EN ESTA PÁGINA
Interfaces habilitadas para autenticación 802.1X o MAC RADIUS
Los conmutadores de la serie EX admiten filtros de puerto de firewall. Los filtros de firewall de puerto se configuran en un solo conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro centralmente en el servidor RADIUS mediante el uso de atributos del servidor RADIUS. Los términos se aplican después de que un dispositivo se autentifica correctamente a través de 802.1X. Para obtener más información, lea este tema.
Ejemplo: Aplicación de un filtro de firewall a suplicantes autenticados por 802.1X mediante el uso de atributos de servidor RADIUS en un conmutador de la serie EX
Puede usar atributos de servidor RADIUS y un filtro de firewall de puerto para aplicar de forma centralizada términos a varios suplicantes (dispositivos finales) conectados a un conmutador de la serie EX en su empresa. Los términos se aplican después de que un dispositivo se autentifica correctamente a través de 802.1X. Si la configuración del filtro de firewall se modifica después de autenticar los dispositivos finales mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe terminarse y restablecerse para que los cambios en el filtro de firewall su efecto.
Los conmutadores de la serie EX admiten filtros de puerto de firewall. Los filtros de firewall de puerto se configuran en un solo conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro centralmente en el servidor RADIUS mediante el uso de atributos del servidor RADIUS.
El siguiente ejemplo usa FreeRADIUS para aplicar un filtro de firewall de puerto en un servidor RADIUS. Para obtener más información acerca de cómo configurar el servidor, consulte la documentación que se incluyó con el servidor RADIUS.
En este ejemplo se describe cómo configurar un filtro de firewall de puerto con términos, crear contadores para contar paquetes para los suplicantes, aplicar el filtro a los perfiles de usuario en el servidor RADIUS y mostrar los contadores para comprobar la configuración:
- Requisitos
- Descripción general y topología
- Configuración del filtro y los contadores de firewall de puerto
- Aplicación del filtro de firewall de puerto a los perfiles de usuario suplicante en el servidor RADIUS
- Verificación
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 9.3 o posterior para conmutadores serie EX
Un conmutador de la serie EX que actúa como una entidad de acceso a puerto (PAE) de autenticador. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de conectar el servidor al conmutador, asegúrese de que dispone de lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configuración de la autenticación 802.1X en el conmutador, con el modo suplicante para la interfaz ge-0/0/2 establecido en multiple. Consulte Configuración de la configuración de interfaz 802.1X (procedimiento de CLI) y un ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de múltiples suplicantes en un conmutador de la serie EX.
Usuarios configurados en el servidor de autenticación RADIUS (en este ejemplo, los perfiles de usuario para Suplicante 1 y Suplicant 2 en la topología se modifican en el servidor RADIUS).
Descripción general y topología
Cuando la configuración 802.1X en una interfaz se establece en multiple modo suplicante, puede aplicar un filtro de firewall de puerto único configurado a través de la CLI de Junos OS en el conmutador de la serie EX a cualquier número de dispositivos finales (suplicantes) agregando el filtro centralmente al servidor RADIUS. Solo se puede aplicar un único filtro a una interfaz; sin embargo, el filtro puede contener varios términos para dispositivos finales separados.
Para obtener más información acerca de los filtros de firewall, consulte Descripción general de filtros de firewall para conmutadores de la serie EX o descripción general de filtros de firewall (serie QFX).
Los atributos del servidor RADIUS se aplican al puerto al que se conecta el dispositivo final después de autenticarlo correctamente mediante 802.1X. Para autenticar un dispositivo final, el conmutador reenvía las credenciales del dispositivo final al servidor RADIUS. El servidor RADIUS hace coincidir las credenciales con información preconfigurada sobre el suplicante ubicado en el perfil de usuario del suplicante en el servidor RADIUS. Si se encuentra una coincidencia, el servidor RADIUS le indica al conmutador que abra una interfaz al dispositivo final. Luego, el tráfico fluye desde y hacia el dispositivo final en la LAN. Las instrucciones adicionales configuradas en el filtro de firewall de puerto y agregadas al perfil de usuario del dispositivo final mediante un atributo de servidor RADIUS definen aún más el acceso que se concede al dispositivo final. Los términos de filtrado configurados en el filtro de firewall de puerto se aplican al puerto donde se conecta el dispositivo final después de completar la autenticación 802.1X.
Si modifica el filtro de firewall de puerto después de que un dispositivo final se autentifique correctamente mediante 802.1X, debe finalizar y restablecer la sesión de autenticación 802.1X para que los cambios de configuración del filtro de firewall sean efectivos.
Topología
Figura 1 muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado a un conmutador EX4200 en el puerto de acceso ge-0/0/10. Dos dispositivos finales (suplicantes) acceden a la LAN en la interfaz ge-0/0/2. Suplicant 1 tiene la dirección MAC 00:50:8b:6f:60:3a. El suplicante 2 tiene la dirección MAC 00:50:8b:6f:60:3b.
Esta figura también se aplica a los conmutadores QFX5100.
