Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

interface (802.1X)

Syntax

Hierarchy Level

Description

すべてのインターフェイスIEEEインターフェイスについて、ポートベースネットワークアクセスコントロール用に802.1X認証を設定します。

Options

(すべて|[ interface-names ])

インターフェイス名のリスト、または 802.1x 認証のすべてのインターフェイスを設定します。

disable

指定されたインターフェイスまたはすべてのインターフェイスで 802.1 X 認証を無効にします。

  • 802.1 x 認証は、すべてのインターフェイスで無効になっています。

ゲストブリッジドメイン ゲストブリッジドメイン

(MX シリーズのみ)インターフェイス上に802.1Xサプリカントが接続されていない場合に、インターフェイスが移動する、ブリッジ ドメイン タグ識別子またはゲスト ブリッジ ドメインの名前を指定します。指定されたブリッジ ドメインは、デバイス上にすでに存在している必要があります。

ゲスト vlan (vlan-id |vlan-name

(EX、QFX、SRX シリーズのみ)インターフェイス上で 802.1X サプリカントが接続されていない場合に、インターフェイスが移動する VLAN タグ識別子またはゲスト VLAN の名前を指定します。指定されたVLANは、デバイスにすでに存在している必要があります。802.1X 認証を使用しているデバイス上にゲスト VLAN を設定し、コーポレート ゲストに対してアクセスを制限できます(通常はインターネットに対してのみです)。不正な認証情報を送信するサプリカントには、ゲスト VLAN は使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送られます。

無視-ポート-バウンス

承認 (CoA) の変更に含まれているポートバウンスコマンドを無視します。CoA リクエストは、すでに実行中の認証済みユーザーセッションを動的に変更するために使用される RADIUS メッセージです。CoA リクエストは、認証、許可、アカウンティング(AAA)サーバーからデバイスに送信され、通常はデバイス プロファイリングに基づいてホストの VLAN を変更するために使用されます。プリンターなどのエンドデバイスには、VLAN の変更を検知するメカニズムがありません。そのため、新しい VLAN で DHCP アドレスのリースが更新されることはありません。port-bounce コマンドを使用して、エンド デバイスが認証済みポートでリンク フラップを発生することにより、DHCP 再ネゴシエーションを強制的に開始します。

  • port-bounce コマンドは、デフォルトでサポートされています。ステートメントが設定されていない場合、デバイスはリンクをフラッピングしてポートバウンスコマンドに応答し、エンド デバイスの ignore-port-bounce DHCPネゴシエーションを再開始します。

最大リクエスト

認証セッションがタイムアウトする前に、EAPoL要求パケットをサプリカントに再送する回数を指定します。

  • 1 ~ 10

  • 2

再認証|再認証( 秒)

再認証を無効にするか、802.1X 認証セッションがタイムアウトする前に数秒を設定します。クライアントは認証を再び再び実行する必要があります。

注:

認証サーバーが認証セッションタイムアウトをクライアントに送信する場合は、このreauthentication 文を使用してローカルに設定された値よりも優先度が高いということです。セッションタイムアウト値は、サーバーから RADIUS アクセス許可メッセージの属性としてクライアントに送信されます。

  • 1 ~ 65535 秒

  • 再認証が有効で、クライアントが再認証を試みるまで 3600 秒です。

タグなし mac 認証

認証用のタグ付きMAC アドレス許可RADIUSむ必要があります。

静音 時間(秒)

認証を再び再び受け取る前にサプリカントによる認証試行に失敗した場合に、インターフェイスが待機状態に残る時間を指定します。

  • 0 ~ 65535 秒

  • 60秒

リダイレクト URL リダイレクト URL

非認証ホストを中央の Web 認証(CWA)サーバーにリダイレクトする URL を指定します。CWA サーバーには、ユーザーによるユーザー名とパスワードの入力を可能にする web ポータルが用意されています。これらの認証情報が CWA サーバーによって検証された場合、ユーザーは認証され、ネットワークへのアクセスが許可されます。

中央 Web 認証用のリダイレクト URL は、AAA サーバーまたはスイッチ上で一元的に設定できます。このredirect-url文を使用して、ホストとスイッチを接続しているインターフェース上で、リダイレクト URL をローカルに設定します。

リダイレクト URL と動的ファイアウォールフィルタは、両方とも、中央の Web 認証プロセスをトリガーするために存在する必要があります。リダイレクト URL と、中央 Web 認証用の動的ファイアウォールフィルターの構成の詳細については、「集中型 Web 認証の構成」を参照してください。

注:

特殊フィルター ID 属性 JNPR_RSVD_FILTER_CWA を使用してダイナミックファイアウォールフィルターを設定する場合、CWA リダイレクト URL には、AAA サーバーの IP アドレス (などhttps://10.10.10.10) が含まれている必要があります。

  • 構文リダイレクト URL には、HTTP または HTTPS プロトコルを使用し、IP アドレスまたは web サイト名を含める必要があります。以下に、有効なリダイレクト URL 形式の例を示します。

    • http://www.example.com

    • https://www.example.com

    • http://10.10.10.10

    • https://10.10.10.10

    • http://www.example.com/login.html

    • https://www.example.com/login.html

    • http://10.10.10.10/login.html

    • https://10.10.10.10/login.html

  • 無効. デフォルトでは、リダイレクト URL はセントラル Web 認証に対して有効ではありません。

リクエスト数

認証サーバーを設定して、EAP リクエストをサプリカントに送信します。無応答のサプリカントが原因で、認証セッションのタイムアウトを防ぐのに役立ちます。再試行回数は、設定された値に基づいて行います。

  • 1~10 回の再試行

  • 再試行回数 2 回

再試行

デバイスが最初の障害発生後にポートの認証を試みる回数を指定します。制限を超えた場合、ポートは、同じ階層レベルで設定されたオプションで指定された秒の認証を再テンプレート quiet-period 化するのを待機します。

  • 1~10 回の再試行

  • 3再試行

server-fail(ブリッジドメイン ブリッジ ドメイン|拒否|許可|vlan-name|使用キャッシュ 許可)

デバイスに接続したエンド デバイスがデバイスの認証サーバー RADIUSサポートする方法を指定します。サーバー障害フォールバックは、構成済みで使用中 RADIUS サーバーにアクセスできなくなった場合に、再認証の際に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、サプリカントが最初にサーバー経由で認証を試みRADIUSすることもできます。

認証サーバーが使用できない場合に、デバイスがエンド デバイスに適用するアクションを指定する必要があります。デバイスはサプリカントへのアクセスを受け入れるか拒否するか、タイムアウトが発生する前にサプリカントにすでに付与されたアクセスRADIUSできます。サプリカントを特定のVLANまたはブリッジ ドメインに移動するスイッチを設定できます。VLAN またはブリッジ ドメインは、デバイス上で既に設定されている必要があります。

注:

このserver-fail文は、特にデータトラフィックを対象としています。VoIP タグ付きトラフィックの場合は、 ステートメントを使用 server-fail-voip します。同じインターフェイスには、 server-fail vlan とserver-fail-voip vlan が設定されている場合があります。

  • 指定bridge-domain—(MX シリーズのみ) インターフェイス上のサプリカントを、この名前または数字の識別子で指定されたブリッジ ドメインに移動します。このアクションは、それがインターフェイスに接続する最初のサプリカントである場合にのみ許可されます。認証されたサプリカントが既に接続されている場合、サプリカントはブリッジ ドメインに移動されません。認証されていません。ブリッジ ドメインは既にデバイスで設定されている必要があります。

    deny—サプリカントの認証を強制して失敗します。インターフェイスを通過するトラフィックはありません。

    permit—サプリカントの認証を強制して成功します。トラフィックは、RADIUS サーバーによって正常に認証されたかのようにインターフェイスを通過します。

    use-cache—サプリカント認証を強制して成功できるのは、以前に認証が完了している場合のみです。このアクションによって、既に認証されたサプリカントが影響を受けないことを保証します。

    vlan-name—(EX、QFX、または SRX シリーズ のみ) インターフェイス上のサプリカントを、この名前または数字の識別子で指定された VLAN に移動します。このアクションは、それがインターフェイスに接続する最初のサプリカントである場合にのみ許可されます。認証済みのサプリカントがすでに接続されている場合、サプリカントは VLAN に移動されず、認証されません。VLAN は、デバイスで既に設定されている必要があります。

  • 認証サーバー RADIUS使用できない場合、エンド デバイスは認証されていないので、ネットワークへのアクセスが拒否されます。

server-fail-voip(拒否|許可|使用キャッシュ|vlan-name)

(EX、QFX シリーズのみ)音声トラフィックを送信する VoIP クライアントが、認証サーバーを使用できない場合RADIUSする方法を指定します。サーバー障害フォールバックは、構成済みで使用中 RADIUS サーバーにアクセスできなくなった場合に、再認証の際に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、VoIP クライアントがサーバー経由で認証を初RADIUSすることもできます。

認証サーバーが使用できない場合に、スイッチが VoIP クライアントに適用するアクションを指定する必要があります。このスイッチは、VoIP クライアントへのアクセスを受け入れるか拒否するか、タイムアウトが発生する前にすでにクライアントに付与されているアクセスRADIUSできます。また、VoIP クライアントを特定の VLAN に移動するスイッチを設定できます。VLAN は、すでにスイッチに設定されている必要があります。

このserver-fail-voip文は、クライアントによって送信される VoIP タグ付きトラフィックに固有のものです。VoIP クライアントでも、生成server-failされるタグが付いていないトラフィックに対してステートメントを設定する必要があります。したがって、 server-fail-voip明細書をコンフィギュレーションする場合は、明細server-fail書を設定する必要もあります。

注:

正常にコミットserver-fail denyするserver-fail-voipには、以外のオプションを構成する必要があります。

  • 指定deny—VoIP クライアント認証を強制して失敗します。インターフェイスを通過するトラフィックはありません。

    permit—VoIP クライアント認証を強制して成功を引き出します。トラフィックは、RADIUS サーバーによって正常に認証されたかのようにインターフェイスを通過します。

    use-cache—VoIP クライアント認証を強制して成功できるのは、以前に認証が完了している場合のみです。このアクションにより、既に認証されたクライアントに影響が及ぼされません。

    vlan-name—インターフェイス上の VoIP クライアントを、この名前または数字の識別子で指定された VLAN に移動します。このアクションは、インターフェイスに初めて接続された VoIP クライアントである場合にのみ許可されます。認証済みの VoIP クライアントが既に接続されている場合、VoIP クライアントは VLAN に移動されません。認証されていません。VLAN は、すでにスイッチに設定されている必要があります。

  • 認証サーバー RADIUS使用できない場合、音声トラフィックの送信によって認証を開始する VoIP クライアントは認証ではなく、音声トラフィックはドロップされます。

サーバー タイムアウト 時間

サプリカントから認証サーバーに応答をリレーしてサーバー不合格アクションを呼び出す前に、ポートが応答を待機する時間を指定します。

  • 1 ~ 60 秒

  • 30秒

サプリカント(|シングル|シングルセキュア)

クライアントの認証に使用する MAC ベースの方法を指定します。

  • 指定以下のいずれかを指定します。

    • 単一 — オーセンティケータ ポートに接続した最初のクライアントのみ認証します。1つ目の後に認証ポートに接続する他のクライアントはすべて、さらに認証なしでポートへのアクセスを許可されます。最初に認証されたクライアントがログアウトすると、クライアントが再度認証を実行するまで、他のサプリカントはすべてロックアウトします。

    • 単一セキュア:1 つのクライアントのみを認証してオーセンティケータ ポートに接続します。ホストはスイッチに直接接続されている必要があります。

    • 複数 — 1 つのオーセンティケータ ポート上で複数のクライアントを個別に認証します。ポート当たりのクライアント数を設定できます。ポートのセキュリティ設定を通じてポートに接続できるデバイスの最大数も設定している場合は、設定した値の下位部分を使用して、ポートごとに許可されるクライアントの最大数を決定します。

  • 特定

サプリカント タイムアウト

認証サーバーからサプリカントにリクエストをリレーしてリクエストを再送信する際に、ポートが応答を待機する時間(秒)を指定します。

  • 1 ~ 60 秒

  • 30秒

送信期間 (秒)

ポートが最初の EAPoL PDUS をサプリカントに再送するまでの待機時間を指定します。

  • 1 ~ 65535 秒

  • 30秒

残りのステートメントは個別に説明されています。詳細については、 CLI エクスプローラーで文を検索するか、「シンタックス」セクションでリンクされた文をクリックします。

Required Privilege Level

routing— このステートメントを設定で表示するには。routing-control—このステートメントを設定に追加します。

Release Information

文は Junos OS リリース9.0 で導入されました。

server-reject-vlan リリース 9.3 Junos OSリリース9.3でEX シリーズされました。

eapol-block リリース 11.2 Junos OS導入されました。

authentication-orderredirect-urlリリースJunos OSリリース15.1R3しました

server-fail-voip EX および Junos OS スイッチの14.1X53-D40と15.1R4リリースで紹介QFX シリーズされています。

ignore-port-bounce 導入されたJunos OSリリース17.3R1。

multi-domain 導入されたJunos OSリリース18.3R1。