インターフェイス ポリシー
802.1X サーバー ポート認証
IEEE 802.1X は、ネットワークポートベースのネットワークアクセスコントロール向けIEEE規格です。これは、IEEE 802.1ネットワークプロトコルの一部です。LANへの接続を希望するデバイスに認証メカニズムを提供します。
IEEE 802.1X は、IEEE 802 を介した EAP(Extensible Authentication Protocol)のカプセル化を定義しています。このカプセル化は、「EAP over LAN」または EAPOL と呼ばれます。
802.1X認証には、サプリカント、認証サーバー、認証サーバーの3つの当事者が含まれます。 サプリカント は、LANに接続したいクライアントデバイス(サーバーなど)です。「サプリカント」という用語は、オーセンティケータに認証情報を提供するクライアント上で実行されているソフトウェアを指すためにも、同じ意味で使用されます。 オーセンティケータ は、クライアントとネットワーク間のデータリンクを提供し、イーサネットスイッチや無線アクセスポイントなどの2つの間のネットワークトラフィックを許可またはブロックできるネットワークデバイスです。通常、 認証サーバー は信頼できるサーバーであり、ネットワークアクセスの要求を受信して応答することができ、接続が許可されるかどうかをオーセンティケータに伝えることができます。また、そのクライアントの接続や設定に適用する必要のあるさまざまな設定も可能です。認証サーバーは通常、RADIUS および EAP プロトコルをサポートするソフトウェアを実行します。場合によっては、認証サーバーソフトウェアがオーセンティケータハードウェアで実行されている場合があります。
オーセンティケータは、保護されたネットワークのセキュリティ ガードとして機能します。サプリカント(クライアントデバイス)は、サプリカントのIDが検証および承認されるまで、オーセンティケータを介してネットワークの保護された側へのアクセスを許可されません。802.1Xポートベースの認証では、サプリカントは最初に必要な資格情報をオーセンティケータに提供する必要があります。これはネットワーク管理者が事前に指定しており、ユーザー名/パスワードまたは許可されるデジタル証明書を含めることができます。オーセンティケータは、これらの認証情報を認証サーバーに転送して、アクセスを許可するかどうかを決定します。認証サーバーが認証情報が有効であると判断した場合、オーセンティケータに通知します。これにより、サプリカント(クライアントデバイス)は、ネットワークの保護された側にあるリソースにアクセスできるようになります。
802.1X への拡張により、認証サーバーがオーセンティケータにポート構成オプションを渡すことも可能です。例えば、RADIUS値ペア属性を使用してVLAN IDを渡し、サプリカントが複数のVLANのいずれか1つにアクセスできるようにします。
(出典:ウィキペディア、Apstra改訂版)
802.1X サーバー ポート認証(インターフェイス ポリシー設定の集まり)を使用して、ネットワーク デバイス上の 802.1X 設定を管理できます。
802.1Xインターフェイスポリシーは、Junos(技術プレビューとして)およびArista EOS物理ネットワークデバイスでのみサポートされています。Juniper Evolvedは、現時点ではこの機能をサポートしていません。
Junosの802.1Xインターフェイスポリシーは、Juniper Apstra技術プレビュー機能に分類されました。これらの機能は「そのまま」で、自由に使用できます。ジュニパーサポートは、これらの機能を使用する際にカスタマーが経験する問題の解決を試み、サポートケースに代わってバグレポートを作成します。ただし、ジュニパーは技術プレビュー機能に対して包括的なサポートサービスを提供していない場合があります。
詳細については、 Juniper Apstra技術プレビュー ページを参照するか、 ジュニパーサポートにお問い合わせください。
このポリシー設定により、ネットワークがネットワークへのアクセスを提供される前に、RADIUSサーバーに認証するためにブループリント内のL2サーバーを必要とすることができます。
ネットワークオペレータは、EAP-TLS、証明書、シンプルなユーザー名とパスワード、またはMAC認証バイパスを使用してクライアントの認証を要求する場合があります。
暗号化プロトコル、証明書、EAPのサポートは、RADIUSサプリカントとRADIUSサーバー間でネゴシエートされ、スイッチによって制御されません。
認証が発生した後、RADIUSサーバーは、認証時にVLAN ID属性を設定して、リーフ固有のVLAN IDで知られる定義されたVLANにサプリカントを移動させることができます。
このセクションでは、802.1X サーバー ポート認証および動的 VLAN 割り当てで使用するインターフェイス ポリシーを作成するために必要なタスクについて説明します。
一般的なシナリオ
次に、802.1X ポート認証の一般的なシナリオをいくつか示します。
- デバイスは 802.1X をサポートし、認証情報と VLAN は Radius で構成されています。
