802.1XまたはMAC RADIUS認証が有効なインターフェイス
EXシリーズスイッチは、ポートファイアウォールフィルターをサポートしています。ポートファイアウォールフィルターは単一のEXシリーズスイッチで設定されますが、企業全体で動作させるためには、複数のスイッチで設定する必要があります。複数のスイッチで同じポートファイアウォールフィルターを設定する必要性を減らすために、代わりにRADIUSサーバー属性を使用して、RADIUSサーバー上でフィルターを一元的に適用できます。規約は、デバイスが802.1Xを介して正常に認証された後に適用されます。詳細については、このトピックをお読みください。
例:EXシリーズスイッチのRADIUSサーバー属性を使用して、802.1X認証済みサプリカントにファイアウォールフィルターを適用する
RADIUSサーバー属性とポートファイアウォールフィルターを使用して、企業内のEXシリーズスイッチに接続された複数のサプリカント(エンドデバイス)に条件を一元的に適用できます。規約は、デバイスが802.1Xを介して正常に認証された後に適用されます。エンドデバイスが802.1X認証を使用して認証された後にファイアウォールフィルターの設定が変更された場合、ファイアウォールフィルターの変更を有効にするには、確立された802.1X認証セッションを終了し、再確立する必要があります。
EXシリーズスイッチは、ポートファイアウォールフィルターをサポートしています。ポートファイアウォールフィルターは単一のEXシリーズスイッチで設定されますが、企業全体で動作させるためには、複数のスイッチで設定する必要があります。複数のスイッチで同じポートファイアウォールフィルターを設定する必要性を減らすために、代わりにRADIUSサーバー属性を使用して、RADIUSサーバー上でフィルターを一元的に適用できます。
次の例では、FreeRADIUSを使用して、RADIUSサーバーにポートファイアウォールフィルターを適用します。サーバーの設定については、RADIUSサーバーに同梱されているドキュメントを参照してください。
この例では、用語を使用してポートファイアウォールフィルターを設定し、サプリカントのパケットをカウントするカウンターを作成し、RADIUSサーバー上のユーザープロファイルにフィルターを適用し、設定を検証するためのカウンターを表示する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.3以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
1台のRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
サーバーをスイッチに接続する前に、以下が完了していることを確認してください。
スイッチと RADIUS サーバー間の接続を設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
スイッチで 802.1X 認証が構成され、インターフェイス ge-0/0/2 のサプリカント モードが 複数に設定されています。 802.1Xインターフェイス設定の設定(CLI手順) および 例:EXシリーズスイッチでシングルサプリカント構成またはマルチサプリカント構成用の802.1Xを設定するを参照してください。
RADIUS 認証サーバーに設定されたユーザー(この例では、トポロジー内のサプリカント 1 とサプリカント 2 のユーザー プロファイルが RADIUS サーバーで変更されています)。
概要とトポロジー
インターフェイス上の 802.1X 設定が マルチ サプリカント モードに設定されている場合、EXシリーズ スイッチ上の Junos OS CLI を介して設定されたシングル ポート ファイアウォール フィルターを、RADIUS サーバーに一元的に追加することで、任意の数のエンド デバイス(サプリカント)に適用できます。インターフェイスに適用できるフィルターは1つだけです。ただし、フィルターには、個別のエンドデバイス用に複数の条件を含めることができます。
ファイアウォールフィルターの詳細については、 EXシリーズスイッチのファイアウォールフィルター の概要または ファイアウォールフィルターの概要(QFXシリーズ)を参照してください。
RADIUSサーバー属性は、デバイスが802.1Xを使用して正常に認証された後、エンドデバイスが接続されているポートに適用されます。エンドデバイスを認証するために、スイッチはエンドデバイスの認証情報を RADIUS サーバーに転送します。RADIUSサーバーは、資格情報を、RADIUSサーバー上のサプリカントのユーザープロファイルにあるサプリカントに関する事前設定された情報と照合します。一致するものが見つかった場合、RADIUSサーバーはスイッチにエンドデバイスへのインターフェイスを開くように指示します。その後、トラフィックは LAN 上のエンド デバイスとの間で流れます。ポートファイアウォールフィルターで設定され、RADIUSサーバー属性を使用してエンドデバイスのユーザープロファイルに追加された追加の命令は、エンドデバイスに付与されるアクセスをさらに定義します。ポートファイアウォールフィルターで設定されたフィルタリング条件は、802.1X認証が完了した後にエンドデバイスが接続されているポートに適用されます。
エンドデバイスが802.1Xを使用して正常に認証された後にポートファイアウォールフィルターを変更した場合、ファイアウォールフィルター設定の変更を有効にするには、802.1X認証セッションを終了して再確立する必要があります。
トポロジー
図1 は、この例で使用したトポロジーを示しています。RADIUSサーバーは、アクセスポートge-0/0/10でEX4200スイッチに接続されています。2台のエンドデバイス(サプリカント)が、インターフェイスge-0/0/2のLANにアクセスしています。サプリカント1のMACアドレスは00:50:8b:6f:60:3aです。サプリカント2のMACアドレスは00:50:8b:6f:60:3bです。
この図は、QFX5100スイッチにも適用されます。
表1は、このトポロジーのコンポーネントを示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:非PoEポート16個とPoEポート8個。 |
1台のRADIUSサーバー |
ポートge-0/0/10でスイッチに接続されたアドレス10.0.0.100を持つバックエンドデータベース。 |
インターフェイスge-0/0/2のスイッチに接続された802.1Xサプリカント |
|
RADIUSサーバーに適用するポートファイアウォールフィルター |
フィルター1 |
カウンタ |
counter1 はサプリカント1からのパケットをカウントし、 counter2 はサプリカント2からのパケットをカウントします。 |
ポリサー |
ポリサーP1 |
RADIUSサーバー上のユーザープロファイル |
|
