Sur cette page
Interfaces activées pour l’authentification 802.1X ou MAC RADIUS
Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour fonctionner dans toute l’entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire la nécessité de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS. Les conditions sont appliquées une fois qu’un appareil a été authentifié avec succès via 802.1X. Pour plus d’informations, consultez cette rubrique.
Exemple : Application d’un filtre de pare-feu aux demandeurs authentifiés 802.1X à l’aide des attributs de serveur RADIUS sur un commutateur EX Series
Vous pouvez utiliser des attributs de serveur RADIUS et un filtre de pare-feu de port pour appliquer de manière centralisée des termes à plusieurs demandeurs (terminaux) connectés à un commutateur EX Series dans votre entreprise. Les conditions sont appliquées une fois qu’un appareil a été authentifié avec succès via 802.1X. Si la configuration du filtre de pare-feu est modifiée après que les équipements finaux ont été authentifiés à l’aide de l’authentification 802.1X, la session d’authentification 802.1X établie doit être interrompue et rétablie pour que les modifications du filtre de pare-feu soient prises en compte.
Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour fonctionner dans toute l’entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire la nécessité de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS.
L’exemple suivant utilise FreeRADIUS pour appliquer un filtre de pare-feu de port sur un serveur RADIUS. Pour plus d’informations sur la configuration de votre serveur, consultez la documentation fournie avec votre serveur RADIUS.
Cet exemple décrit comment configurer un filtre de pare-feu de port avec des termes, créer des compteurs pour compter les paquets pour les demandeurs, appliquer le filtre aux profils utilisateur sur le serveur RADIUS et afficher les compteurs pour vérifier la configuration :
- Conditions préalables
- Vue d’ensemble et topologie
- Configuration du filtre et des compteurs de pare-feu de port
- Application du filtre de pare-feu de port aux profils d’utilisateurs demandeurs sur le serveur RADIUS
- Vérification
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series faisant office d’entité d’accès au port d’authentification (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic à destination et en provenance des demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant de connecter le serveur au commutateur, assurez-vous d’avoir :
Établissez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Configurez l’authentification 802.1X sur le commutateur, avec le mode demandeur pour l’interface ge-0/0/2 défini sur multiple. Reportez-vous à la section Configuration des paramètres de l’interface 802.1X (procédure CLI) et exemple : Configuration du protocole 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.
Utilisateurs configurés sur le serveur d’authentification RADIUS (dans cet exemple, les profils utilisateur pour Supplicant 1 et Supplicant 2 dans la topologie sont modifiés sur le serveur RADIUS).
Vue d’ensemble et topologie
Lorsque la configuration 802.1X d’une interface est définie sur multiple le mode demandeur, vous pouvez appliquer un filtre de pare-feu à port unique configuré via la CLI Junos OS sur le commutateur EX Series à un nombre quelconque de périphériques finaux (demandeurs) en ajoutant le filtre de manière centralisée au serveur RADIUS. Un seul filtre peut être appliqué à une interface ; Toutefois, le filtre peut contenir plusieurs termes pour des terminaux distincts.
Pour plus d’informations sur les filtres de pare-feu, reportez-vous à Présentation des filtres de pare-feu des commutateurs EX Series ou Présentation des filtres de pare-feu (QFX Series).
Les attributs de serveur RADIUS sont appliqués au port sur lequel le terminal est connecté une fois que le périphérique a été authentifié avec succès à l’aide de 802.1X. Pour authentifier un terminal, le commutateur transmet les informations d’identification du terminal au serveur RADIUS. Le serveur RADIUS fait correspondre les informations d’identification aux informations préconfigurées sur le demandeur situées dans le profil utilisateur du demandeur sur le serveur RADIUS. Si une correspondance est trouvée, le serveur RADIUS demande au commutateur d’ouvrir une interface vers le périphérique final. Le trafic circule ensuite depuis et vers le terminal sur le réseau local. D’autres instructions configurées dans le filtre de pare-feu de port et ajoutées au profil utilisateur de l’appareil final à l’aide d’un attribut de serveur RADIUS définissent plus en détail l’accès qui est accordé à l’appareil final. Une fois l’authentification 802.1X terminée, les termes de filtrage configurés dans le filtre de pare-feu de port sont appliqués au port sur lequel le terminal est connecté.
Si vous modifiez le filtre de pare-feu de port après qu’un terminal a été authentifié avec succès à l’aide de la norme 802.1X, vous devez mettre fin à la session d’authentification 802.1X et la rétablir à nouveau pour que les modifications apportées à la configuration du filtre de pare-feu soient effectives.
Topologie
Figure 1 montre la topologie utilisée pour cet exemple. Le serveur RADIUS est connecté à un commutateur EX4200 sur le port d’accès ge-0/0/10. Deux terminaux (demandeurs) accèdent au réseau local sur l’interface ge-0/0/2. Le demandeur 1 a l’adresse MAC 00:50:8b :6f :60:3a. Le demandeur 2 a l’adresse MAC 00:50:8b :6f :60:3b.
Ce chiffre s’applique également aux commutateurs QFX5100.
