예를 들면 다음과 같습니다. 802.1X용으로 활성화된 인터페이스의 여러 요청자에 방화벽 필터 적용 또는 MX 시리즈 라우터의 MAC RADIUS 인증
Junos OS 릴리스 14.2부터 MX 시리즈 라우터에서 802.1X 또는 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용하는 방화벽 필터가 RADIUS 서버에서 스위치로 전송되는 사용자별 정책과 동적으로 결합됩니다. 스위치는 내부 로직을 사용하여 인터페이스 방화벽 필터를 RADIUS 서버의 사용자 정책과 동적으로 결합하고 인터페이스에서 인증된 여러 사용자 또는 비응답 호스트 각각에 대해 개별화된 정책을 만듭니다.
이 예는 802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 동적 방화벽 필터가 어떻게 생성되는지 설명합니다(이 예에 표시된 동일한 원칙은 MAC RADIUS 인증을 위해 활성화된 인터페이스에 적용됨).
요구 사항
이 예는 다음과 같은 하드웨어 및 소프트웨어 구성 요소를 사용합니다.
Junos OS MX 시리즈 라우터용 릴리스 14.2 이상
MX 시리즈 라우터 1개
인증 서버 한 RADIUS. 인증 서버는 백엔드 데이터베이스 역할을 하며 네트워크에 연결할 수 있는 권한이 있는 호스트(서플리컨트)에 대한 자격 정보를 포함합니다.
여러 서플리컨트와 함께 사용하기 위해 인터페이스에 방화벽 필터를 적용하기 전에 다음을 확인하십시오.
라우터와 RADIUS 서버 간의 연결을 설정합니다.
인터페이스에 대한 ge-0/0/2 인증 모드가 로 설정된 multiple라우터에서 802.1X 인증 구성.
RADIUS 인증 서버에 구성된 사용자.
개요 및 토폴로지
토폴로지
인터페이스의 802.1X 구성이 다중 신청자 모드로 설정된 경우 시스템은 인증 중에 RADIUS 서버에서 라우터로 전송된 사용자 정책과 인터페이스 방화벽 필터를 동적으로 결합하고 각 사용자에 대해 별도의 용어를 만듭니다. 인터페이스에 인증된 각 사용자에 대해 별도의 용어가 있기 때문에 이 예에 표시된 대로 카운터를 사용하여 동일한 인터페이스에서 인증된 개별 사용자의 활동을 볼 수 있습니다.
인터페이스에서 새로운 사용자(또는 비응답 호스트)가 인증되면 시스템은 인터페이스와 연결된 방화벽 필터에 용어를 추가하고 각 사용자의 용어(정책)는 사용자의 MAC 주소 연결됩니다. 각 사용자의 용어는 RADIUS 서버에 설정된 사용자별 필터와 인터페이스에 구성된 필터를 기반으로 합니다. 예를 들어, 에 그림 1표시된 바와 같이 User1이 MX 시리즈 라우터에 의해 인증되면 시스템은 방화벽 필터 dynamic-filter-example를 생성합니다. User2가 인증되면 방화벽 필터 등에서 다른 용어가 추가됩니다.
이것은 내부 프로세스의 개념 모델입니다. 동적 필터에 액세스하거나 볼 수 없습니다.
인터페이스의 방화벽 필터가 사용자(또는 비응답 호스트)가 인증된 후에 수정되면 사용자가 재인증되지 않는 한 수정 사항이 동적 필터에 반영되지 않습니다.
이 예에서는 서브넷192.0.2.16/28에 위치한 파일 서버에 대한 인터페이스 ge-0/0/2 에서 인증된 각 엔드포인트의 요청을 카운트하기 위한 방화벽 필터를 구성하고 트래픽을 제한하도록 폴리서 정의를 설정합니다. 그림 2 은(는) 이 예의 네트워크 토폴로지를 보여줍니다.
구성
802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 방화벽 필터 구성 방법:
여러 요청자를 가진 인터페이스에서 방화벽 필터 구성
CLI 빠른 구성
802.1X 지원 인터페이스에서 여러 서플리컨트를 위한 방화벽 필터를 신속하게 구성하려면 다음 명령을 복사하여 라우터 터미널 창에 붙여 넣습니다.
[edit]
set protocols authentication-access-control interface ge-0/0/2 supplicant multiple
set firewall family bridge filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family bridge filter filter1 term term1 then count counter1
set firewall family bridge filter filter1 term term2 then policer p1단계별 절차
여러 서플리컨트를 위해 활성화된 인터페이스에서 방화벽 필터를 구성하려면 다음을 수행합니다.
다중 신청자 모드 인증을 위한 인터페이스 ge-0/0/2 를 구성합니다.
[edit protocols] user@router# set authentication-access-control interface ge-0/0/2 supplicant multiple
폴리서 정의 설정:
user@router# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
각 사용자와 트래픽 속도를 제한하는 폴리서의 패킷을 계산하도록 방화벽 필터를 구성합니다. 각 새 사용자가 다중 신청자 인터페이스에서 인증되면, 이 필터 용어는 사용자를 위해 동적으로 생성된 용어에 포함됩니다.
[edit firewall family bridge] user@router# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@router# set filter filter1 term term1 then count counter1 user@router# set filter filter1 term term2 then policer p1
결과
구성 결과를 확인합니다.
user@router> show configuration
firewall {
family bridge {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
authentication-access-control {
interface ge-0/0/2 {
supplicant multiple;
}
}
확인
구성이 제대로 작동하는지 확인하려면 다음 작업을 수행하십시오.
여러 요청자를 가진 인터페이스에서 방화벽 필터 확인
목적
방화벽 필터가 여러 개의 서플리컨트를 가진 인터페이스에서 작동하는지 확인합니다.
실행
인터페이스에서 인증된 사용자 한 을(를) 통해 결과를 확인합니다. 이 경우 사용자는 다음 에서 인증됩니다.ge-0/0/2
user@router> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
두 번째 사용자인 User2가 동일한 인터페이스에서 인증되면, ge-0/0/2필터가 인터페이스에서 인증된 두 사용자 모두에 대한 결과를 포함하는지 확인할 수 있습니다.
user@router>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
의미
명령 출력에 show dot1x firewall 의해 표시된 결과는 각 새 사용자의 인증으로 생성된 동적 필터를 반영합니다. User1은 지정된 대상 주소에 있는 파일 서버에 100번 액세스했고 User2는 동일한 파일 서버에 400번 액세스했습니다.