この例では、 filter1という名前のポートファイアウォールフィルターを設定します。フィルターには、エンドデバイスのMACアドレスに基づいてエンドデバイスに適用される用語が含まれています。フィルターを設定する際は、 カウンターcounter1 と counter2も設定します。各エンドデバイスからのパケットはカウントされ、設定が機能していることを確認するのに役立ちます。ポリ サーp1 は、 exceeding および discard パラメーターの値に基づいてトラフィックレートを制限します。次に、RADIUSサーバー属性がRADIUSサーバーで使用可能であることを確認し、RADIUSサーバー上の各エンドデバイスのユーザープロファイルにフィルターを適用します。最後に、2つのカウンターの出力を表示して設定を検証します。
ポートファイアウォールフィルターとカウンターの設定
手順
CLIクイックコンフィグレーション
サプリカント1とサプリカント2の条件でポートファイアウォールフィルターを素早く設定し、各サプリカントのパラレルカウンターを作成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
ステップバイステップの手順
スイッチ上でポートファイアウォールフィルターとカウンターを設定するには:
各エンド デバイスの MACアドレスに基づいて、各エンド デバイスの条件を含むポート ファイアウォール フィルター(ここでは filter1)を設定します。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
ポリサー定義を設定します。
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
各エンドデバイスのパケットをカウントする2つのカウンターと、トラフィックレートを制限するポリサーを作成します。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
結果
設定の結果の表示:
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term supplicant1 {
from {
source-mac-address {
00:50:8b:6f:60:3a;
}
}
then count counter1;
then policer p1;
}
term supplicant2 {
from {
source-mac-address {
00:50:8b:6f:60:3b;
}
}
then count counter2;
}
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
RADIUSサーバー上のサプリカントユーザープロファイルへのポートファイアウォールフィルターの適用
手順
ステップバイステップの手順
RADIUSサーバー属性 Filter-ID がRADIUSサーバー上にあることを確認し、フィルターをユーザープロファイルに適用するには:
RADIUSサーバーで 辞書dictionary.rfc2865 を表示し、属性 Filter-ID が辞書に存在することを確認します。
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
辞書ファイルを閉じます。
フィルターを適用したいエンドデバイスのローカルユーザープロファイルを表示します(ここでは、ユーザープロファイルを supplicant1 および supplicant2と呼びます)。
[root@freeradius]# cat /usr/local/etc/raddb/users
出力は以下の通りです。
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"各プロファイルに Filter-Id = "filter1" 行を追加して、両方のユーザー プロファイルにフィルターを適用し、ファイルを閉じます。
[root@freeradius]# cat /usr/local/etc/raddb/users
行をファイルに貼り付けると、ファイルは次のようになります。
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
検証
フィルターがサプリカントに適用されていることの確認
目的
エンド デバイスがインターフェイス ge-0/0/2 で認証されたら、フィルターがスイッチに設定されており、両方のサプリカントの結果が含まれていることを確認します。
アクション
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewallコマンドの出力に、counter1とcounter2が表示されます。User_1からのパケットはcounter1を使用してカウントされ、ユーザー2 からのパケットはcounter2を使用してカウントされます。出力には、両方のカウンターでパケットが増加していることが表示されます。両方のエンドデバイスにフィルターが適用されています。
例:802.1XまたはMAC RADIUS認証が有効になっているインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
サポートされているスイッチでは、802.1XまたはMAC RADIUS認証が有効になっているインターフェイスに適用するファイアウォールフィルターが、RADIUSサーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイスファイアウォールフィルターをRADIUSサーバーからのユーザーポリシーと動的に組み合わせ、インターフェイスで認証された複数のユーザーまたは応答しないホストごとに個別のポリシーを作成します。
この例では、802.1X対応インターフェイス上で複数のサプリカントに対して動的ファイアウォールフィルターを作成する方法について説明します(この例で示すのと同じ原則が、MAC RADIUS認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のハードウェアおよびソフトウェアコンポーネントを使用しています。
スイッチでサポートされている Junos OS リリース
サポートされているスイッチ
1台のRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
複数のサプリカントで使用するインターフェイスにファイアウォールフィルターを適用する前に、以下を満たしていることを確認してください。
スイッチと RADIUS サーバー間の接続を設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
スイッチに802.1X認証が構成されており、インターフェイス ge-0/0/2 の認証モードは 複数に設定されています。 802.1Xインターフェイス設定の設定(CLI手順) および 例:EXシリーズスイッチでシングルサプリカント構成またはマルチサプリカント構成用の802.1Xを設定するを参照してください。
