interface (802.1X)
構文
interface (all | [ interface-names ]) {
authentication-order (captive-portal | dot1x | mac-radius);
disable;
eapol-block {
captive-portal;
mac-radius;
server-fail <block-interval>;
}
guest-bridge-domain guest-bridge-domain;
guest-gbp-tag guest-gbp-tag
guest-vlan guest-vlan (vlan-id | vlan-name;
ignore-port-bounce;
mac-radius {
authentication-protocol {
eap-md5;
eap-peap {
resume;
}
pap;
}
flap-on-disconnect;
restrict;
}
maximum-requests number;
multi-domain {
max-data-session max-data-session;
packet-action (drop-and-log | shutdown);
recovery-timeout seconds;
}
(no-reauthentication | reauthentication seconds );
no-tagged-mac-authentication;
quiet-period seconds;
redirect-url redirect-url;
retries number;
server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag;
server-fail-voip (deny | permit | use-cache | vlan-name vlan-name);
server-reject-bridge-domain | server-reject-vlan identifier {
block-interval block-interval;
eapol-block;
}
server-timeout seconds;
supplicant (single | single-secure | multiple);
supplicant-timeout seconds;
transmit-period seconds;
}
階層レベル
[edit logical-systems name protocols dot1x authenticator], [edit protocols dot1x authenticator]
説明
すべてのインターフェイスまたは特定のインターフェイスのポートベースネットワークアクセス制御にIEEE 802.1X認証を設定します。
オプション
| (all | [ interface-names ]) | 802.1x認証用のインターフェイス名のリストまたはすべてのインターフェイスを設定します。 |
| disable | 指定されたインターフェイスまたはすべてのインターフェイスで 802.1X 認証を無効にします。
|
| guest-bridge-domain guest-bridge-domain | (MXシリーズのみ)インターフェイスに 802.1X サプリカントが接続されていない場合に、インターフェイスの移動先のブリッジ ドメイン タグ識別子またはゲスト ブリッジ ドメインの名前を指定します。指定するブリッジ ドメインは、デバイス上にすでに存在している必要があります。 |
| guest-gbp-tag | (EXまたはQFXシリーズ)インターフェイスをゲスト VLAN に移動するときに適用する GBP タグを指定します。が設定され
|
| guest-vlan (vlan-id | vlan-name | (EX、QFX、SRX シリーズのみ)VLAN タグ識別子、またはインターフェイスの移動先のゲスト VLAN の名前を指定します。指定する VLAN は、すでにデバイスに存在している必要があります。ゲスト VLANは、802.1X 認証を使用して、通常はインターネットのみに制限されたアクセスを企業ゲストに提供するデバイス上で設定できます。不正な認証を送信したサプリカントには、ゲストVLANは使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送信されます。 |
| ignore-port-bounce | Change of Authorization(CoA)リクエストに含まれているport-bounceコマンドは無視してください。CoAリクエストは、すでに進行中の認証済みユーザーセッションを動的に変更するのに使用されるRADIUSメッセージです。CoAリクエストは、認証、許可、アカウンティング(AAA)サーバーからデバイスに送信され、通常、デバイスプロファイリングに基づいてホストのVLANを変更するために使用されます。プリンターなどのエンド デバイスには、VLAN の変更を検出するメカニズムがないため、新しい VLAN で DHCP アドレスのリースが更新されることはありません。port-bounce コマンドは、認証されたポートでリンク フラップを発生させることで、エンド デバイスに DHCP の再ネゴシエーションを強制的に開始させるために使用します。
|
| maximum-requests number | 認証セッションがタイムアウトとなるまでに、EAPoL要求パケットがサプリカントに再送信される最大回数を指定します。
|
| no-reauthentication | reauthentication seconds | 再認証を無効にするか、802.1X 認証セッションがタイムアウトし、クライアントが認証を再試行しなければならないまでの秒数を設定します。
メモ:
認証サーバーが認証セッションのタイムアウトをクライアントに送信した場合、 ステートメントを使用して
|
| no-tagged-mac-authentication | RADIUS 認証にタグ付き MAC アドレスを許可しないでください。 |
