.2 版开始,在 MX 系列路由器上,应用于启用 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器将与从 RADIUS 服务器发送到交换机的每用户策略动态组合。交换机使用内部逻辑将接口防火墙过滤器与 RADIUS 服务器中的用户策略动态组合在一起,并为在接口上进行身份验证的多个用户或无响应主机中的每一个创建个性化策略。
此示例介绍如何在启用了 802.1X 的接口上为多个请求方创建动态防火墙过滤器(此示例中显示的相同原则适用于启用 MAC RADIUS 身份验证的接口):
要求
此示例使用以下硬件和软件组件:
适用于 MX 系列路由器的 Junos OS 14.2 或更高版本
一台 MX 系列路由器
一台 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将防火墙过滤器应用于接口以用于多个请求方之前,请确保您已:
在路由器和 RADIUS 服务器之间设置连接。
在路由器上配置了 802.1X 身份验证,接口 的身份验证模式设置为 。ge-0/0/2multiple
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
拓扑
当接口上的 802.1X 配置设置为多请求方模式时,系统会动态地将接口防火墙过滤器与身份验证期间从 RADIUS 服务器发送到路由器的用户策略相结合,并为每个用户创建单独的术语。由于在接口上进行身份验证的每个用户都有单独的术语,因此如本示例所示,您可以使用计数器查看在同一接口上进行身份验证的各个用户的活动。
当新用户(或无响应主机)在接口上进行身份验证时,系统会向与该接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,如 所示 ,当 MX 系列路由器对 User1 进行身份验证时,系统会创建防火墙过滤器 。图 1dynamic-filter-example 对 User2 进行身份验证后,会将另一个术语添加到防火墙过滤器中,依此类推。
这是内部流程的概念模型 - 您无法访问或查看动态筛选器。
如果在对用户(或无响应主机)进行身份验证后修改了接口上的防火墙过滤器,则除非重新对用户进行身份验证,否则修改不会反映在动态过滤器中。
在此示例中,您将配置防火墙过滤器,以将对接口上经过身份验证的每个端点向位于子网上的文件服务器发出的请求进行计数,并将监管器定义设置为对流量进行速率限制。显示了此示例的网络拓扑。 ge-0/0/2192.0.2.16/28图 2
配置
要在启用 802.1X 的接口上为多个请求方配置防火墙过滤器,请执行以下操作:
在具有多个请求方的接口上配置防火墙过滤器
CLI 快速配置
要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请复制以下命令并将其粘贴到路由器终端窗口中:
[edit]
set protocols authentication-access-control interface ge-0/0/2 supplicant multiple
set firewall family bridge filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family bridge filter filter1 term term1 then count counter1
set firewall family bridge filter filter1 term term2 then policer p1分步过程
要在为多个请求方启用的接口上配置防火墙过滤器:
为多请求模式身份验证配置接口 :ge-0/0/2
[edit protocols] user@router# set authentication-access-control interface ge-0/0/2 supplicant multiple
设置监管器定义:
user@router# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
配置防火墙过滤器以对来自每个用户的数据包进行计数,并配置限制流量速率的监管器。当每个新用户在多请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:
[edit firewall family bridge] user@router# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@router# set filter filter1 term term1 then count counter1 user@router# set filter filter1 term term2 then policer p1
成果
检查配置结果:
user@router> show configuration
firewall {
family bridge {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
authentication-access-control {
interface ge-0/0/2 {
supplicant multiple;
}
}
验证
要确认配置工作正常,请执行以下任务:
验证具有多个请求方的接口上的防火墙过滤器
目的
验证防火墙过滤器在具有多个请求方的接口上是否正常工作。
操作
通过一个在界面上经过身份验证的用户检查结果。在这种情况下,将在以下位置对 用户进行身份验证:ge-0/0/2
user@router> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
当第二个用户 User2 在同一接口上进行身份验证时, 您可以验证过滤器是否包括在接口上进行身份验证的两个用户的结果:ge-0/0/2
user@router>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意义
命令输出显示 的结果反映了使用每个新用户的身份验证创建的动态筛选器。show dot1x firewall 用户 1 访问位于指定目标地址的文件服务器 100 次,而用户 2 访问同一文件服务器 400 次。
变更历史表
是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。