Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS sur les routeurs MX Series

À partir de Junos OS version 14.2, sur les routeurs MX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur par le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu de l’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chaque utilisateur ou hôte non réactif authentifié sur l’interface.

Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes que ceux indiqués dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 14.2 ou ultérieure pour les routeurs MX Series

  • Un routeur MX Series

  • Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.

Avant d’appliquer des filtres de pare-feu à une interface pour une utilisation avec plusieurs demandeurs, assurez-vous d’avoir :

  • Établissez une connexion entre le routeur et le serveur RADIUS.

  • Configurez l’authentification 802.1X sur le routeur, avec le mode d’authentification de l’interface ge-0/0/2 défini sur multiple.

  • Utilisateurs configurés sur le serveur d’authentification RADIUS.

Vue d’ensemble et topologie

Topologie

Lorsque la configuration 802.1X d’une interface est définie sur le mode de demande multiple, le système combine dynamiquement le filtre du pare-feu de l’interface avec les stratégies utilisateur envoyées au routeur par le serveur RADIUS lors de l’authentification et crée des conditions distinctes pour chaque utilisateur. Étant donné qu’il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels authentifiés sur la même interface.

Lorsqu’un nouvel utilisateur (ou un hôte qui ne répond pas) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme utilisé pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur définis sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré à Figure 1la , lorsque User1 est authentifié par le routeur MX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque User2 est authentifié, un autre terme est ajouté au filtre du pare-feu, et ainsi de suite.

Figure 1 : Modèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateurModèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateur

Il s’agit d’un modèle conceptuel du processus interne : vous ne pouvez pas accéder au filtre dynamique ni l’afficher.

REMARQUE :

Si le filtre de pare-feu sur l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte qui ne répond pas), les modifications ne sont pas répercutées dans le filtre dynamique, sauf si l’utilisateur est réauthentifié.

Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes effectuées par chaque point de terminaison authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, qui se trouve sur le sous-réseau 192.0.2.16/28, et définissez les définitions de mécanismes de contrôle pour limiter le débit du trafic. Affiche la topologie du réseau dans cet exemple. Figure 2

Figure 2 : Plusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiersPlusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiers

Configuration

Pour configurer des filtres de pare-feu pour plusieurs demandeurs sur les interfaces compatibles 802.1X :

Configuration des filtres de pare-feu sur des interfaces comportant plusieurs demandeurs

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement des filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du routeur :

Procédure étape par étape

Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :

  1. Configurez l’interface pour l’authentification ge-0/0/2 en mode demandeur multiple :

  2. Définir la définition du mécanisme de contrôle :

  3. Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un mécanisme de contrôle pour limiter le taux de trafic. Étant donné que chaque nouvel utilisateur est authentifié sur l’interface de demande multiple, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :

Vérification des filtres de pare-feu sur les interfaces comportant plusieurs demandeurs

But

Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.

Action

  1. Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:

  2. Lorsqu’un deuxième utilisateur, Utilisateur2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :

Sens

Les résultats affichés par la sortie de la show dot1x firewall commande reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé 100 fois au serveur de fichiers situé à l’adresse de destination spécifiée, tandis que l’utilisateur 2 a accédé au même serveur de fichiers 400 fois.

Tableau de l'historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l' Feature Explorer pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Version
Description
14.2
À partir de Junos OS version 14.2, sur les routeurs MX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur par le serveur RADIUS.