RADIUS 認証サーバーで設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイス上の 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証中に RADIUS サーバーからスイッチに送信されたユーザー ポリシーとインターフェイス ファイアウォール フィルターを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイス上で認証されたユーザーごとに個別の条件があるため、この例のように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
インターフェイスで新しいユーザー(または応答しないホスト)が認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに条件を追加し、各ユーザーの条件(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの条件は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づきます。例えば、図2に示すように、ユーザー1がEXシリーズスイッチによって認証されると、システムはファイアウォールフィルターdynamic-filter-exampleを作成します。User2が認証されると、ファイアウォールフィルターに別の条件が追加されます。
ごとに動的フィルターを更新
これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイス上のファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更は動的フィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、インターフェイス ge-0/0/2 で認証された各エンドポイントからサブネット 192.0.2.16/28にあるファイルサーバーに対して行われたリクエストをカウントし、トラフィックのレートを制限するようにポリサー定義を設定します。 図3 は、この例のネットワークトポロジーを示しています。
に接続する802.1X対応インターフェイス上の複数のサプリカント
設定
802.1X対応インターフェイスで複数のサプリカント用にファイアウォールフィルターを設定するには:
複数のサプリカントを持つインターフェイスでのファイアウォールフィルターの設定
CLIクイックコンフィグレーション
802.1X対応インターフェイスで複数のサプリカント用にファイアウォールフィルターを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit]
set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple
set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1k
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1
ステップバイステップの手順
複数のサプリカントに対して有効になっているインターフェイスでファイアウォールフィルターを設定するには:
複数のサプリカントモード認証用にインターフェイス ge-0/0/2 を設定します。
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
ポリサー定義を設定します。
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーが複数のサプリカントインターフェイスで認証されると、このフィルター条件は、動的に作成されたユーザー条件に含まれます。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
結果
設定の結果を確認します。
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
複数のサプリカントを持つインターフェイスでのファイアウォールフィルターの検証
目的
ファイアウォールフィルターが複数のサプリカントを持つインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された1人のユーザーで結果を確認します。この場合、ユーザーは ge-0/0/2で認証されます。
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
2 人目のユーザーである User2 が同じインターフェイス( ge-0/0/2)で認証されると、フィルターにインターフェイスで認証された両方のユーザーの結果が含まれていることを確認します。
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewallコマンド出力で表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。ユーザー1は指定された宛先アドレスにあるファイルサーバーに100回アクセスし、ユーザー2は同じファイルサーバーに400回アクセスしました。
例:ELSをサポートするEXシリーズスイッチで、802.1XまたはMAC RADIUS認証が有効になっているインターフェイスの複数のサプリカントにファイアウォールフィルターを適用する
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートする EXシリーズ スイッチに Junos OS を使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、 例を参照してください。 802.1XまたはMAC RADIUS認証が有効になっているインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
EXシリーズスイッチでは、802.1XまたはMAC RADIUS認証が有効になっているインターフェイスに適用するファイアウォールフィルターが、RADIUSサーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイスファイアウォールフィルターをRADIUSサーバーからのユーザーポリシーと動的に組み合わせ、インターフェイスで認証された複数のユーザーまたは応答しないホストごとに個別のポリシーを作成します。
この例では、802.1X対応インターフェイス上で複数のサプリカントに対して動的ファイアウォールフィルターを作成する方法について説明します(この例で示すのと同じ原則が、MAC RADIUS認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチのJunos OSリリース13.2以降
