このページの内容
例:EXシリーズスイッチでシングルサプリカント構成またはマルチサプリカント構成用に802.1Xを設定する
EXシリーズスイッチの802.1xポートベースのネットワークアクセス制御(PNAC)認証は、エンタープライズLANのアクセスニーズを満たす3種類の認証を提供します。
認証ポートで最初のエンド デバイス(サプリカント)を認証し、接続している他のすべてのエンド デバイスが LAN にアクセスできるようにします。
認証ポートで一度に1台のエンドデバイスのみを認証します。
認証ポートで複数のエンドデバイスを認証します。VoIP設定では、マルチサプリカントモードが使用されます。
この例では、IEEE 802.1Xを使用して、3つの異なる管理モードを使用するエンドデバイスを認証するように、EXシリーズスイッチを設定します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.0以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、エンドデバイスが認証されるまで、エンドデバイスとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1Xをサポートする1つのRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたエンドデバイス(サプリカント)の資格情報が含まれています。
802.1X認証のポートを設定する前に、以下を確認してください。
初期スイッチ設定を実行しました。 EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EXシリーズ スイッチの基本的なブリッジングと VLAN の設定 または 例:スイッチでの基本的なブリッジングと VLAN の設定を参照してください。その他のスイッチについては、「 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定」を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
認証サーバーで設定されたユーザー。
概要とトポロジー
図 1 に示すように、トポロジーには、ポート ge-0/0/10 の認証サーバーに接続された EX4200 アクセス スイッチが含まれています。インターフェイスge-0/0/8、ge-0/0/9、ge-0/0/11は、3つの異なる管理モードで設定されます。
この図は、QFX5100スイッチにも適用されます。
トポロジー
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ、24ギガビットイーサネットポート:8個のPoEポート(ge-0/0/0〜ge-0/0/7)および16個の非PoEポート(ge-0/0/8〜ge-0/0/23) |
Avaya電話への接続—統合されたハブを使用し、電話とデスクトップPCを単一のポートに接続します。(PoEが必要) |
ge-0/0/8、ge-0/0/9、ge-0/0/11 |
エンタープライズネットワークのさまざまなエリアでサプリカントをサポートするように管理モードを設定するには:
シングル サプリカント モード認証用にアクセス ポート ge-0/0/8 を設定します。
単一のセキュア サプリカント モード認証用にアクセス ポート ge-0/0/9 を設定します。
複数のサプリカントモード認証用にアクセスポートge-0/0/11を設定します。
シングル サプリカント モードでは 、認証ポートに接続する最初のエンド デバイスのみを認証します。最初のエンドデバイスが正常に接続した後に認証ポートに接続する他のすべてのエンドデバイスは、802.1Xに対応しているかどうかにかかわらず、さらなる認証なしでポートへのアクセスを許可されます。最初に認証されたエンドデバイスがログアウトすると、エンドデバイスが認証するまで他のすべてのエンドデバイスはロックアウトされます。
シングルセキュア サプリカント モードでは 、認証ポートに接続するエンド デバイス 1 台のみを認証します。最初のエンド デバイスがログアウトするまで、他のエンド デバイスは認証ポートに接続できません。
マルチ サプリカント モードでは 、1 つの認証ポートで複数のエンド デバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定した場合、設定された値のうち小さい方の値を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。
複数のサプリカントモードをサポートするための802.1Xの設定
手順
CLIクイックコンフィグレーション
異なる 802.1X 認証モードでポートをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
ステップバイステップの手順
インターフェイスの管理モードを設定します。
インターフェイスge-0/0/8でサプリカントモードをsingleとして設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
インターフェイスge-0/0/9で、サプリカントモードをsingle secureとして設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
インターフェイスge-0/0/11で複数のサプリカントモードを設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
結果
設定の結果を確認します。
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
802.1X設定の検証
目的
インターフェイスge-0/0/8、ge-0/0/9、ge-0/0/11で802.1Xの設定を確認します。
アクション
次の動作モードコマンドを発行して、802.1Xの設定を確認します show dot1x interface。
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
意味
Supplicant mode出力フィールドには、各インターフェイスに設定された管理モードが表示されます。インターフェイスge-0/0/8.0は、シングルサプリカントモードを表示します。インターフェイスge-0/0/9.0は、シングルセキュアサプリカントモードを表示します。インターフェイス ge-0/0/11.0 は、マルチ サプリカント モードを表示します。