Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Интерфейсы, включенные для аутентификации 802.1X RADIUS MAC

Коммутаторы серии EX поддерживают фильтры межсетевых экранов портов. Фильтры межсетевых экранов портов настроены на одном коммутаторе серии EX, но для того, чтобы они могли работать на предприятии, их необходимо настроить на нескольких коммутаторах. Чтобы уменьшить потребность в настройке одного и того же фильтра брандмауэра порта на нескольких коммутаторах, вместо этого можно применить фильтр централизованно на RADIUS сервере, используя RADIUS атрибуты сервера. Термины применяются после успешной аутентификации устройства через 802.1X. Дополнительные сведения можно получить на этом тему.

Примере: Применение фильтра брандмауэра к фильтрам, аутентификациям 802.1X, с помощью атрибутов RADIUS сервера на коммутаторе серии EX

Атрибуты RADIUS сервере и фильтр брандмауэра порта можно использовать для централизованного применения терминов к нескольким фильтрам-фильтрам (конечным устройствам), подключенным к коммутатору серии EX в вашем предприятии. Термины применяются после успешной аутентификации устройства через 802.1X. Если конфигурация фильтра брандмауэра изменяется после аутентификации конечных устройств с помощью аутентификации 802.1X, то установленный сеанс аутентификации 802.1X должен быть прерван и повторно установлен, чтобы изменения фильтра межсетевых экранов вступили в силу.

Коммутаторы серии EX поддерживают фильтры межсетевых экранов портов. Фильтры межсетевых экранов портов настроены на одном коммутаторе серии EX, но для того, чтобы они могли работать на предприятии, их необходимо настроить на нескольких коммутаторах. Чтобы уменьшить потребность в настройке одного и того же фильтра брандмауэра порта на нескольких коммутаторах, вместо этого можно применить фильтр централизованно на RADIUS сервере, используя RADIUS атрибуты сервера.

В следующем примере для применения фильтра брандмауэра порта на RADIUS используется FreeRADIUS. Для получения сведений о настройке сервера обратитесь к документации, которая была включена RADIUS сервером.

В данном примере описана настройка фильтра брандмауэра порта с помощью терминов, создание счетчиков для подсчета пакетов для проверяемых устройств, применение фильтра к профилям пользователей на сервере RADIUS и отображение счетчиков для проверки конфигурации:

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 9.3 или более поздней версии для коммутаторов серии EX

  • Один коммутатор серии EX, выступая в качестве объекта доступа к аутентификации порта (PAE). Порты на аутентиаторе PAE формируют контрольный шлюз, который блокирует весь трафик к и отпродатантам до аутентификации.

  • Один RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Перед подключением сервера к коммутатору необходимо убедиться в том, что у вас есть:

Обзор и топология

Когда конфигурация 802.1X на интерфейсе настроена в режимепротоволокового доступа, можно применить один фильтр брандмауэра порта, настроенный через Junos OS интерфейс командной строки на коммутаторе серии EX, к любому числу конечных устройств (фильтров) путем централизованного добавления фильтра multiple на RADIUS сервера. К интерфейсу может быть применен только один фильтр; однако фильтр может содержать несколько терминов для отдельных конечных устройств.

Дополнительные сведения о фильтрах межсетевых экранов см. в обзоре фильтров межсетевых экранов для коммутаторов серии EX или обзор фильтров межсетевых экранов (серия QFX).

RADIUS сервера применяются к порту, к котором подключается о конечном устройстве после успешной аутентификации устройства с помощью 802.1X. Для аутентификации о конечном устройстве коммутатор передает учетные данные о конечном RADIUS серверу. Сервер RADIUS совпадает с данными, заранее сконфигурованными, о том, что в профиле пользователя supplicant's на RADIUS сервере. Если совпадение найдено, сервер RADIUS коммутатору открыть интерфейс к конечному устройству. После этого в ЛВС поступает трафик и к о конечному устройству. Дальнейшие инструкции, настроенные в фильтре брандмауэра порта и добавленные к профилю пользователя конечного устройства с помощью атрибута RADIUS, определяют доступ, предоставленный конечному устройству. Термины фильтрации, настроенные в фильтре межсетевых экранов порта, применяются к порту, к котором подключается о конечном устройстве после завершения аутентификации по стандарту 802.1X.

