Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

为 802.1X 或 MAC RADIUS 身份验证启用的接口

EX 系列交换机支持端口防火墙过滤器。端口防火墙过滤器配置在单个 EX 系列交换机上,但为了使它们在整个企业中运行,必须在多台交换机上配置。为了减少在多台交换机上配置相同端口防火墙过滤器的需求,您可以使用 RADIUS 服务器属性将过滤器集中应用于 RADIUS 服务器上。在设备成功通过 802.1X 认证后,将应用条款。有关更多信息,请阅读本主题。

示例:通过在 EX 系列交换机上使用 RADIUS 服务器属性,将防火墙过滤器应用于 802.1X 身份验证的请求方

您可以使用 RADIUS 服务器属性和端口防火墙过滤器将条款集中应用于连接到企业中 EX 系列交换机的多个请求方(终端设备)。在设备成功通过 802.1X 认证后,将应用条款。如果防火墙过滤器配置在使用 802.1X 身份验证对终端设备进行认证后进行修改,则必须终止既定的 802.1X 身份验证会话并重新建立防火墙过滤器更改才能生效。

EX 系列交换机支持端口防火墙过滤器。端口防火墙过滤器配置在单个 EX 系列交换机上,但为了使它们在整个企业中运行,必须在多台交换机上配置。为了减少在多台交换机上配置相同端口防火墙过滤器的需求,您可以使用 RADIUS 服务器属性将过滤器集中应用于 RADIUS 服务器上。

以下示例使用 FreeRADIUS 在 RADIUS 服务器上应用端口防火墙过滤器。有关配置服务器的信息,请查阅 RADIUS 服务器随附的文档。

此示例介绍如何使用术语配置端口防火墙过滤器、创建计数器以计数请求者的数据包、将过滤器应用于 RADIUS 服务器上的用户配置文件,以及显示计数器以验证配置:

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机的 Junos OS 9.3 或更高版本

  • 一台 EX 系列交换机充当认证器端口访问实体 (PAE)。认证方 PAE 上的端口构成一个控制门,可阻止所有来自请求方的流量,直至它们经过身份验证。

  • 一台 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。

在将服务器连接到交换机之前,请确保您已:

概述和拓扑

当接口上的 802.1X 配置设置为 multiple 请求模式时,可将通过 EX 系列交换机上的 Junos OS CLI 配置的单个端口防火墙过滤器集中添加到 RADIUS 服务器中,以适用于任意数量的终端设备(请求方)。只能将一个过滤器应用于一个接口;但是,过滤器可以包含多个用于单独终端设备的术语。

有关防火墙过滤器的详细信息,请参阅 EX 系列交换机的防火墙过滤器概述防火墙过滤器概述 (QFX 系列)

RADIUS 服务器属性应用于使用 802.1X 成功认证设备后,最终设备连接的端口。要验证终端设备,交换机将终端设备的凭据转发至 RADIUS 服务器。RADIUS 服务器将凭据与有关请求方在 RADIUS 服务器上的用户配置文件中的请求者的信息进行匹配。如果找到匹配项,RADIUS 服务器将指示交换机向终端设备打开接口。然后,流量从 LAN 上流向终端设备。在端口防火墙过滤器中配置并使用 RADIUS 服务器属性添加到最终设备用户配置文件的更多说明进一步定义了最终设备授予的访问权限。在端口防火墙过滤器中配置的过滤条款应用于完成 802.1X 身份验证后连接最终设备的端口。

注:

如果使用 802.1X 成功认证终端设备后修改端口防火墙过滤器,则必须终止并重新建立 802.1X 身份验证会话,以便防火墙过滤器配置更改生效。

拓扑

图 1 显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 ge-0/0/10 上的 EX4200 交换机。两个终端设备(请求方)正在访问接口 ge-0/0/2 上的 LAN。请求方 1 具有 MAC 地址 00:50:8b:6f:60:3a。请求方 2 具有 MAC 地址 00:50:8b:6f:60:3b。

注:

