Auf dieser Seite
Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind
Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Weitere Informationen finden Sie in diesem Thema.
Beispiel: Anwenden eines Firewall-Filters auf 802.1X-authentifizierte Supplicants mithilfe von RADIUS-Serverattributen auf einem Switch der EX-Serie
Sie können RADIUS-Serverattribute und einen Port-Firewall-Filter verwenden, um Begriffe zentral auf mehrere Supplicants (Endgeräte) anzuwenden, die mit einem Switch der EX-Serie in Ihrem Unternehmen verbunden sind. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Wenn die Konfiguration des Firewall-Filters geändert wird, nachdem Endgeräte mit der 802.1X-Authentifizierung authentifiziert wurden, muss die eingerichtete 802.1X-Authentifizierungssitzung beendet und neu eingerichtet werden, damit die Änderungen am Firewall-Filter wirksam werden.
Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden.
Im folgenden Beispiel wird FreeRADIUS verwendet, um einen Portfirewallfilter auf einen RADIUS-Server anzuwenden. Informationen zum Konfigurieren des Servers finden Sie in der Dokumentation zum Lieferumfang des RADIUS-Servers.
In diesem Beispiel wird beschrieben, wie Sie einen Portfirewallfilter mit Begriffen konfigurieren, Leistungsindikatoren erstellen, um Pakete für die Supplicants zu zählen, den Filter auf Benutzerprofile auf dem RADIUS-Server anwenden und die Leistungsindikatoren anzeigen, um die Konfiguration zu überprüfen:
- Anforderungen
- Übersicht und Topologie
- Konfigurieren des Filters und der Leistungsindikatoren für die Portfirewall
- Anwenden des Portfirewallfilters auf die Supplicant-Benutzerprofile auf dem RADIUS-Server
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.3 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Switch verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switchder EX-Serie.
Konfigurierte 802.1X-Authentifizierung auf dem Switch, wobei der Supplicant-Modus für die Schnittstelle ge-0/0/2 auf festgelegt ist multiple. Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel: Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switchder EX-Serie.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver (in diesem Beispiel werden die Benutzerprofile für Supplicant 1 und Supplicant 2 in der Topologie auf dem RADIUS-Server geändert).
Übersicht und Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf multiple den Supplicant-Modus eingestellt ist, können Sie einen Firewall-Filter mit einem einzelnen Port, der über die Junos OS CLI auf dem Switch der EX-Serie konfiguriert wurde, auf eine beliebige Anzahl von Endgeräten (Supplicants) anwenden, indem Sie den Filter zentral zum RADIUS-Server hinzufügen. Es kann nur ein einzelner Filter auf eine Schnittstelle angewendet werden. Der Filter kann jedoch mehrere Begriffe für unterschiedliche Endgeräte enthalten.
Weitere Informationen zu Firewall-Filtern finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie oder Übersicht über Firewall-Filter (QFX-Serie).
RADIUS-Serverattribute werden auf den Port angewendet, mit dem das Endgerät verbunden ist, nachdem das Gerät erfolgreich mit 802.1X authentifiziert wurde. Zur Authentifizierung eines Endgeräts leitet der Switch die Zugangsdaten des Endgeräts an den RADIUS-Server weiter. Der RADIUS-Server gleicht die Anmeldeinformationen mit den vorkonfigurierten Informationen über den Supplicant ab, die sich im Benutzerprofil des Supplicants auf dem RADIUS-Server befinden. Wird eine Übereinstimmung gefunden, weist der RADIUS-Server den Switch an, eine Schnittstelle zum Endgerät zu öffnen. Der Datenverkehr fließt dann vom und zum Endgerät im LAN. Weitere Anweisungen, die im Port-Firewall-Filter konfiguriert und über ein RADIUS-Server-Attribut zum Benutzerprofil des Endgeräts hinzugefügt werden, definieren den Zugriff, der dem Endgerät gewährt wird. Filterbegriffe, die im Port-Firewall-Filter konfiguriert sind, werden nach Abschluss der 802.1X-Authentifizierung auf den Port angewendet, mit dem das Endgerät verbunden ist.
Wenn Sie den Port-Firewall-Filter ändern, nachdem ein Endgerät erfolgreich mit 802.1X authentifiziert wurde, müssen Sie die 802.1X-Authentifizierungssitzung beenden und neu einrichten, damit die Änderungen an der Konfiguration des Firewall-Filters wirksam werden.
