Auf dieser Seite
Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind
Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Weitere Informationen finden Sie in diesem Thema.
Beispiel: Anwenden eines Firewall-Filters auf 802.1X-authentifizierte Supplicants mithilfe von RADIUS-Serverattributen auf einem Switch der EX-Serie
Sie können RADIUS-Serverattribute und einen Port-Firewall-Filter verwenden, um Begriffe zentral auf mehrere Supplicants (Endgeräte) anzuwenden, die mit einem Switch der EX-Serie in Ihrem Unternehmen verbunden sind. Die Bedingungen werden angewendet, nachdem ein Gerät erfolgreich über 802.1X authentifiziert wurde. Wenn die Konfiguration des Firewall-Filters geändert wird, nachdem Endgeräte mit der 802.1X-Authentifizierung authentifiziert wurden, muss die eingerichtete 802.1X-Authentifizierungssitzung beendet und neu eingerichtet werden, damit die Änderungen am Firewall-Filter wirksam werden.
Switches der EX-Serie unterstützen Port-Firewall-Filter. Port-Firewall-Filter werden auf einem einzelnen Switch der EX-Serie konfiguriert, aber damit sie im gesamten Unternehmen funktionieren, müssen sie auf mehreren Switches konfiguriert werden. Um die Notwendigkeit zu verringern, denselben Port-Firewall-Filter auf mehreren Switches zu konfigurieren, können Sie den Filter stattdessen mithilfe von RADIUS-Serverattributen zentral auf dem RADIUS-Server anwenden.
Im folgenden Beispiel wird FreeRADIUS verwendet, um einen Portfirewallfilter auf einen RADIUS-Server anzuwenden. Informationen zum Konfigurieren des Servers finden Sie in der Dokumentation zum Lieferumfang des RADIUS-Servers.
In diesem Beispiel wird beschrieben, wie Sie einen Portfirewallfilter mit Begriffen konfigurieren, Leistungsindikatoren erstellen, um Pakete für die Supplicants zu zählen, den Filter auf Benutzerprofile auf dem RADIUS-Server anwenden und die Leistungsindikatoren anzeigen, um die Konfiguration zu überprüfen:
- Anforderungen
- Übersicht und Topologie
- Konfigurieren des Filters und der Leistungsindikatoren für die Portfirewall
- Anwenden des Portfirewallfilters auf die Supplicant-Benutzerprofile auf dem RADIUS-Server
- Überprüfung
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 9.3 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie, der als Authentifikator-Port-Access-Entität (PAE) fungiert. Die Ports der Authentifikator-PAE bilden ein Kontrollgate, das den gesamten Datenverkehr zu und von Supplicants blockiert, bis sie authentifiziert sind.
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie den Server mit dem Switch verbinden, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Konfigurierte 802.1X-Authentifizierung auf dem Switch, wobei der Supplicant-Modus für die Schnittstelle ge-0/0/2 auf festgelegt ist .multiple Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel:Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switch der EX-Serie.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver (in diesem Beispiel werden die Benutzerprofile für Supplicant 1 und Supplicant 2 in der Topologie auf dem RADIUS-Server geändert).
Übersicht und Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Supplicant-Modus eingestellt ist, können Sie einen Firewall-Filter mit einem einzelnen Port, der über die Junos OS CLI auf dem Switch der EX-Serie konfiguriert wurde, auf eine beliebige Anzahl von Endgeräten (Supplicants) anwenden, indem Sie den Filter zentral zum RADIUS-Server hinzufügen.multiple Es kann nur ein einzelner Filter auf eine Schnittstelle angewendet werden. Der Filter kann jedoch mehrere Begriffe für unterschiedliche Endgeräte enthalten.