Прим.:

Если после успешной аутентификации о конце устройства с помощью 802.1X фильтр брандмауэра изменяется, необходимо завершить и восстановить сеанс аутентификации 802.1X, чтобы изменения в конфигурации фильтра межсетевых экранов были эффективными.

Топологии

Рис. 1 показывает топологию, используемую для этого примера. Сервер RADIUS подключен к коммутатору EX4200 доступа ge-0/0/10. Два конечных устройства (задающие) имеют доступ к локальной сети на интерфейсе ge-0/0/2. Вопроситель 1 имеет MAC-адрес 00:50:8b:6f:60:3a. Вопроситель 2 имеет MAC-адрес 00:50:8b:6f:60:3b.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 1: Топология фильтра брандмауэра и RADIUS сервераТопология фильтра брандмауэра и RADIUS сервера

Табл. 1 описывает компоненты этой топологии.

Табл. 1: Компоненты фильтра брандмауэра и RADIUS серверной топологии
Свойство Параметры

Оборудование коммутатора

EX4200 доступа, 24 порта Gigabit Ethernet: 16 нестандартных PoE и 8 PoE портов.

Один RADIUS сервер

Базовая база данных с 10.0.0.100 адресом, подключенным к коммутатору на ge-0/0/10 порту.

802.1Xпрос, подключенный к коммутатору на интерфейсе ge-0/0/2

  • Supplicant 1 имеет 00:50:8b:6f:60:3a MAC-адрес.

  • Supplicant 2 имеет 00:50:8b:6f:60:3b MAC-адрес.

Фильтр межсетевых экранов порта, применяемый на RADIUS сервере

filter1

Счетчики

counter1 подсчитываются пакеты от «подсчитывающей программы 1». Подсчитываются пакеты, отсчитываются пакеты от counter2 «подсчитывания 2».

Policer (сотрудник правоохранительных органов)

policer p1

Профили пользователей на сервере RADIUS пользователя

  • Профиль пользователя "Supplicant supplicant1 1"

  • Профиль пользователя "Supplicant 2" supplicant2 имеется.

В данном примере настраивается фильтр брандмауэра порта с именем filter1 . Фильтр содержит термины, применяемые к конечным устройствам на основании MAC-адресов конечных устройств. При настройке фильтра также настраиваются счетчики counter1counter2 и. Подсчитываются пакеты от каждого о конечных устройств, что позволяет убедиться в работе конфигурации. Ограничитер p1 ограничивает скорость трафика в зависимости от значений и exceedingdiscard параметров. Затем необходимо проверить, что RADIUS сервера доступен на RADIUS сервере, и применить фильтр к профилям пользователей каждого конечного устройства на RADIUS-сервере. Наконец, вы проверяете конфигурацию, отобразив выходные данные для двух счетчиков.

Настройка фильтра и счетчиков брандмауэра порта

Процедуры

интерфейс командной строки быстрой конфигурации

Для быстрой настройки фильтра брандмауэра порта с условиями для фильтра Supplicant 1 и Supplicant 2 и создания параллельных счетчиков для каждого необходимого, скопируйте следующие команды и включайте их в окно терминала коммутатора:

Пошаговая процедура

Настройка фильтра и счетчиков брандмауэра порта на коммутаторе:

  1. Настройте фильтр брандмауэра порта (здесь, ) с терминами для каждого конечного устройства на основе MAC-адрес filter1 каждого конечного устройства:

  2. Определение политика:

  3. Создайте два счетчика, которые будут считать пакеты для каждого о конце устройства, и ограничите скорость трафика:

Результаты

Отобразить результаты настройки:

Применение фильтра брандмауэра порта к профилям пользователей-протоволокантам на RADIUS-сервере

Процедуры

Пошаговая процедура

Чтобы проверить, что RADIUS сервера находится на RADIUS сервере, и применить фильтр Filter-ID к профилям пользователя:

  1. Отобразить словарь на RADIUS и убедиться, что dictionary.rfc2865 атрибут находится в Filter-ID словаре:

  2. Закрой файл словаря.

