インターフェイス ポリシー
802.1X サーバー ポート認証
IEEE 802.1X は、ネットワークポートベースのネットワークアクセス制御のためのIEEE規格です。これは、ネットワーク プロトコルの IEEE 802.1 グループの一部です。LANへの接続を希望するデバイスに認証メカニズムを提供します。
IEEE 802.1Xは、「EAP over LAN」またはEAPOLとして知られるIEEE 802を介した拡張認証プロトコル(EAP)のカプセル化を定義します。
802.1X 認証には、サプリカント、オーセンティケータ、認証サーバーの 3 者が関与します。 サプリカント は、LANへの接続を希望するクライアントデバイス(サーバーなど)です。「サプリカント」という用語は、オーセンティケータに認証情報を提供するクライアント上で実行されているソフトウェアを指すためにも同じ意味で使用されます。 オーセンティケータ は、クライアントとネットワーク間のデータリンクを提供し、イーサネットスイッチやワイヤレスアクセスポイントなど、2つの間のネットワークトラフィックを許可またはブロックできるネットワークデバイスです。また、 認証サーバーは 、通常、ネットワーク アクセスの要求を受信して応答できる信頼できるサーバーであり、接続を許可するかどうか、およびそのクライアントの接続または設定に適用する必要があるさまざまな設定をオーセンティケーターに伝えることができます。認証サーバーは通常、RADIUS および EAP プロトコルをサポートするソフトウェアを実行します。場合によっては、認証サーバーソフトウェアが認証ハードウェアで実行されている可能性があります。
オーセンティケータは、保護されたネットワークのセキュリティ ガードとして機能します。サプリカント(クライアントデバイス)は、サプリカントのIDが検証および承認されるまで、オーセンティケータを介してネットワークの保護された側へのアクセスを許可されません。802.1X ポートベース認証では、サプリカントは最初にオーセンティケータに必要なクレデンシャルを提供する必要があります。これらの認証情報はネットワーク管理者によって事前に指定されており、ユーザー名/パスワードまたは許可されたデジタル証明書が含まれる場合があります。オーセンティケータは、これらの資格情報を認証サーバーに転送して、アクセスを許可するかどうかを決定します。認証サーバーは、認証情報が有効であると判断すると、オーセンティケータに通知します。これにより、サプリカント(クライアントデバイス)はネットワークの保護された側にあるリソースにアクセスできるようになります。
802.1X への拡張により、認証サーバーがポート構成オプションをオーセンティケータに渡すこともできます。例えば、RADIUS値ペア属性を使用してVLAN IDを渡し、サプリカントが複数のVLANの1つにアクセスできるようにすることが挙げられます。
(出典:ウィキペディア、Apstraによって改訂)
インターフェイスポリシー設定のコレクションである802.1Xサーバーポート認証を使用して、ネットワークデバイス上の802.1X構成を管理できます。
802.1Xインターフェイス・ポリシーは、Junos(テクニカル・プレビュー)およびArista EOS物理ネットワーク・デバイスでのみサポートされています。現時点では、Juniper Evolvedはこの機能をサポートしていません。
Junosの802.1Xインターフェイスポリシーは、Juniper Apstraテクノロジープレビュー機能として分類されています。これらの機能は「現状有姿」であり、自発的に使用できます。ジュニパーサポートは、これらの機能の使用時にお客様が経験した問題の解決と、サポートケースに代わってバグレポートの作成を試みます。ただし、ジュニパーは、Tech Preview機能に対する包括的なサポートサービスを提供しない場合があります。
詳細については、 Juniper Apstraテクノロジープレビュー のページを参照するか、 ジュニパーサポートにお問い合わせください。
このポリシー設定を使用すると、ネットワークへのアクセスが提供される前に、ブループリント内の L2 サーバーに RADIUS サーバーへの認証を要求できます。
ネットワークオペレーターは、EAP-TLS、証明書、単純なユーザー名とパスワード、またはMAC認証バイパスを使用してクライアントを認証するように要求する場合があります。
暗号化プロトコル、証明書、EAPのサポートは、RADIUSサプリカントとRADIUSサーバーの間でネゴシエートされ、スイッチによって制御されません。
認証が行われた後、RADIUSサーバーは、オプションで認証時にVLAN ID属性を設定して、サプリカントをリーフ固有のVLAN IDによって認識される定義済みVLANに移動させることができます。
このセクションでは、802.1X サーバー ポート認証と動的 VLAN 割り当てで使用するインターフェイス ポリシーを作成するために必要なタスクについて説明します。
一般的なシナリオ
次に、802.1X ポート認証の一般的なシナリオをいくつか示します。
- デバイスは802.1Xをサポートしており、クレデンシャルとVLANはRadiusで設定されています
