Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

拡張 LAN モードでの MX シリーズ ルーターでのサーバー障害フォールバックの設定

Junos OS リリース 14.2 以降では、サーバー障害時のフォールバックにより、RADIUS 認証サーバーが利用できなくなったり、RADIUS アクセス拒否メッセージが送信されたりした場合に、ルーターに接続されたエンド デバイスをどのようにサポートするかを指定できます。

802.1XおよびMAC RADIUS認証は、(ルーター)を authenticator port access entity 使用して、(RADIUSサーバー)でエンドデバイスの認証情報が提示および一致されるまで、インターフェイスのエンドデバイスとの間のすべてのトラフィックを authentication server ブロックすることで機能します。エンドデバイスが認証されると、ルーターはブロックを停止し、インターフェイスをエンドデバイスに開きます。

ルーターで 802.1X または MAC RADIUS 認証を設定する場合、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。プライマリ認証サーバーにルーターが到達できず、セカンダリ認証サーバーにも到達できない場合、RADIUSサーバーのタイムアウトが発生します。認証サーバーは、認証を待機しているエンドデバイスへのアクセスを許可または拒否するため、ルーターはLANへのアクセスを試みるエンドデバイスのアクセス手順を受け取らず、通常の認証を完了できません。サーバー障害時のフォールバックでは、認証または再認証を待っているエンド デバイスに対してルーターが適切なアクションを取るように、認証の代替手段を設定できます。

注:

サーバー拒否 VLAN と呼ばれる認証フォールバック方法は、802.1X に対応しているが誤った認証情報を送信した応答エンド デバイスに対して、通常はインターネットだけに LAN への限定アクセスを提供します。サーバー拒否 VLAN を使用して認証されたエンド デバイスが IP 電話の場合、音声トラフィックは許可されません。

CLI を使用して基本的なサーバー障害時フォールバック オプションを構成するには、次の手順に従います。

  • RADIUSサーバーのタイムアウトが発生した場合(RADIUSサーバーによってエンドデバイスが正常に認証されているかのように)、サプリカントからLANにトラフィックが流れるようにインターフェイスを設定します。

  • エンドデバイスからLANへのトラフィックフローを防止するためにインターフェイスを設定します(エンドデバイスが認証に失敗し、RADIUSサーバーによって拒否されたかのように)。

  • RADIUSサーバーのタイムアウトが発生した場合、エンドデバイスを指定されたVLANに移動するようにインターフェイスを設定します(この場合、VLAN名は です vlan1)。

  • 再認証中にRADIUSタイムアウトが発生した場合、すでに接続されたエンドデバイスを再認証として認識するようにインターフェイスを設定します(新しいユーザーはアクセスを拒否されます)。

  • 認証サーバーからRADIUSアクセス拒否メッセージを受信するインターフェイスを設定し、インターフェイス上でLANアクセスを試みるエンドデバイスを、ルーター上ですでに設定されている指定されたVLANに移動させます(この場合、VLAN名は です vlan-sf)。

    注:

    サーバー拒否 VLAN で IP 電話が認証されている場合、音声トラフィックは許可されません。

リリース履歴テーブル
リリース
説明
14.2
Junos OS リリース 14.2 以降では、サーバー障害時のフォールバックにより、RADIUS 認証サーバーが利用できなくなったり、RADIUS アクセス拒否メッセージが送信されたりした場合に、ルーターに接続されたエンド デバイスをどのようにサポートするかを指定できます。