Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 x 認証

802.1 X 規格は、ポートベースのネットワークアクセスコントロールに対応し、許可されていないユーザーアクセスからイーサネット Lan を保護します。 IEEE サプリカント (client) との間のすべてのトラフィックを、認証サーバー (RADIUS サーバー) 上で、サプリカントの資格情報が提示および照合されるまでブロックします。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、認証要求側へのインターフェイスを開きます。詳細については、このトピックをお読みください。

802.1 x for スイッチの概要

802.1 X 認証の仕組み

802.1 x 認証は、認証サーバー (エンドデバイス) からの受信トラフィックをポートでブロックするために、サプリカントポートアクセスエンティティ (スイッチ) を使用することによって機能します。これにより、要求側の資格情報の提示された条件に応じて、(RADIUS サーバー) に対応できるようになります。認証があると、スイッチはトラフィックのブロックを停止し、そのポートをサプリカントにオープンします。

エンド デバイスは、単一サプリ カン ト モード、シングルセキュア サプリカント モード、または複数のサプリ カン ト モードで 認証 されます。

  • 単一サプリカント :最初のエンドデバイスのみ認証します。後でポートに接続するその他のすべてのエンドデバイスは、それ以上の認証がなくてもフルアクセスが許可されます。最初の エンド デバイスの 認証を実際に実行するのです。

  • シングルセキュア サプリカント:ポートに接続できるエンド デバイスは 1 台に限定されます。最初のデバイスがログアウトするまで、他のエンドデバイスは接続できません。

  • 複数サプリカント—複数のエンド デバイスをポートに接続できます。各エンドデバイスは個別に認証されます。

ネットワークアクセスは、Vlan とファイアウォールフィルターを使用してさらに定義できます。どちらも、エンドデバイスのグループを、必要な LAN のエリアと一致させて対応するフィルターとして機能します。たとえば、Vlan を設定して、さまざまな種類の認証失敗に対応するには、以下のようにします。

  • エンドデバイスが 802.1 X 対応であるかどうかを示します。

  • ホストが接続されているスイッチインターフェイス上で、MAC RADIUS 認証が設定されているかどうかを示します。

  • RADIUS 認証サーバーが利用できない状態になっているか、RADIUS のアクセス拒否メッセージを送信しているかどうか。RADIUS サーバー障害の設定 (CLI の手順)を参照してください。

802.1 x 機能の概要

ジュニパーネットワークスイーサネットスイッチでは、以下の 802.1 X 機能がサポートされています。

  • ゲスト VLAN—ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が設定されていない場合、応答しないエンド デバイスに対して、LAN へのアクセス(通常はインターネットのみ)に制限されます。また、ゲスト VLAN を使用して、ゲストユーザーに対して LAN への制限されたアクセスを提供することもできます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスにのみアクセスできます。

  • サーバー拒否 VLAN — 802.1X 対応で、誤った認証情報を送信した応答性の高いエンド デバイスの LAN へのアクセスは制限されます(通常はインターネットに限り)。サーバー拒否 VLAN を使用して認証されたエンドデバイスが IP 電話の場合、音声トラフィックは許可されません。

  • サーバー障害 VLAN —サーバーのタイムアウト中の 802.1 RADIUS X エンド デバイスに対して、LAN へのアクセスは制限されます(通常はインターネットのみ)。

  • 動的 VLAN —認証後のエンド デバイスを VLAN のメンバーに動的に有効にします。

  • プライベート VLAN—PVLAN(プライベート VLAN)のメンバーであるインターフェイス上で 802.1X 認証の設定を有効にします。

  • ユーザー セッションへの動的変更 — スイッチ管理者が既に認証されたセッションを終了できます。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。

  • VoIP VLAN —IP 電話をサポートします。IP 電話における音声 VLAN の実装は、ベンダーによって異なります。電話が 802.1 X 対応になっている場合は、他のすべてのサプリカントと同様に認証されます。電話が 802.1 X 対応ではなく、別の 802.1 X 互換デバイスがデータポートに接続されている場合、そのデバイスは認証され、VoIP トラフィックは電話から送受信できます (インターフェイスが単一のサプリカントモードで構成されていて、それ以外の場合、単一の secure サプリカントモード)。

    注:

    プライベート VLAN (PVLAN) インターフェイスでの VoIP VLAN の設定はサポートされていません。

  • RADIUSアカウンティング — アカウンティング情報を別のアカウンティング サーバー RADIUS送信します。加入者がログインまたはログアウトしたとき、および加入者がサブスクリプションをアクティブ化または非アクティブ化するたびに、アカウンティング情報がサーバーに送信されます。

  • RADIUS 802.1X のサーバー属性 - 802.1X 認証プロセス中にサプリカントのアクセスをさらに定義するように RADIUS サーバー上で設定できるベンダー固有の属性 Juniper-Switching-Filter (VSA)です。認証サーバー上で属性を一元的に設定する obviates、サプリカントが LAN に接続する LAN 内のすべてのスイッチで、これらの同じ属性をファイアウォールフィルタの形式で設定する必要があります。この機能は、RLI 4583、AAA RADIUS BRAS の VSA サポートをベースとしています。

802.1 X 対応ではないデバイスの認証には、以下の機能がサポートされています。

  • 静的 MAC バイパス:802.1X 対応ではないデバイス(プリンターなど)を認証するためのバイパス メカニズムを提供します。静的な MAC バイパスは、これらのデバイスを 802.1 X 対応ポートに接続し、802.1 X 認証をバイパスします。

  • MAC RADIUS認証:802.1X 対応ではないホストによる LAN へのアクセスを許可する手段を提供します。MAC-RADIUS は、クライアントデバイスのサプリカント機能を、ユーザー名とパスワードとしてのクライアントの MAC アドレスを使用してシミュレートします。

トランクポートでの 802.1 x 認証

Junos OS リリース 18.3 R1 では、802.1 X 認証をトランクインターフェイス上で設定できます。これにより、ネットワークアクセスデバイス (NAS) がアクセスポイント (AP) またはその他の接続されたレイヤー2デバイスを認証することが可能になります。NAS に接続された AP またはスイッチは、複数の Vlan をサポートするため、トランクポートに接続する必要があります。トランクインターフェイスで 802.1 X 認証を有効にすると、攻撃者が AP を切断し、ラップトップを接続して、構成済みのすべての Vlan のネットワークに自由にアクセスできるようになるため、セキュリティ違反から NAS を保護できます。

