802.1X認証
ポートベースのネットワークアクセス制御のためのIEEE 802.1X規格であり、イーサネットLANを不正なユーザーアクセスから保護します。サプリカント(クライアント)からのすべてのトラフィックは、サプリカントの資格情報が認証サーバー(RADIUSサーバー)に提示され、照合されるまで、インターフェイスでブロックされます。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。詳細については、このトピックをお読みください。
スイッチ用 802.1X の概要
- 802.1X認証のしくみ
- 802.1X 機能の概要
- トランク ポートでの 802.1X 認証
- レイヤー 3 インターフェイスでの 802.1X 認証
- Junos OS Evolvedソフトウェアでの802.1Xサポート
802.1X認証のしくみ
802.1X 認証は、認証ポートアクセスエンティティ(スイッチ)を使用して、サプリカント(エンドデバイス)からのイングレストラフィックを、サプリカントの資格情報が認証サーバー(RADIUSサーバー)で提示および照合されるまでポートでブロックすることで機能します。認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開きます。
エンドデバイスは、 single supplicant モード、 single-secure supplicant モード、または multiple supplicant モードで認証されます。
-
シングル サプリカント - 最初のエンド デバイスのみを認証します。後からポートに接続する他のすべてのエンド デバイスは、さらなる認証なしでフル アクセスを許可されます。これらは、最初のエンドデバイスの認証に事実上 ピギーバック(便乗) します。
-
シングルセキュア サプリカント - 1 台のエンド デバイスにのみポートへの接続を許可します。最初のデバイスがログアウトするまで、他のエンドデバイスの接続は許可されません。
-
マルチ サプリカント - 複数のエンド デバイスにポートへの接続を許可します。各エンド デバイスは個別に認証されます。
VLAN とファイアウォール フィルターを使用することで、ネットワーク アクセスをさらに定義できます。どちらも、エンド デバイスのグループを分離して、必要な LAN 領域にマッチングさせるためのフィルターとして機能します。例えば、VLAN を構成することで、さまざまなカテゴリの認証失敗を、以下に応じて処理できます。
-
エンド デバイスが 802.1X に対応しているかどうか。
-
ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が設定されているかどうか。
-
RADIUS 認証サーバーが利用できなくなったか、RADIUS アクセス拒否メッセージを送信したかどうか。 RADIUSサーバー障害フォールバックの設定(CLI手順)を参照してください。
802.1X 機能の概要
以下の 802.1X 機能は、ジュニパーネットワークス イーサネットスイッチでサポートされています。
-
ゲスト VLAN - ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が設定されていない場合、802.1X 非対応の応答しないエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。また、ゲスト VLAN を使用して、ゲスト ユーザーに LAN への限定アクセスを提供できます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスへのアクセスのみを提供します。
-
サーバー拒否 VLAN - 802.1X に対応しているが、間違った資格を送信した応答性の高いエンド デバイスに、LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。サーバー拒否 VLAN を使用して認証されたエンド デバイスが IP 電話の場合、音声トラフィックは許可されません。
-
サーバー障害 VLAN - RADIUS サーバーのタイムアウト時に、802.1X エンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
-
ダイナミック VLAN - 認証後に、エンド デバイスが動的に VLAN のメンバーになることを可能にします。
-
プライベート VLAN - プライベート VLAN(PVLAN)のメンバーであるインターフェイス上で 802.1X 認証の設定を有効にします。
-
ユーザー セッションの動的な変更 - スイッチ管理者が既に認証されたセッションを終了できるようにします。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。
-
VoIP VLAN—IP 電話をサポートします。IP 電話における音声 VLAN の実装は、ベンダーによって異なります。電話が 802.1X に対応している場合、他のサプリカントと同じように認証されます。電話が 802.1X に対応していなくても、そのデータ ポートに別の 802.1X 対応デバイスが接続されていれば、そのデバイスは認証され、電話との間で VoIP トラフィックを流すことができます(インターフェースがシングル サプリカント モードで構成され、シングルセキュア サプリカント モードではないことが条件となります)。
注:プライベート VLAN(PVLAN)インターフェイスでの VoIP VLAN の設定はサポートされていません。
-
RADIUSアカウンティング—アカウンティング情報をRADIUSアカウンティングサーバーに送信します。アカウンティング情報は、加入者がログインまたはログアウトしたとき、および加入者がサブスクリプションをアクティブ化または非アクティブ化したときに、サーバーに送信されます。
-
802.1XのRADIUSサーバー属性—
Juniper-Switching-Filterは、802.1X認証プロセス中にサプリカントのアクセスをさらに定義するために、RADIUSサーバーで設定できるベンダー固有属性(VSA)です。認証サーバー上で属性を集中的に構成することで、サプリカントがLANに接続する可能性のあるLAN内のすべてのスイッチに、ファイアウォールフィルターの形で同じ属性を構成する必要がなくなります。このJuniper-Switching-Filterは、RFC4849の属性92で参照されているNAS-Filter-Ruleに相当します。 -
Microsoft Challenge Handshake Authentication Protocol version 2(MS-CHAPv2)—802.1X EAP対応クライアントのMS-CHAPv2認証を有効にします。
-
Mist Access Assuranceを使用したGBPによるマイクロおよびマクロセグメンテーション—グループベースポリシー(GBP)を使用して、仮想拡張LAN(VXLAN)アーキテクチャにマイクロセグメンテーションとマクロセグメンテーションを適用できます。GBPは基盤となるVXLANテクノロジーを活用して、ロケーションに依存しないエンドポイントアクセス制御を提供します。GBPを使用すると、エンタープライズネットワークドメイン全体に一貫したセキュリティポリシーを実装できます。これにより、すべてのスイッチで多数のファイアウォールフィルターを設定する手間を省き、ネットワーク設定を簡素化できます。ジュニパー Mist クラウドのネットワークアクセス制御(NAC)は、RADIUS トランザクション中に GBP タグを動的に割り当てます。RADIUS 802.1X認証により、ネットワークオペレータは、ユーザーまたはデバイスを自動的に認証および承認し、ネットワーク内へのアクセスを許可することができます。ジュニパー Mist Access Assuranceは、ユーザーとデバイスの識別子を使用して、ネットワークが各ユーザーに割り当てている役割とネットワークセグメントを決定します。ネットワークは、VLANまたはGBPを使用して、ネットワークセグメントにユーザーをグループ化します。その後、ジュニパー Mist Access Assurance が各セグメントに関連付けられたネットワーク ポリシーを適用します
現在、EX4100、EX4400、EX4650オンラインシャーシでサポートされています。
詳細については、「 グループベースのポリシーを使用したマイクロセグメンテーション」を参照してください。
802.1X非対応のデバイスを認証するために、以下の機能がサポートされています。
-
静的 MAC バイパス - 802.1X 非対応のデバイス(プリンターなど)を認証するためのバイパス機構を提供します。静的 MAC バイパスは、これらのデバイスを 802.1X 対応ポートに接続して、802.1X 認証をバイパスします。
-
MAC RADIUS 認証—802.1X 非対応のホストに LAN へのアクセスを許可する手段を提供します。MAC-RADIUSは、クライアントのMACアドレスをユーザー名とパスワードとして使用して、クライアントデバイスのMACアドレスをシミュレートします。
トランク ポートでの 802.1X 認証
Junos OSリリース18.3R1以降、トランクインターフェイスに802.1X認証を構成できるようになりました。これにより、ネットワークアクセスデバイス(NAS)がアクセスポイント(AP)または接続されている別のレイヤー2デバイスを認証できるようになります。NASに接続されたAPまたはスイッチは複数のVLANをサポートするため、トランクポートに接続する必要があります。トランク インターフェイスで 802.1X 認証を有効にすると、攻撃者が AP を切断してラップトップを接続し、構成されたすべての VLAN のネットワークに自由にアクセスできるというセキュリティ侵害から NAS を保護できます。
トランク インターフェイスで 802.1X 認証を構成する場合は、以下の点に注意してください。
-
トランク インターフェイスでは、シングルおよびシングルセキュア サプリカント モードのみがサポートされます。
-
トランク インターフェイスでローカルに 802.1X 認証を設定する必要があります。
set protocol dot1x interface allコマンドを使用して 802.1X 認証 グローバルに構成する場合、その構成はトランク インターフェイスには適用されません。 -
トランク インターフェイスでは、ダイナミック VLANS はサポートされていません。
-
トランク インターフェイスでは、ゲスト VLAN およびサーバ拒否 VLAN はサポートされません。
-
VoIP クライアントのサーバー障害フォールバックは、トランク インターフェイス(
server-fail-voip)ではサポートされていません。 -
Server-fail (permit, use-cache, vlan-name), Server-reject (vlan vlan-name)は EAP-TLS クライアントではサポートされていません。 -
キャプティブポータルを使用したトランクポートでの認証はサポートされていません。
-
集約されたインターフェイスでは、トランク ポートでの認証はサポートされていません。
-
プライベート VLAN(PVLAN)のメンバーであるインターフェイスでの 802.1X 認証の設定は、トランク ポートではサポートされていません。
