示例:将防火墙过滤器应用于为 802.1 X 或 MAC RADIUS 身份验证启用的接口上的多个请求方
在 EX 系列交换机上,您应用于为 802.1 X 或 MAC 启用的接口的防火墙过滤器 RADIUS 身份验证与从 RADIUS 服务器发送给交换机的每用户策略动态组合。交换机使用内部逻辑将接口防火墙过滤器与 RADIUS 服务器的用户策略进行动态组合,并为在该接口上经过身份验证的多个用户或未响应主机创建一个个性化策略。
此示例介绍如何为支持 802.1 X 的接口上的多个请求者创建动态防火墙过滤器(本示例中显示的原则适用于为 MAC RADIUS 身份验证启用的接口):
要求
此示例使用以下硬件和软件组件:
EX 系列交换机 Junos OS 发行9.5 或更高版本
一个 EX 系列交换机
一台 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。
在将防火墙过滤器应用于多个请求者使用的接口之前,请确保您已:
在交换机和 RADIUS 服务器之间设置连接。请参阅示例:Example: Connecting a RADIUS Server for 802.1X to an EX Series Switch。
已在交换机上配置 802.1 X 身份验证,并采用接口的身份验证模式 ge-0/0/2设置为 多级. 请参阅Configuring 802.1X Interface Settings (CLI Procedure) , 示例:在 EX 系列交换机上为单申请者或多申请者配置设置 802.1 X上为单申请者或多申请者配置设置 802.1 x。
RADIUS 认证服务器上的配置用户。
概述和拓扑
当接口上的 802.1 X 配置设置为多请求器模式时,系统会在身份验证过程中将接口防火墙过滤器与从 RADIUS 服务器发送到交换机的用户策略动态合并,并为每个设备创建单独的术语。用户. 由于在接口上进行身份验证的每个用户都有单独的术语,因此您可以使用计数器来查看在同一接口上进行身份验证的单个用户的活动。
当新用户(或未响应的主机)在某个接口上通过身份验证时,系统会将一个术语添加到与该接口相关联的防火墙过滤器中,并且每个用户的术语(策略)都与用户的 MAC 地址相关联。每个用户的术语基于在 RADIUS 服务器上设置的用户特定过滤器和在界面上配置的过滤器。例如,如中图 1所示,当 USER1 由 EX 系列交换机进行身份验证时,系统会创建防火墙过滤器 动态过滤器-示例. 当对者进行身份验证时,另一个术语会添加到防火墙过滤器,依此类推。
这是您无法访问或查看动态过滤器—的内部流程的概念模型。
如果接口上的防火墙过滤器在认证后被修改,则除非用户进行身份验证,否则修改不会反映在动态过滤器中。
在此示例中,将防火墙过滤器配置为对接口上的每个端点身份验证发出的请求进行计数 ge-0/0/2到位于子网上的文件服务器 192.0.2.16/28,并设置监管器定义以对流量进行速率限制。图 2显示了此示例的网络拓扑。
配置
要在支持 802.1 X 的接口上为多个请求者配置防火墙过滤器:
在具有多个请求者的接口上配置防火墙过滤器
CLI 快速配置
要在支持 802.1 X 的接口上快速配置多个请求者的防火墙过滤器,请复制以下命令并将其粘贴到交换机端子窗口中:
[edit] set protocols dot1x
authenticator interface ge-0/0/2 supplicant multiple set firewall family
ethernet-switching filter filter1 term term1 from destination-address
192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit
1m
set firewall policer p1 if-exceeding burst-size-limit
1k set firewall family
ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter
filter1 term term2 then policer p1分步过程
要在为多个请求者启用的接口上配置防火墙过滤器:
- 配置接口 ge-0/0/2对于多请求方模式身份验证:
[edit protocols dot1x]
user@switch# set 认证器 interface ge-0/0/2 supplicant multiple - 设置监管器定义:
user@switch# show policer p1 |display set
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall policer p1 then discard - 配置防火墙过滤器,以便统计来自每个用户的数据包和限制流量速率的监管器。随着每个新用户在多个申请者接口上进行身份验证,此过滤器术语将包括在为用户动态创建的术语中:
[edit firewall family ethernet-switching]
user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28
user@switch# set filter filter1 term term1 then count counter1
user@switch# set filter filter1 term term2 then policer p1
结果
检查配置结果:
针对
要确认配置是否正常运行,请执行以下任务:
验证具有多个请求者的接口上的防火墙过滤器
用途
验证在具有多个请求者的接口上,防火墙过滤器是否正常工作。
操作
- 检查结果,并在接口上验证一个用户。在这种情况下,用户将通过 ge-0/0/2可以:
user@switch> 显示 dot1x 防火墙Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
- 当第二位用户的身份验证在相同的接口上时, ge-0/0/2,您可以验证过滤器是否包含在接口上进行身份验证的两个用户的结果:
user@switch> show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
含义
show dot1x firewall命令输出所显示的结果反映了通过对每个新用户进行身份验证创建的动态过滤器。User1 访问了位于指定目标地址100次的文件服务器,而 2/2 则访问相同的文件服务器400次。