ON THIS PAGE
例:EX シリーズスイッチにおける単一のサプリカントまたは複数のサプリカント構成の 802.1 X の設定
EX シリーズスイッチでの 802.1 x ポートベースのネットワークアクセスコントロール (PNAC) 認証には、エンタープライズ LAN のアクセスニーズに応じた3つのタイプの認証が用意されています。
オーセンティケータポート上で最初のエンドデバイス (サプリカント) を認証し、他のすべてのエンドデバイスが LAN にアクセスできるようにすることを許可します。
一度に認証ポート上で1つのエンドデバイスのみを管理します。
認証ポートで複数のエンドデバイスを認証します。VoIP 設定では、複数のサプリカントモードが使用されます。
この例では、3つの異なる管理モードを使用するエンドデバイスを認証するために IEEE 802.1 X を使用する EX シリーズスイッチを設定しています。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は QFX5100 スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース9.0 以降
1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータ PAE 上のポートは、認証されるまで、エンドデバイス間のすべてのトラフィックをブロックする制御ゲートを形成します。
802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続するためのアクセス許可を持つエンドデバイス (サプリカント) の資格情報が含まれています。
802.1 X 認証用にポートを構成する前に、以下のものがあることを確認してください。
初期スイッチ構成を実行しました。「 EX シリーズ スイッチの接続と構成(CLI 手順)を参照してください。
スイッチで基本的なブリッジングと VLAN の構成を実行。スイッチの基本的なブリッジと VLAN の設定について説明しているマニュアルを参照してください。拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチを使用している場合は、次の例を参照してください。Example: Setting Up Basic Bridging and a VLAN for an EX Series Switch with ELS Support スイッチ上での基本ブリッジと VLAN の設定その他のスイッチの詳細については、次の例を参照してください。Example: Setting Up Basic Bridging and a VLAN for an EX Series Switch用の基本ブリッジと VLAN の設定
注 ELS の詳細については、「Using the Enhanced Layer 2 Software CLI」を参照してください。
認証サーバー上のユーザーを設定しました。
概要とトポロジー
に図 1示すように、トポロジーには、ポート ge-0/0/10 で認証サーバーに接続された EX4200 アクセススイッチがあります。インターフェイス ge-0/0/8、ge-0/0/9、および ge-0/0/11 は、3つの異なる管理モードに対して設定されます。
この図は QFX5100 スイッチにも適用されます。
表 1: サプリカントモード構成トポロジのコンポーネント
| プロパティ | 設定 |
|---|---|
スイッチハードウェア | EX4200 スイッチ、24ギガビットイーサネットポート: 8 PoE ポート (ge-0/0/0 ~ ge-0/0/7) および16個の非 PoE ポート (ge-0/0/8 ~ ge-0/0/23) |
統合型ハブに—よる Avaya フォンへの接続により、電話とデスクトップ PC を1つのポートに接続します。(PoE が必要) | ge-0/0/8、ge-0/0/9、および ge-0/0/11 |
エンタープライズネットワークのさまざまな領域でサプリカントをサポートするための管理モードを構成するには、次のようにします。
単一のサプリカントモード認証のアクセスポートとして 0/0/8 を構成します。
単一の secure サプリカントモード認証用にアクセスポート ge-0/9 を構成します。
複数のサプリカントモード認証のアクセスポートとして 0/0/11 を構成します。
単一サプリカントモードでは、認証ポートに接続する最初のエンドデバイスのみを認証します。最初の接続が成功した後、802.1 X が有効になっているかどうかにかかわらず、認証ポートに接続するその他すべてのエンドデバイスは、これ以上の許可なしにポートにアクセスできます。最初に認証されたエンドデバイスがログアウトした場合、エンドデバイスが認証するまで、他のすべてのエンドデバイスは停止してしまいます。
単一のセキュアなサプリカントモードは、認証ポートに接続するエンドデバイスを1つだけ認証します。最初にログアウトするまで、他のエンドデバイスからオーセンティケータポートに接続することはできません。
複数のサプリカントモードは、1つのオーセンティケータポートで複数のエンドデバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定した場合、設定された値のうち小さい方を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。
複数のサプリカントモードをサポートする 802.1 X の構成
CLI 簡単構成
さまざまな 802.1 X 認証モードを使用してポートを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit]
set protocols dot1x authenticator
interface ge-0/0/8 supplicant singleset protocols dot1x authenticator interface
ge-0/0/9 supplicant single-secureset protocols dot1x authenticator interface
ge-0/0/11 supplicant multipleステップごとの手順
インターフェイスの管理モードを構成します。
- サプリカントモードをインターフェイス ge-0/0/8 でシングルとして構成します。
[edit protocols]
user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single - サプリカントモードを、インターフェイス ge-0/0/9 で単一のセキュアとして設定します。
[edit protocols]
user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure - インターフェイス ge-0/0/11 で複数のサプリカントモードを構成します。
[edit protocols]
user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
結果
構成の結果を確認します。
検証
構成が正常に機能していることを確認するには、以下のタスクを実行します。
802.1 X 構成の検証
目的
インターフェイス ge-0/0/8、ge-0/0/9、および ge-0/0/5 の 802.1 X 構成を確認します。
アクション
運用モードのコマンドshow dot1x interfaceを発行して、802.1 x の構成を確認します。
user@switch> show dot1x interface ge-0/0/8.0
detailge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured>
user@switch> show dot1x interface ge-0/0/9.0
detailge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
user@switch> show dot1x interface ge-0/0/11.0
detailge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
意味
こちらの サプリカントモード出力フィールドには、各インターフェイスの設定済み管理モードが表示されます。インターフェース ge-0/0/8.0れる 特定 サプリカントモードです。インターフェース ge-0/0/9.0れる 単一のセキュアサプリカントモードです。インターフェース ge-0/0/11.0れる 回 サプリカントモードです。