例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
Junos OS リリース 14.2 以降、デバイスが認証なしで 802.1X で構成されたインターフェイスを介して LAN にアクセスできるようにするために、MX シリーズ ルーターで静的 MAC バイパス リストを設定できます。静的 MAC バイパス リストは除外 リストとも呼ばれ、認証サーバーへの要求なしにルーターで許可される MAC アドレスを指定します。
認証の静的 MAC バイパスを使用して、プリンターなど、802.1X 非対応のデバイスの接続を許可できます。ホストの MAC アドレスが静的 MAC アドレス リストと比較および照合された場合、応答しないホストが認証され、インターフェイスが開かれます。
この例では、2 台のプリンターの認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーター向けのJunos OSリリース14.2以降。
認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
プリンターに LAN へのアクセスを許可するには、静的 MAC バイパス リストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されます。
認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。
に示す 表 1 インターフェイスは、静的MAC認証用に構成されます。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア |
MXシリーズルーター |
VLAN名 |
default |
統合されたプリンター/FAX/コピー機への接続(PoE 不要) |
ge-0/0/19、MAC アドレス 00:04:0f:fd:ac:fe ge-0/0/20、MACアドレス00:04:ae:cd:23:5f |
MACアドレス00:04:0f:fd:ac:feのプリンターがアクセスインターフェイス に接続されています。ge-0/0/19 MAC アドレス 00:04:ae:cd:23:5f を持つ 2 台目のプリンターがアクセス インターフェイス に接続されています。ge-0/0/20 両方のプリンターが静的リストに追加され、802.1X 認証がバイパスされます。
トポロジー
設定
手順
CLIクイック構成
スタティックMAC認証を迅速に設定するには、以下のコマンドをコピーしてルータ端末ウィンドウに貼り付けます。
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
ステップバイステップでの手順
静的 MAC 認証を構成します。
MAC アドレス と を静的 MAC アドレスとして構成します。00:04:0f:fd:ac:fe00:04:ae:cd:23:5f
[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 認証方法を構成します。
[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
認証に使用する認証プロファイル名(アクセスプロファイル名)を設定します。
[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
注:アクセスプロファイルの設定は、802.1Xクライアントにのみ必要で、静的MACクライアントには必要ではありません。
結果
設定の結果の表示:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。
アクション
以下の動作モードコマンドを使用します。
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意味
出力フィールドに は、2 台のプリンターの MAC アドレスが表示されます。MAC address
出力フィールドは、MACアドレスがインターフェイスを介してLANに接続できること、およびMACアドレスがインターフェイスを介してLANに接続できることを示しています。Interface00:04:0f:fd:ac:fege-0/0/19.000:04:ae:cd:23:5fge-0/0/20.0
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。