Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

示例:在 MX 系列路由器上为 802.1 X 或 MAC RADIUS 身份验证的接口上的多个请求方应用防火墙过滤器

从 Junos OS 版本 14.2 开始,在 MX 系列路由器上,您应用到启用 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器将与从 RADIUS 服务器发送到交换机的按用户策略动态组合。交换机使用内部逻辑来动态地将接口防火墙过滤器与 RADIUS 服务器中的用户策略相结合,并为每个在接口上通过身份验证的多重用户或非响应主机创建一个个性化策略。

此示例介绍如何为支持 802.1 X 的接口上的多个请求者创建动态防火墙过滤器(本示例中显示的原则适用于为 MAC RADIUS 身份验证启用的接口):

要求

此示例使用以下硬件和软件组件:

  • MX 系列路由器 Junos OS 版14.2 或更高版本

  • 一个 MX 系列路由器

  • 一台 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。

在将防火墙过滤器应用于多个请求者使用的接口之前,请确保您已:

  • 在路由器与 RADIUS 服务器之间设置连接。

  • 在路由器上配置 802.1X 认证,将接口的认证模式 ge-0/0/2 设置为 multiple

  • RADIUS 认证服务器上的配置用户。

概述和拓扑

拓扑

当接口上的 802.1 X 配置设置为多请求器模式时,系统会在身份验证过程中将接口防火墙过滤器与从 RADIUS 服务器发送到路由器的用户策略动态合并,并为每个设备创建单独的术语。用户. 由于在接口上进行身份验证的每个用户都有单独的术语,因此您可以使用计数器来查看在同一接口上进行身份验证的单个用户的活动。

当新用户(或未响应的主机)在某个接口上通过身份验证时,系统会将一个术语添加到与该接口相关联的防火墙过滤器中,并且每个用户的术语(策略)都与用户的 MAC 地址相关联。每个用户的术语基于在 RADIUS 服务器上设置的用户特定过滤器和在界面上配置的过滤器。例如,如 中所示,当用户 1 通过 MX 系列路由器认证时, 图 1 系统将创建防火墙过滤器 dynamic-filter-example 。当对者进行身份验证时,另一个术语会添加到防火墙过滤器,依此类推。

图 1: 概念模型:为每个新用户更新的动态过滤器概念模型:为每个新用户更新的动态过滤器

这是内部流程的概念模型,您不能访问或查看动态过滤器。

注:

如果接口上的防火墙过滤器在认证后被修改,则除非用户进行身份验证,否则修改不会反映在动态过滤器中。

此示例将配置防火墙过滤器以计数在接口上认证的每个端点到位于子网上的文件服务器的请求,并设置策略器定义来限制流量。 显示了此示例的网络拓扑。 ge-0/0/2192.0.2.16/28图 2

图 2: 在支持 802.1 X 的接口上连接到文件服务器的多个请求者在支持 802.1 X 的接口上连接到文件服务器的多个请求者

配置

要在支持 802.1 X 的接口上为多个请求者配置防火墙过滤器:

在具有多个请求者的接口上配置防火墙过滤器

CLI 快速配置

要在支持 802.1 X 的接口上快速配置多个请求者的防火墙过滤器,请复制以下命令并将其粘贴到路由器的终端窗口中:

分步过程

要在为多个请求者启用的接口上配置防火墙过滤器:

  1. 为多个 ge-0/0/2 请求方模式身份验证配置接口:

  2. 设置监管器定义:

  3. 配置防火墙过滤器,以便统计来自每个用户的数据包和限制流量速率的监管器。随着每个新用户在多个申请者接口上进行身份验证,此过滤器术语将包括在为用户动态创建的术语中:

成果

检查配置结果:

针对

要确认配置是否正常运行,请执行以下任务:

验证具有多个请求者的接口上的防火墙过滤器

用途

验证在具有多个请求者的接口上,防火墙过滤器是否正常工作。

行动

  1. 检查结果,并在接口上验证一个用户。在这种情况下,用户已通过以下认证 ge-0/0/2

  2. 当第二个用户 User2 在同一接口上通过认证时,可以验证过滤器是否包括接口上认证的用户两 ge-0/0/2 个的结果:

含义

show dot1x firewall命令输出所显示的结果反映了通过对每个新用户进行身份验证创建的动态过滤器。User1 访问了位于指定目标地址100次的文件服务器,而 2/2 则访问相同的文件服务器400次。

发布历史记录表
版本
说明
14.2
从 Junos OS 版本14.2 开始,在 MX 系列路由器上,应用于为 802.1 X 或 MAC RADIUS 身份验证启用的接口的防火墙过滤器可与从 RADIUS 服务器发送给交换机的每用户策略动态组合。