802.1XまたはMAC RADIUS認証に対応したインターフェイス
EX シリーズ スイッチは、ポート ファイアウォール フィルターをサポートしています。ポートファイアウォールフィルターは1台のEXシリーズスイッチで設定されますが、企業全体で動作させるには、複数のスイッチで設定する必要があります。複数のスイッチに同じポートファイアウォールフィルターを設定する必要性を減らすために、代わりにRADIUSサーバー属性を使用してRADIUSサーバーにフィルターを一元的に適用することができます。条件は、デバイスが 802.1X を介して正常に認証された後に適用されます。詳細については、このトピックを参照してください。
例:EXシリーズスイッチの RADIUS サーバー属性を使用して 802.1X認証済みサプリカントにファイアウォール フィルターを適用する
RADIUSサーバー属性とポートファイアウォールフィルターを使用して、企業内のEXシリーズスイッチに接続された複数のサプリカント(エンドデバイス)に条件を一元的に適用することができます。条件は、デバイスが 802.1X を介して正常に認証された後に適用されます。エンドデバイスが802.1X認証を使用して認証された後にファイアウォールフィルターの設定が変更された場合、ファイアウォールフィルターの変更を有効にするためには、確立された802.1X認証セッションを終了し、再確立する必要があります。
EX シリーズ スイッチは、ポート ファイアウォール フィルターをサポートしています。ポートファイアウォールフィルターは1台のEXシリーズスイッチで設定されますが、企業全体で動作させるには、複数のスイッチで設定する必要があります。複数のスイッチに同じポートファイアウォールフィルターを設定する必要性を減らすために、代わりにRADIUSサーバー属性を使用してRADIUSサーバーにフィルターを一元的に適用することができます。
次の例では、FreeRADIUS を使用して、RADIUS サーバーにポート ファイアウォール フィルターを適用します。サーバーの設定については、RADIUSサーバーに付属のマニュアルを参照してください。
この例では、条件を使用してポートファイアウォールフィルターを設定し、サプリカントのパケットをカウントするカウンターを作成し、RADIUSサーバー上のユーザープロファイルにフィルターを適用し、設定を確認するためにカウンターを表示する方法を説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチのJunos OSリリース9.3以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをスイッチに接続する前に、以下のことを確認します。
スイッチと RADIUS サーバーの接続を設定します。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
スイッチに 802.1X 認証を設定し、インターフェイス ge-0/0/2 のサプリカント モードを multiple に設定。「 802.1Xインターフェイス設定の構成(CLI手順)」および「例: EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する。
RADIUS認証サーバーに設定されたユーザー(この例では、トポロジー内のサプリカント1とサプリカント2のユーザープロファイルがRADIUSサーバー上で変更されます)。
概要とトポロジー
インターフェイスの 802.1X 設定が multiple サプリカント モードに設定されている場合、EX シリーズ スイッチ上の Junos OS CLI で設定された 1 つのポート ファイアウォール フィルターを RADIUS サーバーの中央に追加することで、任意の数のエンド デバイス(サプリカント)に適用できます。インターフェイスに適用できるフィルターは 1 つだけです。ただし、フィルターには、個別のエンドデバイスに対して複数の条件を含めることができます。
ファイアウォールフィルターの詳細については、 EXシリーズスイッチ用ファイアウォールフィルターの概要 または ファイアウォールフィルターの概要(QFXシリーズ)を参照してください。
RADIUSサーバー属性は、802.1Xを使用してデバイスが正常に認証された後、エンドデバイスが接続されているポートに適用されます。エンド デバイスを認証するために、スイッチはエンド デバイスの認証情報を RADIUS サーバに転送します。RADIUSサーバーは、RADIUSサーバー上のサプリカントのユーザープロファイルにあるサプリカントに関する事前設定された情報と資格情報を照合します。一致が見つかった場合、RADIUSサーバーは、エンドデバイスへのインターフェイスを開くようにスイッチに指示します。その後、トラフィックはLAN上のエンドデバイスとの間で流れます。ポートファイアウォールフィルターで設定され、RADIUSサーバー属性を使用してエンドデバイスのユーザープロファイルに追加される追加の命令は、エンドデバイスに許可されるアクセスをさらに定義します。ポートファイアウォールフィルターで設定されたフィルタリング項目は、802.1X認証の完了後に、エンドデバイスが接続されているポートに適用されます。
802.1Xを使用してエンドデバイスが正常に認証された後にポートファイアウォールフィルターを変更した場合、ファイアウォールフィルター設定の変更を有効にするには、802.1X認証セッションを終了し、再確立する必要があります。
トポロジー
図 1 に、この例で使用したトポロジーを示します。RADIUS サーバは、アクセス ポート ge-0/0/10 で EX4200 スイッチに接続されています。2 つのエンド デバイス(サプリカント)がインターフェイス ge-0/0/2 で LAN にアクセスしています。サプリカント 1 の MAC アドレスは 00:50:8b:6f:60:3a です。サプリカント 2 の MAC アドレスは 00:50:8b:6f:60:3b です。
この図は、QFX5100 スイッチにも適用されます。

表 1は、このトポロジーのコンポーネントについて説明しています。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:非PoE ポート x 16およびPoEポート x 8。 |
1台のRADIUSサーバー |
ポート ge-0/0/10 でスイッチに接続されたアドレス 10.0.0.100 を持つバックエンド データベース。 |
インターフェイス上のスイッチに接続された802.1Xサプリカント ge-0/0/2 |