  3. Отображение профилей локальных пользователей конечных устройств, к которым необходимо применить фильтр (здесь называются профили пользователей supplicant1supplicant2 и):

    Выходные данные показывают:

  4. Примените фильтр к обоим профилям пользователей, добавляя строку к каждому профилю и затем Filter-Id = “filter1” закроя файл:

    После вкети строки в файлы файлы выглядят так:

Проверки

Проверка того, что фильтр применен к проверяющие

Цель

После аутентификации конечных устройств на интерфейсе ge-0/0/2 убедитесь, что фильтр настроен на коммутаторе и содержит результаты для обоих проверяемых устройств:

Действий
Смысл

Выходные данные команды show dot1x firewallcounter1 отображаются на экране и counter2 . С помощью User_1 подсчитываются пакеты от пользователя 2, а пакеты от пользователя counter1counter2 2. В выходных данных отображается приращение пакетов для обоих счетчиков. Фильтр применен к обоим конечным устройствам.

Примере: Применение фильтров брандмауэра к нескольким фильтрам на интерфейсах с включенной функцией аутентификации 802.1X RADIUS MAC

На коммутаторах серии EX фильтры межсетевых экранов, применимые к интерфейсам, включенным для аутентификации 802.1X или MAC RADIUS, динамически комбинируются с политиками пользователя, отсылаемой коммутатору с RADIUS сервера. Коммутатор использует внутреннюю логику для динамического объединения фильтра межсетевых экранов интерфейса с политиками RADIUS сервера и создания индивидуальной политики для каждого из нескольких пользователей или нереансивных хостов, аутентифицированных на интерфейсе.

В этом примере описывается, как создаются динамические фильтры межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X (те же принципы, что и в этом примере, применяются к интерфейсам, включенным для аутентификации MAC RADIUS):

Требования

В данном примере используются следующие аппаратные и программные компоненты:

  • Junos OS версии 9.5 или более поздней для коммутаторов серии EX

  • Один коммутатор серии EX

  • Один RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Прежде чем применять фильтры межсетевых экранов к интерфейсу для использования с несколькими фильтрами, убедитесь, что у вас есть:

Обзор и топология

Топологии

Когда конфигурация 802.1X на интерфейсе настроена на многопротоссный режим, система динамически объединяет фильтр межсетевых экранов с политиками пользователя, отсылаемой на коммутатор с сервера RADIUS во время аутентификации, и создает отдельные условия для каждого пользователя. Поскольку для каждого пользователя, аутентификации на интерфейсе, существуют отдельные термины, можно, как показано в этом примере, использовать счетчики для просмотра действий отдельных пользователей, аутентификацию которых происходит на одном интерфейсе.

Когда на интерфейсе проходит аутентификация нового пользователя (или нереактивного хоста), система добавляет термин к фильтру межсетевых экранов, связанному с интерфейсом, а термин (политика) для каждого пользователя связан с MAC-адрес пользователя. Термин для каждого пользователя основан на пользовательских фильтрах, установленных на RADIUS сервере, и фильтрах, настроенных на интерфейсе. Например, как показано в примере, когда пользователь 1 аутентификация с помощью коммутатора серии EX, система создает фильтр Рис. 2 межсетевых dynamic-filter-example экранов. После аутентификации пользователя User2 к фильтру межсетевых экранов добавляется другой термин и так далее.

Рис. 2: Концептуальная модель: Динамический фильтр, обновленный для каждого нового пользователяКонцептуальная модель: Динамический фильтр, обновленный для каждого нового пользователя

Это концептуальная модель внутреннего процесса— доступ к динамическим фильтрам или их просмотр не удается.

Прим.:

Если фильтр брандмауэра на интерфейсе изменен после аутентификации пользователя (или нереактивного хоста), изменения не отражаются в динамическом фильтре, если пользователь не прошел повторное аутентификацию.

