Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Примере: Применение фильтров брандмауэра к нескольким фильтрам на интерфейсах с включенной функцией аутентификации 802.1X RADIUS MAC

На коммутаторах серии EX фильтры межсетевых экранов, применимые к интерфейсам, включенным для аутентификации 802.1X или MAC RADIUS, динамически комбинируются с политиками пользователя, отсылаемой коммутатору с RADIUS сервера. Коммутатор использует внутреннюю логику для динамического объединения фильтра межсетевых экранов интерфейса с политиками RADIUS сервера и создания индивидуальной политики для каждого из нескольких пользователей или нереансивных хостов, аутентифицированных на интерфейсе.

В этом примере описывается, как создаются динамические фильтры межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X (те же принципы, что и в этом примере, применяются к интерфейсам, включенным для аутентификации MAC RADIUS):

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Junos OS версии 9.5 или более поздней для коммутаторов серии EX

  • Один коммутатор серии EX

  • Один RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Прежде чем применять фильтры межсетевых экранов к интерфейсу для использования с несколькими фильтрами, убедитесь, что у вас есть:

Обзор и топология

Топологии

Когда конфигурация 802.1X на интерфейсе настроена на многопротоссный режим, система динамически объединяет фильтр межсетевых экранов с политиками пользователя, отсылаемой на коммутатор с сервера RADIUS во время аутентификации, и создает отдельные условия для каждого пользователя. Поскольку для каждого пользователя, аутентификации на интерфейсе, существуют отдельные термины, можно, как показано в этом примере, использовать счетчики для просмотра действий отдельных пользователей, аутентификацию которых происходит на одном интерфейсе.

Когда на интерфейсе проходит аутентификация нового пользователя (или нереактивного хоста), система добавляет термин к фильтру межсетевых экранов, связанному с интерфейсом, а термин (политика) для каждого пользователя связан с MAC-адрес пользователя. Термин для каждого пользователя основан на пользовательских фильтрах, установленных на RADIUS сервере, и фильтрах, настроенных на интерфейсе. Например, как показано в примере, когда пользователь 1 аутентификация с помощью коммутатора серии EX, система создает фильтр Рис. 1 межсетевых dynamic-filter-example экранов. После аутентификации пользователя User2 к фильтру межсетевых экранов добавляется другой термин и так далее.

Рис. 1: Концептуальная модель: Динамический фильтр, обновленный для каждого нового пользователяКонцептуальная модель: Динамический фильтр, обновленный для каждого нового пользователя

Это концептуальная модель внутреннего процесса— доступ к динамическим фильтрам или их просмотр не удается.

Прим.:

Если фильтр брандмауэра на интерфейсе изменен после аутентификации пользователя (или нереактивного хоста), изменения не отражаются в динамическом фильтре, если пользователь не прошел повторное аутентификацию.

В этом примере фильтр брандмауэра настраивается для подсчета запросов, сделанных каждой конечной точкой, аутентификацией на интерфейсе к файловому серверу, который расположен на подсети, и занося определения ограничителя для ограничения скорости трафика. Показывает топологию сети для ge-0/0/2192.0.2.16/28 этого Рис. 2 примера.

Рис. 2: Несколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверуНесколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверу

Конфигурации

Настройка фильтров межсетевых экранов для нескольких источников доступа к интерфейсам с поддержкой 802.1X:

Настройка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

интерфейс командной строки быстрой конфигурации

Для быстрой настройки фильтров межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X с поддержкой 802.1X скопировать следующие команды и вкопировать их в окно терминала коммутатора:

Пошаговая процедура

Настройка фильтров межсетевых экранов на интерфейсе, который включен для нескольких источников доступа:

  1. Настройте интерфейс для ge-0/0/2 аутентификации в режиме нескольких запротопоинтерфейс:

  2. Определение политика:

  3. Настройте фильтр межсетевых экранов для подсчета пакетов от каждого пользователя и ограничителя скорости трафика. Поскольку каждый новый пользователь аутентифицирован на интерфейсе с несколькими фильтрами, этот термин фильтра будет включен в динамически созданный для пользователя термин:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

Цель

Убедитесь, что фильтры межсетевых экранов функционируют в интерфейсе с несколькимипродавными фильтрами.

Действий

  1. Проверьте результаты с одним пользователем, аутентификацией на интерфейсе. В этом случае аутентификация пользователя происходит ge-0/0/2 по:

  2. Когда второй пользователь, User2, аутентифицируется на том же интерфейсе, можно проверить, что фильтр содержит результаты для обоих пользователей, аутентифицированных ge-0/0/2 на интерфейсе:

Смысл

Результаты, отображаемые в show dot1x firewall выходных данных команды отражают динамический фильтр, созданный с аутентификацией каждого нового пользователя. Пользователь user1 100 раз обращается к файл-серверу, который находится на указанном адресе назначения, в то время как пользователь User2 обращается к одному и тем же файловой серверу 400 раз.