Sur cette page
Interfaces activées pour l’authentification RADIUS 802.1X ou MAC
Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour qu’ils fonctionnent dans une entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire le besoin de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS. Les termes sont appliqués après l’authentification d’un équipement via 802.1X. Pour plus d’informations, lisez ce sujet.
Exemple : Application d’un filtre de pare-feu aux demandeurs authentifiés 802.1X à l’aide d’attributs de serveur RADIUS sur un commutateur EX Series
Vous pouvez utiliser les attributs de serveur RADIUS et un filtre de pare-feu de port pour appliquer de manière centralisée des termes à plusieurs demandeurs (équipements finaux) connectés à un commutateur EX Series dans votre entreprise. Les termes sont appliqués après l’authentification d’un équipement via 802.1X. Si la configuration du filtre de pare-feu est modifiée après l’authentification des terminaux à l’aide de l’authentification 802.1X, la session d’authentification 802.1X établie doit être terminée et rétablie pour que les modifications du filtre de pare-feu prennent effet.
Les commutateurs EX Series prennent en charge les filtres de pare-feu de port. Les filtres de pare-feu de port sont configurés sur un seul commutateur EX Series, mais pour qu’ils fonctionnent dans une entreprise, ils doivent être configurés sur plusieurs commutateurs. Pour réduire le besoin de configurer le même filtre de pare-feu de port sur plusieurs commutateurs, vous pouvez appliquer le filtre de manière centralisée sur le serveur RADIUS à l’aide des attributs de serveur RADIUS.
L’exemple suivant utilise FreeRADIUS pour appliquer un filtre de pare-feu de port sur un serveur RADIUS. Pour plus d’informations sur la configuration de votre serveur, consultez la documentation fournie avec votre serveur RADIUS.
Cet exemple explique comment configurer un filtre de pare-feu de port avec des termes, créer des compteurs pour compter les paquets pour les demandeurs, appliquer le filtre aux profils d’utilisateurs du serveur RADIUS et afficher les compteurs pour vérifier la configuration :
- Conditions préalables
- Présentation et topologie
- Configuration du filtre et des compteurs de pare-feu de port
- Application du filtre de pare-feu de port aux profils utilisateur demandeurs sur le serveur RADIUS
- Vérification
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 9.3 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series agissant comme une entité d’accès aux ports d’authentificateur (PAE). Les ports de l’authentificateur PAE forment une porte de contrôle qui bloque tout le trafic vers et depuis les demandeurs jusqu’à ce qu’ils soient authentifiés.
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.
Avant de connecter le serveur au commutateur, assurez-vous d’avoir :
Configurez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Authentification 802.1X configurée sur le commutateur, avec le mode demandeur pour l’interface ge-0/0/2 défini sur multiple. Voir Configuration des paramètres d’interface 802.1X (procédure CLI) et exemple : Configuration de la norme 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.
Utilisateurs configurés sur le serveur d’authentification RADIUS (dans cet exemple, les profils d’utilisateur pour Supplicant 1 et Supplicant 2 dans la topologie sont modifiés sur le serveur RADIUS).
Présentation et topologie
Lorsque la configuration 802.1X d’une interface est définie multiple en mode demandeur, vous pouvez appliquer un filtre de pare-feu à un seul port configuré via la CLI Junos OS sur le commutateur EX Series à un nombre quelconque d’équipements terminaux (demandeurs) en ajoutant le filtre de manière centralisée au serveur RADIUS. Un seul filtre peut être appliqué à une interface ; cependant, le filtre peut contenir plusieurs termes pour des équipements terminaux distincts.
Pour plus d’informations sur les filtres de pare-feu, consultez la page Présentation des filtres de pare-feu pour commutateurs EX Series ou Présentation des filtres de pare-feu (QFX Series).