レイヤー 3 インターフェイスでの 802.1X 認証
Junos OSリリース20.2R1以降、レイヤー3インターフェイスで802.1X認証を設定できるようになりました。レイヤー 3 インターフェイスで 802.1X 認証を構成する場合は、以下の点に注意してください。
-
EAP 対応クライアントのみがサポートされます。
-
シングル サプリカント モードのみがサポートされます。
-
レイヤー 3 インターフェイスでローカルに 802.1X 認証を構成する必要があります。
set protocol dot1x interface allコマンドを使用して 802.1X 認証 グローバルに設定する場合、その設定はレイヤー 3 インターフェイスには適用されません。 -
レイヤー 3 インターフェイスのサポートには、IRB やサブインターフェイスは含まれません。
-
ゲスト VLAN、サーバー拒否 VLAN、サーバー障害 VLAN はサポートされていません。
-
VoIP クライアントのサーバー障害フォールバックはサポートされていません(
server-fail-voip)。 -
レイヤー 3 インターフェイスで認証されたクライアントの access-accept または COA メッセージの一部として認証サーバーから受け入れられるのはRADIUS以下の属性のみです。
-
ユーザー名
-
セッションタイムアウト
-
発信ステーションID
-
Acct-Session-ID
-
NASポートID
-
ポートバウンス
-
Junos OS Evolvedソフトウェアでの802.1Xサポート
Junos OS Evolvedリリース22.3R1以降、レイヤー2インターフェイスで802.1X認証を設定できるようになりました。レイヤー2インターフェイスで802.1X認証に適用される注意事項をフォローしてください。
-
サポートされていない機能は以下のとおりです。
-
ゲストVLAN、サーバー拒否VLAN、サーバーフェイルVLAN
-
VoIPクライアントのサーバーフェイルフォールバック(server-fail-voip)
-
動的VLAN
-
キャプティブポータルとセントラルWeb認証(CWA)を使用したレイヤー2インターフェイスでの認証。
-
-
レイヤー2インターフェイスで認証されたクライアントのRADIUS access-acceptまたはCOAメッセージの認証サーバーからのサポートされていない属性は以下のとおりです。
-
ip-mac-session-binding
-
ジュニパー-CWA-リダイレクト
-
ジュニパースイッチングフィルター
-
フィルターID
-
トンネル-ミディアムタイプ
-
ジュニパーVoIP-VLAN
-
Egress-VLAN-Name
-
エグレスVLAN-ID
-
トンネルタイプ
-
トンネルプライベートグループID
-
-
IRB がブリッジ ドメインにある場合、802.1x 対応ポートは、ユーザーが認証されていなくても、シングルセキュアおよびマルチ サプリカント モードでルーテッド トラフィックをドロップしません。レイヤー2インターフェイスの802.1X対応ポートは、シングルサプリカントモード設定でのみルーテッドトラフィックをドロップします。
関連項目
レイヤー2インターフェイスでの802.1X認証
概要
ポートベースのネットワークアクセス制御(PNAC)に関するIEEE 802.1X規格は、LANポートに接続されたデバイスのユーザーを認証するメカニズムを提供します。802.1X標準は、ローカルまたはリモートのユーザーデータベースでユーザーの資格情報を検証します。認証メカニズムでは、正しい資格情報を持つユーザーのみがネットワークにアクセスできます。他のすべてのユーザーのアクセスを拒否することで、ネットワークアクセスを制御します。
802.1X認証を備えたネットワークの3つの基本コンポーネントは次のとおりです。
-
認証ポートアクセスエンティティ(PAE):クライアントが接続するスイッチまたはルーターポート。認証PAEは、802.1Xがクライアントを認証するまで、クライアントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
-
サプリカント:ネットワークにアクセスしようとしており、認証が必要なクライアント。サプリカントは、認証PAEに接続します。
-
認証サーバー: ネットワークへの接続が許可されているユーザーに関する情報を含むバックエンドデータベース。サプリカントがログインを試みると、802.1Xは認証のためにサプリカントの資格情報をこのサーバーに送信します。
認証サーバーがサプリカントの資格情報を認証した後、デバイスはPAEでのアクセスのブロックを停止します。デバイスはサプリカントに対してインターフェイスを開き、ネットワークへのアクセスを許可します。ネットワーク管理者は、レイヤー 2(L2)インターフェイスで 802.1X を設定できます。
802.1X IEEE標準では、任意の認証サーバーをクライアント認証に使用できます。RADIUSサーバーは、設定が簡単なため、最も一般的に使用されています。RADIUSサーバーには、独自の属性やベンダー固有の属性を定義するオプションも用意されています。デバイスとサーバーは、これらの属性を交換できます。
利点
-
ユーザーを認証します。
-
攻撃者がネットワークにアクセスするのを防ぎます。
-
ネットワークアクセスを制御します。
設定
802.1Xインターフェイス設定の構成(CLI手順)
IEEE 802.1X 認証は、ネットワークエッジセキュリティを提供し、サプリカント(クライアント)の資格情報が authentication server (RADIUSサーバー)で提示および照合されるまで、サプリカント(クライアント)との間のすべてのトラフィックをインターフェイスでブロックすることで、認証されていないユーザーアクセスからイーサネットLANを保護します。サプリカントが認証されると、スイッチはアクセスのブロックを停止し、サプリカントにインターフェイスを開きます。
802.1Xの除外リストを指定して、認証をバイパスして自動的にLANに接続できるサプリカントを指定することもできます。 「Configuring Static MAC Bypass of 802.1X and MAC RADIUS Authentication (CLI Procedure)」を参照してください。
Q-in-Qトンネリングが有効になっているインターフェイスでは、802.1Xユーザー認証を設定できません。
開始する前に、RADIUSサーバーまたは認証サーバーとして使用するサーバーを指定します。「スイッチ での RADIUS サーバー接続の指定(CLI 手順)を参照してください。
インターフェイスで802.1Xを設定するには:
RADIUS 認証サーバーが利用できないかアクセスできない場合、サーバーの失敗フォールバックがトリガーされます。デフォルトでは、 deny オプションは server-fail下で設定されており、これによりサプリカントの認証が強制的に失敗します。ただし、サーバーがタイムアウトした場合に、認証を待機しているエンドデバイスに対して実行するアクションとして設定できる他のオプションもあります。
詳細については、インターフェイス(802.1X)を参照してください。
この設定は、スイッチがインターフェイスを HELD の状態にするまでの試行回数を指定します。
関連項目
RADIUSが開始する認証済みユーザーセッションの変更について
クライアント/サーバー RADIUS モデルに基づく認証サービスを使用する場合、要求は通常、クライアントによって開始され、RADIUS サーバーに送信されます。すでに実行中の認証済みユーザーセッションを動的に変更するために、サーバーが開始した要求をクライアントに送信する場合があります。メッセージを受信して処理するクライアントはスイッチであり、ネットワークアクセスサーバーまたはNASとして機能します。サーバーは、セッションの終了を要求する切断メッセージや、セッションの認証属性の変更を要求するChange of Authorization(CoA)メッセージをスイッチに送信できます。
スイッチは、UPDポート3799で非送信請求のRADIUS要求をリッスンし、信頼できる送信元からの要求のみを受け取ります。切断またはCoA要求の送信許可は、送信元アドレスと対応する共有シークレットに基づいて決定されます。これは、スイッチとRADIUSサーバーの両方で設定する必要があります。スイッチでの送信元アドレスと共有シークレットの設定の詳細については、 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
切断メッセージ
RADIUSサーバーは、ユーザーセッションを終了させ、関連するすべてのセッションコンテキストを破棄するために、Disconnect-Requestメッセージをスイッチに送信します。要求が成功した場合、スイッチはDisconnect-RequestパケットにDisconnect-ACKメッセージを返し、つまり、関連するすべてのセッションコンテキストが破棄されてユーザーセッションが接続できなくなります。要求が失敗した場合、スイッチはDisconnect-RequestパケットにDisconnect-NAKパケットを返し、これにより、オーセンティケータがセッションの切断と関連するすべてのセッションコンテキストの破棄を無効にします。
Disconnect-Requestメッセージでは、RADIUS属性を使用してスイッチ(NAS)とユーザーセッションを一意に識別します。要求が成功するには、メッセージに含まれるNAS識別属性とセッション識別属性の組み合わせが少なくとも1セッション一致する必要があります。それ以外の場合、スイッチはDisconnect-NAKメッセージを返します。Disconnect-Requestメッセージには、NASとセッション識別属性のみを含めることができます。その他の属性が含まれている場合、スイッチはDisconnect-NAKメッセージを返します。
認証メッセージの変更
Change of Authorization(CoA)メッセージには、ユーザーセッションの認証属性を動的に変更して認証レベルを変更するための情報が含まれています。これは2段階の認証プロセスの一部として行われ、まずMAC RADIUS認証を使用してエンドポイントを認証し、デバイスの種類に基づいてプロファイルを作成します。CoAメッセージは、通常、データフィルターまたはVLANを変更することで、デバイスに適したポリシーを適用するために使用されます。
スイッチは、認証変更が成功した場合はCoA-ACKメッセージを、変更が失敗した場合はCoA-NAKメッセージをCoAメッセージと一緒に返します。CoA-Requestメッセージで指定された認証変更が1つ以上実行できない場合、スイッチはCoA-NAKメッセージを返します。
CoA-Requestメッセージでは、RADIUS属性を使用してスイッチ(NASとして機能)とユーザーセッションを一意に識別します。要求が成功するには、メッセージに含まれるNAS識別属性とセッション識別属性の組み合わせが、少なくとも1つのセッション識別属性と一致する必要があります。それ以外の場合、スイッチはCoA-NAKメッセージを返します。
CoA-Requestパケットには、要求が受け入れられた場合に変更されるセッション認証属性も含まれています。サポートされているセッション認証属性を以下に示します。CoAメッセージには、これらの属性の一部またはすべてを含めることができます。CoA-Requestメッセージの一部として属性が含まれていない場合、NASはその属性の値が変更されていないとみなします。
