802.1X 認証
IEEE 802.1Xは、ポートベースのネットワークアクセス コントロールの標準であり、イーサネットLANを不正なユーザーアクセスから保護します。サプリカントの資格情報が認証サーバー(RADIUSサーバー)に提示され、照合されるまで、インターフェイスでのサプリカント(クライアント)との間のすべてのトラフィックをブロックします。supplicantが認証されると、スイッチはアクセスをブロックするのを止め、supplicantへのインターフェイスを開きます。詳細については、このトピックをお読みください。
スイッチ用 802.1X の概要
- 802.1X 認証のしくみ
- 802.1X 機能の概要
- トランク ポートでの 802.1X 認証
- レイヤー 3 インターフェイスでの 802.1X認証
- Junos OS Evolvedソフトウェアでの802.1Xサポート
802.1X 認証のしくみ
802.1X 認証は、認証ポート アクセス エンティティ(スイッチ)を使用して、サプリカント(エンド デバイス)からのイングレス トラフィックを、サプリカントの資格が認証サーバー(RADIUS サーバー)で提示およびマッチングされるまでポートでブロックすることで機能します。認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開放します。
エンドデバイスは、single supplicantモード、single-secure supplicant モードあるいはmultiple supplicantモードで認証されます。
-
シングル サプリカント - 最初のエンド デバイスのみを認証します。後からポートに接続する他のすべてのエンド デバイスは、さらなる認証なしで完全なアクセスを許可されます。これらは、最初のエンドデバイスの認証に対して、事実上ピギーバック(共連れ)の状態にあります。
-
シングルセキュア サプリカント - 1 台のエンド デバイスにのみポートへの接続を許可します。最初のデバイスがログアウトするまで、他のエンド デバイスの接続は許可されません。
-
マルチ サプリカント - 複数のエンド デバイスにポートへの接続を許可します。各エンド デバイスは個別に認証されます。
VLAN やファイアウォール フィルターを使用することで、ネットワーク アクセスをさらに定義できます。どちらも、エンド デバイスのグループを分離して、必要な LAN 領域にマッチングさせるためのフィルターとして機能します。例えば、VLAN を構成することで、さまざまな認証失敗のカテゴリーを、以下に応じて処理できます。
-
エンド デバイスが 802.1X に対応しているかどうか。
-
ホストが接続されているスイッチ インターフェイス上で MAC RADIUS 認証が構成されているかどうか。
-
RADIUS 認証サーバーが利用できなくなったか、RADIUS アクセス拒否メッセージを送信したかどうか。RADIUS サーバー障害フォールバックを構成する(CLI 手順)を参照してください。
802.1X 機能の概要
ジュニパーネットワークスのイーサネット スイッチでは、以下の 802.1X 機能がサポートされます。
-
ゲスト VLAN - ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が構成されていない場合、802.1X 非対応の応答しないエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。また、ゲスト VLAN を使用して、ゲスト ユーザーに LAN への限定アクセスを提供できます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスへのアクセスのみを提供します。
-
サーバー拒否 VLAN - 802.1X に対応しているが、間違った資格を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。サーバー拒否 VLAN を使用して認証されたエンド デバイスが IP 電話の場合、音声トラフィックは許可されません。
-
サーバー障害 VLAN - RADIUS サーバーのタイムアウト時に、802.1X エンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
-
ダイナミック VLAN - 認証後に、エンド デバイスが動的に VLAN のメンバーになることを可能にします。
-
プライベート VLAN - プライベート VLAN (PVLAN) のメンバーであるインターフェイス上で 802.1X 認証を構成できるようにします。
-
ユーザー セッションの動的な変更 - スイッチ管理者が既に認証されたセッションを終了できるようにします。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。
-
VoIP VLAN - IP 電話をサポートします。IP 電話における音声 VLAN の実装は、ベンダーによって異なります。電話が 802.1X に対応している場合、他のサプリカントと同じように認証されます。電話が 802.1X に対応していなくても、そのデータ ポートに別の 802.1X 対応デバイスが接続されていれば、そのデバイスは認証され、電話との間で VoIP トラフィックを流すことができます(インターフェースがシングル サプリカント モードで構成され、シングルセキュア サプリカント モードではないことが条件となります)。
注:プライベート VLAN(PVLAN)インターフェイス上で VoIP VLAN を構成することはサポートされていません。
-
RADIUS アカウンティング - RADIUS アカウンティング サーバーにアカウンティング情報を送信します。アカウンティング情報は、契約者がログインまたはログアウトしたとき、および契約者がサブスクリプションを有効化または無効化したときに、サーバーに送信されます。
-
802.1X 用 RADIUS サーバー属性 -
Juniper-Switching-Filterは、802.1X 認証プロセス中にサプリカントのアクセスをさらに定義するために、RADIUS サーバーで構成できるベンダー固有属性(VSA)です。認証サーバー上で属性を集中的に構成することで、サプリカントがLANに接続する可能性のあるLAN内の各スイッチに、ファイアウォールフィルターの形で同じ属性を構成する必要がなくなります。Juniper-Switching-Filterは、RFC4849の属性92で参照されるNAS-Filter-Ruleに相当します。 -
Mist Access Assuranceを使用したGBPによるマイクロおよびマクロセグメンテーション—グループベースポリシー(GBP)を使用して、仮想拡張LAN(VXLAN)アーキテクチャにマイクロセグメンテーションとマクロセグメンテーションを適用できます。GBPは基礎となるVXLANテクノロジーを活用し、ロケーションに依存するエンドポイントのアクセス制御を提供します。GBPを使用すると、企業ネットワークドメイン全体に、一貫したセキュリティポリシーを実装できます。これにより、すべてのスイッチで多数のファイアウォールフィルターを設定する手間を省くことができ、ネットワーク設定を簡素化できます。Juniper Mist Cloudのネットワークアクセス制御(NAC)は、RADIUSトランザクション中にGBPタグを動的に割り当てます。RADIUS 802.1X認証により、ネットワークオペレータは、ユーザーまたはデバイスを自動的に認証および承認し、ネットワーク内へのアクセスを許可することができます。Juniper Mist Access Assuranceは、ユーザーとデバイス識別子を使用して、ネットワークが各ユーザーに割り当てている役割とネットワークセグメントを決定します。ネットワークは、VLANまたはGBPを使用して、ネットワークセグメントにユーザーをグループ化します。その後、Juniper Mist Access Assuranceが、各セグメントに関連付けられるネットワークポリシーを適用します。
現在この機能は、EX4100、EX4400、EX4650、QFX5120-32C、QFX5120-48Y、QFX5120-48Y仮想シャーシでサポートされています。
詳細については、Example: Micro and Macro Segmentation using Group Based Policy in a VXLANを参照してください。
802.1X非対応のデバイスを認証するために、以下の機能がサポートされています。
-
静的 MAC バイパス - 802.1X 非対応のデバイス(プリンターなど)を認証するためのバイパス機構を提供します。静的 MAC バイパスは、これらのデバイスを 802.1X 対応ポートに接続して、802.1X 認証をバイパスします。
-
MAC RADIUS 認証 - 802.1X 非対応のホストに LAN アクセスを許可する手段を提供します。MAC-RADIUS は、クライアントの MAC アドレスをユーザー名とパスワードとして使用し、クライアント デバイスのサプリカント機能をシミュレートします。
トランク ポートでの 802.1X 認証
Junos OS リリース 18.3R1 から、トランク インターフェイスに 802.1X 認証を構成できるようになりました。これにより、ネットワーク アクセス デバイス(NAS)がアクセスポイント(AP)や接続されている別のレイヤー 2 デバイスを認証できるようになります。NAS に接続された AP やスイッチは複数の VLAN をサポートするため、トランク ポートに接続する必要があります。トランク インターフェイスで 802.1X 認証を有効にすると、攻撃者が AP を切断してラップトップを接続し、構成されたすべての VLAN のネットワークに自由にアクセスできるようにするというセキュリティ侵害から NAS を保護できます。
トランク インターフェイスに 802.1X 認証を構成する場合は、以下の点に注意してください。
-
トランク インターフェイスでは、シングルおよびシングルセキュア サプリカント モードのみがサポートされます。
-
トランク インターフェイスでローカルに 802.1X 認証を構成する必要があります。コマ
set protocol dot1x interface allンドを使用して 802.1X 認証をグローバルに構成する場合、その構成はトランク インターフェースには適用されません。 -
トランク インターフェイスでは、ダイナミック VLANS はサポートされません。
-
トランク インターフェイスでは、ゲスト VLAN およびサーバ拒否 VLAN はサポートされません。
-
VoIP クライアントのサーバー障害フォールバックは、トランク インターフェイスではサポートされません(
server-fail-voip)。 -
キャプティブ ポータルを使用したトランク ポートでの認証は、サポートされていません。
-
集約されたインターフェイスでは、トランク ポートでの認証はサポートされていません。
-
プライベート VLAN(PVLAN)のメンバーであるインターフェイスでの 802.1X 認証の構成は、トランク ポートではサポートされていません。
レイヤー 3 インターフェイスでの 802.1X認証
