拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
Junos OS リリース 14.2 以降では、ホストが接続されている MX シリーズ ルーター インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。
また、認証の静的 MAC バイパス用に MAC アドレスを構成することで、802.1X 非対応デバイスに LAN へのアクセスを許可することもできます。
802.1X認証も許可されたインターフェイスでMAC RADIUS認証を設定することも、いずれかの認証方式を単独で設定することもできます。
インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、ルーターは最初にホストに 3 つの EAPOL 要求をホストに送信します。ホストからの応答がない場合、ルーターはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーはMACアドレスが許可されたアドレスであるというメッセージをルーターに送信し、ルーターは接続されているインターフェイス上の応答していないホストにLANアクセスを開きます。
MAC RADIUS認証がインターフェイスで構成されているが、802.1X認証が(オプションを使用して )構成されていない場合、ルーターは最初に802.1X認証を試行することで、遅延することなくRADIUSサーバーでMACアドレスの認証を試みます。mac-radius restrict
MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。
MX シリーズ ルーターと RADIUS サーバー間の構成済み基本アクセス。
階層レベルで ステートメントを入力して、MX240、MX480、MX960ルーターを拡張LANモードで機能するように設定。
network-services lan[edit chassis]
CLI を使用して MAC RADIUS 認証を設定するには、次の手順に従います。
ルーターで、応答しないホストがMAC RADIUS認証用に接続されているインターフェイスを設定し、インターフェイスの修飾子を追加してMAC RADIUS認証のみを使用するようにします。restrictge-0/0/20
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
RADIUS認証サーバー上で、ユーザー名とパスワードとして、応答しないホストのMACアドレス(コロンなし)を使用して、応答しない各ホストのユーザープロファイルを作成します(ここでは、MACアドレスは と です)。00:04:0f:fd:ac:fe00:04:ae:cd:23:5f
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。