Tableau 1 décrit les composants de cette topologie.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur d’accès EX4200, 24 ports Gigabit Ethernet : 16 ports non-PoE et 8 ports PoE. |
Un serveur RADIUS |
Base de données principale dont l’adresse 10.0.0.100 est connectée au commutateur sur le port ge-0/0/10. |
Clients 802.1X connectés à l’interface d’activation ge-0/0/2 |
|
Filtre de pare-feu de port à appliquer sur le serveur RADIUS |
filter1 |
Compteurs |
counter1 compte les paquets de Supplicant 1 et counter2 compte les paquets de Supplicant 2. |
Contrôleur |
policer p1 |
Profils d’utilisateurs sur le serveur RADIUS |
|
Dans cet exemple, vous allez configurer un filtre de pare-feu de port nommé filter1. Le filtre contient les termes qui seront appliqués aux terminaux en fonction des adresses MAC des terminaux. Lorsque vous configurez le filtre, vous configurez également les compteurs counter1 et counter2. Les paquets de chaque terminal sont comptés, ce qui vous aide à vérifier que la configuration fonctionne. Le mécanisme de contrôle p1 limite le débit de trafic en fonction des valeurs exceeding de et discard des paramètres. Ensuite, vous vérifiez que l’attribut de serveur RADIUS est disponible sur le serveur RADIUS et appliquez le filtre aux profils utilisateur de chaque terminal sur le serveur RADIUS. Enfin, vous vérifiez la configuration en affichant la sortie des deux compteurs.
Configuration du filtre et des compteurs de pare-feu de port
Procédure
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement un filtre de pare-feu de port avec des termes pour le demandeur 1 et le demandeur 2 et créer des compteurs parallèles pour chaque demandeur, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Procédure étape par étape
Pour configurer un filtre de pare-feu de port et des compteurs sur le commutateur :
Configurez un filtre de pare-feu de port (ici, filter1) avec des termes pour chaque terminal en fonction de l’adresse MAC de chaque terminal :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Définir la définition du mécanisme de contrôle :
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Créez deux compteurs qui compteront les paquets pour chaque équipement final et un mécanisme de contrôle qui limitera le taux de trafic :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Résultats
Affichez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
Application du filtre de pare-feu de port aux profils d’utilisateurs demandeurs sur le serveur RADIUS
Procédure
Procédure étape par étape
Pour vérifier que l’attribut Filter-ID de serveur RADIUS se trouve sur le serveur RADIUS et appliquer le filtre aux profils utilisateur :
Affichez le dictionnaire dictionary.rfc2865 sur le serveur RADIUS et vérifiez que l’attribut Filter-ID se trouve dans le dictionnaire :
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Fermez le fichier de dictionnaire.
Affichez les profils d’utilisateurs locaux des terminaux auxquels vous souhaitez appliquer le filtre (ici, les profils d’utilisateurs sont appelés supplicant1 et supplicant2) :
[root@freeradius]# cat /usr/local/etc/raddb/users
Le résultat indique :
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"Appliquez le filtre aux deux profils utilisateur en ajoutant la ligne Filter-Id = “filter1” à chaque profil, puis fermez le fichier :
[root@freeradius]# cat /usr/local/etc/raddb/users
Une fois que vous avez collé la ligne dans les fichiers, les fichiers ressemblent à ceci :
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Vérification
Vérification que le filtre a été appliqué aux demandeurs
But
Une fois les terminaux authentifiés sur l’interface ge-0/0/2, vérifiez que le filtre a été configuré sur le commutateur et qu’il inclut les résultats pour les deux demandeurs :
Action
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Sens
La sortie de la show dot1x firewall commande affiche counter1 et counter2. Les paquets de User_1 sont comptés à l’aide counter1de , et les paquets de l’utilisateur 2 sont comptés à l’aide counter2de . La sortie affiche les paquets incrémentés pour les deux compteurs. Le filtre a été appliqué aux deux terminaux.
Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur des interfaces activées pour l’authentification 802.1X ou MAC RADIUS
Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur par le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu de l’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chaque utilisateur ou hôte non réactif authentifié sur l’interface.
Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes que ceux indiqués dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.5 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant d’appliquer des filtres de pare-feu à une interface pour une utilisation avec plusieurs demandeurs, assurez-vous d’avoir :
Établissez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Configurez l’authentification 802.1X sur le commutateur, avec le mode d’authentification de l’interface ge-0/0/2 défini sur multiple. Reportez-vous à la section Configuration des paramètres de l’interface 802.1X (procédure CLI) et exemple : Configuration du protocole 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Topologie
Lorsque la configuration 802.1X d’une interface est définie sur le mode de demande multiple, le système combine dynamiquement le filtre du pare-feu de l’interface avec les stratégies utilisateur envoyées au commutateur par le serveur RADIUS lors de l’authentification et crée des conditions distinctes pour chaque utilisateur. Étant donné qu’il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels authentifiés sur la même interface.
