例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
EX シリーズ スイッチでは、802.1X または MAC RADIUS 認証に対応したインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイス ファイアウォール フィルターと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイス上で認証される複数のユーザーまたは応答しないホストのそれぞれに個別のポリシーを作成します。
この例では、802.1X 対応インターフェイス上の複数のサプリカントに対して、動的ファイアウォール フィルターを作成する方法について説明します(この例と同じ原則が、MAC RADIUS 認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EXシリーズスイッチ向けJunos OSリリース9.5以降
1 つの EX シリーズ スイッチ
1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
複数のサプリカントで使用するためにファイアウォールフィルターをインターフェイスに適用する前に、以下が完了していることを確認してください。
スイッチと RADIUS サーバーの接続を設定します。変更された手順については、「例:802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
スイッチに 802.1X 認証を設定し、インターフェイス ge-0/0/2 の認証モードを multiple に設定。「 802.1Xインターフェイス設定の構成(CLI手順)」および「例: EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイスの 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証時にインターフェイス ファイアウォール フィルターと RADIUS サーバーからスイッチに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイスで認証されたユーザーごとに個別の条件があるため、この例に示すように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
新しいユーザー(または応答しないホスト)がインターフェイスで認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに用語を追加し、各ユーザーの用語(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの用語は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づいています。例えば、 図 1に示すように、EXシリーズスイッチによってUser1が認証されると、システムはファイアウォールフィルター dynamic-filter-exampleを作成します。User2 が認証されると、別の用語がファイアウォール フィルターに追加されます、という具合です。
これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイスのファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更はダイナミックフィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、サブネット192.0.2.16/28にあるファイルサーバーへのインターフェイスge-0/0/2で認証された各エンドポイントからのリクエストをカウントし、ポリサー定義を設定してトラフィックのレートを制限します。 図 2に、この例のネットワーク トポロジーを示します。
設定
802.1X 対応インターフェイス上の複数のサプリカントにファイアウォール フィルターを設定するには、次の手順に従います。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの設定
CLIクイック構成
802.1X 対応インターフェイスで複数のサプリカントにファイアウォール フィルターをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1ステップバイステップでの手順
複数のサプリカントが有効になっているインターフェイスでファイアウォールフィルターを設定するには:
複数のサプリカントモード認証用のインターフェイス ge-0/0/2 を設定します。
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
ポリサー定義を設定します。
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーはそれぞれマルチ サプリカント インターフェイスで認証されるため、このフィルター条件はユーザーに対して動的に作成される用語に含まれます。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
結果
構成の結果を確認します。
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの検証
目的
ファイアウォールフィルターが、複数のサプリカントとのインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された 1 人のユーザで結果を確認します。この場合、ユーザーは次の ge-0/0/2で認証されます。
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
ge-0/0/2、2 番目のユーザーである User2 が同じインターフェイスで認証される場合、フィルターにインターフェイスで認証された両方のユーザーの結果が含まれていることを確認できます。
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewall コマンド出力によって表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。User1 は指定された宛先アドレスにあるファイル サーバーに 100 回アクセスし、User2 は同じファイル サーバーに 400 回アクセスしました。