Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces activées pour l’authentification RADIUS 802.1X ou MAC

Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour qu’ils fonctionnent dans une entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire le besoin de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS. Les termes sont appliqués après l’authentification d’un équipement via 802.1X. Pour plus d’informations, lisez ce sujet.

Exemple : Application d’un filtre de pare-feu aux demandeurs authentifiés 802.1X à l’aide d’attributs de serveur RADIUS sur un commutateur EX Series

Vous pouvez utiliser les attributs de serveur RADIUS et un filtre de pare-feu de port pour appliquer de manière centralisée des termes à plusieurs demandeurs (équipements finaux) connectés à un commutateur EX Series dans votre entreprise. Les termes sont appliqués après l’authentification d’un équipement via 802.1X. Si la configuration du filtre de pare-feu est modifiée après l’authentification des terminaux à l’aide de l’authentification 802.1X, la session d’authentification 802.1X établie doit être terminée et rétablie pour que les modifications du filtre de pare-feu prennent effet.

Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour qu’ils fonctionnent dans une entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire le besoin de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS.

L’exemple suivant utilise FreeRADIUS pour appliquer un filtre de pare-feu de port sur un serveur RADIUS. Pour plus d’informations sur la configuration de votre serveur, consultez la documentation fournie avec votre serveur RADIUS.

Cet exemple explique comment configurer un filtre de pare-feu de port avec des termes, créer des compteurs pour compter les paquets pour les demandeurs, appliquer le filtre aux profils d’utilisateurs du serveur RADIUS et afficher les compteurs pour vérifier la configuration :

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

REMARQUE :

Cet exemple s’applique également aux commutateurs QFX5100.

  • Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.

  • Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.

Avant de connecter le serveur au commutateur, assurez-vous d’avoir :

Présentation et topologie

Lorsque la configuration 802.1X d’une interface est définie multiple en mode demandeur, vous pouvez appliquer un filtre de pare-feu à un seul port configuré via la CLI Junos OS sur le commutateur EX Series à un nombre quelconque d’équipements terminaux (demandeurs) en ajoutant le filtre de manière centralisée au serveur RADIUS. Un seul filtre peut être appliqué à une interface ; cependant, le filtre peut contenir plusieurs termes pour des équipements terminaux distincts.

Pour plus d’informations sur les filtres de pare-feu, consultez la page Présentation des filtres de pare-feu pour commutateurs EX Series ou Présentation des filtres de pare-feu (QFX Series).

Les attributs du serveur RADIUS sont appliqués au port où l’équipement final est connecté une fois l’équipement correctement authentifié à l’aide de 802.1X. Pour authentifier un équipement final, le commutateur transmet les informations d’identification de l’équipement final au serveur RADIUS. Le serveur RADIUS fait correspondre les informations d’identification aux informations préconfigurées sur le demandeur situé dans le profil utilisateur du demandeur sur le serveur RADIUS. Si une correspondance est trouvée, le serveur RADIUS demande au commutateur d’ouvrir une interface vers l’équipement final. Le trafic s’écoule ensuite depuis et vers l’équipement final sur le LAN. D’autres instructions configurées dans le filtre de pare-feu de port et ajoutées au profil utilisateur de l’équipement final à l’aide d’un attribut de serveur RADIUS définissent davantage l’accès accordé à l’équipement final. Les termes de filtrage configurés dans le filtre de pare-feu de port sont appliqués au port où l’équipement final est connecté une fois l’authentification 802.1X terminée.

REMARQUE :

Si vous modifiez le filtre de pare-feu de port après l’authentification d’un équipement final à l’aide de 802.1X, vous devez mettre fin à la session d’authentification 802.1X et rétablir la session d’authentification 802.1X pour que les modifications de configuration du filtre de pare-feu soient effectives.

topologie

Figure 1 montre la topologie utilisée pour cet exemple. Le serveur RADIUS est connecté à un commutateur EX4200 sur le port d’accès ge-0/0/10. Deux terminaux (demandeurs) accèdent au LAN sur l’interface ge-0/0/2. Le demandeur 1 a l’adresse MAC 00:50:8b:6f:60:3a. Le demandeur 2 a l’adresse MAC 00:50:8b:6f:60:3b.

REMARQUE :

Ce chiffre s’applique également aux commutateurs QFX5100.

Figure 1 : Topologie pour la configuration du filtre de pare-feu et des attributs de serveur RADIUSTopologie pour la configuration du filtre de pare-feu et des attributs de serveur RADIUS

Tableau 1 décrit les composants de cette topologie.

Tableau 1 : Composants du filtre de pare-feu et des attributs de serveur RADIUS
Propriété Paramètres

Matériel de commutation

Commutateur d’accès EX4200, 24 ports Gigabit Ethernet : 16 ports non PoE et 8 ports PoE.

Un seul serveur RADIUS

Base de données back-end avec l’adresse 10.0.0.100 connectée au commutateur au port ge-0/0/10.