トランクインターフェイス上で 802.1 X 認証を構成する際には、以下の点に注意してください。

  • トランクインターフェイスでサポートされるのは、単一および単一のセキュアなサプリカントモードのみです。

  • 802.1 X 認証は、トランクインターフェイスでローカルに設定する必要があります。このset protocol dot1x interface allコマンドを使用して 802.1 x 認証をグローバルに構成した場合、構成はトランクインターフェイスに適用されません。

  • ダイナミック VLAN はトランクインターフェイスではサポートされていません。

  • ゲスト VLAN とサーバー拒否 VLAN はトランクインターフェイスではサポートされていません。

  • サーバーでの VoIP クライアントのフォールバックは、トランクインターフェイス (server-fail-voip) ではサポートされていません。

  • トランクポートでの認証は、専用ポータルではサポートされていません。

  • トランクポートでの認証は集約型インタフェースではサポートされていません。

  • プライベート Vlan (PVLANs) のメンバーであるインターフェイスでの 802.1 X 認証の構成は、トランクポートではサポートされていません。

レイヤー 3 インターフェイスでの 802.1X 認証

リリース Junos OS リリース 20.2R1、レイヤー 3 インターフェイスで 802.1X 認証を設定できます。レイヤー 3 インターフェイスで 802.1X 認証を設定する場合は、以下の注意点に注意してください。

  • EAP 対応クライアントのみサポートされます。

  • 単一サプリカント モードのみサポートされています。

  • 802.1X 認証は、レイヤー 3 インターフェイスでローカルに設定する必要があります。コマンドを使用して 802.1X 認証をグローバルに設定した場合、設定はレイヤー set protocol dot1x interface all 3 インターフェイスに適用されません。

  • レイヤー 3 インターフェイスのサポートに IRB やサブインターフェイスは含されていません。

  • ゲスト VLAN、サーバー拒否 VLAN、サーバー障害 VLAN はサポートされていません。

  • VoIP クライアントのサーバー障害時フォールバックはサポートされていません( server-fail-voip )。

  • レイヤー 3 インターフェイスで認証されたクライアントに対して、RADIUS アクセス受け入れまたは COA メッセージの一部として認証サーバーから受け入れられるのは、以下の属性のみです。

    • ユーザー名

    • セッションタイムアウト

    • 電話局 ID

    • Acct-セッション ID

    • NAS-Port-Id

    • ポートバウンス

802.1 X インターフェイス設定の構成 (CLI 手順)

IEEE 802.1X 認証により、ネットワーク エッジ セキュリティーが提供され、サプリカントの認証情報が提供され、認証サーバー(RADIUS サーバー)で一致するまで、インターフェイスでサプリカント(クライアント)との全トラフィックをブロックし、不正なユーザー アクセスからイーサネット LAN を保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、認証要求側へのインターフェイスを開きます。

注:

開始する前に、認証サーバーとして使用する RADIUS サーバーを指定します。スイッチ上での RADIUS サーバー接続の指定 (CLI 手順)を参照してください。

インターフェイスで 802.1 X を構成するには、次のようにします。

  1. サプリカント モードを(最初のサプリカントを認証)、(1つのサプリカントのみを認証)、または(複数のサプリカントを認証) singlesingle-securemultiple として設定します。
    注:

    複数のサプリカントモードは、トランクインターフェイスでサポートされていません。

  2. 再認証を有効にし、再認証間隔を指定します。
  3. 応答のインターフェイスタイムアウト値をサプリカントから設定します。
  4. RADIUS サーバーに認証要求を再送する前に、インターフェイスのタイムアウトを設定します。
  5. 最初の EAPOL Pdu をサプリカントに再送するまでにインターフェイスが待機する時間を秒単位で構成します。
  6. 認証セッションがタイムアウトする前に、EAPOL 要求パケットがサプリカントに再伝送される最大回数を設定します。
  7. スイッチが最初に障害が発生した後、ポートの認証を試みる回数を設定します。ポートは、認証の試行後、quiet 期間中は待機状態のままになります。
  8. サーバーに server-fail 障害が発生しないよう、拒否に設定します。
注:

この設定は、スイッチがインターフェイスを保留状態にするまでの試行回数を指定します。

許可されたユーザーセッションへの RADIUS から開始された変更について理解する

クライアント/サーバー RADIUS モデルに基づく認証サービスを使用している場合、要求は通常、クライアントによって開始され、RADIUS サーバーに送られます。すでに実行中の認証済みユーザーセッションを動的に変更するために、サーバーによって要求が開始され、クライアントに送られる場合があります。メッセージを受信して処理するクライアントは、ネットワークアクセスサーバー、NAS として機能するスイッチです。サーバーは、セッションの終了を要求する切断メッセージまたはセッション承認属性の変更を要求する認証 (CoA) メッセージを、スイッチに送信することができます。

このスイッチは、UPD ポート3799上で一方的な要請されない RADIUS 要求をリッスンし、信頼できるソースからのリクエストのみを受け付けます。接続解除または CoA ラベルを送信する許可は、発信元アドレスと、対応する共有シークレットを基に決定されます。これは、スイッチと RADIUS サーバーの両方で設定する必要があります。スイッチ上での送信元アドレスと共有シークレットの設定について、詳しくは 次の例を参照 してください。802.1 X の RADIUS サーバーを EX シリーズスイッチに接続します。

切断メッセージ

RADIUS サーバーは、ユーザーセッションを終了し、関連付けられたセッションコンテキストをすべて破棄するために、切断要求メッセージをスイッチに送信します。このスイッチは、要求が成功した場合には切断要求パケットに応答します。これは、関連付けられたセッションコンテキストがすべて破棄され、ユーザーセッションが接続されなくなった場合、または要求が失敗した場合に切断 NAK パケットによってつまり、オーセンティケータはセッションを切断して、関連するすべてのセッションコンテキストを破棄することはできません。

切断要求メッセージでは、RADIUS 属性を使用してスイッチ (NAS) とユーザーセッションを一意に識別します。要求が成功するには、メッセージに含まれる NAS 識別属性とセッション識別属性の組み合わせが少なくとも1つのセッションと一致している必要があります。そうでない場合、スイッチは切断されたことを指定したメッセージで応答します。切断要求メッセージには、NAS とセッション識別属性のみを含めることができます。その他の属性が含まれている場合、スイッチは切断されたことを示したメッセージで応答します。