В этом примере фильтр брандмауэра настраивается для подсчета запросов, сделанных каждой конечной точкой, аутентификацией на интерфейсе к файловому серверу, который расположен на подсети, и занося определения ограничителя для ограничения скорости трафика. Показывает топологию сети для ge-0/0/2192.0.2.16/28 этого Рис. 3 примера.

Рис. 3: Несколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверуНесколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверу

Конфигурации

Настройка фильтров межсетевых экранов для нескольких источников доступа к интерфейсам с поддержкой 802.1X:

Настройка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

интерфейс командной строки быстрой конфигурации

Для быстрой настройки фильтров межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X с поддержкой 802.1X скопировать следующие команды и вкопировать их в окно терминала коммутатора:

Пошаговая процедура

Настройка фильтров межсетевых экранов на интерфейсе, который включен для нескольких источников доступа:

  1. Настройте интерфейс для ge-0/0/2 аутентификации в режиме нескольких запротопоинтерфейс:

  2. Определение политика:

  3. Настройте фильтр межсетевых экранов для подсчета пакетов от каждого пользователя и ограничителя скорости трафика. Поскольку каждый новый пользователь аутентифицирован на интерфейсе с несколькими фильтрами, этот термин фильтра будет включен в динамически созданный для пользователя термин:

Результаты

Проверьте результаты настройки:

Проверки

Чтобы подтвердить, что конфигурация работает правильно, выполните эти задачи:

Проверка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

Цель

Убедитесь, что фильтры межсетевых экранов функционируют в интерфейсе с несколькимипродавными фильтрами.

Действий
  1. Проверьте результаты с одним пользователем, аутентификацией на интерфейсе. В этом случае аутентификация пользователя происходит ge-0/0/2 по:

  2. Когда второй пользователь, User2, аутентифицируется на том же интерфейсе, можно проверить, что фильтр содержит результаты для обоих пользователей, аутентифицированных ge-0/0/2 на интерфейсе:

Смысл

Результаты, отображаемые в show dot1x firewall выходных данных команды отражают динамический фильтр, созданный с аутентификацией каждого нового пользователя. Пользователь user1 100 раз обращается к файл-серверу, который находится на указанном адресе назначения, в то время как пользователь User2 обращается к одному и тем же файловой серверу 400 раз.

Примере: Применение фильтров брандмауэра к нескольким фильтрам на интерфейсах с поддержкой 802.1X или MAC-RADIUS на коммутаторах серии EX с поддержкой ELS.

Прим.:

В данном примере Junos OS коммутаторы серии EX с поддержкой стилей конфигурации Enhanced Layer 2 Software (ELS). Если коммутатор работает с программным обеспечением, не поддерживаюным ELS, см. пример: Применение фильтров брандмауэра к нескольким фильтрам на интерфейсах, включенных для аутентификации 802.1X или MAC RADIUS. Дополнительные сведения о ELS см. в использование программного обеспечения enhanced layer 2 интерфейс командной строки.

На коммутаторах серии EX фильтры межсетевых экранов, применимые к интерфейсам, включенным для аутентификации 802.1X или MAC RADIUS, динамически комбинируются с политиками пользователя, отсылаемой коммутатору с RADIUS сервера. Коммутатор использует внутреннюю логику для динамического объединения фильтра межсетевых экранов интерфейса с политиками RADIUS сервера и создания индивидуальной политики для каждого из нескольких пользователей или нереансивных хостов, аутентифицированных на интерфейсе.

В этом примере описывается, как создаются динамические фильтры межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X (те же принципы, что и в этом примере, применяются к интерфейсам, включенным для аутентификации MAC RADIUS):

Требования

В данном примере используются следующие программные и аппаратные компоненты:

Прим.:

Этот пример также применим и к QFX5100 коммутаторам.

  • Junos OS версии 13.2 или более поздней для коммутаторов серии EX

  • Один коммутатор серии EX с поддержкой ELS

  • Один RADIUS аутентификации. Сервер аутентификации действует как сервер серверной базы данных и содержит учетные данные для хостов (запросителей), которые имеют разрешение на подключение к сети.

