Ejemplo: Aplicación de filtros de firewall a múltiples suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS en enrutadores serie MX
A partir de Junos OS versión 14.2, en los enrutadores serie MX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador usa lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las políticas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.
En este ejemplo, se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 14.2 o posterior para enrutadores serie MX
Un enrutador serie MX
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de firewall a una interfaz para su uso con varios suplicantes, asegúrese de que dispone de lo siguiente:
Configure una conexión entre el enrutador y el servidor RADIUS.
Configuró la autenticación 802.1X en el enrutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en multiple.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Topología
Cuando la configuración 802.1X en una interfaz se establece en modo de múltiples suplicantes, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al enrutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando un nuevo usuario (o un host que no responde) se autentica en una interfaz, el sistema agrega un término al filtro de firewall asociado con la interfaz, y el término (política) para cada usuario se asocia con la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en Figura 1, cuando user1 se autentica mediante el enrutador de la serie MX, el sistema crea el filtro dynamic-filter-examplede firewall. Cuando Se autentica User2, se agrega otro término al filtro de firewall, y así sucesivamente.
Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.
Si el filtro de firewall de la interfaz se modifica después de autenticar el usuario (o el host que no responde), las modificaciones no se reflejan en el filtro dinámico, a menos que el usuario se vuelva a autenticar.
En este ejemplo, configure un filtro de firewall para contar las solicitudes realizadas por cada punto de conexión autenticado en la interfaz ge-0/0/2 al servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establezca definiciones de policía para limitar la velocidad del tráfico. Figura 2 Muestra la topología de red para este ejemplo.
Configuración
Para configurar filtros de firewall para varios suplicantes en interfaces habilitadas para 802.1X:
Configuración de filtros de firewall en interfaces con múltiples suplicantes
Configuración rápida de CLI
Para configurar rápidamente los filtros de firewall para varios suplicantes en una interfaz habilitada con 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:
[edit]
set protocols authentication-access-control interface ge-0/0/2 supplicant multiple
set firewall family bridge filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family bridge filter filter1 term term1 then count counter1
set firewall family bridge filter filter1 term term2 then policer p1Procedimiento paso a paso
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
Configure la interfaz ge-0/0/2 para la autenticación en modo suplicante múltiple:
[edit protocols] user@router# set authentication-access-control interface ge-0/0/2 supplicant multiple
Definición de set policer:
user@router# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configure un filtro de firewall para contar paquetes de cada usuario y un agente de policía que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family bridge] user@router# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@router# set filter filter1 term term1 then count counter1 user@router# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
user@router> show configuration
firewall {
family bridge {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
authentication-access-control {
interface ge-0/0/2 {
supplicant multiple;
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar filtros de firewall en interfaces con múltiples suplicantes
Propósito
Verifique que los filtros de firewall funcionen en la interfaz con varios suplicantes.
Acción
Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica en ge-0/0/2:
user@router> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Cuando un segundo usuario, User2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados en la interfaz:
user@router>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por el resultado del show dot1x firewall comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. User1 accedió al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que User2 accedió al mismo servidor de archivos 400 veces.