EN ESTA PÁGINA
Interfaces habilitadas para la autenticación 802.1X o MAC RADIUS
Los conmutadores de la serie EX admiten filtros de firewall de puerto. Los filtros de firewall de puertos se configuran en un único conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor RADIUS mediante atributos de servidor RADIUS. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1X. Para obtener más información, lea este tema.
Ejemplo: Aplicación de un filtro de firewall a suplicantes autenticados 802.1X mediante atributos de servidor RADIUS en un conmutador serie EX
Puede utilizar atributos de servidor RADIUS y un filtro de firewall de puertos para aplicar términos de forma centralizada a varios suplicantes (dispositivos finales) conectados a un conmutador de la serie EX en su empresa. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1X. Si la configuración del filtro de firewall se modifica después de autenticar los dispositivos finales mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe finalizar y restablecerse para que los cambios en el filtro de firewall surtan efecto.
Los conmutadores de la serie EX admiten filtros de firewall de puerto. Los filtros de firewall de puertos se configuran en un único conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor RADIUS mediante atributos de servidor RADIUS.
En el ejemplo siguiente se utiliza FreeRADIUS para aplicar un filtro de firewall de puertos en un servidor RADIUS. Para obtener información acerca de cómo configurar el servidor, consulte la documentación que se incluyó con el servidor RADIUS.
En este ejemplo se describe cómo configurar un filtro de firewall de puertos con términos, crear contadores para contar paquetes para los suplicantes, aplicar el filtro a los perfiles de usuario en el servidor RADIUS y mostrar los contadores para comprobar la configuración:
- Requisitos
- Descripción general y topología
- Configuración del filtro y los contadores del firewall de puertos
- Aplicación del filtro de firewall de puertos a los perfiles de usuario suplicantes en el servidor RADIUS
- Verificación
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.3 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al conmutador, asegúrese de tener:
Configure una conexión entre el conmutador y el servidor RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Se configuró la autenticación 802.1X en el conmutador, con el modo suplicante para la interfaz ge-0/0/2 establecido en multiple. Consulte Configuración de la interfaz 802.1X (procedimiento de la CLI) y ejemplo: Configuración de 802.1X para configuraciones de suplicante único o súplica múltiple en un conmutador de la serie EX.
Usuarios configurados en el servidor de autenticación RADIUS (en este ejemplo, los perfiles de usuario para Suplicante 1 y Suplicante 2 en la topología se modifican en el servidor RADIUS).
Descripción general y topología
Cuando la configuración 802.1X en una interfaz se establece en multiple modo suplicante, puede aplicar un filtro de firewall de puerto único configurado mediante la CLI de Junos OS en el conmutador serie EX a cualquier número de dispositivos finales (suplicantes) agregando el filtro de forma centralizada al servidor RADIUS. Solo se puede aplicar un filtro a una interfaz; Sin embargo, el filtro puede contener varios términos para dispositivos finales independientes.
Para obtener más información acerca de los filtros de firewall, consulte Descripción general de los filtros de firewall para conmutadores de la serie EX o Descripción general de los filtros de firewall (serie QFX).
Los atributos del servidor RADIUS se aplican al puerto donde está conectado el dispositivo final después de que el dispositivo se haya autenticado correctamente mediante 802.1X. Para autenticar un dispositivo final, el conmutador reenvía las credenciales del dispositivo final al servidor RADIUS. El servidor RADIUS compara las credenciales con la información preconfigurada sobre el suplicante ubicada en el perfil de usuario del solicitante en el servidor RADIUS. Si se encuentra una coincidencia, el servidor RADIUS indica al conmutador que abra una interfaz en el dispositivo final. Luego, el tráfico fluye desde y hacia el dispositivo final en la LAN. Las instrucciones adicionales configuradas en el filtro de firewall de puerto y agregadas al perfil de usuario del dispositivo final mediante un atributo de servidor RADIUS definen aún más el acceso que se concede al dispositivo final. Los términos de filtrado configurados en el filtro de firewall de puerto se aplican al puerto donde está conectado el dispositivo final después de completar la autenticación 802.1X.
Si modifica el filtro de firewall de puerto después de que un dispositivo final se haya autenticado correctamente mediante 802.1X, debe finalizar y restablecer la sesión de autenticación 802.1X para que los cambios en la configuración del filtro de firewall surtan efecto.
Topología
Figura 1 muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado a un conmutador EX4200 en el puerto de acceso ge-0/0/10. Dos dispositivos finales (suplicantes) acceden a la LAN en la interfaz ge-0/0/2. El suplicante 1 tiene la dirección MAC 00:50:8b:6f:60:3a. El suplicante 2 tiene la dirección MAC 00:50:8b:6f:60:3b.
Esta cifra también se aplica a QFX5100 conmutadores.

