Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 X または MAC RADIUS 認証に対応したインターフェイス

EX シリーズスイッチは、ポートファイアウォールフィルターをサポートします。ポートファイアウォールフィルタは1つの EX シリーズスイッチ上で構成されていますが、エンタープライズ全体で機能するようにするには、複数のスイッチで構成する必要があります。複数のスイッチで同じポートファイアウォールフィルターを構成する必要性を軽減するには、代わりに RADIUS サーバー属性を使用して、RADIUS サーバー上でフィルターを一元的に適用します。デバイスが 802.1 X 経由で正常に認証された後に、条件が適用されます。詳細については、このトピックをお読みください。

例:EX シリーズスイッチで RADIUS サーバー属性を使用して、ファイアウォールフィルタを 802.1 X Authenticated サプリカントに適用する

RADIUS サーバー属性とポートファイアウォールフィルタを使用して、企業の EX シリーズスイッチに接続された複数のサプリカント (エンドデバイス) に用語を一元的に適用することができます。デバイスが 802.1 X 経由で正常に認証された後に、条件が適用されます。802.1 X 認証を使用してエンドデバイスを認証した後でファイアウォールフィルタ構成を変更した場合、確立された 802.1 X 認証セッションを終了して、ファイアウォールフィルタの変更を有効にするために再確立する必要があります。

EX シリーズスイッチは、ポートファイアウォールフィルターをサポートします。ポートファイアウォールフィルタは1つの EX シリーズスイッチ上で構成されていますが、エンタープライズ全体で機能するようにするには、複数のスイッチで構成する必要があります。複数のスイッチで同じポートファイアウォールフィルターを構成する必要性を軽減するには、代わりに RADIUS サーバー属性を使用して、RADIUS サーバー上でフィルターを一元的に適用します。

次の例では、FreeRADIUS を使用して、ポートファイアウォールフィルターを RADIUS サーバー上に適用しています。サーバーの設定の詳細については、RADIUS サーバーに同梱されているマニュアルを参照してください。

この例では、条件を使用してポートファイアウォールフィルターを設定する方法、サプリカントのパケットをカウントするカウンターを作成する方法、RADIUS サーバーのユーザープロファイルにフィルターを適用する方法、および構成を検証するためのカウンターを表示する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.3 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • 1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

サーバーをスイッチに接続する前に、以下のものがあることを確認してください。

概要とトポロジー

インターフェイス上の 802.1X 設定がサプリカント モードに設定されている場合、フィルターを RADIUS サーバーに一中心に追加することで、EX シリーズ スイッチ上の Junos OS CLI を通じて設定された単一ポート ファイアウォール フィルターを任意の数のエンド デバイス(サプリカント)に適用できます。 multiple インターフェイスには、1つのフィルタのみを適用できます。ただし、このフィルターには、個別のエンドデバイスに対して複数の条件を含めることができます。

ファイアウォール フィルターの詳細については、「 ファイアウォール フィルター for EX シリーズ スイッチ 概要 」 または「 ファイアウォール フィルター(QFX シリーズ) 」を参照してください

802.1 X を使用してデバイスが正常に認証された後、エンドデバイスが接続されたポートに RADIUS サーバー属性が適用されます。エンド デバイスを認証するために、スイッチはエンド デバイスの認証情報を別のサーバー RADIUSします。RADIUS サーバーは、インプリカント サーバー上のサプリカントのユーザー プロファイルにあるサプリカントに関する事前設定された情報と認証情報をRADIUSします。一致するものが見つかった場合、RADIUS サーバーはスイッチに対して、エンドデバイスへのインターフェイスを開くように指示します。その後、トラフィックは LAN 上のエンドデバイスとの間でフローされます。ポート ファイアウォール フィルタで設定し、RADIUS サーバー属性を使用してエンド デバイスのユーザー プロファイルに追加する手順に従って、エンド デバイスに付与されるアクセスをさらに定義します。ポートファイアウォールフィルターに設定されたフィルタリング条件は、802.1 X 認証が完了した後、エンドデバイスが接続されるポートに適用されます。

注:

802.1 X を使用してエンドデバイスが正常に認証された後にポートファイアウォールフィルターを変更する場合は、802.1 X 認証セッションを終了して再確立して、ファイアウォールフィルタの設定の変更を有効にする必要があります。

Topology

図 1この例で使用されているトポロジを示します。RADIUS サーバーは、アクセスポート ge-0/0/10 の EX4200 スイッチに接続されています。2台のエンドデバイス (サプリカント) が、インターフェイス ge-0/0/2 で LAN にアクセスしています。サプリカント1には MAC アドレス 00:50: 80億ドル規模: 6f:60: 3a があります。サプリカント2には MAC アドレス 00:50: 80億ドル規模: 6f:60: 3b があります。

