Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS en enrutadores de la serie MX

A partir de Junos OS versión 14.2, en los enrutadores de la serie MX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador utiliza lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las directivas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.

En este ejemplo se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 14.2 o posterior para enrutadores serie MX

  • Un enrutador serie MX

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de haber hecho lo siguiente:

  • Configure una conexión entre el enrutador y el servidor RADIUS.

  • Se configuró la autenticación 802.1X en el enrutador, con el modo de autenticación para la interfaz establecido en .ge-0/0/2multiple

  • Usuarios configurados en el servidor de autenticación RADIUS.

Descripción general y topología

Topología

Cuando la configuración 802.1X en una interfaz se establece en modo suplicante múltiple, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al enrutador desde el servidor RADIUS durante la autenticación y crea términos separados para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica un nuevo usuario (o un host que no responde) en una interfaz, el sistema agrega un término al filtro de firewall asociado a la interfaz y el término (política) de cada usuario se asocia a la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando el enrutador de la serie MX autentica User1, el sistema crea el filtro de firewall.Figura 1dynamic-filter-example Cuando se autentica Usuario2, se agrega otro término al filtro de firewall, etc.

Figura 1: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de firewall de la interfaz se modifica después de autenticar al usuario (o al host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se vuelva a autenticar al usuario.

En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada extremo autenticado en la interfaz del servidor de archivos, que se encuentra en la subred, y se establecen definiciones de aplicadores para limitar el tráfico. muestra la topología de red de este ejemplo. ge-0/0/2192.0.2.16/28Figura 2

Figura 2: Varios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivos

Configuración

Para configurar filtros de firewall para varios suplicantes en interfaces habilitadas para 802.1X:

Configuración de filtros de firewall en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros de firewall para múltiples suplicantes en una interfaz habilitada para 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del enrutador:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Configure la interfaz para la autenticación de modo suplicante múltiple:ge-0/0/2

  2. Establecer definición de aplicador de políticas:

  3. Configure un filtro de firewall para contar los paquetes de cada usuario y un aplicador de políticas que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación de filtros de firewall en interfaces con varios suplicantes

Propósito

Compruebe que los filtros de firewall funcionan en la interfaz con varios suplicantes.

Acción

  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica en :ge-0/0/2

  2. Cuando un segundo usuario, User2, se autentica en la misma interfaz, , puede comprobar que el filtro incluye los resultados para los dos usuarios autenticados en la interfaz:ge-0/0/2

Significado

Los resultados mostrados por la salida del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario.show dot1x firewall El usuario1 accedió al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que el usuario2 accedió al mismo servidor de archivos 400 veces.

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación
Descripción
14.2
A partir de Junos OS versión 14.2, en los enrutadores de la serie MX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS.