IEEE 802.1XとMAC RADIUS認証はどちらもネットワークエッジセキュリティを提供し、サプリカントの認証情報またはMACアドレスが authentication server (RADIUSサーバー)で提示および一致されるまで、インターフェイスでデバイスとの間のすべてのトラフィックをブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、ルーターはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
Junos OS Release 14.2以降、802.1XまたはMAC RADIUS認証を使用するには、接続先のRADIUSサーバーごとにルーターで接続を指定する必要があります。
ルーターでRADIUSサーバーを設定するには、次の手順に従います。
- RADIUS サーバーの IP アドレス、RADIUS サーバー認証ポート番号、シークレット パスワードを定義します。複数の RADIUS サーバーを定義できます。ルーターの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。
[edit access]
user@router# set radius-server 10.0.0.100 port 1812 secret abc
注: 認証ポートの指定はオプションであり、ポート 1812 がデフォルトです。ただし、一部のRADIUSサーバーは古いデフォルトを参照する可能性があるため、混乱を避けるために設定することをお勧めします。
- (オプション)RADIUS サーバーがルーターを識別するために使用する IP アドレスを指定します。これを指定しない場合、RADIUS サーバーは RADIUS 要求を送信するインターフェイスのアドレスを使用します。要求が RADIUS サーバーへの代替ルートで迂回される場合、要求をリレーするインターフェイスがルーター上のインターフェイスではない可能性があるため、この IP アドレスを指定することをお勧めします。
[edit access]
user@router# set radius-server source-address 10.93.14.100
- 認証順序を設定し、radiusを最初の認証方法にします。
[edit access]
user@router# set profile profile1 authentication-order radius
- プロファイルを作成し、そのプロファイルに関連付けるRADIUSサーバーのリストを指定します。たとえば、RADIUS サーバーを都市別に地理的にグループ化することを選択できます。この機能により、別の送信認証サーバーに変更するたびに簡単に変更できます。
[edit access profile]
user@router# set atlanta radius authentication-server 10.0.0.100 10.2.14.200
- プロファイル名を特定して、802.1X または MAC RADIUS 認証に使用するサーバーのグループを指定します。
[edit access profile]
user@router# set protocols authentication-access-control authentication-profile-name denver
- RADIUSサーバー上のクライアントリストで、MXシリーズルーターのIPアドレスを設定します。RADIUS サーバーの構成の詳細については、サーバーのドキュメントを参照してください。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
14.2
Junos OS Release 14.2以降、802.1XまたはMAC RADIUS認証を使用するには、接続先のRADIUSサーバーごとにルーターで接続を指定する必要があります。