Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定

Junos OS リリース 14.2 以降、サーバー障害フォールバックでは、RADIUS 認証サーバーが利用できなくなった場合や、RADIUS アクセス拒否メッセージを送信した場合に、ルーターに接続されたエンド デバイスのサポート方法を指定できます。

802.1X および MAC RADIUS 認証は、 authenticator port access entity (ルーター)を使用して、エンド デバイスの資格情報が authentication server (RADIUS サーバー)で提示および照合されるまで、インターフェイスでエンド デバイスとの間のすべてのトラフィックをブロックすることで機能します。エンドデバイスが認証されると、ルーターはブロックを停止し、エンドデバイスにインターフェイスを開きます。

ルーターで 802.1X または MAC RADIUS 認証を設定する場合、プライマリ認証サーバーと 1 つ以上のバックアップ認証サーバーを指定します。ルーターがプライマリ認証サーバーに到達できず、セカンダリ認証サーバーにも到達できない場合は、RADIUS サーバーのタイムアウトが発生します。認証サーバーは、認証を待機しているエンドデバイスへのアクセスを許可または拒否するため、ルーターはLANへのアクセスを試みるエンドデバイスのアクセス指示を受信せず、通常の認証を完了できません。サーバー障害時のフォールバックにより、認証または再認証を待機しているエンドデバイスに対してルーターが適切なアクションを行えるように、認証の代替手段を設定できます。

注:

サーバー拒否 VLAN と呼ばれる認証フォールバック方式は、802.1X に対応しているが間違った資格を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。サーバー拒否 VLAN を使用して認証されたエンド デバイスが IP 電話の場合、音声トラフィックは許可されません。

CLI を使用して基本的なサーバー障害フォールバック オプションを構成するには:

  • RADIUS サーバーのタイムアウトが発生した場合(エンド デバイスが RADIUS サーバーによって正常に認証された場合など)、サプリカントから LAN へのトラフィックのフローを許可するインターフェイスを設定します。

  • エンドデバイスからLANへのトラフィックフローを防止するインターフェイスを設定します(エンドデバイスが認証に失敗し、RADIUSサーバーによって拒否されたかのように)。

  • RADIUS サーバーのタイムアウトが発生した場合(この場合、VLAN 名は vlan1)、エンド デバイスを指定した VLAN に移動するようにインターフェイスを設定します。

  • 再認証中にRADIUSタイムアウトが発生した場合、すでに接続されているエンドデバイスが再認証済みとして認識するようにインターフェイスを設定します(新しいユーザーはアクセスを拒否されます)。

  • 認証サーバーから RADIUS access-reject メッセージを受信するインターフェイスを設定し、インターフェイス上で LAN アクセスを試みるエンドデバイスを、ルーターにすでに設定されている指定された VLAN(この場合、VLAN 名は vlan-sf)に移動します。

    注:

    IP電話がサーバー拒否VLANで認証されている場合、音声トラフィックは許可されません。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
14.2
Junos OS リリース 14.2 以降、サーバー障害フォールバックでは、RADIUS 認証サーバーが利用できなくなった場合や、RADIUS アクセス拒否メッセージを送信した場合に、ルーターに接続されたエンド デバイスのサポート方法を指定できます。