- デバイスは802.1Xをサポートしますが、Radiusでは認証情報は設定されていません
- デバイスは802.1Xをサポートしていませんが、デバイスMACアドレスはRadiusで設定されています
- デバイスは802.1Xをサポートしておらず、デバイスMACアドレスはRadiusで設定されていません
デバイスは 802.1X をサポートし、認証情報と VLAN は Radius で構成されています。
- デバイス(サプリカント)がポートに接続
- スイッチ(オーセンティケータ)がサプリカントとRadius(認証サーバー)間のEAPネゴシエーションを仲介
- 認証時に、Radiusは、デバイスのVLAN番号を含むAccess-Acceptメッセージをスイッチに送信します。
- スイッチは、デバイス ポートを指定された VLAN に追加します。
デバイスは802.1Xをサポートしますが、Radiusでは認証情報は設定されていません
- デバイス(サプリカント)がポートに接続
- スイッチ(オーセンティケータ)がサプリカントとRadius(認証サーバー)間のEAPネゴシエーションを仲介
- サプリカントの資格情報が見つからなかった場合、Radius はアクセス拒否メッセージをスイッチに送信します。
- スイッチは、デバイス ポートを指定されたフォールバック(AuthFail/Parking)VLAN に追加します。
デバイスは802.1Xをサポートしていませんが、デバイスMACアドレスはRadiusで設定されています
- デバイス(非サプリカント)がポートに接続
- スイッチ(オーセンティケータ)は、EAP-Request Identityメッセージへの返信を受け取らず、802.1Xサポートがないことを示す
- スイッチはデバイスの MAC アドレスを Radius に認証します(認証サーバー)
- Radius は、デバイスの VLAN 番号を含む Access-Accept メッセージをスイッチに送信します。
- スイッチは、デバイス ポートを指定された VLAN に追加します。
デバイスは802.1Xをサポートしておらず、デバイスMACアドレスはRadiusで設定されていません
- デバイス(非サプリカント)がポートに接続
- スイッチ(オーセンティケータ)は、EAP-Request Identityメッセージへの返信を受け取らず、802.1Xサポートがないことを示す
- スイッチはデバイスの MAC アドレスを Radius に認証します(認証サーバー)
- RADIUS で MAC アドレスのレコードが見つからなかった
- Radius は、VLAN なしで Access-Reject または Access-Accept メッセージをスイッチに送信します。
- スイッチは、デバイス ポートを指定されたフォールバック(AuthFail/Parking)VLAN に追加します。
802.1Xインターフェイスポリシーワークフロー
- 仮想ネットワークの作成(データ VLAN、フォールバック VLAN、動的 VLAN など)
- AAA サーバーの作成
- 802.1X インターフェイス ポリシーの作成
- ポートとフォールバック VLAN の割り当て
インターフェイスの仮想ネットワークを作成する
以下の表に従って、インターフェイスポリシーの仮想ネットワークを作成します。これらの仮想ネットワークは、(リソースプールを使用するのではなく)すべてのリーフデバイス間で一貫したVLAN IDを使用することをお勧めします。VLAN の作成の詳細については、「 仮想ネットワーク」を参照してください。
パラメーター | の説明 |
---|---|
データ VLAN(ポートに割り当て) | 少なくとも1つのVLANがポートに割り当てられている場合、インターフェイスは802.1X設定になります。ポートに VLAN が割り当てまれていない場合、802.1X 設定はインターフェイスにレンダリングされません。インターフェイスはルーテッドポートとして設定されます。 |
動的 VLAN(オプション、ポートではなくリーフ デバイスに割り当て) | RADIUSサーバー自体は、ユーザー(サプリカント)の認証と承認時に、VLAN IDを動的に選択するオプションがあります。Apstraソフトウェアは、動的VLAN割り当てを制御できません。この決定は、スイッチの設定ではなく、RADIUS 設定によって行われます。 |
フォールバック VLAN(オプション、ポートではなくリーフ デバイスに割り当て) | 認証に失敗した場合、フォールバックVLANをユーザー(サプリカント)に割り当てることができます。フォールバックのために、VLAN はスイッチ設定によって制御されます。 RADIUS 動的 VLAN またはフォールバック VLAN はスイッチ上に存在する必要がありますが、エンドポイントをその VLAN にバインドする必要はありません。スイッチ上にのみ存在する必要があります。 |
インターフェイス ポリシー用 AAA サーバーの作成
AAA サーバーを作成します。詳細については、 AAAサーバー(ブループリント)を参照してください。
802.1x インターフェイス ポリシーの作成