Topologie
Abbildung 1 Zeigt die Topologie, die für dieses Beispiel verwendet wird. Der RADIUS-Server ist mit einem EX4200-Switch am Zugriffsport ge-0/0/10 verbunden. Zwei Endgeräte (Supplicants) greifen auf das LAN an der Schnittstelle ge-0/0/2 zu. Supplicant 1 hat die MAC-Adresse 00:50:8b:6f:60:3a. Supplicant 2 hat die MAC-Adresse 00:50:8b:6f:60:3b.
Diese Zahl gilt auch für QFX5100 Switches.
Tabelle 1 Beschreibt die Komponenten in dieser Topologie.
| Eigentum | Einstellungen |
|---|---|
Switch-Hardware |
Zugangs-Switch EX4200, 24 Gigabit-Ethernet-Ports: 16 Nicht-PoE-Ports und 8 PoE-Ports. |
Ein RADIUS-Server |
Backend-Datenbank mit der Adresse 10.0.0.100 , die mit dem Switch am Port ge-0/0/10verbunden ist. |
802.1X-Supplicants, die an die Switch-on-Schnittstelle angeschlossen sind ge-0/0/2 |
|
Port-Firewall-Filter, der auf den RADIUS-Server angewendet werden soll |
filter1 |
Leistungsindikatoren |
counter1 zählt Pakete von Supplicant 1 und counter2 Pakete von Supplicant 2. |
Polizist |
policer p1 |
Benutzerprofile auf dem RADIUS-Server |
|
In diesem Beispiel konfigurieren Sie einen Port-Firewall-Filter mit dem Namen filter1. Der Filter enthält Begriffe, die basierend auf den MAC-Adressen der Endgeräte auf die Endgeräte angewendet werden. Wenn Sie den Filter konfigurieren, konfigurieren Sie auch die Zähler counter1 und counter2. Pakete von jedem Endgerät werden gezählt, sodass Sie überprüfen können, ob die Konfiguration funktioniert. Policer p1 begrenzt die Datenverkehrsrate basierend auf den Werten für exceeding und discard Parametern. Anschließend überprüfen Sie, ob das RADIUS-Serverattribut auf dem RADIUS-Server verfügbar ist, und wenden den Filter auf die Benutzerprofile der einzelnen Endgeräte auf dem RADIUS-Server an. Schließlich überprüfen Sie die Konfiguration, indem Sie die Ausgabe für die beiden Leistungsindikatoren anzeigen.
Konfigurieren des Filters und der Leistungsindikatoren für die Portfirewall
Verfahren
CLI-Schnellkonfiguration
Um schnell einen Port-Firewall-Filter mit Begriffen für Supplicant 1 und Supplicant 2 zu konfigurieren und parallele Zähler für jeden Supplicant zu erstellen, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Port-Firewall-Filter und Zähler auf dem Switch:
Konfigurieren Sie einen Port-Firewall-Filter (hier filter1) mit Begriffen für jedes Endgerät basierend auf der MAC-Adresse des jeweiligen Endgeräts:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Festlegen der Policer-Definition:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Erstellen Sie zwei Zähler, die Pakete für jedes Endgerät zählen, und einen Policer, der die Datenverkehrsrate begrenzt:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
Anwenden des Portfirewallfilters auf die Supplicant-Benutzerprofile auf dem RADIUS-Server
Verfahren
Schritt-für-Schritt-Anleitung
So überprüfen Sie, ob sich das RADIUS-Serverattribut Filter-ID auf dem RADIUS-Server befindet, und wenden den Filter auf die Benutzerprofile an:
Zeigen Sie das Wörterbuch dictionary.rfc2865 auf dem RADIUS-Server an, und überprüfen Sie, ob das Attribut Filter-ID im Wörterbuch enthalten ist:
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Schließen Sie die Wörterbuchdatei.
Zeigen Sie die lokalen Benutzerprofile der Endgeräte an, auf die Sie den Filter anwenden möchten (hier heißen supplicant1 die Benutzerprofile und supplicant2):
[root@freeradius]# cat /usr/local/etc/raddb/users
Die Ausgabe zeigt:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"Wenden Sie den Filter auf beide Benutzerprofile an, indem Sie jedem Profil die Zeile Filter-Id = “filter1” hinzufügen, und schließen Sie dann die Datei:
[root@freeradius]# cat /usr/local/etc/raddb/users
Nachdem Sie die Zeile in die Dateien eingefügt haben, sehen die Dateien wie folgt aus:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Verifizierung
Überprüfen, ob der Filter auf die Supplicants angewendet wurde
Zweck
Nachdem die Endgeräte an der Schnittstelle ge-0/0/2 authentifiziert wurden, stellen Sie sicher, dass der Filter auf dem Switch konfiguriert wurde und die Ergebnisse für beide Supplicants enthält:
Action!