Weitere Informationen zu Firewall-Filtern finden Sie unter Übersicht über Firewall-Filter für Switches der EX-Serie oder Übersichtüber Firewall-Filter (QFX-Serie).Firewall Filters for EX Series Switches OverviewOverview of Firewall Filters (QFX Series)
RADIUS-Serverattribute werden auf den Port angewendet, mit dem das Endgerät verbunden ist, nachdem das Gerät erfolgreich mit 802.1X authentifiziert wurde. Zur Authentifizierung eines Endgeräts leitet der Switch die Zugangsdaten des Endgeräts an den RADIUS-Server weiter. Der RADIUS-Server gleicht die Anmeldeinformationen mit den vorkonfigurierten Informationen über den Supplicant ab, die sich im Benutzerprofil des Supplicants auf dem RADIUS-Server befinden. Wird eine Übereinstimmung gefunden, weist der RADIUS-Server den Switch an, eine Schnittstelle zum Endgerät zu öffnen. Der Datenverkehr fließt dann vom und zum Endgerät im LAN. Weitere Anweisungen, die im Port-Firewall-Filter konfiguriert und über ein RADIUS-Server-Attribut zum Benutzerprofil des Endgeräts hinzugefügt werden, definieren den Zugriff, der dem Endgerät gewährt wird. Filterbegriffe, die im Port-Firewall-Filter konfiguriert sind, werden nach Abschluss der 802.1X-Authentifizierung auf den Port angewendet, mit dem das Endgerät verbunden ist.
Wenn Sie den Port-Firewall-Filter ändern, nachdem ein Endgerät erfolgreich mit 802.1X authentifiziert wurde, müssen Sie die 802.1X-Authentifizierungssitzung beenden und neu einrichten, damit die Änderungen an der Konfiguration des Firewall-Filters wirksam werden.
Topologie
Abbildung 1 Zeigt die Topologie, die für dieses Beispiel verwendet wird. Der RADIUS-Server ist mit einem EX4200-Switch am Zugriffsport ge-0/0/10 verbunden. Zwei Endgeräte (Supplicants) greifen auf das LAN an der Schnittstelle ge-0/0/2 zu. Supplicant 1 hat die MAC-Adresse 00:50:8b:6f:60:3a. Supplicant 2 hat die MAC-Adresse 00:50:8b:6f:60:3b.
Diese Zahl gilt auch für QFX5100 Switches.
Tabelle 1 Beschreibt die Komponenten in dieser Topologie.
Eigenschaft | Einstellungen |
---|---|
Switch-Hardware |
Zugangs-Switch EX4200, 24 Gigabit-Ethernet-Ports: 16 Nicht-PoE-Ports und 8 PoE-Ports. |
Ein RADIUS-Server |
Backend-Datenbank mit der Adresse , die mit dem Switch am Port verbunden ist.10.0.0.100ge-0/0/10 |
802.1X-Supplicants, die an die Switch-on-Schnittstelle angeschlossen sind ge-0/0/2 |
|
Port-Firewall-Filter, der auf den RADIUS-Server angewendet werden soll |
filter1 |
Zähler |
zählt Pakete von Supplicant 1 und Pakete von Supplicant 2.counter1counter2 |
Polizist |
policer p1 |
Benutzerprofile auf dem RADIUS-Server |
|
In diesem Beispiel konfigurieren Sie einen Port-Firewall-Filter mit dem Namen .filter1 Der Filter enthält Begriffe, die basierend auf den MAC-Adressen der Endgeräte auf die Endgeräte angewendet werden. Wenn Sie den Filter konfigurieren, konfigurieren Sie auch die Zähler und .counter1counter2 Pakete von jedem Endgerät werden gezählt, sodass Sie überprüfen können, ob die Konfiguration funktioniert. Policer begrenzt die Datenverkehrsrate basierend auf den Werten für und Parametern.p1exceedingdiscard Anschließend überprüfen Sie, ob das RADIUS-Serverattribut auf dem RADIUS-Server verfügbar ist, und wenden den Filter auf die Benutzerprofile der einzelnen Endgeräte auf dem RADIUS-Server an. Schließlich überprüfen Sie die Konfiguration, indem Sie die Ausgabe für die beiden Leistungsindikatoren anzeigen.
