Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

構文

階層レベル

形容

すべてのインターフェイスまたは特定のインターフェイスのポートベースネットワークアクセス制御にIEEE 802.1X認証を設定します。

オプション

(all | [ interface-names ])

802.1x認証用のインターフェイス名のリストまたはすべてのインターフェイスを設定します。

disable

指定されたインターフェイスまたはすべてのインターフェイスで 802.1X 認証を無効にします。

  • デフォルト: 802.1X 認証はすべてのインターフェイスで無効になっています。

guest-bridge-domain guest-bridge-domain

(MXシリーズのみ)インターフェイスに 802.1X サプリカントが接続されていない場合に、インターフェイスの移動先のブリッジ ドメイン タグ識別子またはゲスト ブリッジ ドメインの名前を指定します。指定するブリッジ ドメインは、デバイス上にすでに存在している必要があります。

guest-gbp-tag

(EXまたはQFXシリーズ)インターフェイスをゲスト VLAN に移動するときに適用する GBP タグを指定します。guest-gbp-tagが設定され、クライアントがゲストVLANで認証される場合、設定されたguest-gbp-tagフィルターもクライアントにインストールされます。guest-vlan vlan-idオプションが設定されている場合にのみ、guest-gbp-tagを設定できます。

  • 範囲: 1 から 65535。

guest-vlan (vlan-id | vlan-name

(EX、QFX、SRX シリーズのみ)VLAN タグ識別子、またはインターフェイスの移動先のゲスト VLAN の名前を指定します。指定する VLAN は、すでにデバイスに存在している必要があります。ゲスト VLANは、802.1X 認証を使用して、通常はインターネットのみに制限されたアクセスを企業ゲストに提供するデバイス上で設定できます。不正な認証を送信したサプリカントには、ゲストVLANは使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送信されます。

ignore-port-bounce

Change of Authorization(CoA)リクエストに含まれているport-bounceコマンドは無視してください。CoAリクエストは、すでに進行中の認証済みユーザーセッションを動的に変更するのに使用されるRADIUSメッセージです。CoAリクエストは、認証、許可、アカウンティング(AAA)サーバーからデバイスに送信され、通常、デバイスプロファイリングに基づいてホストのVLANを変更するために使用されます。プリンターなどのエンド デバイスには、VLAN の変更を検出するメカニズムがないため、新しい VLAN で DHCP アドレスのリースが更新されることはありません。port-bounce コマンドは、認証されたポートでリンク フラップを発生させることで、エンド デバイスに DHCP の再ネゴシエーションを強制的に開始させるために使用します。

  • デフォルト: port-bounce コマンドはデフォルトでサポートされています。 ignore-port-bounce ステートメントを設定しない場合、デバイスはリンクをフラッピングして port-bounce コマンドに応答し、エンド デバイスの DHCP ネゴシエーションを再開します。

maximum-requests number

認証セッションがタイムアウトとなるまでに、EAPoL要求パケットがサプリカントに再送信される最大回数を指定します。

  • 範囲: 1 から 10

  • デフォルト: 2

no-reauthentication | reauthentication seconds

再認証を無効にするか、802.1X 認証セッションがタイムアウトし、クライアントが認証を再試行しなければならないまでの秒数を設定します。

手記:

認証サーバーがクライアントに認証セッションタイムアウトを送信する場合、これは reauthentication ステートメントを使用してローカルに設定された値よりも優先されます。セッション タイムアウト値は、RADIUS Access-Accept メッセージの属性としてサーバーからクライアントに送信されます。

  • 範囲: 1 から 65,535 秒

  • デフォルト: 再認証が有効になっており、クライアントが再度認証を試行できるようになるまで 3600 秒です。

no-tagged-mac-authentication

RADIUS 認証にタグ付き MAC アドレスを許可しないでください。

quiet-period seconds

サプリカントによる認証の試行が失敗した後、認証を再試行するまで、インターフェイスが待機状態のままである秒数を指定します。

  • 範囲: 0 から 65,535 秒

  • デフォルト: 60 秒

redirect-url redirect-url

認証されていないホストをセントラルWeb認証(CWA)サーバーにリダイレクトするURLを指定します。CWAサーバーは、ユーザーがユーザー名とパスワードを入力できるWebポータルを提供します。これらの資格情報がCWAサーバーによって検証されると、ユーザーは認証され、ネットワークへのアクセスが許可されます。

セントラル Web 認証のリダイレクト URL は、AAA サーバで一元的に設定することも、スイッチ上でローカルに設定することもできます。 redirect-url ステートメントを使用して、ホストをスイッチに接続するインターフェイスでローカルにリダイレクト URL を設定します。

セントラルWeb認証プロセスをトリガーするには、リダイレクトURLと動的ファイアウォールフィルターの両方が存在する必要があります。セントラル Web 認証用のリダイレクト URL と動的ファイアウォール フィルターの設定の詳細については、 セントラル Web 認証の設定を参照してください。

