Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces habilitadas para la autenticación 802.1X o MAC RADIUS

Los conmutadores de la serie EX admiten filtros de firewall de puerto. Los filtros de firewall de puertos se configuran en un único conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor RADIUS mediante atributos de servidor RADIUS. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1X. Para obtener más información, lea este tema.

Ejemplo: Aplicación de un filtro de firewall a suplicantes autenticados 802.1X mediante atributos de servidor RADIUS en un conmutador serie EX

Puede utilizar atributos de servidor RADIUS y un filtro de firewall de puertos para aplicar términos de forma centralizada a varios suplicantes (dispositivos finales) conectados a un conmutador de la serie EX en su empresa. Los términos se aplican después de que un dispositivo se autentica correctamente a través de 802.1X. Si la configuración del filtro de firewall se modifica después de autenticar los dispositivos finales mediante la autenticación 802.1X, la sesión de autenticación 802.1X establecida debe finalizar y restablecerse para que los cambios en el filtro de firewall surtan efecto.

Los conmutadores de la serie EX admiten filtros de firewall de puerto. Los filtros de firewall de puertos se configuran en un único conmutador de la serie EX, pero para que funcionen en toda la empresa, deben configurarse en varios conmutadores. Para reducir la necesidad de configurar el mismo filtro de firewall de puerto en varios conmutadores, puede aplicar el filtro de forma centralizada en el servidor RADIUS mediante atributos de servidor RADIUS.

En el ejemplo siguiente se utiliza FreeRADIUS para aplicar un filtro de firewall de puertos en un servidor RADIUS. Para obtener información acerca de cómo configurar el servidor, consulte la documentación que se incluyó con el servidor RADIUS.

En este ejemplo se describe cómo configurar un filtro de firewall de puertos con términos, crear contadores para contar paquetes para los suplicantes, aplicar el filtro a los perfiles de usuario en el servidor RADIUS y mostrar los contadores para comprobar la configuración:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 9.3 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX que actúa como entidad de acceso al puerto (PAE) de autenticación. Los puertos del PAE del autenticador forman una puerta de control que bloquea todo el tráfico hacia y desde los suplicantes hasta que se autentican.

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de conectar el servidor al conmutador, asegúrese de tener:

Descripción general y topología

Cuando la configuración 802.1X en una interfaz se establece en modo suplicante, puede aplicar un filtro de firewall de puerto único configurado mediante la CLI de Junos OS en el conmutador serie EX a cualquier número de dispositivos finales (suplicantes) agregando el filtro de forma centralizada al servidor RADIUS.multiple Solo se puede aplicar un filtro a una interfaz; Sin embargo, el filtro puede contener varios términos para dispositivos finales independientes.

Para obtener más información acerca de los filtros de firewall, consulte Descripción general de los filtros de firewall para conmutadores de la serie EX o Descripción general de los filtros de firewall (serie QFX).Firewall Filters for EX Series Switches OverviewOverview of Firewall Filters (QFX Series)

Los atributos del servidor RADIUS se aplican al puerto donde está conectado el dispositivo final después de que el dispositivo se haya autenticado correctamente mediante 802.1X. Para autenticar un dispositivo final, el conmutador reenvía las credenciales del dispositivo final al servidor RADIUS. El servidor RADIUS compara las credenciales con la información preconfigurada sobre el suplicante ubicada en el perfil de usuario del solicitante en el servidor RADIUS. Si se encuentra una coincidencia, el servidor RADIUS indica al conmutador que abra una interfaz en el dispositivo final. Luego, el tráfico fluye desde y hacia el dispositivo final en la LAN. Las instrucciones adicionales configuradas en el filtro de firewall de puerto y agregadas al perfil de usuario del dispositivo final mediante un atributo de servidor RADIUS definen aún más el acceso que se concede al dispositivo final. Los términos de filtrado configurados en el filtro de firewall de puerto se aplican al puerto donde está conectado el dispositivo final después de completar la autenticación 802.1X.

Nota:

Si modifica el filtro de firewall de puerto después de que un dispositivo final se haya autenticado correctamente mediante 802.1X, debe finalizar y restablecer la sesión de autenticación 802.1X para que los cambios en la configuración del filtro de firewall surtan efecto.

