为 802.1X 或 MAC RADIUS 身份验证启用的接口
EX 系列交换机支持端口防火墙过滤器。端口防火墙过滤器配置在单个 EX 系列交换机上,但要在整个企业中运行,必须在多台交换机上配置端口防火墙过滤器。为了减少在多个交换机上配置相同端口防火墙过滤器的需要,您可以改为使用 RADIUS 服务器属性在 RADIUS 服务器上集中应用过滤器。在设备通过 802.1X 成功进行身份验证后,将应用条款。有关更多信息,请阅读本主题。
示例:使用 EX 系列交换机上的 RADIUS 服务器属性,将防火墙过滤器应用于经过 802.1X 身份验证的请求方
您可以使用 RADIUS 服务器属性和端口防火墙过滤器,将条款集中应用于连接到企业中 EX 系列交换机的多个请求方(终端设备)。在设备通过 802.1X 成功进行身份验证后,将应用条款。如果在使用 802.1X 身份验证对终端设备进行身份验证后修改了防火墙过滤器配置,则必须终止并重新建立已建立的 802.1X 身份验证会话,防火墙过滤器更改才能生效。
EX 系列交换机支持端口防火墙过滤器。端口防火墙过滤器配置在单个 EX 系列交换机上,但要在整个企业中运行,必须在多台交换机上配置端口防火墙过滤器。为了减少在多个交换机上配置相同端口防火墙过滤器的需要,您可以改为使用 RADIUS 服务器属性在 RADIUS 服务器上集中应用过滤器。
以下示例使用 FreeRADIUS 在 RADIUS 服务器上应用端口防火墙过滤器。有关配置服务器的信息,请参阅 RADIUS 服务器附带的文档。
此示例介绍如何使用术语配置端口防火墙过滤器,创建计数器以对请求方的数据包进行计数,如何将过滤器应用于 RADIUS 服务器上的用户配置文件,以及显示计数器以验证配置:
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 9.3 或更高版本
一台 EX 系列交换机充当身份验证器端口访问实体 (PAE)。验证方 PAE 上的端口形成一个控制门,用于阻止进出请求方的所有流量,直到它们通过身份验证。
一台 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将服务器连接到交换机之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在交换机上配置了 802.1X 身份验证,接口 ge-0/0/2 的请求方模式设置为 multiple。请参阅 配置 802.1X 接口设置(CLI 过程) 和 示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X。
RADIUS 身份验证服务器上已配置的用户(在此示例中,拓扑中请求方 1 和请求方 2 的用户配置文件在 RADIUS 服务器上修改)。
概述和拓扑
当接口上的 802.1X 配置设置为 multiple 请求方模式时,您可以将通过 EX 系列交换机上的 Junos OS CLI 配置的单端口防火墙过滤器集中添加到 RADIUS 服务器,以应用于任意数量的终端设备(请求方)。一个接口只能应用一个过滤器;但是,过滤器可以包含针对不同终端设备的多个术语。
有关防火墙过滤器的详细信息,请参阅 EX 系列交换机的防火墙过滤器概述或防火墙过滤器概述(QFX 系列)。
使用 802.1X 成功验证终端设备后,RADIUS 服务器属性将应用于终端设备连接的端口。为了对终端设备进行身份验证,交换机会将终端设备的凭据转发到 RADIUS 服务器。RADIUS 服务器将凭据与位于 RADIUS 服务器上请求方用户配置文件中的有关请求方的预配置信息进行匹配。如果找到匹配项,RADIUS 服务器将指示交换机打开终端设备的接口。然后,流量在 LAN 上的终端设备之间流出或流向终端设备。在端口防火墙过滤器中配置并使用 RADIUS 服务器属性添加到终端设备用户配置文件的进一步说明进一步定义授予终端设备的访问权限。在端口防火墙过滤器中配置的过滤术语将应用于 802.1X 身份验证完成后终端设备连接的端口。
如果在使用 802.1X 成功通过终端设备身份验证后修改端口防火墙过滤器,则必须终止并重新建立 802.1X 身份验证会话,防火墙过滤器配置更改才能生效。
拓扑学
图 1 显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 ge-0/0/10 上的 EX4200 交换机。两个终端设备(请求方)正在访问接口 ge-0/0/2 上的 LAN。请求方 1 的 MAC 地址为 00:50:8b:6f:60:3a。请求方 2 的 MAC 地址为 00:50:8b:6f:60:3b。
此数字也适用于QFX5100交换机。
表 1 描述了此拓扑中的组件。
属性 | 设置 |
---|---|
交换机硬件 |
EX4200 接入交换机,24 个千兆以太网端口:16 个非 PoE 端口和 8 个 PoE 端口。 |
一台 RADIUS 服务器 |
地址在端口 ge-0/0/10上连接到交换机的10.0.0.100后端数据库。 |
802.1X 请求方连接到交换机接口 ge-0/0/2 |
|
要在 RADIUS 服务器上应用的端口防火墙过滤器 |
filter1 |