Прежде чем применять фильтры межсетевых экранов к интерфейсу для использования с несколькими фильтрами, убедитесь, что у вас есть:

Обзор и топология

Топологии

Когда конфигурация 802.1X на интерфейсе настроена на многопротоссный режим, система динамически объединяет фильтр межсетевых экранов с политиками пользователя, отсылаемой коммутатору с сервера RADIUS во время аутентификации, и создает отдельные условия для каждого пользователя. Поскольку для каждого пользователя, аутентификации на интерфейсе, существуют отдельные термины, можно, как показано в этом примере, использовать счетчики для просмотра действий отдельных пользователей, аутентификацию которых происходит на одном интерфейсе.

Когда на интерфейсе проходит аутентификация нового пользователя (или нереактивного хоста), система добавляет термин к фильтру межсетевых экранов, связанному с интерфейсом, а термин (политика) для каждого пользователя связан с MAC-адрес пользователя. Термин для каждого пользователя основан на пользовательских фильтрах, установленных на RADIUS сервере, и фильтрах, настроенных на интерфейсе. Например, как показано в примере, когда пользователь 1 аутентификации с помощью коммутатора серии EX, система добавляет термин к Рис. 4 фильтру межсетевых dynamic-filter-example экранов. После аутентификации пользователя 2 к фильтру межсетевых экранов добавляется другой термин и так далее.

Прим.:

Этот рисунок также относится к QFX5100 коммутаторам.

Рис. 4: Концептуальная модель: Динамический фильтр, обновленный для каждого нового пользователяКонцептуальная модель: Динамический фильтр, обновленный для каждого нового пользователя

Это концептуальная модель внутреннего процесса— доступ к динамическим фильтрам или их просмотр не удается.

Прим.:

Если фильтр брандмауэра на интерфейсе изменен после аутентификации пользователя (или нереактивного хоста), изменения не отражаются в динамическом фильтре, если пользователь не прошел повторное аутентификацию.

В этом примере, вы настраиваете фильтр брандмауэра для подсчета запросов, сделанных каждой конечной точкой, аутентификацией на интерфейсе ge-0/0/2 на файловом сервере, который расположен в подсети 192.0.2.16/28, и задайте определения ограничителя скорости для ограничения скорости трафика. Рис. 5 показывает топологию сети для этого примера.

Рис. 5: Несколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверуНесколько источников жалоб на интерфейсе с поддержкой 802.1X, подключающихся к файловой серверу

Конфигурации

Настройка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

интерфейс командной строки быстрой конфигурации

Для быстрой настройки фильтров межсетевых экранов для нескольких фильтров на интерфейсе с поддержкой 802.1X с поддержкой 802.1X скопировать следующие команды и вкопировать их в окно терминала коммутатора:

Пошаговая процедура

Настройка фильтров межсетевых экранов на интерфейсе, который включен для нескольких источников доступа:

  1. Установите определение policer:

  2. Настройте фильтр межсетевых экранов для подсчета пакетов от каждого пользователя и ограничителя скорости трафика. Поскольку каждый новый пользователь аутентифицирован на интерфейсе с несколькими фильтрами, этот термин фильтра будет включен в динамически созданный для пользователя термин:

Результаты

Проверьте результаты настройки:

Проверки

Проверка фильтров межсетевых экранов на интерфейсах с несколькими фильтрами

Цель

Убедитесь, что фильтры межсетевых экранов функционируют в интерфейсе с несколькимипродавными фильтрами.

Действий
  1. Проверьте результаты с одним пользователем, аутентификацией на интерфейсе. В этом случае пользователь 1 аутентификация в ge-0/0/2:

  2. Когда второй пользователь, пользователь 2, аутентифицируется на том же интерфейсе, ge-0/0/2, можно проверить, что фильтр содержит результаты для обоих пользователей, аутентифицированных на интерфейсе:

Смысл

Результаты, отображаемые в show dot1x firewall выходных данных команды отражают динамический фильтр, созданный с аутентификацией каждого нового пользователя. Пользователь 1 обращается к файловой серверу, который находится в указанном месте назначения, в то время как пользователь 2 обращается к одному и тем же 100 файловой 400 серверу раз.