Junos OS リリース 20.2R1 から、レイヤー 3 インターフェイスで 802.1X 認証を構成できるようになりました。レイヤー 3 インターフェイスで 802.1X 認証を構成する場合は、以下の点に注意してください。
-
EAP 対応クライアントのみがサポートされます。
-
シングル サプリカント モードのみがサポートされます。
-
レイヤー 3 インターフェイスでローカルに 802.1X 認証を構成する必要があります。コマ
set protocol dot1x interface allンドを使用して 802.1X 認証をグローバルに構成する場合、その構成はレイヤー 3 インターフェイスには適用されません。 -
レイヤー 3 インターフェイスのサポートには、IRB やサブインターフェイスは含まれません。
-
ゲスト VLAN、サーバー拒否 VLAN、サーバー障害 VLAN はサポートされません。
-
VoIP クライアント用のサーバー障害フォールバックはサポートされていません(
server-fail-voip)。 -
レイヤー 3 インターフェイスで認証されたクライアントの RADIUS access-accept または COA メッセージの一部として認証サーバーから受け入れられるのは、以下の属性のみです。
-
User-Name
-
セッションタイムアウト
-
Calling-Station-ID
-
Acct-Session-ID
-
NAS-Port-Id
-
Port-Bounce
-
Junos OS Evolvedソフトウェアでの802.1Xサポート
Junos OS Evolvedリリース22.3R1から、レイヤー2インターフェイスでの802.1X認証を設定できます。レイヤー2インターフェイスで802.1X認証に適用される注意事項を確認ください。
-
サポートされていない機能は以下のとおりです。
-
ゲストVLAN、サーバー拒否VLAN、サーバーフェイルVLAN
-
VoIPクライアントのサーバーフェイルフォールバック(server-fail-voip)
-
動的VLAN
-
キャプティブポータルとセントラルWeb認証(CWA)を使用したレイヤー2インターフェイスでの認証
-
-
サポートされていないRADIUS access-acceptの認証サーバーからの属性あるいはレイヤー2インターフェイスで認証されたクライアントのCOAメッセージは以下のとおりです。
-
Ip-Mac-Session-Binding
-
Juniper-CWA-Redirect
-
Juniperスイッチングフィルター
-
フィルターID
-
Tunnel-Medium-Type
-
Juniper VoIP VLAN
-
Egress-VLAN-Name
-
Egress-VLAN-ID
-
Tunnel-Type
-
トンネルプライベートグループID
-
-
IRBがブリッジドメインにある場合、802.1x対応ポートは、ユーザーが認証されていない場合でも、シングルセキュアおよび複数のサプリカントモードでルートラフィックをドロップしません。レイヤー2インターフェイスで802.1x対応ポートは、シングルサプリカントモード設定でのみルートラフィックをドロップします。
関連項目
802.1Xインターフェイスの設定(CLI手順)
IEEE 802.1X認証は、ネットワークエッジセキュリティを提供し、authentication server(RADIUSサーバー)でサプリカント(クライアント)の認証情報が提示および一致されるまで、サプリカント宛てのトラフィックとサプリカントからのトラフィックのすべてをインターフェイスでブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
802.1Xの除外リストを指定して、認証をバイパスして自動的にLANに接続できるサプリカントを指定することもできます。「Configuring Static MAC Bypass of 802.1X and MAC RADIUS Authentication (CLI Procedure)」を参照してください。
Q-in-Qトンネリングが有効になっているインターフェイスでは、802.1Xユーザー認証を設定できません。
開始する前に、RADIUSサーバーまたは認証サーバーとして使用するサーバーを指定します。「Specifying RADIUS Server Connections on Switches (CLI Procedure)」を参照してください。
インターフェイスで802.1Xを設定するには、次の手順に従います。
RADIUS認証サーバーが利用できないかアクセスできない場合、サーバーの失敗フォールバックがトリガーされます。デフォルトでは、denyオプションはserver-fail下で設定します。これにより、サプリカント認証が強制的に失敗します。しかしながら、サーバーがタイムアウトした場合に、認証のため待機しているエンドデバイスで実行するアクションとして設定できる他のオプションもあります。
詳細については、インターフェイス(802.1X)を参照してください。
この設定は、スイッチがインターフェイスをHELDの状態にするまでの試行回数を指定します。
関連項目
RADIUSが開始する認証済みユーザーセッションの変更について
クライアントおよびサーバーRADIUSモデルに基づく認証サービスを使用する場合、要求は通常、クライアントによって開始され、RADIUSサーバーに送信されます。すでに実行中の認証済みユーザーセッションを動的に変更するために、サーバーが開始した要求をクライアントに送る方法があります。メッセージを受信して処理するクライアントはスイッチであり、ネットワークアクセスサーバーまたはNASとして機能します。サーバーは、セッションの終了を要求する切断メッセージや、セッションの認証属性の変更を要求するChange of Authorization(CoA)メッセージをスイッチに送信できます。
スイッチは、UPDポート3799で非送信請求のRADIUS要求をリッスンし、信頼できる送信元からの要求だけを受け取ります。切断またはCoA要求の送信許可は、送信元アドレスと対応する共有シークレットに基づいて決定されます。これは、スイッチとRADIUSサーバーの両方で設定する必要があります。スイッチでの送信元アドレスや共有シークレットの設定の詳細については、802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
切断メッセージ
RADIUSサーバーは、ユーザーセッションを終了させ、関連するすべてのセッションコンテキストを破棄するために、Disconnect-Requestメッセージをスイッチに送信します。要求が成功した場合、スイッチはDisconnect-RequestパケットとDisconnect-ACKメッセージを返し、これにより、すべての関連するセッションコンテキストは破棄されてユーザーセッションが接続できなくなります。要求が失敗した場合、スイッチはDisconnect-RequestパケットとDisconnect-NAKパケットを返し、これにより、オーセンティケータがセッションの切断と関連するすべてのセッションコンテキストの破棄を無効にします。
Disconnect-Requestメッセージでは、RADIUS属性を使用してスイッチ(NAS)とユーザーセッションを一意に識別します。要求が成功するには、このメッセージに含まれるNAS識別属性とセッション識別属性組み合わせが少なくとも1セッション一致する必要があります。そうでない場合、スイッチはDisconnect-NAKメッセージを返します。Disconnect-Requestメッセージには、NASとセッション識別属性のみを含めることができます。その他の属性が含まれている場合、スイッチはDisconnect-NAKメッセージを返します。
認証メッセージの変更
Change of Authorization(CoA)メッセージには、ユーザーセッションの認証属性を動的に変更して認証レベルを変更するための情報が含まれています。これは2段階の認証プロセスの一部として使用され、まずMAC RADIUS認証でエンドポイントを認証し、デバイスの種類に応じたプロファイルを作成します。CoAメッセージは、通常、データフィルターまたは VLAN を変更することで、デバイスに適したポリシーを適用するために使用されます。
スイッチは、認証変更が成功した場合はCoA-ACKメッセージを、変更が失敗した場合はCoA-NAKメッセージをCoAメッセージと一緒に返します。CoA-Requestメッセージで指定された認証変更が1つも実行されない場合、スイッチはCoA-NAKメッセージを返します。
CoA-Requestメッセージでは、RADIUS属性を使ってスイッチ(NASとして機能)とユーザーセッションを一意に識別します。メッセージに含まれるNAS識別属性とセッション識別属性の組み合わせは、少なくとも一つのセッション識別属性と一致しなければ要求は成功せず、一致しない場合、スイッチはCoA-NAKメッセージを返します。
CoA-Requestパケットには、要求が受諾理された場合に変更されるセッション認証識別も含まれています。サポートされているセッション認証属性を以下に示します。CoAメッセージには、これらの属性の一部またはすべてを含むことができます。CoA-Requestメッセージの一部としての属性が含まれていない場合、NASは属性の値が変更されていないとみなします。
フィルターID
トンネルプライベートグループID
Juniperスイッチングフィルター
Juniper VoIP VLAN
セッションタイムアウト
CoAリクエストポートバウンス
認証されたホストのVLANを変更するためにCoAメッセージを使用する場合、プリンターなどのエンドデバイスはVLAN変更を検知するメカニズムを備えていないため、新しいVLANでDHCPアドレスのリースが更新されることはありません。Junos OSリリース17.3以降では、ポートバウンス機能を使用して、認証ポートでリンクフラップを発生させることで、エンドデバイスにDHCPの再ネゴシエーションを強制的に開始させることができます。
ポートをバウンスするコマンドは、ジュニパーネットワークスのベンダー固有属性(VSA)を使用してRADIUSサーバーから送信されます。RADIUSサーバーからのCoAメッセージに以下のVSA属性値ペアが含まれている場合、ポートがバウンスされます。
Juniper-AV-Pair = “Port-Bounce”
ポートバウンス機能を有効にするには、Juniper-AV-PairのVSAを使用してRADIUSサーバー上のJunos辞書ファイル(juniper.dct)を更新する必要があります。辞書ファイルを検索して、次のテキストをファイルに追加します。
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
VSAの追加に関する詳細については、FreeRADIUSのマニュアルを参照してください。
この機能を無効にするには、[edit protocols dot1x authenticator interface interface-name]階層レベルでignore-port-bounceステートメントを設定します。
エラー原因コード