Tabla 1 describe los componentes de esta topología.
| Propiedad | Configuración |
|---|---|
Hardware del conmutador |
Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 16 puertos que no son PoE y 8 puertos PoE. |
Un servidor RADIUS |
Base de datos de backend con la dirección 10.0.0.100 conectada al conmutador en el puerto ge-0/0/10. |
Suplicantes 802.1X conectados a la interfaz del conmutador en ge-0/0/2 |
|
Filtro de firewall de puerto que se aplicará en el servidor RADIUS |
filter1 |
Contadores |
counter1 cuenta paquetes del Suplicante 1 y counter2 cuenta paquetes del Suplicante 2. |
Agente de policía |
policer p1 |
Perfiles de usuario en el servidor RADIUS |
|
En este ejemplo, configure un filtro de firewall de puerto denominado filter1. El filtro contiene términos que se aplicarán a los dispositivos finales según las direcciones MAC de los dispositivos finales. Cuando se configura el filtro, también se configuran los contadores counter1 y counter2. Se cuentan los paquetes de cada dispositivo final, lo que le ayuda a comprobar que la configuración funciona. El agente de policía p1 limita la velocidad de tráfico según los valores para exceeding y discard los parámetros. A continuación, compruebe que el atributo del servidor RADIUS esté disponible en el servidor RADIUS y aplique el filtro a los perfiles de usuario de cada dispositivo final en el servidor RADIUS. Por último, compruebe la configuración mostrando el resultado de los dos contadores.
Configuración del filtro y los contadores de firewall de puerto
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un filtro de firewall de puerto con términos para Suplicante 1 y Suplicant 2 y crear contadores paralelos para cada suplicante, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
Procedimiento paso a paso
Para configurar un filtro y contadores de firewall de puerto en el conmutador:
Configure un filtro de firewall de puerto (aquí, filter1) con términos para cada dispositivo final basado en la dirección MAC de cada dispositivo final:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
Definición de set policer:
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
Cree dos contadores que contarán paquetes para cada dispositivo final y un agente de policía que limite la velocidad de tráfico:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
Resultados
Mostrar los resultados de la configuración:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
Aplicación del filtro de firewall de puerto a los perfiles de usuario suplicante en el servidor RADIUS
Procedimiento
Procedimiento paso a paso
Para comprobar que el atributo Filter-ID del servidor RADIUS está en el servidor RADIUS y aplicar el filtro a los perfiles de usuario:
Mostrar el diccionario dictionary.rfc2865 en el servidor RADIUS y comprobar que el atributo Filter-ID esté en el diccionario:
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
Cierre el archivo de diccionario.
Muestra los perfiles de usuario locales de los dispositivos finales a los que desea aplicar el filtro (aquí, se llama supplicant1 a los perfiles de usuario y supplicant2):
[root@freeradius]# cat /usr/local/etc/raddb/users
El resultado muestra:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"Aplique el filtro a ambos perfiles de usuario agregando la línea Filter-Id = “filter1” a cada perfil y, luego, cierre el archivo:
[root@freeradius]# cat /usr/local/etc/raddb/users
Después de pegar la línea en los archivos, los archivos se ven así:
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
Verificación
Verificar que el filtro se aplicó a los suplicantes
Propósito
Después de autenticar los dispositivos finales en la interfaz ge-0/0/2, compruebe que el filtro se ha configurado en el conmutador e incluya los resultados para ambos suplicantes:
Acción
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
Significado
El resultado del show dot1x firewall comando muestra counter1 y counter2. Los paquetes de User_1 se cuentan utilizando counter1, y los paquetes del usuario 2 se cuentan mediante counter2. El resultado muestra el incremento de paquetes para ambos contadores. El filtro se ha aplicado a ambos dispositivos finales.
Ejemplo: Aplicación de filtros de firewall a múltiples suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS
En los conmutadores de la serie EX, los filtros de firewall que aplica a interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador usa lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las políticas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.
En este ejemplo, se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):
Requisitos
En este ejemplo, se utilizan los siguientes componentes de hardware y software:
Junos OS versión 9.5 o posterior para conmutadores serie EX
Conmutador de la serie EX
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de firewall a una interfaz para su uso con varios suplicantes, asegúrese de que dispone de lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configuración de la autenticación 802.1X en el conmutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en multiple. Consulte Configuración de la configuración de interfaz 802.1X (procedimiento de CLI) y un ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de múltiples suplicantes en un conmutador de la serie EX.
Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Topología
Cuando la configuración 802.1X en una interfaz se establece en modo de múltiples suplicantes, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando un nuevo usuario (o un host que no responde) se autentica en una interfaz, el sistema agrega un término al filtro de firewall asociado con la interfaz, y el término (política) para cada usuario se asocia con la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en Figura 2, cuando user1 se autentica mediante el conmutador de la serie EX, el sistema crea el filtro dynamic-filter-examplede firewall. Cuando Se autentica User2, se agrega otro término al filtro de firewall, y así sucesivamente.
Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.