ELSをサポートする1つのEXシリーズスイッチ
1台のRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
複数のサプリカントで使用するインターフェイスにファイアウォールフィルターを適用する前に、以下を満たしていることを確認してください。
スイッチと RADIUS サーバー間の接続を設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
スイッチに 802.1X 認証 を設定し、インターフェイス ge-0/0/2 の認証 モードを
multipleに設定しています。 802.1Xインターフェイス設定の設定(CLI手順) および 例:EXシリーズスイッチでシングルサプリカント構成またはマルチサプリカント構成用の802.1Xを設定するを参照してください。RADIUS 認証サーバーで設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイス上の 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証中にインターフェイス ファイアウォール フィルターと RADIUS サーバーからスイッチに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイス上で認証されたユーザーごとに個別の条件があるため、この例のように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
インターフェイスで新しいユーザー(または応答しないホスト)が認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに条件を追加し、各ユーザーの条件(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの条件は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づきます。例えば、 図4に示すように、ユーザー1 がEXシリーズスイッチによって認証されると、システムはファイアウォール フィルターdynamic-filter-exampleに条件を追加します。ユーザー2 が認証されると、ファイアウォールフィルターに別の条件が追加されます。
この図は、QFX5100スイッチにも適用されます。
ごとに更新される動的フィルター
これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイス上のファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更は動的フィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、インターフェイスge-0/0/2で認証された各エンドポイントからサブネット192.0.2.16/28にあるファイルサーバーに対して行われたリクエストをカウントし、トラフィックをレート制限するようにポリサー定義を設定します。 図5 は、この例のネットワークトポロジーを示しています。
に接続する802.1X対応インターフェイス上の複数のサプリカント
設定
複数のサプリカントを持つインターフェイスでのファイアウォールフィルターの設定
CLIクイックコンフィグレーション
802.1X対応インターフェイスで複数のサプリカント用にファイアウォールフィルターを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit]
set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28
set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28
set firewall policer p1 if-exceeding bandwidth-limit 1m
set firewall policer p1 if-exceeding burst-size-limit 1500
set firewall policer p1 then discard
set firewall family ethernet-switching filter filter1 term term1 then count counter1
set firewall family ethernet-switching filter filter1 term term2 then policer p1
ステップバイステップの手順
複数のサプリカントに対して有効になっているインターフェイスでファイアウォールフィルターを設定するには:
ポリサー定義を設定します。
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーが複数のサプリカントインターフェイスで認証されると、このフィルター条件は、動的に作成されたユーザー条件に含まれます。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
結果
設定の結果を確認します。
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
ip-destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1500;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
検証
複数のサプリカントを持つインターフェイスでのファイアウォールフィルターの検証
目的
ファイアウォールフィルターが複数のサプリカントを持つインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された1人のユーザーで結果を確認します。この場合、ユーザー1 はge-0/0/2で認証されます。
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
2 人目のユーザーであるユーザー 2 が同じインターフェイス(ge-0/0/2)で認証されると、インターフェイスで認証された両方のユーザーの結果がフィルターに含まれていることを確認できます。
user@switch>
show dot1x firewallFilter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewallコマンド出力で表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。ユーザー1 は指定された宛先アドレスにあるファイルサーバーに100回アクセスし、ユーザー2 は同じファイルサーバーに400回アクセスしました。