切断またはCoAの実行が失敗した場合は、NASからサーバーに送信された応答メッセージにエラー原因属性(RADIUS属性101)が含まれ、問題の原因の詳細を提供することができます。検出されたエラーがサポート対象のエラー原因属性値のいずれにも割り当てられていない場合、ルーターはエラー原因の属性を使用せずにそのメッセージを送信します。NASから送信される応答メッセージに含まれるエラー原因コードの説明については、表 1を参照してください。
コード |
値 |
説明 |
|---|---|---|
201 |
削除された残留セッションコンテキスト |
1つ以上のユーザーセッションが無効になるが、残留セッションコンテキストが見つかってそれが正常に削除された場合、Disconnect-Requestメッセージの応答として送信されます。このコードは、Disconnect-ACKメッセージ内でのみ送信されます。 |
401 |
非対応な属性 |
この要求には非対応な属性(サードパーティーの属性など)が含まれています。 |
402 |
属性の欠損 |
重要な属性(セッション識別属性など)が要求に含まれていません。 |
403 |
NAS識別情報の不一致 |
要求を受信するNASの識別と一致しないNAS識別属性が1つ以上要求に含まれています。 |
404 |
無効な要求 |
1つ以上の属性フォーマットの不正など、別なアスペクトにより要求が無効です。 |
405 |
非対応なサービス |
要求に含まれるService-Type属性に無効または非対応な値が含まれています。 |
406 |
非対応な拡張 |
要求を受信するエンティティー(NASまたはRADIUSプロキシ)が、RADIUS発信の要求に非対応です。 |
407 |
無効な属性値 |
非対応な値を含む属性が要求に含まれています。 |
501 |
管理上の禁止事項 |
NASにおいて、特定のセッションのDisconnect-RequestやCoA-Requestメッセージの受け入れを禁止する設定がされています。 |
503 |
セッションコンテキストが見つかりません |
要求で指定されたセッションコンテキストがNAS上に存在しません。 |
504 |
セッションコンテキストが削除できません |
要求内の属性によって識別される加入者は、非対応のコンポーネントが所有しています。このコードは、Disconnect-NAKメッセージ内でのみ送信されます。 |
506 |
無効なリソース |
利用可能なNASリソース(メモリなど)が不足しているため、要求に応じることができません。 |
507 |
要求開始 |
CoA-Requestメッセージに、値が承認のみのService-Type属性が含まれています。 |
508 |
複数のセッション選択非対応 |
要求に含まれる識別属性は複数のセッションと一致していますが、NASは複数のセッションに適用される要求に対応していません。 |
RADIUSサーバー属性を使用した802.1Xサプリカントのフィルター
ポートファイアウォールを使用したRADIUSサーバーを設定するには2つの方法があります(レイヤー2ファイアウォールフィルター)。
-
Juniper-Switching-Filter属性に1つ以上のフィルター項目を含めます。Juniper-Switching-Filter属性は、VSA(ベンダー固有属性)で、RADIUSサーバーに関するジュニパー辞書の属性ID番号48の元にリストされています。このVSAを使用して、802.1X認証ユーザーに単純なフィルター条件を設定します。スイッチには何も設定する必要はありません。RADIUSサーバー上にすべて設定されています。
-
スイッチごとにローカルファイアウォールフィルターを設定し、そのファイアウォールフィルターをRADIUSサーバーを通して認証されたユーザーに適用します。さらに複雑なフィルターにはこの方法を用います。ファイアウォールフィルターはスイッチごとに設定しなければなりません。
注:802.1X認証を使用してユーザーが認証された後に、ファイアウォールフィルターの設定が変更された場合、その設定変更を有効にするためには、構築された802.1X認証セッションを終了し、再確立させなければなりません。
このトピックは、次のタスクで構成されています。
RADIUSサーバー上のファイアウォールフィルターの設定
Junos OS Evolvedリリース22.4R1以降、一致条件を何度も繰り返す必要なく、1行のライン内で複数の送信元および宛先ポート(またはポート範囲)を設定できるようになりました。この機能により、VSA長を短縮できるようになり、RADIUSレスポンスパケットのサイズも削減することができます。
スイッチングフィルターにより、イーサタイプ、IP、送信元タグ、送信元ポート、宛先ポート用の値の一覧をプロビジョニングできるようになります。
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
RADIUSサーバーに関するジュニパー辞書にあるJuniper-Switching-Filter属性を使用して、単純なフィルター条件を設定できます。新たなユーザーが正常に認証されるたびに、このフィルターがスイッチに送信されます。そのフィルターは、すべてのEXシリーズスイッチ上で作成、適用されます。そして、それぞれのスイッチに何も設定しなくても、RADIUSサーバーを介してユーザーを認証します。
この方法で、FreeRADIUSソフトウェアによる、Juniper-Switching-Filter VSAの設定を説明します。サーバーの設定についての詳細は、サーバーに付属されたAAAドキュメントをご参照ください。
Juniper-Switching-Filter属性を設定するには、RADIUSサーバーにCLIを使用して、1つ以上のフィルター条件を入力します。各フィルター項目は、対応するアクションと一致する条件で構成されています。引用符(" ")で囲んであるフィルター項目を入力します。
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <forwarding-class class-of-service> <loss-priority (low | medium | high)>”
フィルター項目には1つ以上の一致条件を含めることができます。フィルター項目で複数の条件が指定された場合、パケットがフィルター項目に一致するためには、そのすべてが満たされる必要があります。例えば、以下のフィルター項目には、宛先IPアドレスと宛先MACアドレスの両方の一致が、項目を満たすために必要です。
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
複数のフィルター項目は、以下のようにコンマで区切ります。
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
一致条件とアクションの定義については、Juniper-Switching-Filter VSA一致条件とアクションをご参照ください。
EX9200スイッチ上、およびアグリゲーションデバイスとしてのEX9200を持つJunos Fusion Enterpriseにおいて、動的ファイアウォールはすべてのIPパケットに必ず適用されます。フィルターが特定の宛先IPアドレスだけを許可する設定の場合、宛先IPとしてのIPアドレスを持つパケットは、フィルターのルールに従って破棄されます。DHCP、IGMP、ARPパケットなどの、どのIPプロトコルパケットもこれに含まれます。
RADIUSサーバー上で一致条件を設定する方法。
RADIUSサーバーからローカルに設定されたファイアウォールフィルターの適用
ポートファイアウォールフィルター(レイヤー2ファイアウォールフィルター)を、RADIUSサーバーから一元的にユーザーポリシーに適用できます。それにより、RADIUSサーバーは、認証をリクエストするそれぞれのユーザーに適用されるファイアウォールフィルターを指定することが可能になり、同じファイアウォールを複数のスイッチ上で設定する必要を減らすことができます。ファイアウォールフィルターに多数の条件がある場合や、同じフィルターに異なる条件を異なるスイッチ上で使用したい場合、この方法を使用します。ファイアウォールフィルターはスイッチごとに設定しなければなりません。
ファイアウォールフィルターの詳細については、EXシリーズスイッチに対するファイアウォールフィルター概要をご参照ください。
RADIUSサーバーからポートファイアウォールフィルターを一元的に適用する方法。
ポートファイアウォールフィルターがローカルにインターフェイスに設定されている場合、VSAで設定されているファイアウォールフィルターの方が優先されます(ローカルで設定されたポートファイアウォールフィルターと相反した場合)。相反しない場合、それは統合されます。
例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続する
802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。802.1X を使用して、ネットワークアクセスの制御を行います。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスにのみ、ネットワークへのアクセスが許可されます。802.1X認証のユーザーデータベースとして、MAC RADIUS認証と同様に、RADIUSサーバーを使用することができます。
この例では、EXシリーズスイッチにRADIUSサーバーを接続し、802.1X用に設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
EXシリーズスイッチ向けJunos OSリリース9.0以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをスイッチに接続する前に、以下のことを確認します。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELSをサポートするEXシリーズスイッチで基本的なブリッジングとVLANを設定するを参照してください。その他のスイッチについては、例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアのCLIを使用するを参照してください。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
EXシリーズスイッチは、認証PAEとして機能します。サプリカント(クライアント)がサーバーで認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。
図 1はEX4200スイッチ1台と 表 2 のデバイスが接続されている状態を示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:PoEポート8個(ge-0/0~ge-0/7)、非PoEポート16個(ge-0/0/8~ge-0/23)搭載。 |
VLAN名 |
デフォルト |
1台のRADIUSサーバー |
スイッチのポートge-0/0/10に接続されたアドレス10.0.0.100を持つバックエンドデータベース |
この例では、EX4200スイッチのアクセスポートge-0/0/10にRADIUSサーバーを接続します。スイッチは認証装置として機能し、サプリカントからRADIUSサーバのユーザデータベースに認証情報を転送します。EX4200とRADIUSサーバー間の接続を設定する必要があります。サーバーのアドレスを指定し、秘密のパスワードを設定します。この情報は、スイッチのアクセスプロファイルに設定されます。