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Bedeutung
Die Ausgabe des show dot1x firewall Befehls zeigt counter1 und counter2an. Pakete von User_1 werden mit counter1gezählt, und Pakete von Benutzer 2 werden mit counter2gezählt. Die Ausgabe zeigt Pakete an, die für beide Zähler inkrementiert werden. Der Filter wurde auf beide Endgeräte angewendet.
Beispiel: Anwenden von Firewallfiltern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind
Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.
In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.5 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switchder EX-Serie.
Konfigurierte 802.1X-Authentifizierung auf dem Switch, wobei der Authentifizierungsmodus für die Schnittstelle ge-0/0/2 auf festgelegt ist multiple. Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel: Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switchder EX-Serie.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.
Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Abbildung 2Benutzer1 durch den Switch der EX-Serie authentifiziert wird, erstellt das System den Firewall-Filter dynamic-filter-example. Wenn Benutzer2 authentifiziert wird, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.
Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.
Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.
In diesem Beispiel konfigurieren Sie einen Firewallfilter, um die Anforderungen zu zählen, die von jedem Endpunkt gestellt werden, der an der Schnittstelle ge-0/0/2 zum Dateiserver authentifiziert ist, der sich im Subnetz 192.0.2.16/28befindet, und legen Policerdefinitionen fest, um die Rate des Datenverkehrs zu begrenzen. Abbildung 3 zeigt die Netzwerktopologie für dieses Beispiel.
Konfiguration
So konfigurieren Sie Firewall-Filter für mehrere Supplicants auf 802.1X-fähigen Schnittstellen:
Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants
CLI-Schnellkonfiguration
Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Schritt-für-Schritt-Anleitung
So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:
Konfigurieren Sie die Schnittstelle ge-0/0/2 für die Authentifizierung im Mehrfach-Supplicant-Modus:
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Festlegen der Policer-Definition:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants
Zweck
Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.
Action!
Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird der Benutzer authentifiziert am ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Wenn ein zweiter Benutzer, Benutzer2, auf derselben Schnittstelle authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, ge-0/0/2die auf der Schnittstelle authentifiziert wurden:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Bedeutung
Die von der show dot1x firewall Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird. Benutzer1 hat 100 Mal auf den Dateiserver an der angegebenen Zieladresse zugegriffen, während Benutzer2 400 Mal auf denselben Dateiserver zugegriffen hat.
Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung auf Switches der EX-Serie mit ELS-Unterstützung aktiviert sind
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierungaktiviert sind. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.
In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 13.2 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie mit Unterstützung für ELS
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switchder EX-Serie.
802.1X-Authentifizierung auf dem Switch konfiguriert, wobei der Authentifizierungsmodus für die Schnittstelle ge-0/0/2 auf festgelegt ist
multiple. Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel: Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switchder EX-Serie.Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.
Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Abbildung 4Benutzer 1 durch den Switch der EX-Serie authentifiziert wird, fügt das System dem Firewallfilter dynamic-filter-exampleeinen Begriff hinzu. Wenn Benutzer 2 authentifiziert ist, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.
Diese Zahl gilt auch für QFX5100 Switches.
Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.
Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.
In diesem Beispiel konfigurieren Sie einen Firewallfilter so, dass die Anforderungen gezählt werden, die von jedem an der Schnittstelle ge-0/0/2 authentifizierten Endpunkt an den Dateiserver gesendet werden, der sich im Subnetz 192.0.2.16/28 befindet, und Policerdefinitionen festlegen, um die Rate des Datenverkehrs zu begrenzen. Abbildung 5 zeigt die Netzwerktopologie für dieses Beispiel.
Konfiguration
Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants
CLI-Schnellkonfiguration
Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Schritt-für-Schritt-Anleitung
So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:
Legen Sie die Policer-Definition fest:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verifizierung
Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants
Zweck
Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.
Action!
Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird Benutzer 1 auf ge-0/0/2 authentifiziert:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Wenn ein zweiter Benutzer, Benutzer 2, auf derselben Schnittstelle (ge-0/0/2) authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Bedeutung
Die von der show dot1x firewall Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird. Benutzer 1 hat auf den Dateiserver zugegriffen, der sich zu den angegebenen Zieladresszeiten 100 befindet, während Benutzer 2 auf dieselben Dateiserverzeiten 400 zugegriffen hat.