例:EXシリーズスイッチでのシングルサプリカントまたはマルチサプリカント設定の802.1Xの設定
EXシリーズスイッチでの802.1xポートベースのネットワークアクセスコントロール(PNAC)認証は、企業LANのアクセスニーズを満たす3種類の認証を提供します。
オーセンティケータポートで最初のエンドデバイス(サプリカント)を認証し、他のすべてのエンドデバイスもLANにアクセスできるようにします。
認証用ポートで一度に 1 台のエンド デバイスのみを認証します。
認証ポートで複数のエンドデバイスを認証します。VoIP 設定では、マルチサプリカント モードが使用されます。
この例では、EX シリーズ スイッチが IEEE 802.1X を使用して、3 つの異なる管理モードを使用するエンド デバイスを認証するように設定します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EX シリーズ スイッチの Junos OS リリース 9.0 以降
認証コードポートアクセスエンティティ(PAE)として機能する1つのEXシリーズスイッチ。認証側PAEのポートは、エンドデバイスが認証されるまで、エンドデバイスとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1X をサポートする 1 台の RADIUS 認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたエンドデバイス(サプリカント)の認証情報を含みます。
802.1X認証用にポートを設定する前に、以下を確認してください。
スイッチの初期設定を実行しました。EXシリーズスイッチの接続と設定(CLI手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されている。スイッチの基本的なブリッジングとVLANの設定について説明したドキュメントを参照してください。ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチを使用している場合は 、 例: ELS をサポート する EX シリーズ スイッチの基本的なブリッジングと VLAN の設定または 例: スイッチで基本的なブリッジングとVLANを設定する。その他のすべてのスイッチについては、 例: EXシリーズスイッチの基本的なブリッジングとVLANを設定します。
注:ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
認証サーバーで構成されたユーザー。
概要とトポロジー
に 図 1示すように、トポロジーには、ポート ge-0/0/10 の認証サーバーに接続された EX4200 アクセス スイッチが含まれています。インターフェイス ge-0/0/8、ge-0/0/9、ge-0/0/11 は、3 つの異なる管理モードで構成されます。
この図は、QFX5100スイッチにも適用されます。
トポロジ
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200 スイッチ、24 ギガビット イーサネット ポート: PoE ポート x 8(ge-0/0/0~ge-0/7)および 16 個の非 PoE ポート(ge-0/0/8~ge-0/0/23) |
Avaya電話への接続-統合されたハブを使用して、電話とデスクトップPCを単一のポートに接続します。(PoEが必要) |
ge-0/0/8、ge-0/0/9、ge-0/0/11 |
管理モードを設定して、エンタープライズネットワークの異なるエリアでサプリカントをサポートするには:
シングル サプリカント モード認証のアクセス ポート ge-0/0/8 を設定します。
シングル セキュア サプリカント モード認証用にアクセス ポート ge-0/0/9 を設定します。
複数のサプリカント モード認証用にアクセス ポート ge-0/0/11 を設定します。
シングル サプリカント モード では、オーセンティケータ ポートに接続した最初のエンド デバイスのみを認証します。802.1Xに対応しているかどうかに関係なく、最初の認証ポートに接続した後に認証ポートに接続する他のすべてのエンドデバイスは、認証なしでポートへのアクセスを許可されます。最初に認証されたエンド デバイスがログアウトすると、エンド デバイスが認証されるまで、他のすべてのエンド デバイスはロックアウトされます。
シングルセキュア サプリカント モード は、認証ポートに接続するために 1 台のエンド デバイスのみを認証します。最初にログアウトするまで、他のエンドデバイスが認証ポートに接続することはできません。
マルチサプリカントモード は、1つの認証ポートで複数のエンドデバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定した場合、設定された値のうちより少ない数のデバイスを使用して、ポートごとに許可されるエンドデバイスの最大数を決定します。
複数のサプリカント モードをサポートする 802.1X の設定
手順
CLI クイックコンフィギュレーション
異なる 802.1X 認証モードでポートを迅速に設定するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
手順
インターフェイスで管理モードを設定します。
インターフェイス ge-0/0/8 でサプリカント モードを単一として設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
サプリカント モードを、インターフェイス ge-0/0/9 で単一セキュアとして設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
インターフェイスge-0/0/11で複数のサプリカントモードを設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
結果
設定の結果を確認します。
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
802.1X設定の検証
目的
インターフェイスge-0/0/8、ge-0/0/9、およびge-0/0/11で802.1X設定を確認します。
対処
動作モード コマンドを発行して、802.1X 設定を確認します show dot1x interface。
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
意味
出力フィールドには Supplicant mode 、各インターフェイスに設定された管理モードが表示されます。インターフェイスは、サプリカントモードをSingle 表示しますge-0/0/8.0。インターフェイスは、サプリカントモードをSingle-Secure表示しますge-0/0/9.0。インターフェイスは、サプリカントモードをMultiple 表示しますge-0/0/11.0。