Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

示例:使用 EX 系列交换机上 RADIUS 服务器属性将防火墙过滤器应用于 802.1 X 身份验证的请求者

 

您可以使用 RADIUS 服务器属性和端口防火墙过滤器将术语集中应用于连接到企业中的 EX 系列交换机的多个请求者(端设备)。在通过 802.1 X 成功认证设备之后应用术语。如果在使用 802.1 X 身份验证对最终设备进行身份验证之后,防火墙过滤器配置已修改,则必须终止并重新建立已建立的 802.1 X 身份验证会话,才能使防火墙过滤器更改生效。

EX 系列交换机支持端口防火墙过滤器。端口防火墙过滤器在单个 EX 系列交换机上配置,但为了让它们在整个企业中运行,必须在多台交换机上配置。要减少在多台交换机上配置相同端口防火墙过滤器的需求,您可以使用 RADIUS 服务器属性,在 RADIUS 服务器上集中应用过滤器。

以下示例使用 FreeRADIUS 在 RADIUS 服务器上应用端口防火墙过滤器。有关配置服务器的信息,请参阅 RADIUS 服务器随附的文档。

本示例介绍如何使用术语配置端口防火墙过滤器、创建计数器以统计请求者的数据包、将过滤器应用于 RADIUS 服务器上的用户配置文件,以及显示计数器以验证配置:

要求

此示例使用以下软件和硬件组件:

注意

此示例也适用于 QFX5100 交换机。

  • EX 系列交换机 Junos OS 发行9.3 或更高版本

  • 一个 EX 系列交换机充当认证者端口接入实体(PAE)。认证器 PAE 上的端口是控制门,用于阻止到达请求者和来自请求方的所有流量,直至其获得身份验证。

  • 一台 RADIUS 认证服务器。认证服务器用作后端数据库,其中包含有权连接到网络的主机(请求者)的证书信息。

将服务器连接到交换机之前,请确保具备:

概述和拓扑

当接口上的 802.1 X 配置设置为 多级请求者模式下,您可以将通过 EX 系列交换机上的 Junos OS CLI 配置的单个端口防火墙过滤器应用于任意数量的终端设备(请求方),方法是将过滤器集中添加到 RADIUS 服务器。只有一个过滤器可应用于一个接口;但是,对于不同的终端设备,过滤器可以包含多个术语。

有关防火墙过滤器的详细信息,请参阅EX 系列交换机的防火墙过滤器概述防火墙过滤器概述

使用 802.1 X 成功验证设备的身份后,RADIUS 服务器属性将应用于终端设备所连接的端口。要验证终端设备的身份,交换机会将最终设备’的凭证转发至 RADIUS 服务器。RADIUS 服务器根据关于 RADIUS 服务器上申请者’用户配置文件中的请求者的预配置信息匹配凭证。如果找到匹配项,RADIUS 服务器会指示交换机打开一个到终端设备的接口。然后流量从 LAN 上的最终设备流向。在端口防火墙过滤器中配置并使用 RADIUS server 属性添加到最终’设备的用户配置文件中的说明进一步定义了授予最终设备的权限。在端口防火墙过滤器中配置的过滤术语适用于完成 802.1 X 身份验证后连接端点设备的端口。

注意

如果使用 802.1 X 成功验证最终设备的身份后修改端口防火墙过滤器,则必须终止并重新建立 802.1 X 身份验证会话,以使防火墙过滤器配置更改生效。

图 1显示了用于此示例的拓扑。RADIUS 服务器连接到接入端口 ge-0/0/10 上的 EX4200 交换机。两个终端设备(请求方)正在访问接口 ge 上的 LAN-0/0/2。申请者1具有 MAC 地址00:50:80亿美元:6f:60:3a。申请者2的 MAC 地址00:50:80亿美元:6f:60:3b。

注意

本图也适用于 QFX5100 交换机。

图 1: 防火墙过滤器和 RADIUS 服务器属性配置的拓扑结构
防火墙过滤器和 RADIUS 服务器属性配置的拓扑结构

表 1介绍了此拓扑结构中的组件。

表 1: 防火墙过滤器的组件和 RADIUS 服务器属性拓扑

财产设置

交换机硬件

EX4200 接入交换机,24个千兆位以太网端口:16个非 PoE 端口和8个 PoE 端口。

一台 RADIUS 服务器

带地址的后端数据库 10.0.0.100连接到位于端口的交换机 ge-0/0/10.

