Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen Aktiviert für die 802.1X- oder MAC-RADIUS-Authentifizierung

Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den Benutzerrichtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet eine interne Logik, um den Firewall-Filter für die Schnittstelle dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individuelle Richtlinie für jeden der mehreren Benutzer oder nicht-reagierenden Hosts zu erstellen, die an der Schnittstelle authentifiziert sind.

In diesem Beispiel wird beschrieben, wie dynamische Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel dargestellt werden, gelten für für MAC-RADIUS Authentifizierung aktivierte Schnittstellen):

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS 9.5 oder höher für Switches der EX-Serie

  • Ein Switch der EX-Serie

  • Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über eine Berechtigung für die Verbindung mit dem Netzwerk verfügen.

Bevor Sie Firewall-Filter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden kann, müssen Sie sicher sein:

Überblick und Topologie

Topologie

Wenn die 802.1X-Konfiguration an einer Schnittstelle auf mehrere Supplicant-Modus festgelegt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da für jeden Benutzer separate Bedingungen an der Schnittstelle authentifiziert sind, können Sie, wie in diesem Beispiel dargestellt, Mithilfe von Zählern die Aktivitäten einzelner Benutzer anzeigen, die an der gleichen Schnittstelle authentifiziert sind.

Wenn ein neuer Benutzer (oder ein nicht reagierender Host) an einer Schnittstelle authentifiziert wird, fügt das System dem der Schnittstelle zugeordneten Firewall-Filter einen Begriff hinzu, und der Begriff (die Richtlinie) jedes Benutzers wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem Server RADIUS und den auf der Schnittstelle konfigurierten Filtern festgelegt sind. Wenn beispielsweise Benutzer1 durch den Switch der EX-Serie authentifiziert wird, erstellt das System Abbildung 1 den Firewall-Filter. dynamic-filter-example Wenn Benutzer2 authentifiziert ist, wird ein anderer Begriff in den Firewall-Filter aufgenommen – und so weiter.

Abbildung 1: Konzeptmodell: Dynamischer Filter, der für jeden neuen Benutzer aktualisiert wurdeKonzeptmodell: Dynamischer Filter, der für jeden neuen Benutzer aktualisiert wurde

Dies ist ein konzeptuelles Modell des internen Prozesses. Sie können nicht auf den dynamischen Filter zugreifen oder diesen anzeigen.

Anmerkung:

Wenn der Firewall-Filter auf der Schnittstelle nach der Authentifizierung des Benutzers (oder nicht reagierender Host) geändert wird, werden die Änderungen nur dann im dynamischen Filter angezeigt, wenn der Benutzer erneut authentifiziert wurde.

In diesem Beispiel konfigurieren Sie einen Firewall-Filter, um die Anforderungen jedes Endpunkts, der an der Schnittstelle zum Dateiserver authentifiziert wurde, zu zählen, und Policer-Definitionen zur Begrenzung der Datenrate zu definieren. Zeigt die Netzwerktopologie in diesem ge-0/0/2192.0.2.16/28Abbildung 2 Beispiel.

Abbildung 2: Mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung mit einem Dateiserver herstellenMehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung mit einem Dateiserver herstellen

Konfiguration

So konfigurieren Sie Firewall-Filter für mehrere Supplicants auf 802.1X-fähigen Schnittstellen:

Konfigurieren von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants

CLI-Konfiguration

Um Firewall-Filter für mehrere Supplicants schnell auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Verfahren

So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:

  1. Schnittstelle für ge-0/0/2 Authentifizierung im Supplicant-Modus konfigurieren:

  2. Definition von Policern festlegen:

  3. Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer und einen Policer zu zählen, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert ist, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Führen Sie die folgenden Aufgaben aus, um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert:

Überprüfung von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants

Zweck

Stellen Sie sicher, dass Firewall-Filter mit mehreren Supplicants auf der Schnittstelle funktionieren.

Aktion

  1. Prüfen Sie die Ergebnisse mit einem Benutzer, der an der Schnittstelle authentifiziert ist. In diesem Fall ist der Benutzer an folgenden Authentifizierungen ge-0/0/2 authentifiziert:

  2. Wenn ein zweiter Benutzer, User2, an der gleichen Schnittstelle authentifiziert wird, können Sie überprüfen, dass der Filter die Ergebnisse für die beiden an der Schnittstelle authentifizierten Benutzer ge-0/0/2 enthält:

Bedeutung

Die in der Befehlsausgabe angezeigten Ergebnisse entsprechen dem dynamischen Filter, der mit der show dot1x firewall Authentifizierung jedes neuen Benutzers erstellt wurde. Benutzer1 hat 100 Mal auf den Dateiserver zugegriffen, der sich an der angegebenen Zieladresse befindet, während Benutzer2 400 Mal auf denselben Dateiserver zugegriffen hat.