認証メッセージの変更

承認の変更 (CoA) メッセージには、ユーザーセッションの承認レベルを変更するための権限属性を動的に変更するための情報が含まれています。これは2段階の認証プロセスの一部として発生し、エンドポイントは最初に MAC RADIUS 認証を使用して認証され、その後、デバイスのタイプに基づいてプロファイリングが行われるようになっています。CoA メッセージは、通常、データフィルターまたは VLAN を変更することで、デバイスに適したポリシーを適用するために使用されます。

このスイッチは、認証変更が成功した場合は coa メッセージ、または、変更が失敗した場合は CoA 否定メッセージを使用した CoA メールに応答します。CoA メッセージに指定されている1つ以上の許可変更が実行できない場合、スイッチは CoA 否定メッセージで応答します。

CoA 要求メッセージでは、RADIUS 属性を使用してスイッチ (NAS として機能する) とユーザーセッションを一意に識別します。メッセージに含まれる NAS 識別属性とセッション識別属性の組み合わせは、要求が成功するために少なくとも1つのセッションの識別属性と一致している必要があります。それ以外の場合、スイッチは CoA 否定メッセージで応答します。

また、CoA リクエストパケットには、リクエストが受け入れられた場合に変更されるセッション認証属性もあります。サポートされているセッション承認属性を以下に示します。CoA メッセージには、これらの属性の一部またはすべてを含めることができます。いずれかの属性が CoA 要求メッセージの一部として含まれていない場合、NAS はその属性の値が変更されないことを前提とします。

  • フィルター-ID

  • トンネルプライベートグループ ID

  • Juniper スイッチングフィルター

  • Juniper-VoIP-VLAN

  • セッションタイムアウト

CoA リクエストポートバウンス

認証されたホストの VLAN を変更するために CoA メッセージを使用する場合、プリンターなどのエンドデバイスは VLAN 変更を検知するメカニズムを備えていないため、新しい VLAN で DHCP アドレスのリースが更新されることはありません。Junos OS リリース17.3 から開始すると、ポートバウンス機能を使用して、認証ポートのリンクフラップを発生させて、エンドデバイスが DHCP 再ネゴシエーションを開始するように強制できます。

ポートをバウンスするコマンドは、ジュニパーネットワークスベンダー固有の属性 (VSA) を使用して RADIUS サーバーから送信されます。RADIUS サーバーからの CoA メッセージに以下の VSA 属性値ペアが含まれている場合、ポートがバウンスされます。

  • ジュニパー-AVペア = 「ポートバウンス」

ポートバウンス機能を有効にするには、Juniper-AV ペアのjuniper.dctVSA を使用して RADIUS サーバー上の Junos dictionary ファイル () を更新する必要があります。辞書ファイルを検索して、次のテキストをファイルに追加します。

VSA を追加する方法の詳細については、FreeRADIUS のマニュアルを参照してください。

この機能を無効にするにはignore-port-bounce 、[edit protocols dot1x authenticator interface interface-name] hierachy レベルでステートメントを構成します。

エラー原因コード

切断または CoA 現象が失敗した場合は、NAS からサーバーに送信された応答メッセージにエラー原因属性 (RADIUS 属性 101) が含まれ、問題の原因の詳細を提供することができます。検出されたエラーがサポート対象のエラー原因属性値のいずれにも割り当てられていない場合、ルーターはエラー原因の属性を使用せずにそのメッセージを送信します。NAS 表 1から送信される応答メッセージに含まれるエラー原因コードの詳細については、を参照してください。

表 1: エラー原因コード (RADIUS 属性 101)

コーディング

金額

説明

201

削除された残留セッションコンテキスト

1つまたは複数のユーザーセッションがアクティブでなく、残留セッションコンテキストが見つかり、正常に削除された場合に、切断要求メッセージに対する応答として送信されます。このコードは、切断-ACK メッセージ内でのみ送信されます。

401

サポートされない属性

この要求には、サポートされていない属性 (サードパーティの属性など) が含まれています。

402

属性がありません

重要な属性 (session id 属性など) が要求に含まれていません。

403

NAS 識別情報の不一致

要求には、要求を受信 NAS の id と一致しない1つ以上の NAS 識別属性が含まれています。

404

無効なリクエスト

リクエストの他の面は無効です。たとえば、1 つ以上の属性が適切にフォーマットされていない場合などです。

405

サポートされないサービス

要求に含まれているサービスタイプ属性は、無効またはサポートされていない値を含んでいます。

406

サポートされない拡張

リクエストを受信しているエンティティー (NAS または RADIUS プロキシ) は、RADIUS で開始されたリクエストをサポートしていません。

407

無効な属性値

この要求には、サポートされていない値を持つ属性が含まれています。

501

管理による禁止

NAS は、指定されたセッションに対して切断要求メッセージまたは CoA (送信) 要求を禁止するように設定されています。

503

セッションコンテキストが見つかりません

要求で指定されたセッションコンテキストは NAS に存在しません。

504

セッションコンテキストはリムーバブルではありません

リクエスト内の属性によって識別される加入者は、サポートされていないコンポーネントによって所有しています。このコードは、切断された NAK メッセージ内でのみ送信されます。

506

リソース利用不可

要求が受け入れられませんでした。利用可能な NAS リソース (メモリなど) が不足していることが原因です。

507

リクエスト開始

CoA リクエストメッセージには、値が承認のみのサービスタイプ属性が含まれています。

508

マルチセッションの選択はサポートされていません

この要求に含まれるセッション識別属性は複数のセッションに一致しますが、NAS は複数のセッションに適用される要求をサポートしていません。

RADIUS サーバー属性を使用した 802.1 X サプリカントのフィルタリング

ポートファイアウォールフィルターを使用して RADIUS サーバーを構成するには、次の2つの方法があります (レイヤー2ファイアウォールフィルター)。

  • Juniper スイッチングフィルターの属性に1つまたは複数のフィルター条件が含まれています。Juniper ・スイッチング・フィルター属性は、RADIUS サーバーの Juniper 辞書にある属性 ID 番号48の下にリストされたベンダー固有の属性 (VSA) です。この VSA を使用して、802.1 X 認証ユーザーに対してシンプルなフィルタ条件を構成します。スイッチ上で設定する必要はありません。すべての構成は RADIUS サーバー上にあります。

  • 各スイッチのローカルファイアウォールフィルターを構成し、RADIUS サーバーを通じて認証されたユーザーにそのファイアウォールフィルターを適用します。この方法は、より複雑なフィルターに使用します。各スイッチでファイアウォールフィルタを設定する必要があります。

    注:

    ユーザーが 802.1 X 認証を使用して認証された後でファイアウォールフィルタ構成を変更した場合、確立された 802.1 X 認証セッションを終了して、ファイアウォールフィルタ設定の変更に再設定する必要があります。与える.