在接口上连接到交换机的 802.1 x 请求者 ge-0/0/2

  • 请求者1已 MAC 地址 00:50:8b:6f:60:3a.

  • 申请者2已 MAC 地址 00:50:8b:6f:60:3b.

要在 RADIUS 服务器上应用的端口防火墙过滤器

filter1

计数器

counter1计算来自申请者1的数据包,以及 counter2计算来自申请者2的数据包数量。

监管器

监管器 p1

RADIUS 服务器上的用户配置文件

  • 申请者1具有用户配置文件 supplicant1.

  • 申请者2具有用户配置文件 supplicant2.

在此示例中,将端口防火墙过滤器配置为 filter1. 该过滤器包含将根据最终设备的 MAC 地址应用于最终设备的术语。配置过滤器时,还会配置计数器 counter1counter2. 来自每个终端设备的数据包都将计算在内,帮助您验证配置是否正常工作。监管器 p1基于以下各项的值限制流量速率 exceedingdiscard参数. 然后,查看 RADIUS 服务器上是否有 RADIUS server 属性,并将过滤器应用于 RADIUS 服务器上每个端点设备的用户配置文件。最后,通过显示两个计数器的输出来验证配置。

配置端口防火墙过滤器和计数器

CLI 快速配置

要使用申请者1和申请者2的术语快速配置端口防火墙过滤器并为每个申请者创建并行计数器,请复制以下命令并将其粘贴到交换机端子窗口中:

[edit]
set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a
set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
set firewall policer p1 if-exceeding bandwidth-limit 1m

set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1
set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1
set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2

分步过程

要在交换机上配置端口防火墙过滤器和计数器:

  1. 配置端口防火墙过滤器(此处为 filter1),并基于每个终端设备的 MAC 地址
    [edit firewall family ethernet-switching]


    user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a

    user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b

  2. 设置监管器定义:
    [edit]
    user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m

    user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k

    user@switch# set firewall policer p1 then discard
  3. 创建将计算每个终端设备的数据包的两个计数器和限制流量速率的监管器:
    [edit firewall family ethernet-switching]


    user@switch# set filter filter1 term supplicant1 then count counter1

    user@switch# set filter filter1 term supplicant1 then policer p1

    user@switch# set filter filter1 term supplicant2 then count counter2

结果

显示配置结果:

将端口防火墙过滤器应用于 RADIUS 服务器上的请求者用户配置文件

分步过程

验证 RADIUS 服务器属性 过滤器 ID位于 RADIUS 服务器上,用于将过滤器应用于用户配置文件:

  1. 显示词典 dictionary.rfc2865在 RADIUS 服务器上,验证属性 过滤器 ID位于字典中:
    [root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865


  2. 关闭词典文件。
  3. 显示要应用过滤器的最终设备的本地用户配置文件(此处为用户配置文件称为 supplicant1supplicant2):
    [root@freeradius]# cat /usr/local/etc/raddb/users

    输出显示:

  4. 通过添加线路将过滤器应用于两个用户配置文件 过滤器 Id = “filter1”每个配置文件,然后关闭该文件:
    [root@freeradius]# cat /usr/local/etc/raddb/users

    将该行粘贴到文件中后,这些文件将如下所示:

针对

验证过滤器是否已应用于请求者

用途

终端设备在接口 ge-0/0/2 上经过身份验证后,验证交换机上是否已配置过滤器,并包括两个请求者的结果:

操作

含义

show dot1x firewall命令输出显示 counter1counter2. 来自 User_1 的数据包使用 counter1和用户 2 的数据包将使用 counter2. 输出显示为两个计数器递增的数据包。此过滤器已应用于两个终端设备。