- デバイスは 802.1X をサポートしていますが、資格情報が RADIUS で構成されていません
- デバイスは802.1Xをサポートしていませんが、デバイスのMACアドレスはRadiusで設定されています
- デバイスは 802.1X をサポートしておらず、デバイスの MAC アドレスが RADIUS で構成されていません
デバイスは802.1Xをサポートしており、クレデンシャルとVLANはRadiusで設定されています
- デバイス(サプリカント)がポートに接続する
- スイッチ(認証システム)がサプリカントとRADIUS(認証サーバー)間のEAPネゴシエーションを仲介
- 認証時に、RadiusはデバイスのVLAN番号を含むAccess-Acceptメッセージをスイッチに送信します
- スイッチは、指定されたVLANにデバイスポートを追加します
デバイスは 802.1X をサポートしていますが、資格情報が RADIUS で構成されていません
- デバイス(サプリカント)がポートに接続する
- スイッチ(認証システム)がサプリカントとRADIUS(認証サーバー)間のEAPネゴシエーションを仲介
- サプリカントの認証情報が見つからなかった場合、Radiusはアクセス拒否メッセージをスイッチに送信します
- スイッチは、指定されたフォールバック(別名認証失敗/パーキング)VLANにデバイスポートを追加します
デバイスは802.1Xをサポートしていませんが、デバイスのMACアドレスはRadiusで設定されています
- デバイス(非サプリカント)がポートに接続する
- スイッチ(オーセンティケータ)は、802.1Xがサポートされていないことを示すEAP要求IDメッセージに対する応答を受信しません
- スイッチはデバイスのMACアドレスをRADIUS(認証サーバー)に対して認証します
- Radiusは、デバイスのVLAN番号を含むAccess-Acceptメッセージをスイッチに送信します
- スイッチは、指定されたVLANにデバイスポートを追加します
デバイスは 802.1X をサポートしておらず、デバイスの MAC アドレスが RADIUS で構成されていません
- デバイス(非サプリカント)がポートに接続する
- スイッチ(オーセンティケータ)は、802.1Xがサポートされていないことを示すEAP要求IDメッセージに対する応答を受信しません
- スイッチはデバイスのMACアドレスをRADIUS(認証サーバー)に対して認証します
- RadiusでMACアドレスのレコードが見つからない
- Radiusは、VLANなしでアクセス拒否メッセージまたはアクセス承認メッセージをスイッチに送信します
- スイッチは、指定されたフォールバック(別名認証失敗/パーキング)VLANにデバイスポートを追加します
802.1X インターフェイス ポリシーのワークフロー
- 仮想ネットワークの作成(データVLAN、フォールバックVLAN、動的VLANなど)
- AAA サーバーの作成
- 802.1X インターフェイス ポリシーの作成
- ポートとフォールバック VLAN の割り当て
インターフェイスの仮想ネットワークの作成
以下の表に従って、インターフェイスポリシーの仮想ネットワークを作成します。これらの仮想ネットワークは、(リソース プールを使用するのではなく) すべてのリーフ デバイス間で一貫した VLAN ID で作成することをお勧めします。VLAN の作成の詳細については、「 仮想ネットワーク」を参照してください。
パラメーター | の説明 |
---|---|
データ VLAN(ポートに割り当て) | ポートに少なくとも 1 つの VLAN が割り当てられている場合、インターフェイスは 802.1X 構成になります。ポートにVLANが割り当てられていない場合、802.1X設定はインターフェイスにレンダリングされません。インターフェイスはルーテッドポートとして設定されます。 |
動的VLAN(オプション、ポートではなくリーフデバイスに割り当てられます) | RADIUSサーバー自体は、ユーザー(サプリカント)が認証および許可される際に、オプションでVLAN IDを動的に選択します。Apstraソフトウェアは、ダイナミックVLANの割り当てを制御することはできません。この決定は、スイッチの構成ではなく、RADIUSの構成によって行われます。 |
フォールバックVLAN(オプション、ポートではなくリーフデバイスに割り当て) | 認証に失敗した場合、フォールバックVLANをユーザー(サプリカント)に割り当てることができます。フォールバックの場合、VLAN はスイッチ設定によって制御されます。 RADIUSダイナミックVLAN、またはフォールバックVLANがスイッチ上に存在している必要がありますが、そのVLANにエンドポイントをバインドする必要はありません。スイッチ上に存在するだけで済みます。 |
インターフェイス ポリシー用の AAA サーバの作成
AAA サーバーを作成します。詳細については、「 AAA サーバ(ブループリント)」を参照してください。
802.1xインターフェイスポリシーの作成
インターフェイスまたはフォールバック VLAN を割り当てる前に、ポリシーを作成する必要があります。