手記:

特別なフィルターID属性JNPR_RSVD_FILTER_CWAを使用して動的ファイアウォールフィルターが設定されている場合、CWAリダイレクトURLにはAAAサーバーのIPアドレス( 例:https://10.10.10.10)を含める必要があります。

  • 構文: リダイレクト URL には、HTTP または HTTPS プロトコルを使用し、IP アドレスまたは Web サイト名を含める必要があります。有効なリダイレクト URL 形式の例を次に示します。

    • Http://www.example.com/

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • デフォルト: 無効。リダイレクトURLは、デフォルトではセントラルWeb認証に対して有効になっていません。

request-retry-count number

サプリカントへのEAP要求の送信を再試行するように認証サーバーを設定します。これにより、サプリカントが応答しないことによる認証セッションのタイムアウトを防ぐことができます。再試行回数は、設定された値に基づきます。

  • 範囲: 1 から 10 回の再試行

  • デフォルト: 2 回の再試行

retain-mac-aged-session

MAC アドレスが古くなった後も IEEE 802.1X クライアントをアクティブに保ち、MAC アドレスを再度学習します。

  • デフォルト: 無効。

retries number

最初の失敗の後、デバイスがポートの認証を試行する回数を指定します。制限を超えた場合、ポートは、同じ階層レベルで設定された quiet-period オプションで指定された秒数だけ、認証の再試行を待機します。

  • 範囲: 1 から 10 回の再試行

  • デフォルト: 3 回の再試行

server-fail (bridge-domain bridge-domain | deny | permit | use-cache | vlan-name vlan-name) gbp-tag gbp-tag

RADIUS 認証サーバーが利用できなくなった場合に、デバイスに接続されたエンド デバイスをどのようにサポートするかを指定します。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、サプリカントがRADIUSサーバーを介した認証を最初に試みたことによってもトリガーされる可能性があります。

認証サーバーが使用できない場合にデバイスがエンドデバイスに適用するアクションを指定する必要があります。デバイスは、サプリカントへのアクセスを受け入れるか拒否するか、またはRADIUSタイムアウトが発生する前にサプリカントにすでに許可されたアクセスを維持することができます。また、サプリカントを特定のVLANまたはブリッジドメインに移動させるようにスイッチを設定することもできます。VLANまたはブリッジドメインは、すでにデバイスで設定されている必要があります。

手記:

server-fail ステートメントは、特にデータ トラフィック用です。VoIPタグ付きトラフィックの場合は、 server-fail-voipステートメントを使用します。同じインターフェイスにserver-fail VLANとserver-fail-voip VLANを設定できます。

  • 値: bridge-domain—(MXシリーズのみ)インターフェイス上のサプリカントを、この名前または数字識別子で指定されたブリッジドメインに移動します。このアクションは、インターフェイスに接続する最初のサプリカントである場合にのみ許可されます。認証されたサプリカントがすでに接続されている場合、サプリカントはブリッジドメインに移動されず、認証されません。ブリッジ ドメインは、デバイスにすでに設定されている必要があります。

    deny- サプリカント認証を強制的に失敗させます。インターフェイスを通過するトラフィックはありません。

    permit- サプリカント認証を強制的に成功させます。トラフィックは、RADIUSサーバーによって正常に認証されたかのようにインターフェイスを通過します。

    use-cache- サプリカント認証が成功するように強制するのは、それ以前に正常に認証された場合のみです。このアクションにより、すでに認証されているサプリカントが影響を受けなくなります。

    vlan-name—(EX、QFX、またはSRXシリーズのみ)インターフェイス上のサプリカントを、この名前または数字識別子で指定されたVLANに移動します。このアクションは、インターフェイスに接続する最初のサプリカントである場合にのみ許可されます。認証されたサプリカントがすでに接続されている場合、そのサプリカントはVLANに移動されず、認証されません。VLANは、デバイスですでに設定されている必要があります。

  • デフォルト: RADIUS認証サーバーが利用できなくなった場合、エンドデバイスは認証されず、ネットワークへのアクセスが拒否されます。

  • gbp-tag gbp-tag—(EXまたはQFXシリーズ)サーバにアクセスできないときにインターフェイスに適用するGBPタグを指定します。 gbp-tag gbp-tag を構成し、クライアントが server-fail vlan-name または server-fail permit で認証する場合、構成された gbp-tag gbp-tag フィルターもクライアントにインストールされます。

    このオプションは、[ server-fail vlan-name ] または [ server-fail permit ] オプションが設定されている場合にのみ設定できます。

    範囲: 1 から 65535。
server-fail-voip (deny | permit | use-cache | vlan-name vlan-name)