このトピックでは、以下のタスクについて説明します。

RADIUS サーバーでのファイアウォールフィルターの構成

簡易フィルター条件を構成するには、RADIUS サーバーの Juniper 辞書で Juniper スイッチフィルター属性を使用します。これらのフィルターは、新しいユーザーが正常に認証されるたびに、スイッチに送信されます。フィルターは、その RADIUS サーバーを通じてユーザーを認証するすべての EX シリーズスイッチ上に作成され、個々のスイッチで何も構成する必要なく、すべての機能を使用します。

注:

この手順では、FreeRADIUS ソフトウェアを使用して Juniper スイッチングフィルターの VSA を構成する方法について説明します。サーバーの構成に関する具体的な情報については、お使いのサーバーに付属する AAA マニュアルを参照してください。

Juniper スイッチフィルター属性を構成するには、RADIUS サーバーの CLI を使用して1つまたは複数のフィルター条件を入力します。各フィルタ条件は、対応するアクションを含むマッチング条件で構成されます。以下の構文を使用して、引用符 ("") 内のフィルタ用語 ("") を入力します。

フィルター条件には、複数の一致条件を含めることができます。フィルター条件に複数の条件が指定されている場合は、フィルター条件に一致するように、パケットをすべて満たす必要があります。たとえば、次のフィルタ用語は、宛先 IP アドレスと宛先 MAC アドレスの両方を条件に一致させるためにパケットを必要としています。

複数のフィルタ条件はカンマで区切る必要があります。たとえば、次のようになります。

Juniper スイッチフィルター 」を参照してください。条件とアクションの定義に関する条件と行動に対応します。

注:

EX9200 スイッチの場合、および集約デバイスとして EX9200 を持つ Junos Fusion Enterprise では、すべての IP パケットに動的ファイアウォールフィルターが適用されます。特定の宛先 IP アドレスのみを許可するようにフィルターが設定されている場合、宛先 IP として他の IP アドレスを持つパケットは、フィルタルールに従ってドロップされます。これには、DHCP、IGMP、ARP パケットなどの IP プロトコルパケットが含まれます。

RADIUS サーバーで match 条件を設定するには、次のようにします。

  1. ネットワーク 辞書が ジュニパー RADIUSサーバーにロードされ、フィルタリング属性(属性 Juniper-Switching-Filter ID 48)が含まれているか検証します。
  2. 照合条件とアクションを入力します。たとえば、以下のように記述します。
    • 802.1Q タグに基づいて認証を拒否するには(ここでは 802.1Q タグは次の値です 10 )。

      関連するユーザーごとに、属性を追加 Juniper-Switching-Filter します。

    • 宛先 IP アドレスに基づいてアクセスを拒否するには、次のようにします。

      関連するユーザーごとに、属性を追加 Juniper-Switching-Filter します。

    • PLP(パケット損失の優先度)を宛先プロトコルと IP プロトコルに基MAC アドレスするには、次 high の方法に示します。

      関連するユーザーごとに、属性を追加 Juniper-Switching-Filter します。

      注:

      オプションを forwarding-class 適用するには、転送クラスをスイッチ上に設定し、指定したパケット ロスの優先度を設定する必要があります。スイッチに設定されていない場合、このオプションは無視されます。転送クラスとパケットロスの優先度の両方を指定する必要があります。

  3. RADIUS プロセスを停止して再起動し、構成をアクティブにします。

RADIUS サーバーからローカルに構成されたファイアウォールフィルターを適用します。

RADIUS サーバーから一元的にユーザーポリシーにポートファイアウォールフィルター (レイヤー2ファイアウォールフィルター) を適用できます。その後、RADIUS サーバーは、認証を要求する各ユーザーに適用するファイアウォールフィルターを指定して、複数のスイッチ上で同じファイアウォールフィルターを構成する必要性を軽減します。ファイアウォールフィルターに多数の条件が含まれる場合、または異なるスイッチで同じフィルターに異なる条件を使用する場合は、この方法を使用します。各スイッチにはファイアウォールフィルターを設定する必要があります。

ファイアウォールフィルターの詳細については、「 EX シリーズスイッチのファイアウォールフィルター」を参照してください。

ポートファイアウォールフィルターを RADIUS サーバーから一元的に適用するには、次のようにします。

注:

ポートファイアウォールフィルターも、インターフェイスに対してローカルに設定されている場合は、Vsa を使用して構成されたファイアウォールフィルターが、ローカルに設定されたポートファイアウォールフィルターと競合すると優先されます。競合が発生していない場合は、マージされます。

  1. ローカルスイッチ上にファイアウォールフィルターを作成します。ポートファイアウォールフィルターの構成の詳細については、ファイアウォールフィルターの構成 (CLI プロシージャ)を参照してください。
  2. RADIUS サーバーで、ファイルを開いusersて、フィルタを適用するエンドデバイスのローカルユーザープロファイルを表示します。

  3. フィルタ名を属性値として含むフィルタ ID 属性を追加して、各ユーザープロファイルにフィルタを適用します。

    たとえば、以下のsupplicant1ユーザープロファイルには、フィルタ名filter1のフィルタ ID 属性が含まれています。

    注:

    1つのインターフェイスでは、複数のフィルターはサポートされていません。ただし、各ユーザーのポリシーを使用して1つのフィルターを構成することにより、同じインターフェイス上でスイッチに接続されている複数のユーザーに対して複数のフィルターをサポートできます。

  4. RADIUS プロセスを停止して再起動し、構成をアクティブにします。

例:802.1 X の RADIUS サーバーと EX シリーズスイッチの接続

802.1 x は、ポートベースのネットワークアクセスコントロール (PNAC) における IEEE 規格です。802.1 X を使用して、ネットワークアクセスを制御します。ユーザーデータベースに対して検証されたユーザーとデバイスだけがネットワークにアクセスできます。RADIUS サーバーは、802.1 X 認証用のユーザーデータベースとしても、MAC RADIUS 認証にも使用できます。

この例では、RADIUS サーバーを EX シリーズスイッチに接続し、それを 802.1 X 用に設定する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

