Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Ejemplo Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1 X o MAC RADIUS en conmutadores de la serie EX con compatibilidad con ELS

 
Nota

En este ejemplo se utiliza Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador ejecuta software que no admite ELS, consulte Example: Applying Firewall Filters to Multiple Supplicants on Interfaces Enabled for 802.1X or MAC RADIUS Authentication802.1 x o Mac RADIUS. Para obtener detalles de ELS, consulte Using the Enhanced Layer 2 Software CLI.

En los conmutadores de la serie EX, los filtros de cortafuegos que se aplican a interfaces habilitadas para 802.1 X o MAC RADIUS autenticación se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador utiliza la lógica interna para combinar dinámicamente el filtro de Firewall de interfaz con las directivas de usuario del servidor de RADIUS y crear una directiva individualizada para cada uno de los varios usuarios o hosts que no responden que se autentican en la interfaz.

Este ejemplo describe cómo se crean filtros de Firewall dinámicos para varios suplicantes en una interfaz habilitada para la X 802.1 (los mismos principios que se muestran en este ejemplo se aplican a interfaces habilitadas para MAC RADIUS la autenticación):

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 13,2 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX con compatibilidad para ELS

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de Firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de que tiene:

Descripción general y topología

Cuando la configuración de 802.1 X de una interfaz está establecida en modo suplicante múltiple, el sistema combina dinámicamente el filtro Firewall de interfaz con las directivas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, utilice contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica a un usuario nuevo (o a un host que no responde) en una interfaz, el sistema agrega un término al filtro de Firewall asociado con la interfaz, y el término (Directiva) de cada usuario se asocia al dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y en los filtros configurados en la interfaz. Por ejemplo, como se muestra Figura 1en la, cuando el conmutador de la serie ex autentica al usuario 1, el sistema añade un término al filtro de cortafuegos ejemplo de filtro dinámico. Cuando el usuario 2 está autenticado, se agrega otro término al filtro del firewall, etc.

Nota

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 1: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuario
Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Se trata de un modelo conceptual del proceso—interno al que no puede tener acceso ni ver el filtro dinámico.

Nota

Si el filtro de cortafuegos de la interfaz se modifica después de autenticar al usuario (o host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se reautentique al usuario.

En este ejemplo, puede configurar un filtro de Firewall para contar las peticiones realizadas por cada extremo autenticado en la interfaz GE-0/0/2 para el servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establecer definiciones de policía para limitar el tráfico. Figura 2 muestra la topología de red de este ejemplo.

Figura 2: Varios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivos
Varios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivos

Automática

Configuración de filtros del servidor de seguridad en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros del cortafuegos para varios suplicantes en una interfaz habilitada con X 802.1 copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m

set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1

Procedimiento detallado

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Definir la definición de la policía:
    user@switch# show policer p1 |display set

    set firewall policer p1 if-exceeding bandwidth-limit 1m

    set firewall policer p1 if-exceeding burst-size-limit 1500

    set firewall policer p1 then discard
  2. Configure un filtro de Firewall para contar paquetes de cada usuario y una policía que limite la velocidad de tráfico. Dado que cada nuevo usuario se autentica en la interfaz de suplicante múltiple, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
    [edit firewall family ethernet-switching]

    user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28

    user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1

    user@switch# set filter filter1 term term2 then policer p1

Resultados

Compruebe los resultados de la configuración:

Comproba

Comprobación de filtros de firewall en interfaces con varios suplicantes

Finalidad

Compruebe que los filtros del firewall funcionan en la interfaz con varios suplicantes.

Acción

  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en GE-0/0/2:
    user@switch> show dot1x firewall

  2. Cuando un segundo usuario, el usuario 2, está autenticado en la misma interfaz, GE-0/0/2, puede comprobar que el filtro incluye los resultados de ambos usuarios autenticados en la interfaz:
    user@switch> show dot1x firewall

Significado

Los resultados mostrados por show dot1x firewall los resultados del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario 1 tuvo acceso al servidor de archivos que se encuentra en 100 las horas de destino especificadas, mientras que el usuario 400 2 tuvo acceso a las mismas horas del servidor de archivos.