例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
Junos OS リリース 14.2 以降、MX シリーズ ルーター上の 802.1X は、RADIUS データベースに資格情報を持たないユーザーに LAN アクセスを提供します。ゲストと呼ばれるこれらのユーザーは認証され、通常はインターネットへのアクセスが提供されます。
この例では、ゲスト VLAN を作成し、802.1X 認証を構成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーター向けのJunos OSリリース14.2以降。
認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
MXシリーズルーターは、認証コードのポートアクセスエンティティ(PAE)として機能します。サプリカント(クライアント)がサーバーで認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。
認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア |
MXシリーズルーター |
VLAN名 |
default |
1台のRADIUSサーバー |
ポート ge-0/0/10でスイッチに接続されている、 10.0.0.100 のアドレスを持つバックエンドデータベース |
この例では、アクセス インターフェイス ge-0/0/1 が会議室の LAN 接続を提供しています。このアクセスインターフェイスを設定して、会議室の訪問者のうち、企業VLANで認証されていない訪問者にLAN接続を提供します。
802.1X認証を含むゲストVLANの設定
手順
CLIクイック構成
802.1X認証でゲストVLANをすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans bridge-domain-name vlan-id 300 set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
ステップバイステップでの手順
MX シリーズ ルーターで 802.1X 認証を含むゲスト VLAN を構成するには:
ゲスト VLAN の VLAN ID を設定します。
[edit] user@switch# set bridge-domains bridge-domain-name vlan-id 300
dot1x プロトコルでゲスト VLAN を設定します。
[edit] user@switch# set protocols dot1x authenticator interface all guest-bridge-domain bridge-domain-name
結果
構成の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-bridge-domain {
bridge-domain-name;
}
}
}
}
}
}
}
bridge-domains {
bridge-domain-name {
vlan-id 300;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ゲスト VLAN が構成されていることを確認する
目的
ゲスト VLAN が作成され、インターフェイスが認証に失敗し、ゲスト VLAN に移動されていることを確認します。
アクション
以下の動作モードコマンドを使用します。
user@switch> show bridge-domain
Instance Bridging Domain Type
Primary Table Active
vs1 dynamic bridge
bridge.0 2
vs1 guest bridge
bridge.0 0
vs1 guest-vlan bridge
bridge.0 0
vs1 vlan_dyn bridge
bridge.0 0
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
show bridge domain コマンドの出力には、VLAN の名前としてブリッジドメイン名が、300 として VLAN ID が表示されています。
show dot1x interface ge-0/0/1.0 detail コマンドの出力には、このインターフェイスのサプリカントが 802.1X 認証に失敗し、ブリッジドメイン名に渡されたことを示すブリッジドメイン名が表示されます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。