カラーレスポートへのダイナミックVLAN割り当て
一般に、企業にはさまざまなユーザーとエンドポイントが存在するため、ポリシーインフラストラクチャで対処する必要のあるユースケースは複数あります。ポリシー インフラストラクチャでは、 サポートされるすべてのユーザー デバイス が、アクセス スイッチ上の任意のポート オン に接続し、デバイスの機能、ユーザーの認証レベル、またはその両方に基づいて認証されるようにする必要があります。
カラーレスポート接続をサポートすべてのデバイスがスイッチポートすべて同じ初期設定を持つため、どのデバイスにも接続できません。初期設定では、デバイスまたはユーザーの認証とプロファイルに使用されるデフォルトVLANにデバイスを配置します。無色ポートの概念は、VLAN 割り当てのデバイス プロファイリングに依存しています。ポートに接続されているデバイスのタイプ(AP、IP カメラ、またはプリンタ)に基づいて、NAC サーバ RADIUS 属性を使用して適切な VLAN を返します。
カラーレスポートに動的VLANを割り当てるメリット
-
アクセス スイッチの任意のポートに任意のデバイスを接続できます。
-
企業全体に一貫したセキュリティポリシーを導入します。
概要
ポートで 802.1X 認証が有効になっている場合、スイッチ(オーセンティケータと呼ばれる)は、サプリカントの認証情報が NAC サーバに提示および照合されるまで、エンド デバイス(サプリカントと呼ばれる)との間のすべてのトラフィックをブロックします。NACサーバーは、通常、RADIUSサーバーまたはRADIUSサーバーとして機能するポリシーマネージャーです。サプリカントが認証されると、スイッチはサプリカントに対してポートを開放します。
認証プロセスの一環として、RADIUSサーバーは、スイッチにVLAN割り当てを提供するIETF定義の属性を返すことができます。ポリシー マネージャーを設定して、エンドポイント アクセス ポリシーに基づいて異なる RADIUS 属性をスイッチに返すことができます。スイッチは、受信した RADIUS 属性に応じて、ポートに割り当てられた VLAN を動的に変更します。
Egress-VLAN属性
アクセス ポートとトランク ポートの両方を無色ポートとしてサポートするには、RADIUS 属性に、このポートの VLAN 上のフレームをタグ付き形式またはタグなし形式のどちらで表示するかを指定する必要があります。VLANを動的に割り当て、フレーム形式を指定するために、次の属性がサポートされています。
-
Egress-VLAN-ID
-
Egress-VLAN-Name
Egress-VLAN-IDまたはEgress-VLAN-Name属性には、2つの部分が含まれます。最初の部分は、このポートのVLAN上のフレームをタグ付き形式またはタグなし形式のどちらで表すかを示し、2番目の部分はVLAN名です。
Egress-VLAN-IDの場合:
-
0x31 = タグ付き
-
0x32 = タグなし
以下のRADIUSプロファイルの例では、タグ付けされたVLANが1つと、タグ付けされていないVLANが1つ含まれています。
001094001177 Cleartext-Password := "001094001177“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Egress-VLAN-Nameの場合:
-
1 = タグ付き
-
2 = タグなし
次の例では、VLAN 1vlan-2 がタグ付けされ、VLAN 2vlan-3 はタグ付けされていません。
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
トンネルタイプおよびトンネル中タイプの属性は、Egress-VLAN-IDまたはEgress-VLAN-Nameを使用してプロファイルに含めることが必須です。
スイッチは、「Egress-VLAN-ID」のVLAN割り当てを受信すると、そのVLANがシステムにすでに存在するかどうかを確認します。そうでない場合は、ダイナミック VLAN を作成します。Egress-VLAN-Nameが使用されている場合、VLANはすでにシステムに存在するはずです。
サプリカント モード属性
RADIUS属性を使用して、802.1X認証のサプリカントモードを変更することもできます。ジュニパーネットワークスのベンダー固有属性(VSA)を使用して、サプリカント モードをシングルまたはシングルセキュアに設定できます。
-
Juniper-AV-Pair = Supplicant-Mode-Single
-
Juniper-AV-Pair = Supplicant-Mode-Single-Secure
これらの属性がNACサーバーから受信されると、設定されたサプリカントモードは、セッションの認証後にVSA値と一致するように変更されます。セッションが終了すると、サプリカント モードはNACサーバーからVSAを受信する前にシステムに設定されたモードに戻ります。