|
RADIUSサーバーに適用されるポートファイアウォールフィルター |
filter1 |
カウンター |
counter1 はサプリカント 1 からのパケットをカウントし、 counter2 はサプリカント 2 からのパケットをカウントします。 |
ポリサー |
policer p1 |
RADIUSサーバー上のユーザープロファイル |
|
この例では、 filter1 という名前のポート ファイアウォール フィルターを設定します。フィルターには、エンドデバイスのMACアドレスに基づいてエンドデバイスに適用される用語が含まれています。フィルターを設定する場合は、カウンタ counter1 と counter2も設定します。各エンド デバイスからのパケットがカウントされるため、設定が機能していることを確認できます。ポリサー p1 は、 exceeding および discard パラメータの値に基づいてトラフィック レートを制限します。次に、RADIUS サーバー属性が RADIUS サーバーで使用可能であることを確認し、RADIUS サーバー上の各エンド デバイスのユーザー プロファイルにフィルターを適用します。最後に、2 つのカウンタの出力を表示して設定を確認します。
ポート ファイアウォール フィルターとカウンターの構成
手順
CLIクイック構成
サプリカント 1 とサプリカント 2 の条件でポート ファイアウォール フィルターをすばやく設定し、各サプリカントのパラレル カウンターを作成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set firewall family ethernet-switching filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a set firewall family ethernet-switching filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term supplicant1 then count counter1 set firewall family ethernet-switching filter filter1 term supplicant1 then policer p1 set firewall family ethernet-switching filter filter1 term supplicant2 then count counter2
ステップバイステップでの手順
スイッチでポートファイアウォールフィルターとカウンターを設定するには:
各エンド デバイスの MAC アドレスに基づいて、各エンド デバイスの条件を含むポート ファイアウォール フィルター(ここでは filter1)を設定します。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 from source-mac-address 00:50:8b:6f:60:3a user@switch# set filter filter1 term supplicant2 from source-mac-address 00:50:8b:6f:60:3b
ポリサー定義を設定します。
[edit] user@switch# set firewall policer p1 if-exceeding bandwidth-limit 1m user@switch# set firewall policer p1 if-exceeding burst-size-limit 1k user@switch# set firewall policer p1 then discard
各エンド デバイスのパケットをカウントする 2 つのカウンターと、トラフィック レートを制限するポリサーを作成します。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term supplicant1 then count counter1 user@switch# set filter filter1 term supplicant1 then policer p1 user@switch# set filter filter1 term supplicant2 then count counter2
結果
設定の結果の表示:
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term supplicant1 { from { source-mac-address { 00:50:8b:6f:60:3a; } } then count counter1; then policer p1; } term supplicant2 { from { source-mac-address { 00:50:8b:6f:60:3b; } } then count counter2; } } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1k; } then discard; }
RADIUSサーバー上のサプリカントユーザープロファイルへのポートファイアウォールフィルターの適用
手順
ステップバイステップでの手順
RADIUS サーバー属性 Filter-ID が RADIUS サーバー上にあることを確認し、フィルターをユーザー プロファイルに適用するには、次の手順を実行します。
RADIUS サーバー上の辞書 dictionary.rfc2865 を表示し、属性 Filter-ID が辞書にあることを確認します。
[root@freeradius]# cd usr/share/freeradius/dictionary.rfc2865
辞書ファイルを閉じます。
フィルターを適用したいエンドデバイスのローカルユーザープロファイルを表示します(ここでは、ユーザープロファイルを supplicant1 および supplicant2と呼びます)。
[root@freeradius]# cat /usr/local/etc/raddb/users
出力は以下を示しています。
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005"
各プロファイルに行 Filter-Id = “filter1” を追加して両方のユーザー プロファイルにフィルターを適用し、ファイルを閉じます。
[root@freeradius]# cat /usr/local/etc/raddb/users
ファイルに行を貼り付けると、ファイルは次のようになります。
supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1" supplicant2 Auth-Type := EAP, User-Password == "supplicant2" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005", Filter-Id = "filter1"
検証
フィルターがサプリカントに適用されていることの確認
目的
インターフェイス ge-0/0/2 でエンド デバイスが認証されたら、スイッチでフィルターが設定され、両方のサプリカントの結果が含まれていることを確認します。
アクション
user@switch> show dot1x firewall Filter: dot1x-filter-ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100 counter2_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewall
コマンドの出力には、counter1 と counter2が表示されます。User_1からのパケットは counter1を使用してカウントされ、ユーザー2からのパケットは counter2を使用してカウントされます。出力では、両方のカウンターで増加しているパケットが表示されます。フィルターは両方のエンドデバイスに適用されています。
例:802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
EX シリーズ スイッチでは、802.1X または MAC RADIUS 認証に対応したインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイス ファイアウォール フィルターと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイス上で認証される複数のユーザーまたは応答しないホストのそれぞれに個別のポリシーを作成します。
この例では、802.1X 対応インターフェイス上の複数のサプリカントに対して、動的ファイアウォール フィルターを作成する方法について説明します(この例と同じ原則が、MAC RADIUS 認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
EXシリーズスイッチ向けJunos OSリリース9.5以降
1 つの EX シリーズ スイッチ
1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
複数のサプリカントで使用するためにファイアウォールフィルターをインターフェイスに適用する前に、以下が完了していることを確認してください。
スイッチと RADIUS サーバーの接続を設定します。変更された手順については、「例:802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
スイッチに 802.1X 認証を設定し、インターフェイス ge-0/0/2 の認証モードを multiple に設定。「 802.1Xインターフェイス設定の構成(CLI手順)」および「例: EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイスの 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証時にインターフェイス ファイアウォール フィルターと RADIUS サーバーからスイッチに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイスで認証されたユーザーごとに個別の条件があるため、この例に示すように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
新しいユーザー(または応答しないホスト)がインターフェイスで認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに用語を追加し、各ユーザーの用語(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの用語は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づいています。例えば、 図 2に示すように、EXシリーズスイッチによってUser1が認証されると、システムはファイアウォールフィルター dynamic-filter-exampleを作成します。User2 が認証されると、別の用語がファイアウォール フィルターに追加されます、という具合です。

これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイスのファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更はダイナミックフィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、サブネット192.0.2.16/28にあるファイルサーバーへのインターフェイスge-0/0/2で認証された各エンドポイントからのリクエストをカウントし、ポリサー定義を設定してトラフィックのレートを制限します。 図 3に、この例のネットワーク トポロジーを示します。

設定
802.1X 対応インターフェイス上の複数のサプリカントにファイアウォール フィルターを設定するには、次の手順に従います。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの設定
CLIクイック構成
802.1X 対応インターフェイスで複数のサプリカントにファイアウォール フィルターをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/2 supplicant multiple set firewall family ethernet-switching filter filter1 term term1 from destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
ステップバイステップでの手順
複数のサプリカントが有効になっているインターフェイスでファイアウォールフィルターを設定するには:
複数のサプリカントモード認証用のインターフェイス ge-0/0/2 を設定します。
[edit protocols dot1x] user@switch# set authenticator interface ge-0/0/2 supplicant multiple
ポリサー定義を設定します。
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1k set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーはそれぞれマルチ サプリカント インターフェイスで認証されるため、このフィルター条件はユーザーに対して動的に作成される用語に含まれます。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
結果
構成の結果を確認します。
user@switch> show configuration
firewall {
family ethernet-switching {
filter filter1 {
term term1 {
from {
destination-address {
192.0.2.16/28;
}
}
then count counter1;
term term2 {
from {
destination-address {
192.0.2.16/28;
}
}
then policer p1;
}
}
}
policer p1 {
if-exceeding {
bandwidth-limit 1m;
burst-size-limit 1k;
}
then discard;
}
}
protocols {
dot1x {
authenticator
interface ge-0/0/2 {
supplicant multiple;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの検証
目的
ファイアウォールフィルターが、複数のサプリカントとのインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された 1 人のユーザで結果を確認します。この場合、ユーザーは次の ge-0/0/2で認証されます。
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
ge-0/0/2、2 番目のユーザーである User2 が同じインターフェイスで認証される場合、フィルターにインターフェイスで認証された両方のユーザーの結果が含まれていることを確認できます。
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewall
コマンド出力によって表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。User1 は指定された宛先アドレスにあるファイル サーバーに 100 回アクセスし、User2 は同じファイル サーバーに 400 回アクセスしました。
例:ELS をサポートする EX シリーズ スイッチで 802.1X または MAC RADIUS 認証が有効なインターフェイス上の複数のサプリカントへのファイアウォール フィルターの適用
この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチで ELS をサポートしていないソフトウェアが実行されている場合は、 例: を参照してください。802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EX シリーズ スイッチでは、802.1X または MAC RADIUS 認証に対応したインターフェイスに適用するファイアウォール フィルターが、RADIUS サーバーからスイッチに送信されるユーザーごとのポリシーと動的に組み合わされます。スイッチは、内部ロジックを使用して、インターフェイス ファイアウォール フィルターと RADIUS サーバーのユーザー ポリシーを動的に組み合わせ、インターフェイス上で認証される複数のユーザーまたは応答しないホストのそれぞれに個別のポリシーを作成します。
この例では、802.1X 対応インターフェイス上の複数のサプリカントに対して、動的ファイアウォール フィルターを作成する方法について説明します(この例と同じ原則が、MAC RADIUS 認証が有効なインターフェイスにも適用されます)。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース 13.2 以降
ELSをサポートする1つのEXシリーズスイッチ
1台のRADIUS認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
複数のサプリカントで使用するためにファイアウォールフィルターをインターフェイスに適用する前に、以下が完了していることを確認してください。
スイッチと RADIUS サーバーの接続を設定します。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
インターフェイスge-0/0/2の認証モードを
multiple
に設定して、スイッチに802.1X認証を設定。「 802.1Xインターフェイス設定の構成(CLI手順)」および「例: EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する。RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
トポロジー
インターフェイスの 802.1X 設定がマルチ サプリカント モードに設定されている場合、システムは、認証時にインターフェイス ファイアウォール フィルターと RADIUS サーバーからスイッチに送信されたユーザー ポリシーを動的に組み合わせ、ユーザーごとに個別の条件を作成します。インターフェイスで認証されたユーザーごとに個別の条件があるため、この例に示すように、カウンターを使用して、同じインターフェイスで認証された個々のユーザーのアクティビティを表示できます。
新しいユーザー(または応答しないホスト)がインターフェイスで認証されると、システムはインターフェイスに関連付けられたファイアウォールフィルターに用語を追加し、各ユーザーの用語(ポリシー)はユーザーのMACアドレスに関連付けられます。各ユーザーの用語は、RADIUSサーバーに設定されたユーザー固有のフィルターとインターフェイスに設定されたフィルターに基づいています。例えば、 図 4に示すように、ユーザー1がEXシリーズスイッチによって認証されると、システムはファイアウォールフィルター dynamic-filter-exampleに条件を追加します。ユーザー 2 が認証されると、別の用語がファイアウォール フィルターに追加され、以下同様に続きます。
