Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind

Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Weitere Informationen finden Sie in diesem Thema.

Beispiel: Anwenden eines Firewall-Filters auf 802.1X-authentifizierte Supplicants mithilfe von RADIUS-Serverattributen auf einem Switch der EX-Serie

Sie können RADIUS-Serverattribute und einen Port-Firewall-Filter verwenden, um Begriffe zentral auf mehrere Supplicants (Endgeräte) anzuwenden, die mit einem Switch der EX-Serie in Ihrem Unternehmen verbunden sind. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Wenn die Konfiguration des Firewall-Filters geändert wird, nachdem Endgeräte mit der 802.1X-Authentifizierung authentifiziert wurden, muss die eingerichtete 802.1X-Authentifizierungssitzung beendet und neu eingerichtet werden, damit die Änderungen am Firewall-Filter wirksam werden.

Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden.

Im folgenden Beispiel wird FreeRADIUS verwendet, um einen Portfirewallfilter auf einen RADIUS-Server anzuwenden. Informationen zum Konfigurieren des Servers finden Sie in der Dokumentation zum Lieferumfang des RADIUS-Servers.

In diesem Beispiel wird beschrieben, wie Sie einen Portfirewallfilter mit Begriffen konfigurieren, Leistungsindikatoren erstellen, um Pakete für die Supplicants zu zählen, den Filter auf Benutzerprofile auf dem RADIUS-Server anwenden und die Leistungsindikatoren anzeigen, um die Konfiguration zu überprüfen:

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

HINWEIS:

Dieses Beispiel gilt auch für QFX5100 Switches.

  • Junos OS Version 9.3 oder höher für Switches der EX-Serie

  • Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.

  • Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.

Bevor Sie den Server mit dem Switch verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:

Übersicht und Topologie

Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Supplicant-Modus eingestellt ist, können Sie einen Firewall-Filter mit einem einzelnen Port, der über die Junos OS CLI auf dem Switch der EX-Serie konfiguriert wurde, auf eine beliebige Anzahl von Endgeräten (Supplicants) anwenden, indem Sie den Filter zentral zum RADIUS-Server hinzufügen.multiple Es kann nur ein einzelner Filter auf eine Schnittstelle angewendet werden. Der Filter kann jedoch mehrere Begriffe für unterschiedliche Endgeräte enthalten.

Weitere Informationen zu Firewall-Filtern finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie oder Übersichtüber Firewall-Filter (QFX-Serie).Firewall Filters for EX Series Switches OverviewOverview of Firewall Filters (QFX Series)

RADIUS-Serverattribute werden auf den Port angewendet, mit dem das Endgerät verbunden ist, nachdem das Gerät erfolgreich mit 802.1X authentifiziert wurde. Zur Authentifizierung eines Endgeräts leitet der Switch die Zugangsdaten des Endgeräts an den RADIUS-Server weiter. Der RADIUS-Server gleicht die Anmeldeinformationen mit den vorkonfigurierten Informationen über den Supplicant ab, die sich im Benutzerprofil des Supplicants auf dem RADIUS-Server befinden. Wird eine Übereinstimmung gefunden, weist der RADIUS-Server den Switch an, eine Schnittstelle zum Endgerät zu öffnen. Der Datenverkehr fließt dann vom und zum Endgerät im LAN. Weitere Anweisungen, die im Port-Firewall-Filter konfiguriert und über ein RADIUS-Server-Attribut zum Benutzerprofil des Endgeräts hinzugefügt werden, definieren den Zugriff, der dem Endgerät gewährt wird. Filterbegriffe, die im Port-Firewall-Filter konfiguriert sind, werden nach Abschluss der 802.1X-Authentifizierung auf den Port angewendet, mit dem das Endgerät verbunden ist.

HINWEIS:

Wenn Sie den Port-Firewall-Filter ändern, nachdem ein Endgerät erfolgreich mit 802.1X authentifiziert wurde, müssen Sie die 802.1X-Authentifizierungssitzung beenden und neu einrichten, damit die Änderungen an der Konfiguration des Firewall-Filters wirksam werden.

Topologie

Abbildung 1 Zeigt die Topologie, die für dieses Beispiel verwendet wird. Der RADIUS-Server ist mit einem EX4200-Switch am Zugriffsport ge-0/0/10 verbunden. Zwei Endgeräte (Supplicants) greifen auf das LAN an der Schnittstelle ge-0/0/2 zu. Supplicant 1 hat die MAC-Adresse 00:50:8b:6f:60:3a. Supplicant 2 hat die MAC-Adresse 00:50:8b:6f:60:3b.

HINWEIS:

Diese Zahl gilt auch für QFX5100 Switches.

Abbildung 1: Topologie für Konfiguration von Firewall-Filtern und RADIUS-ServerattributenTopologie für Konfiguration von Firewall-Filtern und RADIUS-Serverattributen

Tabelle 1 Beschreibt die Komponenten in dieser Topologie.

