Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces habilitadas para 802.1 de autenticación de RADIUS X o MAC

Los conmutadores de la serie EX admiten filtros de cortafuegos de puerto. Los filtros de cortafuegos de puerto se configuran en un solo conmutador de serie EX, pero para que funcionen en toda la empresa, deben estar configurados en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de Firewall de puertos en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor de RADIUS mediante los atributos de servidor de RADIUS. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1 X. Para obtener más información, lea este tema.

Ejemplo Aplicar un filtro de Firewall a los suplicantes autenticados X 802.1 mediante el uso de atributos de servidor RADIUS en un conmutador de serie EX

Puede utilizar los atributos del servidor RADIUS y un filtro de Firewall de puertos para aplicar los términos de forma centralizada a varios suplicantes (dispositivos finales) conectados a un conmutador de la serie EX de su empresa. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1 X. Si se modifica la configuración del filtro del cortafuegos después de autenticar los dispositivos por medio de la autenticación 802.1 X, la sesión de autenticación de 802.1 X debe finalizar y restablecerse para que surtan efecto los cambios en el filtro del firewall.

Los conmutadores de la serie EX admiten filtros de cortafuegos de puerto. Los filtros de cortafuegos de puerto se configuran en un solo conmutador de serie EX, pero para que funcionen en toda la empresa, deben estar configurados en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de Firewall de puertos en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor de RADIUS mediante los atributos de servidor de RADIUS.

El siguiente ejemplo utiliza FreeRADIUS para aplicar un filtro de Firewall de puertos en un servidor RADIUS. Para obtener más información acerca de cómo configurar el servidor, consulte la documentación que se incluye con el servidor de RADIUS.

Este ejemplo describe cómo configurar un filtro de Firewall de puertos con términos, cómo crear contadores para contar paquetes para los suplicantes, cómo aplicar el filtro a los perfiles de usuario en el servidor RADIUS y cómo mostrar los contadores para comprobar la configuración:

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 9,3 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX que actúe como una entidad de acceso a puertos (PAE) del autenticador. Los puertos del autenticador PAE forman una puerta de control que bloquea todo el tráfico entrante y no de los suplicantes hasta que se autentiquen.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de que dispone de:

Descripción general y topología

Cuando la configuración 802.1X en una interfaz se establece en modo supplicante, puede aplicar un filtro de firewall de un solo puerto configurado mediante el Junos OS CLI en el conmutador de la serie EX a cualquier número de dispositivos finales (supplicantes) agregando el filtro de forma multiple centralizada al servidor RADIUS. Solo se puede aplicar un filtro a una interfaz; sin embargo, el filtro puede contener varios términos para dispositivos de extremo independientes.

Para obtener más información acerca de los filtros de firewall, consulte Descripción general de los filtros de firewall para conmutadores serie EX o Descripción general de los filtros de firewall (serie QFX).

RADIUS atributos del servidor se aplican al puerto en el que se conecta el dispositivo final una vez que el dispositivo se ha autenticado correctamente mediante 802.1 X. Para autenticar un dispositivo final, el conmutador reenvía los credenciales del dispositivo final al RADIUS terminal. El RADIUS hace juego los credenciales con la información preconfigurada del suplicante que se encuentra en el perfil de usuario del RADIUS servidor. Si se encuentra una coincidencia, el servidor de RADIUS indica al conmutador que abra una interfaz con el dispositivo final. A continuación, el tráfico fluye desde y hacia el dispositivo final en la LAN. Otras instrucciones configuradas en el filtro de firewall de puerto y agregadas al perfil de usuario del dispositivo final mediante un atributo de servidor RADIUS definen aún más el acceso que se concede al dispositivo final. Los términos de filtrado configurados en el filtro de cortafuegos de puertos se aplican al puerto al que se conecta el dispositivo final una vez completada la autenticación 802.1 X.

