例:MXシリーズルーターでのMAC RADIUS認証の設定
Junos OS リリース 14.2 以降、802.1X 非対応のホストに LAN アクセスを許可するため、802.1X 非対応ホストが接続されているルーター インターフェイスで MAC RADIUS 認証を構成できます。MAC RADIUS認証が設定されている場合、ルーターはホストのMACアドレスを使用してRADIUSサーバーでホストの認証を試みます。
この例では、802.1X 非対応の 2 つのホストに対して MAC RADIUS 認証を設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーター向けのJunos OSリリース14.2以降。
認証コードのポートアクセスエンティティ (PAE) として機能する MX シリーズルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
RADIUS 認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
IEEE 802.1X ポートベース ネットワーク アクセス コントロール(PNAC)は、デバイスが 802.1X プロトコルを使用してルーターと通信できる(802.1X 対応)場合、デバイスを認証し、LAN へのアクセスを許可します。802.1X 非対応のエンド デバイスに LAN アクセスを許可するには、エンド デバイスが接続されているインターフェイスで MAC RADIUS 認証を設定します。エンドデバイスのMACアドレスがインターフェイスに表示されると、ルーターはRADIUSサーバーに相談して、それが許可されたMACアドレスかどうかを確認します。エンド デバイスの MAC アドレスが RADIUS サーバーで許可されるように設定されている場合、ルーターはエンド デバイスへの LAN アクセスを開きます。
複数のサプリカント用に設定されたインターフェイスで、MAC RADIUS認証と802.1X認証方法の両方を設定できます。さらに、インターフェイスが 802.1X 非対応ホストにのみ接続されている場合、 mac-radius restrict オプションを使用して MAC RADIUS を有効にし、802.1X 認証を有効にしないようにすることで、デバイスが EAP メッセージに応答していないとルーターが判断するまでの遅延を回避できます。
2台のプリンターが、ge-0/0/19とge-0/0/20のインターフェイスを介してMXシリーズルーターに接続されています。
表 1 は、MAC RADIUS認証の例のコンポーネントを示しています。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア |
ポート(ge-0/0/0〜ge-0/0/23) |
VLAN名 |
セールス |
プリンターへの接続 |
ge-0/0/19、MAC アドレス 00040ffdacfe ge-0/0/20、MACアドレス0004aecd235f |
RADIUSサーバー |
インターフェイス上のルーターに接続されています ge-0/0/10 |
MAC アドレス 00040ffdacfe のプリンターは、アクセス インターフェイス ge-0/0/19 に接続されています。MACアドレス0004aecd235fの2台目のプリンターが、アクセスインターフェイスge-0/0/20に接続されています。この例では、両方のインターフェイスがルーターでMAC RADIUS認証用に構成され、両方のプリンターのMACアドレス(コロンなし)がRADIUSサーバーで構成されます。インターフェイス ge-0/0/20 は、ルーターが 802.1X 認証を試みる間の通常の遅延をなくすように設定されています。 mac radius restrict オプションを使用すると、MAC RADIUS認証が有効になり、802.1X認証が無効になります。
トポロジー
設定
手順
CLIクイック構成
MAC RADIUS認証を迅速に設定するには、以下のコマンドをコピーして、ルーター端末ウィンドウに貼り付けます。
[edit] set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrict
また、ステップバイステップ手順のステップ 2 で行ったように、2 つの MAC アドレスを RADIUS サーバー上のユーザ名とパスワードとして設定する必要があります。
ステップバイステップでの手順
ルーターとRADIUSサーバーでMAC RADIUS認証を構成します。
ルーターで、プリンターが接続されているインターフェイスをMAC RADIUS認証用に設定し、インターフェイスge-0/0/20でrestrictオプションを設定して、MAC RADIUS認証のみが使用されるようにします。
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control authenticator interface ge-0/0/20 dot1x mac-radius restrictRADIUS サーバーで、ユーザー名とパスワードとして MAC アドレス 00040ffdacfe と 0004aecd235f を構成します。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
結果
ルータの設定結果の表示:
user@router> show configuration
protocols {
authentication-access-control {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
dot1x {
mac-radius;
}
}
ge-0/0/20.0 {
dot1x {
mac-radius {
restrict;
}
}
}
}
}
}
検証
サプリカントが認証されていることを確認します。
サプリカントが認証されていることの確認
目的
ルーターとRADIUSサーバーでサプリカントがMAC RADIUS認証用に設定されたら、サプリカントが認証されていることを確認し、認証方法を表示します。
アクション
802.1Xで構成されたインターフェイス ge-0/0/19 および ge-0/0/20に関する情報を表示します。
user@router> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@router> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
show dot1x interface detail コマンドのサンプル出力では、接続されたエンド デバイスの MAC アドレスが [Supplicant()] フィールドに表示されます。インターフェイス ge-0/0/19 では、MAC アドレスは 00:04:0f:fd:ac:fe で、これは MAC RADIUS 認証用に設定された最初のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ MAC Radius] と表示されます。インターフェイス ge-0/0/20 では、MAC アドレスは 00:04:ae:cd:23:5f で、これは MAC RADIUS 認証用に設定された 2 台目のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ MAC Radius] と表示されます。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。