Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para la autenticación 802.1 X o MAC RADIUS en enrutadores serie MX

A partir de Junos OS versión 14.2, en enrutadores serie MX, los filtros de firewall que aplique a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador usa lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las políticas de usuario del servidor de RADIUS y crear una política individualizada para cada uno de los varios usuarios o hosts no responsables que se autentican en la interfaz.

Este ejemplo describe cómo se crean filtros de Firewall dinámicos para varios suplicantes en una interfaz habilitada para la X 802.1 (los mismos principios que se muestran en este ejemplo se aplican a interfaces habilitadas para MAC RADIUS la autenticación):

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 14,2 o posterior para enrutadores de la serie MX

  • Un enrutador de la serie MX

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de Firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de que tiene:

  • Establecer una conexión entre el enrutador y el servidor RADIUS.

  • Autenticación 802.1X configurada en el enrutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en multiple .

  • Usuarios configurados en el servidor de autenticación RADIUS.

Descripción general y topología

Topología

Cuando la configuración de 802.1 X de una interfaz está establecida en modo suplicante múltiple, el sistema combina dinámicamente el filtro de Firewall de interfaz con las directivas de usuario enviadas al enrutador desde el servidor RADIUS durante la autenticación y crea términos separados para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, utilice contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica a un usuario nuevo (o a un host que no responde) en una interfaz, el sistema agrega un término al filtro de Firewall asociado con la interfaz, y el término (Directiva) de cada usuario se asocia al dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y en los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando user1 está autenticado por el enrutador serie MX, el sistema Figura 1 crea el filtro de dynamic-filter-example firewall. Cuando usuario2 se autentica, se agrega otro término al filtro del cortafuegos, etc.

Figura 1: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de cortafuegos de la interfaz se modifica después de autenticar al usuario (o host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se reautentique al usuario.

En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada punto de conexión autenticado en la interfaz al servidor de archivos, que se encuentra en una subred, y establecer definiciones de política para limitar la velocidad del tráfico. muestra la topología de red para este ge-0/0/2192.0.2.16/28Figura 2 ejemplo.

Figura 2: Varios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivos

Automática

Para configurar filtros de cortafuegos para varios suplicantes en interfaces habilitadas con X 802.1:

Configuración de filtros del servidor de seguridad en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros del cortafuegos para varios suplicantes en una interfaz habilitada con X 802.1 copie los comandos siguientes y péguelos en la ventana terminal del enrutador:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Configure la interfaz ge-0/0/2 para la autenticación de modo de suplicación múltiple:

  2. Definir definición de la policía:

  3. Configure un filtro de Firewall para contar paquetes de cada usuario y una policía que limite la velocidad de tráfico. Dado que cada nuevo usuario se autentica en la interfaz de suplicante múltiple, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de filtros de firewall en interfaces con varios suplicantes

Purpose

Compruebe que los filtros del firewall funcionan en la interfaz con varios suplicantes.

Intervención

  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica ge-0/0/2 en:

  2. Cuando un segundo usuario, User2, se autentica en la misma interfaz, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados ge-0/0/2 en la interfaz:

Efectos

Los resultados mostrados por show dot1x firewall los resultados del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. Usuario1 tuvo acceso al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que usuario2 tuvo acceso al mismo servidor de archivos 400 veces.

Tabla de historial de versiones
Liberación
Descripción
14.2
A partir de Junos OS versión 14,2, en enrutadores serie MX, los filtros de firewall que aplica a interfaces habilitadas para la autenticación 802.1 X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS.