Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

ネットワークアクセスコントロールと EX シリーズスイッチの一元化について

 

ネットワークアクセスコントロール (NAC) を使用すると、ネットワークに許可されたユーザーと—、そのユーザーがアクセスできるサーバー—、アプリケーション、保存データなどのリソースを制御できます。以下の制御が含まれます。

  • 認証—前受付制御

  • 承認—後の受付制御

さまざまな方法を使用して、EX シリーズイーサネットスイッチジュニパーネットワークスで NAC を実装することができます。

このトピックでは、以下を説明します。

NAC ローカルスイッチで定義された RADIUS サーバーとアクセスポリシーを使用します。

事前受付制御では、スイッチと組み合わせて任意の RADIUS サーバーとして使用できます。 認証サーバー。詳細については、「Understanding Authentication on Switchesて」を参照してください。

事後受付制御には、ファイアウォールフィルターを設定して、特定のリソースへのアクセスを制限することができます。詳細については、 Firewall Filters for EX Series Switches Overviewを参照してください。

Junos Pulse アクセスコントロールサービスを使用した集中 NAC

Junos Pulse アクセスコントロールサービスとスイッチを使用して、集中型エンドツーエンド NAC システムとして、事前受付認証と事後受付の両方の認定を行うことができます。

このようなシステムを構成する場合、ジュニパーネットワークス MAG シリーズ Junos Pulse ゲートウェイまたはジュニパーネットワークス IC シリーズの統合アクセスコントロールアプライアンスは、認証サーバーとして機能します。IEEE 802.1 X および MAC RADIUS 認証に関するメッセージの場合、NAC デバイスは RADIUS プロトコルを使用してスイッチと通信します。

アクセスコントロールサービスは、その他の機能も実行します。各スイッチでファイアウォールフィルターを構成する必要がなくなります。代わりに、NAC デバイス上でリソースアクセスポリシーを一元的に定義します。この一元化された方法は、ネットワーク内に複数のスイッチがある場合に特に役立ちます。

アクセスコントロールサービスのリソースアクセスポリシーは、ユーザーの役割に’基づいて、ユーザーに対して許可または拒否されるネットワークリソースを定義します。NAC デバイスは、これらのポリシーを接続されたすべてのスイッチに配信します。そのため、NAC デバイスは、一元化されたポリシー管理サーバーとして機能します。アクセスポリシーに関連するメッセージの場合、NAC デバイスは Junos UAC Enforcer プロトコル (JUEP) を使用してスイッチと通信します。このスイッチは、リソースアクセスポリシーをフィルタ定義に変換し、これらを適切なポートに適用します。

このソリューションでは、EX シリーズスイッチは、アクセスコントロールサービスのポリシー適用ポイントであるInfranet Enforcerとして機能します。アクセスコントロールサービスは、エンドポイントが 802.1 X 認証または MAC 認証 (管理されていないデバイス) を正常に完了したときに、認証テーブルエントリとリソースアクセスポリシーを送信します。エンドポイントのアクセスは、アクセスコントロールサービスで設定したリソースアクセスポリシーによって制御されます。リソースアクセスポリシーが採用されているため、スイッチの設定にはファイアウォールフィルターは必要ありません。

このアクセスコントロールサービスと EX シリーズスイッチの統合ソリューションは、以前のバージョンのアクセスコントロールサービスおよびスイッチよりも実装が容易で、より効率的になります。スイッチは、MAG シリーズまたは IC シリーズ NAC デバイスに接続するとすぐに、アクセスコントロールサービスによって、JUEP を介して役割ベースのポリシーがスイッチにプッシュされます。これにより、ユーザーは以前の実装よりも迅速にネットワークにアクセスできます。これにより、ポリシーはすでにスイッチ上で使用可能であり、ユーザー認証の時点で集中管理されたデバイスからプッシュする必要はありません。さらに、ポリシーのプッシュは1回だけ行われ、ネットワークの帯域幅が効率的に使用されるため、この実装はスケーリングされた環境に適しています。

ポリシーを変更すると、アクセスコントロールサービスによって、接続したスイッチに更新されたポリシーが自動的に配信されます。スイッチは、他の認証トランザクションを通じてユーザーを使用せずに、ポリシーを動的に適用します。

スイッチでアクセスコントロールサービスを使用するように設定している場合は、ファイアウォールフィルタを設定せず、ファイアウォールフィルターの RADIUS サーバー属性を使用しないようにします。その代わりに、アクセスコントロールサービスリソースアクセスポリシーを使用してリソースへのアクセスを指定または拒否します。

NAC デバイス’s の管理インターフェイスにポリシーを作成して、リソースとサービスへのアクセスを制御します。アクセスは、認証を成功させた’こと、ユーザーに割り当てられた役割、エンドポイントデバイスのセキュリティコンプライアンスをベースにしています。たとえば、保護されたリソースの従業員ロールに対するフルアクセスと、請負業者ロールの制限付きアクセスを提供することができます。

専用ポータル認証

専用ポータル認証を使用すると、ユーザーがネットワークへのアクセスを許可される前に Web ブラウザ要求をログインページにリダイレクトすることで、スイッチのユーザーを認証できます。専用ポータル認証の構成の詳細は、アクセスコントロールサービスを使用しているかどうかによって異なります。

  • スイッチをアクセスコントロールサービスに接続している場合は、アクセスコントロールサービス NAC デバイスを外部の専用ポータルサーバーとして使用して、Web ブラウザ要求をリダイレクトします。ユーザーがスイッチに接続されている保護されたネットワークリソースにアクセスしようとすると、ユーザーは、認証およびエンドポイントのセキュリティチェックのために、最初にアクセスコントロールサービスにサインインする必要があります。アクセスコントロールサービスにあるログインページには、専用ポータルによってユーザーがリダイレクトされます。アクセスコントロールサービスのサインインページが表示されると、ユーザーはサインインし、アクセスコントロールサービスがエンドポイントを確認して、セキュリティポリシーに準拠していることを確認します。エンドポイントがセキュリティチェックに合格すると、保護されたリソースへのアクセスが許可されます。

    Configuring the EX Series Switch for Captive Portal Authentication with Junos Pulse Access Control Service (CLI Procedure)を参照してください。複数のスイッチに対して、同じアクセスコントロールサービスを外部の専用ポータルサーバーとして使用できます。

  • アクセスコントロールサービスを使用していない場合は、専用ポータルを使用して、ローカルスイッチ上で設定したログインページにユーザーをリダイレクトできます。スイッチでのログインページの設計については、「Designing a Captive Portal Authentication Login Page on Switchesする」を参照してください。