例:EAP-TTLS 認証および Odyssey アクセスクライアント用の EX シリーズスイッチでのフォールバックオプションの構成
802.1 X ユーザー認証では、EX シリーズスイッチは、拡張認証プロトコル–のトンネリングされた TLS (eap-tls) を使用して ODYSSEY アクセスクライアント (OAC) サプリカントを認証する RADIUS 認証サーバーをサポートします。OAC のネットワークソフトウェアは、エンドポイントのコンピューター (デスクトップ、ラップトップ、またはメモ帳のコンピューター、サポートされている無線デバイス) 上で動作し、有線と無線の両方のネットワークへのセキュアなアクセスを提供します。
この例では、不正なログイン認証情報を入力した OAC ユーザーにフォールバックサポートを提供するために、スイッチ上で 802.1 X 対応インターフェイスを設定する方法について説明します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は QFX5100 スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース11.2 以降
1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。
802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。
1つの OAC のエンドデバイスが、サプリカントとして動作します。
フォールバックオプションの設定を開始する前に、以下のものがあることを確認してください。
スイッチと RADIUS サーバー間の接続を設定します。例をご覧ください。Example: Connecting a RADIUS Server for 802.1X to an EX Series Switchに接続します。
サーバーで EAP-TLS が設定されています。RADIUS サーバーのマニュアルを参照してください。
RADIUS サーバー上のユーザーを設定しました。RADIUS サーバーのマニュアルを参照してください。
概要とトポロジー
OAC は、エンドポイントコンピューター (デスクトップ、ラップトップ、またはメモ帳)、およびサポートされている無線デバイスで動作するネットワークソフトウェアです。OAC は、セキュアな無線 LAN アクセスに必要な EAP を完全にサポートしています。
このトポロジでは、OAC は 802.1 X 対応スイッチおよび RADIUS サーバーとともに導入されています。スイッチは、ネットワークセキュリティーアーキテクチャのポリシー適用ポイントとして機能します。このトポロジ:
許可されたユーザーのみが接続できることを保証します。
ログイン認証情報のプライバシを維持します。
無線リンクを介してデータのプライバシを維持します。
この例では、サーバー拒否 VLAN の設定がスイッチに含まれています。これを使用して、不適切なログイン認証情報を入力したユーザーが誤ってロックアウトされるのを防ぐことができます。これらのユーザーには、限定された LAN アクセスを与えることができます。
ただし、このフォールバック構成は、OAC のサプリカントと RADIUS サーバーが EAP-TLS を使用しているという事実によって複雑になります。EAP-TLS は、サーバーとエンドデバイスの間にセキュア暗号化トンネルを作成して、認証プロセスを完了します。ユーザーが不正なログイン認証情報を入力すると、RADIUS サーバーはこのトンネルを通じて、EAP エラーメッセージをクライアントに直接送信します。EAP エラーメッセージにより、クライアントは認証手順を再開するため、スイッチ’s 802.1 x 認証プロセスは、サーバー拒否 VLAN を使用して、スイッチとの間で確立されたセッションを停止します。修復接続を有効にするには、以下の設定を行います。
eapol ブロック—サーバー拒否 VLAN に属しているように設定されている 802.1 X インターフェイスで EAPoL ブロックタイマーを有効にします。ブロックタイマーによって認証ポートアクセスエンティティは、クライアントからの EAP 起動メッセージを無視して、認証手続きを再開します。
注 EAPoL ブロックタイマーがトリガーされるのは、設定された数の再試行が許可されている場合のみです ( リトライオプション) が 802.1 X インターフェイスで使い果たされました。設定することができ リトライ最初に障害が発生した後、スイッチがポートの認証を試行する回数を指定します。デフォルトは再試行回数3回です。
ブロック・インターバル—EAPoL ブロックタイマーが EAP 起動メッセージを無視し続ける時間を設定します。ブロック間隔を構成しない場合、EAPoL ブロックタイマーはデフォルトで120秒に設定されます。
802.1 X インターフェイスがクライアントからの EAP 起動メッセージを無視すると、サーバー拒否の VLAN を介して確立された既存の修復セッションが開始したままになります。
これらの設定オプションは、単一の、単一のセキュアな、複数のサプリカント認証モードに適用されます。この例では、802.1 X インターフェイスは単一のサプリカントモードで構成されています。
図 1は、OAC エンドデバイスを RADIUS サーバーに接続する EX シリーズスイッチと、ネットワークエンティティを接続するために使用されるプロトコルを示しています。
この図は QFX5100 スイッチにも適用されます。
表 1この OAC 導入のコンポーネントについて説明します。
表 1: OAC 導入のコンポーネント
| プロパティ | 設定 |
|---|---|
スイッチハードウェア | EX シリーズスイッチ |
VLAN | 値 サーバー拒否-vlan: VLAN 名は 是正と VLAN ID が 700 |
802.1 x インターフェイス | ge-0/0/8 |
OAC サプリカント | EAP-TTLS |
1台の RADIUS 認証サーバー | EAP-TTLS |
構成
CLI 簡単構成
OAC サプリカントの EAP-FAST オプションを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit]
set vlans remedial vlan-id
700
set protocols dot1x
authenticator interface ge-0/0/8 retries 4
set protocols dot1x authenticator interface ge-0/0/8
server-reject-vlan remedial
set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan
eapol-block
set protocols
dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval
130 ステップごとの手順
EAP-TLS と OAC サプリカントのフォールバックオプションを構成するには、次のようにします。
この例では、スイッチにはサーバー拒否 VLAN が1つしかありません。したがって、構成には eapol ブロックおよび ブロック・インターバル直後 サーバー拒否-vlan。ただし、スイッチ上で複数の Vlan を設定している場合は、VLAN 名または VLAN ID を直接追加する必要があります。 サーバー拒否-vlan変更する VLAN を指定します。
- 不適切なログイン認証情報を入力したユーザーに対して、サーバー拒否 VLAN として機能する VLAN を構成して、限定された LAN アクセスを提供します。
[edit]
user@switch# set vlans remedial vlan-id 700 - 不正なログインがサーバー拒否 VLAN に送信される前に、クライアントがユーザー名とパスワードを要求する回数を設定します。
[edit protocols dot1x authenticator interface ge-0/0/8]
user@switch# set retries 4 - 不正なログインのために、サーバー拒否の VLAN をフォールバックとして使用するように 802.1 X オーセンティケータインターフェイスを構成します。
[edit protocols dot1x authenticator interface ge-0/0/8]
user@switch# set server-reject-vlan remedial - サーバー拒否 VLAN に属しているように設定されている 802.1 X インターフェイスで EAPoL ブロックタイマーを有効にします。
[edit protocols dot1x authenticator interface ge-0/0/8]
user@switch# set server-reject-vlan eapol-block - EAPoL ブロックが有効な時間の長さを設定します。
[edit protocols dot1x authenticator interface ge-0/0/8]
user@switch# set server-reject-vlan block-interval 130
結果
構成の結果を確認します。
検証
設定とフォールバックのオプションが正しく機能していることを確認するには、以下のタスクを実行します。
802.1 X インターフェイスの構成の確認
目的
802.1 X インターフェイスが適切なオプションで設定されていることを確認します。
アクション
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
意味
このshow dot1x ge-0/0/8 detailコマンド出力では、 ge-0/0/8インターフェイスは 済みを使用していることを示します。 是正VLAN.