예: 802.1X 또는 MAC RADIUS 인증이 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용
EX 시리즈 스위치에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터는 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 생성합니다.
이 예에서는 802.1X 지원 인터페이스에서 여러 요청자에 대해 동적 방화벽 필터를 생성하는 방법을 설명합니다(이 예에 표시된 것과 동일한 원칙이 MAC RADIUS 인증에 활성화된 인터페이스에 적용됨).
요구 사항
이 예에서 사용되는 하드웨어 및 소프트웨어 구성 요소는 다음과 같습니다.
EX 시리즈 스위치용 Junos OS 릴리즈 9.5 이상
EX 시리즈 스위치 1개
RADIUS 인증 서버 1개. 인증 서버는 백엔드 데이터베이스 역할을 하며, 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 크리덴셜 정보를 포함합니다.
여러 요청자와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.
스위치와 RADIUS 서버 간의 연결을 설정합니다. 예: 802.1X용 RADIUS 서버를 EX 시리즈 스위치에 연결합니다.
인터페이스에 대한 인증 모드를 로 설정하여 스위치에 802.1X 인증을 구성했습니다 .ge-0/0/2multiple 802.1X 인터페이스 설정 구성(CLI 절차) 및 예를 참조하십시오.https://www.juniper.net/documentation/en_US/junos/topics/topic-map/802-1x-authentication-switching-devices.html EX 시리즈 스위치에서 단일 요청자 또는 다중 요청자 구성을 위한 802.1X 설정.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
토폴로지
인터페이스의 802.1X 구성이 Multiple Supplicant 모드로 설정된 경우, 시스템은 인터페이스 방화벽 필터를 인증 중에 RADIUS 서버에서 스위치로 전송된 사용자 정책과 동적으로 결합하고 각 사용자에 대해 별도의 용어를 생성합니다. 인터페이스에서 인증된 각 사용자마다 별도의 용어가 있으므로 이 예와 같이 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.
새로운 사용자(또는 비응답 호스트)가 인터페이스에서 인증되면, 시스템은 인터페이스와 연관된 방화벽 필터에 용어를 추가하고, 각 사용자에 대한 용어(정책)는 사용자의 MAC 주소와 연관됩니다. 각 사용자에 대한 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에서 볼 수 있듯이 User1이 EX 시리즈 스위치에 의해 인증되면 시스템은 방화벽 필터를 생성합니다.그림 1dynamic-filter-example User2가 인증되면 방화벽 필터에 다른 용어가 추가되는 식입니다.
이는 내부 프로세스의 개념적 모델로, 동적 필터에 액세스하거나 동적 필터를 볼 수 없습니다.
사용자(또는 비응답 호스트)가 인증된 후 인터페이스의 방화벽 필터가 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.
이 예에서는 방화벽 필터를 구성하여 서브넷에 위치한 파일 서버에 대해 인터페이스에서 인증된 각 엔드포인트의 요청을 계산하고, 트래픽 속도를 제한하도록 폴리서 정의를 설정합니다. 은(는) 이 예제의 네트워크 토폴로지를 보여줍니다. ge-0/0/2192.0.2.16/28그림 2
구성
802.1X 지원 인터페이스에서 여러 서플리컨트에 대한 방화벽 필터 구성:
여러 서플리컨트가 있는 인터페이스에서 방화벽 필터 구성
CLI 빠른 구성
802.1X 지원 인터페이스에서 여러 요청자에 대한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 스위치 터미널 창에 붙여넣습니다.
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1단계별 절차
여러 서플리컨트에 대해 활성화된 인터페이스에서 방화벽 필터를 구성하려면:
다중 서플리컨트 모드 인증을 위한 인터페이스 구성:ge-0/0/2
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
폴리서 정의 설정:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
각 사용자의 패킷을 계산하도록 방화벽 필터를 구성하고 트래픽 속도를 제한하는 폴리서를 구성합니다. 각각의 새 사용자가 다중 신청자 인터페이스에서 인증되면 이 필터 용어는 사용자에 대해 동적으로 생성된 용어에 포함됩니다.
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
결과
구성 결과를 확인합니다:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
검증
구성이 제대로 작동하는지 확인하려면 다음의 작업을 수행하십시오:
여러 요청자가 있는 인터페이스에서 방화벽 필터 확인
목적
방화벽 필터가 여러 서플리컨트가 있는 인터페이스에서 작동하는지 확인합니다.
작업
인터페이스에서 인증된 한 명의 사용자로 결과를 확인합니다. 이 경우 사용자는 다음에서 인증됩니다.ge-0/0/2
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
두 번째 사용자인 User2가 동일한 인터페이스에서 인증되면 인터페이스에서 인증된 두 사용자 모두에 대한 결과가 필터에 포함되는지 확인할 수 있습니다.ge-0/0/2
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
의미
명령 출력에 의해 표시되는 결과는 각 신규 사용자의 인증으로 생성된 동적 필터를 반영합니다.show dot1x firewall User1은 지정된 대상 주소에 있는 파일 서버에 100번 액세스했고 User2는 동일한 파일 서버에 400번 액세스했습니다.