Nota:

Si modifica el filtro de cortafuegos de puerto después de que un dispositivo final se autentique correctamente mediante 802.1 X, debe terminar y volver a establecer la sesión de autenticación 802.1 X para que surtan efecto los cambios en la configuración del filtro de Firewall.

Topología

Figura 1muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado a un conmutador EX4200 en el puerto de acceso GE-0/0/10. Dos dispositivos de extremo (suplicantes) tienen acceso a la LAN en la interfaz GE-0/0/2. El suplicante 1 tiene el dirección MAC 00:50:8B: 6F: 60:3A. El suplicante 2 tiene el dirección MAC 00:50:8B: 6F: 60:3B.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 1: Topología para filtros firewall y RADIUS configuración de atributos de servidorTopología para filtros firewall y RADIUS configuración de atributos de servidor

Tabla 1describe los componentes de esta topología.

Tabla 1: Componentes del filtro firewall y RADIUS topología de atributos de servidor
Inspector Configuraciones

Cambiar el hardware

Conmutador de EX4200 de acceso, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE.

Un servidor RADIUS

Base de datos de backend con 10.0.0.100 la dirección conectada al conmutador en el ge-0/0/10 puerto.

802.1 x solicitantes conectados al conmutador en la interfaz ge-0/0/2

  • Supplicant 1 tiene dirección 00:50:8b:6f:60:3a MAC.

  • Supplicant 2 tiene dirección 00:50:8b:6f:60:3b MAC.

Filtro de Firewall de puertos que se aplica en el servidor RADIUS

filter1

Los contadores

counter1 cuenta los paquetes del supplicante 1 y counter2 cuenta los paquetes del supplicante 2.

Policía

policer p1

Perfiles de usuario en el servidor RADIUS

  • El supplicant 1 tiene el perfil de supplicant1 usuario.

  • El supplicant 2 tiene el perfil de supplicant2 usuario.

En este ejemplo, se configura un filtro de firewall de puerto llamado filter1 . El filtro contiene los términos que se aplicarán a los dispositivos de fin basados en las direcciones MAC de los dispositivos de extremo. Cuando configure el filtro, también configure los contadores counter1 y counter2 . Se cuentan los paquetes de cada dispositivo de extremo, lo que le ayudará a comprobar que la configuración funciona correctamente. El agente p1 de policía limita la velocidad de tráfico según los valores y los exceedingdiscard parámetros. Después, comprueba que el atributo RADIUS Server está disponible en el servidor RADIUS y aplica el filtro a los perfiles de usuario de cada dispositivo de extremo en el servidor RADIUS. Por último, para comprobar la configuración, se muestra Output para los dos contadores.

Configuración del filtro y de los contadores del cortafuegos de puertos

Modalidades

Configuración rápida de CLI

Para configurar rápidamente un filtro de Firewall de puertos con los términos del suplicante 1 y el solicitante 2, y crear contadores en paralelo para cada suplicante, copie los siguientes comandos y péguelos en la ventana de terminal del conmutador:

Procedimiento paso a paso

Para configurar un filtro de Firewall de puertos y los contadores en el conmutador:

  1. Configure un filtro de firewall de puerto (aquí) con términos para cada dispositivo final según la filter1 dirección MAC de cada dispositivo final:

  2. Definir definición de la policía:

  3. Cree dos contadores que cuenten con un número de paquetes para cada dispositivo de extremo y un policía que limite la velocidad de tráfico:

Resultados

Mostrar los resultados de la configuración:

Aplicación del filtro de Firewall de puertos a los perfiles de usuario del suplicante en el servidor RADIUS

Modalidades

Procedimiento paso a paso

Para comprobar que el atributo RADIUS servidor está en el servidor RADIUS y aplicar el filtro Filter-ID a los perfiles de usuario:

  1. Mostrar el diccionario en el RADIUS y comprobar que el dictionary.rfc2865 atributo se encuentra en el Filter-ID diccionario:

