Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:MX シリーズルーターでの 802.1 X または MAC RADIUS 認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルタの適用

Junos OSリリース14.2から、MX シリーズルーターでは、802.1XまたはMAC RADIUS認証に対応したインターフェイスに適用するファイアウォール フィルタが、RADIUSサーバーからスイッチに送信されたユーザーごとのポリシーと動的に組み合わされます。スイッチは内部ロジックを使用して、インターフェイス ファイアウォール フィルタと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイスで認証されている複数のユーザーまたは応答しないホストごとに個別のポリシーを作成します。

この例では、802.1 X 対応インターフェイス上で複数のサプリカントに動的ファイアウォールフィルターを作成する方法について説明します (この例で示した原理は、MAC RADIUS 認証に対応したインターフェイスに適用されます)。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MX シリーズルーターの Junos OS リリース14.2 以降

  • MX シリーズルーター1台

  • 1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

複数のサプリカントで使用するためにインターフェイスにファイアウォールフィルタを適用する前に、以下のことを確認してください。

  • ルーターと RADIUS サーバー間の接続を設定します。

  • インターフェイスの認証モードを に設定して、ルーター上で802.1X認証を ge-0/0/2 設定します multiple

  • RADIUS 認証サーバーでユーザーを設定しました。

概要とトポロジー

Topology

インターフェイスの 802.1 X 構成が複数のサプリカントモードに設定されている場合、システムは、認証中に RADIUS サーバーからルーターに送信されたユーザーポリシーを使用して、インターフェイスファイアウォールフィルタを動的に組み合わせて、それぞれについて個別の条件を作成します。ユーザー. インターフェイス上で認証されるユーザーごとに個別の条件が存在するため、この例に示すように、カウンターを使用して、同じインターフェイスで認証する個々のユーザーのアクティビティを表示できます。

新しいユーザー (または応答しないホスト) がインターフェイスで認証されると、そのインターフェイスに関連付けられたファイアウォールフィルターに条件が追加されます。各ユーザーの [ポリシー] という用語は、ユーザーの MAC アドレスに関連付けられています。各ユーザーの条件は、RADIUS サーバーに設定されたユーザー固有のフィルタと、そのインターフェイス上で構成したフィルタに基づいています。たとえば、 に示すように、 ユーザー1が新しいルーターによってMX シリーズ場合、システムがファイアウォール 図 1 フィルタを作成します dynamic-filter-example 。User2 が認証されると、ファイアウォールフィルタにさらに別の条件が追加されます。

図 1: 概念モデル: 新しいユーザーごとに動的フィルターが更新されました概念モデル: 新しいユーザーごとに動的フィルターが更新されました

これは内部プロセスの概念モデルで、動的フィルターにアクセスしたり表示することはできません。

注:

ユーザー (または応答しないホスト) が認証された後にインターフェイスのファイアウォールフィルターを変更した場合、ユーザーが再ログオンしない限り、その変更は動的フィルターに反映されません。

この例では、サブネット上にあるファイル サーバーに対するインターフェイス上で認証された各エンドポイントからリクエストをカウントし、トラフィックをレート制限するポリシーの定義を設定するファイアウォール フィルタを設定します。 は、この例のネットワーク トポロジを示しています。 ge-0/0/2192.0.2.16/28図 2

図 2: 802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続

構成

802.1 X 対応インターフェイスで複数のサプリカントのファイアウォールフィルターを構成するには、次のようにします。

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの構成

CLI クイック構成

802.1 X 対応インターフェイスで複数のサプリカントのファイアウォールフィルタを迅速に構成するには、以下のコマンドをコピーして、ルーター端末ウィンドウに貼り付けます。

順を追った手順

複数のサプリカントに対応したインターフェイスでファイアウォールフィルターを構成するには、次のようにします。

  1. 複数の ge-0/0/2 サプリカント モード認証用にインターフェイスを設定します。

  2. ポリサーの定義を設定します。

  3. 各ユーザーからのパケットと、トラフィック速度を制限するポリサーをカウントするように、ファイアウォールフィルターを構成します。新しいユーザーが複数のサプリカントインターフェイスで認証されるたびに、このフィルター条件がユーザーに対して動的に作成された用語に含まれるようになります。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの確認

目的

複数のサプリカントを使用して、ファイアウォールフィルターがインターフェイス上で機能していることを確認します。

アクション

  1. インターフェイス上で1人のユーザー認証を行った結果を確認します。この場合、ユーザーは次の上で認証されます ge-0/0/2

  2. 2 番目のユーザーである User2 が同じインターフェイスで認証されている場合、フィルターにインターフェイスで認証されたユーザーの両方の結果がフィルターに含まれることを ge-0/0/2 確認できます。

show dot1x firewallコマンド出力によって表示される結果は、新しいユーザーの認証で作成された動的フィルターを反映しています。User1 は、指定された宛先アドレスにあるファイルサーバーにアクセスしました100回、User2 は同一のファイルサーバーの400にアクセスしていました。

リリース履歴テーブル
リリース
説明
14.2
Junos OS リリース14.2 から、802.1 X または MAC RADIUS 認証に対応したインターフェイスに適用するファイアウォールフィルターは、RADIUS サーバーからスイッチに送信されるユーザー単位のポリシーと動的に組み合わせられています。