Hướng dẫn cấiu hình áp dụng bộ lọc tường lửa cho nhiều supplicant trên các cổng được bật 802.1X hoặc MAC RADIUS Authentication

Hướng dẫn cấiu hình áp dụng bộ lọc tường lửa cho nhiều supplicant trên các cổng được bật 802.1X hoặc MAC RADIUS Authentication

Trên các switch dòng EX, các bộ lọc tường lửa (firewall filter) được áp dụng cho các cổng đã bật 802.1X hoặc MAC RADIUS authentication sẽ được kết hợp động với các chính sách riêng lẻ (per-user policies) do máy chủ RADIUS gửi đến. Switch sử dụng cơ chế nội bộ để kết hợp động bộ lọc tường lửa áp dụng cho cổng với chính sách người dùng nhận từ máy chủ RADIUS, từ đó tạo ra chính sách riêng biệt cho từng người dùng hoặc thiết bị không phản hồi được xác thực trên cùng một cổng.

Ví dụ này mô tả cách các bộ lọc tường lửa động được tạo ra cho nhiều supplicant trên một cổng đã bật 802.1X (nguyên tắc trong ví dụ này cũng áp dụng cho các cổng được bật MAC RADIUS authentication).

Yêu cầu

Ví dụ này sử dụng các thành phần phần cứng và phần mềm sau:

• Junos OS phiên bản 9.5 hoặc mới hơn dành cho switch dòng EX
• Một switch dòng EX
• Một máy chủ xác thực RADIUS. Máy chủ xác thực này đóng vai trò là cơ sở dữ liệu backend, chứa thông tin xác thực của các thiết bị (supplicant) được phép kết nối vào mạng.

Trước khi áp dụng bộ lọc tường lửa cho một cổng sử dụng với nhiều supplicant, bạn cần đảm bảo đã thực hiện:

• Thiết lập kết nối giữa switch và máy chủ RADIUS. Xem Ví dụ: Kết nối máy chủ RADIUS cho 802.1X với switch dòng EX.
• Cấu hình xác thực 802.1X trên switch, với chế độ xác thực cho cổng ge-0/0/2 được đặt thành multiple. Xem Cấu hình cài đặt giao diện 802.1X (Thao tác CLI) và Ví dụ: Cấu hình 802.1X cho chế độ một supplicant hoặc nhiều supplicant trên switch dòng EX.
• Cấu hình tài khoản người dùng trên máy chủ xác thực RADIUS.

Tổng quan và mô hình mạng

Mô hình mạng

Khi cấu hình 802.1X trên một cổng được đặt ở chế độ nhiều supplicant (multiple), hệ thống sẽ tự động kết hợp bộ lọc tường lửa (firewall filter) áp dụng cho cổng đó với các chính sách người dùng được gửi từ máy chủ RADIUS trong quá trình xác thực, đồng thời tạo ra các điều kiện riêng biệt (term) cho từng người dùng. Do mỗi người dùng được xác thực trên cổng đều có điều kiện riêng biệt, bạn có thể — như minh họa trong ví dụ này — sử dụng bộ đếm (counter) để theo dõi hoạt động của từng người dùng riêng lẻ đang được xác thực trên cùng một cổng.

Khi có một người dùng mới (hoặc thiết bị không phản hồi) được xác thực trên cổng, hệ thống sẽ thêm một điều kiện (term) vào bộ lọc tường lửa được liên kết với cổng đó. Mỗi điều kiện (policy) của người dùng sẽ được liên kết với địa chỉ MAC của thiết bị đó. Điều kiện này được xây dựng dựa trên các bộ lọc dành riêng cho từng người dùng được cấu hình trên máy chủ RADIUS kết hợp với các bộ lọc tường lửa đã cấu hình sẵn trên cổng. Ví dụ, như minh họa trong Hình 1, khi User1 được xác thực bởi switch dòng EX, hệ thống tạo bộ lọc tường lửa có tên dynamic-filter-example. Khi User2 được xác thực tiếp theo, một điều kiện mới sẽ được thêm vào bộ lọc tường lửa, và cứ thế tiếp tục với các người dùng khác.