Demandeurs 802.1X connectés au commutateur sur l’interface ge-0/0/2

  • Supplicant 1 a l’adresse 00:50:8b:6f:60:3aMAC .

  • Supplicant 2 a l’adresse 00:50:8b:6f:60:3bMAC .

Filtre de pare-feu de port à appliquer sur le serveur RADIUS

filter1

Compteurs

counter1 compte les paquets du Supplicant 1 et counter2 les paquets du Supplicant 2.

Policer

policer p1

Profils utilisateur sur le serveur RADIUS

  • Le demandeur 1 a le profil supplicant1utilisateur .

  • Le supplicant 2 a le profil supplicant2utilisateur .

Dans cet exemple, vous configurez un filtre de pare-feu de port nommé filter1. Le filtre contient des termes qui seront appliqués aux équipements finaux en fonction des adresses MAC des équipements finaux. Lorsque vous configurez le filtre, vous configurez également les compteurs counter1 et counter2. Les paquets de chaque équipement final sont comptés, ce qui vous permet de vérifier que la configuration fonctionne. Le policer p1 limite le débit de trafic en fonction des valeurs et discard des exceeding paramètres. Ensuite, vous vérifiez que l’attribut de serveur RADIUS est disponible sur le serveur RADIUS et appliquez le filtre aux profils d’utilisateur de chaque équipement final sur le serveur RADIUS. Enfin, vous vérifiez la configuration en affichant la sortie des deux compteurs.

Configuration du filtre et des compteurs de pare-feu de port

Procédure

Configuration rapide cli

Pour configurer rapidement un filtre de pare-feu de port avec les termes pour Supplicant 1 et Supplicant 2 et créer des compteurs parallèles pour chaque demandeur, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer un filtre et des compteurs de pare-feu de port sur le commutateur :

  1. Configurez un filtre de pare-feu de port (ici) filter1avec des termes pour chaque équipement final en fonction de l’adresse MAC de chaque équipement final :

  2. Définir la définition du policer :

  3. Créez deux compteurs qui comptabiliseront les paquets pour chaque équipement final et un dispositif de contrôle qui limite le taux de trafic :

Résultats

Affichez les résultats de la configuration :

Application du filtre de pare-feu de port aux profils utilisateur demandeurs sur le serveur RADIUS

Procédure

Procédure étape par étape

Pour vérifier que l’attribut Filter-ID de serveur RADIUS est sur le serveur RADIUS et appliquer le filtre aux profils d’utilisateurs :

  1. Affichez le dictionnaire dictionary.rfc2865 sur le serveur RADIUS et vérifiez que l’attribut Filter-ID se trouve dans le dictionnaire :

  2. Fermez le fichier du dictionnaire.

  3. Affichez les profils d’utilisateurs locaux des équipements finaux sur lesquels vous souhaitez appliquer le filtre (ici, les profils d’utilisateur sont appelés supplicant1 et supplicant2) :

    Le résultat montre :

  4. Appliquez le filtre aux deux profils d’utilisateurs en ajoutant la ligne Filter-Id = “filter1” à chaque profil, puis fermez le fichier :

    Après avoir collé la ligne dans les fichiers, les fichiers ressemblent à ceci :

Vérification

Vérifier que le filtre a été appliqué aux demandeurs

But

Une fois les équipements finaux authentifiés sur l’interface ge-0/0/2, vérifiez que le filtre a été configuré sur le commutateur et inclut les résultats pour les deux demandeurs :

Action
Sens

La sortie de la commande s’affiche show dot1x firewallcounter1 et counter2. Les paquets de User_1 sont comptés à l’aide counter1de , et les paquets de l’utilisateur 2 sont comptés à l’aide counter2de . La sortie affiche les paquets incrémentant pour les deux compteurs. Le filtre a été appliqué aux deux terminaux.

Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS

Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés de manière dynamique avec les stratégies par utilisateur envoyées au commutateur depuis le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chacun des multiples utilisateurs ou hôtes non-répondants qui sont authentifiés sur l’interface.

Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes illustrés dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :

Conditions préalables

Cet exemple utilise les composants matériels et logiciels suivants :

  • Junos OS version 9.5 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX Series

  • Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.

Avant d’appliquer des filtres de pare-feu à une interface à utiliser avec plusieurs demandeurs, assurez-vous d’avoir :

Présentation et topologie

topologie

Lorsque la configuration 802.1X d’une interface est définie en mode multi-demandeur, le système combine dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur envoyées au commutateur depuis le serveur RADIUS pendant l’authentification et crée des termes distincts pour chaque utilisateur. Comme il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels qui sont authentifiés sur la même interface.

Lorsqu’un nouvel utilisateur (ou un hôte non-responsable) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré dans Figure 2, lorsque l’utilisateur1 est authentifié par le commutateur EX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur2 est authentifié, un autre terme est ajouté au filtre de pare-feu, etc.

