Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX シリーズスイッチでの MAC RADIUS 認証の設定

 

802.1 X 対応ホストが LAN にアクセスすることを許可しない場合は、802.1 のない X 利用のスイッチが接続されていても、そのホストで MAC RADIUS 認証を設定できます。MAC RADIUS 認証が構成されている場合、スイッチは、ホスト’s MAC アドレスを使用して RADIUS サーバーでホストを認証しようとします。

この例では、802.1 X 対応ホスト2台で MAC RADIUS 認証を構成する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチのリリース9.3 以降を Junos OS します。

  • EX シリーズスイッチは、オーセンティケータポートアクセスエンティティー (PAE) として機能します。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

MAC RADIUS 認証を構成する前に、以下のことを確認してください。

概要とトポロジー

IEEE 802.1 X ポートベースのネットワークアクセスコントロール (PNAC) は、デバイスが 802.1 X プロトコル (デバイスが 802.1 X 対応) を使用してスイッチと通信できる場合、LAN へのアクセスを認証して許可します。802.1 X 対応エンドデバイスに LAN へのアクセスを許可するには、エンドデバイスが接続されているインターフェイス上で MAC RADIUS 認証を構成できます。エンドデバイスの MAC アドレスがインターフェイスに表示される場合、スイッチは RADIUS サーバーを調べて、MAC アドレスが許可されているかどうかを確認します。エンドデバイスの MAC アドレスが RADIUS サーバーで許可されている場合、このスイッチはエンドデバイスへの LAN アクセスを開きます。

複数のサプリカント用に設定されたインターフェイスで、MAC RADIUS 認証方法と 802.1 X 認証方式の両方を設定できます。さらに、インターフェイスが 802.1 X 対応のホストのみに接続されている場合は、MAC RADIUS を有効にすることができます。また、802.1 X 認証を有効にするには、 mac-radius 制限このオプションを選択すると、デバイスが EAP メッセージに応答しないということをスイッチが判定している間に遅延が発生するのを回避できます。

図 1は、スイッチに接続されている2つのプリンターを示しています。

この図は QFX5100 スイッチにも適用されます。

図 1: MAC RADIUS 認証構成のトポロジ
MAC RADIUS 認証構成のトポロジ

表 1は、MAC RADIUS 認証用の例のコンポーネントを示しています。

表 1: MAC RADIUS 認証構成トポロジーのコンポーネント

プロパティ設定

スイッチハードウェア

EX4200 ポート (ge-0/0/0 から ge-0/0/23 まで)

VLAN 名

潜在

プリンターへの接続 (PoE は必要ありません)

ge-0/0/19、MAC アドレス00040ffdacfe

ge-0/0/20、MAC アドレス0004aecd235f

RADIUS サーバー

インターフェイス上のスイッチに接続されています ge-0/0/10

MAC アドレス00040ffdacfe のプリンターは、アクセスインターフェイス ge-0/0/19 に接続されています。MAC アドレス0004aecd235f を搭載した2台目のプリンターは、アクセスインターフェイス ge-0/0/20 に接続されています。この例では、スイッチ上で両方のインターフェイスが MAC RADIUS 認証用に設定されており、両方のプリンターの MAC アドレス (コロンなし) が RADIUS サーバー上に設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1 X 認証を試行している間に、通常の遅延を排除するように設定されています。MAC RADIUS 認証が有効になっており、このオプションをmac radius restrict使用した 802.1 x 認証は無効になっています。

構成

CLI 簡単構成

MAC RADIUS 認証を迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

[edit]

set protocols dot1x authenticator interface ge-0/0/19 mac-radius



set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict

また、2つの MAC アドレスを RADIUS サーバー上のユーザー名とパスワードとして設定する必要があります。これは、ステップバイステップの手順2で行います。

ステップごとの手順

スイッチと RADIUS サーバーで MAC RADIUS 認証を構成します。

  1. スイッチ上で、プリンターが MAC RADIUS 認証に接続されるインターフェイスを設定し、インターフェイス ge-0/0/20 の制限オプションを設定して、MAC RADIUS 認証のみが使用されるようにします。
    [edit]

    user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius

    user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict

  2. RADIUS サーバー上で、MAC アドレス00040ffdacfe と0004aecd235f をユーザー名とパスワードとして設定します。
    [root@freeradius]#

    edit /etc/raddb

    vi users

    00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe"

    0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"

結果

スイッチの構成結果を表示するには、以下のようにします。

検証

サプリカントが認証されていることを確認します。

サプリカントが認証されていることの確認

目的

サプリカントは、MAC RADIUS 認証用にスイッチと RADIUS サーバーで構成された後、認証されていることを確認し、認証方法を表示します。

アクション

802.1 X が構成したインターフェイスに関する情報を表示します。 0/0/19 および ge-0/0/20:

user@switch> show dot1x interface ge-0/0/19.0 detail
user@switch> show dot1x interface ge-0/0/20.0 detail

意味

このshow dot1x interface detailコマンドの出力例では、接続されたエンドデバイスの MAC アドレスを 要求]. インターフェイス ge-0/0/19 では、MAC アドレスは 00:04:0f:fd:ac:feは、MAC RADIUS 認証用に設定された最初のプリンターの MAC アドレスです。こちらの 認証方法フィールドには認証方法が表示されます。 内径。インターフェイスの ge-0/0/20、MAC アドレスは 00:04:ae:cd:23:5fこれは、MAC RADIUS 認証用に設定された2台目のプリンターの MAC アドレスです。こちらの 認証方法フィールドには認証方法が表示されます。 内径