Ejemplo Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1 X o MAC RADIUS en conmutadores de la serie EX con compatibilidad con ELS
En este ejemplo se utiliza Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador ejecuta software que no admite ELS, consulte Example: Applying Firewall Filters to Multiple Supplicants on Interfaces Enabled for 802.1X or MAC RADIUS Authentication802.1 x o Mac RADIUS. Para obtener detalles de ELS, consulte Using the Enhanced Layer 2 Software CLI.
En los conmutadores de la serie EX, los filtros de cortafuegos que se aplican a interfaces habilitadas para 802.1 X o MAC RADIUS autenticación se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador utiliza la lógica interna para combinar dinámicamente el filtro de Firewall de interfaz con las directivas de usuario del servidor de RADIUS y crear una directiva individualizada para cada uno de los varios usuarios o hosts que no responden que se autentican en la interfaz.
Este ejemplo describe cómo se crean filtros de Firewall dinámicos para varios suplicantes en una interfaz habilitada para la X 802.1 (los mismos principios que se muestran en este ejemplo se aplican a interfaces habilitadas para MAC RADIUS la autenticación):
Aplicables
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a conmutadores QFX5100.
Junos OS versión 13,2 o posterior para conmutadores de la serie EX
Un conmutador de la serie EX con compatibilidad para ELS
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de Firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de que tiene:
Configure una conexión entre el conmutador y el servidor RADIUS. Consulte ejemplo:Example: Connecting a RADIUS Server for 802.1X to an EX Series Switchde serie ex.
Autenticación de 802.1 X configurada en el conmutador, con el modo de autenticación de la interfaz GE-0/0 multiple/2 establecido en. Consulte Configuración de la Configuring 802.1X Interface Settings (CLI Procedure) de la Example: Setting Up 802.1X for Single-Supplicant or Multiple-Supplicant Configurations on an EX Series Switchconmutador de la serie ex.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Cuando la configuración de 802.1 X de una interfaz está establecida en modo suplicante múltiple, el sistema combina dinámicamente el filtro Firewall de interfaz con las directivas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, utilice contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando se autentica a un usuario nuevo (o a un host que no responde) en una interfaz, el sistema agrega un término al filtro de Firewall asociado con la interfaz, y el término (Directiva) de cada usuario se asocia al dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y en los filtros configurados en la interfaz. Por ejemplo, como se muestra Figura 1en la, cuando el conmutador de la serie ex autentica al usuario 1, el sistema añade un término al filtro de cortafuegos ejemplo de filtro dinámico. Cuando el usuario 2 está autenticado, se agrega otro término al filtro del firewall, etc.
Esta cifra también se aplica a los conmutadores QFX5100.
Se trata de un modelo conceptual del proceso—interno al que no puede tener acceso ni ver el filtro dinámico.
Si el filtro de cortafuegos de la interfaz se modifica después de autenticar al usuario (o host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se reautentique al usuario.
En este ejemplo, puede configurar un filtro de Firewall para contar las peticiones realizadas por cada extremo autenticado en la interfaz GE-0/0/2 para el servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establecer definiciones de policía para limitar el tráfico. Figura 2 muestra la topología de red de este ejemplo.
Automática
Configuración de filtros del servidor de seguridad en interfaces con varios suplicantes
Configuración rápida de CLI
Para configurar rápidamente filtros del cortafuegos para varios suplicantes en una interfaz habilitada con X 802.1 copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:
[edit] set firewall family
ethernet-switching filter filter1 term term1 from ip-destination-address
192.0.2.16/28 set firewall family
ethernet-switching filter filter1 term term2 from ip-destination-address
192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit
1m
set firewall policer p1 if-exceeding burst-size-limit
1500set firewall policer p1 then discard set firewall family
ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter
filter1 term term2 then policer p1Procedimiento detallado
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
- Definir la definición de la policía:
user@switch# show policer p1 |display set
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard - Configure un filtro de Firewall para contar paquetes de cada usuario y una policía que limite la velocidad de tráfico. Dado que cada nuevo usuario se autentica en la interfaz de suplicante múltiple, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family ethernet-switching]
user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28
user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1
user@switch# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
Comproba
Comprobación de filtros de firewall en interfaces con varios suplicantes
Finalidad
Compruebe que los filtros del firewall funcionan en la interfaz con varios suplicantes.
Acción
- Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en GE-0/0/2:
user@switch> show dot1x firewallFilter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
- Cuando un segundo usuario, el usuario 2, está autenticado en la misma interfaz, GE-0/0/2, puede comprobar que el filtro incluye los resultados de ambos usuarios autenticados en la interfaz:
user@switch> show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por show dot1x firewall los resultados del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario 1 tuvo acceso al servidor de archivos que se encuentra en 100 las horas de destino especificadas, mientras que el usuario 400 2 tuvo acceso a las mismas horas del servidor de archivos.