  2. Cierre el archivo del diccionario.

  3. Muestra los perfiles de usuario locales de los dispositivos finales a los que desea aplicar el filtro (aquí se llama a los perfiles de usuario supplicant1 y supplicant2 ):

    El resultado muestra:

  4. Aplique el filtro a ambos perfiles de usuario agregando la línea Filter-Id = “filter1” a cada perfil y, luego, cierre el archivo:

    Después de pegar la línea en los archivos, los archivos tienen el siguiente aspecto:

Comproba

Comprobando que el filtro se ha aplicado a los suplicantes

Purpose

Una vez que los dispositivos finales se autentiquen en la interfaz GE-0/0/2, compruebe que el filtro se ha configurado en el conmutador e incluya los resultados de ambos suplicantes:

Intervención
Efectos

El resultado del show dot1x firewall comando muestra counter1 y counter2 . Los paquetes User_1 se cuentan mediante, y los paquetes del usuario counter1 2 se cuentan mediante counter2 . El resultado muestra los paquetes que aumentan para ambos contadores. El filtro se ha aplicado a los dos dispositivos de fin.

Ejemplo Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para la autenticación 802.1 X o MAC RADIUS

En los conmutadores de la serie EX, los filtros de cortafuegos que se aplican a interfaces habilitadas para 802.1 X o MAC RADIUS autenticación se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador utiliza la lógica interna para combinar dinámicamente el filtro de Firewall de interfaz con las directivas de usuario del servidor de RADIUS y crear una directiva individualizada para cada uno de los varios usuarios o hosts que no responden que se autentican en la interfaz.

Este ejemplo describe cómo se crean filtros de Firewall dinámicos para varios suplicantes en una interfaz habilitada para la X 802.1 (los mismos principios que se muestran en este ejemplo se aplican a interfaces habilitadas para MAC RADIUS la autenticación):

Aplicables

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 9,5 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de Firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de que tiene:

Descripción general y topología

Topología

Cuando la configuración de 802.1 X de una interfaz está establecida en modo suplicante múltiple, el sistema combina dinámicamente el filtro de Firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos separados para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, utilice contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica a un usuario nuevo (o a un host que no responde) en una interfaz, el sistema agrega un término al filtro de Firewall asociado con la interfaz, y el término (Directiva) de cada usuario se asocia al dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y en los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando user1 está autenticado por el conmutador de la serie EX, el sistema Figura 2 crea el filtro de dynamic-filter-example firewall. Cuando usuario2 se autentica, se agrega otro término al filtro del cortafuegos, etc.

Figura 2: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de cortafuegos de la interfaz se modifica después de autenticar al usuario (o host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se reautentique al usuario.

En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada punto de conexión autenticado en la interfaz al servidor de archivos, que se encuentra en una subred, y establecer definiciones de política para limitar la velocidad del tráfico. muestra la topología de red para este ge-0/0/2192.0.2.16/28Figura 3 ejemplo.

Figura 3: Varios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivos

Automática

Para configurar filtros de cortafuegos para varios suplicantes en interfaces habilitadas con X 802.1:

Configuración de filtros del servidor de seguridad en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros del cortafuegos para varios suplicantes en una interfaz habilitada con X 802.1 copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Configure la interfaz ge-0/0/2 para la autenticación de modo de suplicación múltiple:

  2. Definir definición de la policía:

  3. Configure un filtro de Firewall para contar paquetes de cada usuario y una policía que limite la velocidad de tráfico. Dado que cada nuevo usuario se autentica en la interfaz de suplicante múltiple, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Comproba

Para confirmar que la configuración funciona correctamente, realice estas tareas:

Comprobación de filtros de firewall en interfaces con varios suplicantes

Purpose

Compruebe que los filtros del firewall funcionan en la interfaz con varios suplicantes.

