Auf dieser Seite
Beispiel: Anwenden von Firewallfiltern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind
Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.
In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.5 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Konfigurierte 802.1X-Authentifizierung auf dem Switch, wobei der Authentifizierungsmodus für die Schnittstelle auf festgelegt ist .ge-0/0/2multiple Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel:https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-authentication-switching-devices.html Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switch der EX-Serie.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.
Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Benutzer1 durch den Switch der EX-Serie authentifiziert wird, erstellt das System den Firewall-Filter .Abbildung 1dynamic-filter-example Wenn Benutzer2 authentifiziert wird, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.
Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.
Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.
In diesem Beispiel konfigurieren Sie einen Firewallfilter, um die Anforderungen zu zählen, die von jedem Endpunkt gestellt werden, der an der Schnittstelle zum Dateiserver authentifiziert ist, der sich im Subnetz befindet, und legen Policerdefinitionen fest, um die Rate des Datenverkehrs zu begrenzen. zeigt die Netzwerktopologie für dieses Beispiel. ge-0/0/2192.0.2.16/28Abbildung 2
Konfiguration
So konfigurieren Sie Firewall-Filter für mehrere Supplicants auf 802.1X-fähigen Schnittstellen:
Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants
CLI-Schnellkonfiguration
Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:
Konfigurieren Sie die Schnittstelle für die Authentifizierung im Mehrfach-Supplicant-Modus:ge-0/0/2
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Festlegen der Policer-Definition:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants
Zweck
Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.
Was
Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird der Benutzer authentifiziert am :ge-0/0/2
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Wenn ein zweiter Benutzer, Benutzer2, auf derselben Schnittstelle authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:ge-0/0/2
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Bedeutung
Die von der Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird.show dot1x firewall
Benutzer1 hat 100 Mal auf den Dateiserver an der angegebenen Zieladresse zugegriffen, während Benutzer2 400 Mal auf denselben Dateiserver zugegriffen hat.