Topología

Figura 1 muestra la topología utilizada para este ejemplo. El servidor RADIUS está conectado a un conmutador EX4200 en el puerto de acceso ge-0/0/10. Dos dispositivos finales (suplicantes) acceden a la LAN en la interfaz ge-0/0/2. El suplicante 1 tiene la dirección MAC 00:50:8b:6f:60:3a. El suplicante 2 tiene la dirección MAC 00:50:8b:6f:60:3b.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Figura 1: Topología para el filtro de firewall y la configuración de atributos del servidor RADIUSTopología para el filtro de firewall y la configuración de atributos del servidor RADIUS

Tabla 1 Describe los componentes de esta topología.

Tabla 1: Componentes del filtro de firewall y topología de atributos del servidor RADIUS
Propiedad Configuraciones

Hardware del conmutador

Conmutador de acceso EX4200, 24 puertos Gigabit Ethernet: 16 puertos no PoE y 8 puertos PoE.

Un servidor RADIUS

Base de datos backend con la dirección conectada al conmutador en el puerto .10.0.0.100ge-0/0/10

Suplicantes 802.1X conectados a la interfaz de conmutador ge-0/0/2

  • tiene dirección MAC .Supplicant 100:50:8b:6f:60:3a

  • tiene dirección MAC .Supplicant 200:50:8b:6f:60:3b

Filtro de firewall de puerto que se aplicará en el servidor RADIUS

filter1

Contadores

cuenta los paquetes del suplicante 1 y cuenta los paquetes del suplicante 2.counter1counter2

Aplicador de policía

policer p1

Perfiles de usuario en el servidor RADIUS

  • El suplicante 1 tiene el perfil de usuario.supplicant1

  • El suplicante 2 tiene el perfil de usuario.supplicant2

En este ejemplo, se configura un filtro de firewall de puertos denominado .filter1 El filtro contiene términos que se aplicarán a los dispositivos finales en función de las direcciones MAC de los dispositivos finales. Al configurar el filtro, también se configuran los contadores y .counter1counter2 Se cuentan los paquetes de cada dispositivo final, lo que le ayuda a comprobar que la configuración funciona. Policer limita la tasa de tráfico en función de los valores y parámetros.p1exceedingdiscard A continuación, compruebe que el atributo de servidor RADIUS está disponible en el servidor RADIUS y aplique el filtro a los perfiles de usuario de cada dispositivo final en el servidor RADIUS. Por último, compruebe la configuración mostrando los resultados de los dos contadores.

Configuración del filtro y los contadores del firewall de puertos

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un filtro de firewall de puertos con términos para Suplicante 1 y Suplicante 2 y crear contadores paralelos para cada suplicante, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar un filtro de firewall de puertos y contadores en el conmutador:

  1. Configure un filtro de firewall de puertos (aquí, ) con términos para cada dispositivo final en función de la dirección MAC de cada dispositivo final:filter1

  2. Establecer definición de aplicador de políticas:

  3. Cree dos contadores que contarán paquetes para cada dispositivo final y un aplicador de políticas que limite la velocidad de tráfico:

Resultados

Mostrar los resultados de la configuración:

Aplicación del filtro de firewall de puertos a los perfiles de usuario suplicantes en el servidor RADIUS

Procedimiento

Procedimiento paso a paso

Para comprobar que el atributo de servidor RADIUS está en el servidor RADIUS y aplicar el filtro a los perfiles de usuario:Filter-ID

  1. Muestre el diccionario en el servidor RADIUS y compruebe que el atributo está en el diccionario:dictionary.rfc2865Filter-ID

  2. Cierre el archivo de diccionario.

  3. Muestre los perfiles de usuario local de los dispositivos finales a los que desea aplicar el filtro (aquí, se llaman los perfiles de usuario y ):supplicant1supplicant2

    El resultado muestra:

  4. Aplique el filtro a ambos perfiles de usuario agregando la línea a cada perfil y, a continuación, cierre el archivo:Filter-Id = “filter1”

    Después de pegar la línea en los archivos, los archivos tienen este aspecto:

Verificación

Comprobación de que el filtro se ha aplicado a los suplicantes

Propósito

Después de autenticar los dispositivos finales en la interfaz ge-0/0/2, verifique que el filtro se haya configurado en el conmutador e incluya los resultados para ambos suplicantes:

Acción
Significado

El resultado del comando muestra y .show dot1x firewallcounter1counter2 Los paquetes de User_1 se cuentan con , y los paquetes del usuario 2 con .counter1counter2 El resultado muestra el incremento de paquetes para ambos contadores. El filtro se ha aplicado a ambos dispositivos finales.

Ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS

En los conmutadores de la serie EX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario que se envían al conmutador desde el servidor RADIUS. El conmutador utiliza lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las directivas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.

En este ejemplo se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 9.5 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de haber hecho lo siguiente:

Descripción general y topología

Topología

Cuando la configuración 802.1X en una interfaz se establece en modo suplicante múltiple, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica un nuevo usuario (o un host que no responde) en una interfaz, el sistema agrega un término al filtro de firewall asociado a la interfaz y el término (política) de cada usuario se asocia a la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando el conmutador de la serie EX autentica User1, el sistema crea el filtro de firewall .Figura 2dynamic-filter-example Cuando se autentica Usuario2, se agrega otro término al filtro de firewall, etc.

Figura 2: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de firewall de la interfaz se modifica después de autenticar al usuario (o al host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se vuelva a autenticar al usuario.

En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada extremo autenticado en la interfaz del servidor de archivos, que se encuentra en la subred, y se establecen definiciones de aplicadores para limitar el tráfico. muestra la topología de red de este ejemplo. ge-0/0/2192.0.2.16/28Figura 3

Figura 3: Varios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivos

Configuración

Para configurar filtros de firewall para varios suplicantes en interfaces habilitadas para 802.1X:

Configuración de filtros de firewall en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros de firewall para varios suplicantes en una interfaz habilitada para 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Configure la interfaz para la autenticación de modo suplicante múltiple:ge-0/0/2

  2. Establecer definición de aplicador de políticas:

  3. Configure un filtro de firewall para contar los paquetes de cada usuario y un aplicador de políticas que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Verificación

Para confirmar que la configuración funcione correctamente, realice las siguientes tareas:

Verificación de filtros de firewall en interfaces con varios suplicantes

Propósito

Compruebe que los filtros de firewall funcionan en la interfaz con varios suplicantes.

Acción
  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario se autentica en :ge-0/0/2

  2. Cuando un segundo usuario, User2, se autentica en la misma interfaz, , puede comprobar que el filtro incluye los resultados para los dos usuarios autenticados en la interfaz:ge-0/0/2

Significado

Los resultados mostrados por la salida del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario.show dot1x firewall El usuario1 accedió al servidor de archivos ubicado en la dirección de destino especificada 100 veces, mientras que el usuario2 accedió al mismo servidor de archivos 400 veces.

Ejemplo: Aplicación de filtros de firewall a múltiples suplicantes en interfaces habilitadas para la autenticación 802.1X o MAC RADIUS en conmutadores de la serie EX con soporte ELS

Nota:

En este ejemplo se utiliza Junos OS para conmutadores serie EX compatibles con el estilo de configuración Enhanced Layer 2 Software (ELS). Si el conmutador ejecuta software que no admite ELS, consulte el ejemplo: Aplicación de filtros de firewall a varios suplicantes en interfaces habilitadas para autenticación 802.1X o MAC RADIUS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

En los conmutadores de la serie EX, los filtros de firewall que se aplican a las interfaces habilitadas para la autenticación 802.1X o MAC RADIUS se combinan dinámicamente con las políticas por usuario que se envían al conmutador desde el servidor RADIUS. El conmutador utiliza lógica interna para combinar dinámicamente el filtro de firewall de interfaz con las directivas de usuario del servidor RADIUS y crear una política individualizada para cada uno de los múltiples usuarios o hosts que no responden que se autentican en la interfaz.

En este ejemplo se describe cómo se crean filtros de firewall dinámicos para varios suplicantes en una interfaz habilitada para 802.1X (los mismos principios que se muestran en este ejemplo se aplican a las interfaces habilitadas para la autenticación MAC RADIUS):

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

Nota:

Este ejemplo también se aplica a los conmutadores QFX5100.