Figure 2 : Modèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateurModèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateur

Il s’agit d’un modèle conceptuel du processus interne: vous ne pouvez pas accéder au filtre dynamique ni le visualiser.

REMARQUE :

Si le filtre de pare-feu de l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte non-responsable), les modifications ne sont pas reflétées dans le filtre dynamique à moins que l’utilisateur ne soit réauthentification.

Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes faites par chaque point de terminaison authentifié sur l’interface ge-0/0/2 du serveur de fichiers, situé sur le sous-réseau 192.0.2.16/28, et définir des définitions de police pour limiter le trafic. Figure 3 Montre la topologie du réseau pour cet exemple.

Figure 3 : Plusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiersPlusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiers

Configuration

Pour configurer des filtres de pare-feu pour plusieurs demandeurs sur des interfaces compatibles 802.1X :

Configuration des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

Configuration rapide cli

Pour configurer rapidement les filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :

  1. Configurez l’interface ge-0/0/2 pour l’authentification de plusieurs modes demandeurs :

  2. Définir la définition du policer :

  3. Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un contrôle qui limite le taux de trafic. Chaque nouvel utilisateur étant authentifié sur l’interface multi-demandeur, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :

Vérification des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

But

Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.

Action
  1. Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:

  2. Lorsqu’un deuxième utilisateur, User2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :

Sens

Les résultats affichés par la show dot1x firewall commande de sortie reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur1 a consulté le serveur de fichiers situé à l’adresse de destination spécifiée 100 fois, tandis que l’utilisateur2 a accédé au même serveur de fichiers 400 fois.

Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur des interfaces activées pour l’authentification RADIUS 802.1X ou MAC sur les commutateurs EX Series avec prise en charge d’ELS

REMARQUE :

Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Appliquer des filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.

Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés de manière dynamique avec les stratégies par utilisateur envoyées au commutateur depuis le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chacun des multiples utilisateurs ou hôtes non-répondants qui sont authentifiés sur l’interface.

Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes illustrés dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :

Conditions préalables

Cet exemple utilise les composants logiciels et matériels suivants :

REMARQUE :

Cet exemple s’applique également aux commutateurs QFX5100.

  • Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series

  • Un commutateur EX Series avec prise en charge d’ELS

  • Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.

Avant d’appliquer des filtres de pare-feu à une interface à utiliser avec plusieurs demandeurs, assurez-vous d’avoir :

Présentation et topologie

topologie

Lorsque la configuration 802.1X d’une interface est définie sur plusieurs modes demandeurs, le système combine dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur envoyées au commutateur depuis le serveur RADIUS lors de l’authentification et crée des termes distincts pour chaque utilisateur. Comme il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels qui sont authentifiés sur la même interface.

Lorsqu’un nouvel utilisateur (ou un hôte non-responsable) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré dans Figure 4, lorsque l’utilisateur 1 est authentifié par le commutateur EX Series, le système ajoute un terme au filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur 2 est authentifié, un autre terme est ajouté au filtre de pare-feu, etc.

REMARQUE :

Ce chiffre s’applique également aux commutateurs QFX5100.

Figure 4 : Modèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateurModèle conceptuel : Filtre dynamique mis à jour pour chaque nouvel utilisateur

Il s’agit d’un modèle conceptuel du processus interne: vous ne pouvez pas accéder au filtre dynamique ni le visualiser.

REMARQUE :

Si le filtre de pare-feu de l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte non-responsable), les modifications ne sont pas reflétées dans le filtre dynamique à moins que l’utilisateur ne soit réauthentification.

Dans cet exemple, vous configurez un filtre de pare-feu pour compter les requêtes effectuées par chaque terminal authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, situé sur le sous-réseau 192.0.2.16/28, et définir des définitions de police pour limiter le trafic. Figure 5 affiche la topologie du réseau pour cet exemple.

Figure 5 : Plusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiersPlusieurs demandeurs sur une interface compatible 802.1X se connectant à un serveur de fichiers

Configuration

Configuration des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

Configuration rapide cli

Pour configurer rapidement les filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :

Procédure étape par étape

Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :

  1. Définissez la définition du dispositif de contrôle :

  2. Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un contrôle qui limite le taux de trafic. Chaque nouvel utilisateur étant authentifié sur l’interface multi-demandeur, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :

Résultats

Vérifiez les résultats de la configuration :

Vérification

Vérification des filtres de pare-feu sur les interfaces avec plusieurs demandeurs

But

Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.

Action
  1. Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur 1 est authentifié sur ge-0/0/2 :

  2. Lorsqu’un deuxième utilisateur, l’utilisateur 2, est authentifié sur la même interface, ge-0/0/2, vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :

Sens

Les résultats affichés par la show dot1x firewall commande de sortie reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé au serveur de fichiers situé à l’heure d’adresse 100 de destination spécifiée, tandis que l’utilisateur 2 a eu accès aux mêmes heures de serveur 400 de fichiers.