Tabelle 1: Komponenten der Topologie "Firewallfilter" und "RADIUS-Serverattribute"
Eigenschaft Einstellungen

Switch-Hardware

Zugangs-Switch EX4200, 24 Gigabit-Ethernet-Ports: 16 Nicht-PoE-Ports und 8 PoE-Ports.

Ein RADIUS-Server

Backend-Datenbank mit der Adresse , die mit dem Switch am Port verbunden ist.10.0.0.100ge-0/0/10

802.1X-Supplicants, die an die Switch-on-Schnittstelle angeschlossen sind ge-0/0/2

  • hat MAC-Adresse .Supplicant 100:50:8b:6f:60:3a

  • hat MAC-Adresse .Supplicant 200:50:8b:6f:60:3b

Port-Firewall-Filter, der auf den RADIUS-Server angewendet werden soll

filter1

Zähler

zählt Pakete von Supplicant 1 und Pakete von Supplicant 2.counter1counter2

Polizist

policer p1

Benutzerprofile auf dem RADIUS-Server

  • Supplicant 1 hat das Benutzerprofil .supplicant1

  • Supplicant 2 hat das Benutzerprofil .supplicant2

In diesem Beispiel konfigurieren Sie einen Port-Firewall-Filter mit dem Namen .filter1 Der Filter enthält Begriffe, die basierend auf den MAC-Adressen der Endgeräte auf die Endgeräte angewendet werden. Wenn Sie den Filter konfigurieren, konfigurieren Sie auch die Zähler und .counter1counter2 Pakete von jedem Endgerät werden gezählt, sodass Sie überprüfen können, ob die Konfiguration funktioniert. Policer begrenzt die Datenverkehrsrate basierend auf den Werten für und Parametern.p1exceedingdiscard Anschließend überprüfen Sie, ob das RADIUS-Serverattribut auf dem RADIUS-Server verfügbar ist, und wenden den Filter auf die Benutzerprofile der einzelnen Endgeräte auf dem RADIUS-Server an. Schließlich überprüfen Sie die Konfiguration, indem Sie die Ausgabe für die beiden Leistungsindikatoren anzeigen.

Konfigurieren des Filters und der Leistungsindikatoren für die Portfirewall

Verfahren

CLI-Schnellkonfiguration

Um schnell einen Port-Firewall-Filter mit Begriffen für Supplicant 1 und Supplicant 2 zu konfigurieren und parallele Zähler für jeden Supplicant zu erstellen, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie einen Port-Firewall-Filter und Zähler auf dem Switch:

  1. Konfigurieren Sie einen Port-Firewall-Filter (hier ) mit Begriffen für jedes Endgerät basierend auf der MAC-Adresse des jeweiligen Endgeräts:filter1

  2. Festlegen der Policer-Definition:

  3. Erstellen Sie zwei Zähler, die Pakete für jedes Endgerät zählen, und einen Policer, der die Datenverkehrsrate begrenzt:

Ergebnisse

Zeigen Sie die Ergebnisse der Konfiguration an:

Anwenden des Portfirewallfilters auf die Supplicant-Benutzerprofile auf dem RADIUS-Server

Verfahren

Schritt-für-Schritt-Anleitung

So überprüfen Sie, ob sich das RADIUS-Serverattribut auf dem RADIUS-Server befindet, und wenden den Filter auf die Benutzerprofile an:Filter-ID

  1. Zeigen Sie das Wörterbuch auf dem RADIUS-Server an, und überprüfen Sie, ob das Attribut im Wörterbuch enthalten ist:dictionary.rfc2865Filter-ID

  2. Schließen Sie die Wörterbuchdatei.

  3. Zeigen Sie die lokalen Benutzerprofile der Endgeräte an, auf die Sie den Filter anwenden möchten (hier heißen die Benutzerprofile und ):supplicant1supplicant2

    Die Ausgabe zeigt:

  4. Wenden Sie den Filter auf beide Benutzerprofile an, indem Sie jedem Profil die Zeile hinzufügen, und schließen Sie dann die Datei:Filter-Id = “filter1”

    Nachdem Sie die Zeile in die Dateien eingefügt haben, sehen die Dateien wie folgt aus:

Überprüfung

Überprüfen, ob der Filter auf die Supplicants angewendet wurde

Zweck

Nachdem die Endgeräte an der Schnittstelle ge-0/0/2 authentifiziert wurden, stellen Sie sicher, dass der Filter auf dem Switch konfiguriert wurde und die Ergebnisse für beide Supplicants enthält:

Was
Bedeutung

Die Ausgabe des Befehls zeigt und an.show dot1x firewallcounter1counter2 Pakete von User_1 werden mit gezählt, und Pakete von Benutzer 2 werden mit gezählt.counter1counter2 Die Ausgabe zeigt Pakete an, die für beide Zähler inkrementiert werden. Der Filter wurde auf beide Endgeräte angewendet.