Les attributs du serveur RADIUS sont appliqués au port où l’équipement final est connecté une fois l’équipement correctement authentifié à l’aide de 802.1X. Pour authentifier un équipement final, le commutateur transmet les informations d’identification de l’équipement final au serveur RADIUS. Le serveur RADIUS fait correspondre les informations d’identification aux informations préconfigurées sur le demandeur situé dans le profil utilisateur du demandeur sur le serveur RADIUS. Si une correspondance est trouvée, le serveur RADIUS demande au commutateur d’ouvrir une interface vers l’équipement final. Le trafic s’écoule ensuite depuis et vers l’équipement final sur le LAN. D’autres instructions configurées dans le filtre de pare-feu de port et ajoutées au profil utilisateur de l’équipement final à l’aide d’un attribut de serveur RADIUS définissent davantage l’accès accordé à l’équipement final. Les termes de filtrage configurés dans le filtre de pare-feu de port sont appliqués au port où l’équipement final est connecté une fois l’authentification 802.1X terminée.
Si vous modifiez le filtre de pare-feu de port après l’authentification d’un équipement final à l’aide de 802.1X, vous devez mettre fin à la session d’authentification 802.1X et rétablir la session d’authentification 802.1X pour que les modifications de configuration du filtre de pare-feu soient effectives.
topologie
Figure 1 montre la topologie utilisée pour cet exemple. Le serveur RADIUS est connecté à un commutateur EX4200 sur le port d’accès ge-0/0/10. Deux terminaux (demandeurs) accèdent au LAN sur l’interface ge-0/0/2. Le demandeur 1 a l’adresse MAC 00:50:8b:6f:60:3a. Le demandeur 2 a l’adresse MAC 00:50:8b:6f:60:3b.
Ce chiffre s’applique également aux commutateurs QFX5100.
Tableau 1 décrit les composants de cette topologie.
| Propriété | Paramètres |
|---|---|
Matériel de commutation |
Commutateur d’accès EX4200, 24 ports Gigabit Ethernet : 16 ports non PoE et 8 ports PoE. |
Un seul serveur RADIUS |
Base de données back-end avec l’adresse 10.0.0.100 connectée au commutateur au port ge-0/0/10. |
Demandeurs 802.1X connectés au commutateur sur l’interface ge-0/0/2 |
|
Filtre de pare-feu de port à appliquer sur le serveur RADIUS |
filter1 |
Compteurs |
counter1 compte les paquets du Supplicant 1 et counter2 les paquets du Supplicant 2. |
Policer |
policer p1 |
Profils utilisateur sur le serveur RADIUS |
|
Dans cet exemple, vous configurez un filtre de pare-feu de port nommé filter1. Le filtre contient des termes qui seront appliqués aux équipements finaux en fonction des adresses MAC des équipements finaux. Lorsque vous configurez le filtre, vous configurez également les compteurs counter1 et counter2. Les paquets de chaque équipement final sont comptés, ce qui vous permet de vérifier que la configuration fonctionne. Le policer p1 limite le débit de trafic en fonction des valeurs et discard des exceeding paramètres. Ensuite, vous vérifiez que l’attribut de serveur RADIUS est disponible sur le serveur RADIUS et appliquez le filtre aux profils d’utilisateur de chaque équipement final sur le serveur RADIUS. Enfin, vous vérifiez la configuration en affichant la sortie des deux compteurs.
Configuration du filtre et des compteurs de pare-feu de port
Procédure
Configuration rapide cli
Pour configurer rapidement un filtre de pare-feu de port avec les termes pour Supplicant 1 et Supplicant 2 et créer des compteurs parallèles pour chaque demandeur, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Procédure étape par étape
Pour configurer un filtre et des compteurs de pare-feu de port sur le commutateur :
Configurez un filtre de pare-feu de port (ici) filter1avec des termes pour chaque équipement final en fonction de l’adresse MAC de chaque équipement final :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Définir la définition du policer :
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Créez deux compteurs qui comptabiliseront les paquets pour chaque équipement final et un dispositif de contrôle qui limite le taux de trafic :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Résultats
Affichez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
Application du filtre de pare-feu de port aux profils utilisateur demandeurs sur le serveur RADIUS
Procédure
Procédure étape par étape
Pour vérifier que l’attribut Filter-ID de serveur RADIUS est sur le serveur RADIUS et appliquer le filtre aux profils d’utilisateurs :
Affichez le dictionnaire dictionary.rfc2865 sur le serveur RADIUS et vérifiez que l’attribut Filter-ID se trouve dans le dictionnaire :
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Fermez le fichier du dictionnaire.