Konfigurieren des Filters und der Leistungsindikatoren für die Portfirewall
Verfahren
CLI-Schnellkonfiguration
Um schnell einen Port-Firewall-Filter mit Begriffen für Supplicant 1 und Supplicant 2 zu konfigurieren und parallele Zähler für jeden Supplicant zu erstellen, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Schritt-für-Schritt-Anleitung
So konfigurieren Sie einen Port-Firewall-Filter und Zähler auf dem Switch:
Konfigurieren Sie einen Port-Firewall-Filter (hier ) mit Begriffen für jedes Endgerät basierend auf der MAC-Adresse des jeweiligen Endgeräts:filter1
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Festlegen der Policer-Definition:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Erstellen Sie zwei Zähler, die Pakete für jedes Endgerät zählen, und einen Policer, der die Datenverkehrsrate begrenzt:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Ergebnisse
Zeigen Sie die Ergebnisse der Konfiguration an:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term supplicant1 { from { source-mac-address { 00:50:8b:6f:60:3a; } } then count counter1; then policer p1; } term supplicant2 { from { source-mac-address { 00:50:8b:6f:60:3b; } } then count counter2; } } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1k; } then discard; }
Anwenden des Portfirewallfilters auf die Supplicant-Benutzerprofile auf dem RADIUS-Server
Verfahren
Schritt-für-Schritt-Anleitung
So überprüfen Sie, ob sich das RADIUS-Serverattribut auf dem RADIUS-Server befindet, und wenden den Filter auf die Benutzerprofile an:Filter-ID
Zeigen Sie das Wörterbuch auf dem RADIUS-Server an, und überprüfen Sie, ob das Attribut im Wörterbuch enthalten ist:dictionary.rfc2865Filter-ID
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Schließen Sie die Wörterbuchdatei.
Zeigen Sie die lokalen Benutzerprofile der Endgeräte an, auf die Sie den Filter anwenden möchten (hier heißen die Benutzerprofile und ):supplicant1supplicant2
[root@freeradius]# cat /usr/local/etc/raddb/users
Die Ausgabe zeigt:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"
Wenden Sie den Filter auf beide Benutzerprofile an, indem Sie jedem Profil die Zeile hinzufügen, und schließen Sie dann die Datei:Filter-Id = “filter1”
[root@freeradius]# cat /usr/local/etc/raddb/users
Nachdem Sie die Zeile in die Dateien eingefügt haben, sehen die Dateien wie folgt aus:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Überprüfung
Überprüfen, ob der Filter auf die Supplicants angewendet wurde
Zweck
Nachdem die Endgeräte an der Schnittstelle ge-0/0/2 authentifiziert wurden, stellen Sie sicher, dass der Filter auf dem Switch konfiguriert wurde und die Ergebnisse für beide Supplicants enthält:
Was
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Bedeutung
Die Ausgabe des Befehls zeigt und an.show dot1x firewall
counter1counter2 Pakete von User_1 werden mit gezählt, und Pakete von Benutzer 2 werden mit gezählt.counter1counter2 Die Ausgabe zeigt Pakete an, die für beide Zähler inkrementiert werden. Der Filter wurde auf beide Endgeräte angewendet.
Beispiel: Anwenden von Firewallfiltern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind
Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.
In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Junos OS Version 9.5 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
Konfigurierte 802.1X-Authentifizierung auf dem Switch, wobei der Authentifizierungsmodus für die Schnittstelle auf festgelegt ist .ge-0/0/2multiple Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel:https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-authentication-switching-devices.html Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switch der EX-Serie.
Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.
Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Benutzer1 durch den Switch der EX-Serie authentifiziert wird, erstellt das System den Firewall-Filter .Abbildung 2dynamic-filter-example Wenn Benutzer2 authentifiziert wird, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.
Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.
Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.
In diesem Beispiel konfigurieren Sie einen Firewallfilter, um die Anforderungen zu zählen, die von jedem Endpunkt gestellt werden, der an der Schnittstelle zum Dateiserver authentifiziert ist, der sich im Subnetz befindet, und legen Policerdefinitionen fest, um die Rate des Datenverkehrs zu begrenzen. zeigt die Netzwerktopologie für dieses Beispiel. ge-0/0/2192.0.2.16/28Abbildung 3
Konfiguration
So konfigurieren Sie Firewall-Filter für mehrere Supplicants auf 802.1X-fähigen Schnittstellen:
Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants
CLI-Schnellkonfiguration
Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:
Konfigurieren Sie die Schnittstelle für die Authentifizierung im Mehrfach-Supplicant-Modus:ge-0/0/2
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Festlegen der Policer-Definition:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Überprüfung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants
Zweck
Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.