计数器 |
counter1 计算来自请求方 1 的数据包,并 counter2 计算来自请求方 2 的数据包。 |
监管器 |
policer p1 |
RADIUS 服务器上的用户配置文件 |
|
在此示例中,您将配置名为 filter1的端口防火墙过滤器。过滤器包含将根据终端设备的 MAC 地址应用于终端设备的术语。配置过滤器时,还会配置计数器 counter1 和 counter2. 对来自每个终端设备的数据包进行计数,这有助于您验证配置是否正常工作。监管器p1根据 和 discard 参数exceeding的值限制流量速率。然后,检查 RADIUS 服务器属性在 RADIUS 服务器上是否可用,并将过滤器应用于 RADIUS 服务器上每个终端设备的用户配置文件。最后,通过显示两个计数器的输出来验证配置。
配置端口防火墙过滤器和计数器
程序
CLI 快速配置
要使用请求方 1 和请求方 2 的条款快速配置端口防火墙过滤器,并为每个请求方创建并行计数器,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
分步过程
要在交换机上配置端口防火墙过滤器和计数器,请执行以下操作:
根据每个终端设备的 MAC 地址,配置端口防火墙过滤器(此处为 filter1),其中包含每个终端设备的术语:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
设置监管器定义:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
创建两个计数器来计算每个终端设备的数据包,以及一个监管器来限制流量速率:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
结果
显示配置结果:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term supplicant1 { from { source-mac-address { 00:50:8b:6f:60:3a; } } then count counter1; then policer p1; } term supplicant2 { from { source-mac-address { 00:50:8b:6f:60:3b; } } then count counter2; } } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1k; } then discard; }
将端口防火墙过滤器应用于 RADIUS 服务器上的请求方用户配置文件
程序
分步过程
要验证 RADIUS 服务器属性 Filter-ID 是否在 RADIUS 服务器上并将过滤器应用于用户配置文件,请执行以下操作:
在 RADIUS 服务器上显示字典 dictionary.rfc2865 ,并验证该属性 Filter-ID 是否在字典中:
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
关闭字典文件。
显示要应用过滤器的终端设备的本地用户配置文件(此处称为supplicant1supplicant2用户配置文件和):
[root@freeradius]# cat /usr/local/etc/raddb/users
输出显示:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"
通过将行 Filter-Id = “filter1” 添加到每个配置文件,将筛选器应用于两个用户配置文件,然后关闭该文件:
[root@freeradius]# cat /usr/local/etc/raddb/users
将该行粘贴到文件中后,文件如下所示:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
验证
验证过滤器是否已应用于请求方
目的
在接口 ge-0/0/2 上对终端设备进行身份验证后,验证是否已在交换机上配置过滤器,并包括两个请求方的结果:
操作
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
意义
命令的 show dot1x firewall
输出将显示 counter1 和 counter2。来自 User_1 的数据包使用 进行计数 counter1,来自用户 2 的数据包使用 counter2。输出显示两个计数器的数据包递增。过滤器已应用于两个终端设备。
示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方
在 EX 系列交换机上,应用于启用 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器将与从 RADIUS 服务器发送到交换机的每用户策略动态组合。交换机使用内部逻辑将接口防火墙过滤器与 RADIUS 服务器中的用户策略动态组合在一起,并为在接口上进行身份验证的多个用户或无响应主机中的每一个创建个性化策略。
此示例介绍如何在启用了 802.1X 的接口上为多个请求方创建动态防火墙过滤器(此示例中显示的相同原则适用于启用 MAC RADIUS 身份验证的接口):
要求
此示例使用以下硬件和软件组件:
适用于 EX 系列交换机的 Junos OS 9.5 或更高版本
一台 EX 系列交换机
一台 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将防火墙过滤器应用于接口以用于多个请求方之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在交换机上配置了 802.1X 身份验证,接口 ge-0/0/2 的身份验证模式设置为 multiple。请参阅 配置 802.1X 接口设置(CLI 过程) 和 示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X。
RADIUS 身份验证服务器上配置的用户。
概述和拓扑
拓扑学
当接口上的 802.1X 配置设置为多请求方模式时,系统会动态地将接口防火墙过滤器与身份验证期间从 RADIUS 服务器发送到交换机的用户策略相结合,并为每个用户创建单独的术语。由于在接口上进行身份验证的每个用户都有单独的术语,因此如本示例所示,您可以使用计数器查看在同一接口上进行身份验证的各个用户的活动。
当新用户(或无响应主机)在接口上进行身份验证时,系统会向与该接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,如 中 图 2所示,当 EX 系列交换机对 User1 进行身份验证时,系统会创建防火墙过滤器 dynamic-filter-example。对 User2 进行身份验证后,会将另一个术语添加到防火墙过滤器中,依此类推。
这是内部流程的概念模型 - 您无法访问或查看动态筛选器。
如果在对用户(或无响应主机)进行身份验证后修改了接口上的防火墙过滤器,则除非重新对用户进行身份验证,否则修改不会反映在动态过滤器中。
在此示例中,您将配置防火墙过滤器,以将对接口上经过 ge-0/0/2 身份验证的每个端点向位于子网 192.0.2.16/28上的文件服务器发出的请求进行计数,并将监管器定义设置为对流量进行速率限制。 图 3 显示了此示例的网络拓扑。
配置
要在启用 802.1X 的接口上为多个请求方配置防火墙过滤器,请执行以下操作:
在具有多个请求方的接口上配置防火墙过滤器
CLI 快速配置
要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
分步过程
要在为多个请求方启用的接口上配置防火墙过滤器:
为多请求模式身份验证配置接口 ge-0/0/2 :
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
设置监管器定义:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
配置防火墙过滤器以对来自每个用户的数据包进行计数,并配置限制流量速率的监管器。当每个新用户在多请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
结果
检查配置结果:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
验证
要确认配置工作正常,请执行以下任务:
验证具有多个请求方的接口上的防火墙过滤器
目的
验证防火墙过滤器在具有多个请求方的接口上是否正常工作。
操作
通过一个在界面上经过身份验证的用户检查结果。在这种情况下,将在以下位置对 ge-0/0/2用户进行身份验证:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
当第二个用户 User2 在同一接口上进行身份验证时, ge-0/0/2您可以验证过滤器是否包括在接口上进行身份验证的两个用户的结果:
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意义
命令输出显示 show dot1x firewall
的结果反映了使用每个新用户的身份验证创建的动态筛选器。用户 1 访问位于指定目标地址的文件服务器 100 次,而用户 2 访问同一文件服务器 400 次。
示例:在支持 ELS 的 EX 系列交换机上启用 802.1X 或 MAC RADIUS 身份验证的接口上,将防火墙过滤器应用于多个请求方
此示例使用支持增强型第 2 层软件 (ELS) 配置样式的 EX 系列交换机的 Junos OS。如果您的交换机运行的软件不支持 ELS,请参阅 示例:将防火墙过滤器应用于启用了 802.1X 或 MAC RADIUS 身份验证的接口上的多个请求方。有关 ELS 的详细信息,请参阅使用增强型第 2 层软件 CLI。
在 EX 系列交换机上,应用于启用 802.1X 或 MAC RADIUS 身份验证的接口的防火墙过滤器将与从 RADIUS 服务器发送到交换机的每用户策略动态组合。交换机使用内部逻辑将接口防火墙过滤器与 RADIUS 服务器中的用户策略动态组合在一起,并为在接口上进行身份验证的多个用户或无响应主机中的每一个创建个性化策略。