フィルターID
トンネルプライベートグループID
ジュニパースイッチングフィルター
ジュニパーVoIP-VLAN
セッションタイムアウト
CoAリクエストポートバウンス
認証されたホストのVLANを変更するためにCoAメッセージを使用する場合、プリンターなどのエンドデバイスはVLAN変更を検知するメカニズムを備えていないため、新しいVLANでDHCPアドレスのリースが更新されることはありません。Junos OSリリース17.3以降では、ポートバウンス機能を使用して、認証ポートでリンクフラップを発生させることで、エンドデバイスにDHCPの再ネゴシエーションを強制的に開始させることができます。
ポートをバウンスするコマンドは、ジュニパーネットワークスのベンダー固有属性(VSA)を使用してRADIUSサーバーから送信されます。RADIUSサーバーからのCoAメッセージで以下のVSA属性値ペアを受信した場合、ポートがバウンスされます。
ジュニパー-AV-ペア = "Port-Bounce"
ポートバウンス機能を有効にするには、ジュニパー-AV-Pair VSAを使用してRADIUSサーバー上のJunos辞書ファイル(juniper.dct)を更新する必要があります。辞書ファイルを見つけて、次のテキストをファイルに追加します。
ATTRIBUTE Juniper-AV-Pair Juniper-VSA(52, string) r
VSAの追加に関する詳細については、FreeRADIUSのマニュアルを参照してください。
この機能を無効にするには、[edit protocols dot1x authenticator interface interface-name]階層レベルでignore-port-bounceステートメントを設定します。
エラー原因コード
切断またはCoAの操作が失敗した場合、NASからサーバーに送信される応答メッセージにエラー原因属性(RADIUS属性101)が含まれ、問題の原因の詳細を提供することができます。検出されたエラーがサポートされているエラー原因属性値のいずれにもマッピングされない場合、ルーターはエラー原因属性を使用せずにメッセージを送信します。NASから送信される応答メッセージに含まれるエラー原因コードの説明については、 表1 を参照してください。
コード |
値 |
説明 |
|---|---|---|
201 |
削除された残留セッションコンテキスト |
1つ以上のユーザーセッションがアクティブでなくなったが、残留セッションコンテキストが見つかり、正常に削除された場合、Disconnect-Requestメッセージの応答として送信されます。このコードは、Disconnect-ACKメッセージ内でのみ送信されます。 |
401 |
非対応な属性 |
この要求には、サポートされていない属性(サードパーティーの属性など)が含まれています。 |
402 |
属性の欠損 |
重要な属性(セッション識別属性など)が要求に含まれていません。 |
403 |
NAS識別情報の不一致 |
要求を受信するNASのIDと一致しないNAS識別属性が1つ以上要求に含まれています。 |
404 |
無効な要求 |
1つ以上の属性フォーマットが正しくない場合など、要求の他の側面が無効です。 |
405 |
サポートされていないサービス |
要求に含まれるService-Type属性に無効またはサポートされていない値が含まれています。 |
406 |
サポートされていない拡張 |
要求を受信するエンティティー(NASまたはRADIUSプロキシ)が、RADIUS発信の要求をサポートしていません。 |
407 |
無効な属性値 |
非対応な値を含む属性が要求に含まれています。 |
501 |
管理上の禁止事項 |
NASは、指定されたセッションのDisconnect-RequestまたはCoA-Requestメッセージの受け入れを禁止するように設定されています。 |
503 |
セッションコンテキストが見つかりません |
要求で指定されたセッションコンテキストが NAS 上に存在しません。 |
504 |
セッションコンテキストが削除できません |
要求内の属性によって識別される加入者は、サポートされていないコンポーネントによって所有されています。このコードは、Disconnect-NAKメッセージ内でのみ送信されます。 |
506 |
無効なリソース |
使用可能な NAS リソース (メモリなど) が不足しているため、要求に応じることができません。 |
507 |
要求開始 |
CoA-Requestメッセージに、値が承認のみのService-Type属性が含まれています。 |
508 |
複数のセッション選択非対応 |
要求に含まれるセッション識別属性は複数のセッションと一致しますが、NASは複数のセッションに適用される要求をサポートしていません。 |
RADIUSサーバー属性を使用した802.1Xサプリカントのフィルタリング
ポートファイアウォールフィルター(レイヤー2ファイアウォールフィルター)を使用してRADIUSサーバーを設定するには、2つの方法があります。
-
ジュニパースイッチングフィルター属性に1つ以上のフィルター項目を含めます。ジュニパースイッチングフィルター属性は、RADIUSサーバー上のジュニパー辞書の属性ID番号48の下にリストされているベンダー固有属性(VSA)です。このVSAを使用して、802.1X認証ユーザーに単純なフィルター条件を設定します。スイッチには何も設定する必要はありません。すべての設定は RADIUS サーバー上にあります。
-
スイッチごとにローカルファイアウォールフィルターを設定し、そのファイアウォールフィルターをRADIUSサーバーを通して認証されたユーザーに適用します。より複雑なフィルターにはこの方法を使用します。ファイアウォールフィルターはスイッチごとに設定する必要があります。
注:802.1X認証を使用してユーザーが認証された後にファイアウォールフィルター認証が変更された場合、ファイアウォールフィルター設定の変更を有効にするには、確立された802.1X認証セッションを終了し、再確立する必要があります。
このトピックは、以下のタスクで構成されています。
RADIUSサーバー上のファイアウォールフィルターの設定
Junos OS Evolvedリリース22.4R1以降、一致条件を何度も繰り返すことなく、1行のライン内で複数の送信元および宛先ポート(またはポート範囲)を設定できるようになりました。この機能により、VSA長を短縮できるようになり、RADIUSレスポンスパケットのサイズも削減できます。
スイッチングフィルターにより、イーサタイプ、IP、送信元タグ、送信元ポート、宛先ポートの値のリストをプロビジョニングできます。
Juniper-Switching-Filter = match dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow
Juniper-Switching-Filter = match dst-port 500 source-tag [ 100, 200 ] action allow
Juniper-Switching-Filter = match src-port 9090 ip-proto [ 25 17] action allow
Juniper-Switching-Filter = match ether-type [ 3000-4000 8000 ] action allow
RADIUSサーバー上のジュニパー辞書にあるジュニパー-スイッチング-フィルター属性を使用して、単純なフィルター条件を設定できます。新しいユーザーが正常に認証されるたびに、これらのフィルターがスイッチに送信されます。フィルターは、すべてのEXシリーズスイッチ上で作成され、適用され、それぞれのスイッチに何も設定しなくても、そのRADIUSサーバーを介してユーザーを認証します。
この手順では、FreeRADIUSソフトウェアを使用して、ジュニパースイッチングフィルターVSAを設定する方法について説明します。サーバーの設定に関する具体的な情報については、サーバーに付属の AAA ドキュメントを参照してください。
ジュニパースイッチングフィルター属性を設定するには、RADIUSサーバーのCLIを使用して、1つ以上のフィルター条件を入力します。各フィルター項目は、対応するアクションと一致する条件で構成されています。引用符(" ")で囲んだフィルター項目を入力します。
Juniper-Switching-Filter = “match <destination-mac mac-address> <source-vlan vlan-name> <source-dot1q-tag tag> <destination-ip ip-address> <ip-protocol protocol-id> <source-port port> <destination-port port> action (allow | deny) <loss-priority (low | medium | high)>”
フィルター項目には1つ以上の一致条件を含めることができます。フィルター項目で複数の条件が指定された場合、パケットがフィルター項目に一致するためには、そのすべてが満たされる必要があります。例えば、以下のフィルター項目では、パケットが宛先IPアドレスと宛先MACアドレス の両方 と一致し、項目を満たす必要があります。
Juniper-Switching-Filter = “match destination-ip 10.10.10.8 destination-mac 00:00:00:01:02:03 action allow”
複数のフィルター項目は、以下のようにコンマで区切ります。
Juniper-Switching-Filter = “match destination-mac 00:00:00:01:02:03 action allow, match destination-port 80 destination-mac 00:aa:bb:cc:dd:ee action allow”
一致条件とアクションの定義については、 ジュニパースイッチングフィルターVSA一致条件とアクションを参照してください 。
EX9200スイッチ、およびアグリゲーションデバイスとしてEX9200を持つJunos Fusion Enterpriseでは、動的ファイアウォールフィルターがすべてのIPパケットに厳密に適用されます。フィルターが特定の宛先IPアドレスのみを許可するように設定されている場合、宛先IPとして他のIPアドレスを持つパケットは、フィルタールールに従って破棄されます。これには、DHCP、IGMP、ARPパケットなどのすべてのIPプロトコルパケットが含まれます。
RADIUSサーバー上で一致条件を設定するには:
RADIUSサーバーからローカルに設定されたファイアウォールフィルターの適用
ポートファイアウォールフィルター(レイヤー2ファイアウォールフィルター)を、RADIUSサーバーから一元的にユーザーポリシーに適用できます。これにより、RADIUSサーバーは、認証を要求する各ユーザーに適用されるファイアウォールフィルターを指定できるようになり、複数のスイッチで同じファイアウォールフィルターを設定する必要を減らすことができます。ファイアウォールフィルターに多数の条件がある場合や、同じフィルターに異なる条件を異なるスイッチ上で使用したい場合、この方法を使用します。ファイアウォールフィルターはスイッチごとに設定する必要があります。