サーバーをスイッチに接続する前に、以下のものがあることを確認してください。

  • スイッチで基本的なブリッジングと VLAN の構成を実行。スイッチの基本的なブリッジと VLAN の設定について説明しているマニュアルを参照してください。ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチを使用している場合は、例 : ELS サポートで EX シリーズスイッチの基本ブリッジと VLAN を設定します。その他のすべてのスイッチについては、次の例を 参照してください。EX シリーズスイッチ用の基本ブリッジと VLAN の設定

    注:

    ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

  • RADIUS 認証サーバーでユーザーを設定しました。

概要とトポロジー

EX シリーズスイッチは、オーセンティケータ PAE として機能します。すべてのトラフィックをブロックし、要求者 (クライアント) がサーバーによって認証されるまで、制御ゲートとして動作します。他のすべてのユーザーとデバイスはアクセスを拒否されます。

図 1は、に表 2リストされているデバイスに接続されている1台 EX4200 スイッチを示しています。

図 1: 構成用トポロジー構成用トポロジー
表 2: トポロジーのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200 アクセススイッチ、24ギガビットイーサネットポート: 8 PoE ポート (ge-0/0/0 ~ ge-0/0/7) および16個の非 PoE ポート (ge-0/0/8 ~ ge-0/0/23)

VLAN 名

1台の RADIUS サーバー

ポートのスイッチにアドレス 10.0.0.100 を接続したバックエンド データベース ge-0/0/10

この例では、RADIUS サーバーを EX4200 スイッチのポート x 0/0/10/% に接続します。このスイッチはオーセンティケータとして動作し、認証要求側から RADIUS サーバー上のユーザーデータベースに資格情報を転送します。サーバーのアドレスを指定し、シークレットパスワードを構成することで、EX4200 と RADIUS サーバー間の接続を設定する必要があります。この情報は、スイッチ上のアクセス・プロファイルで設定されます。

注:

認証、許可、アカウンティング (AAA) サービスの詳細については、 Junos OS システム基本構成ガイドを参照してください。

構成

手順

CLI クイック構成

RADIUS サーバーをスイッチに迅速に接続するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

RADIUS サーバーをスイッチに接続するには、次のようにします。

  1. サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチ上のシークレットパスワードは、サーバー上のシークレットパスワードと一致する必要があります。

  2. 認証順序を構成し、 radius最初の認証方法を提供します。

  3. サプリカントを認証するために、順次順に試行するサーバー IP アドレスのリストを構成します。

結果

構成の結果を表示するには、以下のようにします。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

スイッチと RADIUS サーバーが適切に接続されていることを確認します。

目的

RADIUS サーバーが指定されたポートのスイッチに接続されていることを確認します。

アクション

RADIUS サーバーに Ping して、スイッチとサーバー間の接続を検証します。

ICMP エコー要求パケットは、スイッチから10.0.0.100 のターゲットサーバーに送信され、IP ネットワーク全体でサーバーに到達可能かどうかをテストします。スイッチとサーバーが接続されていることを確認するために、サーバーから ICMP エコー応答が返されています。

RADIUS の属性を基にした動的フィルターの詳細

RADIUS サーバー属性を使用して、RADIUS 認証サーバーにポートファイアウォールフィルターを実装できます。このようなフィルターは、そのサーバーを通じて認証を要求するサプリカントに動的に適用できます。RADIUS サーバー属性は、スイッチに接続されたサプリカントが正常に認証された場合に、認証サーバーからスイッチに送信されたクリアテキストフィールドです。オーセンティケータとして機能するスイッチは、RADIUS 属性の情報を使用して、関連するフィルターをサプリカントに適用します。動的フィルターは、同一のスイッチ上の複数のポートに適用することも、同じ認証サーバーを使用している複数のスイッチに設定して、ネットワークに集中したアクセスコントロールを提供できます。

Juniper スイッチングフィルター属性を使用して、RADIUS サーバー上で直接ファイアウォールフィルターを定義できます。これはジュニパーネットワークスに固有の RADIUS 属性 (ベンダー固有の属性 (VSA) とも呼ばれます)。VSA については、RFC 2138、 リモート認証ダイヤルイン ユーザー サービス(プロトコル)にRADIUS。ジュニパー-Switching-Filter VSA は、RADIUS サーバーの ジュニパー 辞書の属性 ID 番号 48 の下に表示され、ベンダー ID は ジュニパーネットワークス ID 番号 2636 に設定されています。この属性を使用して、認証サーバー上でフィルターを定義します。これは、そのサーバーを介してサプリカントを認証するすべてのスイッチに適用されます。この方法では、複数のスイッチで同じフィルターを設定する必要がなくなります。

または、 属性 ID 番号 11 の Filter-ID 属性を使用して、同じスイッチ上の複数のポートにポート ファイアウォール RADIUS適用できます。フィルタ ID 属性を使用するには、まずスイッチ上でフィルターを設定してから、フィルタ ID 属性の値として RADIUS サーバー上のユーザーポリシーにフィルタ名を追加する必要があります。これらのポリシーのいずれかで定義された認証要求側が RADIUS サーバーによって認証されると、そのフィルターは、サプリカントに対して認証されたスイッチポートに適用されます。この方法は、ファイアウォールフィルタに複雑な条件がある場合や、異なるスイッチで同じフィルターに異なる条件を使用する場合に使用します。フィルタ ID 属性で名前が指定されたフィルターは、[edit firewall family ethernet-switching filter] 階層レベルでスイッチ上でローカルに設定する必要があります。

Vsa は、802.1 X 単一のサプリカント構成と複数のサプリカント構成に対してのみサポートされています。

RADIUS 属性を使用したダイナミック VLAN の割り当てについて

Vlan は、そのサーバーを通じて 802.1 X の認証を要求するサプリカントに、RADIUS サーバーによって動的に割り当てることができます。RADIUS サーバー上の VLAN は RADIUS のサーバー属性を使用して構成します。これは、認証サーバーからスイッチに接続されたサプリカントが認証を要求したときに、そのメッセージにカプセル化されたクリアテキストフィールドです。オーセンティケータとして機能するスイッチは、RADIUS 属性の情報を使用して、VLAN をサプリカントに割り当てます。認証の結果に基づいて、1つの VLAN で認証を開始したサプリカントが別の VLAN に割り当てられる場合があります。

認証を成功させるには、802.1 X オーセンティケータとして機能するスイッチ上で VLAN ID または VLAN 名が設定されていて、認証時に RADIUS サーバーによって送信される VLAN ID または VLAN 名と一致する必要があります。どちらも存在しない場合、エンドデバイスは認証されません。ゲスト VLAN が確立されると、認証されていないエンドデバイスが自動的にゲスト VLAN に移動します。