  • Junos OS versión 13.2 o posterior para conmutadores serie EX

  • Un conmutador de la serie EX compatible con ELS

  • Un servidor de autenticación RADIUS. El servidor de autenticación actúa como base de datos back-end y contiene información de credenciales para los hosts (suplicantes) que tienen permiso para conectarse a la red.

Antes de aplicar filtros de firewall a una interfaz para utilizarlos con varios suplicantes, asegúrese de haber hecho lo siguiente:

Descripción general y topología

Topología

Cuando la configuración 802.1X en una interfaz se establece en modo suplicante múltiple, el sistema combina dinámicamente el filtro de firewall de interfaz con las políticas de usuario enviadas al conmutador desde el servidor RADIUS durante la autenticación y crea términos independientes para cada usuario. Dado que hay términos independientes para cada usuario autenticado en la interfaz, puede, como se muestra en este ejemplo, usar contadores para ver las actividades de usuarios individuales que se autentican en la misma interfaz.

Cuando se autentica un nuevo usuario (o un host que no responde) en una interfaz, el sistema agrega un término al filtro de firewall asociado a la interfaz y el término (política) de cada usuario se asocia a la dirección MAC del usuario. El término para cada usuario se basa en los filtros específicos del usuario establecidos en el servidor RADIUS y los filtros configurados en la interfaz. Por ejemplo, como se muestra en , cuando el conmutador de la serie EX autentica el usuario 1, el sistema agrega un término al filtro del cortafuegos.Figura 4dynamic-filter-example Cuando se autentica el usuario 2, se agrega otro término al filtro del firewall, etc.

Nota:

Esta cifra también se aplica a QFX5100 conmutadores.

Figura 4: Modelo conceptual: Filtro dinámico actualizado para cada nuevo usuarioModelo conceptual: Filtro dinámico actualizado para cada nuevo usuario

Este es un modelo conceptual del proceso interno: no puede acceder ni ver el filtro dinámico.

Nota:

Si el filtro de firewall de la interfaz se modifica después de autenticar al usuario (o al host que no responde), las modificaciones no se reflejan en el filtro dinámico a menos que se vuelva a autenticar al usuario.

En este ejemplo, se configura un filtro de firewall para contar las solicitudes realizadas por cada extremo autenticado en la interfaz ge-0/0/2 al servidor de archivos, que se encuentra en la subred 192.0.2.16/28, y se establecen definiciones de aplicadores para limitar la velocidad del tráfico. muestra la topología de red de este ejemplo.Figura 5

Figura 5: Varios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivosVarios suplicantes en una interfaz habilitada para 802.1X que se conecta a un servidor de archivos

Configuración

Configuración de filtros de firewall en interfaces con varios suplicantes

Configuración rápida de CLI

Para configurar rápidamente filtros de firewall para varios suplicantes en una interfaz habilitada para 802.1X, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:

Procedimiento paso a paso

Para configurar filtros de firewall en una interfaz habilitada para varios suplicantes:

  1. Establezca la definición del aplicador de policía:

  2. Configure un filtro de firewall para contar los paquetes de cada usuario y un aplicador de políticas que limite la velocidad de tráfico. A medida que cada nuevo usuario se autentica en la interfaz de múltiples suplicantes, este término de filtro se incluirá en el término creado dinámicamente para el usuario:

Resultados

Compruebe los resultados de la configuración:

Verificación

Verificación de filtros de firewall en interfaces con varios suplicantes

Propósito

Compruebe que los filtros de firewall funcionan en la interfaz con varios suplicantes.

Acción
  1. Compruebe los resultados con un usuario autenticado en la interfaz. En este caso, el usuario 1 se autentica en ge-0/0/2:

  2. Cuando un segundo usuario, el usuario 2, se autentica en la misma interfaz, ge-0/0/2, puede comprobar que el filtro incluye los resultados para los dos usuarios autenticados en la interfaz:

Significado

Los resultados mostrados por la salida del comando reflejan el filtro dinámico creado con la autenticación de cada nuevo usuario.show dot1x firewall El usuario 1 accedió al servidor de archivos ubicado en las horas de dirección de destino especificadas, mientras que el usuario 2 accedió a las mismas horas del servidor de archivos.100400