ファイアウォールフィルターの詳細については、 EXシリーズスイッチのファイアウォールフィルターの概要を参照してください。
RADIUSサーバーからポートファイアウォールフィルターを一元的に適用するには:
ポートファイアウォールフィルターがローカルにインターフェイスに設定されている場合、ローカルに設定されたポートファイアウォールフィルターと競合する場合は、VSAを使用して設定されたファイアウォールフィルターの方が優先されます。競合がなければ、マージされます。
例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続する
802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。802.1X を使用してネットワークアクセスを制御します。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスにのみ、ネットワークへのアクセスが許可されます。RADIUSサーバーは、802.1X認証のユーザーデータベースとしてだけでなく、MAC RADIUS認証にも使用できます。
この例では、RADIUS サーバーを EXシリーズ スイッチに接続し、802.1X 用に設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
EXシリーズスイッチ向けJunos OSリリース9.0以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1Xをサポートする1つのRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
サーバーをスイッチに接続する前に、以下が完了していることを確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EXシリーズスイッチの基本的なブリッジングと VLAN の設定 を参照してください。その他のスイッチについては、「 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定」を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
RADIUS 認証サーバーで設定されたユーザー。
概要とトポロジー
EXシリーズスイッチは、認証PAEとして機能します。サプリカント(クライアント)がサーバーによって認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。
図1 は、 表2のデバイスに接続された1台のEX4200スイッチを示しています。
のトポロジー
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:8個のPoEポート(ge-0/0/0〜ge-0/0/7)および16個の非PoEポート(ge-0/0/8〜ge-0/0/23) |
VLAN名 |
デフォルト |
1台のRADIUSサーバー |
ポートge-0/0/10でスイッチに接続されたアドレス10.0.0.100のバックエンドデータベース |
この例では、RADIUS サーバーを EX4200 スイッチのアクセス ポート ge-0/0/10 に接続します。スイッチは認証装置として機能し、サプリカントから RADIUS サーバー上のユーザデータベースに認証情報を転送します。サーバーのアドレスを指定し、秘密のパスワードを設定することで、EX4200とRADIUSサーバー間の接続を設定する必要があります。この情報は、スイッチのアクセスプロファイルで設定されます。
認証、認可、アカウンティング(AAA)サービスの詳細については、 Junos OSシステムの基本設定ガイドを参照してください。
設定
手順
CLIクイックコンフィグレーション
RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
ステップバイステップの手順
RADIUSサーバーをスイッチに接続するには、次の手順に従います。
サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致する必要があります。
[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
認証順序を設定し、 RADIUS を最初の認証方法にします。
[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントの認証を順次試行するサーバーIPアドレスのリストを設定します。
[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
結果
設定の結果の表示:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$ABC123"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
スイッチと RADIUS サーバーが正しく接続されていることを確認する
目的
RADIUSサーバーが指定したポートでスイッチに接続されていることを確認します。
アクション
RADIUS サーバーに Ping を送信して、スイッチとサーバー間の接続を確認します。
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms
意味
ICMPエコー要求パケットをスイッチから10.0.0.100のターゲットサーバーに送信し、サーバーがIPネットワークを介して到達可能であるかどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。
RADIUS属性に基づくダイナミックフィルターを理解する
RADIUSサーバーの属性を使用して、RADIUS認証サーバーにポートファイアウォールフィルターを実装できます。これらのフィルターは、そのサーバーを介して認証を要求するサプリカントに動的に適用できます。RADIUSサーバー属性は、スイッチに接続されたサプリカントの認証に成功したときに、認証サーバーからスイッチに送信されるAccess-Acceptメッセージにカプセル化されたクリアテキストのフィールドです。スイッチはオーセンティケータとして機能し、RADIUS属性の情報を使用して、関連するフィルターをサプリカントに適用します。ダイナミックフィルターは、同じスイッチの複数のポートに適用したり、同じ認証サーバーを使用する複数のスイッチに適用することができ、ネットワークのアクセス制御を一元的に行うことができます。
ジュニパーネットワークスに固有のRADIUS属性でベンダー固有属性(VSA)とも呼ばれるジュニパー-スイッチングフィルター属性を使用して、RADIUSサーバー上で直接ファイアウォールフィルターを定義することができます。VSAは、RFC 2138、 Remote Authentication Dial In User Service (RADIUS)に記載されています。ジュニパー-Switching-Filter VSAは、RADIUSサーバーのジュニパー辞書の属性ID番号48の下に記載されており、ベンダーIDはジュニパーネットワークスID番号 2636に設定されています。この属性を使用して、認証サーバーのフィルターを定義し、そのサーバーを介してサプリカントを認証するすべてのスイッチに適用されます。この方法だと、複数のスイッチで同じフィルターを設定する必要がなくなります。
または、Filter-ID属性(RADIUS属性ID番号 11)を使用して、同一スイッチ上の複数のポートにポートファイアウォールフィルターを適用することもできます。Filter-ID属性を使用するには、まずスイッチにフィルターを設定し、そのフィルター名をFilter-ID属性の値としてRADIUSサーバー上のユーザーポリシーに追加する必要があります。これらのポリシーで定義されたサプリカントが RADIUS サーバーによって認証されると、そのサプリカントに対して認証されたスイッチ ポートにフィルターが適用されます。ファイアウォールフィルターの条件が複雑な場合や、スイッチによって同じフィルターの条件を使い分けたい場合に、この方法を使用します。Filter-ID属性で名前を付けられたフィルターは、スイッチ上でローカルに[edit firewall family ethernet-switching filter]階層レベルで設定する必要があります。
VSAは、802.1Xのシングルサプリカント構成とマルチサプリカント構成でのみサポートされています。
関連項目
RADIUS属性を使用した動的VLAN割り当てについて
VLAN は、RADIUS サーバーが、そのサーバーを介して 802.1X 認証を要求するサプリカントに動的に割り当てることができます。RADIUSサーバー上のVLANは、スイッチに接続されたサプリカントが認証を要求したときに、認証サーバーからスイッチに送信されるメッセージにカプセル化されたクリアテキストフィールドであるRADIUSサーバー属性を使用して設定します。スイッチは認証として機能し、RADIUS属性の情報を使用して、VLANをサプリカントに割り当てます。認証の結果に基づいて、1つのVLANで認証を開始したサプリカントが別のVLANに割り当てられる場合があります。
認証を成功させるには、802.1X認証として機能するスイッチでVLAN IDまたはVLAN名が設定されており、認証時にRADIUSサーバーから送信されたVLAN IDまたはVLAN名と一致している必要があります。どちらもない場合は、エンドデバイスは認証されません。ゲスト VLAN が確立された場合、認証されていないエンドデバイスが自動的にゲスト VLAN に移動します。
RFC 2868、 トンネルプロトコルサポート用 RADIUS 属性で説明されている、動的 VLAN 割り当てに使用される RADIUS サーバー属性。
Tunnel-Type—RADIUS属性タイプ 64として定義されます。値は
VLANに設定する必要があります。Tunnel-Medium-Type—RADIUS属性タイプ 65として定義されます。値は
IEEE-802に設定する必要があります。Tunnel-Private-Group-ID—RADIUS属性タイプ 81として定義されます。値は、VLAN ID または VLAN 名に設定する必要があります。
RADIUSサーバー上で動的VLANを設定する詳細については、お使いのRADIUSサーバーのドキュメントを参照してください。
関連項目
EXシリーズスイッチでのVLANグループの設定
VLAN グループ機能を使用すると、VLAN 全体にクライアントを分散できます。この機能を有効にすると、単一の無線LAN(WLAN)を単一のVLANまたは複数のVLANに調整できます。VLAN グループを設定すると、クライアントは設定された VLAN の 1 つに割り当てられます。この機能は、VLANグループ内のVLAN全体でユーザーの動的なロードバランシングをサポートします。この機能は、ラウンドロビンアルゴリズムに従って、VLANグループ内の次に使用可能なVLANにユーザーを割り当てます。