Beispiel: Anwenden von Firewallfiltern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind

Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.

In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):

Anforderungen

In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:

  • Junos OS Version 9.5 oder höher für Switches der EX-Serie

  • Ein Switch der EX-Serie

  • Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.

Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:

Übersicht und Topologie

Topologie

Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.

Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Benutzer1 durch den Switch der EX-Serie authentifiziert wird, erstellt das System den Firewall-Filter .Abbildung 2dynamic-filter-example Wenn Benutzer2 authentifiziert wird, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.

Abbildung 2: Konzeptionelles Modell: Dynamischer Filter wird für jeden neuen Benutzer aktualisiertKonzeptionelles Modell: Dynamischer Filter wird für jeden neuen Benutzer aktualisiert

Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.

HINWEIS:

Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.

In diesem Beispiel konfigurieren Sie einen Firewallfilter, um die Anforderungen zu zählen, die von jedem Endpunkt gestellt werden, der an der Schnittstelle zum Dateiserver authentifiziert ist, der sich im Subnetz befindet, und legen Policerdefinitionen fest, um die Rate des Datenverkehrs zu begrenzen. zeigt die Netzwerktopologie für dieses Beispiel. ge-0/0/2192.0.2.16/28Abbildung 3

Abbildung 3: Mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung zu einem Dateiserver herstellenMehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung zu einem Dateiserver herstellen

Konfiguration

So konfigurieren Sie Firewall-Filter für mehrere Supplicants auf 802.1X-fähigen Schnittstellen:

Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants

CLI-Schnellkonfiguration

Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:

  1. Konfigurieren Sie die Schnittstelle für die Authentifizierung im Mehrfach-Supplicant-Modus:ge-0/0/2

  2. Festlegen der Policer-Definition:

  3. Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:

Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants

Zweck

Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.

Was
  1. Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird der Benutzer authentifiziert am :ge-0/0/2

  2. Wenn ein zweiter Benutzer, Benutzer2, auf derselben Schnittstelle authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:ge-0/0/2

Bedeutung

Die von der Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird.show dot1x firewall Benutzer1 hat 100 Mal auf den Dateiserver an der angegebenen Zieladresse zugegriffen, während Benutzer2 400 Mal auf denselben Dateiserver zugegriffen hat.

Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung auf Switches der EX-Serie mit ELS-Unterstützung aktiviert sind

HINWEIS:

In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking

Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.

In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

HINWEIS:

Dieses Beispiel gilt auch für QFX5100 Switches.

  • Junos OS Version 13.2 oder höher für Switches der EX-Serie

  • Ein Switch der EX-Serie mit Unterstützung für ELS

  • Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.

Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:

Übersicht und Topologie

Topologie

Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.

Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Benutzer 1 durch den Switch der EX-Serie authentifiziert wird, fügt das System dem Firewallfilter einen Begriff hinzu.Abbildung 4dynamic-filter-example Wenn Benutzer 2 authentifiziert ist, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.

HINWEIS:

Diese Zahl gilt auch für QFX5100 Switches.

Abbildung 4: Konzeptionelles Modell: Dynamischer Filter wird für jeden neuen Benutzer aktualisiertKonzeptionelles Modell: Dynamischer Filter wird für jeden neuen Benutzer aktualisiert

Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.

HINWEIS:

Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.

In diesem Beispiel konfigurieren Sie einen Firewallfilter so, dass die Anforderungen gezählt werden, die von jedem an der Schnittstelle ge-0/0/2 authentifizierten Endpunkt an den Dateiserver gesendet werden, der sich im Subnetz 192.0.2.16/28 befindet, und Policerdefinitionen festlegen, um die Rate des Datenverkehrs zu begrenzen. zeigt die Netzwerktopologie für dieses Beispiel.Abbildung 5

Abbildung 5: Mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung zu einem Dateiserver herstellenMehrere Supplicants auf einer 802.1X-fähigen Schnittstelle, die eine Verbindung zu einem Dateiserver herstellen

Konfiguration

Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants

CLI-Schnellkonfiguration

Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:

Schritt-für-Schritt-Anleitung

So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:

  1. Legen Sie die Policer-Definition fest:

  2. Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:

Ergebnisse

Überprüfen Sie die Ergebnisse der Konfiguration:

Überprüfung

Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants

Zweck

Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.

Was
  1. Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird Benutzer 1 auf ge-0/0/2 authentifiziert:

  2. Wenn ein zweiter Benutzer, Benutzer 2, auf derselben Schnittstelle (ge-0/0/2) authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:

Bedeutung

Die von der Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird.show dot1x firewall Benutzer 1 hat auf den Dateiserver zugegriffen, der sich zu den angegebenen Zieladresszeiten befindet, während Benutzer 2 auf dieselben Dateiserverzeiten zugegriffen hat.100400