認証、認可、およびアカウンティング(AAA)サービスの詳細については、 Junos OSシステムの基本設定ガイド を参照してください。
設定
手順
CLIクイック構成
RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
ステップバイステップでの手順
RADIUS サーバーをスイッチに接続します。
サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
認証順序を設定し、radiusを最初の認証方法にします。
[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントの認証に対して順次試行する、サーバーIPアドレスのリストを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
結果
設定の結果の表示:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
本装置とRADIUSサーバーが正しく接続されていることを確認
目的
RADIUSサーバーが指定したポートでスイッチに接続されていることを確認します。
対処
RADIUSサーバーに Ping を送信し、スイッチとサーバー間の接続を確認します。
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意味
ICMPエコー要求パケットをスイッチから10.0.0.100のターゲットサーバーに送信し、サーバーがIPネットワーク上で到達可能であるかどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。
RADIUS属性に基づくダイナミックフィルターを理解する
RADIUS認証サーバーの属性を利用して、RADIUS認証サーバーにポートファイアウォールフィルターを実装することができます。これらのフィルターは、そのサーバを介して認証を要求するサプリカントに動的に適用することができます。RADIUSサーバー属性は、スイッチに接続したサプリカントの認証に成功した際に、認証サーバ-からスイッチに送信されるAccess-Acceptメッセージにカプセル化されたクリアテキストのフィールドです。スイッチはオーセンティケータとして動作し、RADIUS属性の情報を使用して、関連するフィルターをサプリカントに適用します。ダイナミックフィルターは、同じスイッチの複数のポートに適用したり、同じ認証サーバーを使用する複数のスイッチに適用することができ、ネットワークのアクセス制御を一元的に行うことができます。
Juniper-Switching-Filter属性を使用することで、RADIUSサーバーで直接ファイアウォールフィルターを定義することができます。この属性は、Juniper Networksに固有のRADIUS属性でVSA(ベンダー固有属性)とも呼ばれています。VSAは、RFC2138、Remote Authentication Dial In User Service (RADIUS)に記載されています。Juniper-Switching-Filter VSAは、RADIUSサーバーのJuniper辞書の属性ID番号48に記載されており、ベンダーIDはJuniper NetworksのID番号2636に設定されています。この属性を使用して、認証サーバーのフィルターを定義し、そのサーバーを介してサプリカントを認証するすべてのスイッチに適用されます。この方法だと、複数のスイッチで同じフィルターを設定する必要がありません。
また、RADIUS属性ID番号11のFilter-ID属性を使用することで、同一スイッチの複数のポートにポートファイアウォールフィルターを適用することも可能です。Filter-ID属性を使用するには,まずスイッチにフィルターを設定し、そのフィルター名をFilter-ID属性の値としてRADIUSサーバー上のユーザーポリシーに追加する必要があります。これらのポリシーで定義されたサプリカントがRADIUSサーバーで認証されると,そのサプリカントに対して認証されたスイッチポートにフィルターが適用されます。ファイアウォールフィルターの条件が複雑な場合や、スイッチによって同じフィルターの条件を使い分けたい場合には、この方法を使用します。Filter-ID属性で名前を付けられたフィルターは、スイッチ上でローカルに [edit firewall family ethernet-switching filter] 階層レベルで設定する必要があります。
VSAは、802.1Xのシングルサプリカント構成とマルチサプリカント構成でのみサポートされています。
関連項目
RADIUS 属性を使用した動的 VLAN 割り当てについて
VLAN は、RADIUS サーバーが、802.1X 認証を要求するサプリカントに動的に割り当てることができます。RADIUS サーバーの VLAN は、RADIUS サーバー属性を使って設定します。これは、スイッチに接続されたサプリカントが認証を要求した時点で、認証サーバーからスイッチに送信されるメッセージにカプセル化されたクリアテキストフィールドです。スイッチは認証する役目を果たし、RADIUS属性の情報を使用して、VLANフィルターをサプリカントに割り当てます。認証の結果に基づいて、1つのVLANで認証を開始したサプリカントが別のVLANに割り当てられる場合があります。
認証を成功させるためには、802.1X認証を行うスイッチでVLAN IDまたはVLAN名が設定されており、認証時にRADIUSサーバーから送信されたVLAN IDまたはVLAN名と一致している必要があります。どちらもない場合は、エンドデバイスが認証されません。ゲスト VLAN が確立された場合、認証されていないエンドデバイスが自動的にゲスト VLAN に移動します。
RFC 2868、トンネルプロトコルサポート用 RADIUS 属性で説明された、動的 VLAN 割り当てに使用される RADIUS サーバー属性。
Tunnel-Type—RADIUS 属性タイプ 64 として定義されます。値は、
VLANに設定する必要があります。Tunnel-Medium-Type—RADIUS 属性タイプ 65 として定義されます。値は、
IEEE-802に設定する必要があります。Tunnel-Private-Group-ID—RADIUS 属性タイプ81 として定義されます。値は、VLAN ID または VLAN 名に設定する必要があります。
RADIUSサーバー上で動的VLANを設定する詳細については、お使いのRADIUSサーバーのドキュメントを参照してください。
関連項目
EX シリーズ スイッチでの VLAN グループの設定
VLAN グループ機能を使用すると、VLAN 全体にクライアントを分散できます。この機能を有効にすると、単一の無線LAN(WLAN)を単一のVLANまたは複数のVLANに合わせることができます。VLANグループを設定すると、設定されたVLANの1つにクライアントが割り当てられます。この機能は、VLAN グループ内の VLAN 間でのユーザーの動的なロード バランシングをサポートします。この機能は、ラウンドロビン アルゴリズムに従って、VLAN グループ内で次に使用可能な VLAN にユーザを割り当てます。
ダイナミックVLANロードバランシングの場合は、通常のVLAN IDや属性の VLAN名(RFC 2868でRADIUS属性タイプ81として定義)の代わりに、VLANグループ名を追加します。Tunnel-Private-Group-ID その後、サプリカントがRADIUSサーバーを介して802.1X認証を要求したときに、RADIUS応答でこの情報を送信します。スイッチは、VLAN グループ名を受信すると、ラウンドロビン アルゴリズムを使用して、そのグループ内の VLAN の 1 つにエンドポイントを割り当てます。VLANグループを使用すると、事前設定されたリストからVLANを割り当てることができるため、管理者がネットワークのロードバランシングを行う必要がなくなります。
VLAN グループを設定する際は、以下の点に注意してください。
-
最大 4096 個の VLAN グループを設定できます。
-
クライアントに割り当てられる前に VLAN を作成する必要があります。スイッチ上に存在しない VLAN は、割り当て時に無視されます。
-
VLAN グループ名と同じにすることはできません。
-
VoIP VLANは、vlan-groupの一部であってはなりません。VoIP VLANが存在する場合は無視されます。
-
VLAN を削除すると、その VLAN に関連付けられているすべての 802.1X 認証セッションが終了します。
-
VLANグループ内のVLANにすでに割り当てられているクライアントを中断することなく、VLANグループを削除できます。
-
VLANグループにすでに割り当てられているクライアントを中断することなく、VLANグループからVLANを削除できます。ただし、次の場合、クライアントは中断に直面する可能性があります。
-
クライアント セッションの有効期限が切れます。
-
再認証またはロールの変更は、認証変更(CoA)要求を使用して実行されます。
-
EX シリーズ スイッチで VLAN グループを設定するには:
関連項目
スイッチ上の 802.1X のゲスト VLAN の理解
ゲスト VLANは、802.1X 認証を使用して、通常はインターネットのみに制限されたアクセスを企業ゲストに提供するスイッチ上で設定できます。以下の場合、ゲスト VLAN はフォールバックとして使用されます。
サプリカントは 802.1X が有効ではないため、EAP メッセージには応答しません。
MAC RADIUS 認証は、サプリカントが接続されているスイッチ インターフェースで設定されていません。
キャプティブ ポータルは、サプリカントが接続されているスイッチ インターフェースで設定されていません。
不正な認証を送信したサプリカントには、ゲストVLANは使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送信されます。
802.1X が有効ではないエンド デバイスでは、ゲスト VLAN が、802.1X が有効ではないエンド デバイスが、サプリカント ソフトウェアをダウンロードして、認証を試すことができるサーバーへの無制限のアクセスを許可できます。
関連項目
例:RADIUS サーバーが EX シリーズスイッチで利用できない場合の、802.1X 認証オプションの設定
サーバー障害時のフォールバックは、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されている 802.1X サプリカントをサポートする方法を指定します。
802.1X を使用して、ネットワークアクセスの制御を行います。ユーザーデータベースで検証された認証情報を提供するユーザーやデバイス(サプリカント)のみがネットワークへのアクセスを許可されます。RADIUS サーバーをユーザーデータベースとして使用します。