動的VLANロードバランシングでは、 Tunnel-Private-Group-ID 属性(RFC 2868で属性タイプ81として定義)に、通常のVLAN IDまたはVLAN名の代わりにVLANグループ名を追加しますRADIUS。その後、サプリカントが RADIUS サーバーを介して 802.1X 認証を要求すると、この情報を RADIUS 応答で送信します。スイッチがVLANグループ名を受信すると、ラウンドロビンアルゴリズムを使用して、そのグループ内のVLANの1つにエンドポイントを割り当てます。VLANグループにより、事前に設定されたリストからVLANを割り当てることができるため、管理者がネットワークの負荷を分散する必要性が軽減されます。
VLAN グループを設定するときは、以下の点に注意してください。
-
最大4096個のVLANグループを設定できます。
-
クライアントに割り当てる前に、VLAN を作成する必要があります。スイッチ上に存在しないVLANは、割り当て中に無視されます。
-
VLAN名をVLANグループ名と同じにすることはできません。
-
VoIP VLANはvlanグループの一部にすることはできません。VoIP VLANが存在する場合、それは無視されます。
-
VLAN を削除すると、その VLAN に関連付けられたすべての 802.1X 認証セッションが終了します。
-
VLANグループ内のVLANにすでに割り当てられているクライアントを中断させることなく、VLANグループを削除できます。
-
すでにVLANに割り当てられているクライアントを中断させることなく、VLANグループからVLANを削除できます。ただし、以下の場合、クライアントは中断に直面する可能性があります。
-
クライアントセッションの有効期限が切れます。
-
再認証またはロールの変更は、Change of Authorization(CoA)リクエストを使用して実行されます。
-
EXシリーズスイッチでVLANグループを設定するには:
関連項目
スイッチ上の 802.1X のゲスト VLAN について
ゲスト VLAN は、802.1X 認証を使用しているスイッチ上で設定して、通常はインターネットのみに制限されたアクセスを企業ゲストに提供できます。以下の場合、ゲスト VLAN はフォールバックとして使用されます。
サプリカントは 802.1X が有効ではないため、EAP メッセージには応答しません。
MAC RADIUS 認証は、サプリカントが接続されているスイッチ インターフェースで設定されていません。
キャプティブポータルは、サプリカントが接続されているスイッチインターフェイスで設定されていません。
不正な認証を送信したサプリカントには、ゲストVLANは使用されません。これらのサプリカントは、代わりにサーバー拒否 VLAN に送信されます。
802.1X が有効ではないエンド デバイスの場合、ゲスト VLAN は、802.1X が有効ではないエンド デバイスがサプリカント ソフトウェアをダウンロードして、認証を試すことができるサーバーへの無制限のアクセスを許可できます。
関連項目
例:EXシリーズスイッチでRADIUSサーバーが利用できない場合の802.1X認証オプションの設定
サーバー障害時のフォールバックでは、RADIUS 認証サーバーが利用できなくなった場合に、スイッチに接続されている 802.1X サプリカントをサポートする方法を指定できます。
802.1X を使用してネットワークアクセスを制御します。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイス(サプリカント)のみがネットワークへのアクセスを許可されます。ユーザーデータベースとしてRADIUSサーバーを使用します。
この例では、RADIUS サーバーのタイムアウトが発生した場合に、サプリカントを VLAN に移動させるインターフェイスを設定する方法を説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.3以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1Xをサポートする1つのRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
サーバーをスイッチに接続する前に、以下が完了していることを確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EXシリーズ スイッチの基本的なブリッジングと VLAN の設定 または 例:スイッチでの基本的なブリッジングと VLAN の設定を参照してください。その他のスイッチについては、「例:EXシリーズスイッチの基本的なブリッジングとVLANの設定」を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアCLIの使用を参照してください。
スイッチと RADIUS サーバー間の接続を設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
認証サーバーで設定されたユーザー。
概要とトポロジー
サプリカントがログインして LAN へのアクセスを試みるときに、認証 RADIUS サーバーに到達できない場合、RADIUS サーバーのタイムアウトが発生します。サーバー障害時のフォールバックを使用して、LAN アクセスを試みるサプリカントの代替オプションを設定します。サプリカントへのアクセスを受け入れるか拒否するか、または RADIUS サーバーのタイムアウト前にサプリカントに既に許可されたアクセスを維持するように、スイッチを設定できます。さらに、RADIUS タイムアウトが発生した場合に、サプリカントを特定の VLAN に移動するようにスイッチを設定することができます。
図2は、この例で使用したトポロジーを示しています。RADIUS サーバーは、アクセス ポート ge-0/0/10 で EX4200 スイッチに接続されています。スイッチは、認証コードのポートアクセスエンティティ (PAE) として機能し、サプリカントからの認証情報を RADIUS サーバー上のユーザーデータベースに転送します。スイッチは、サプリカントが認証サーバーによって認証されるまで、すべてのトラフィックをブロックし、認証ゲートとして機能します。サプリカントが、インターフェイスge-0/0/1を介してスイッチに接続されています。
この図は、QFX5100スイッチにも適用されます。
表3は、このトポロジーのコンポーネントについて説明しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200アクセススイッチ、24ギガビットイーサネットポート:非PoEポート16個とPoEポート8個。 |
VLAN名 |
デフォルト VLAN vlan-sfVLAN |
サプリカント |
インターフェイスge-0/0/1でアクセスを試みるサプリカント |
1台のRADIUSサーバー |
ポートge-0/0/10でスイッチに接続された、アドレス10.0.0.100のバックエンドデータベース |
この例では、RADIUS のタイムアウト中に LAN へのアクセスを試みるサプリカントを別の VLAN に移動させるために、インターフェイス ge-0/0/1 を設定します。RADIUS タイムアウトが発生すると、RADIUS サーバーからスイッチに情報を伝達し、サプリカントの認証を許可する RADIUS メッセージの正常な交換ができなくなります。デフォルトのVLANは、インターフェイスge-0/0/1上に設定されます。RADIUS タイムアウトが発生すると、インターフェイス上のサプリカントはデフォルト VLAN から vlan-sf という名前の VLAN に移動します。
トポロジー
設定
手順
CLIクイックコンフィグレーション
スイッチでサーバー障害時のフォールバックを素早く設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit protocols dot1x authenticator] set interface ge-0/0/1 server-fail vlan-name vlan-sf
ステップバイステップの手順
RADIUS タイムアウトが発生したときに、サプリカントを特定の VLAN に迂回させるインターフェイスを設定するには(ここでは VLAN は vlan-sf)。
サプリカントの方向を転換させるVLANを定義します。
[edit protocols dot1x authenticator] user@switch# set interface ge-0/0/1 server-fail vlan-name vlan-sf
結果
設定の結果の表示:
user@switch> show configuration
interfaces {
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members default;
}
}
}
}
protocols {
dot1x {
authenticator {
interface {
ge-0/0/1.0 {
server-fail vlan-name vlan-sf;
}
}
}
}
}
}
検証
設定が正常に機能していることを確認するには、以下のタスクを実行します。
RADIUS タイムアウト時にサプリカントが代替 VLAN に移動することの検証
目的
RADIUS タイムアウト時に、インターフェイスがサプリカントを代替 VLAN に移動させることを確認します。
ELS をサポートする Junos OS for EXシリーズ を実行しているスイッチでは、show vlansコマンドの出力には追加情報が含まれます。ご使用のスイッチがELSをサポートするソフトウェアを実行している場合は、showvlansを参照してください。ELSの詳細については、拡張レイヤー2ソフトウェアCLIの使用を参照してください
アクション
スイッチに設定されている VLAN を表示します。インターフェイス ge-0/0/1.0 は、 デフォルト VLANのメンバーです。
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/0.0, ge-0/0/1.0*, ge-0/0/5.0*, ge-0/0/10.0,
ge-0/0/12.0*, ge-0/0/14.0*, ge-0/0/15.0, ge-0/0/20.0
v2 77
None
vlan—sf 50
None
mgmt
me0.0*
スイッチに 802.1X プロトコル情報を表示して、インターフェイス ge-0/0/1.0で認証されたサプリカントを表示します。
user@switch> show dot1x interface brief 802.1X Information: Interface Role State MAC address User ge-0/0/1.0 Authenticator Authenticated 00:00:00:00:00:01 abc ge-0/0/10.0 Authenticator Initialize ge-0/0/14.0 Authenticator Connecting ge-0/0/15.0 Authenticator Initialize ge-0/0/20.0 Authenticator Initialize
RADIUSサーバーのタイムアウトが発生します。イーサネットスイッチングテーブルを表示して、以前はデフォルトVLAN経由でLANにアクセスしていたMACアドレス 00:00:00:00:00:01のサプリカントが、vlan-sfという名前のVLANで学習されていることを示します。
