Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX シリーズスイッチにおける単一のサプリカントまたは複数のサプリカント構成の 802.1 X の設定

 

EX シリーズスイッチでの 802.1 x ポートベースのネットワークアクセスコントロール (PNAC) 認証には、エンタープライズ LAN のアクセスニーズに応じた3つのタイプの認証が用意されています。

  • オーセンティケータポート上で最初のエンドデバイス (サプリカント) を認証し、他のすべてのエンドデバイスが LAN にアクセスできるようにすることを許可します。

  • 一度に認証ポート上で1つのエンドデバイスのみを管理します。

  • 認証ポートで複数のエンドデバイスを認証します。VoIP 設定では、複数のサプリカントモードが使用されます。

この例では、3つの異なる管理モードを使用するエンドデバイスを認証するために IEEE 802.1 X を使用する EX シリーズスイッチを設定しています。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータ PAE 上のポートは、認証されるまで、エンドデバイス間のすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続するためのアクセス許可を持つエンドデバイス (サプリカント) の資格情報が含まれています。

802.1 X 認証用にポートを構成する前に、以下のものがあることを確認してください。

概要とトポロジー

図 1示すように、トポロジーには、ポート ge-0/0/10 で認証サーバーに接続された EX4200 アクセススイッチがあります。インターフェイス ge-0/0/8、ge-0/0/9、および ge-0/0/11 は、3つの異なる管理モードに対して設定されます。

この図は QFX5100 スイッチにも適用されます。

図 1: サプリカントモードを構成するためのトポロジ
サプリカントモードを構成するためのトポロジ

表 1: サプリカントモード構成トポロジのコンポーネント

プロパティ設定

スイッチハードウェア

EX4200 スイッチ、24ギガビットイーサネットポート: 8 PoE ポート (ge-0/0/0 ~ ge-0/0/7) および16個の非 PoE ポート (ge-0/0/8 ~ ge-0/0/23)

統合型ハブに—よる Avaya フォンへの接続により、電話とデスクトップ PC を1つのポートに接続します。(PoE が必要)

ge-0/0/8、ge-0/0/9、および ge-0/0/11

エンタープライズネットワークのさまざまな領域でサプリカントをサポートするための管理モードを構成するには、次のようにします。

  • 単一のサプリカントモード認証のアクセスポートとして 0/0/8 を構成します。

  • 単一の secure サプリカントモード認証用にアクセスポート ge-0/9 を構成します。

  • 複数のサプリカントモード認証のアクセスポートとして 0/0/11 を構成します。

単一サプリカントモードでは、認証ポートに接続する最初のエンドデバイスのみを認証します。最初の接続が成功した後、802.1 X が有効になっているかどうかにかかわらず、認証ポートに接続するその他すべてのエンドデバイスは、これ以上の許可なしにポートにアクセスできます。最初に認証されたエンドデバイスがログアウトした場合、エンドデバイスが認証するまで、他のすべてのエンドデバイスは停止してしまいます。

単一のセキュアなサプリカントモードは、認証ポートに接続するエンドデバイスを1つだけ認証します。最初にログアウトするまで、他のエンドデバイスからオーセンティケータポートに接続することはできません。

複数のサプリカントモードは、1つのオーセンティケータポートで複数のエンドデバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定した場合、設定された値のうち小さい方を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。

複数のサプリカントモードをサポートする 802.1 X の構成

CLI 簡単構成

さまざまな 802.1 X 認証モードを使用してポートを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set protocols dot1x authenticator interface ge-0/0/8 supplicant single
set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure
set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple

ステップごとの手順

インターフェイスの管理モードを構成します。

  1. サプリカントモードをインターフェイス ge-0/0/8 でシングルとして構成します。
    [edit protocols]

    user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single

  2. サプリカントモードを、インターフェイス ge-0/0/9 で単一のセキュアとして設定します。
    [edit protocols]

    user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure

  3. インターフェイス ge-0/0/11 で複数のサプリカントモードを構成します。
    [edit protocols]

    user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

802.1 X 構成の検証

目的

インターフェイス ge-0/0/8、ge-0/0/9、および ge-0/0/5 の 802.1 X 構成を確認します。

アクション

運用モードのコマンドshow dot1x interfaceを発行して、802.1 x の構成を確認します。

user@switch> show dot1x interface ge-0/0/8.0 detail
user@switch> show dot1x interface ge-0/0/9.0 detail
user@switch> show dot1x interface ge-0/0/11.0 detail

意味

こちらの サプリカントモード出力フィールドには、各インターフェイスの設定済み管理モードが表示されます。インターフェース ge-0/0/8.0れる 特定 サプリカントモードです。インターフェース ge-0/0/9.0れる 単一のセキュアサプリカントモードです。インターフェース ge-0/0/11.0れる サプリカントモードです。