Si el filtro de firewall de la interfaz se modifica después de autenticar el usuario (o el host que no responde), las modificaciones no se reflejan en el filtro dinámico, a menos que el usuario se vuelva a autenticar.
En este ejemplo, configure un filtro de firewall para contar las solicitudes realizadas por cada punto de conexión autenticado en la interfaz ge-0/0/2 al servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establezca definiciones de policía para limitar la velocidad del tráfico. Figura 3 Muestra la topología de red para este ejemplo.
Configuración
Para configurar filtros de firewall para varios suplicantes en interfaces habilitadas para 802.1X:
Configuración de filtros de firewall en interfaces con múltiples suplicantes
Configuración rápida de CLI
Para configurar rápidamente los filtros de firewall para varios suplicantes en una interfaz habilitada con 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procedimiento paso a paso
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
Configure la interfaz ge-0/0/2 para la autenticación en modo suplicante múltiple:
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
Definición de set policer:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
Configure un filtro de firewall para contar paquetes de cada usuario y un agente de policía que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificación
Para confirmar que la configuración funciona correctamente, realice estas tareas:
Verificar filtros de firewall en interfaces con múltiples suplicantes
Propósito
Verifique que los filtros de firewall funcionen en la interfaz con varios suplicantes.
Acción
Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica en ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Cuando un segundo usuario, User2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados en la interfaz:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por el resultado del show dot1x firewall comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. User1 accedió al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que User2 accedió al mismo servidor de archivos 400 veces.
Ejemplo: Aplicación de filtros de firewall a múltiples suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS en conmutadores de la serie EX con soporte ELS
En este ejemplo, se usa Junos OS para conmutadores de la serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
En los conmutadores de la serie EX, los filtros de firewall que aplica a interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario enviadas al conmutador desde el servidor RADIUS. El conmutador usa lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las políticas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.
En este ejemplo, se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Este ejemplo también se aplica a los conmutadores QFX5100.
Junos OS versión 13.2 o posterior para conmutadores serie EX
Conmutador de la serie EX compatible con ELS
Un servidor de autenticación RADIUS. El servidor de autenticación actúa como la base de datos de backend y contiene información de credenciales para hosts (suplicantes) que tienen permiso para conectarse a la red.
Antes de aplicar filtros de firewall a una interfaz para su uso con varios suplicantes, asegúrese de que dispone de lo siguiente:
Configure una conexión entre el conmutador y el servidor RADIUS. Vea el ejemplo: Conexión de un servidor RADIUS para 802.1X a un conmutador de la serie EX.
Configuración de la autenticación 802.1X en el conmutador, con el modo de autenticación para la interfaz ge-0/0/2 establecido en
multiple. Consulte Configuración de la configuración de interfaz 802.1X (procedimiento de CLI) y un ejemplo: Configuración de 802.1X para configuraciones de un solo suplicante o de múltiples suplicantes en un conmutador de la serie EX.Usuarios configurados en el servidor de autenticación RADIUS.
Descripción general y topología
Topología
Cuando la configuración 802.1X en una interfaz se establece en modo de múltiples suplicantes, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.
Cuando un nuevo usuario (o un host que no responde) se autentica en una interfaz, el sistema agrega un término al filtro de firewall asociado con la interfaz, y el término (política) para cada usuario se asocia con la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en Figura 4, cuando el usuario 1 se autentica mediante el conmutador de la serie EX, el sistema agrega un término al filtro dynamic-filter-examplede firewall. Cuando se autentica el usuario 2, se agrega otro término al filtro de firewall, y así sucesivamente.
Esta figura también se aplica a los conmutadores QFX5100.
Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.
Si el filtro de firewall de la interfaz se modifica después de autenticar el usuario (o el host que no responde), las modificaciones no se reflejan en el filtro dinámico, a menos que el usuario se vuelva a autenticar.
En este ejemplo, configure un filtro de firewall para contar las solicitudes realizadas por cada punto de conexión autenticado en la interfaz ge-0/0/2 al servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y establecer definiciones de policía para limitar la velocidad del tráfico. Figura 5 muestra la topología de red para este ejemplo.
Configuración
Configuración de filtros de firewall en interfaces con múltiples suplicantes
Configuración rápida de CLI
Para configurar rápidamente los filtros de firewall para varios suplicantes en una interfaz habilitada con 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1Procedimiento paso a paso
Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:
Establezca la definición del agente de políticas:
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
Configure un filtro de firewall para contar paquetes de cada usuario y un agente de policía que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
Resultados
Compruebe los resultados de la configuración:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
Verificación
Verificar filtros de firewall en interfaces con múltiples suplicantes
Propósito
Verifique que los filtros de firewall funcionen en la interfaz con varios suplicantes.
Acción
Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en ge-0/0/2:
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
Cuando un segundo usuario, usuario 2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para ambos usuarios autenticados en la interfaz:
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
Significado
Los resultados mostrados por el resultado del show dot1x firewall comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario. El usuario 1 accedió al servidor de archivos ubicado en los tiempos de dirección 100 de destino especificados, mientras que el usuario 2 accedió a los mismos tiempos del servidor 400 de archivos.