(EX、QFXシリーズのみ)RADIUS 認証サーバーが利用できなくなった場合に、音声トラフィックを送信する VoIP クライアントをどのようにサポートするかを指定します。サーバー障害時のフォールバックは、ほとんどの場合、再認証中に、設定済みで使用中のRADIUSサーバーにアクセスできなくなったときにトリガーされます。ただし、サーバー障害時のフォールバックは、VoIP クライアントが RADIUS サーバーを介した認証を最初に試みた場合にもトリガーされる可能性があります。

認証サーバーが使用できないときにスイッチが VoIP クライアントに適用するアクションを指定する必要があります。スイッチは、VoIP クライアントへのアクセスを受け入れるか拒否するか、RADIUS タイムアウトが発生する前にクライアントに既に許可されたアクセスを維持することができます。VoIPクライアントを特定のVLANに移動するようにスイッチを構成することもできます。VLANはスイッチ上ですでに設定されている必要があります。

server-fail-voipステートメントは、クライアントから送信されたVoIPタグ付きトラフィックに固有です。VoIPクライアントでは、生成するタグなしトラフィックに対してserver-failステートメントを設定する必要があります。そのため、server-fail-voip ステートメントを設定する場合は、server-fail ステートメントも設定する必要があります。

手記:

server-fail-voip正常にコミットするには、server-fail deny以外のオプションを設定する必要があります。

  • 値: deny- VoIP クライアント認証を強制的に失敗させます。インターフェイスを通過するトラフィックはありません。

    permit- VoIP クライアント認証を強制的に成功させます。トラフィックは、RADIUSサーバーによって正常に認証されたかのようにインターフェイスを通過します。

    use-cache- VoIP クライアント認証を強制的に成功させるのは、以前に正常に認証された場合のみです。このアクションにより、既に認証されているクライアントが影響を受けなくなります。

    vlan-name- インターフェイス上の VoIP クライアントを、この名前または数字識別子で指定された VLAN に移動します。このアクションは、インターフェイスに接続する最初の VoIP クライアントである場合にのみ許可されます。認証された VoIP クライアントがすでに接続されている場合、VoIP クライアントは VLAN に移動されず、認証されません。VLANはスイッチ上ですでに設定されている必要があります。

  • デフォルト: RADIUS 認証サーバーが使用できなくなった場合、音声トラフィックを送信して認証を開始する VoIP クライアントは認証されず、音声トラフィックはドロップされます。

server-timeout seconds

サプリカントからの応答を認証サーバーにリレーするときに、ポートがタイムアウトしてサーバー障害アクションを呼び出す前に、ポートが応答を待つ時間を指定します。

  • 範囲: 1 から 60 秒

  • デフォルト: 30 秒

supplicant (single | single-secure | multiple)

クライアントの認証に使用するMACベースの方法を指定します。

  • 価値観: 次のいずれかを指定します。

    • single:オーセンティケータポートに接続する最初のクライアントのみを認証します。最初のクライアント以降にオーセンティケータ・ポートに接続する他のすべてのクライアントは、さらなる認証なしでポートへのフリーアクセスを許可されます。最初に認証されたクライアントがログアウトすると、クライアントが再度認証されるまで、他のすべてのサプリカントはロックアウトされます。

    • single-secure - 認証ポート に接続するクライアントを 1 つだけ認証します。ホストはスイッチに直接接続されている必要があります。

    • multiple:1つのオーセンティケータポートで複数のクライアントを個別に認証します。ポートごとのクライアント数を設定できます。ポートセキュリティ設定でポートに接続できるデバイスの最大数も設定する場合は、設定された値のうち小さい方の値を使用して、ポートごとに許可されるクライアントの最大数が決定されます。

  • デフォルト: シングル

supplicant-timeout seconds

認証サーバーからサプリカントに要求をリレーするときに、ポートが要求を再送する前に応答を待機する秒数を指定します。

  • 範囲: 1 から 60 秒

  • デフォルト: 30 秒

transmit-period seconds

最初のEAPoL PDUをサプリカントに再送信する前にポートが待機する秒数を指定します。

  • 範囲: 1 から 65,535 秒

  • デフォルト: 30 秒

残りのステートメントについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。

必要な権限レベル

routing—設定でこのステートメントを表示しますrouting-controlー設定にこのステートメントを追加します。

リリース情報

Junos OSリリース9.0で導入されたステートメント。

gbp-tag gbp-tag and guest-gbp-tag guest-gbp-tag EXおよびQFXシリーズスイッチのJunos OSリリース23.4R1で導入されました。

server-reject-vlan EXシリーズスイッチのJunos OSリリース9.3で導入されました。

eapol-block Junos OS リリース 11.2 で導入されました。

authentication-order および redirect-url Junos OSリリース15.1R3で導入されました。

server-fail-voip EXおよびQFXシリーズスイッチのJunos OSリリース14.1X53-D40および15.1R4で導入されました。

ignore-port-bounce Junos OS リリース 17.3R1 で導入されました。

multi-domain Junos OSリリース18.3R1で導入されました。