此示例介绍如何在启用了 802.1X 的接口上为多个请求方创建动态防火墙过滤器(此示例中显示的相同原则适用于启用 MAC RADIUS 身份验证的接口):
要求
此示例使用以下软件和硬件组件:
此示例也适用于QFX5100交换机。
适用于 EX 系列交换机的 Junos OS 13.2 或更高版本
一台支持 ELS 的 EX 系列交换机
一台 RADIUS 身份验证服务器。身份验证服务器充当后端数据库,并包含有权连接到网络的主机(请求方)的凭据信息。
在将防火墙过滤器应用于接口以用于多个请求方之前,请确保您已:
在交换机和 RADIUS 服务器之间建立连接。请参阅 示例:将适用于 802.1X 的 RADIUS 服务器连接到 EX 系列交换机。
在交换机上配置 802.1X 身份验证,接口 ge-0/0/2 的身份验证模式设置为
multiple
。请参阅 配置 802.1X 接口设置(CLI 过程) 和 示例:为 EX 系列交换机上的单请求方或多请求方配置设置 802.1X。RADIUS 身份验证服务器上配置的用户。
概述和拓扑
拓扑学
当接口上的 802.1X 配置设置为多请求方模式时,系统会动态地将接口防火墙过滤器与身份验证期间从 RADIUS 服务器发送到交换机的用户策略相结合,并为每个用户创建单独的术语。由于在接口上进行身份验证的每个用户都有单独的术语,因此如本示例所示,您可以使用计数器查看在同一接口上进行身份验证的各个用户的活动。
当新用户(或无响应主机)在接口上进行身份验证时,系统会向与该接口关联的防火墙过滤器添加一个术语,并且每个用户的术语(策略)与用户的 MAC 地址相关联。每个用户的术语基于 RADIUS 服务器上设置的用户特定过滤器和接口上配置的过滤器。例如,如 所示 图 4,当用户 1 通过 EX 系列交换机进行身份验证时,系统会向防火墙过滤器 dynamic-filter-example添加一个术语。对用户 2 进行身份验证后,会将另一个术语添加到防火墙过滤器中,依此类推。
此数字也适用于QFX5100交换机。
这是内部流程的概念模型 - 您无法访问或查看动态筛选器。
如果在对用户(或无响应主机)进行身份验证后修改了接口上的防火墙过滤器,则除非重新对用户进行身份验证,否则修改不会反映在动态过滤器中。
在此示例中,您将配置防火墙过滤器,以将对在接口 ge-0/0/2 上进行身份验证的每个端点向位于子网 192.0.2.16/28 上的文件服务器发出的请求进行计数,并将监管器定义设置为对流量进行速率限制。 图 5 显示了此示例的网络拓扑。
配置
在具有多个请求方的接口上配置防火墙过滤器
CLI 快速配置
要在支持 802.1X 的接口上为多个请求方快速配置防火墙过滤器,请复制以下命令并将其粘贴到交换机终端窗口中:
[edit] set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
分步过程
要在为多个请求方启用的接口上配置防火墙过滤器:
设置监管器定义:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
配置防火墙过滤器以对来自每个用户的数据包进行计数,并配置限制流量速率的监管器。当每个新用户在多请求方接口上进行身份验证时,此过滤器术语将包含在为用户动态创建的术语中:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
结果
检查配置结果:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term term1 { from { ip-destination-address { 192.0.2.16/28; } } then count counter1; term term2 { from { ip-destination-address { 192.0.2.16/28; } } then policer p1; } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1500; } then discard; } } protocols { dot1x { authenticator interface ge-0/0/2 { supplicant multiple; } } }
验证
验证具有多个请求方的接口上的防火墙过滤器
目的
验证防火墙过滤器在具有多个请求方的接口上是否正常工作。
操作
通过一个在界面上经过身份验证的用户检查结果。在这种情况下,用户 1 在 ge-0/0/2 上进行身份验证:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
当第二个用户(用户 2)在同一接口 ge-0/0/2 上进行身份验证时,您可以验证过滤器是否包括在接口上进行身份验证的两个用户的结果:
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意义
命令输出显示 show dot1x firewall
的结果反映了使用每个新用户的身份验证创建的动态筛选器。用户 1 访问位于指定目标地址 100
时间的文件服务器,而用户 2 访问相同的文件服务器 400
时间。