この例では、RADIUS サーバーのタイムアウトが発生した場合に、サプリカントを VLAN に移動させるインターフェイスを設定する方法を説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチのJunos OSリリース9.3以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをスイッチに接続する前に、以下のことを確認します。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。その他すべてのスイッチについては、例を参照してください。EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアのCLIを使用するを参照してください。
スイッチと RADIUS サーバーの接続を設定します。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
認証サーバーで設定されたユーザー。
概要とトポロジー
サプリカントがログインして LAN にアクセスを試みる場合に、認証 RADIUS サーバーが到達していないと、RADIUS サーバーのタイムアウトが発生します。サーバー障害時のフォールバックを使用して、LAN アクセスを試みるサプリカントの代替オプションを設定します。サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS サーバーのタイムアウト前にサプリカントに既に許可されたアクセスを保持するように、スイッチを設定することができます。また、RADIUSのタイムアウトが発生した場合、サプリカントを特定のVLANに移動させるようにスイッチを設定することができます。
図 2 に、この例で使用したトポロジーを示します。RADIUS サーバは、アクセスポート ge-0/0/10で EX4200 スイッチに接続されています。スイッチは、認証コードのポートアクセスエンティティ (PAE) として機能し、サプリカントからの認証情報を、RADIUS サーバーのユーザーデータベースに転送します。スイッチは、サプリカントが認証サーバーによって認証されるまで、すべてのトラフィックをブロックし、コントロールゲートとして機能します。サプリカントが、インターフェイス ge-0/0/1 を介してスイッチに接続されています。
この図は、QFX5100 スイッチにも適用されます。
表 3は、このトポロジーのコンポーネントについて説明しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:非PoE ポート x 16およびPoEポート x 8。 |
VLAN名 |
default VLAN vlan-sf VLAN |
サプリカント |
インターフェイスでアクセスを試みるサプリカント ge-0/0/1 |
1台のRADIUSサーバー |
ポート ge-0/0/10でスイッチに接続されている、 10.0.0.100 のアドレスを持つバックエンドデータベース |
この例では、RADIUS のタイムアウト中に LAN のアクセスを試みるサプリカントを別の VLAN に移動させるために、インターフェイス ge-0/0/1 を設定します。RADIUSタイムアウトが発生すると、RADIUSサーバーからスイッチへ情報を伝達し、サプリカントの認証を許可するEAPメッセージの正常な交換ができなくなります。デフォルトのVLANは、インターフェイスge-0/0/1上に設定されます。RADIUS タイムアウトが発生すると、インターフェイス上のサプリカントは、デフォルト VLAN から vlan-sf という VLAN に移動します。
トポロジー
設定
手順
CLIクイック構成
スイッチで、サーバー障害時のフォールバックを素早く設定するには、以下のコマンドをコピーして、スイッチのターミナルウィンドウに貼り付けます。
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
ステップバイステップでの手順
RADIUSタイムアウトが発生したときに、サプリカントを特定のVLANへと方向転換させるインターフェイスを設定する(ここではVLANを vlan-sfとします)。
サプリカントの方向を転換させるVLANを定義します。
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
結果
設定の結果の表示:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
RADIUS タイムアウト時に、サプリカントが代替 VLAN に移動することの検証
目的
RADIUS タイムアウト時に、インターフェイスがサプリカントを代替 VLAN に移動させることを確認します。
ELS をサポートする EXシリーズの Junos OS の実行中、 show vlans コマンドの出力には追加情報が含まれます。ご使用のスイッチが、ELS をサポートしているソフトウェアを実行した場合は、 VLANを表示を参照してください。ELS の詳細については、拡張レイヤー 2 ソフトウェア CLI の使用を参照してください。
対処
スイッチに設定されている VLAN を表示します。インターフェイス ge-0/0/1.0 は default VLANのメンバーです。
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
スイッチに 802.1X プロトコル情報を表示して、インターフェイス ge-0/0/1.0で認証されたサプリカントを表示します。
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
RADIUSサーバーのタイムアウトが発生します。これまで default の VLAN で LAN にアクセスしていた MAC アドレス 00:00:00:00:00:01 のサプリカントが、現在、 vlan-sfという VLAN で学習されていることを、イーサネットスイッチングテーブルで表示します。
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
802.1X プロトコル情報を表示し、インターフェイス ge-0/0/1.0 が接続中であり、サプリカントに LAN アクセスを開放することを示します。
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
意味
show vlansコマンドは、インターフェイスge-0/0/1.0をdefaultVLAN のメンバーとして表示します。show dot1x interface brief コマンドでは、サプリカント (abc) がインターフェイス ge-0/0/1.0 で認証され、MAC アドレスが 00:00:00:00:00:01であることを示しています。RADIUS サーバーのタイムアウトが発生し、スイッチが認証サーバーにアクセスできません。show-ethernet-switching tableコマンドは、VLANvlan-sfでMACアドレス 00:00:00:00:00:01 が学習されたことを示しています。サプリカントが、 default から vlan-sf VLANに移動しています。そして、サプリカントは、 vlan-sfという VLAN を介して LAN に接続されます。
例:EXシリーズスイッチ上でEAP-TTLS認証およびOdysseyアクセスクライアント用のフォールバックオプションを構成する
802.1X ユーザー認証向けに、EX シリーズは、拡張認証プロトコル-トンネル TLS(EAP-TTLS)を使用して Odyssey アクセス クライアント(OAC)サプリカントを認証する RADIUS 認証サーバーをサポートしています。OACネットワーキングソフトウェアは、エンドポイントコンピューター(デスクトップ、ラップトップ、ノートパソコン、サポートされる無線デバイス)上で動作し、有線および無線ネットワークへの安全なアクセスを提供します。
この例では、誤ったログイン資格情報を入力したOACユーザーにフォールバックサポートを提供するために、スイッチ上に802.1X対応インターフェイスを構成する方法を説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
Junos OS リリース 11.2 以降(EX シリーズスイッチの場合)
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サプリカントとして動作する 1 台の OAC エンド デバイス。
フォールバック オプションの構成を開始する前に、以下を確認してください。
スイッチと RADIUS サーバーの接続を設定します。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
サーバー上の構成済み EAP-TTLS。お使いの RADIUS サーバーのドキュメントを参照してください。
RADIUS サーバー上の構成済みユーザー。お使いの RADIUS サーバーのドキュメントを参照してください。
概要とトポロジー
OAC は、エンドポイント コンピューター(デスクトップ、ラップトップ、タブレット)や対応する無線デバイス上で動作するネットワーク ソフトウェアです。OAC は、セキュアな無線 LAN アクセスに必要な EAP に完全対応しています。
このトポロジーでは、OAC は 802.1X 対応のスイッチと RADIUS サーバーとともに導入されます。スイッチは、ネットワークセキュリティアーキテクチャにおける強化ポイントとして機能します。このトポロジーの役割:
承認されたユーザーのみが接続できることを確認します。
ログイン資格のプライバシーを維持します。
ワイヤレス リンク上でデータのプライバシーを維持します。
この例では、スイッチ上にサーバー拒否 VLAN を構成しています。この VLAN を使用すると、不正なログイン資格を入力したユーザーが誤ってロックアウトされるのを防ぐことができます。これらのユーザーには、制限された LAN アクセスを付与できます。
ただし、このフォールバック構成では、OAC サプリカントと RADIUS サーバーが EAP-TTLS が使用されているため、複雑になっています。EAP-TTLSは、サーバーとエンドデバイスの間にセキュアな暗号化トンネルを作り、認証プロセスを完了させます。ユーザーが不正なログイン資格を入力すると、RADIUS サーバーはこのトンネルを介して EAP 失敗メッセージをクライアントに直接送信します。EAP失敗メッセージにより、クライアントが認証手順を再開するため、スイッチの802.1X認証プロセスは、サーバー拒否VLANを使用してスイッチとの間に確立されたセッションを破棄します。以下を構成することで、是正のための接続を継続できます。
eapol-block— サーバー拒否 VLAN に属するように構成された 802.1X インターフェイス上で EAPoL ブロックタイマーを有効にします。ブロックタイマーにより、認証ポートのアクセスエンティティは、クライアントからのEAP開始メッセージを無視して、認証手順の再開を試みるようになります。
注:EAPoL ブロック タイマーは、802.1X インターフェイスで構成された許容再試行回数(retries オプションを使用)を使い切った後にのみトリガーされます。retries を構成して、スイッチが最初に失敗した後、ポートの認証を試みる回数を指定できます。デフォルトでは 3 回の再試行を行います。
