Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur des interfaces activées pour l’authentification 802.1X ou MAC RADIUS
Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur par le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu de l’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chaque utilisateur ou hôte non réactif authentifié sur l’interface.
Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes que ceux indiqués dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.5 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant d’appliquer des filtres de pare-feu à une interface pour une utilisation avec plusieurs demandeurs, assurez-vous d’avoir :
Établissez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Configurez l’authentification 802.1X sur le commutateur, avec le mode d’authentification de l’interface ge-0/0/2 défini sur multiple. Reportez-vous à la section Configuration des paramètres de l’interface 802.1X (procédure CLI) et exemple : Configuration du protocole 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Topologie
Lorsque la configuration 802.1X d’une interface est définie sur le mode de demande multiple, le système combine dynamiquement le filtre du pare-feu de l’interface avec les stratégies utilisateur envoyées au commutateur par le serveur RADIUS lors de l’authentification et crée des conditions distinctes pour chaque utilisateur. Étant donné qu’il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels authentifiés sur la même interface.
Lorsqu’un nouvel utilisateur (ou un hôte qui ne répond pas) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme utilisé pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur définis sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré à Figure 1la , lorsque User1 est authentifié par le commutateur EX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque User2 est authentifié, un autre terme est ajouté au filtre du pare-feu, et ainsi de suite.
Il s’agit d’un modèle conceptuel du processus interne : vous ne pouvez pas accéder au filtre dynamique ni l’afficher.
Si le filtre de pare-feu sur l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte qui ne répond pas), les modifications ne sont pas répercutées dans le filtre dynamique, sauf si l’utilisateur est réauthentifié.
Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes effectuées par chaque point de terminaison authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, qui se trouve sur le sous-réseau 192.0.2.16/28, et définissez les définitions de mécanismes de contrôle pour limiter le débit du trafic. Affiche la topologie du réseau dans cet exemple. Figure 2
Configuration
Pour configurer des filtres de pare-feu pour plusieurs demandeurs sur les interfaces compatibles 802.1X :
Configuration des filtres de pare-feu sur des interfaces comportant plusieurs demandeurs
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement des filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procédure étape par étape
Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :
Configurez l’interface pour l’authentification ge-0/0/2 en mode demandeur multiple :
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Définir la définition du mécanisme de contrôle :
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un mécanisme de contrôle pour limiter le taux de trafic. Étant donné que chaque nouvel utilisateur est authentifié sur l’interface de demande multiple, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification des filtres de pare-feu sur les interfaces comportant plusieurs demandeurs
But
Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.
Action
Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Lorsqu’un deuxième utilisateur, Utilisateur2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Sens
Les résultats affichés par la sortie de la show dot1x firewall commande reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé 100 fois au serveur de fichiers situé à l’adresse de destination spécifiée, tandis que l’utilisateur 2 a accédé au même serveur de fichiers 400 fois.