Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EX シリーズスイッチにおける単一のサプリカントまたは複数のサプリカント構成の 802.1 X の設定

EX シリーズスイッチでの 802.1 x ポートベースのネットワークアクセスコントロール (PNAC) 認証には、エンタープライズ LAN のアクセスニーズに応じた3つのタイプの認証が用意されています。

  • オーセンティケータポート上で最初のエンドデバイス (サプリカント) を認証し、他のすべてのエンドデバイスが LAN にアクセスできるようにすることを許可します。

  • 一度に認証ポート上で1つのエンドデバイスのみを管理します。

  • 認証ポートで複数のエンドデバイスを認証します。VoIP 設定では、複数のサプリカントモードが使用されます。

この例では、3つの異なる管理モードを使用するエンドデバイスを認証するために IEEE 802.1 X を使用する EX シリーズスイッチを設定しています。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータ PAE 上のポートは、認証されるまで、エンドデバイス間のすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続するためのアクセス許可を持つエンドデバイス (サプリカント) の資格情報が含まれています。

802.1 X 認証用にポートを構成する前に、以下のものがあることを確認してください。

概要とトポロジー

図 1示すように、トポロジーには、ポート ge-0/0/10 で認証サーバーに接続された EX4200 アクセススイッチがあります。インターフェイス ge-0/0/8、ge-0/0/9、および ge-0/0/11 は、3つの異なる管理モードに対して設定されます。

注:

この図は QFX5100 スイッチにも適用されます。

Topology

図 1: サプリカントモードを構成するためのトポロジサプリカントモードを構成するためのトポロジ
表 1: サプリカントモード構成トポロジのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200 スイッチ、24ギガビットイーサネットポート: 8 PoE ポート (ge-0/0/0 ~ ge-0/0/7) および16個の非 PoE ポート (ge-0/0/8 ~ ge-0/0/23)

Avaya 電話との接続(統合型ハブ付き)、電話とデスクトップ PC を単一のポートに接続します。(PoE必要)

ge-0/0/8、ge-0/0/9、および ge-0/0/11

エンタープライズネットワークのさまざまな領域でサプリカントをサポートするための管理モードを構成するには、次のようにします。

  • 単一のサプリカントモード認証のアクセスポートとして 0/0/8 を構成します。

  • 単一の secure サプリカントモード認証用にアクセスポート ge-0/9 を構成します。

  • 複数のサプリカントモード認証のアクセスポートとして 0/0/11 を構成します。

単一サプリカントモードでは、認証ポートに接続する最初のエンドデバイスのみを認証します。最初の接続が成功した後、802.1 X が有効になっているかどうかにかかわらず、認証ポートに接続するその他すべてのエンドデバイスは、これ以上の許可なしにポートにアクセスできます。最初に認証されたエンドデバイスがログアウトした場合、エンドデバイスが認証するまで、他のすべてのエンドデバイスは停止してしまいます。

単一のセキュアなサプリカントモードは、認証ポートに接続するエンドデバイスを1つだけ認証します。最初にログアウトするまで、他のエンドデバイスからオーセンティケータポートに接続することはできません。

複数のサプリカントモードは、1つのオーセンティケータポートで複数のエンドデバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定した場合、設定された値のうち小さい方を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。

複数のサプリカントモードをサポートする 802.1 X の構成

手順

CLI クイック構成

さまざまな 802.1 X 認証モードを使用してポートを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

インターフェイスの管理モードを構成します。

  1. サプリカントモードをインターフェイス ge-0/0/8 でシングルとして構成します。

  2. サプリカントモードを、インターフェイス ge-0/0/9 で単一のセキュアとして設定します。

  3. インターフェイス ge-0/0/11 で複数のサプリカントモードを構成します。

結果

構成の結果を確認します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

802.1 X 構成の検証

目的

インターフェイス ge-0/0/8、ge-0/0/9、ge-0/0/11 の 802.1X 設定を検証します。

アクション

運用モードのコマンドshow dot1x interfaceを発行して、802.1 x の構成を確認します。

出力 Supplicant mode フィールドには、各インターフェイスで設定された管理モードが表示されます。インターフェイス ge-0/0/8.0Single サプリカント モードを表示します。インターフェイス ge-0/0/9.0Single-Secure サプリカント モードを表示します。インターフェイス ge-0/0/11.0Multiple サプリカント モードを表示します。