此图也适用于 QFX5100 交换机。

图 1: 防火墙过滤器和 RADIUS 服务器属性配置的拓扑防火墙过滤器和 RADIUS 服务器属性配置的拓扑

表 1 介绍了此拓扑中的组件。

表 1: 防火墙过滤器和 RADIUS 服务器属性拓扑的组件
财产 设置

交换机硬件

EX4200 接入交换机,24 个千兆位以太网端口:16 个非 PoE 端口和 8 个 PoE 端口。

一台 RADIUS 服务器

后端数据库,地址 10.0.0.100 连接到端口 ge-0/0/10处的交换机。

802.1X 请求方连接到接口上的交换机 ge-0/0/2

  • Supplicant 1 有 MAC 地址 00:50:8b:6f:60:3a

  • Supplicant 2 有 MAC 地址 00:50:8b:6f:60:3b

要在 RADIUS 服务器上应用的端口防火墙过滤器

filter1

计数器

counter1 统计请求方 1 的数据包,并 counter2 计费请求方 2 的数据包。

监管器

policer p1

RADIUS 服务器上的用户配置文件

  • 请求方 1 具有用户配置文件 supplicant1

  • 请求方 2 具有用户配置文件 supplicant2

在此示例中,您配置了名为 的端口防火墙过滤器 filter1。过滤器包含将基于终端设备的 MAC 地址应用于最终设备的术语。配置过滤器时,您也会配置计数器 counter1counter2。每个端设备的数据包都计算在内,这可帮助您验证配置是否工作。监管器 p1 会根据 exceeding 信息流值和 discard 参数来限制信息流速率。然后,您检查 RADIUS 服务器属性是否在 RADIUS 服务器上可用,并将过滤器应用于 RADIUS 服务器上每个终端设备的用户配置文件。最后,通过显示两个计数器的输出来验证配置。

配置端口防火墙过滤器和计数器

程序

CLI 快速配置

要为请求方 1 和 Supplicant 2 快速配置端口防火墙过滤器,并为每个请求方创建并行计数器,请复制以下命令并将其粘贴到交换机终端窗口中:

逐步过程

要在交换机上配置端口防火墙过滤器和计数器:

  1. 根据每个终端设备的 MAC 地址,为每个端设备配置端口防火墙过滤器(此 filter1处),并使用以下术语:

  2. 设置监管器定义:

  3. 创建两个计数器,用于计数每个终端设备的数据包和一个限制流量的监管器:

结果

显示配置的结果:

将端口防火墙过滤器应用于 RADIUS 服务器上的请求者用户配置文件

程序

逐步过程

要验证 RADIUS 服务器属性 Filter-ID 是否位于 RADIUS 服务器上,并将过滤器应用于用户配置文件:

  1. 在 RADIUS 服务器上显示字典 dictionary.rfc2865 ,验证属性 Filter-ID 是否在字典中:

  2. 关闭字典文件。

  3. 显示要应用过滤器的最终设备的本地用户配置文件(此处,用户配置文件称为 supplicant1supplicant2):

    输出显示:

  4. 将过滤器添加到每个配置文件中 Filter-Id = “filter1” ,然后关闭文件,将过滤器应用于两个用户配置文件:

    将线路粘贴到文件中后,这些文件看起来是这样的:

验证

验证过滤器是否已应用于请求方

目的

在接口 ge-0/0/2 上验证最终设备之后,验证过滤器是否已在交换机上配置,并包括两个请求方的结果:

行动
意义

命令的 show dot1x firewall 输出显示 counter1counter2。使用User_1 counter1的数据包,使用来自用户 2 的数据包计算 counter2。输出显示两个计数器的数据包递增。过滤器已应用于两个终端设备。

示例:将防火墙过滤器应用于支持 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方

在 EX 系列交换机上,适用于支持 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器与从 RADIUS 服务器发送至交换机的每用户策略动态结合使用。交换机使用内部逻辑动态地将接口防火墙过滤器与 RADIUS 服务器中的用户策略相结合,并为接口上经过认证的多个用户或非响应主机创建个性化策略。

此示例介绍如何为支持 802.1X 的接口上的多个请求方创建动态防火墙过滤器(此示例中显示的相同原则也适用于为 MAC RADIUS 认证启用的接口):

要求

此示例使用以下硬件和软件组件:

  • EX 系列交换机的 Junos OS 9.5 或更高版本

  • 一台 EX 系列交换机

  • 一台 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。

在将防火墙过滤器应用到用于多个请求方的接口之前,请确保您已:

概述和拓扑

拓扑

当接口上的 802.1X 配置设置为多个请求模式时,系统会动态地将接口防火墙过滤器与在身份验证期间从 RADIUS 服务器发送到交换机的用户策略相结合,并为每个用户创建单独的术语。由于接口上认证的每个用户都有单独的术语,因此您可以使用计数器查看在同一接口上经过认证的单个用户的活动,如此示例中所示。

当新用户(或非响应主机)在接口上进行身份验证时,系统会向与接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,当 图 2User1 经过 EX 系列交换机认证时,系统将创建防火墙过滤器 dynamic-filter-example。经过 User2 认证后,防火墙过滤器中会添加另一个术语,等等。

图 2: 概念模型:为每个新用户更新的动态过滤器概念模型:为每个新用户更新的动态过滤器

这是内部流程的概念模型 — 您无法访问或查看动态过滤器。

注:

如果接口上的防火墙过滤器在用户(或非响应主机)经过认证后进行了修改,则除非用户重新认证,否则修改不会在动态过滤器中反映。

在此示例中,您配置了一个防火墙过滤器,以计数在接口 ge-0/0/2 上认证的每个端点对位于子网 192.0.2.16/28上的文件服务器所做的请求,并设置监管器定义来对流量进行限速。 图 3 显示了此示例的网络拓扑。

图 3: 支持 802.1X 的接口上连接到文件服务器的多个请求方支持 802.1X 的接口上连接到文件服务器的多个请求方

配置

要在支持 802.1X 的接口上为多个请求方配置防火墙过滤器:

使用多个请求方在接口上配置防火墙过滤器

CLI 快速配置

要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请将以下命令复制并粘贴到交换机终端窗口中:

逐步过程

要在为多个请求方启用的接口上配置防火墙过滤器:

  1. 配置多个请求模式身份验证的接口 ge-0/0/2

  2. 设置监管器定义:

  3. 配置防火墙过滤器以统计每个用户的数据包和限制流量的监管器。当每个新用户在多个请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:

结果

检查配置结果:

验证

要确认配置工作正常,请执行以下任务:

使用多个请求方验证接口上的防火墙过滤器

目的

验证防火墙过滤器是否在具有多个请求方的接口上工作。

行动
  1. 使用一位在接口上经过认证的用户检查结果。在这种情况下,用户将通过以下身份 ge-0/0/2验证:

  2. 当第二个用户 User2 在同一接口上进行身份验证时, ge-0/0/2您可以验证过滤器是否包括接口上认证的两个用户的结果:

意义

命令输出显示 show dot1x firewall 的结果反映了使用每个新用户的身份验证创建的动态过滤器。用户 1 访问指定目标地址的文件服务器 100 次,而 User2 访问同一文件服务器 400 次。

示例:在支持 ELS 的 EX 系列交换机上为 802.1X 或 MAC RADIUS 身份验证启用的接口上的多个请求方应用防火墙过滤器

注:

此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:将防火墙过滤器应用于支持 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方。有关 ELS 详细信息,请参阅 使用增强型第 2 层软件 CLI

在 EX 系列交换机上,适用于支持 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器与从 RADIUS 服务器发送至交换机的每用户策略动态结合使用。交换机使用内部逻辑动态地将接口防火墙过滤器与 RADIUS 服务器中的用户策略相结合,并为接口上经过认证的多个用户或非响应主机创建个性化策略。

此示例介绍如何为支持 802.1X 的接口上的多个请求方创建动态防火墙过滤器(此示例中显示的相同原则也适用于为 MAC RADIUS 认证启用的接口):

要求

此示例使用以下软件和硬件组件:

注:

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机的 Junos OS 13.2 或更高版本

  • 一台支持 ELS 的 EX 系列交换机

  • 一台 RADIUS 身份验证服务器。认证服务器充当后端数据库,包含允许连接到网络的主机(请求方)的证书信息。

在将防火墙过滤器应用到用于多个请求方的接口之前,请确保您已:

概述和拓扑

拓扑

当接口上的 802.1X 配置设置为多个请求模式时,系统会在身份验证期间将接口防火墙过滤器与从 RADIUS 服务器发送到交换机的用户策略动态结合,并为每个用户创建单独的术语。由于接口上认证的每个用户都有单独的术语,因此您可以使用计数器查看在同一接口上经过认证的单个用户的活动,如此示例中所示。

当新用户(或非响应主机)在接口上进行身份验证时,系统会向与接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,当 图 4用户 1 经 EX 系列交换机认证时,系统会在防火墙过滤器 dynamic-filter-example中添加一个术语。经过用户 2 的认证后,防火墙过滤器中会添加另一个术语,等等。

注:

此图也适用于 QFX5100 交换机。

图 4: 概念模型:为每个新用户更新的动态过滤器概念模型:为每个新用户更新的动态过滤器

这是内部流程的概念模型 — 您无法访问或查看动态过滤器。

注:

如果接口上的防火墙过滤器在用户(或非响应主机)经过认证后进行了修改,则除非用户重新认证,否则修改不会在动态过滤器中反映。

在此示例中,您可配置防火墙过滤器,以计数在接口 ge-0/0/2 上认证的每个端点向位于子网 192.0.2.16/28 上的文件服务器发出的请求,并设置监管器定义以对流量进行速率限制。 图 5 显示了此示例的网络拓扑。

图 5: 支持 802.1X 的接口上连接到文件服务器的多个请求方支持 802.1X 的接口上连接到文件服务器的多个请求方

配置

使用多个请求方在接口上配置防火墙过滤器

CLI 快速配置

要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请将以下命令复制并粘贴到交换机终端窗口中:

逐步过程

要在为多个请求方启用的接口上配置防火墙过滤器:

  1. 设置监管器定义:

  2. 配置防火墙过滤器以统计每个用户的数据包和限制流量的监管器。当每个新用户在多个请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:

结果

检查配置结果:

验证

使用多个请求方验证接口上的防火墙过滤器

目的

验证防火墙过滤器是否在具有多个请求方的接口上工作。

行动
  1. 使用一位在接口上经过认证的用户检查结果。在这种情况下,用户 1 在 ge-0/0/2 上经过身份验证:

  2. 当第二个用户(用户 2)在同一接口 ge-0/0/2 上进行身份验证时,您可以验证过滤器是否包括接口上已认证的两位用户的结果:

意义

命令输出显示 show dot1x firewall 的结果反映了使用每个新用户的身份验证创建的动态过滤器。用户 1 访问位于指定目标地址 100 时间的文件服务器,而用户 2 访问相同的文件服务器 400 时间。