Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:EX シリーズスイッチでの 802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成

 

802.1 X 構成のインターフェイスを通じて、デバイスが認証なしで LAN にアクセスできるようにするには、EX シリーズスイッチで静的な MAC バイパスリストを構成します。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。

認証の静的な MAC バイパスを使用して、プリンターなど、802.1 X 対応でないデバイスの接続を許可することができます。ホストの MAC アドレスを静的な MAC アドレスリストと比較して照合すると、応答しているホストが認証され、それに対してインターフェイスが開きます。

この例では、2つのプリンターに対して認証の静的 MAC バイパスを設定する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

認証の静的 MAC バイパスを設定する前に、以下のことを確認してください。

概要とトポロジー

プリンターから LAN へのアクセスを許可するには、それらを静的な MAC バイパスリストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されています。

図 1は、EX4200 に接続されている2つのプリンターを示しています。

この図は QFX5100 スイッチにも適用されます。

図 1: 認証構成の静的 MAC バイパスのトポロジ
認証構成の静的 MAC バイパスのトポロジ

表 1示されているインターフェイスは、認証の静的 MAC バイパスに対して設定されることになっています。

表 1: 認証構成トポロジーの静的 MAC バイパスのコンポーネント

プロパティ設定

スイッチハードウェア

EX4200、24ギガビットイーサネットポート: 非 PoE ポート x 16、8 PoE ポート (ge-0/0/0から ge-0/0/23)まで

VLAN 名

統合型プリンター/ファックス/コピーマシンへの接続 (PoE は必要ありません)

ge-0/0/19, MAC アドレス 00:04: 0f: fd: ac: fe

ge-0/0/20, MAC アドレス 00:04: ae: cd:23: 5f

MAC アドレス 00:04: 0f: fd: ac: fe は、アクセスインターフェイスに接続されています。 ge-0/0/19。2台目のプリンター MAC アドレス 00:04: ae: cd:23: 5f はアクセスインターフェイスに接続されています ge-0/0/20。どちらのプリンターも静的リストに追加され、802.1 X 認証をバイパスします。

構成

CLI 簡単構成

静的な MAC バイパスリストを迅速に設定するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。

[edit]



set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]

set protocols dot1x authenticator interface all supplicant multiple

set protocols dot1x authenticator authenticaton-profile-name profile1

ステップごとの手順

静的な MAC バイパスリストを構成します。

  1. MAC アドレスの構成 00:04:0f:fd:ac:feおよび 00:04:ae:cd:23:5f静的 MAC アドレスとして:
    [edit protocols]

    user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]

  2. 802.1 X の認証方法を設定します。
    [edit protocols]

    user@switch# set dot1x authenticator interface all supplicant multiple
  3. 認証に使用する認証プロファイル名 (アクセスプロファイル名) を設定します。
    [edit protocols]

    user@switch# set dot1x authenticator authentication-profile-name profile1

    アクセスプロファイルの設定は、静的な MAC クライアントに対してではなく、802.1 X クライアントに対してのみ要求されます。

結果

構成の結果を表示するには、以下のようにします。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

認証の静的 MAC バイパスの検証

目的

両方のプリンターの MAC アドレスが設定されていて、正しいインターフェイスに関連付けられていることを確認します。

アクション

運用モードコマンドを発行します。

意味

出力フィールド MAC アドレスは、2つのプリンターの MAC アドレスを示しています。

出力フィールド インターフェースMAC アドレス 00:04:0f:fd:ac:feインターフェイスを介して LAN に接続できます。 ge-0/0/19.0MAC アドレス 00:04:ae:cd:23:5fインターフェイスを介して LAN に接続できます。 ge-0/0/20.0