Affichez les profils d’utilisateurs locaux des équipements finaux sur lesquels vous souhaitez appliquer le filtre (ici, les profils d’utilisateur sont appelés supplicant1 et supplicant2) :
[root@freeradius]# cat /usr/local/etc/raddb/users
Le résultat montre :
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"Appliquez le filtre aux deux profils d’utilisateurs en ajoutant la ligne Filter-Id = “filter1” à chaque profil, puis fermez le fichier :
[root@freeradius]# cat /usr/local/etc/raddb/users
Après avoir collé la ligne dans les fichiers, les fichiers ressemblent à ceci :
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Vérification
Vérifier que le filtre a été appliqué aux demandeurs
But
Une fois les équipements finaux authentifiés sur l’interface ge-0/0/2, vérifiez que le filtre a été configuré sur le commutateur et inclut les résultats pour les deux demandeurs :
Action
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Sens
La sortie de la commande s’affiche show dot1x firewallcounter1 et counter2. Les paquets de User_1 sont comptés à l’aide counter1de , et les paquets de l’utilisateur 2 sont comptés à l’aide counter2de . La sortie affiche les paquets incrémentant pour les deux compteurs. Le filtre a été appliqué aux deux terminaux.
Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS
Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés de manière dynamique avec les stratégies par utilisateur envoyées au commutateur depuis le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chacun des multiples utilisateurs ou hôtes non-répondants qui sont authentifiés sur l’interface.
Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes illustrés dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :
Conditions préalables
Cet exemple utilise les composants matériels et logiciels suivants :
Junos OS version 9.5 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.
Avant d’appliquer des filtres de pare-feu à une interface à utiliser avec plusieurs demandeurs, assurez-vous d’avoir :
Configurez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Authentification 802.1X configurée sur le commutateur, avec le mode d’authentification pour l’interface ge-0/0/2 défini sur multiple. Voir Configuration des paramètres d’interface 802.1X (procédure CLI) et exemple : Configuration de la norme 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.
Utilisateurs configurés sur le serveur d’authentification RADIUS.
Présentation et topologie
topologie
Lorsque la configuration 802.1X d’une interface est définie en mode multi-demandeur, le système combine dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur envoyées au commutateur depuis le serveur RADIUS pendant l’authentification et crée des termes distincts pour chaque utilisateur. Comme il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels qui sont authentifiés sur la même interface.
Lorsqu’un nouvel utilisateur (ou un hôte non-responsable) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré dans Figure 2, lorsque l’utilisateur1 est authentifié par le commutateur EX Series, le système crée le filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur2 est authentifié, un autre terme est ajouté au filtre de pare-feu, etc.
Il s’agit d’un modèle conceptuel du processus interne: vous ne pouvez pas accéder au filtre dynamique ni le visualiser.
Si le filtre de pare-feu de l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte non-responsable), les modifications ne sont pas reflétées dans le filtre dynamique à moins que l’utilisateur ne soit réauthentification.
Dans cet exemple, vous configurez un filtre de pare-feu pour compter les demandes faites par chaque point de terminaison authentifié sur l’interface ge-0/0/2 du serveur de fichiers, situé sur le sous-réseau 192.0.2.16/28, et définir des définitions de police pour limiter le trafic. Figure 3 Montre la topologie du réseau pour cet exemple.
