interface (802.1X)

802.1x認証用に、インターフェイス名のリストまたはすべてのインターフェイスのいずれかを設定します。

指定されたインターフェイスまたはすべてのインターフェイスで 802.1X 認証を無効にします。

• 既定：すべてのインターフェイスで 802.1X 認証が無効になっています。

(MXシリーズのみ)802.1Xサプリカントがインターフェイス上に接続されていない場合に、インターフェイスが移動するゲストブリッジドメインのブリッジドメインの名前を指定します。指定されたブリッジ ドメインは、すでにデバイスに存在している必要があります。

(EX、QFX、SRX シリーズのみ)802.1Xサプリカントがインターフェイスに接続されていない場合に、VLANタグ識別子またはインターフェイスが移動するゲストVLANの名前を指定します。指定されたVLANは、すでにデバイス上に存在している必要があります。ゲストVLANは、802.1X認証を使用して、通常はインターネットのみに限定されたアクセスを企業ゲストに提供するデバイス上で設定できます。不正な認証情報を送信するサプリカントには、ゲストVLANは使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送信されます。

Change of Authorization(CoA)要求に含まれるポートバウンス コマンドを無視します。CoAリクエストは、すでに実行中の認証済みユーザーセッションを動的に変更するために使用されるRADIUSメッセージです。CoA要求は、認証、許可、アカウンティング(AAA)サーバーからデバイスに送信され、通常、デバイスプロファイリングに基づいてホストのVLANを変更するために使用されます。プリンターなどのエンド デバイスは、VLAN の変更を検出するメカニズムを備えていません。そのため、新しい VLAN 内の DHCP アドレスのリースが更新されません。ポートバウンスコマンドは、認証されたポートでリンクフラップを発生させることによって、エンドデバイスがDHCP再ネゴシエーションを開始することを強制するために使用されます。

• 既定：ポートバウンス コマンドは、デフォルトでサポートされています。ステートメントを ignore-port-bounce 設定しない場合、デバイスはリンクをフラッピングしてポートバウンスコマンドに応答し、エンドデバイスのDHCPネゴシエーションを再開始します。

認証セッションがタイムアウトする前に、EAPoLリクエストパケットがサプリカントに再送信される最大回数を指定します。

• 範囲：1~10

• 既定：2

再認証を無効にするか、802.1X 認証セッションがタイムアウトする前の秒数を設定し、クライアントは再認証を行う必要があります。

• 範囲：1~65,535秒

• 既定：再認証が有効になっており、クライアントが再認証を試みるまで 3,600 秒です。

RADIUS認証用にタグ付きMACアドレスを許可しないでください。

認証を再試行する前に、サプリカントによる認証試行に失敗した後、インターフェイスが待機状態のままになる秒数を指定します。

• 範囲：0~65,535秒

• 既定：60 秒

認証されていないホストを中央 Web 認証(CWA)サーバーにリダイレクトする URL を指定します。CWA サーバーは、ユーザー名とパスワードを入力できる Web ポータルを提供します。これらの資格情報がCWAサーバーによって検証された場合、ユーザーは認証され、ネットワークへのアクセスが許可されます。

一元的な Web 認証のリダイレクト URL は、AAA サーバー上で一元的に構成することも、スイッチ上でローカルに構成することもできます。ステートメントを redirect-url 使用して、ホストをスイッチに接続するインターフェイス上でローカルにリダイレクトURLを設定します。

一元的な Web 認証プロセスをトリガーするには、リダイレクト URL と動的ファイアウォール フィルターの両方が存在する必要があります。リダイレクトURLと、一元的なWeb認証用の動的ファイアウォールフィルターの設定について、詳しくは 中央Web認証の設定を参照してください。

• 構文：リダイレクト URL は、HTTP または HTTPS プロトコルを使用し、IP アドレスまたは Web サイト名を含める必要があります。有効なリダイレクト URL 形式の例を以下に示します。

  • http://www.example.com

  • https://www.example.com

  • http://10.10.10.10

  • https://10.10.10.10

  • http://www.example.com/login.html

  • https://www.example.com/login.html

  • http://10.10.10.10/login.html

  • https://10.10.10.10/login.html

• 既定：無効。リダイレクト URL は、中央 Web 認証ではデフォルトでは有効になっていません。

サプリカントにEAP要求を送信するよう認証サーバーを構成します。これにより、応答しないサプリカントによる認証セッションのタイムアウトを防ぐことができます。再試行回数は、設定された値に基づいています。

• 範囲：1~10再試行

• 既定：2再試行

最初の障害が発生した後、デバイスがポートの認証を試みる回数を指定します。この制限を超えた場合、ポートは同じ階層レベルで設定された オプションで指定された秒数の間、認証を quiet-period 再試行するまで待機します。

• 範囲：1~10再試行

• 既定：3再試行

RADIUS認証サーバーが利用できなくなった場合に、デバイスに接続されたエンドデバイスをどのようにサポートするかを指定します。サーバー障害時のフォールバックは、再認証時に、すでに構成済みで使用中の RADIUS サーバーにアクセスできない場合に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、RADIUS サーバーを介した認証に対するサプリカントの最初の試みによってトリガーすることもできます。

認証サーバーが利用できない場合、デバイスがエンド デバイスに適用するアクションを指定する必要があります。デバイスは、サプリカントへのアクセスを受け入れるか拒否するか、RADIUSタイムアウトが発生する前に、サプリカントにすでに許可されているアクセスを維持することができます。また、サプリカントを特定のVLANまたはブリッジドメインに移動するようにスイッチを設定することもできます。VLAN またはブリッジ ドメインは、デバイス上ですでに設定されている必要があります。

