Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS sur les routeurs MX Series

À partir de Junos OS version 14.2, sur les routeurs MX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur à partir du serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chacun des utilisateurs multiples ou des hôtes non-répondants qui sont authentifiés sur l’interface.

Cet exemple décrit la façon dont les filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface 802.1X (les mêmes principes que ceux présentés dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 14.2 ou ultérieure pour les routeurs MX Series

  • Un routeur MX Series

  • Un serveur d’authentification RADIUS. Le serveur d’authentification agit comme la base de données backend et contient des informations d’authentification pour les hôtes (demandeurs) autorisés à se connecter au réseau.

Avant d’appliquer des filtres de pare-feu à une interface destinée à être utilisée avec plusieurs demandeurs, assurez-vous de :

  • Configurez une connexion entre le routeur et le serveur RADIUS.

  • Authentification 802.1X configurée sur le routeur, avec le mode d’authentification défini multiplesur ge-0/0/2 .

  • Utilisateurs configurés sur le serveur d’authentification RADIUS.

Présentation et topologie

Topologie

Lorsque la configuration 802.1X d’une interface est définie sur plusieurs modes de demande d’autorisation, le système combine dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur envoyées au routeur à partir du serveur RADIUS pendant l’authentification et crée des conditions distinctes pour chaque utilisateur. Chaque utilisateur authentifié sur l’interface étant donné qu’il existe des conditions distinctes, vous pouvez, comme le montre cet exemple, utiliser des compteurs pour afficher les activités de chaque utilisateur authentifié sur la même interface.

Lorsqu’un nouvel utilisateur (ou un hôte non-responsable) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur définis sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré dans Figure 1, lorsque l’utilisateur1 est authentifié par le routeur MX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur 2 est authentifié, un autre terme est ajouté au filtre de pare-feu, etc.

Figure 1 : Modèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateurModèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateur

Il s’agit d’un modèle conceptuel du processus interne : vous ne pouvez pas accéder au filtre dynamique ni le consulter.

Remarque :

Si le filtre de pare-feu de l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte non responsable), les modifications ne sont pas reflétés dans le filtre dynamique, sauf si l’utilisateur est réautorisé.

Dans cet exemple, vous configurez un filtre de pare-feu pour compter les requêtes faites par chaque point final authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, situé sur le sous-réseau 192.0.2.16/28, et définissez des définitions de mécanismes de contrôle pour limiter le trafic. Figure 2 indique la topologie du réseau dans cet exemple.

Figure 2 : Plusieurs demandeurs sur une interface 802.1X se connectant à un serveur de fichiersPlusieurs demandeurs sur une interface 802.1X se connectant à un serveur de fichiers

Configuration

Pour configurer les filtres de pare-feu pour plusieurs demandeurs sur les interfaces compatibles 802.1X :

Configuration des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

Configuration rapide CLI

Pour configurer rapidement les filtres de pare-feu pour plusieurs demandeurs sur une interface 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du routeur :

Procédure étape par étape

Pour configurer les filtres de pare-feu sur une interface activée pour plusieurs demandeurs :

  1. Configurer l’interface ge-0/0/2 pour l’authentification en mode plusieurs demandeurs :

  2. Définition du mécanismes de contrôle :

  3. Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un mécanismes de contrôle qui limitent le débit de trafic. Chaque nouvel utilisateur étant authentifié sur l’interface de plusieurs demandeurs, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

But

Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.

Action

  1. Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:

  2. Lorsqu’un deuxième utilisateur, Utilisateur2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :

Sens

Les résultats affichés par la show dot1x firewall sortie de commande reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur1 accédait 100 fois au serveur de fichiers situé à l’adresse de destination spécifiée, tandis que l’utilisateur2 accédait 400 fois au même serveur de fichiers.

Tableau de l'historique des versions
Version
Description
14.2
À partir de Junos OS version 14.2, sur les routeurs MX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur à partir du serveur RADIUS.