Configuration
Pour configurer des filtres de pare-feu pour plusieurs demandeurs sur des interfaces compatibles 802.1X :
Configuration des filtres de pare-feu sur les interfaces avec plusieurs demandeurs
Configuration rapide cli
Pour configurer rapidement les filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procédure étape par étape
Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :
Configurez l’interface ge-0/0/2 pour l’authentification de plusieurs modes demandeurs :
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Définir la définition du policer :
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un contrôle qui limite le taux de trafic. Chaque nouvel utilisateur étant authentifié sur l’interface multi-demandeur, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Vérification
Pour vérifier que la configuration fonctionne correctement, effectuez les tâches suivantes :
Vérification des filtres de pare-feu sur les interfaces avec plusieurs demandeurs
But
Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.
Action
Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur est authentifié sur ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Lorsqu’un deuxième utilisateur, User2, est authentifié sur la même interface, ge-0/0/2vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Sens
Les résultats affichés par la show dot1x firewall commande de sortie reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur1 a consulté le serveur de fichiers situé à l’adresse de destination spécifiée 100 fois, tandis que l’utilisateur2 a accédé au même serveur de fichiers 400 fois.
Exemple : Application de filtres de pare-feu à plusieurs demandeurs sur des interfaces activées pour l’authentification RADIUS 802.1X ou MAC sur les commutateurs EX Series avec prise en charge d’ELS
Cet exemple utilise Junos OS pour les commutateurs EX Series avec la prise en charge du style de configuration ELS (Enhanced Layer 2 Software). Si votre commutateur exécute un logiciel qui ne prend pas en charge ELS, consultez l’exemple : Appliquer des filtres de pare-feu à plusieurs demandeurs sur les interfaces activées pour l’authentification 802.1X ou MAC RADIUS. Pour plus de détails sur els, voir Utilisation de l’interface cli logicielle de couche 2 améliorée.
Sur les commutateurs EX Series, les filtres de pare-feu que vous appliquez aux interfaces activées pour l’authentification 802.1X ou MAC RADIUS sont combinés de manière dynamique avec les stratégies par utilisateur envoyées au commutateur depuis le serveur RADIUS. Le commutateur utilise une logique interne pour combiner dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur du serveur RADIUS et créer une stratégie individualisée pour chacun des multiples utilisateurs ou hôtes non-répondants qui sont authentifiés sur l’interface.
Cet exemple décrit comment des filtres de pare-feu dynamiques sont créés pour plusieurs demandeurs sur une interface compatible 802.1X (les mêmes principes illustrés dans cet exemple s’appliquent aux interfaces activées pour l’authentification MAC RADIUS) :
Conditions préalables
Cet exemple utilise les composants logiciels et matériels suivants :
Cet exemple s’applique également aux commutateurs QFX5100.
Junos OS version 13.2 ou ultérieure pour les commutateurs EX Series
Un commutateur EX Series avec prise en charge d’ELS
Un serveur d’authentification RADIUS. Le serveur d’authentification fait office de base de données back-end et contient des informations d’identification pour les hôtes (demandeurs) qui ont l’autorisation de se connecter au réseau.
Avant d’appliquer des filtres de pare-feu à une interface à utiliser avec plusieurs demandeurs, assurez-vous d’avoir :
Configurez une connexion entre le commutateur et le serveur RADIUS. Voir l’exemple : Connexion d’un serveur RADIUS pour 802.1X à un commutateur EX Series.
Authentification 802.1X configurée sur le commutateur, avec le mode d’authentification de l’interface ge-0/0/2 défini sur
multiple. Voir Configuration des paramètres d’interface 802.1X (procédure CLI) et exemple : Configuration de la norme 802.1X pour les configurations à un ou plusieurs demandeurs sur un commutateur EX Series.Utilisateurs configurés sur le serveur d’authentification RADIUS.