Intervención
  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica ge-0/0/2 en:

  2. Cuando un segundo usuario, User2, se autentica en la misma interfaz, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados ge-0/0/2 en la interfaz:

Efectos

Los resultados mostrados por show dot1x firewall los resultados del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. Usuario1 tuvo acceso al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que usuario2 tuvo acceso al mismo servidor de archivos 400 veces.

Ejemplo Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1 X o MAC RADIUS en conmutadores de la serie EX con compatibilidad con ELS

Nota:

En este ejemplo se utiliza Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 software (ELS). Si su conmutador ejecuta software que no admite ELS, consulte ejemplo: Aplicar filtros de Firewall a varios suplicantes en interfaces habilitadas para la autenticación802.1 x o Mac RADIUS. Para obtener detalles de ELS, consulte uso de la avanzada CLI de software de capa 2.

En los conmutadores de la serie EX, los filtros de cortafuegos que se aplican a interfaces habilitadas para 802.1 X o MAC RADIUS autenticación se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador utiliza la lógica interna para combinar dinámicamente el filtro de Firewall de interfaz con las directivas de usuario del servidor de RADIUS y crear una directiva individualizada para cada uno de los varios usuarios o hosts que no responden que se autentican en la interfaz.

Este ejemplo describe cómo se crean filtros de Firewall dinámicos para varios suplicantes en una interfaz habilitada para la X 802.1 (los mismos principios que se muestran en este ejemplo se aplican a interfaces habilitadas para MAC RADIUS la autenticación):

Aplicables

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a conmutadores QFX5100.

  • Junos OS versión 13,2 o posterior para conmutadores de la serie EX

  • Un conmutador de la serie EX con compatibilidad para ELS

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos del servidor y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de Firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de que tiene:

Descripción general y topología

Topología

Cuando la configuración de 802.1 X de una interfaz está establecida en modo suplicante múltiple, el sistema combina dinámicamente el filtro Firewall de interfaz con las directivas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, utilice contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica a un usuario nuevo (o a un host que no responde) en una interfaz, el sistema agrega un término al filtro de Firewall asociado con la interfaz, y el término (Directiva) de cada usuario se asocia al dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y en los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando el conmutador de la serie EX autentica al usuario 1, el sistema agrega un Figura 4 término al filtro de dynamic-filter-example firewall. Cuando el usuario 2 se autentica, se agrega otro término al filtro del firewall, y así sucesivamente.

Nota:

Esta cifra también se aplica a los conmutadores QFX5100.

Figura 4: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de cortafuegos de la interfaz se modifica después de autenticar al usuario (o host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se reautentique al usuario.

En este ejemplo, puede configurar un filtro de Firewall para contar las peticiones realizadas por cada extremo autenticado en la interfaz GE-0/0/2 para el servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establecer definiciones de policía para limitar el tráfico. Figura 5 muestra la topología de red de este ejemplo.

Figura 5: Varios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada por X 802.1 que se conecta a un servidor de archivos

Automática

Configuración de filtros del servidor de seguridad en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros del cortafuegos para varios suplicantes en una interfaz habilitada con X 802.1 copie los comandos siguientes y péguelos en la ventana del conmutador de terminal:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Definir la definición de la policía:

  2. Configure un filtro de Firewall para contar paquetes de cada usuario y una policía que limite la velocidad de tráfico. Dado que cada nuevo usuario se autentica en la interfaz de suplicante múltiple, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Comproba

Comprobación de filtros de firewall en interfaces con varios suplicantes

Purpose

Compruebe que los filtros del firewall funcionan en la interfaz con varios suplicantes.

Intervención
  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en ge-0/0/2:

  2. Cuando un segundo usuario, el usuario 2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados en la interfaz:

Efectos

Los resultados mostrados por show dot1x firewall los resultados del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario 1 accede al servidor de archivos situado en los tiempos de dirección de destino especificados, mientras que el usuario 2 accede a los mismos tiempos 100 de servidor de 400 archivos.