拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
Junos OS リリース 14.2 以降では、ホストが接続されている MX シリーズ ルーター インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。
また、認証の静的 MAC バイパス用に MAC アドレスを構成することで、802.1X 非対応デバイスに LAN へのアクセスを許可することもできます。
802.1X認証も許可されたインターフェイスでMAC RADIUS認証を設定することも、いずれかの認証方式を単独で設定することもできます。
インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、ルーターは最初にホストに 3 つの EAPOL 要求をホストに送信します。ホストからの応答がない場合、ルーターはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーはMACアドレスが許可されたアドレスであるというメッセージをルーターに送信し、ルーターは接続されているインターフェイス上の応答していないホストにLANアクセスを開きます。
MAC RADIUS認証がインターフェイスで構成されているが、802.1X認証が( mac-radius restrict オプションを使用して)構成されていない場合、ルーターは最初に802.1X認証を試行することで、遅延することなくRADIUSサーバーでMACアドレスの認証を試みます。
MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。
MX シリーズ ルーターと RADIUS サーバー間の構成済み基本アクセス。
MX240、MX480、MX960ルーターを、
[edit chassis]
階層レベルでnetwork-services lan
ステートメントを入力して、拡張LANモードで機能するように設定。
CLI を使用して MAC RADIUS 認証を設定するには、次の手順に従います。
ルーターで、応答しないホストがMAC RADIUS認証用に接続されているインターフェイスを設定し、インターフェイスge-0/0/20のrestrict修飾子を追加して、MAC RADIUS認証のみを使用するようにします。
[edit] user@router# set protocols authentication-access-control interface ge-0/0/19 dot1x mac-radius user@router# set protocols authentication-access-control interface ge-0/0/20 dot1x mac-radius restrict
RADIUS認証サーバー上で、ユーザー名とパスワードとして、応答しないホストのMACアドレス(コロンなし)を使用して、応答しない各ホストのユーザープロファイルを作成します(ここでは、MACアドレスは 00:04:0f:fd:ac:fe と 00:04:ae:cd:23:5fです)。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。