Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定

Junos OS リリース 14.2 以降では、ホストが接続されている MX シリーズ ルーター インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。

注:

また、認証の静的 MAC バイパス用に MAC アドレスを構成することで、802.1X 非対応デバイスに LAN へのアクセスを許可することもできます。

802.1X認証も許可されたインターフェイスでMAC RADIUS認証を設定することも、いずれかの認証方式を単独で設定することもできます。

インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、ルーターは最初にホストに 3 つの EAPOL 要求をホストに送信します。ホストからの応答がない場合、ルーターはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーはMACアドレスが許可されたアドレスであるというメッセージをルーターに送信し、ルーターは接続されているインターフェイス上の応答していないホストにLANアクセスを開きます。

MAC RADIUS認証がインターフェイスで構成されているが、802.1X認証が( mac-radius restrict オプションを使用して)構成されていない場合、ルーターは最初に802.1X認証を試行することで、遅延することなくRADIUSサーバーでMACアドレスの認証を試みます。

MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。

  • MX シリーズ ルーターと RADIUS サーバー間の構成済み基本アクセス。

  • MX240、MX480、MX960ルーターを、[edit chassis]階層レベルでnetwork-services lanステートメントを入力して、拡張LANモードで機能するように設定。

CLI を使用して MAC RADIUS 認証を設定するには、次の手順に従います。

  • ルーターで、応答しないホストがMAC RADIUS認証用に接続されているインターフェイスを設定し、インターフェイスge-0/0/20restrict修飾子を追加して、MAC RADIUS認証のみを使用するようにします。

  • RADIUS認証サーバー上で、ユーザー名とパスワードとして、応答しないホストのMACアドレス(コロンなし)を使用して、応答しない各ホストのユーザープロファイルを作成します(ここでは、MACアドレスは 00:04:0f:fd:ac:fe00:04:ae:cd:23:5fです)。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
14.2
Junos OS リリース 14.2 以降では、ホストが接続されている MX シリーズ ルーター インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。