例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。802.1X を使用して、ネットワークアクセスの制御を行います。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスにのみ、ネットワークへのアクセスが許可されます。Junos OS リリース 14.2 以降、802.1X 認証および MAC RADIUS 認証のユーザー データベースとして RADIUS サーバーを使用できます。
この例では、RADIUS サーバーを MX シリーズ ルーターに接続し、802.1X 用に構成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーターの場合はJunos OSリリース14.2以降、その他すべてのルーターの場合はJunos OSリリース14.2R3。
認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
MXシリーズルーターは、認証コードのポートアクセスエンティティ(PAE)として機能します。サプリカント(クライアント)がサーバーで認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。
認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア |
MXシリーズルーター |
VLAN名 |
default |
1台のRADIUSサーバー |
ポート ge-0/0/10でスイッチに接続されている、 10.0.0.100 のアドレスを持つバックエンドデータベース |
この例では、RADIUS サーバーを MX シリーズ ルーターのアクセス ポート に接続します。ge-0/0/10 スイッチは認証装置として機能し、サプリカントからRADIUSサーバのユーザデータベースに認証情報を転送します。MX シリーズ ルーターと RADIUS サーバー間の接続を構成するには、サーバーのアドレスを指定し、秘密のパスワードを構成します。この情報は、スイッチのアクセスプロファイルに設定されます。
設定
手順
CLIクイック構成
RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
ステップバイステップでの手順
RADIUS サーバーをスイッチに接続します。
サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
認証順序を設定し、radiusを最初の認証方法にします。
[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントを認証するために試行するサーバー IP アドレスのリストを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
結果
設定の結果の表示:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
スイッチとRADIUSサーバーが正しく接続されていることを確認
目的
RADIUSサーバーが指定したポートでスイッチに接続されていることを確認します。
アクション
RADIUSサーバーに Ping を送信し、スイッチとサーバー間の接続を確認します。
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意味
ICMPエコー要求パケットをスイッチから10.0.0.100のターゲットサーバーに送信し、IPネットワーク上で到達可能かどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。