| quiet-period seconds | サプリカントによる認証の試行が失敗した後、認証を再試行するまで、インターフェイスが待機状態のままである秒数を指定します。
|
| redirect-url redirect-url | 認証されていないホストをセントラルWeb認証(CWA)サーバーにリダイレクトするURLを指定します。CWAサーバーは、ユーザーがユーザー名とパスワードを入力できるWebポータルを提供します。これらの資格情報がCWAサーバーによって検証されると、ユーザーは認証され、ネットワークへのアクセスが許可されます。 セントラル Web 認証のリダイレクト URL は、AAA サーバで一元的に設定することも、スイッチ上でローカルに設定することもできます。 セントラルWeb認証プロセスをトリガーするには、リダイレクトURLと動的ファイアウォールフィルターの両方が存在する必要があります。セントラル Web 認証用のリダイレクト URL と動的ファイアウォール フィルターの設定の詳細については、 セントラル Web 認証の設定を参照してください。
メモ:
特別なフィルターID属性JNPR_RSVD_FILTER_CWAを使用して動的ファイアウォールフィルターが設定されている場合、CWAリダイレクトURLにはAAAサーバーのIPアドレス( 例:https://10.10.10.10)を含める必要があります。
|
| request-retry-count number | サプリカントへのEAP要求の送信を再試行するように認証サーバーを設定します。これにより、サプリカントが応答しないことによる認証セッションのタイムアウトを防ぐことができます。再試行回数は、設定された値に基づきます。
|
| retries number | 最初の失敗の後、デバイスがポートの認証を試行する回数を指定します。制限を超えた場合、ポートは、同じ階層レベルで設定されたオプションで指定された
|
| server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag | RADIUS 認証サーバーが利用できなくなった場合に、デバイスに接続されたエンド デバイスをどのようにサポートするかを指定します。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、サプリカントがRADIUSサーバーを介した認証を最初に試みたことによってもトリガーされる可能性があります。 認証サーバーが使用できない場合にデバイスがエンドデバイスに適用するアクションを指定する必要があります。デバイスは、サプリカントへのアクセスを受け入れるか拒否するか、またはRADIUSタイムアウトが発生する前にサプリカントにすでに許可されたアクセスを維持することができます。また、サプリカントを特定のVLANまたはブリッジドメインに移動させるようにスイッチを設定することもできます。VLANまたはブリッジドメインは、すでにデバイスで設定されている必要があります。
メモ:
このステートメントは
|
| server-fail-voip (deny | permit | use-cache | vlan-name vlan-name) | (EX、QFXシリーズのみ)RADIUS 認証サーバーが利用できなくなった場合に、音声トラフィックを送信する VoIP クライアントをどのようにサポートするかを指定します。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、VoIP クライアントが RADIUS サーバーを介した認証を最初に試みた場合にもトリガーされる可能性があります。 認証サーバーが使用できないときにスイッチが VoIP クライアントに適用するアクションを指定する必要があります。スイッチは、VoIP クライアントへのアクセスを受け入れるか拒否するか、RADIUS タイムアウトが発生する前にクライアントに既に許可されたアクセスを維持することができます。VoIPクライアントを特定のVLANに移動するようにスイッチを構成することもできます。VLANはスイッチ上ですでに設定されている必要があります。 ステートメントは
メモ:
正常にコミットするには、 以外の
|
| server-timeout seconds | サプリカントからの応答を認証サーバーにリレーするときに、ポートがタイムアウトしてサーバー障害アクションを呼び出す前に、ポートが応答を待つ時間を指定します。
|
| supplicant (single | single-secure | multiple) | クライアントの認証に使用するMACベースの方法を指定します。
|
| supplicant-timeout seconds | 認証サーバーからサプリカントに要求をリレーするときに、ポートが要求を再送する前に応答を待機する秒数を指定します。
|
| transmit-period seconds | 最初のEAPoL PDUをサプリカントに再送信する前にポートが待機する秒数を指定します。
|
残りのステートメントについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。
必要な権限レベル
routing—設定でこのステートメントを表示します。routing-controlー設定にこのステートメントを追加します。
リリース情報
Junos OSリリース9.0で導入されたステートメント。
gbp-tag gbp-tag and guest-gbp-tag guest-gbp-tag EXおよびQFXシリーズスイッチのJunos OSリリース23.4R1で導入されました。
server-reject-vlan EXシリーズスイッチのJunos OSリリース9.3で導入されました。
eapol-block Junos OS リリース 11.2 で導入されました。
authentication-order および redirect-url Junos OS リリース 15.1R3 で導入されました。
server-fail-voip EXおよびQFXシリーズスイッチのJunos OSリリース14.1X53-D40および15.1R4で導入されました。
ignore-port-bounce Junos OS リリース 17.3R1 で導入されました。
multi-domain Junos OSリリース18.3R1で導入されました。