user@switch> show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned VLAN MAC address Type Age Interfaces v1 * Flood - All-members vlan—sf 00:00:00:00:00:01 Learn 1:07 ge-0/0/1.0 default * Flood - All-members
802.1X プロトコル情報を表示して、インターフェイス ge-0/0/1.0 が接続中であり、サプリカントへの LAN アクセスを開くことを示します。
user@switch> show dot1x interface brief
802.1X Information:
Interface Role State MAC address User
ge-0/0/1.0 Authenticator Connecting
ge-0/0/10.0 Authenticator Initialize
ge-0/0/14.0 Authenticator Connecting
ge-0/0/15.0 Authenticator Initialize
ge-0/0/20.0 Authenticator Initialize
意味
show vlansコマンドは、デフォルトVLANのメンバーとしてインターフェイスge-0/0/1.0を表示します。show dot1x interface briefコマンドは、サプリカント(abc)がインターフェイスge-0/0/1.0で認証され、MACアドレス00:00:00:00:00:01であることを示しています。RADIUSサーバーのタイムアウトが発生し、スイッチが認証サーバーにアクセスできません。show-ethernet-switching table コマンドは、MACアドレス 00:00:00:00:00:01 が VLAN vlan-sf で学習されたことを示しています。サプリカントがデフォルト VLAN から vlan-sf VLAN に移動しました。次に、サプリカントは、vlan-sf という名前の VLAN を介して LAN に接続されます。
例:EAP-TTLS認証およびOdysseyアクセスクライアント用のEXシリーズスイッチ上のフォールバックオプションの設定
802.1Xユーザー認証では、EXシリーズスイッチは、拡張認証プロトコル-トンネルTLS(EAP-TTLS)を使用してOdysseyアクセスクライアント(OAC)サプリカントを認証するRADIUS認証サーバーをサポートします。OACネットワーキングソフトウェアは、エンドポイントコンピューター(デスクトップ、ラップトップ、ノートパソコン、サポートされる無線デバイス)上で動作し、有線ネットワークと無線ネットワークの両方への安全なアクセスを提供します。
この例では、誤ったログイン資格情報を入力したOACユーザーにフォールバックサポートを提供するために、スイッチ上に802.1X対応インターフェイスを設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチのJunos OSリリース11.2以降
認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1Xをサポートする1つのRADIUS認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
サプリカントとして動作する 1 台の OAC エンド デバイス。
フォールバック オプションの設定を開始する前に、以下を確認してください。
スイッチと RADIUS サーバー間の接続を設定します。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
サーバー上でEAP-TTLSが設定されている。お使いの RADIUS サーバーのドキュメントを参照してください。
RADIUSサーバーで設定されたユーザー。お使いの RADIUS サーバーのドキュメントを参照してください。
概要とトポロジー
OAC は、エンドポイント コンピューター(デスクトップ、ラップトップ、ノートパソコン)およびサポートされている無線デバイス上で動作するネットワーク ソフトウェアです。OAC は、セキュアな無線LANアクセスに必要なEAPを完全にサポートします。
このトポロジーでは、OAC は 802.1X 対応スイッチと RADIUS サーバーとともに導入されます。スイッチは、ネットワークセキュリティアーキテクチャにおける強化ポイントとして機能します。このトポロジー:
承認されたユーザーのみが接続できることを確認します。
ログイン資格のプライバシーを維持します。
無線リンク上でデータのプライバシーを維持します。
この例では、スイッチ上にサーバー拒否 VLAN を構成しています。この VLAN を使用すると、不正なログイン資格情報を入力したユーザーが誤ってロックアウトされるのを防ぐことができます。これらのユーザーには、制限された LAN アクセスを付与できます。
ただし、このフォールバック設定では、OAC サプリカントと RADIUS サーバーが EAP-TTLS が使用されているため、複雑になっています。EAP-TTLSは、サーバーとエンドデバイスの間にセキュアな暗号化トンネルを作り、認証プロセスを完了させます。ユーザーが間違ったログイン資格を入力すると、RADIUSサーバーはこのトンネルを介してEAP失敗メッセージをクライアントに直接送信します。EAP失敗メッセージにより、クライアントは認証手順を再開するため、スイッチの802.1X認証プロセスは、サーバー拒否VLANを使用してスイッチとの間に確立されたセッションを破棄します。以下を構成することで、是正接続を継続できます。
eapol-block—サーバー拒否VLANに属するように構成された802.1XインターフェイスでEAPoLブロックタイマーを有効にします。ブロックタイマーにより、認証ポートのアクセスエンティティはクライアントからのEAP開始メッセージを無視して、認証手順の再開を試みるようになります。
注:EAPoL ブロック タイマーは、802.1X インターフェイスで設定された許容再試行回数( 再試行 オプションを使用)を使い切った後にのみトリガーされます。 再試行 を設定して、スイッチが最初に失敗した後、ポートの認証を試みる回数を指定できます。デフォルトでは 3 回の再試行を行います。
block-interval—EAPoL ブロック タイマーが EAP 開始メッセージを無視し続ける時間を構成します。ブロック間隔を設定しない場合、EAPoL ブロック タイマーのデフォルトは 120 秒です。
802.1X インターフェイスがクライアントからの EAP 開始メッセージを無視すると、スイッチは、サーバー拒否 VLAN を通じて確立された既存の是正セッションが開いたままになることを許可します。
これらの設定オプションは、シングル、シングルセキュア、マルチサプリカントの認証モードに適用されます。この例では、802.1X インターフェイスがシングル サプリカント モードで設定されています。
図3 は、OACエンドデバイスをRADIUSサーバーに接続するEXシリーズスイッチを示し、ネットワークエンティティの接続に使用されているプロトコルを示しています。
この図は、QFX5100スイッチにも適用されます。
を使用してOACをRADIUSサーバーに接続するEXシリーズスイッチ
トポロジー
表4に、このOAC導入のコンポーネントを示します。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EXシリーズスイッチ |
VLAN |
デフォルト server-reject-vlan:VLAN名はremedialで、VLAN IDは700です |
802.1X インターフェイス |
ge-0/0/8 |
OAC サプリカント |
EAP-TTLS |
1台のRADIUS認証サーバー |
EAP-TTLS |
設定
手順
CLIクイックコンフィグレーション
EAP-TTLS および OAC サプリカントのフォールバック オプションをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans remedial vlan-id 700 set protocols dot1x authenticator interface ge-0/0/8 retries 4 set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan remedial set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan eapol-block set protocols dot1x authenticator interface ge-0/0/8 server-reject-vlan block-interval 130
ステップバイステップの手順
EAP-TTLSおよびOACサプリカントのフォールバックオプションを設定するには:
この例では、スイッチにはサーバー拒否VLANが1つしかありません。そのため、設定では、server-reject-vlanの直後にeapol-blockとblock-intervalが指定されています。ただし、スイッチ上で複数の VLAN を設定している場合は、どの VLAN を変更するかを示すために、server-reject-vlan の直後に VLAN 名または VLAN ID を含める必要があります。
不正なログイン資格情報を入力したユーザーの LAN アクセスを制限するために、サーバー拒否 VLAN として機能する VLAN を構成します。
[edit] user@switch# set vlans remedial vlan-id 700
不正なログインがあった場合、サーバー拒否 VLAN に誘導されるまでに、クライアントにユーザー名とパスワードの入力を求める回数を設定します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set retries 4
不正なログインに対するフォールバックとしてサーバー拒否 VLAN を使用するように 802.1X オーセンティケータ インターフェイスを構成します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan remedial
サーバー拒否VLANに属するように構成された802.1XインターフェイスでEAPoLブロックタイマーを有効にします。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan eapol-block
EAPoL ブロックが有効であり続ける時間を構成します。
[edit protocols dot1x authenticator interface ge-0/0/8] user@switch# set server-reject-vlan block-interval 130
結果
設定の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
retries 4;
server-reject-vlan remedial block-interval 130 eapol-block;