注:

この図は QFX5100 スイッチにも適用されます。

図 1: ファイアウォールフィルターと RADIUS サーバー属性設定のトポロジファイアウォールフィルターと RADIUS サーバー属性設定のトポロジ

表 1このトポロジのコンポーネントについて説明します。

表 1: ファイアウォールフィルターのコンポーネントと RADIUS サーバー属性トポロジ
プロパティ 設定

スイッチハードウェア

EX4200 アクセススイッチ、24ギガビットイーサネットポート: 16個の非 PoE ポートと 8 PoE ポートを備えています。

1台の RADIUS サーバー

ポートにあるスイッチに 10.0.0.100 接続されたアドレスを持つバックエンド データベース ge-0/0/10

802.1 x サプリカントがインターフェイス上のスイッチに接続されています ge-0/0/2

  • Supplicant 100:50:8b:6f:60:3aMAC アドレス.

  • Supplicant 200:50:8b:6f:60:3bMAC アドレス.

RADIUS サーバーに適用されるポートファイアウォールフィルター

filter1

パフォー

counter1 はサプリカント1からのパケットをカウントし、 counter2 サプリカント2からのパケットをカウントします。

ポリサー

policer p1

RADIUS サーバー上のユーザープロファイル

  • サプリカント1はユーザープロファイルを持っています supplicant1

  • サプリカント2はユーザープロファイルを持っています supplicant2

この例では、 という名前のポート ファイアウォール フィルタを設定します filter1 。このフィルターには、エンドデバイスの MAC アドレスに基づいてエンドデバイスに適用される条件が含まれています。フィルターを設定する際には、 および のカウンターも設定 counter1 します counter2 。各エンドデバイスからのパケットがカウントされます。これにより、構成が機能していることを確認できます。ポリシーは p1 、 および の値に基づいてトラフィック レート exceeding を制限 discard します。その後、RADIUS サーバー属性が RADIUS サーバーで使用可能になっていることを確認し、RADIUS サーバー上の各エンドデバイスのユーザープロファイルにフィルターを適用します。最後に、2つのカウンターの出力を表示して、構成を検証します。

ポートファイアウォールフィルタとカウンターの設定

手順

CLI クイック構成

サプリカント1およびサプリカント2の条件を使用してポートファイアウォールフィルターを迅速に構成し、各サプリカントの並列カウンターを作成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

ポートファイアウォールフィルタとカウンターをスイッチに設定するには、次のようにします。

  1. 各エンド デバイスのデバイスの数に基づいて、各エンド デバイスの条件を使用してMAC アドレス ファイアウォール フィルタ filter1 を設定します。

  2. ポリサーの定義を設定します。

  3. 以下の2つのカウンターを作成し、各エンドデバイスおよびポリサーのパケット数をカウントします。これにより、トラフィック速度が制限されます。

結果

構成の結果を表示するには、以下のようにします。

RADIUS サーバー上のサプリカントユーザープロファイルにポートファイアウォールフィルターを適用します。

手順

順を追った手順

サーバーのRADIUSがサーバー上にあるRADIUS、ユーザー プロファイルにフィルターを適用するには、次の Filter-ID 手順に示します。

  1. データ サーバーに辞書をRADIUSし、属性が辞書 dictionary.rfc2865Filter-ID 内にあるか検証します。

  2. 辞書ファイルを閉じます。

  3. フィルターを適用するエンド デバイスのローカル ユーザー プロファイルを表示します(ここでは、ユーザー プロファイルと 呼 supplicant1 ばれる)。 supplicant2

    出力は以下のとおりです。

  4. 各プロファイルに行を追加して、両方のユーザー プロファイルにフィルターを適用してから Filter-Id = “filter1” 、ファイルを閉じます。

    この行をファイルに貼り付けた後、ファイルは次のようになります。

検証

サプリカントにフィルターが適用されていることを確認しています

目的

インターフェイス ge-0/0/2 でエンドデバイスを認証した後、そのフィルターがスイッチに設定されていて、両方のサプリカントの結果が含まれていることを確認します。

アクション

コマンドの出力は show dot1x firewallcounter1 と を表示します counter2 。パケットのUser_1を使用してカウントされ、ユーザー 2 からのパケット counter1 は 、 を使用してカウントされます counter2 。両方のカウンターに対して増加したパケットが出力されます。このフィルターは両方のエンドデバイスに適用されています。

例:802.1 X または MAC RADIUS 認証が有効になっているインターフェイス上の複数のサプリカントにファイアウォールフィルタを適用

EX シリーズスイッチでは、802.1 X または MAC RADIUS 認証用に有効化されているインターフェイスに適用するファイアウォールフィルターは、RADIUS サーバーからスイッチに送られるユーザー単位のポリシーと動的に組み合わせられるようになっています。スイッチは、内部ロジックを使用してインターフェイスファイアウォールフィルターと RADIUS サーバーのユーザーポリシーを動的に組み合わせて、インターフェイスで認証された複数のユーザーまたは応答しないホストごとに個別のポリシーを作成します。

