Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

MAC RADIUS 認証の設定 (CLI 手順)

 

802.1 X 対応 LAN アクセスではないデバイスを許可するには、ホストが接続されているスイッチインターフェイスで MAC RADIUS 認証を構成します。

また、802.1 X 対応デバイスが LAN にアクセスできるようにするには、認証の静的な MAC バイパス用にその MAC アドレスを構成します。

802.1 X 認証を許可するインターフェイスで MAC RADIUS 認証を構成することも、認証方法だけを構成することもできます。

インターフェイスで MAC RADIUS と 802.1 X 認証の両方が有効になっている場合、スイッチはまずホスト 3 EAPoL 要求をホストに送信します。ホストから応答がない場合、スイッチは、RADIUS サーバーにホスト’s MAC アドレスを送信して、MAC アドレスが許可されているかどうかを確認します。MAC アドレスが RADIUS サーバー上で許可されている場合、RADIUS サーバーはそのスイッチにメッセージを送信し、MAC アドレスが許可されているアドレスであることを示します。スイッチは、接続されているインターフェイス上で、応答しているホストへの LAN アクセスをオープンします。

802.1 の MAC RADIUS 認証がインターフェイス上で設定されているにもかかわらず、認証は mac-radius 制限スイッチは、802.1 X 認証を最初に試みて、遅延を発生させずに RADIUS サーバーで MAC アドレスを認証しようとします。

MAC RADIUS 認証を構成する前に、以下のことを確認してください。

CLI を使用して MAC RADIUS 認証を構成するには、次のようにします。

  • スイッチで、MAC RADIUS 認証に対応する、応答しないホストが接続されているインターフェイスを構成し、 制限インターフェイスの修飾子 ge-0/0/20MAC RADIUS 認証のみを使用するには、次のようにします。

    [edit]

    user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius

    user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
  • RADIUS 認証サーバーで、応答しないホストの MAC アドレス (コロンを含まない) を使用して、応答しない各ホストのユーザープロファイルを作成します (ここでは、MAC アドレスは 00:04:0f:fd:ac:feおよび 00:04:ae:cd:23:5f):

    [root@freeradius]#

    edit /etc/raddb

    vi users

    00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe"

    0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"