拡張LANモードのMXシリーズルーター向け802.1Xの概要
Junos OS リリース 14.2 以降、IEEE 802.1X はネットワーク エッジ セキュリティを提供し、イーサネット LAN を不正なユーザー アクセスから保護します。802.1X、MAC RADIUS、キャプティブポータルなど、複数の異なる認証方法を使用して、MXシリーズルーターを介してネットワークへのアクセスを制御するサポートが実装されています。
この機能は、拡張LANモードのMX240、MX480、およびMX960ルーター上の次のMPCでサポートされています。
2つの100ギガビットイーサネットポートと8つの10ギガビットイーサネットポートを備えたMPC4E
32 個の 10 ギガビット イーサネット ポートを備えた MPC4E
QSFP+搭載の2ポート40ギガビットイーサネットMICを含むMPC3E
40 の 1 ギガビット イーサネット ポートまたは 20 の 1 ギガビット イーサネット ポートを備えた MPC1E
ルーターで拡張 LAN モードを設定または削除する場合は、ルーターを再起動する必要があります。オプションを設定することは、システムが拡張IPモードで実行されていることを意味します。network-services lan MX-LANモードで機能するようにデバイスを設定すると、このモードでの有効化または表示に使用できるサポートされている設定ステートメントと動作showコマンドのみがCLIインターフェイスに表示されます。MX-LANモードでサポートされていないパラメーターがシステム構成ファイルに含まれている場合、それらのサポートされていない属性をコミットすることはできません。サポートされていない設定を削除してから、設定をコミットする必要があります。CLI のコミットが成功した後、属性を有効にするには、システムの再起動が必要です。同様に、 ステートメントを削除する と、システムは MX-LAN モードで実行されません。network-services lan したがって、MX-LAN モード以外でサポートされているすべての設定が表示され、CLI インターフェイスで定義に使用できます。構成ファイルに MX-LAN モードでのみサポートされている設定が含まれている場合、設定をコミットする前に、それらの属性を削除する必要があります。CLI のコミットが成功した後、CLI 設定を有効にするには、システムの再起動が必要になります。レイヤー 2 次世代 CLI の構成設定は、MX-LAN モードでサポートされます。そのため、CLI設定の一般的なMXシリーズ形式は、MX-LANモードで異なる場合があります。
この機能は、拡張LANモードで機能するMXシリーズ仮想シャーシの組み合わせでサポートされます(階層レベルでステートメントを入力することで)。network-services lan[edit chassis] ポートベースのネットワークアクセス制御は、MPCがMX-LANモードと非MX-LANモードの両方にあるMX240、MX480、MX960ルーターでサポートされています(これらのルーター上のMPCでサポートされている他のネットワークサービスモードも使用)。イーサネットインターフェイスでIEEE 802.1xポートベースネットワークアクセス制御(PNAC)プロトコルを設定するには、 階層レベルでステートメントを設定する必要があります。authenticator[edit protocols authentication-access- control] また、ルータでキャプティブ ポータル認証を設定して、スイッチに接続されたユーザがネットワークへのアクセスを許可される前に認証されるようにすることもできます。また、Junos Pulseアクセスコントロールサービスをアクセスポリシーとして設定し、 ステートメントを使用することで 、スイッチに接続されたユーザーの認証と、ネットワークへのアドミッションおよび保護されたネットワークリソースへのアクセスを許可できます。uac-policy
802.1X 認証のしくみ
802.1X 認証は、(スイッチ)を使用して 、(RADIUS サーバー)で サプリカントの認証情報が提示および照合されるまで、ポートでのサプリカント(エンド デバイス)との間のすべてのトラフィックをブロックすることで機能します。Authenticator Port Access EntityAuthentication server 認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開放します。
エンドデバイスは、 モード、 モード、 モードのいずれかで認証されます。singlesingle-securemultiple
single- 最初のエンド デバイスのみを認証します。後からポートに接続する他のすべてのエンド デバイスは、さらなる認証なしで完全なアクセスを許可されます。エンドデバイスの認証に対して、事実上「ピギーバック」します。
single-secure- 1 台のエンド デバイスにのみポートへの接続を許可します。最初のエンド デバイスがログアウトするまで、他のエンド デバイスの接続は許可されません。
multiple- 複数のエンド デバイスがポートに接続できるようになります。各エンド デバイスは個別に認証されます。
ネットワークアクセスは、VLANとファイアウォールフィルターを使用することでさらに定義できます。これらのフィルターはどちらも、エンドデバイスのグループを分離し、必要なLANエリアに一致させるフィルターとして機能します。例えば、VLAN を構成することで、さまざまな認証失敗のカテゴリーを、以下に応じて処理できます。
エンド デバイスが 802.1X に対応しているかどうか。
ホストが接続されているスイッチ インターフェイス上で MAC RADIUS 認証が構成されているかどうか。
RADIUS 認証サーバーが利用できなくなったか、RADIUS アクセス拒否メッセージを送信したかどうか。RADIUS サーバー障害フォールバックを構成する(CLI 手順)を参照してください。
802.1X 機能の概要
MX シリーズ ルーターで使用できる 802.1X 機能は、使用しているスイッチによって異なります。
ジュニパーネットワークスのMXシリーズルーターの802.1X機能は次のとおりです。
ゲスト VLAN - ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が設定されていない場合、802.1X 非対応の応答しないエンド デバイスに LAN への限定アクセス(通常はインターネットのみ)を提供します。また、ゲスト VLAN を使用して、ゲスト ユーザーに LAN への限定アクセスを提供できます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスへのアクセスのみを提供します。
サーバー拒否 VLAN - 802.1X に対応しているが、間違った資格を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
サーバー障害 VLAN - RADIUS サーバーのタイムアウト時に、802.1X エンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
ダイナミック VLAN - 認証後に、エンド デバイスが動的に VLAN のメンバーになることを可能にします。
プライベート VLAN - プライベート VLAN (PVLAN) のメンバーであるインターフェイス上で 802.1X 認証を構成できるようにします。
ユーザー セッションの動的な変更 - スイッチ管理者が既に認証されたセッションを終了できるようにします。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。
RADIUS アカウンティング - RADIUS アカウンティング サーバーにアカウンティング情報を送信します。アカウンティング情報は、契約者がログインまたはログアウトしたとき、および契約者がサブスクリプションを有効化または無効化したときに、サーバーに送信されます。
802.1X 認証に関連するサポートされている機能
802.1X が他のセキュリティ テクノロジに取って代わるものではありません。802.1Xは、DHCPスヌーピング、DAI(Dynamic ARP Inspection)、MAC制限などのポートセキュリティ機能と連動して、スプーフィングを防止します。
認証に関連してサポートされている機能は次のとおりです。
静的 MAC バイパス - 802.1X 非対応のデバイス(プリンターなど)を認証するためのバイパス機構を提供します。静的 MAC バイパスは、これらのデバイスを 802.1X 対応ポートに接続して、802.1X 認証をバイパスします。
MAC RADIUS 認証 - 802.1X 認証が有効かどうかに関係なく、MAC 認証を有効または無効にする手段を提供します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。