RFC 2868 RADIUSで説明されている動的VLANの割り当てに使用されるRADIUSのサーバー属性は、トンネル プロトコルサポートのRADIUS 属性です

  • Tunnel-Type — 属性タイプ 64 RADIUS定義されます。この値は、にVLAN設定する必要があります。

  • Tunnel-medium-Type — 属性タイプ 65 RADIUSとして定義されます。この値は、にIEEE-802設定する必要があります。

  • Tunnel-Private-Group-ID — 属性タイプ 81 でRADIUS定義されます。この値は、VLAN ID または VLAN 名に設定する必要があります。

RADIUS サーバーでダイナミック Vlan を設定する方法の詳細については、RADIUS サーバーのマニュアルを参照してください。

802.1 X on スイッチのゲスト Vlan について

802.1X 認証を使用しているスイッチ上にゲスト VLAN を設定し、コーポレート ゲストに対してアクセスを制限できます(通常はインターネットに対してのみです)。ゲスト VLAN は、以下の場合にフォールバックとして使用されます。

  • サプリカントは 802.1 X 対応ではありません。また、EAP メッセージに応答しません。

  • MAC RADIUS 認証は、サプリカントが接続されているスイッチインターフェイス上で構成していません。

  • サプリカントが接続されているスイッチインターフェイスでは、専用ポータルが設定していません。

不正な認証情報を送信するサプリカントには、ゲスト VLAN は使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送られます。

802.1 X 対応でないエンドデバイスについては、ゲスト VLAN を使用して、802.1 X 対応エンドデバイスがサプリカントソフトウェアをダウンロードし、認証を再試行できるサーバーへのアクセスを制限することができます。

例:EX シリーズスイッチで RADIUS サーバーを使用できない場合の 802.1 X 認証オプションの構成

サーバーがフォールバックに失敗すると、RADIUS 認証サーバーが利用できない場合に、802.1 X サプリカントをスイッチに接続する方法を指定できます。

802.1 X を使用して、ネットワークアクセスを制御します。ユーザーデータベースに対して検証されたユーザーとデバイス (サプリカント) のみがネットワークにアクセスできます。RADIUS サーバーをユーザーデータベースとして使用しています。

この例では、RADIUS サーバータイムアウトが発生した場合に、認証要求側を VLAN に移動するようにインターフェイスを設定する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.3 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

サーバーをスイッチに接続する前に、以下のものがあることを確認してください。

概要とトポロジー

RADIUS サーバータイムアウトは、サプリカントが LAN へのログインとアクセスを試みるときに、認証 RADIUS サーバーに到達できない場合に発生します。サーバーの障害フォールバックを使用して、サプリカントの LAN アクセスを試行するための代替オプションを構成します。サプリカントへのアクセスを許可または拒否したり、RADIUS サーバータイムアウトになる前にサプリカントにすでに付与されているアクセスを維持したりするように、スイッチを設定できます。さらに、RADIUS タイムアウトが発生した場合にサプリカントを特定の VLAN に移動するようにスイッチを設定することもできます。

図 2この例で使用されているトポロジを示します。サーバー RADIUSアクセス ポート上のEX4200 スイッチに接続されています ge-0/0/10 。このスイッチは、オーセンティケータポートアクセスエンティティー (PAE) として動作し、認証要求側から RADIUS サーバー上のユーザーデータベースに資格情報を転送します。このスイッチは、すべてのトラフィックをブロックし、認証サーバーによってサプリカントが認証されるまで、制御ゲートとして動作します。認証要求側は、インターフェイス ge-0/0/1 を使用してスイッチに接続されます。

注:

この図は QFX5100 スイッチにも適用されます。

図 2: 802.1 X オプションを構成するためのトポロジー802.1 X オプションを構成するためのトポロジー

表 3このトポロジのコンポーネントについて説明します。

表 3: トポロジーのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200 アクセススイッチ、24ギガビットイーサネットポート: 16個の非 PoE ポートと 8 PoE ポートを備えています。

VLAN 名

default VLAN

vlan-sf VLAN

要求

インターフェイスへのアクセスを試みる認証側 ge-0/0/1

1台の RADIUS サーバー

ポートにあるスイッチに接続 10.0.0.100 されたアドレスを持つバックエンド データベース ge-0/0/10

この例では、インターフェイス ge-0/0/1 を構成して、LAN にアクセスしようとしているサプリカントを、別の VLAN への RADIUS タイムアウトで移動します。RADIUS タイムアウトでは、RADIUS サーバーからスイッチへの情報を送信し、サプリカントの認証を許可する EAP メッセージを通常どおり交換できないようにします。デフォルトの VLAN は、interface ge-0/0/1 で構成されています。RADIUS タイムアウトが発生すると、インターフェイス上のサプリカントはデフォルトの VLAN から vlan sf という名前の VLAN に移動されます。

Topology

構成

手順

CLI クイック構成

スイッチのサーバー障害フォールバックを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

イベント がタイムアウトに設定された場合に、サプリカントを特定のVLANにRADIUSを設定するには、次の手順に示します(ここでは、VLAN は次の手順に示します vlan-sf )。

  1. サプリカントを流通させる VLAN を定義します。

結果

構成の結果を表示するには、以下のようにします。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

RADIUS タイムアウト中にサプリカントが代替 VLAN に移動されていることを確認します。

目的

RADIUS タイムアウト中に、インターフェイスがサプリカントを代替 VLAN に移動することを確認します。

注:

ELS をサポートする EX シリーズの Junos OS を実行するスイッチでは、 show vlansコマンドの出力に追加情報が含まれています。お使いのスイッチが、ELS をサポートするソフトウェアを実行する場合は、「 vlanの表示」を参照してください。ELS の詳細については、「拡張レイヤー2ソフトウェア CLI の使用」を参照してください。

アクション

スイッチで設定されたV VLANを表示します。インターフェイスは ge-0/0/1.0 VLANのメンバー default です。

802.1 X プロトコル情報をスイッチに表示して、インターフェイスge-0/0/1.0で認証されたサプリカントを表示します。

RADIUS サーバータイムアウトが発生します。イーサネット スイッチング テーブルを表示して、VLANを経由してLANにアクセスしたMAC アドレスを持つサプリカントが 次の名前のVLANで学習されていることを 00:00:00:00:00:01default 示します vlan-sf

