Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

拡張 LAN モードでの MX シリーズルーターでのサーバーのフォールバックの設定

Junos OS リリース14.2 以降では、サーバーの障害が発生した場合、RADIUS 認証サーバーが使用できなくなった場合や RADIUS のアクセス拒否メッセージを送信した場合に、ルーターに接続されているエンドデバイスをどのようにサポートするかを指定できます。

802.1X および MAC RADIUS 認証は、オーセンティケータ ポート アクセス エンティティ(ルーター)を使用して動作し、エンド デバイスの認証情報が提供され、認証サーバー(RADIUS サーバー)で一致するまで、インターフェイスでエンド デバイスとの間のすべてのトラフィックをブロックします。エンドデバイスが認証されると、ルーターはブロックを停止し、エンドデバイスへのインターフェイスを開きます。

ルーターで 802.1 X または MAC RADIUS 認証を設定する場合は、プライマリ認証サーバーと1つまたは複数のバックアップ認証サーバーを指定します。ルーターでプライマリ認証サーバーに到達できず、セカンダリ認証サーバーにも到達しない場合は、RADIUS サーバータイムアウトが発生します。認証サーバーは、認証を待機しているエンドデバイスへのアクセスを許可または拒否するため、ルーターは LAN へのアクセスを試みるエンドデバイスへのアクセス手順を受信しません。通常の認証は完了できません。サーバーのフォールバックでは、認証または再認証を待機しているエンドデバイスに対して、ルーターが適切なアクションを実行できるように、代替認証を構成することができます。

注:

サーバー拒否の VLANと呼ばれる認証フォールバック方式は、LAN への限定的なアクセスを提供します。通常、802.1 x 対応であっても、誤った認証情報を送信した、応答性の高いエンドデバイスを対象にしています。サーバー拒否 VLAN を使用して認証されたエンドデバイスが IP 電話の場合、音声トラフィックは許可されません。

CLI を使用して、基本的なサーバーフェイルフォールバックオプションを設定するには、次のようにします。

  • RADIUS サーバータイムアウトが発生した場合 (エンドデバイスが RADIUS サーバーによって正常に認証された場合のように)、サプリカントから LAN へのトラフィックフローを許可するようにインターフェイスを構成します。

  • エンドデバイスから LAN へのトラフィックフローを防止するインターフェイスを構成します (エンドデバイスが認証に失敗し、RADIUS サーバーによって拒否された場合など)。

  • サーバータイムアウトが発生した場合にエンド デバイスを指定されたVLAN RADIUSするインターフェイスを設定します(この場合、VLAN名は次になります vlan1 )。

  • 再認証中に RADIUS タイムアウトが発生した場合に、接続されているエンドデバイスを再設定していることを認識するようにインターフェイスを構成します (新しいユーザーのアクセスは拒否されます)。

  • 認証サーバーからRADIUSアクセス拒否メッセージを受信するインターフェイスを設定し、インターフェイス上でLANアクセスを試みるエンド デバイスをルーター上に設定済みの指定VLANに移動します(このケースでは、VLAN名は次の場合)。 vlan-sf

    注:

    IP 電話がサーバー拒否 VLAN で認証されている場合、音声トラフィックは許可されません。

リリース履歴テーブル
リリース
説明
14.2
Junos OS リリース14.2 以降では、サーバーの障害が発生した場合、RADIUS 認証サーバーが使用できなくなった場合や RADIUS のアクセス拒否メッセージを送信した場合に、ルーターに接続されているエンドデバイスをどのようにサポートするかを指定できます。