Hình 1: Mô hình khái niệm – Bộ lọc động được cập nhật mỗi khi có người dùng mới

Đây là mô hình khái niệm về quá trình xử lý nội bộ — bạn không thể truy cập hoặc xem trực tiếp bộ lọc động này.

**Lưu ý: Nếu bộ lọc tường lửa trên cổng được chỉnh sửa sau khi người dùng (hoặc thiết bị không phản hồi) đã được xác thực, các thay đổi đó sẽ không được áp dụng vào bộ lọc động, trừ khi người dùng đó được xác thực lại.

Trong ví dụ này, bạn sẽ cấu hình một bộ lọc tường lửa để đếm các yêu cầu từ từng thiết bị đầu cuối (endpoint) đã được xác thực trên cổng ge-0/0/2 khi truy cập đến máy chủ tập tin (file server), máy chủ này nằm trong dải địa chỉ 192.0.2.16/28. Ngoài ra, bạn cũng sẽ thiết lập các policer để giới hạn tốc độ (rate limit) lưu lượng truy cập. Hình 2 minh họa sơ đồ mạng cho ví dụ này.

Hình 2: Nhiều supplicant trên một cổng đã bật 802.1X kết nối đến máy chủ tập tin

Cấu hình

Để cấu hình bộ lọc tường lửa (firewall filter) cho nhiều supplicant trên các cổng đã bật 802.1X:

Cấu hình bộ lọc tường lửa trên các cổng với nhiều supplicant

Cấu hình nhanh bằng CLI (CLI Quick Configuration)

Để nhanh chóng cấu hình bộ lọc tường lửa cho nhiều supplicant trên một cổng đã bật 802.1X, hãy sao chép các lệnh dưới đây và dán vào cửa sổ terminal của switch:

Quy trình từng bước (Step-by-Step Procedure)

Để cấu hình bộ lọc tường lửa trên một cổng đã bật chế độ xác thực nhiều supplicant (multiple supplicants):

• Cấu hình cổng ge-0/0/2 ở chế độ xác thực nhiều supplicant:

• Đặt cấu hình giới hạn băng thông (policer):

• Cấu hình bộ lọc tường lửa để đếm các gói tin từ từng người dùng và thiết lập giới hạn băng thông (policer) để kiểm soát tốc độ lưu lượng. Khi mỗi người dùng mới được xác thực trên cổng cấu hình nhiều supplicant, điều kiện (term) trong bộ lọc này sẽ được bao gồm trong điều kiện động được tạo riêng cho người dùng đó.

Kết quả

Kiểm tra kết quả của cấu hình:

Xác minh (Verification)

Để xác nhận rằng cấu hình đang hoạt động đúng, hãy thực hiện các tác vụ sau:

Xác minh bộ lọc tường lửa trên các cổng có nhiều supplicant

Mục đích (Purpose):

Xác minh rằng các bộ lọc tường lửa đang hoạt động trên cổng cấu hình nhiều supplicant.

Thao tác (Action):

Kiểm tra kết quả với một người dùng đã được xác thực trên cổng. Trong ví dụ này, người dùng được xác thực trên cổng ge-0/0/2:

• Khi người dùng thứ hai (User2) được xác thực trên cùng một cổng ge-0/0/2, bạn có thể kiểm tra để xác nhận rằng bộ lọc đã bao gồm kết quả cho cả hai người dùng đã được xác thực trên cổng đó:

Ý nghĩa (Meaning)

Kết quả hiển thị từ lệnh show dot1x firewall phản ánh bộ lọc động được tạo ra khi mỗi người dùng mới được xác thực. User1 đã truy cập vào máy chủ tập tin (file server) nằm tại địa chỉ đích đã chỉ định 100 lần, trong khi User2 đã truy cập cùng máy chủ đó 400 lần.

Chúc các bạn thực hiện thành công. Hi vọng bài viết này sẽ giúp ích cho các bạn trong công việc. Nếu bạn có vấn đề gì thắc mắc đừng ngần ngại liên hệ với chúng tôi theo thông tin dưới đây để được hỗ trợ thêm.

Hẹn gặp lại các bạn trong các bài viết tiếp theo!