block-interval— EAPoL ブロック タイマーが EAP 開始メッセージを無視し続ける時間を構成します。ブロック間隔を構成しない場合の、EAPoL ブロック タイマーのデフォルトは 120 秒です。
802.1X インターフェイスがクライアントからの EAP 開始メッセージを無視すると、スイッチは、サーバー拒否 VLAN を通じて確立された既存の是正セッションが開いたままになることを許可します。
これらの構成オプションは、シングル、シングルセキュア、マルチサプリカントの認証モードに適用されます。この例では、802.1Xインターフェイスが単一のサプリカントモードで構成されています。
図 3 は OACエンドデバイスをRADIUSサーバーに接続するEXシリーズスイッチを表示しており、ネットワークエンティティの接続に使用されているプロトコルが示されています。
この図は、QFX5100 スイッチにも適用されます。
トポロジー
表 4 は、この OAC 導入のコンポーネントを次のように説明しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX シリーズ スイッチ |
VLAN |
default server-reject-vlan: VLAN名は remedial で、VLAN IDは 700 です |
802.1X インターフェイス |
ge-0/0/8 |
OAC サプリカント |
EAP-TTLS |
1台のRADIUS認証サーバー |
EAP-TTLS |
設定
手順
CLIクイック構成
EAP-TTLS および OAC サプリカントのフォールバック オプションをすばやく構成するには、以下のコマンドをコピーしてスイッチのターミナル ウィンドウに貼り付けます。
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
ステップバイステップでの手順
EAP-TTLS および OAC サプリカントのフォールバック オプションを構成するには:
この例では、スイッチには 1 つのサーバー拒否 VLAN しかありません。そのため、構成で server-reject-vlan の後に eapol-block と block-interval が直接指定されています。ただし、スイッチ上で複数の VLAN を構成している場合は、どの VLAN を変更するのかを示すために、server-reject-vlan の直後に VLAN 名または VLAN ID を含める必要があります。
不正なログイン資格を入力したユーザーの LAN アクセスを制限するために、サーバー拒否 VLAN として機能する VLAN を構成します。
[edit] user@switch# set vlans remedial vlan-id 700
不正なログインがあった場合、サーバー拒否 VLAN に誘導する前に、クライアントにユーザー名とパスワードの入力を求める回数を構成します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
不正なログインに対するフォールバックとしてサーバー拒否 VLAN を使用するように 802.1X オーセンティケータ インターフェースを構成します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
サーバー拒否VLANに属するように構成された802.1Xインターフェイス上でEAPoLブロックタイマーを有効にします。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
EAPoL ブロックが有効であり続ける時間を構成します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
結果
構成の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
検証
構成とフォールバックオプションが正しく動作していることを確認するために、以下のタスクを実行します。
802.1X インターフェイスの構成を確認する
目的
802.1X インターフェイスに目的のオプションが構成されていることを確認します。
対処
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
意味
show dot1x ge-0/0/8 detail コマンドの出力は、ge-0/0/8 インターフェイスが Authenticated 状態にあり、remedial VLAN を使用していることを示しています。
802.1X認証の監視
目的
このトピックは、J-Webアプリケーション パッケージにのみ適用されます。
監視機能を使って、認証されたユーザーと認証に失敗したユーザーの詳細を表示します。
対処
J-Webインターフェイスで認証の詳細を表示するには、Monitoring > Security > 802.1X を選択します。
CLIで認証の詳細を表示するには、以下のコマンドを入力します。
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
意味
表示される内容は以下の通りです。
認証されたユーザーのリスト。
接続しているユーザーの数。
認証に失敗したユーザーのリスト。
また、詳細を表示するインターフェイスを指定することもできます。
関連項目
802.1X認証の検証
目的
サプリカントが、802.1X認証に設定されたインターフェイスを使用して、スイッチ上のインターフェイスで認証されていることを検証し、使用されている認証方法を表示します。
対処
802.1Xに設定されたインターフェイスに関する詳細情報を表示します(ここでは、インターフェイスはge-0/0/16です)。
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds意味
show dot1x interface detailコマンドからのサンプル出力では、Number of connected supplicantsは1になっています。認証済みで現在LANに接続されているサプリカントは、RADIUSサーバーでuser5として認知されており、MACアドレス00:30:48:8C:66:BDを持っています。サプリカントは、出力にあるRadiusで示されているように、RADIUS認証と呼ばれる802.1Xの認証方法で認証されています。RADIUS認証が使用されると、サプリカントがRADIUSサーバーで設定され、RADIUSサーバーはこれをスイッチに伝え、スイッチはサプリカントが接続されているインターフェイスでLANアクセスを開きます。また、このサンプル出力は、サプリカントがVLANv200に接続されていることも示しています。
RADIUS認証に加えて、EXシリーズスイッチでサポートされている他の802.1X認証方法は以下の通りです。
Guest VLAN—応答しないホストには、Gust-VLANアクセスが付与されます。
MAC Radius—応答しないホストは、MACアドレスに基づいて認証されます。MACアドレスが、RADIUSサーバーで許可されるよう設定されると、RADIUSサーバーは、MACアドレスが許可されたアドレスであることをスイッチに通知し、スイッチは接続されているインターフェイス上の応答していないホストにLANアクセスを許可します。
サーバー障害時の拒否—RADIUSサーバーがタイムアウトすると、すべてのサプリカントがLANへのアクセスを拒否され、サプリカントのトラフィックがインターフェイスを通過できなくなります。これはデフォルトです。
サーバー障害時の許可—RADIUSサーバーが利用できない場合、サプリカントは、RADIUSサーバーによって正常に認証されているかのように、引き続きLANへのアクセスが許可されます。
サーバー障害時の使用キャッシュ—再認証中にRADIUSサーバーがタイムアウトすると、以前に認証されたサプリカントはLANアクセスを許可されますが、新しいサプリカントはLANアクセスを拒否されます。
サーバー障害時のVLAN—RADIUSサーバーがサプリカントを再認証できない場合、サプリカントは指定されたVLANに移動するように設定されます。(VLANはすでにスイッチ上に存在している必要があります。)
関連項目
EXシリーズスイッチでのエンドデバイスの認証のトラブルシューティング
問題点
説明
静的なMACアドレスを使用して構成されたエンドデバイスは、clear dot1x interfaceコマンドを実行して、学習したすべてのMACアドレスをクリアした後、スイッチへの接続を失います。
MACアドレスをクリアする前に:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
MACアドレスをクリアするには:
user@switch> clear dot1x interface
MACアドレスをクリアした後:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
認証バイパスリストにエンドデバイスが含まれていないことに注意してください。
原因
静的なMACアドレスは、インターフェイス上で学習した他のMACアドレスと同じように扱われます。clear dot1x interfaceコマンドが実行されると、静的MACバイパスリスト(除外リストとしても知られる)を含む、インターフェイスから学習したMACアドレスをすべてクリアします。
ソリューション
認証をバイパスするように設定された静的なMACアドレスを持つインターフェイスに対して、clear dot1x interfacesコマンドを実行する場合は、静的なMACアドレスを静的MACバイパスリストに再追加してください。
関連項目
802.1XでサポートされるRADIUS属性とジュニパーネットワークスのベンダー固有属性(VSA)
認証(ネットワークアクセスサーバー)、supplicant(クライアント)、認証サーバーはすべて、802.1X認証(RADIUSサーバー)に関与しています。RADIUSプロトコルは、NASとRadiusサーバー間の通信のための要求/応答メカニズムとして使用されます。リクエストとレスポンスの両方に、タイプ長値(TLV/属性)がゼロまたはそれ以上存在します。
各申請者のアクセスは、802.1X(クライアント)で有効にされている定義済み機能とベンダー固有属性の一連の標準セットを使用することで、制限することができます。Radius Class属性の最大サイズは253バイトであるため、より長い値をサポートするために、属性の中には複数回使用できるものもあります。
RADIUS標準属性とVSAを使用するメリット
加入者の認証、許可、アカウンティングのために外部RADIUSサーバーに接続するためには、RADIUS標準属性が必要です。
VSAを使用することで、加入者管理とサービスサポートに必要な多数の価値ある機能を実装することができ、RADIUSサーバーの機能がパブリック標準属性から提供するもの以上のものへと拡張されます。
802.1XでサポートされるRadius属性とVSAのリスト
| タイプ | 属性 |
|---|---|
|
1 |
User-Name |
|
11 |
フィルターID |
|
24 |
都道府県 |
|
25 |
クラス |
|
26 |
ベンダー固有 |
|
27 |
セッションタイムアウト |
|
56 |
Egress-VLANID |
|
57 |
