Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する

EXシリーズスイッチの802.1xポートベースネットワークアクセスコントロール(PNAC)認証は、エンタープライズLANのアクセスニーズを満たすために3種類の認証を提供します。

  • オーセンティケータ ポートで最初のエンド デバイス(サプリカント)を認証し、同じく接続している他のすべてのエンド デバイスに LAN へのアクセスを許可します。

  • オーセンティケータポートで一度に1台のエンドデバイスのみを認証します。

  • オーセンティケータポートで複数のエンドデバイスを認証します。VoIP設定では、マルチ サプリカント モードが使用されます。

この例では、IEEE 802.1Xを使用して、3つの異なる管理モードを使用するエンドデバイスを認証するようにEXシリーズスイッチを設定します。

要件

この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:

注:

この例は、QFX5100スイッチにも適用されます。

  • EXシリーズスイッチ向けJunos OSリリース9.0以降

  • 認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、エンドデバイスが認証されるまで、エンドデバイスとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。

  • 802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたエンドデバイス(サプリカント)の認証情報を含みます。

802.1X 認証用にポートを構成する前に、以下が完了していることを確認してください。

概要とトポロジー

図 1に示すように、トポロジーには、ポートge-0/0/10で認証サーバーに接続されたEX4200アクセススイッチが含まれています。インターフェイス ge-0/0/8、ge-0/0/9、ge-0/0/11 は、3 つの異なる管理モード用に構成されます。

注:

この図は、QFX5100 スイッチにも適用されます。

トポロジー

図 1: サプリカントモードを設定するためのトポロジーサプリカントモードを設定するためのトポロジー
表 1: サプリカントモード設定トポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200スイッチ、24ギガビットイーサネットポート: PoEポート8個(ge-0/0~ge-0/7)、非PoEポート16個(ge-0/0/8~ge-0/23)搭載。

Avaya 電話への接続 - 統合ハブを使用して、電話とデスクトップ PC を 1 つのポートに接続します。(PoE が必要)

ge-0/0/8、ge-0/0/9、および ge-0/0/11

エンタープライズ ネットワークのさまざまなエリアのサプリカントをサポートするために、管理モードを設定するには:

  • シングル サプリカント モード認証用にアクセス ポート ge-0/0/8 を設定します。

  • シングルセキュアサプリカントモード認証用にアクセスポートge-0/0/9を設定します。

  • マルチ サプリカント モード認証用にアクセス ポート ge-0/0/11 を設定します。

シングル サプリカント モード は、オーセンティケータ ポートに接続する最初のエンド デバイスのみを認証します。最初のエンド デバイスが正常に接続された後にオーセンティケータ ポートに接続する他のすべてのエンド デバイスは、802.1X 対応であるかどうかにかかわらず、それ以上の認証なしでポートへのアクセスが許可されます。最初に認証されたエンドデバイスがログアウトすると、エンドデバイスが認証されるまで他のすべてのエンドデバイスがロックアウトされます。

シングルセキュア サプリカント モードでは 、1 台のエンド デバイスのみが認証されてオーセンティケータ ポートに接続されます。最初のエンド デバイスがログアウトするまで、他のエンド デバイスはオーセンティケータ ポートに接続できません。

マルチ サプリカント モード は、1 つのオーセンティケータ ポートで複数のエンド デバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定する場合、設定された値のうち小さい方の値を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。

複数のサプリカント モードをサポートする802.1Xの設定

手順

CLIクイック構成

異なる 802.1X 認証モードでポートをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

ステップバイステップでの手順

インターフェイスの管理モードを設定します。

  1. サプリカントモードをインターフェイスge-0/0/8でシングルとして設定します。

  2. サプリカント モードをインターフェイス ge-0/0/9 でシングル セキュアとして設定します。

  3. インターフェイスge-0/0/11でマルチサプリカントモードを設定します。

結果

構成の結果を確認します。

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

802.1Xの設定の確認

目的

インターフェイスge-0/0/8、ge-0/0/9、およびge-0/0/11で802.1Xの設定を確認します。

アクション

次の 動作モード コマンドを発行して、802.1X の設定を確認します show dot1x interface

意味

Supplicant mode出力フィールドには、各インターフェイスに設定された管理モードが表示されます。インターフェイス ge-0/0/8.0Single サプリカント モードを表示します。インターフェイス ge-0/0/9.0Single-Secureサプリカント モードを表示します。インターフェイス ge-0/0/11.0Multiple サプリカント モードを表示します。