Tabla 1 Describe los componentes de esta topología.
Propiedad | Configuraciones |
---|---|
Hardware del conmutador |
Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE. |
Un servidor RADIUS |
Base de datos backend con la dirección 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10. |
Suplicantes 802.1X conectados a la interfaz de conmutador ge-0/0/2 |
|
Filtro de firewall de puerto que se aplicará en el servidor RADIUS |
filter1 |
Contadores |
counter1 cuenta los paquetes del suplicante 1 y counter2 cuenta los paquetes del suplicante 2. |
Aplicador de policía |
policer p1 |
Perfiles de usuario en el servidor RADIUS |
|
En este ejemplo, se configura un filtro de firewall de puertos denominado filter1. El filtro contiene términos que se aplicarán a los dispositivos finales en función de las direcciones MAC de los dispositivos finales. Al configurar el filtro, también se configuran los contadores counter1 y counter2. Se cuentan los paquetes de cada dispositivo final, lo que le ayuda a comprobar que la configuración funciona. Policer p1 limita la tasa de tráfico en función de los valores exceeding y discard parámetros. A continuación, compruebe que el atributo de servidor RADIUS está disponible en el servidor RADIUS y aplique el filtro a los perfiles de usuario de cada dispositivo final en el servidor RADIUS. Por último, compruebe la configuración mostrando los resultados de los dos contadores.
Configuración del filtro y los contadores del firewall de puertos
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall de puertos con términos para Suplicante 1 y Suplicante 2 y crear contadores paralelos para cada suplicante, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Procedimiento paso a paso
Para configurar un filtro de firewall de puertos y contadores en el conmutador:
Configure un filtro de firewall de puertos (aquí, filter1) con términos para cada dispositivo final en función de la dirección MAC de cada dispositivo final:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Establecer definición de aplicador de políticas:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Cree dos contadores que contarán paquetes para cada dispositivo final y un aplicador de políticas que limite la velocidad de tráfico:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term supplicant1 { from { source-mac-address { 00:50:8b:6f:60:3a; } } then count counter1; then policer p1; } term supplicant2 { from { source-mac-address { 00:50:8b:6f:60:3b; } } then count counter2; } } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1k; } then discard; }
Aplicación del filtro de firewall de puertos a los perfiles de usuario suplicantes en el servidor RADIUS
Procedimiento
Procedimiento paso a paso
Para comprobar que el atributo Filter-ID de servidor RADIUS está en el servidor RADIUS y aplicar el filtro a los perfiles de usuario:
Muestre el diccionario dictionary.rfc2865 en el servidor RADIUS y compruebe que el atributo Filter-ID está en el diccionario:
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Cierre el archivo de diccionario.
Muestre los perfiles de usuario local de los dispositivos finales a los que desea aplicar el filtro (aquí, se llaman supplicant1 los perfiles de usuario y supplicant2):
[root@freeradius]# cat /usr/local/etc/raddb/users
El resultado muestra:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"
Aplique el filtro a ambos perfiles de usuario agregando la línea Filter-Id = “filter1” a cada perfil y, a continuación, cierre el archivo:
[root@freeradius]# cat /usr/local/etc/raddb/users
Después de pegar la línea en los archivos, los archivos tienen este aspecto:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Verificación
Comprobación de que el filtro se ha aplicado a los suplicantes
Propósito
Después de autenticar los dispositivos finales en la interfaz ge-0/0/2, verifique que el filtro se haya configurado en el conmutador e incluya los resultados para ambos suplicantes:
Acción
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Significado
El resultado del show dot1x firewall
comando muestra counter1 y counter2. Los paquetes de User_1 se cuentan con counter1, y los paquetes del usuario 2 se cuentan con counter2. El resultado muestra el incremento de paquetes para ambos contadores. El filtro se ha aplicado a ambos dispositivos finales.
Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS
En los conmutadores de la serie EX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario que se envían al conmutador desde el servidor RADIUS. El conmutador utiliza lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las directivas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.
En este ejemplo se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.5 o posterior para conmutadores serie EX
Un conmutador de la serie EX
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de haber hecho lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Se configuró la autenticación 802.1X en el conmutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en multiple. Consulte Configuración de la interfaz 802.1X (procedimiento de la CLI) y ejemplo: Configuración de 802.1X para configuraciones de suplicante único o súplica múltiple en un conmutador de la serie EX.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Topología
Cuando la configuración 802.1X en una interfaz se establece en modo suplicante múltiple, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando se autentica un nuevo usuario (o un host que no responde) en una interfaz, el sistema agrega un término al filtro de firewall asociado a la interfaz y el término (política) de cada usuario se asocia a la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en Figura 2, cuando el conmutador de la serie EX autentica User1, el sistema crea el filtro dynamic-filter-examplede firewall . Cuando se autentica Usuario2, se agrega otro término al filtro de firewall, etc.

