このページの内容
例:会議室に802.1Xを設定し、EXシリーズスイッチで企業の訪問者にインターネットアクセスを提供する
EXシリーズスイッチ上の802.1Xは、RADIUSデータベースに認証情報を持たないユーザーにLANアクセスを提供します。ゲスト と呼ばれるこれらのユーザーは認証され、通常はインターネットへのアクセスが提供されます。
この例では、ゲスト VLAN を作成し、それに対して 802.1X 認証を構成する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.0以降
ポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1Xをサポートする1つのRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
ゲスト VLAN 認証を構成する前に、以下を満たしていることを確認してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EXシリーズ スイッチの基本的なブリッジングと VLAN の設定 または 例:スイッチでの基本的なブリッジングと VLAN の設定を参照してください。その他のスイッチについては、「 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定」を参照してください。
注:ELSの詳細については、以下を参照してください: 拡張レイヤー 2 ソフトウェア CLI の使用
概要とトポロジー
802.1Xポートベースのネットワークアクセス制御(PNAC)IEEE一環として、ゲストVLANに認証を設定することで、VLAN認証グループに属していないサプリカントに制限されたネットワークアクセスを提供できます。通常、ゲスト VLAN アクセスは、企業サイトへの訪問者にインターネット アクセスを提供するために使用されます。ただし、ゲスト VLAN 機能を使用して、企業 LAN で 802.1X 認証に失敗したサプリカントに、リソースが限られた VLAN へのアクセスを提供するLAN も可能です。
この図は、QFX5100スイッチにも適用されます。
トポロジー
図1は、インターフェイスge-0/0/1でスイッチに接続された会議室を示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ、24ギガビットイーサネットインターフェイス:8個のPoEインターフェイス(ge-0/0/0 〜 ge-0/0/7)および16個の非PoEインターフェイス(ge-0/0/8 〜 ge-0/0/23) |
VLAN 名とタグ ID |
営業、タグ 100サポート、タグ 200 guest-vlan、タグ 300 |
1台のRADIUSサーバー |
インターフェイスge-0/0/10を介してスイッチに接続されたバックエンドデータベース |
この例では、アクセスインターフェイス ge-0/0/1 が会議室でLAN接続を提供します。このアクセスインターフェイスを設定して、企業VLANによって認証されていない会議室の訪問者にLAN接続を提供します。
802.1X認証を含むゲストVLANの設定
手順
CLIクイックコンフィグレーション
802.1X認証でゲストVLANをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
ステップバイステップの手順
EXシリーズスイッチで802.1X認証を含むゲストVLANを設定するには:
ゲスト VLAN の VLAN ID を設定します。
[edit] user@switch# set vlans guest-vlan vlan-id 300
dot1xプロトコルでゲストVLANを設定します。
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
結果
設定の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
ゲスト VLAN が設定されていることの確認
目的
ゲスト VLAN が作成されており、インターフェイスが認証に失敗してゲスト VLAN に移動したことを確認します。
ELS をサポートする Junos OS for EXシリーズ を実行しているスイッチでは、 show vlans コマンドの出力には追加情報が含まれます。ご使用のスイッチがELSをサポートするソフトウェアを実行している場合は、 showvlansを参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
アクション
動作モード コマンドを発行します。
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
show vlansコマンドの出力には、VLANの名前としてguest-vlan、VLAN IDが300と表示されます。
show dot1x interface ge-0/0/1.0 detailコマンドの出力には、Guest VLAN membership フィールドが表示され、このインターフェイスのサプリカントが 802.1X 認証 に失敗し、guest-vlanに渡されたことを示しています。