カラーレスポートへの動的VLAN割り当て

カラーレスポートの動的VLAN割り当てのメリット

• あらゆるデバイスをアクセス スイッチの任意のポートに接続できるようにします。

• 企業全体に一貫したセキュリティポリシーを展開します。

概要

ポートで 802.1X 認証が有効になっている場合、スイッチ(オーセンティケータと呼ばれる)は、サプリカントの資格情報が NAC サーバー上で提示および照合されるまで、エンド デバイス(サプリカントと呼ばれる)との間のすべてのトラフィックをブロックします。NACサーバーは通常、RADIUSサーバーまたはRADIUSサーバーとして機能するRADIUSサーバーのポリシーマネージャーです。サプリカントが認証されると、スイッチはサプリカントに対してポートを開きます。

認証プロセスの一環として、RADIUSサーバーは、スイッチにVLAN割り当てを提供するIETF定義の属性を返すことができます。エンドポイントのアクセスポリシーに基づいて、異なるRADIUS属性をスイッチに返すようにポリシーマネージャーを設定できます。スイッチは、受信したRADIUS属性に応じて、ポートに割り当てられたVLANを動的に変更します。

Egress-VLAN属性

アクセスポートとトランクポートの両方を無色ポートとしてサポートするには、RADIUS属性で、このポートのVLAN上のフレームをタグ付き形式またはタグなし形式のどちらで表すかを示す必要があります。以下の属性は、VLANの動的な割り当てとフレームフォーマットの指定でサポートされています。

• エグレスVLAN-ID

• Egress-VLAN-Name

Egress-VLAN-IDまたはEgress-VLAN-Name属性には、2つの部分が含まれます。最初の部分は、このポートのVLAN上のフレームをタグ付き形式またはタグなし形式で表すかどうかを示し、2番目の部分はVLAN名です。

Egress-VLAN-IDの場合:

• 0x31 = タグ付き

• 0x32 = タグなし

例えば、以下のRADIUSプロファイルには、タグ付きVLANが1つとタグなしVLANが1つ含まれています。

Egress-VLAN-Nameの場合:

• 1 = タグ付き

• 2 = タグなし

以下の例では、VLAN 1vlan-2にはタグが付けられ、VLAN 2vlan-3にはタグが付けられていません。

注:

Egress-VLAN-IDまたはEgress-VLAN-Nameを使用して、プロファイルにTunnel-Type属性とTunnel-Medium-Type属性を含めることは必須です。

スイッチが「Egress-VLAN-ID」のVLAN割り当てを受信すると、VLANがシステムにすでに存在しているかどうかを確認します。そうでない場合は、動的VLANを作成します。Egress-VLAN-Nameが使用されている場合、VLANはすでにシステム内に存在しているはずです。

サプリカントモード属性

RADIUS属性を使用して、802.1X認証のサプリカントモードを変更することもできます。ジュニパーネットワークスのベンダー固有属性(VSA)を使用して、サプリカントモードをシングルまたはシングルセキュアのいずれかに設定できます。

• ジュニパー-AV-ペア = サプリカントモード-シングル

• ジュニパー-AV-ペア = Supplicant-Mode-Single-Secure

これらの属性がNACサーバーから受信されると、セッションが認証された後に設定されたサプリカントモードがVSA値に一致するように変更されます。セッションが終了すると、サプリカントモードは、NACサーバーからVSAを受信する前にシステムに設定されていたモードに戻ります。クライアントがRADIUSサーバーから動的シングルサプリカント属性を受信すると、そのインターフェイス上の他の認証済みクライアントすべてを削除し、インターフェイスモードを複数のサプリカントからシングルサプリカントに変更します。