Egress-VLAN-Name |
|
64 |
Tunnel-Type |
|
65 |
Tunnel-Medium-Type |
|
81 |
トンネルプライベートグループID |
|
85 |
Acct-Interim-Interval |
|
102 |
EAP-Key-Name |
| ベンダーID | 番号 | ジュニパーVSA | Microsoft VSA | Cisco VSA |
|---|---|---|---|---|
| 2636 | 48 | Juniperスイッチングフィルター | ||
| 49 | Juniper VoIP VLAN | |||
| 50 | Juniper-CWA-Redirect-URL | |||
| 52 | Juniper-AV-Pair = Port-Bounce |
|||
|
Juniper-AV-Pair = Juniper Ip-Mac-Session-Binding |
||||
|
Juniper-AV-Pair = No-Mac-Binding-Reauth |
||||
|
Juniper-AV-Pair = Supplicant-Mode-Single |
||||
|
Juniper-AV-Pair = Supplicant-Mode-Single-Secure |
||||
|
Juniper-AV-Pair = Retain-Mac-Aged-Session |
||||
| 311 | 16 | MS-MPPE-Send-Key | ||
| 17 | MS-MPPE-Recv-Key | |||
| 9 | 1 |
Cisco-AVPair = "subscriber:command=bounce-host-port" |
||
|
Cisco-AVPair = "subscriber:command=reauthenticate" |
||||
|
Cisco-AVPair = "subscriber:reauthenticate-type=rerun" |
||||
| "subscriber:reauthenticate-type=last" | ||||
| "url-redirect" |
802.1XでサポートされるRADIUS属性
User-Name:
この属性には、検証する必要があるユーザーの名前が表示されます。利用できる場合には、この属性を送信するにあたりAccess-Requestパケットを使用する必要があります。この属性のRADIUSタイプは1です。
Filter-Id:
RADIUSサーバーでは、ユーザーポリシーをファイアウォールフィルターの対象にすることができます。その後、RADIUSサーバーを使用して、認証リクエストを送信した各ユーザーに適用されるファイアウォールフィルターを指定することができます。各スイッチにファイアウォールフィルターを設定する必要があります。
You must set up firewall filter on the local switch in order to apply filter centrally from the RADIUS server.[root@freeradius]# cd /usr/local/pool/raddb vi users
各関連ユーザーに対してフィルターを追加します。
Filter-Id = Filter1
状態:
String属性を使用することで、デバイスとRADIUSサーバー間で状態に関する情報を維持できます。この属性のRADIUSタイプは24です。
Egress-VLANID:
このポートで許可されたIEEE 802 Egress VLANIDは、Egress-VLANID属性で表されます。またこの属性は、VLANIDに加えてタグ付けされたフレームまたはタグ付けされていないフレームでもVLANIDを許可するかどうかも指定します。Egress-VLANID属性は、In RFC 4675で定義されます。
Access-Request、Access-Accept、CoA-RequestパケットからのEgress-VLANID属性には、複数の値が含まれている場合があります。Access-Challenge、Access-Reject、Disconnect-Request、Disconnect-ACK、Disconnect-NAK、CoA-ACK、CoA-NAKにこの特徴を含めることはできません。すべての属性は、ポートの許可されたegress VLANのリストに、提供されたVLANを追加します。
VLAN上のフレームがタグ付けされている(0x31)か、タグ付けされていない(0x31)場合、長さが1オクテットであるTag Indicationフィールドにその状態が示されます。VLANIDは12ビット長で、VLAN VID値が含まれます。
Egress-VLAN-IDの場合:
0x31 = tagged 0x32 = untagged
以下のRADIUSプロファイルの例では、タグ付けされたVLANが1つと、タグ付けされていないVLANが1つ含まれています。
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Egress-VLAN-Name:
Egress-VLAN-Nameは、このポートで許可されるVLANを表しています。Egress-VLANID属性に類似していますが、定義済みVLAN-IDあるいは周知のVLAN-IDを使用する代わりに、VLAN名を使用してシステム内のVLANを識別します。RFC 4675には、Egress-VLAN-Name属性の定義が含まれています。
VLAN名は、2つの部分からなるEgress-VLAN-Name属性の2番目の部分であり、このポートのVLAN上のフレームをタグ付け形式またはタグなし形式のどちらで表示するのかも指定します。
Egress-VLAN-Nameの場合:1 = taged、2 = untaged
The example below shows that VLAN 1vlan-2 is tagged, while VLAN 2vlan-3 is not.001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tunnel-Type:
この属性は、現在使用中のトンネリングプロトコルか、使用される予定のトンネリングプロトコルを指定します(トンネルイニシエータの場合)(トンネルターミネーターの場合)。RFC 2868は、Tunnel-Type属性を指定します。この属性のRADIUSタイプは64です。
Tunnel-Private-Group-Id:
Tunnel-Medium-Type属性は、セッションのVLAN IDまたはNAMEを表示します。デバイスは、RADIUSからTunnel-Private-Group-ID属性用の値を取得した後、受信した文字列がVLAN名かIDであるかを検証し、デバイスにVLANが設定されているかどうかを確認します。
VLANが設定されている場合、そのVLANにクライアントポートが追加されます。設定されていない場合はVLAN検証に失敗するため、クライアントは許可されず、保留状態が維持されます。
この属性のRADIUSタイプは、RFC 2868に従って81です。
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Acct-Interim-Interval:
Acct-Interim-Interval属性の値は、特定のセッションの仮更新の各送信間の時間間隔を秒単位で表しています。最後に処理された更新メッセージから経過した秒数が、この属性の値となります。
管理者は、RADIUSクライアント上でローカルに最小値を設定することもできますが、設定すると、この値がAccess-Acceptパケットで検出されたAcct-Interim-Interval値よりも常に優先されます。この属性のRADIUSタイプは85です。
ジュニパーネットワークスのVSA
Juniper-Switching-Filter:
RADIUSサーバー上のジュニパー辞書にあるJuniper-Switching-Filter属性を使用することで、簡単なフィルター条件を指定することができます。指定後は、新しいユーザーが正常に認証されるたびに、これらのフィルターがスイッチに配信されます。
ユーザー認証にRADIUSサーバーを使用するスイッチでは、スイッチ固有の設定をしなくても、このフィルターが自動的に構築され、適用されます。RADIUSサーバーに1つ以上の一致条件、アクション、ユーザーの関連付けを入力して、Juniper-Switching-Filterプロパティを設定します。
長いswitching-filterの場合は、一致条件の最大数が20個、最大合計文字数が4000文字となるJuniper-switching-filter属性の複数のインスタンスを使用してください。radius属性の最大長は253文字であるため、「Juniper-switching-filter」属性の各行を253文字未満にする必要があります。
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
以下のフィルター一致条件がサポートされています。
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority · Forwarding-Class
i) RADIUSサーバーにジュニパー辞書が読み込まれており、フィルタリング属性のJuniper-Switching-Filter(属性ID:48)が含まれていることを確認します。
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) 一致条件とアクションを入力します。
[root@freeradius]# cd /usr/local/etc/raddb vi users
関連ユーザーごとにJuniper-Switching-Filter属性を追加します。宛先MACに基づいてアクセスを拒否または許可するには、以下を使用します
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
または
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
宛先IPアドレスに基づいてアクセスを拒否または許可するには、以下を使用します
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
または
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
異なる一致とアクションを持つ複数のフィルターを送信するには、以下を使用します
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
または
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
宛先MACアドレスとIPプロトコルに基づいて、パケット損失優先度(PLP)を高に設定するには、以下を使用します
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, forwarding-class high, action loss-priority high"
