Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 x (拡張 LAN モードの MX シリーズルーター) の概要

Junos os リリース14.2 から開始して、IEEE 802.1 X はネットワークエッジセキュリティーを提供し、不正なユーザーアクセスからイーサネット Lan を保護します。802.1 X、MAC RADIUS、専用ポータルなど、複数の異なる認証方法を使用して、MX シリーズルーターを介してネットワークへのアクセスを制御するためのサポートが実装されています。

この機能は、強化された LAN モードの MX240、MX480、MX960 のルーター上で、次のような、以下の MPCs に対応しています。

  • MPC4E は、2 100 ギガビットイーサネットポートと 8 10 ギガビットイーサネットポートを備えています。

  • MPC4E と 32 10 ギガビットイーサネットポート

  • QSFP + を使用した2ポートの40ギガビットイーサネット MIC を含む MPC3E

  • 含む MPC1E は、41ギガビットイーサネットポートまたは20個の1ギガビットイーサネットポートを備えています。

ルーターの拡張 LAN モードを構成または削除する場合は、ルーターを再起動する必要があります。このオプションnetwork-services lanの設定は、システムが拡張 IP モードで実行されていることを意味します。MX-LAN モードで動作するようにデバイスを構成した場合、このモードで有効または非表示にできるサポートされている構成ステートメントとオペレーショナルショーコマンドのみが CLI インターフェイスに表示されます。構成ファイルで MX-LAN モードでサポートされていないパラメーターがシステムに含まれている場合、サポートされていない属性をコミットすることはできません。サポートされていない設定を削除してから設定をコミットする必要があります。CLI のコミットが成功した後、属性を有効にするにはシステムを再起動する必要があります。同様に、 network-services lanステートメントを削除すると、システムは MX-LAN モードで動作しません。そのため、MX-LAN モード以外でサポートされるすべての設定が表示され、CLI インターフェイスでの定義に使用できるようになっています。設定ファイルに MX-LAN モードでのみサポートされている値が含まれている場合は、構成をコミットする前にこれらの属性を削除する必要があります。CLI のコミットが成功した後、CLI 設定を有効にするには、システムを再起動する必要があります。レイヤー2の次世代 CLI 構成設定は、MX-LAN モードでサポートされています。その結果、CLI 設定の典型的な MX シリーズフォーマットは、MX-LAN モードによって異なる可能性があります。

この機能は、MX シリーズバーチャルシャーシの組み合わせによってサポートされており、拡張 LAN network-services lanモードで機能[edit chassis]します (階層レベルの文を入力することによって)。ポートベースのネットワークアクセスコントロールは、MX-LAN モードと非 MX-LAN モード (これらのルーター上でサポートされる他のネットワークサービスモードを含む) の両方で、MX240、MX480、MX960 ルーターでサポートされます。イーサネットインターフェイス上で IEEE 802.1 x ポートベースのネットワークアクセスコントロール (PNAC) プロトコルを設定するには、 authenticator[edit protocols authentication-access- control]階層レベルでステートメントを構成する必要があります。ネットワークへのアクセスが許可される前に、スイッチに接続しているユーザーが認証されるように、ルーターでの専用ポータル認証を構成することもできます。また、アクセスポリシーとして Junos Pulse アクセスコントロールサービスを設定して、ネットワークに接続し、保護されたネットワークリソースへのアクセスを認証し、そのuac-policyステートメントを使用して、ユーザーのスイッチと通信することができます。

802.1 X 認証の仕組み

802.1X 認証は、オーセンティケータ ポート アクセス エンティティ(スイッチ)を使用して、サプリカント(エンド デバイス)との全トラフィックを、サプリカントの認証情報が提供され、認証サーバー(RADIUS サーバー)で一致するまで、ポートでブロックします。 認証があると、スイッチはトラフィックのブロックを停止し、そのポートをサプリカントにオープンします。

エンド デバイスは、単一モード、シングルセキュアモード、または複数モード認証されます。

  • single:最初のエンド デバイスのみを認証します。後でポートに接続するその他のすべてのエンドデバイスは、それ以上の認証がなくてもフルアクセスが許可されます。エンド デバイスの認証を効果的に「ピグバック」するのです。