}
検証
設定とフォールバックオプションが正しく機能していることを確認するには、次のタスクを実行します。
802.1X インターフェイスの設定の検証
目的
802.1X インターフェイスに目的のオプションが構成されていることを確認します。
アクション
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 4
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Disabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 120 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPoL requests: 2
Guest VLAN member: guest
Number of connected supplicants: 1
Supplicant: tem, 2A:92:E6:F2:00:00
Operational state: Authenticated
Backend Authentication state: Idle
Authentication method: Radius
Authenticated VLAN: remedial
Session Reauth interval: 120 seconds
Reauthentication due in 68 seconds
意味
show dot1x ge-0/0/8 detailコマンドの出力は、ge-0/0/8インターフェイスが認証済み状態にあり、是正VLANを使用していることを示しています。
802.1X認証の監視
目的
このトピックは、J-Webアプリケーションパッケージにのみ適用されます。
監視機能を使用して、認証されたユーザーと認証に失敗したユーザーの詳細を表示します。
アクション
J-Webインターフェイスで認証の詳細を表示するには、802.1X>監視>セキュリティを選択します。
CLIに認証の詳細を表示するには、以下のコマンドを入力します。
show dot1x interface detail | display xmlshow dot1x interface detail <interface> | display xmlshow dot1x auth-failed-users
意味
表示される詳細は次のとおりです。
認証されたユーザーのリスト。
接続しているユーザーの数。
認証に失敗したユーザーのリスト。
また、詳細を表示するインターフェイスを指定することもできます。
関連項目
802.1X認証の検証
目的
サプリカントが、802.1X認証に設定されたインターフェイスを使用して、スイッチ上のインターフェイスで認証されていることを検証し、使用されている認証方法を表示します。
アクション
802.1Xに設定されたインターフェイスに関する詳細情報を表示します(ここでは、インターフェイスはge-0/0/16です)。
user@switch> show dot1x interface ge-0/0/16.0 detail
ge-0/0/16.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: v200
Reauthentication due in 17 seconds
意味
show dot1x interface detailコマンドのサンプル出力では、Number of connected supplicantsが1になっています。認証され、現在 LAN に接続されているサプリカントは、RADIUS サーバー上で user5 として知られており、MACアドレスは 00:30:48:8C:66:BD です。サプリカントは、出力の Radius で示されているように、RADIUS 認証と呼ばれる 802.1X 認証 メソッドによって認証されました。RADIUS 認証が使用されると、サプリカントが RADIUS サーバーで設定され、RADIUS サーバーはこれをスイッチに伝え、スイッチはサプリカントが接続されているインターフェイスで LAN アクセスを開きます。また、サンプル出力は、サプリカントが VLAN v200 に接続されていることも示しています。
RADIUS認証に加えて、EXシリーズスイッチでサポートされている他の802.1X認証方法は以下の通りです。
Guest VLAN—応答しないホストには、Gust-VLANアクセスが付与されます。
MAC Radius—応答しないホストは、そのMACアドレスに基づいて認証されます。MACアドレスがRADIUSサーバーで許可されるように設定されると、RADIUSサーバーはMACアドレスが許可されたアドレスであることをスイッチに通知し、スイッチは接続されているインターフェイス上の応答していないホストへのLANアクセスを許可します。
サーバー障害時の拒否—RADIUSサーバーがタイムアウトすると、すべてのサプリカントがLANへのアクセスを拒否され、サプリカントからのトラフィックがインターフェイスを通過できなくなります。これがデフォルトです。
サーバー障害時の許可—RADIUSサーバーが利用できない場合でも、サプリカントはRADIUSサーバーによって正常に認証されているかのように、LANへのアクセスが許可されます。
サーバー障害時の使用キャッシュ—再認証中にRADIUSサーバーがタイムアウトすると、以前に認証されたサプリカントにはLANアクセスが許可されますが、新しいサプリカントはLANアクセスを拒否されます。
サーバー障害時のVLAN—RADIUSサーバーがサプリカントを再認証できない場合、サプリカントは指定されたVLANに移動するように設定されます。(VLANはすでにスイッチ上に存在している必要があります。)
関連項目
EXシリーズスイッチでのエンドデバイスの認証のトラブルシューティング
問題点
説明
静的MACアドレスを使用して構成されたエンドデバイスは、clear dot1x interfaceコマンドを実行して学習したすべてのMACアドレスをクリアした後、スイッチへの接続を失います。
MACアドレスをクリアする前に:
user@switch# run show ethernet-switching table Ethernet-switching table: 3 entries, 1 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members default 00:a0:d4:00:03:00 Learn 0 ge-3/0/16.0 user@switch> show dot1x authentication-bypassed-users MAC address Interface VLAN 00:a0:d4:00:03:00 ge-3/0/16.0 configured/default
MACアドレスをクリアするには:
user@switch> clear dot1x interface
MACアドレスをクリアした後:
user@switch> show ethernet-switching table Ethernet-switching table: 2 entries, 0 learned, 0 persistent entries VLAN MAC address Type Age Interfaces vlan100 * Flood - All-members default * Flood - All-members user@switch> show dot1x authentication-bypassed-users
認証バイパスリストにエンドデバイスが含まれていないことに注意してください。
原因
静的なMACアドレスは、インターフェイス上で学習した他のMACアドレスと同じように扱われます。clear dot1x interfaceコマンドが実行されると、静的MACバイパスリスト(除外リストとも呼ばれる)を含む、インターフェイスから学習したすべてのMACアドレスがクリアされます。
ソリューション
認証バイパス用に設定された静的MACアドレスを持つインターフェイスに対してclear dot1x interfacesコマンドを実行する場合は、静的MACアドレスを静的MACバイパスリストに再追加します。
関連項目
802.1XでサポートされるRADIUS属性とジュニパーネットワークスベンダー固有属性(VSA)
認証(ネットワークアクセスサーバー)、サプリカント(クライアント)、および認証サーバーはすべて、802.1X認証(RADIUSサーバー)に関与しています。RADIUSプロトコルは、NASとRadiusサーバー間の通信のための要求/応答メカニズムとして使用されます。要求と応答の両方に 0 個以上の Type Length 値(TLV/属性)があります。
各申請者のアクセスは、802.1Xで有効にされている定義済み機能とベンダー固有属性の標準セットを使用することで制限することができます。(クライアント)。RadiusClass属性の最大サイズは253バイトであるため、より長い値をサポートするために、特定の属性を複数回使用できる場合があります。
RADIUS標準属性とVSAを使用するメリット
外部RADIUSサーバーに接続して加入者の認証、許可、アカウンティングを行うには、RADIUS標準属性が必要です。
VSAを使用することで、加入者管理とサービスサポートに必要な多数の価値ある機能を実装することができ、RADIUSサーバーの機能がパブリック標準属性によって提供されるもの以上に拡張されます。
802.1XでサポートされているRadius属性とVSAのリスト
| タイプ | 属性 | 定義 |
|---|---|---|
| 1 |
ユーザー名 | RFC 2865 |
| 6 |
サービスタイプ | RFC 2865 |
| 11 |
フィルターID | RFC 2865 |
| 24 |
状態 | RFC 2865 |
| 25 |
クラス | RFC 2865 |
| 26 |
ベンダー固有 | RFC 2865 |
| 27 |
セッションタイムアウト | RFC 2865 |
| 56 |
Egress-VLANID | RFC 4675 |
| 57 |
Egress-VLAN-Name | RFC 4675 |
| 61 |
NASポートタイプ | RFC 2865 |
| 64 |
トンネルタイプ | RFC 2868 |
| 65 |
トンネル-ミディアムタイプ | RFC 2868 |
| 81 |
トンネルプライベートグループID | RFC 2868 |
| 85 |
Acct-Interim-Interval | RFC 2869 |
| 102 |
EAPキー名 | RFC 4072 |
| ベンダーID | 番号 | ジュニパーVSA | Microsoft VSA | Cisco VSA |
|---|---|---|---|---|
| 2636 | 48 | ジュニパースイッチングフィルター | ||
| 49 | ジュニパー-VoIP-VLAN | |||
| 50 | ジュニパー-CWA-リダイレクト-URL | |||
| 52 | ジュニパーAVペア = ポートバウンス |
|||
| ジュニパー-AV-ペア = ジュニパー ip-mac-session-binding |
||||
| ジュニパー-AV-ペア = no-mac-binding-reauth |
||||
| ジュニパー-AV-ペア = サプリカントモード-シングル |
