Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用

Junos OS リリース 14.2 以降、MX シリーズ ルーターでは、802.1X または MAC RADIUS 認証が有効になっているインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイス ファイアウォール フィルターと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイス上で認証される複数のユーザーまたは応答しないホストのそれぞれに個別のポリシーを作成します。

この例では、802.1X 対応インターフェイス上の複数のサプリカントに対して、動的ファイアウォール フィルターを作成する方法について説明します(この例と同じ原則が、MAC RADIUS 認証が有効なインターフェイスにも適用されます)。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MXシリーズルーター向けJunos OSリリース14.2以降

  • MXシリーズルーター1台

  • 1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。

複数のサプリカントで使用するためにファイアウォールフィルターをインターフェイスに適用する前に、以下が完了していることを確認してください。

  • ルーターとRADIUSサーバー間の接続を設定します。

  • ルーターに 802.1X 認証を設定し、インターフェイスの認証モードを に設定。ge-0/0/2multiple

  • RADIUS認証サーバーに設定されたユーザー。

概要とトポロジー

トポロジー

インターフェイスの 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証中にインターフェイス ファイアウォール フィルターと RADIUS サーバーからルーターに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイスで認証されたユーザーごとに個別の条件があるため、この例に示すように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。

新しいユーザー(または応答しないホスト)がインターフェイスで認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに用語を追加し、各ユーザーの用語(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの用語は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づいています。例えば、に示すように に示すように、 が MX シリーズ ルーターによって User1 が認証されると、システムはファイアウォール フィルター を作成します。図 1dynamic-filter-example User2 が認証されると、別の用語がファイアウォール フィルターに追加されます、という具合です。

図 1: 概念モデル: 新しいユーザーごとに更新されたダイナミックフィルター概念モデル: 新しいユーザーごとに更新されたダイナミックフィルター

これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。

注:

ユーザー(または応答しないホスト)が認証された後にインターフェイスのファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更はダイナミックフィルターに反映されません。

この例では、ファイアウォールフィルターを構成して、サブネット 上にあるファイルサーバーへのインターフェイスで認証された各エンドポイントによるリクエストをカウントし、ポリサー定義を設定してトラフィックのレートを制限します。に、この例のネットワークトポロジーを示します。 ge-0/0/2192.0.2.16/28図 2

図 2: ファイル サーバーに接続する 802.1X 対応インターフェイス上の複数のサプリカントファイル サーバーに接続する 802.1X 対応インターフェイス上の複数のサプリカント

設定

802.1X 対応インターフェイス上の複数のサプリカントにファイアウォール フィルターを設定するには、次の手順に従います。

複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの設定

CLIクイック構成

802.1X 対応インターフェイスで複数のサプリカントのファイアウォール フィルターをすばやく構成するには、次のコマンドをコピーして、ルーター端末ウィンドウに貼り付けます。

ステップバイステップでの手順

複数のサプリカントが有効になっているインターフェイスでファイアウォールフィルターを設定するには:

  1. マルチサプリカントモード認証用のインターフェイス を設定します。ge-0/0/2

  2. ポリサー定義を設定します。

  3. 各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーはそれぞれマルチ サプリカント インターフェイスで認証されるため、このフィルター条件はユーザーに対して動的に作成される用語に含まれます。

結果

構成の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの検証

目的

ファイアウォールフィルターが、複数のサプリカントとのインターフェイスで機能していることを確認します。

アクション

  1. インターフェイスで認証された 1 人のユーザで結果を確認します。この場合、ユーザーは で認証されます 。ge-0/0/2

  2. 2番目のユーザーUser2が同じインターフェイス()で認証されると、 インターフェイスで認証された両方のユーザーの結果がフィルターに含まれていることを確認できます。ge-0/0/2

意味

コマンド出力によって 表示される結果には、新しい各ユーザーの認証で作成された動的フィルターが反映されます。show dot1x firewall User1 は指定された宛先アドレスにあるファイル サーバーに 100 回アクセスし、User2 は同じファイル サーバーに 400 回アクセスしました。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
14.2
Junos OS リリース 14.2 以降、MX シリーズ ルーターでは、802.1X または MAC RADIUS 認証が有効になっているインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。