  • single-secure—1 つのエンド デバイスでのみポートに接続できます。その他のエンドデバイスは、最初のログアウトが完了するまで接続を許可されません。

  • multiple—複数のエンド デバイスをポートに接続できます。各エンドデバイスは個別に認証されます。

ネットワークアクセスは、Vlan とファイアウォールフィルターを使用してさらに定義できます。これらはどちらもフィルターとして機能し、エンドデバイスのグループを、必要な LAN のエリアと一致させます。たとえば、Vlan を設定して、さまざまな種類の認証失敗に対応するには、以下のようにします。

  • エンドデバイスが 802.1 X 対応であるかどうかを示します。

  • ホストが接続されるスイッチインターフェイスで、MAC RADIUS 認証が設定されているかどうかを示します。

  • RADIUS 認証サーバーが利用できない状態になっているか、RADIUS のアクセス拒否メッセージを送信しているかどうか。RADIUS サーバー障害の設定 (CLI の手順)を参照してください。

802.1 x 機能の概要

注:

MX シリーズルーターで利用可能な 802.1 X 機能は、どのスイッチを使用しているかによって異なります。

ジュニパーネットワークス MX シリーズルーター上の 802.1 x の特長は、以下のとおりです。

  • ゲスト VLAN —ホストが接続されているスイッチ インターフェイス上で MAC RADIUS 認証が設定されていない場合、応答しないエンド デバイスに対して、LAN へのアクセス(通常はインターネットに限られたアクセス)を提供します。また、ゲスト VLAN を使用して、ゲストユーザーに対して LAN への制限されたアクセスを提供することもできます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスへのアクセスを提供します。

  • サーバー拒否 VLAN —802.1X 対応で、誤った認証情報を送信した応答性の高いエンド デバイスに対して、LAN へのアクセスは制限されます(通常はインターネットにアクセスします)。

  • サーバー障害 VLAN—サーバーのタイムアウト中に 802.1 RADIUS X エンド デバイスを使用して、LAN へのアクセス(通常はインターネットへのアクセス)を制限します。

  • 動的 VLAN —認証後のエンド デバイスを VLAN のメンバーに動的に有効にします。

  • プライベート VLAN—PVLAN(プライベート VLAN)のメンバーであるインターフェイス上で 802.1X 認証の設定を有効にします。

  • ユーザー セッションへの動的変更 — スイッチ管理者が既に認証されたセッションを終了できます。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。

  • RADIUSアカウンティング — アカウンティング情報を別のアカウンティング サーバー RADIUS送信します。加入者がログインまたはログアウトしたとき、および加入者がサブスクリプションをアクティブ化または非アクティブ化するたびに、アカウンティング情報がサーバーに送信されます。

802.1 X 認証に関連するサポート対象の機能

802.1 x は、他のセキュリティ技術を置き換えるものではありません。802.1 x は、DHCP スヌーピング、動的 ARP インスペクション (DAI DYNAMIC)、MAC 制限などのポートセキュリティー機能と連携して、なりすましを防止します。

認証に関してサポートされている機能は以下のとおりです。

  • 静的 MAC バイパス:802.1X 対応ではないデバイス(プリンターなど)を認証するためのバイパス メカニズムを提供します。静的な MAC バイパスは、これらのデバイスを 802.1 X 対応ポートに接続し、802.1 X 認証をバイパスします。

  • MAC RADIUS認証:802.1X認証が有効になっているかは独立して、MAC認証を有効または無効にする手段を提供します。

リリース履歴テーブル
リリース
説明
14.2
Junos os リリース14.2 から開始して、IEEE 802.1 X はネットワークエッジセキュリティーを提供し、不正なユーザーアクセスからイーサネット Lan を保護します。802.1 X、MAC RADIUS、専用ポータルなど、複数の異なる認証方法を使用して、MX シリーズルーターを介してネットワークへのアクセスを制御するためのサポートが実装されています。