例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
802.1X は、ポートベースのネットワーク アクセス コントロール(PNAC)の IEEE 規格です。802.1X を使用してネットワーク アクセスを制御します。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスのみがネットワークへのアクセスを許可されます。Junos OSリリース14.2以降では、802.1X認証とMAC RADIUS認証のユーザーデータベースとしてRADIUSサーバーを使用できます。
この例では、RADIUS サーバーを MX シリーズ ルーターに接続し、802.1X 用に構成する方法を説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで動作するMX240、MX480、またはMX960ルーターのJunos OSリリース14.2以降、その他のすべてのルーターに対してJunos OSリリース14.2R3を実行します。
認証コードのポートアクセスエンティティ(PAE)として機能する1台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1X をサポートする 1 台の RADIUS 認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の認証情報を含みます。
サーバーをルーターに接続する前に、以下が必要であることを確認してください。
ルーターで設定された拡張LANモード。
ルーターで基本的なブリッジングとVLAN設定が実行されている。
RADIUS 認証サーバーで構成されたユーザー。
概要とトポロジー
MXシリーズルーターは、認証コードPAE(ポートアクセスエンティティ)として機能します。サプリカント(クライアント)がサーバーによって認証されるまで、すべてのトラフィックをブロックし、コントロールゲートとして機能します。他のすべてのユーザーとデバイスはアクセスを拒否されます。
オーセンティケータ ポートとして機能する MX シリーズ ルーターを検討してください。IPネットワーク上のインターフェイスge-0/0/10を使用してRADIUSサーバーに接続されます。また、ルーターはインターフェイスを使用する会議室、ge-0/0/1を使用する会議室、インターフェイスを使用したプリンター、ge-0/0/20を使用するハブ、ge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介した2つのサプリカントまたはクライアントにそれぞれリンクされています。
| プロパティ | 設定 |
|---|---|
ルーター ハードウェア |
MXシリーズルーター |
VLAN 名 |
default |
1台のRADIUSサーバー |
ポートでスイッチに接続された の 10.0.0.100 アドレスを持つバックエンドデータベース ge-0/0/10 |
この例では、MX シリーズ ルーターのアクセス ポート ge-0/0/10 に RADIUS サーバーを接続します。スイッチはオーセンティケータとして機能し、サプリカントからRADIUSサーバーのユーザーデータベースに認証情報を転送します。サーバーのアドレスを指定し、秘密パスワードを設定することで、MXシリーズルーターとRADIUSサーバー間の接続を設定する必要があります。この情報は、スイッチ上のアクセス プロファイルで設定されます。
設定
手順
CLI クイックコンフィギュレーション
RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
手順
RADIUSサーバーをスイッチに接続するには、次の手順にしたがっています。
サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致する必要があります。
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
認証順序を設定し、最初の認証方法を作成 radius します。
[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントを認証するために試行するサーバーIPアドレスのリストを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
結果
設定の結果を表示します。
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
スイッチとRADIUSサーバーが正しく接続されていることを確認する
目的
RADIUSサーバーが指定されたポートでスイッチに接続されていることを確認します。
対処
RADIUS サーバーに Ping を実行して、スイッチとサーバー間の接続を確認します。
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意味
ICMPエコー要求パケットは、スイッチから10.0.0.100のターゲットサーバーに送信され、IPネットワーク上で到達可能であるかどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。