• 値：bridge-domain—(MX シリーズのみ)インターフェイス上のサプリカントを、この名前または数値識別子で指定されたブリッジ ドメインに移動します。このアクションは、インターフェイスに接続する最初のサプリカントの場合にのみ許可されます。認証済みサプリカントがすでに接続されている場合、サプリカントはブリッジドメインに移動されず、認証されません。ブリッジ ドメインは、デバイス上ですでに設定されている必要があります。

  deny-サプリカント認証を強制して失敗します。トラフィックはインターフェイスを通過しません。

  permit-サプリカント認証を強制的に成功させる。トラフィックは、RADIUSサーバーによって正常に認証されたかのように、インターフェイスを通過します。

  use-cache-サプリカント認証が以前に正常に認証されている場合にのみ、強制的に成功します。このアクションにより、すでに認証されたサプリカントは影響を受けないことを保証します。

  vlan-name—(EX、QFX、またはSRXシリーズのみ)インターフェイス上のサプリカントを、この名前または数値識別子で指定されたVLANに移動します。このアクションは、インターフェイスに接続する最初のサプリカントの場合にのみ許可されます。認証済みサプリカントがすでに接続されている場合、サプリカントはVLANに移動されず、認証されません。VLAN は、デバイス上ですでに設定されている必要があります。

• 既定：RADIUS認証サーバーが利用できなくなった場合、エンドデバイスは認証されず、ネットワークへのアクセスが拒否されます。

(EX、QFX シリーズのみ)RADIUS認証サーバーが利用できなくなった場合に、音声トラフィックを送信するVoIPクライアントをサポートする方法を指定します。サーバー障害時のフォールバックは、再認証時に、すでに構成済みで使用中の RADIUS サーバーにアクセスできない場合に最も頻繁にトリガーされます。ただし、サーバー障害時のフォールバックは、RADIUS サーバーを介した認証に対する VoIP クライアントの最初の試行によってトリガーすることもできます。

認証サーバーが利用できない場合、スイッチが VoIP クライアントに適用するアクションを指定する必要があります。スイッチは、VoIPクライアントへのアクセスを受け入れるか拒否するか、RADIUSタイムアウトが発生する前にクライアントにすでに許可されているアクセスを維持することができます。また、VoIP クライアントを特定の VLAN に移動するようにスイッチを設定することもできます。VLAN は、すでにスイッチ上で設定されている必要があります。

server-fail-voipステートメントは、クライアントから送信されたVoIPタグ付きトラフィックに固有のものです。VoIP クライアントでは、生成する server-fail タグなしトラフィックに対して ステートメントを設定する必要があります。そのため、 ステートメントを設定する場合は、 server-fail-voip ステートメントも設定する server-fail 必要があります。

• 値：deny—VoIP クライアント認証の失敗を強制します。トラフィックはインターフェイスを通過しません。

  permit—VoIP クライアント認証を強制的に成功させる。トラフィックは、RADIUSサーバーによって正常に認証されたかのように、インターフェイスを通過します。

  use-cache— VoIP クライアント認証が以前に正常に認証されている場合にのみ、VoIP クライアント認証を強制的に成功させる。このアクションにより、すでに認証されたクライアントは影響を受けないようにします。

  vlan-name— インターフェイス上の VoIP クライアントを、この名前または数値識別子で指定された VLAN に移動します。このアクションは、インターフェイスに接続する最初の VoIP クライアントの場合にのみ許可されます。認証済み VoIP クライアントがすでに接続されている場合、VoIP クライアントは VLAN に移動されず、認証されません。VLAN は、すでにスイッチ上で設定されている必要があります。

• 既定：RADIUS認証サーバーが利用できなくなった場合、音声トラフィックの送信による認証を開始するVoIPクライアントは認証されず、音声トラフィックは破棄されます。

サプリカントからの応答を認証サーバーにリレーしてからタイミングアウトしてサーバー障害アクションを呼び出す前に、ポートが応答を待つ時間を指定します。

• 範囲：1~60秒

• 既定：30 秒

クライアントの認証に使用する MAC ベースの方法を指定します。

• 値：以下のいずれかを指定します。

  • 単一—認証ポートに接続する最初のクライアントのみを認証します。最初の認証後にオーセンティケータ ポートに接続している他のすべてのクライアントは、追加の認証なしでポートへの無料アクセスを許可されます。最初に認証されたクライアントがログアウトすると、クライアントが再び認証されるまで、他のすべてのサプリカントはロックアウトされます。

  • シングルセキュア:認証ポートに接続するクライアントは 1 つだけです。ホストはスイッチに直接接続されている必要があります。

  • 複数—1つの認証ポートで複数のクライアントを個別に認証します。ポート当たりのクライアント数を設定できます。ポートセキュリティ設定でポートに接続できるデバイスの最大数も設定した場合、設定された値の低い方がポートごとに許可されるクライアントの最大数を決定するために使用されます。

• 既定：単一

要求を再送信する前に、認証サーバーからサプリカントにリクエストをリレーする際に、ポートが応答を待つ秒数を指定します。

• 範囲：1~60秒

• 既定：30 秒

サプリカントに最初の EAPoL PDU を再送信する前に、ポートが待機する秒数を指定します。

• 範囲：1~65,535秒

• 既定：30 秒