この例では、802.1 X 対応インターフェイス上で複数のサプリカントに動的ファイアウォールフィルターを作成する方法について説明します (この例で示した原理は、MAC RADIUS 認証に対応したインターフェイスに適用されます)。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • EX シリーズスイッチの Junos OS リリース9.5 以降

  • EX シリーズスイッチ1台

  • 1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

複数のサプリカントで使用するためにインターフェイスにファイアウォールフィルタを適用する前に、以下のことを確認してください。

概要とトポロジー

Topology

インターフェイスの 802.1 X 構成が複数のサプリカントモードに設定されている場合、システムは、認証中に RADIUS サーバーからスイッチに送信されたユーザーポリシーを使用して、インターフェイスファイアウォールフィルタを動的に組み合わせて、それぞれについて個別の条件を作成します。ユーザー. インターフェイス上で認証されるユーザーごとに個別の条件が存在するため、この例に示すように、カウンターを使用して、同じインターフェイスで認証する個々のユーザーのアクティビティを表示できます。

新しいユーザー (または応答しないホスト) がインターフェイスで認証されると、そのインターフェイスに関連付けられたファイアウォールフィルターに条件が追加されます。各ユーザーの [ポリシー] という用語は、ユーザーの MAC アドレスに関連付けられています。各ユーザーの条件は、RADIUS サーバーに設定されたユーザー固有のフィルタと、そのインターフェイス上で構成したフィルタに基づいています。たとえば、 に示すように、 スイッチによってユーザー1が認証EX シリーズファイアウォール 図 2 フィルタが作成されます dynamic-filter-example 。User2 が認証されると、ファイアウォールフィルタにさらに別の条件が追加されます。

図 2: 概念モデル: 新しいユーザーごとに動的フィルターが更新されました概念モデル: 新しいユーザーごとに動的フィルターが更新されました

これは内部プロセスの概念モデルで、動的フィルターにアクセスしたり表示することはできません。

注:

ユーザー (または応答しないホスト) が認証された後にインターフェイスのファイアウォールフィルターを変更した場合、ユーザーが再ログオンしない限り、その変更は動的フィルターに反映されません。

この例では、サブネット上にあるファイル サーバーに対するインターフェイス上で認証された各エンドポイントからリクエストをカウントし、トラフィックをレート制限するポリシーの定義を設定するファイアウォール フィルタを設定します。 は、この例のネットワーク トポロジを示しています。 ge-0/0/2192.0.2.16/28図 3

図 3: 802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続

構成

802.1 X 対応インターフェイスで複数のサプリカントのファイアウォールフィルターを構成するには、次のようにします。

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの構成

CLI クイック構成

802.1 X 対応インターフェイスで複数のサプリカントのファイアウォールフィルタを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

複数のサプリカントに対応したインターフェイスでファイアウォールフィルターを構成するには、次のようにします。

  1. 複数の ge-0/0/2 サプリカント モード認証用にインターフェイスを設定します。

  2. ポリサーの定義を設定します。

  3. 各ユーザーからのパケットと、トラフィック速度を制限するポリサーをカウントするように、ファイアウォールフィルターを構成します。新しいユーザーが複数のサプリカントインターフェイスで認証されるたびに、このフィルター条件がユーザーに対して動的に作成された用語に含まれるようになります。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの確認

目的

複数のサプリカントを使用して、ファイアウォールフィルターがインターフェイス上で機能していることを確認します。

アクション
  1. インターフェイス上で1人のユーザー認証を行った結果を確認します。この場合、ユーザーは次の上で認証されます ge-0/0/2

  2. 2 番目のユーザーである User2 が同じインターフェイスで認証されている場合、フィルターにインターフェイスで認証されたユーザーの両方の結果がフィルターに含まれることを ge-0/0/2 確認できます。

show dot1x firewallコマンド出力によって表示される結果は、新しいユーザーの認証で作成された動的フィルターを反映しています。User1 は、指定された宛先アドレスにあるファイルサーバーにアクセスしました100回、User2 は同一のファイルサーバーの400にアクセスしていました。

例:サプリカントシリーズスイッチでの 802.1 X または MAC RADIUS の認証を有効にしたファイアウォールフィルタを、ELS サポートによってインターフェイス上で適用します。

注:

この例では、EX シリーズスイッチの Junos OS を使用して、Enhanced Layer 2 Software (ELS) 設定スタイルをサポートしています。お使いのスイッチが、ELS をサポートしていないソフトウェアを実行する場合は、次の例を参照してください。802.1 X または MAC RADIUS 認証が有効になっているインターフェイス上で、ファイアウォールフィルターを複数のサプリカントに適用します。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