インターフェイスまたはフォールバック VLAN を割り当てる前に、ポリシーを作成する必要があります。
- ブループリントから、 Staged > Polices > インターフェイス ポリシー に移動し、 [ インターフェイス ポリシーの作成] をクリックします。
- 名前を入力し、ドロップダウン から 802.1x を選択します。
- ポートコントロールを選択します。
- dot1x を有効にする - ネットワークへのアクセスを許可される前に、ポートが EAPOL を認証する必要があります。
- アクセスを拒否 - ポートを完全にブロックします。ネットワークアクセスは許可されません。他のパラメータは必要ありません。例:隔離設定として、感染する可能性のあるポートを迅速に無効化します。
- ホスト モードを選択します。
- マルチホスト** (デフォルト)- 最初に認証に成功した後、ポート上のすべてのMACアドレスの認証を許可します。最初のホストの認証解除後、ポート上のすべての MAC の認証が解除されます。
- 単一ホスト - 単一ホストの認証を許可します。他のすべての MAC は許可されません。
- Arista EOSで MAC Authバイパス を有効にする場合は、[ Enabled? ]ボックスをオンにします。MAC認証バイパスを有効にすると、ポートが認証タイムアウト期間内に認証されない場合、スイッチはMACアドレスをRADIUSサーバーに送信できます。MAC Authバイパス(MAB)リクエストは、クライアントがRADIUSリクエストに応答しない場合、またはクライアントが認証に失敗した場合にのみ送信されます。
メモ:
MAC Authバイパスは、802.1Xポート制御とともに設定する必要があります。
注意:MAC認証バイパス障害の動作は、スイッチのベンダーと主要なスイッチモデルで異なる場合があります。
- Re-auth タイムアウト(オプション)と入力して、期間(秒)を設定します。再認証タイムアウトにより、タイムアウトの期限が切れた後、スイッチは任意のクライアントにネットワークへの再認証を要求します。また、MAC Authバイパスを再トリガーします。
再認証タイムアウトが設定されていない場合、関連する設定はスイッチに表示されません。つまり、スイッチポートはOSベンダーのデフォルトがどのようなものであってもです。値が設定されている場合、ポートで802.1X再認証が有効になり、時間値が設定されます。
- [ 作成 ] をクリックしてインターフェイス ポリシーを作成し、テーブル ビューに戻ります。
ポートとフォールバックVNをインターフェイスポリシーに割り当てる
この手順では、インターフェイスポリシーにインターフェイスまたは動的VLANを追加します。
- ブループリントから、[ Staged >ポリサー>インターフェイス ポリシー に移動し、[割り当て] セクションまで下にスクロールします。
- ポートとインターフェイスの割り当て:リーフ名をクリックしてインターフェイスを展開し、ポートとインターフェイスをクリックして割り当てます。競合するポリシーに割り当てられたポートを割り当てることはできません。
- フォールバック VN を割り当てます。フォールバック仮想ネットワークの割り当てはリーフ固有です。複数のリーフデバイスでフォールバックを再利用するには、各リーフに割り当てる必要があります。リーフに割り当てられたVNは、フォールバック仮想ネットワークとして使用されることがありますが、制限はありません。
- ポリシーが設定されると、設定が適用されるインターフェイスも含めて、設定が表示されます。
メモ:
AAA、Dot1x、Dot1x インターフェイス設定がリーフ デバイスにプッシュされるようになりました。以下は、Arista EOSスイッチ用にレンダリングされた設定例の一部です。
leaf1#sh running-config section dot1x logging level DOT1X errors ! aaa group server radius AOS_RADIUS_DOT1X server 172.20.191.5 vrf management ! aaa authentication dot1x default group AOS_RADIUS_DOT1X aaa accounting dot1x default start-stop group AOS_RADIUS_DOT1X logging ! interface Ethernet5 switchport trunk allowed vlan 99 switchport mode trunk switchport ipv6 enable ipv6 address auto-config ipv6 nd ra rx accept default-route dot1x pae authenticator dot1x reauthentication dot1x port-control auto dot1x timeout reauth-period 30 ! ..snip.. ! dot1x system-auth-control dot1x dynamic-authorization