定義済みの認証順序 1 オプションにを設定する方法

複数の認証方法を設定することの利点

• クライアントアクセスを制限する前に複数の認証方法を試すことでネットワークセキュリティを強化し、クライアントの正当性を徹底的に検証します。

• サーバー拒否VLANへのクライアントの不要な配置を減らして、アクセスを許可する別の認証方法を可能にすることで、ユーザーエクスペリエンスを向上させます。

• さまざまなネットワークポリシーや要件に適応する構成可能な認証シーケンスを可能にすることで、ネットワークアクセス制御の柔軟性を高めます。

• クライアントが即座に孤立するのを防ぐことで、ネットワークリソースを最適に使用し、認証プロセスをより効率的に処理できるようにします。

• 再認証のシナリオでも、セキュリティとアクセシビリティのバランスを維持する回復力のある認証ワークフローをサポートします。

概要

dot1x 選択的サーバー拒否 VLAN 機能は、RADIUS サーバーによる認証拒否時のクライアントの処理方法を変更することで、802.1X クライアント認証メカニズムを大幅に強化します。スイッチは、拒否されたクライアントを直ちにサーバー拒否 VLAN に配置するのではなく、MAC RADIUS などの他の設定された認証方法を試みます。このアプローチにより、徹底した検証プロセスが保証され、クライアントは制限的な手段に頼る前に、別の認証パスを介してネットワークにアクセスできるようになる可能性があります。

この機能を利用するには、認証順序とサーバー拒否 VLAN の設定を慎重に行う必要があります。認証順序によって、スイッチがさまざまな方法を試す順序が決まり、クライアント認証の可能性のあるすべての手段が確実に探索されます。たとえば、ネットワークポリシーや要件に応じて、最初に802.1Xを試し、その後にMAC RADIUSを試すように順序を設定できます。この機能を使用するには、インターフェイスで post-auth-order オプションを有効にする必要があります。これにより、クライアントをサーバー拒否 VLAN に配置する前に、スイッチが追加の認証方法を試すようになります。

CLIコマンド set protocols dot1x authenticator interface <INTF_NAME> server-reject-vlan post-auth-order は、この機能の設定の中心となります。このコマンドを実行すると、スイッチは、サーバー拒否 VLAN を適用する前に、設定されたすべての認証方法を指定された順序で試行します。この機能は、同じインターフェイス上のキャプティブポータル設定と互換性がなく、MAC RADIUSを設定する必要があることに注意してください。再認証の際、RADIUS サーバーがクライアントを再度拒否した場合に、クライアントをサーバー拒否 VLAN に直接配置することで、柔軟性とセキュリティのバランスを保つことができるため、セキュリティの抜け穴が生じる可能性を防いでいます。

設定例

Dot1x 選択的サーバー拒否 VLAN 機能を実装するために、以下の設定例を検討してください。802.1XとMAC RADIUSの両方の認証方法をサポートする必要があるインターフェイスがあり、サーバー拒否VLANに配置される前に、クライアントに複数の認証の機会が与えられるようにしたいとします。

インターフェイスでMAC RADIUSとdot1xを設定します。

set protocols dot1x authenticator interface ge-0/0/1 mac-radius set protocols dot1x authenticator interface ge-0/0/1

認証順序 1 オプションにを設定します。

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan post-auth-order

サーバー拒否 VLAN を指定します。

set protocols dot1x authenticator interface ge-0/0/1 server-reject-vlan vlan10

この例では、スイッチは最初に802.1X認証を試みます。RADIUS サーバーがクライアントを拒否した場合、スイッチは MAC RADIUS 認証を試みます。両方の方法が失敗した場合にのみ、クライアントは VLAN 10(サーバー拒否 VLAN)に配置されます。この構成により、柔軟で安全な認証プロセスが保証され、全体的なネットワークユーザーエクスペリエンスが向上します。