EX シリーズスイッチでは、802.1 X または MAC RADIUS 認証用に有効化されているインターフェイスに適用するファイアウォールフィルターは、RADIUS サーバーからスイッチに送られるユーザー単位のポリシーと動的に組み合わせられるようになっています。スイッチは、内部ロジックを使用してインターフェイスファイアウォールフィルターと RADIUS サーバーのユーザーポリシーを動的に組み合わせて、インターフェイスで認証された複数のユーザーまたは応答しないホストごとに個別のポリシーを作成します。

この例では、802.1 X 対応インターフェイス上で複数のサプリカントに動的ファイアウォールフィルターを作成する方法について説明します (この例で示した原理は、MAC RADIUS 認証に対応したインターフェイスに適用されます)。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース13.2 以降

  • ELS をサポートする1つの EX シリーズスイッチ

  • 1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

複数のサプリカントで使用するためにインターフェイスにファイアウォールフィルタを適用する前に、以下のことを確認してください。

概要とトポロジー

Topology

インターフェイスの 802.1 X 構成が複数のサプリカントモードに設定されている場合、インターフェイスファイアウォールフィルタと、認証中に RADIUS サーバーからスイッチに送信されたユーザーポリシーをダイナミックに使用して、それぞれの条件を各ユーザーインターフェイス上で認証されるユーザーごとに個別の条件が存在するため、この例に示すように、カウンターを使用して、同じインターフェイスで認証する個々のユーザーのアクティビティを表示できます。

新しいユーザー (または応答しないホスト) がインターフェイスで認証されると、そのインターフェイスに関連付けられたファイアウォールフィルターに条件が追加されます。各ユーザーの [ポリシー] という用語は、ユーザーの MAC アドレスに関連付けられています。各ユーザーの条件は、RADIUS サーバーに設定されたユーザー固有のフィルタと、そのインターフェイス上で構成したフィルタに基づいています。たとえば、 に示すように、 スイッチによってユーザー 1 が認証されている場合EX シリーズフィルタに条件が 図 4 追加されます dynamic-filter-example 。ユーザー 2 が認証されると、別の条件がファイアウォール フィルターに追加されます。

注:

この図は QFX5100 スイッチにも適用されます。

図 4: 概念モデル: 新しいユーザーごとに動的フィルターが更新されました概念モデル: 新しいユーザーごとに動的フィルターが更新されました

これは内部プロセスの概念モデルで、動的フィルターにアクセスしたり表示することはできません。

注:

ユーザー (または応答しないホスト) が認証された後にインターフェイスのファイアウォールフィルターを変更した場合、ユーザーが再ログオンしない限り、その変更は動的フィルターに反映されません。

この例では、ファイアウォールフィルターを構成して、インターフェイス ge-0/0/2 で認証された各エンドポイントによって行われた要求を、サブネット 192.0.2.16/28 にあるファイルサーバーにカウントし、ポリサーの定義を設定してトラフィックを制限します。図 5は、この例のネットワークトポロジを示しています。

図 5: 802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続802.1 X 対応インターフェイスでの複数のサプリカントファイルサーバーへの接続

構成

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの構成

CLI クイック構成

802.1 X 対応インターフェイスで複数のサプリカントのファイアウォールフィルタを迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

複数のサプリカントに対応したインターフェイスでファイアウォールフィルターを構成するには、次のようにします。

  1. ポリサーの定義を設定します。

  2. 各ユーザーからのパケットと、トラフィック速度を制限するポリサーをカウントするように、ファイアウォールフィルターを構成します。新しいユーザーが複数のサプリカントインターフェイスで認証されるたびに、このフィルター条件がユーザーに対して動的に作成された用語に含まれるようになります。

結果

構成の結果を確認します。

検証

複数のサプリカントを使用したインターフェイスでのファイアウォールフィルターの確認

目的

複数のサプリカントを使用して、ファイアウォールフィルターがインターフェイス上で機能していることを確認します。

アクション
  1. インターフェイス上で1人のユーザー認証を行った結果を確認します。この場合、ユーザー1はge-0/0/2で認証されています。

  2. 2 番目のユーザーであるユーザー 2 が同じインターフェイス ge-0/0/2 で認証されている場合、フィルタにインターフェイスで認証された 2 人のユーザーの結果がフィルターに含まれることを確認できます。

show dot1x firewallコマンド出力によって表示される結果は、新しいユーザーの認証で作成された動的フィルターを反映しています。ユーザー 1 は指定された宛先アドレス時間にあるファイル サーバーにアクセスし、ユーザー 2 は同じファイル サーバー 100 の時間にアクセス 400 しました。