例:EX シリーズスイッチでの 802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成
802.1 X 構成のインターフェイスを通じて、デバイスが認証なしで LAN にアクセスできるようにするには、EX シリーズスイッチで静的な MAC バイパスリストを構成します。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。
認証の静的な MAC バイパスを使用して、プリンターなど、802.1 X 対応でないデバイスの接続を許可することができます。ホストの MAC アドレスを静的な MAC アドレスリストと比較して照合すると、応答しているホストが認証され、それに対してインターフェイスが開きます。
この例では、2つのプリンターに対して認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は QFX5100 スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース9.0 以降
1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。
認証の静的 MAC バイパスを設定する前に、以下のことを確認してください。
スイッチで基本的なブリッジングと VLAN の構成を実行。スイッチの基本的なブリッジと VLAN の設定について説明しているマニュアルを参照してください。拡張レイヤー2ソフトウェア (ELS) 構成スタイルをサポートするスイッチを使用している場合は、次の例を参照してください。Example: Setting Up Basic Bridging and a VLAN for an EX Series Switch with ELS Support スイッチ上での基本ブリッジと VLAN の設定その他のスイッチの詳細については、次の例を参照してください。Example: Setting Up Basic Bridging and a VLAN for an EX Series Switch用の基本ブリッジと VLAN の設定
ELS の詳細については、以下を参照してください。Using the Enhanced Layer 2 Software CLIします。
RADIUS サーバー接続を指定し、スイッチにアクセスプロファイルを設定しました。例をご覧ください。Example: Connecting a RADIUS Server for 802.1X to an EX Series Switchに接続します。
概要とトポロジー
プリンターから LAN へのアクセスを許可するには、それらを静的な MAC バイパスリストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されています。
図 1は、EX4200 に接続されている2つのプリンターを示しています。
この図は QFX5100 スイッチにも適用されます。
で表 1示されているインターフェイスは、認証の静的 MAC バイパスに対して設定されることになっています。
表 1: 認証構成トポロジーの静的 MAC バイパスのコンポーネント
| プロパティ | 設定 |
|---|---|
スイッチハードウェア | EX4200、24ギガビットイーサネットポート: 非 PoE ポート x 16、8 PoE ポート (ge-0/0/0から ge-0/0/23)まで |
VLAN 名 | 値 |
統合型プリンター/ファックス/コピーマシンへの接続 (PoE は必要ありません) | ge-0/0/19, MAC アドレス 00:04: 0f: fd: ac: fe |
MAC アドレス 00:04: 0f: fd: ac: fe は、アクセスインターフェイスに接続されています。 ge-0/0/19。2台目のプリンター MAC アドレス 00:04: ae: cd:23: 5f はアクセスインターフェイスに接続されています ge-0/0/20。どちらのプリンターも静的リストに追加され、802.1 X 認証をバイパスします。
構成
CLI 簡単構成
静的な MAC バイパスリストを迅速に設定するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。
[edit]
set protocols
dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
set protocols dot1x authenticator interface
all supplicant multiple
set protocols dot1x authenticator authenticaton-profile-name profile1ステップごとの手順
静的な MAC バイパスリストを構成します。
- MAC アドレスの構成 00:04:0f:fd:ac:feおよび 00:04:ae:cd:23:5f静的 MAC アドレスとして:
[edit protocols]
user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] - 802.1 X の認証方法を設定します。
[edit protocols]
user@switch# set dot1x authenticator interface all supplicant multiple - 認証に使用する認証プロファイル名 (アクセスプロファイル名) を設定します。
[edit protocols]
user@switch# set dot1x authenticator authentication-profile-name profile1注 アクセスプロファイルの設定は、静的な MAC クライアントに対してではなく、802.1 X クライアントに対してのみ要求されます。
結果
構成の結果を表示するには、以下のようにします。
検証
構成が正常に機能していることを確認するには、以下のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定されていて、正しいインターフェイスに関連付けられていることを確認します。
アクション
運用モードコマンドを発行します。
user@switch> show dot1x static-mac-addressMAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意味
出力フィールド MAC アドレスは、2つのプリンターの MAC アドレスを示しています。
出力フィールド インターフェースMAC アドレス 00:04:0f:fd:ac:feインターフェイスを介して LAN に接続できます。 ge-0/0/19.0MAC アドレス 00:04:ae:cd:23:5fインターフェイスを介して LAN に接続できます。 ge-0/0/20.0。