Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:802.1 X を会議室に設定して、EX シリーズスイッチ上の企業訪問者にインターネットへのアクセスを提供します。

EX シリーズスイッチの 802.1 x は、資格を持たないユーザーに対し、LAN アクセスを RADIUS データベースに提供します。これらのユーザー (ゲストと呼ばれる) は認証され、通常はインターネットへのアクセスが提供されます。

この例では、ゲスト VLAN を作成し、それに対して 802.1 X 認証を構成する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチが、PAE (ポートアクセスエンティティー) として機能します。オーセンティケータのインターフェイスは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

ゲスト VLAN 認証を構成する前に、以下のものがあることを確認してください。

概要とトポロジー

802.1 X ポートベース IEEE のネットワークアクセスコントロール (PNAC) の一部として、ゲスト VLAN の認証を設定することで、VLAN 認証グループに属さないサプリカントへのネットワークアクセスを制限することができます。一般に、ゲスト VLAN アクセスは、企業のサイトへの訪問者にインターネットへのアクセスを提供するために使用されます。しかし、ゲスト VLAN 機能を使用して、企業 LAN 上で 802.1 X 認証に失敗するサプリカントに限られたリソースで VLAN へのアクセスを提供することもできます。

注:

この図は QFX5100 スイッチにも適用されます。

Topology

図 1は、スイッチに接続された会議室を、インターフェイス ge-0/0/1 で示しています。

図 1: ゲスト VLAN のトポロジの例ゲスト VLAN のトポロジの例
表 1: ゲスト VLAN トポロジのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200 スイッチ、24ギガビットイーサネットインターフェイス: 8 PoE インターフェイス( ~ )および 16 の非PoE ge-0/0/0ge-0/0/7 インターフェイス( ge-0/0/8 ~ ge-0/0/23 )

VLAN 名とタグ Id

sales、タグ100

support、タグ200

guest-vlan、タグ300

1台の RADIUS サーバー

インターフェイスを介してスイッチに接続されたバックエンドデータベース ge-0/0/10

この例では、アクセス インターフェイスが ge-0/0/1 会議室でLAN接続を提供します。このアクセスインターフェイスを構成して、企業の VLAN によって認証されていない会議室のビジターに LAN 接続できるようにします。

802.1 X 認証を含むゲスト VLAN の設定

手順

CLI クイック構成

802.1 X 認証を使用して、ゲスト VLAN を迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

EX シリーズスイッチで 802.1 X 認証を含むゲスト VLAN を構成するには、次のようにします。

  1. ゲスト VLAN の VLAN ID を設定します。

  2. プロトコルの下でゲスト VLAN を dot1x 設定します。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

ゲスト VLAN が構成されていることを確認します。

目的

ゲスト VLAN が作成され、インターフェイスが認証に失敗して、ゲスト VLAN に移動されたことを確認します。

注:

ELS をサポートする EX シリーズの Junos OS を実行するスイッチでは、 show vlansコマンドの出力に追加情報が含まれています。お使いのスイッチが、ELS をサポートするソフトウェアを実行する場合は、「 vlanの表示」を参照してください。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

アクション

運用モードのコマンドを発行します。

コマンドの出力は、 としての VLAN および VLAN ID の名前 show vlansguest-vlan として示します 300

コマンドの出力にはフィールドが表示され、このインターフェイスのサプリカントが show dot1x interface ge-0/0/1.0 detailGuest VLAN membership 802.1X認証に失敗し guest-vlan 、.