- ブループリントから、[ステージングされた> ポリシー] >インターフェイス ポリシーに移動し、[インターフェイス ポリシーの作成] をクリックします。
- 名前を入力し、ドロップダウン リストから [802.1x ] を選択します。
- [ポート] コントロールを選択します。
- dot1x enabled - ネットワークへのアクセスを許可される前に、ポートがEAPOLを認証する必要があります。
- アクセス拒否 - ポートを完全にブロックします。ネットワーク アクセスは許可されません。他のパラメーターは必要ありません。例:感染の可能性があるポートを迅速に非アクティブ化するための検疫設定として。
- ホストモードを選択します。
- マルチホスト** (デフォルト) - 最初の認証が成功した後に、ポート上のすべての MAC アドレスの認証を許可します。最初のホストが認証を解除した後、ポート上のすべてのMACが認証解除されます。
- 単一 ホスト - 単一ホストの認証を許可します。他のすべての MAC は許可されません。
- Arista EOSで MAC認証バイパス を有効にする場合は、[ 有効か? ]チェックボックスをオンにします。MAC 認証バイパスをイネーブルにすると、ポートが認証タイムアウト期間内に認証されない場合に、スイッチが MAC アドレスを RADIUS サーバーに送信できるようになります。MAC 認証バイパス(MAB)要求は、クライアントが RADIUS 要求に応答しない場合、またはクライアントが認証に失敗した場合にのみ送信されます。
メモ:
MAC認証バイパスは、802.1Xポート制御とともに設定する必要があります。
注意:MAC認証バイパスの失敗動作は、スイッチベンダーと主要なスイッチモデルによって異なる場合があります。
- 再認証タイムアウト(オプション)を入力して、期間(秒)を設定します。再認証タイムアウトにより、スイッチはタイムアウトが経過した後、すべてのクライアントにネットワークへの再認証を要求します。これにより、MAC認証バイパスも再トリガーされます。
再認証タイムアウトが設定されていない場合、関連する設定はスイッチにレンダリングされません。つまり、スイッチポートはOSベンダーのデフォルトになります。値が設定されている場合、ポートで802.1X再認証が有効になり、時間値が設定されます。
- [ Create ] をクリックしてインターフェイス ポリシーを作成し、テーブル ビューに戻ります。
ポートとフォールバックVNのインターフェイスポリシーへの割り当て
この手順により、インターフェイスまたは動的VLANがインターフェイスポリシーに追加されます。
- ブループリントから、[ ステージングされた> ポリシー] > [インターフェイス ポリシー] に移動し、インターフェイス ポリシー名を選択して、[ Assigned To ] セクションまで下にスクロールします。
- ポートとインターフェイスを割り当てます。リーフ名をクリックしてインターフェイスを展開し、次にポートとインターフェイスをクリックして割り当てます。競合するポリシーに割り当てられているポートを割り当てることはできません。
- フォールバックVNを割り当てます。フォールバック仮想ネットワークの割り当ては、リーフ固有です。フォールバックを複数のリーフ デバイスで再利用するには、フォールバックを各リーフに割り当てる必要があります。リーフに割り当てられている VN は、フォールバック仮想ネットワークとして使用できますが、制限はありません。
- ポリシーが構成されると、それらの設定が適用されるインターフェイスを含む設定が表示されます。
メモ:
AAA、Dot1x、およびDot1xインターフェイス設定がリーフデバイスにプッシュされるようになりました。以下は、Arista EOSスイッチ用にレンダリングされたサンプル設定の一部です。
leaf1#sh running-config section dot1x logging level DOT1X errors ! aaa group server radius AOS_RADIUS_DOT1X server 172.20.191.5 vrf management ! aaa authentication dot1x default group AOS_RADIUS_DOT1X aaa accounting dot1x default start-stop group AOS_RADIUS_DOT1X logging ! interface Ethernet5 switchport trunk allowed vlan 99 switchport mode trunk switchport ipv6 enable ipv6 address auto-config ipv6 nd ra rx accept default-route dot1x pae authenticator dot1x reauthentication dot1x port-control auto dot1x timeout reauth-period 30 ! ..snip.. ! dot1x system-auth-control dot1x dynamic-authorization