Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EXシリーズ スイッチでのシングルサプリカントまたはマルチサプリカント設定用に802.1Xを設定する

EXシリーズスイッチでの802.1xポートベースのネットワークアクセスコントロール(PNAC)認証は、エンタープライズLANのアクセスニーズを満たす3種類の認証を提供します。

  • オーセンティケータ ポートで最初のエンド デバイス(サプリカント)を認証し、他のすべてのエンド デバイスも LAN へのアクセスを許可します。

  • オーセンティケータ ポート上の 1 つのエンド デバイスのみを一度に認証します。

  • オーセンティケータ ポートで複数のエンド デバイスを認証します。VoIP 設定では、複数のサプリカント モードが使用されます。

この例では、3 つの異なる管理モードを使用するエンド デバイスを認証するために IEEE 802.1X を使用するように EX シリーズ スイッチを設定します。

要件

この例では、次のソフトウェアコンポーネントとハードウェアコンポーネントを使用します。

注:

この例は、QFX5100 スイッチにも適用されます。

  • EX シリーズ スイッチ用 Junos OS リリース 9.0 以降

  • オーセンティケータ ポート アクセス エンティティ(PAE)として機能する 1 つの EX シリーズ スイッチ。オーセンティケータ PAE のポートは、エンド デバイスとの間のすべてのトラフィックが認証されるまでブロックする制御ゲートを形成します。

  • 802.1X をサポートする 1 台の RADIUS 認証サーバー。認証サーバーはバックエンド データベースとして機能し、ネットワークに接続する権限を持つエンド デバイス(サプリカント)の認証情報を格納します。

802.1X 認証用にポートを設定する前に、以下の機能を備えていることを確認してください。

概要とトポロジー

図 1示すように、トポロジには、ポート ge-0/0/10 上の認証サーバーに接続された EX4200 アクセス スイッチが含まれています。インターフェイスge-0/0/8、ge-0/0/9、ge-0/0/11は、3つの異なる管理モードで設定されます。

注:

この図は、QFX5100 スイッチにも適用されます。

トポロジ

図 1: サプリカント モードを設定するためのトポロジーサプリカント モードを設定するためのトポロジー
表 1: サプリカント モード設定トポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200 スイッチ、24 ギガビット イーサネット ポート: 8 個の PoE ポート(ge-0/0/0~ge-0/7)および 16 個の非 PoE ポート(ge-0/0/8~ge-0/0/23)

Avaya電話への接続:ハブが統合されており、電話とデスクトップPCを単一のポートに接続します。(PoE が必要)

ge-0/0/8、ge-0/0/9、ge-0/0/11

エンタープライズ ネットワークのさまざまな領域でサプリカントをサポートするように管理モードを設定するには、以下の手順にしたがってください。

  • 単一サプリカント モード認証用にアクセス ポート ge-0/0/8 を設定します。

  • 単一のセキュア サプリカント モード認証用にアクセス ポート ge-0/0/9 を設定します。

  • 複数のサプリカント モード認証用にアクセス ポート ge-0/0/11 を設定します。

単一サプリカント モード では、オーセンティケータ ポートに接続する最初のエンド デバイスのみが認証されます。802.1Xが有効かどうかにかかわらず、最初のデバイスが正常に接続された後にオーセンティケータポートに接続する他のすべてのエンドデバイスは、それ以上の認証なしでポートへのアクセスを許可されます。最初に認証されたエンド デバイスがログアウトすると、エンド デバイスが認証されるまで、他のすべてのエンド デバイスがロックアウトされます。

単一セキュア サプリカント モード では、オーセンティケータ ポートに接続するエンド デバイスが 1 つだけ認証されます。他のエンド デバイスは、最初のログアウトまでオーセンティケータ ポートに接続できません。

複数のサプリカント モード は、1 つのオーセンティケータ ポートで複数のエンド デバイスを個別に認証します。ポート セキュリティを介してポートに接続できるデバイスの最大数を設定する場合、ポートごとに許可されるエンド デバイスの最大数の決定に使用される設定値は小さくなります。

複数のサプリカント モードをサポートする 802.1X の設定

手順

CLI クイック設定

さまざまな 802.1X 認証モードでポートを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

手順

インターフェイスで管理モードを設定します。

  1. サプリカント モードをインターフェイス ge-0/0/8 で単一として設定します。

  2. インターフェイス ge-0/0/9 でサプリカント モードを単一のセキュアとして設定します。

  3. インターフェイス ge-0/0/11 で複数のサプリカント モードを設定します。

結果

設定の結果を確認します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

802.1X 構成の検証

目的

インターフェイス ge-0/0/8、ge-0/0/9、ge-0/0/11 の 802.1X 設定を検証します。

対処

動作モード コマンドを発行して、802.1X 設定を検証します show dot1x interface

意味

出力フィールドには Supplicant mode 、各インターフェイスの設定済み管理モードが表示されます。インターフェイスはサプリカント モードをSingle 表示しますge-0/0/8.0。インターフェイスはサプリカント モードをSingle-Secure表示しますge-0/0/9.0。インターフェイスはサプリカント モードをMultiple 表示しますge-0/0/11.0