例:会議室に802.1Xを設定し、EXシリーズスイッチ上の企業訪問者にインターネットアクセスを提供する
EXシリーズスイッチの802.1Xは、RADIUSデータベースに認証情報を持たないユーザーにLANアクセスを提供します。ゲストと呼ばれるこれらのユーザーは認証され、通常はインターネットへのアクセスが提供されます。
この例では、ゲスト VLAN を作成し、それに対して 802.1X 認証を構成する方法を説明します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EX シリーズ スイッチの Junos OS リリース 9.0 以降
ポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1X をサポートする 1 台の RADIUS 認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の認証情報を含みます。
ゲストVLAN認証を設定する前に、以下が必要であることを確認してください。
スイッチの初期設定を実行しました。EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。スイッチの基本的なブリッジングとVLANの設定について説明したドキュメントを参照してください。ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチを使用している場合は 、 例: ELS をサポート する EX シリーズ スイッチの基本的なブリッジングと VLAN の設定または 例: スイッチで基本的なブリッジングとVLANを設定する。その他のすべてのスイッチについては、 例: EXシリーズスイッチの基本的なブリッジングとVLANを設定します。
注:ELSの詳細については、以下を参照してください。拡張レイヤー 2 ソフトウェア CLI の使用
概要とトポロジー
IEEE 802.1Xポートベースのネットワークアクセスコントロール(PNAC)の一部として、ゲストVLANの認証を設定することで、VLAN認証グループに属していないサプリカントへのネットワークアクセスを制限することができます。通常、ゲスト VLAN アクセスは、企業サイトへの訪問者へのインターネット アクセスを提供するために使用されます。ただし、ゲスト VLAN 機能を使用して、企業 LAN で 802.1X 認証に失敗したサプリカントに限られたリソースを備えた VLAN へのアクセスを提供することもできます。
この図は、QFX5100スイッチにも適用されます。
トポロジ
図 1 は、インターフェイス ge-0/0/1 でスイッチに接続された会議室を示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ、24ギガビットイーサネットインターフェイス: 8 個の PoE インターフェイス(ge-0/0/0 ~ ge-0/0/7)と 16 個の非 PoE インターフェイス(ge-0/0/8 ~ ge-0/0/23) |
VLAN 名とタグ ID |
salesタグ 100supportタグ 200 guest-vlanタグ 300 |
1台のRADIUSサーバー |
インターフェイスを介してスイッチに接続されたバックエンドデータベース ge-0/0/10 |
この例では、アクセス インターフェイスが会議室で LAN 接続を提供しています ge-0/0/1 。このアクセス インターフェイスを設定して、企業 VLAN で認証されていない会議室の訪問者に LAN 接続を提供します。
802.1X認証を含むゲストVLANの設定
手順
CLI クイックコンフィギュレーション
802.1X認証でゲストVLANを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
手順
EXシリーズスイッチで802.1X認証を含むゲストVLANを設定するには:
ゲスト VLAN の VLAN ID を設定します。
[edit] user@switch# set vlans guest-vlan vlan-id 300
プロトコルの下でゲストVLANを dot1x 設定します。
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
結果
設定の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ゲスト VLAN が設定されていることを確認します。
目的
ゲスト VLAN が作成され、インターフェイスが認証に失敗し、ゲスト VLAN に移動されたことを確認します。
ELSをサポートするEXシリーズ向けJunos OSを実行しているスイッチでは、 コマンドの show vlans 出力には追加情報が含まれます。ご使用のスイッチが ELS をサポートするソフトウェアを実行している場合は、 vlan を表示を参照してください。ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
対処
動作モードコマンドを発行します。
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
コマンドの出力は、show vlansVLAN の名前を、 VLAN ID を として300表示しますguest-vlan。
コマンドの show dot1x interface ge-0/0/1.0 detail 出力には フィールドが Guest VLAN membership 表示され、このインターフェイスのサプリカントが 802.1X 認証に失敗し、 に guest-vlan渡されたことを示しています。