インターフェイスが接続され、サプリカントへのLANアクセスを開くことを示す、802.1X ge-0/0/1.0 プロトコル情報を表示します。

コマンド show vlans を実行すると、 ge-0/0/1.0 インターフェイスが VLAN のメンバーとして表示 default されます。コマンド show dot1x interface brief は、サプリカント( )がインターフェイス上で認証され、デバイス abcge-0/0/1.0 がMAC アドレス 00:00:00:00:00:01 示MAC アドレス。RADIUS サーバータイムアウトが発生し、スイッチから認証サーバーにアクセスできません。コマンド show-ethernet-switching table は、VLAN MAC アドレス 00:00:00:00:00:01 が学習ことを示しています vlan-sf 。サプリカントがVLANから default VLANに移動 vlan-sf しました。サプリカントは 次に、 という名前のVLANを介してLANに接続されます vlan-sf

例:EAP-TTLS 認証および Odyssey アクセスクライアント用の EX シリーズスイッチでのフォールバックオプションの構成

802.1X ユーザー認証の場合、EX シリーズ スイッチは、EAP-TTL Odyssey アクセス クライアントS(Extensible Authentication Protocol–Tunneled TLS)を使用して OAC(サプリカント)を認証する RADIUS 認証サーバーをサポートしています。OAC のネットワークソフトウェアは、エンドポイントのコンピューター (デスクトップ、ラップトップ、またはメモ帳のコンピューター、サポートされている無線デバイス) 上で動作し、有線と無線の両方のネットワークへのセキュアなアクセスを提供します。

この例では、不正なログイン認証情報を入力した OAC ユーザーにフォールバックサポートを提供するために、スイッチ上で 802.1 X 対応インターフェイスを設定する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース11.2 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • 802.1 X をサポートする1つの RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

  • 1つの OAC のエンドデバイスが、サプリカントとして動作します。

フォールバックオプションの設定を開始する前に、以下のものがあることを確認してください。

  • スイッチと RADIUS サーバー間の接続を設定します。例をご覧ください。802.1 X の RADIUS サーバーを EX シリーズスイッチに接続します。

  • サーバーで EAP-TLS が設定されています。RADIUS サーバーのマニュアルを参照してください。

  • RADIUS サーバー上のユーザーを設定しました。RADIUS サーバーのマニュアルを参照してください。

概要とトポロジー

OAC は、エンドポイントコンピューター (デスクトップ、ラップトップ、またはメモ帳)、およびサポートされている無線デバイスで動作するネットワークソフトウェアです。OAC は、セキュアな無線 LAN アクセスに必要な EAP を完全にサポートしています。

このトポロジでは、OAC は 802.1 X 対応スイッチおよび RADIUS サーバーとともに導入されています。スイッチは、ネットワークセキュリティーアーキテクチャのポリシー適用ポイントとして機能します。このトポロジ:

  • 許可されたユーザーのみが接続できることを保証します。

  • ログイン認証情報のプライバシを維持します。

  • 無線リンクを介してデータのプライバシを維持します。

この例では、サーバー拒否 VLAN の設定がスイッチに含まれています。これを使用して、不適切なログイン認証情報を入力したユーザーが誤ってロックアウトされるのを防ぐことができます。これらのユーザーには、限定された LAN アクセスを与えることができます。

ただし、このフォールバック構成は、OAC のサプリカントと RADIUS サーバーが EAP-TLS を使用しているという事実によって複雑になります。EAP-TLS は、サーバーとエンドデバイスの間にセキュア暗号化トンネルを作成して、認証プロセスを完了します。ユーザーが不正なログイン認証情報を入力すると、RADIUS サーバーはこのトンネルを通じて、EAP エラーメッセージをクライアントに直接送信します。EAP 障害メッセージにより、クライアントが認証手順を再起動するため、スイッチの 802.1X 認証プロセスでは、サーバー拒否 VLAN を使用してスイッチとともに確立されたセッションが終了します。修復接続を有効にするには、以下の設定を行います。

  • eapol-block:サーバー拒否 VLAN に属するように設定されている 802.1X インターフェイスで、EAPoL ブロック タイマーを有効にします。ブロックタイマーによって認証ポートアクセスエンティティは、クライアントからの EAP 起動メッセージを無視して、認証手続きを再開します。

    注:

    EAPoLブロックタイマーは、802.1Xインターフェイスで許可された再設定数(オプションを使用)が使い果たされた後にのみ retries トリガーされます。最初の障害発生後にスイッチがポートの認証を試みる回数 retries を指定できます。デフォルトは再試行回数3回です。

  • block-interval—EAPoL ブロック タイマーが EAP 開始メッセージを無視し続ける時間を設定します。ブロック間隔を構成しない場合、EAPoL ブロックタイマーはデフォルトで120秒に設定されます。

802.1 X インターフェイスがクライアントからの EAP 起動メッセージを無視すると、サーバー拒否の VLAN を介して確立された既存の修復セッションが開始したままになります。

これらの設定オプションは、単一の、単一のセキュアな、複数のサプリカント認証モードに適用されます。この例では、802.1 X インターフェイスは単一のサプリカントモードで構成されています。

図 3は、OAC エンドデバイスを RADIUS サーバーに接続する EX シリーズスイッチと、ネットワークエンティティを接続するために使用されるプロトコルを示しています。

注:

この図は QFX5100 スイッチにも適用されます。

図 3: EX シリーズスイッチ OAC を EAP-TLS 認証を使用して RADIUS サーバーに接続EX シリーズスイッチ OAC を EAP-TLS 認証を使用して RADIUS サーバーに接続

Topology

表 4この OAC 導入のコンポーネントについて説明します。

表 4: OAC 導入のコンポーネント
プロパティ 設定

スイッチハードウェア

EX シリーズスイッチ

VLAN

default

server-reject-vlan: VLAN名は remedial 、VLAN IDは 700

802.1 x インターフェイス

ge-0/0/8

OAC サプリカント

EAP-TTLS

1台の RADIUS 認証サーバー

EAP-TTLS

構成

手順

CLI クイック構成

OAC サプリカントの EAP-FAST オプションを迅速に設定するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

順を追った手順

EAP-TLS と OAC サプリカントのフォールバックオプションを構成するには、次のようにします。

ヒント:

この例では、スイッチにはサーバー拒否 VLAN が1つしかありません。そのため、設定は 、 を指定 eapol-block し、その直後 block-intervalserver-reject-vlan . ただし、スイッチで複数の VLAN を設定している場合は、VLAN 名または VLAN ID を直後に含め、変更されている server-reject-vlan VLAN を指定する必要があります。