Présentation et topologie
topologie
Lorsque la configuration 802.1X d’une interface est définie sur plusieurs modes demandeurs, le système combine dynamiquement le filtre de pare-feu d’interface avec les stratégies utilisateur envoyées au commutateur depuis le serveur RADIUS lors de l’authentification et crée des termes distincts pour chaque utilisateur. Comme il existe des termes distincts pour chaque utilisateur authentifié sur l’interface, vous pouvez, comme illustré dans cet exemple, utiliser des compteurs pour afficher les activités des utilisateurs individuels qui sont authentifiés sur la même interface.
Lorsqu’un nouvel utilisateur (ou un hôte non-responsable) est authentifié sur une interface, le système ajoute un terme au filtre de pare-feu associé à l’interface, et le terme (stratégie) de chaque utilisateur est associé à l’adresse MAC de l’utilisateur. Le terme pour chaque utilisateur est basé sur les filtres spécifiques à l’utilisateur sur le serveur RADIUS et les filtres configurés sur l’interface. Par exemple, comme illustré dans Figure 4, lorsque l’utilisateur 1 est authentifié par le commutateur EX Series, le système ajoute un terme au filtre dynamic-filter-examplede pare-feu . Lorsque l’utilisateur 2 est authentifié, un autre terme est ajouté au filtre de pare-feu, etc.
Ce chiffre s’applique également aux commutateurs QFX5100.
Il s’agit d’un modèle conceptuel du processus interne: vous ne pouvez pas accéder au filtre dynamique ni le visualiser.
Si le filtre de pare-feu de l’interface est modifié après l’authentification de l’utilisateur (ou de l’hôte non-responsable), les modifications ne sont pas reflétées dans le filtre dynamique à moins que l’utilisateur ne soit réauthentification.
Dans cet exemple, vous configurez un filtre de pare-feu pour compter les requêtes effectuées par chaque terminal authentifié sur l’interface ge-0/0/2 vers le serveur de fichiers, situé sur le sous-réseau 192.0.2.16/28, et définir des définitions de police pour limiter le trafic. Figure 5 affiche la topologie du réseau pour cet exemple.
Configuration
Configuration des filtres de pare-feu sur les interfaces avec plusieurs demandeurs
Configuration rapide cli
Pour configurer rapidement les filtres de pare-feu pour plusieurs demandeurs sur une interface compatible 802.1X, copiez les commandes suivantes et collez-les dans la fenêtre du terminal du commutateur :
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procédure étape par étape
Pour configurer des filtres de pare-feu sur une interface activée pour plusieurs demandeurs :
Définissez la définition du dispositif de contrôle :
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Configurez un filtre de pare-feu pour compter les paquets de chaque utilisateur et un contrôle qui limite le taux de trafic. Chaque nouvel utilisateur étant authentifié sur l’interface multi-demandeur, ce terme de filtre sera inclus dans le terme créé dynamiquement pour l’utilisateur :
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Résultats
Vérifiez les résultats de la configuration :
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Vérification
Vérification des filtres de pare-feu sur les interfaces avec plusieurs demandeurs
But
Vérifiez que les filtres de pare-feu fonctionnent sur l’interface avec plusieurs demandeurs.
Action
Vérifiez les résultats avec un utilisateur authentifié sur l’interface. Dans ce cas, l’utilisateur 1 est authentifié sur ge-0/0/2 :
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Lorsqu’un deuxième utilisateur, l’utilisateur 2, est authentifié sur la même interface, ge-0/0/2, vous pouvez vérifier que le filtre inclut les résultats pour les deux utilisateurs authentifiés sur l’interface :
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Sens
Les résultats affichés par la show dot1x firewall commande de sortie reflètent le filtre dynamique créé avec l’authentification de chaque nouvel utilisateur. L’utilisateur 1 a accédé au serveur de fichiers situé à l’heure d’adresse 100 de destination spécifiée, tandis que l’utilisateur 2 a eu accès aux mêmes heures de serveur 400 de fichiers.