この図は、QFX5100 スイッチにも適用されます。

これは内部プロセスの概念モデルであり、動的フィルターにアクセスしたり表示したりすることはできません。
ユーザー(または応答しないホスト)が認証された後にインターフェイスのファイアウォールフィルターが変更された場合、ユーザーが再認証されない限り、その変更はダイナミックフィルターに反映されません。
この例では、ファイアウォールフィルターを設定して、サブネット192.0.2.16/28にあるファイルサーバーに対してインターフェイスge-0/0/2で認証された各エンドポイントからのリクエストをカウントし、ポリサー定義を設定してトラフィックをレート制限します。 図 5 に、この例のネットワーク トポロジーを示します。

設定
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの設定
CLIクイック構成
802.1X 対応インターフェイスで複数のサプリカントにファイアウォール フィルターをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set firewall family ethernet-switching filter filter1 term term1 from ip-destination-address 192.0.2.16/28 set firewall family ethernet-switching filter filter1 term term2 from ip-destination-address 192.0.2.16/28 set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard set firewall family ethernet-switching filter filter1 term term1 then count counter1 set firewall family ethernet-switching filter filter1 term term2 then policer p1
ステップバイステップでの手順
複数のサプリカントが有効になっているインターフェイスでファイアウォールフィルターを設定するには:
ポリサー定義を設定します。
user@switch# show policer p1 |display set set firewall policer p1 if-exceeding bandwidth-limit 1m set firewall policer p1 if-exceeding burst-size-limit 1500 set firewall policer p1 then discard
各ユーザーからのパケットをカウントするファイアウォールフィルターと、トラフィックレートを制限するポリサーを設定します。新しいユーザーはそれぞれマルチ サプリカント インターフェイスで認証されるため、このフィルター条件はユーザーに対して動的に作成される用語に含まれます。
[edit firewall family ethernet-switching] user@switch# set filter filter1 term term1 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term2 from ip-destination-address 192.0.2.16/28 user@switch# set filter filter1 term term1 then count counter1 user@switch# set filter filter1 term term2 then policer p1
結果
構成の結果を確認します。
user@switch> show configuration firewall { family ethernet-switching { filter filter1 { term term1 { from { ip-destination-address { 192.0.2.16/28; } } then count counter1; term term2 { from { ip-destination-address { 192.0.2.16/28; } } then policer p1; } } } policer p1 { if-exceeding { bandwidth-limit 1m; burst-size-limit 1500; } then discard; } } protocols { dot1x { authenticator interface ge-0/0/2 { supplicant multiple; } } }
検証
複数のサプリカントを持つインターフェイスでのファイアウォール フィルターの検証
目的
ファイアウォールフィルターが、複数のサプリカントとのインターフェイスで機能していることを確認します。
アクション
インターフェイスで認証された 1 人のユーザで結果を確認します。この場合、ユーザー 1 は ge-0/0/2 で認証されます。
user@switch> show dot1x firewall Filter: dot1x_ge-0/0/2 Counters counter1_dot1x_ge-0/0/2_user1 100
2番目のユーザーであるユーザー2が同じインターフェイスge-0/0/2で認証された場合、フィルターにインターフェイスで認証された両方のユーザーの結果が含まれていることを確認できます。
user@switch>
show dot1x firewall
Filter: dot1x-filter-ge-0/0/0 Counters counter1_dot1x_ge-0/0/2_user1 100 counter1_dot1x_ge-0/0/2_user2 400
意味
show dot1x firewall
コマンド出力によって表示される結果には、各新規ユーザーの認証で作成された動的フィルターが反映されます。ユーザー 1 は指定された宛先アドレスにあるファイル サーバーに 100
回アクセスし、ユーザー 2 は同じファイル サーバーに 400
回アクセスしました。