forwarding-classオプションを有効にするには、スイッチにフォワーディングクラスを設定する必要があります。スイッチに指定されていない場合は、このオプションは使用されません。パケット損失優先度とフォワーディングクラスの両方を指定する必要があります。
Juniper-VoIP-Vlan:
access-acceptメッセージまたはCOAリクエストメッセージにVSA Juniper-VoIP-Vlanを使用して、RADIUSサーバーからVOIP vlanを取得します。この属性の番号は49です。
Juniper-VoIP-Vlan = "voip_vlan"
VoIPでは、スイッチにIP電話を接続し、802.1Xとの互換性のあるIP電話用にIEEE 802.1X認証を設定することができます。
802.1X認証により、イーサネットLANが不正なユーザーアクセスから保護されます。VoIPとして知られるプロトコルが、パケット交換ネットワークを介して音声を送信するために使用されます。音声通話を送信するために、VoIPではアナログ電話回線ではなく、ネットワーク接続を使用します。802.1XでVoIPを使用する場合、RADIUSサーバーが電話のIDを確認し、Link Layer Discovery Protocol-Media Endpoint Discovery(LLDP-MED)が電話にclass-of-service(CoS)パラメータを提供します。
Juniper-CWA-Redirect:
ジュニパーRADIUS辞書で番号が50の属性であるJuniper-CWA-Redirect VSAを使用することで、AAAサーバーでリダイレクトURLを一元的に設定できます。動的ファイアウォールフィルターとURLは両方とも、AAAサーバーからの同じRADIUS Access-Acceptメッセージでスイッチに配信されます。バックアップ認証メカニズムとして、セントラルWeb認証(CWA)がホストのWebブラウザをセントラルWeb認証サーバーへとリダイレクトします。ユーザーは、CWAサーバーのWebインターフェイスにユーザー名とパスワードを入力できます。CWAサーバーが認証情報を受け入れると、ユーザーは認証され、ネットワークへのアクセスが付与されます。
ホストがMAC RADIUS認証に失敗した後には、セントラルWeb認証が使用されます。スイッチは認証として機能し、動的ファイアウォールフィルターとセントラルWeb認証用のリダイレクトURLが含まれるAAAサーバーからRADIUS Access-Acceptメッセージを受信します。
セントラルWeb認証手順を有効にするためには、リダイレクトURLと動的ファイアウォールフィルターの両方が存在する必要があります。セントラルWeb認証にJuniper-Switching-Filter VSAを使用するには、フィルター条件をAAAサーバー上で直接設定する必要があります。フィルターには、CWAサーバーの宛先IPアドレスとアクション許可を一致させるための条件を含める必要があります。
たとえば、以下のように表示されます。
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
リダイレクトURLでは、スイッチはDNSクエリを解決しません。CWAサーバーの宛先IPアドレスを有効にするには、Juniper-Switching-Filterプロパティを設定する必要があります。
Juniper-AV-Pair:
Juniper-AV-Pair属性は、ジュニパーネットワークスのベンダー固有属性(VSA)です。加入者の管理とサービスのサポートに必要となる多数の重要な機能を提供するために、パブリック標準属性が提供する機能以上のものを提供して、RADIUSサーバーの機能を強化するために使用されます。
i) Port-Bounce:
CoA bounce host portコマンドを使用すると、セッションが終了し、ポートがバウンスされます(リンクダウンイベントとそれに続くリンクアップイベントが開始されます)。リクエストは、以下に示すVSAが含まれる典型的なCoA-Requestメッセージでradiusサーバーから送信されます。
Juniper-AV-Pair = "Port-Bounce".
このコマンドはセッション重視型であるため、「セッション識別」セクションにリストされているセッション識別属性を1つ以上必要とします。セッションが見つからない場合、デバイスはerror-code属性が「Session Context Not Found」になったCoA-NAKメッセージを送信します。
デバイスは、ホスティングポートを4秒間シャットダウンしてから、再度有効にし(ポートバウンス)、セッションが見つかった場合にはCoA-ACKを返します。
ii) Ip-Mac-Session-Binding:
これは、デバイスのMACアドレスが古くなっており、再学習する必要がある場合に、そのデバイスの認証セッションが終了しないようにするために使用されます。access-acceptまたはCOAリクエストメッセージで、VSA Juniper AVペアからこの属性値を受け取ります。
IP-MACアドレスバインディングに基づいて認証セッションを維持するために、以下の属性-値ペア両方を使用してRADIUSサーバーを設定します。
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
これは、デバイスのMACアドレスが古くなったときに、クライアントの再認証をブロックし、認証セッションが終了しないようにするために使用されます。このプロパティ値は、access-acceptまたはCOAリクエストメッセージで、VSA Juniper AVペアから送信されます。
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Supplicant-Mode-Single:
The device switches from the current set mode to single in response to receiving this attribute-value from a VSA Juniper-AV-Pair on an access-accept or COA request message.Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Supplicant-Mode-Single-Secure:
デバイスは、access-acceptまたはCOAリクエストメッセージでVSA Juniper-AV-Pairからこの属性値を受信すると、現在の設定モードからsingle-secureへと切り替わります。
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retain-Mac-Aged-Session:
If this attribute-value is received from a VSA Juniper-AV-Pair on an access-accept message for an 802.11X client, the client stays active even if the mac has aged out, and the mac is re-learned.Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-KeyとMS-MPPE-Recv-Key:
These are the MACSEC CAK generation keys together with the EAP key name that are utilised in dynamic CAK scenarios.Cisco-AVPair:
Cisco Systems, IANA private enterprise number 9, uses a single VSA, Cisco-AVPair (26-1). Based on the values it has, this VSA transmits various pieces of information. In some subscriber access networks with a BNG connected to a RADIUS server and a Cisco BroadHop application that serves as the Policy Control and Charging Rules Function (PCRF) server for provisioning services using RADIUS change of authorization (CoA) messages, you can use this VSA in RADIUS messages to activate and deactivate services.BNGからRADIUSメッセージが配信されるときに、アカウンティング、CoA、または認証に対する回答のプロパティを変更することはできません。
i) Cisco-AVPair ="subscriber:command=bounce-host-port"
セッションが終了し、CoA bounce host portコマンドを介してポートがバウンスされます(リンクダウンイベントとそれに続くリンクアップイベントが開始されます)。リクエストは、以下に示すVSAが含まれる典型的なCoA-RequestメッセージでAAAサーバーから送信されます。
Cisco:Avpair=“subscriber:command=bounce-host-port”
このコマンドはセッション重視型であるため、「セッション識別」セクションにリストされているセッション識別属性を1つ以上必要とします。セッションが見つからない場合、デバイスはerror-code属性が「Session Context Not Found」になったCoA-NAKメッセージを送信します。デバイスは、ホスティングポートを4秒間シャットダウンしてから、再度有効にし(ポートバウンス)、セッションが見つかった場合にはCoA-ACKを返します。
ii) Cisco-AVPair Reauthenticateコマンド
セッション認証を開始するために、AAAサーバーは、以下のVSAが含まれる標準のCoA-Requestメッセージを送信します。
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-typeは、CoA再認証リクエストが、セッションで最後に成功した認証方法を使用するか、あるいは認証プロセスを完全に再実行するかどうかを定義します。
再認証を発生させるには、"subscriber:command=reauthenticate"が存在する必要があります。デフォルトのアクションでは、「subscriber:reauthenticate-type」が指定されていない場合、セッションに使用された以前の認証方法を繰り返します。メソッドが再認証に成功すると、以前のすべての認証データが、新しく再認証された認証データに置き換えられます。
「subscriber:command=reauthenticate」も存在する場合にのみ、「subscriber:reauthenticate-type」が有効になります。VSAが別のCoAコマンドに含まれている場合は無視されます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。