Was
Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird der Benutzer authentifiziert am :ge-0/0/2
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Wenn ein zweiter Benutzer, Benutzer2, auf derselben Schnittstelle authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:ge-0/0/2
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Bedeutung
Die von der Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird.show dot1x firewall
Benutzer1 hat 100 Mal auf den Dateiserver an der angegebenen Zieladresse zugegriffen, während Benutzer2 400 Mal auf denselben Dateiserver zugegriffen hat.
Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung auf Switches der EX-Serie mit ELS-Unterstützung aktiviert sind
In diesem Beispiel wird Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) verwendet. Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Anwenden von Firewall-Filtern auf mehrere Supplicants auf Schnittstellen, die für 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.Layer 2 Networking
Auf Switches der EX-Serie werden Firewall-Filter, die Sie auf Schnittstellen anwenden, die für die 802.1X- oder MAC RADIUS-Authentifizierung aktiviert sind, dynamisch mit den benutzerspezifischen Richtlinien kombiniert, die vom RADIUS-Server an den Switch gesendet werden. Der Switch verwendet interne Logik, um den Schnittstellen-Firewall-Filter dynamisch mit den Benutzerrichtlinien des RADIUS-Servers zu kombinieren und eine individualisierte Richtlinie für jeden der mehreren Benutzer oder nicht reagierenden Hosts zu erstellen, die auf der Schnittstelle authentifiziert werden.
In diesem Beispiel wird beschrieben, wie dynamische Firewallfilter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle erstellt werden (die gleichen Prinzipien, die in diesem Beispiel gezeigt werden, gelten für Schnittstellen, die für die MAC RADIUS-Authentifizierung aktiviert sind):
Anforderungen
In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:
Dieses Beispiel gilt auch für QFX5100 Switches.
Junos OS Version 13.2 oder höher für Switches der EX-Serie
Ein Switch der EX-Serie mit Unterstützung für ELS
Ein RADIUS-Authentifizierungsserver. Der Authentifizierungsserver fungiert als Backend-Datenbank und enthält Anmeldeinformationen für Hosts (Supplicants), die über die Berechtigung zum Herstellen einer Verbindung mit dem Netzwerk verfügen.
Bevor Sie Firewallfilter auf eine Schnittstelle anwenden, die mit mehreren Supplicants verwendet werden soll, stellen Sie sicher, dass Sie über Folgendes verfügen:
Richten Sie eine Verbindung zwischen dem Switch und dem RADIUS-Server ein. Siehe Beispiel: Verbinden eines RADIUS-Servers für 802.1X mit einem Switch der EX-Serie.
802.1X-Authentifizierung auf dem Switch konfiguriert, wobei der Authentifizierungsmodus für die Schnittstelle ge-0/0/2 auf festgelegt ist .
multiple
Weitere Informationen finden Sie unter Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) und Beispiel:Konfigurieren der 802.1X-Schnittstelleneinstellungen (CLI-Verfahren) Einrichten von 802.1X für Single-Supplicant- oder Multiple-Supplicant-Konfigurationen auf einem Switch der EX-Serie.Konfigurierte Benutzer auf dem RADIUS-Authentifizierungsserver.
Übersicht und Topologie
Topologie
Wenn die 802.1X-Konfiguration auf einer Schnittstelle auf den Mehrfach-Supplicant-Modus eingestellt ist, kombiniert das System dynamisch den Schnittstellen-Firewall-Filter mit den Benutzerrichtlinien, die während der Authentifizierung vom RADIUS-Server an den Switch gesendet werden, und erstellt separate Bedingungen für jeden Benutzer. Da es für jeden auf der Schnittstelle authentifizierten Benutzer separate Begriffe gibt, können Sie, wie in diesem Beispiel gezeigt, Leistungsindikatoren verwenden, um die Aktivitäten einzelner Benutzer anzuzeigen, die auf derselben Schnittstelle authentifiziert sind.