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.
Si el filtro de firewall de la interfaz se modifica después de autenticar al usuario (o al host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se vuelva a autenticar al usuario.
En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada extremo autenticado en la interfaz ge-0/0/2 del servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y se establecen definiciones de aplicadores para limitar el tráfico. Figura 3 muestra la topología de red de este ejemplo.

Configuración
Para configurar filtros de firewall para varios suplicantes en interfaces habilitadas para 802.1X:
Configuración de filtros de firewall en interfaces con varios suplicantes
Configuración rápida de CLI
Para configurar rápidamente filtros de firewall para varios suplicantes en una interfaz habilitada para 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
Procedimiento paso a paso
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
Configure la interfaz ge-0/0/2 para la autenticación de modo suplicante múltiple:
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Establecer definición de aplicador de políticas:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configure un filtro de firewall para contar los paquetes de cada usuario y un aplicador de políticas que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificación
Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:
Verificación de filtros de firewall en interfaces con varios suplicantes
Propósito
Compruebe que los filtros de firewall funcionan en la interfaz con varios suplicantes.
Acción
Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica en ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Cuando un segundo usuario, User2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para los dos usuarios autenticados en la interfaz:
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por la show dot1x firewall
salida del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario1 accedió al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que el usuario2 accedió al mismo servidor de archivos 400 veces.
Ejemplo: Aplicación de filtros de firewall a múltiples suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS en conmutadores de la serie EX con soporte ELS
En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
En los conmutadores de la serie EX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario que se envían al conmutador desde el servidor RADIUS. El conmutador utiliza lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las directivas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.
En este ejemplo se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 13.2 o posterior para conmutadores serie EX
Un conmutador de la serie EX compatible con ELS
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de haber hecho lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Consulte Ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Se configuró la autenticación 802.1X en el conmutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en
multiple
. Consulte Configuración de la interfaz 802.1X (procedimiento de la CLI) y ejemplo: Configuración de 802.1X para configuraciones de suplicante único o súplica múltiple en un conmutador de la serie EX.Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Topología
Cuando la configuración 802.1X en una interfaz se establece en modo suplicante múltiple, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando se autentica un nuevo usuario (o un host que no responde) en una interfaz, el sistema agrega un término al filtro de firewall asociado a la interfaz y el término (política) de cada usuario se asocia a la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en Figura 4, cuando el conmutador de la serie EX autentica el usuario 1, el sistema agrega un término al filtro dynamic-filter-exampledel cortafuegos. Cuando se autentica el usuario 2, se agrega otro término al filtro del firewall, etc.
Esta cifra también se aplica a QFX5100 conmutadores.

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.
Si el filtro de firewall de la interfaz se modifica después de autenticar al usuario (o al host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se vuelva a autenticar al usuario.
En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada extremo autenticado en la interfaz ge-0/0/2 al servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y se establecen definiciones de aplicadores para limitar la velocidad del tráfico. Figura 5 muestra la topología de red de este ejemplo.

Configuración
Configuración de filtros de firewall en interfaces con varios suplicantes
Configuración rápida de CLI
Para configurar rápidamente filtros de firewall para varios suplicantes en una interfaz habilitada para 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
Procedimiento paso a paso
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
Establezca la definición del aplicador de policía:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Configure un filtro de firewall para contar los paquetes de cada usuario y un aplicador de políticas que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term term1 { from { ip-destination-address { 192.0.2.16/28; } } then count counter1; term term2 { from { ip-destination-address { 192.0.2.16/28; } } then policer p1; } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1500; } then discard; } } protocols { dot1x { authenticator interface ge-0/0/2 { supplicant multiple; } } }
Verificación
Verificación de filtros de firewall en interfaces con varios suplicantes
Propósito
Compruebe que los filtros de firewall funcionan en la interfaz con varios suplicantes.
Acción
Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Cuando un segundo usuario, el usuario 2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para los dos usuarios autenticados en la interfaz:
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por la show dot1x firewall
salida del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario 1 accedió al servidor de archivos ubicado en las horas de dirección 100
de destino especificadas, mientras que el usuario 2 accedió a las mismas horas del servidor 400
de archivos.