  1. 不適切なログイン認証情報を入力したユーザーに対して、サーバー拒否 VLAN として機能する VLAN を構成して、限定された LAN アクセスを提供します。

  2. 不正なログインがサーバー拒否 VLAN に送信される前に、クライアントがユーザー名とパスワードを要求する回数を設定します。

  3. 不正なログインのために、サーバー拒否の VLAN をフォールバックとして使用するように 802.1 X オーセンティケータインターフェイスを構成します。

  4. サーバー拒否 VLAN に属しているように設定されている 802.1 X インターフェイスで EAPoL ブロックタイマーを有効にします。

  5. EAPoL ブロックが有効な時間の長さを設定します。

結果

構成の結果を確認します。

検証

設定とフォールバックのオプションが正しく機能していることを確認するには、以下のタスクを実行します。

802.1 X インターフェイスの構成の確認

目的

802.1 X インターフェイスが適切なオプションで設定されていることを確認します。

アクション

コマンド show dot1x ge-0/0/8 detail の出力は、インターフェイス ge-0/0/8 が状態で、VLAN を Authenticated 使用している状態を示 remedial しています。

802.1 X 認証の監視

目的

注:

このトピックは、J Web アプリケーションパッケージにのみ適用されます。

J-Web アプリケーションパッケージリリース 14.1 X53-A2 は、EX4600 スイッチで 802.1 X 認証をサポートしていません。

監視機能を使用して、認証に失敗した認証ユーザーとユーザーの詳細情報を表示します。

アクション

J-Web インターフェイスに認証の詳細を表示するには、 [認証] を選択 MonitoringSecurity802.1X >>。

CLI に認証の詳細を表示するには、以下のコマンドを入力します。

  • show dot1x interface detail | display xml

  • show dot1x interface detail <interface> | display xml

  • show dot1x auth-failed-users

次のような詳細情報が表示されます。

  • 認証されたユーザーのリスト。

  • 接続しているユーザー数

  • 認証に失敗したユーザーのリスト。

詳細を表示するインターフェイスを指定することもできます。

802.1 X 認証を検証しています

目的

サプリカントが、802.1 X 認証用に設定されたインターフェイスを使用してスイッチのインターフェイスで認証されていることを確認し、使用されている認証方法を表示します。

アクション

802.1 X 用に設定されたインターフェイスに関する詳細情報を表示します (ここでは、インターフェイスは ge-0/0/16 です)。

コマンドからのサンプル出力 show dot1x interface detail は、 が Number of connected supplicants 1 であるを示しています。認証済みで、現在 LAN に接続されているサプリカントは、RADIUS サーバー上で、ポートが user500:30:48:8C:66:BD MAC アドレス。認証要求側は、出力Radiusで示される 802.1 x 認証方式 (RADIUS) と呼ばれる方法で認証されています。RADIUS 認証が使用されている場合、RADIUS サーバーでサプリカントが設定され、RADIUS サーバーがこれをスイッチと通信します。スイッチは、サプリカントが接続されているインターフェイスで LAN アクセスを開きます。サンプル出力はまた、サプリカントが VLAN に接続されていることを示しています v200

EX シリーズ RADIUS スイッチでサポートされるその他の 802.1 X 認証方法には、以下のものがあります。

  • ゲスト VLAN —応答しないホストにゲスト VLAN アクセスが付与されます。

  • MAC Radius—ネットワークに基づいて応答しないホストがMAC アドレス。MAC アドレスが RADIUS サーバー上で許可されるように設定されている場合、RADIUS サーバーはスイッチに対して MAC アドレスが許可されているアドレスを示し、スイッチは接続されているインターフェイス上で、応答していないホストに LAN アクセスを許可します。

  • サーバー障害拒否:RADIUS サーバーがタイム アウトすると、すべてのサプリカントが LAN へのアクセスを拒否され、サプリカントからのトラフィックがインターフェイスを通過しきれなされます。これがデフォルトです。

  • サーバー不合格の許可:RADIUS サーバーが使用できない場合、サプリカントがデバイス サーバーによってサプリカントの認証に成功しているかのように、サプリカントは引き続き LAN へのアクセスをRADIUSします。

  • サーバー障害使用キャッシュ — RADIUS サーバーの再認証中にタイム アウトした場合、以前に認証されたサプリカントに LAN アクセスが許可されますが、新しいサプリカントは LAN アクセスを拒否されます。

  • サーバー障害 VLAN—RADIUS サーバーがサプリカントの再認証を実行できない場合、サプリカントを指定された VLAN に移動するように設定されています。(VLAN はすでにスイッチ上に存在している必要があります)。

EX シリーズスイッチでのエンドデバイスの認証のトラブルシューティング

説明

静的な MAC アドレスを使用して構成されたエンドデバイスは、clear dot1x interface コマンドを実行して、学習したすべての MAC アドレスをクリアした後、スイッチへの接続を失います。

MAC アドレスをクリアする前に:

MAC アドレスをクリアするには、次のようにします。

MAC アドレスをクリアした後:

認証バイパスリストにエンドデバイスが含まれていないことに注意してください。

招く

静的な MAC アドレスは、インターフェイス上で学習した他の MAC アドレスと同じように扱われます。Clear dot1x interface コマンドが実行されると、静的 MAC バイパスリスト (除外リストとしても知られる) を含む、インターフェイスから学習した MAC アドレスをすべてクリアします。

ソリューション

認証をバイパスするように設定された静的な MAC アドレスを持つインターフェイスに対して、clear dot1x interface コマンドを実行する場合は、静的 mac アドレスを静的な MAC バイパスリストに再追加してください。

リリース履歴テーブル
リリース
説明
20.2R1
リリース Junos OS リリース 20.2R1、レイヤー 3 インターフェイスで 802.1X 認証を設定できます。
18.4R1
Junos OS リリース 18.3 R1 では、802.1 X 認証をトランクインターフェイス上で設定できます。これにより、ネットワークアクセスデバイス (NAS) がアクセスポイント (AP) またはその他の接続されたレイヤー2デバイスを認証することが可能になります。
17.3R1
Junos OS リリース17.3 から開始すると、ポートバウンス機能を使用して、認証ポートのリンクフラップを発生させて、エンドデバイスが DHCP 再ネゴシエーションを開始するように強制できます。
14.1X53-A2
J-Web アプリケーションパッケージリリース 14.1 X53-A2 は、EX4600 スイッチで 802.1 X 認証をサポートしていません。