Wenn ein neuer Benutzer (oder ein nicht reagierender Host) auf einer Schnittstelle authentifiziert wird, fügt das System dem Firewallfilter, der der Schnittstelle zugeordnet ist, einen Begriff hinzu, und der Begriff (Richtlinie) für jeden Benutzer wird mit der MAC-Adresse des Benutzers verknüpft. Der Begriff für jeden Benutzer basiert auf den benutzerspezifischen Filtern, die auf dem RADIUS-Server festgelegt sind, und den auf der Schnittstelle konfigurierten Filtern. Beispiel: Wenn Benutzer 1 durch den Switch der EX-Serie authentifiziert wird, fügt das System dem Firewallfilter einen Begriff hinzu.Abbildung 4dynamic-filter-example Wenn Benutzer 2 authentifiziert ist, wird dem Firewallfilter ein weiterer Begriff hinzugefügt usw.
Diese Zahl gilt auch für QFX5100 Switches.
Hierbei handelt es sich um ein konzeptionelles Modell des internen Prozesses, d. h. Sie können nicht auf den dynamischen Filter zugreifen oder ihn anzeigen.
Wenn der Firewallfilter auf der Schnittstelle geändert wird, nachdem der Benutzer (oder nicht reagierende Host) authentifiziert wurde, werden die Änderungen nicht im dynamischen Filter widergespiegelt, es sei denn, der Benutzer wird erneut authentifiziert.
In diesem Beispiel konfigurieren Sie einen Firewallfilter so, dass die Anforderungen gezählt werden, die von jedem an der Schnittstelle ge-0/0/2 authentifizierten Endpunkt an den Dateiserver gesendet werden, der sich im Subnetz 192.0.2.16/28 befindet, und Policerdefinitionen festlegen, um die Rate des Datenverkehrs zu begrenzen. zeigt die Netzwerktopologie für dieses Beispiel.Abbildung 5
Konfiguration
Konfigurieren von Firewallfiltern auf Schnittstellen mit mehreren Supplicants
CLI-Schnellkonfiguration
Um schnell Firewall-Filter für mehrere Supplicants auf einer 802.1X-fähigen Schnittstelle zu konfigurieren, kopieren Sie die folgenden Befehle und fügen Sie sie in das Switch-Terminalfenster ein:
[edit] set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
Schritt-für-Schritt-Anleitung
So konfigurieren Sie Firewall-Filter auf einer Schnittstelle, die für mehrere Supplicants aktiviert ist:
Legen Sie die Policer-Definition fest:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Konfigurieren Sie einen Firewall-Filter, um Pakete von jedem Benutzer zu zählen, und einen Policer, der die Datenverkehrsrate begrenzt. Da jeder neue Benutzer auf der Schnittstelle mit mehreren Supplicants authentifiziert wird, wird dieser Filterbegriff in den dynamisch erstellten Begriff für den Benutzer aufgenommen:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term term1 { from { ip-destination-address { 192.0.2.16/28; } } then count counter1; term term2 { from { ip-destination-address { 192.0.2.16/28; } } then policer p1; } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1500; } then discard; } } protocols { dot1x { authenticator interface ge-0/0/2 { supplicant multiple; } } }
Überprüfung
Überprüfen von Firewall-Filtern auf Schnittstellen mit mehreren Supplicants
Zweck
Stellen Sie sicher, dass Firewallfilter auf der Schnittstelle mit mehreren Supplicants funktionieren.
Was
Überprüfen Sie die Ergebnisse mit einem Benutzer, der sich auf der Benutzeroberfläche authentifiziert hat. In diesem Fall wird Benutzer 1 auf ge-0/0/2 authentifiziert:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Wenn ein zweiter Benutzer, Benutzer 2, auf derselben Schnittstelle (ge-0/0/2) authentifiziert wird, können Sie überprüfen, ob der Filter die Ergebnisse für beide Benutzer enthält, die auf der Schnittstelle authentifiziert wurden:
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Bedeutung
Die von der Befehlsausgabe angezeigten Ergebnisse spiegeln den dynamischen Filter wider, der bei der Authentifizierung jedes neuen Benutzers erstellt wird.show dot1x firewall
Benutzer 1 hat auf den Dateiserver zugegriffen, der sich zu den angegebenen Zieladresszeiten befindet, während Benutzer 2 auf dieselben Dateiserverzeiten zugegriffen hat.100
400