Lorsqu’un nouvel utilisateur (ou un hôte qui ne répond pas) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme utilisé pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur définis sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré à Figure 2la , lorsque User1 est authentifié par le commutateur EX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque User2 est authentifié, un autre terme est ajouté au filtre du pare-feu, et ainsi de suite.
Il s’agit d’un modèle conceptuel du processus interne : vous ne pouvez pas accéder au filtre dynamique ni l’afficher.
Si le filtre de pare-feu sur l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte qui ne répond pas), les modifications ne sont pas répercutées dans le filtre dynamique, sauf si l’utilisateur est réauthentifié.
Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes effectuées par chaque point de terminaison authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, qui se trouve sur le sous-réseau 192.0.2.16/28, et définissez les définitions de mécanismes de contrôle pour limiter le débit du trafic. Figure 3 Affiche la topologie du réseau dans cet exemple.
Configuration
Pour configurer des filtres de pare-feu pour plusieurs demandeurs sur les interfaces compatibles 802.1X :
Configuration des filtres de pare-feu sur des interfaces comportant plusieurs demandeurs
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement des filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procédure étape par étape
Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :
Configurez l’interface ge-0/0/2 pour l’authentification en mode demandeur multiple :
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Définir la définition du mécanisme de contrôle :
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un mécanisme de contrôle pour limiter le taux de trafic. Étant donné que chaque nouvel utilisateur est authentifié sur l’interface de demande multiple, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les opérations suivantes :
Vérification des filtres de pare-feu sur les interfaces comportant plusieurs demandeurs
But
Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.
Action
Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Lorsqu’un deuxième utilisateur, Utilisateur2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Sens
Les résultats affichés par la sortie de la show dot1x firewall commande reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé 100 fois au serveur de fichiers situé à l’adresse de destination spécifiée, tandis que l’utilisateur 2 a accédé au même serveur de fichiers 400 fois.
Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS sur les commutateurs EX Series avec prise en charge ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec prise en charge du style de configuration ELS (Enhanced L2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, reportez-vous à la section Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification RADIUS 802.1X ou MAC. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés dynamiquement avec les stratégies par utilisateur envoyées au commutateur par le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu de l’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chaque utilisateur ou hôte non réactif authentifié sur l’interface.
Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes que ceux indiqués dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données principale et contient les informations d’identification des hôtes (demandeurs) autorisés à se connecter au réseau.
Avant d’appliquer des filtres de pare-feu à une interface pour une utilisation avec plusieurs demandeurs, assurez-vous d’avoir :
Établissez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Configurez l’authentification 802.1X sur le commutateur, avec le mode d’authentification de l’interface ge-0/0/2 défini sur
multiple. Reportez-vous à la section Configuration des paramètres de l’interface 802.1X (procédure CLI) et exemple : Configuration du protocole 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.Utilisateurs configurés sur le serveur d’authentification RADIUS.
Vue d’ensemble et topologie
Topologie
Lorsque la configuration 802.1X d’une interface est définie sur le mode de demande multiple, le système combine dynamiquement le filtre du pare-feu de l’interface avec les stratégies utilisateur envoyées au commutateur par le serveur RADIUS lors de l’authentification et crée des conditions distinctes pour chaque utilisateur. Étant donné qu’il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels authentifiés sur la même interface.
Lorsqu’un nouvel utilisateur (ou un hôte qui ne répond pas) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme utilisé pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur définis sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré à Figure 4la , lorsque l’utilisateur 1 est authentifié par le commutateur EX Series, le système ajoute un terme au filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur 2 est authentifié, un autre terme est ajouté au filtre du pare-feu, et ainsi de suite.
Ce chiffre s’applique également aux commutateurs QFX5100.
Il s’agit d’un modèle conceptuel du processus interne : vous ne pouvez pas accéder au filtre dynamique ni l’afficher.
Si le filtre de pare-feu sur l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte qui ne répond pas), les modifications ne sont pas répercutées dans le filtre dynamique, sauf si l’utilisateur est réauthentifié.
Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes effectuées par chaque point de terminaison authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, qui se trouve sur le sous-réseau 192.0.2.16/28, et définissez des définitions de mécanismes de contrôle pour limiter le débit du trafic. Figure 5 affiche la topologie du réseau dans cet exemple.
Configuration
Configuration des filtres de pare-feu sur des interfaces comportant plusieurs demandeurs
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement des filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procédure étape par étape
Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :
Définissez la définition du mécanisme de contrôle :
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un mécanisme de contrôle pour limiter le taux de trafic. Étant donné que chaque nouvel utilisateur est authentifié sur l’interface de demande multiple, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Vérification
Vérification des filtres de pare-feu sur les interfaces comportant plusieurs demandeurs
But
Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.
Action
Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur 1 est authentifié sur ge-0/0/2 :
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Lorsqu’un deuxième utilisateur, l’utilisateur 2, est authentifié sur la même interface, ge-0/0/2, vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Sens
Les résultats affichés par la sortie de la show dot1x firewall commande reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé au serveur de fichiers situé aux heures d’adresse 100 de destination spécifiées, tandis que l’utilisateur 2 a accédé aux mêmes heures de serveur 400 de fichiers.