例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
Junos OS リリース 14.2 以降、MX シリーズ ルーターでは、802.1X または MAC RADIUS 認証が有効になっているインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイス ファイアウォール フィルターと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイス上で認証される複数のユーザーまたは応答しないホストのそれぞれに個別のポリシーを作成します。
この例では、802.1X 対応インターフェイス上の複数のサプリカントに対して、動的ファイアウォール フィルターを作成する方法について説明します(この例と同じ原則が、MAC RADIUS 認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MX シリーズ ルーター向けの Junos OS リリース 14.2 以降
MXシリーズルーター1台
1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
複数のサプリカントで使用するためにファイアウォールフィルターをインターフェイスに適用する前に、以下が完了していることを確認してください。
ルーターとRADIUSサーバー間の接続を設定します。
ルーターに 802.1X 認証を設定し、インターフェイス ge-0/0/2 の認証モードを multiple に設定。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイスの 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証中にインターフェイス ファイアウォール フィルターと RADIUS サーバーからルーターに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイスで認証されたユーザーごとに個別の条件があるため、この例に示すように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
新しいユーザー(または応答しないホスト)がインターフェイスで認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに用語を追加し、各ユーザーの用語(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの用語は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づいています。例えば、 図 1に示すように、ユーザー1がMXシリーズルーターによって認証されると、システムはファイアウォールフィルター dynamic-filter-exampleを作成します。User2 が認証されると、別の用語がファイアウォール フィルターに追加されます、という具合です。
これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイスのファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更はダイナミックフィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、サブネット192.0.2.16/28にあるファイルサーバーへのインターフェイスge-0/0/2で認証された各エンドポイントからのリクエストをカウントし、ポリサー定義を設定してトラフィックのレートを制限します。 図 2に、この例のネットワーク トポロジーを示します。
設定
802.1X 対応インターフェイス上の複数のサプリカントにファイアウォール フィルターを設定するには、次の手順に従います。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの設定
CLIクイック構成
802.1X 対応インターフェイスで複数のサプリカントのファイアウォール フィルターをすばやく構成するには、次のコマンドをコピーして、ルーター端末ウィンドウに貼り付けます。
[edit] set protocols authentication-access-control interface ge-0/0/2 supplicant multiple set firewall family bridge filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family bridge filter filter1 term term1 then count counter1 set firewall family bridge filter filter1 term term2 then policer p1
ステップバイステップでの手順
複数のサプリカントが有効になっているインターフェイスでファイアウォールフィルターを設定するには:
複数のサプリカントモード認証用のインターフェイス ge-0/0/2 を設定します。
[edit protocols] user@router# set authentication-access-control interface ge-0/0/2 supplicant multiple
ポリサー定義を設定します。
user@router# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーはそれぞれマルチ サプリカント インターフェイスで認証されるため、このフィルター条件はユーザーに対して動的に作成される用語に含まれます。
[edit firewall family bridge] user@router# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@router# set filter filter1 term term1 then count counter1 user@router# set filter filter1 term term2 then policer p1
結果
構成の結果を確認します。
user@router> show configuration
firewall {
family bridge {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
authentication-access-control {
interface ge-0/0/2 {
supplicant multiple;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの検証
目的
ファイアウォールフィルターが、複数のサプリカントとのインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された 1 人のユーザで結果を確認します。この場合、ユーザーは次の ge-0/0/2で認証されます。
user@router> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
ge-0/0/2、2 番目のユーザーである User2 が同じインターフェイスで認証される場合、フィルターにインターフェイスで認証された両方のユーザーの結果が含まれていることを確認できます。
user@router>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewall
コマンド出力によって表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。User1 は指定された宛先アドレスにあるファイル サーバーに 100 回アクセスし、User2 は同じファイル サーバーに 400 回アクセスしました。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。