||||
| ジュニパー-AV-ペア = Supplicant-Mode-Single-Secure |
||||
| ジュニパー-AV-ペア = Retain-Mac-Aged-Session |
||||
| 53 | ジュニパーイベントタイプ |
|||
| 54 | ジュニパーサブイベントタイプ | |||
| 55 | ジュニパージェネリックメッセージ | |||
| 311 | 16 | MS-MPPE-Send-Key | ||
| 17 | MS-MPPE-Recv-Key | |||
| 9 | 1 | Cisco-AVPair = 「加入者:コマンド=バウンスホストポート」 |
||
| Cisco-AVPair = "加入者:コマンド=再認証" |
||||
| Cisco-AVPair = 「加入者:reauthenticate-type=rerun」 |
||||
| 「加入者:再認証タイプ=最後」 | ||||
| 「urlリダイレクト」 |
802.1XでサポートされるRADIUS属性
User-Name:
この属性には、検証する必要があるユーザーの名前が表示されます。利用可能な場合、この属性を送信するためにAccess-Requestパケットを使用する必要があります。この属性の RADIUS タイプは 1 です。
Filter-Id:
RADIUSサーバーでは、ユーザーポリシーをファイアウォールフィルターの対象にすることができます。その後、RADIUSサーバーを使用して、認証要求を送信する各ユーザーに適用されるファイアウォールフィルターを指定できます。各スイッチにファイアウォールフィルターを設定する必要があります。
RADIUSサーバーから一元的にフィルターを適用するには、ローカルスイッチにファイアウォールフィルターを設定する必要があります。[root@freeradius]# cd /usr/local/pool/raddb vi users
各関連ユーザーのフィルターを追加します。
Filter-Id = Filter1
状態:
デバイスと RADIUS サーバーの間では、String属性を使用することで状態情報を保持できます。この属性の RADIUS タイプは 24 です。
Egress-VLANID:
このポートで許可されたIEEE 802 Egress VLANIDは、Egress-VLANID属性で表されます。この属性は、VLANIDに加えてタグ付きフレームまたはタグなしフレームでもVLANIDを許可するかどうかも指定します。Egress-VLANID属性は、In RFC 4675で定義されています。
Access-Request、Access-Accept、CoA-RequestパケットからのEgress-VLANID属性には、複数の値が含まれている場合があります。Access-Challenge、Access-Reject、Disconnect-Request、Disconnect-ACK、Disconnect-NAK、CoA-ACK、CoA-NAKにこの特性を含めることはできません。すべての属性は、ポートの許可されたエグレスVLANのリストに、提供されたVLANを追加します。
VLAN上のフレームがタグ付け(0x31)またはタグなし(0x32)の場合、長さが1オクテットであるTag Indicationフィールドにその状態が示されます。VLANIDは12ビット長で、VLAN VID値が含まれます。
Egress-VLAN-IDの場合:
0x31 = tagged 0x32 = untagged
例えば、以下のRADIUSプロファイルには、タグ付きVLANが1つとタグなしVLANが1つ含まれています。
001094001177 Cleartext-Password := "001094001177" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLANID += 0x3100033, Egress-VLANID += 0x3200034,
Egress-VLAN-Name:
Egress-VLAN-Nameは、このポートで許可されるVLANを表しています。Egress-VLANID属性に類似していますが、定義済みまたは周知のVLAN-IDを使用する代わりに、VLAN名を使用してシステム内のVLANを識別します。RFC 4675には、Egress-VLAN-Name属性の定義が含まれています。
VLAN名は、2つの部分からなるEgress-VLAN-Name属性の2番目の部分であり、このポートのVLAN上のフレームをタグ付き形式またはタグなし形式のどちらで表示するかも指定します。
Egress-VLAN-Nameの場合:1 = taged、2 = untagged
以下の例では、VLAN 1vlan-2にはタグが付けられていますが、VLAN 2vlan-3にはタグが付けられていません。001094001144 Cleartext-Password := "001094001144" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
Tunnel-Type:
この属性は、現在使用中のトンネリングプロトコルか、使用される予定のトンネリングプロトコルを指定します(トンネルイニシエータの場合)(トンネルターミネーターの場合)。RFC 2868は、Tunnel-Type属性を指定します。この属性の RADIUS タイプは 64 です
tunnel-private-group-id:
セッションのVLAN IDまたはNAMEは、Tunnel-Medium-Type属性によって表示されます。デバイスは、RADIUSからTunnel-Private-Group-ID属性用の値を取得した後、受信した文字列がVLAN名かIDであるかを検証し、デバイスにVLANが設定されているかどうかを確認します。
VLANが設定されている場合、そのVLANにクライアントポートが追加されます。そうでない場合は、VLAN検証に失敗するため、クライアントは許可されず、保留状態が維持されます。
この属性のRADIUSタイプは、RFC 2868に従って81です。
[root@freeradius]# cat /usr/local/etc/raddb/users supplicant1 Auth-Type := EAP, User-Password == "supplicant1" Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Tunnel-Private-Group-Id = "1005",
Acct-Interim-Interval:
Acct-Interim-Interval属性の値は、特定のセッションの仮更新の各送信間の時間間隔を秒単位で表しています。最後のアカウンティング更新メッセージから経過した秒数が、この属性の値となります。
管理者は、RADIUS クライアント上でローカルに最小値を設定することもできますが、この値は常に、Access-Accept パケットで検出された Acct-Interim-Interval 値よりも優先されます。この属性の RADIUS タイプは 85 です。
ジュニパーネットワークスVSA
ジュニパースイッチングフィルター:
RADIUSサーバー上のジュニパー辞書にあるジュニパー-Switching-Filter属性を使用することで、簡単なフィルター条件を指定することができます。その後、新しいユーザーが正常に認証されるたびに、これらのフィルターがスイッチに配信されます。
ユーザー認証にRADIUSサーバーを使用するスイッチでは、スイッチ固有の設定をしなくても、フィルターが自動的に構築されて適用されます。RADIUSサーバーに1つ以上の一致条件、アクション、ユーザーの関連付けを入力して、ジュニパースイッチングフィルタープロパティを設定します。
長いswitching-filterの場合は、一致条件の最大数が20個、最大合計文字数が4000文字となるジュニパー-switching-filter属性の複数のインスタンスを使用します。radius属性の最大長は253文字であるため、「ジュニパースイッチングフィルター」属性の各行も253文字未満にする必要があります。
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter = "match src-tag dst-port [ 80 25 443 ] src-port [5060 1025-2000] action allow ", Juniper-Switching-Filter += "match src-port 500 dst-port 600 src-tag [ 100, 200 ] action allow ", Juniper-Switching-Filter += "match ip-proto src-port 9090 ip-proto [ 25 17] action allow ", Juniper-Switching-Filter += "match src-port 100-120 200-220 300-320 src-tag ip-proto 26 18 action allow ", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000 ] ip-proto 240 action allow "
以下のフィルター一致条件がサポートされています。
· destination-mac / dst-mac · destination-port / dst-port · destination-ip / dst · ip-protocol / ip-proto · source-port / src-port · source-dot1q-tag / src-tag · ether-type
- Allow · Deny · GBP · Trap to CPU · Loss-Priority
i) ジュニパー辞書が RADIUS サーバーに読み込まれ、フィルタリング属性の ジュニパー-スイッチング-フィルター(属性 ID 48)が含まれていることを確認します。
[root@freeradius]# cat /usr/local/share/freeradius/dictionary.juniper # dictionary.juniper # $ # VENDOR Juniper 2636 BEGIN-VENDOR Juniper ATTRIBUTE Juniper-Local-User-Name 1 string ATTRIBUTE Juniper-Allow-Commands 2 string ATTRIBUTE Juniper-Deny-Commands 3 string ATTRIBUTE Juniper-Allow-Configuration 4 string ATTRIBUTE Juniper-Deny-Configuration 5 string ATTRIBUTE Juniper-Switching-Filter 48 string ATTRIBUTE Juniper-VoIP-Vlan 49 string ATTRIBUTE Juniper-CWA-Redirect 50 string ATTRIBUTE Juniper-AV-Pair 52 string END-VENDOR Juniper
ii) 一致条件とアクションを入力します。
[root@freeradius]# cd /usr/local/etc/raddb vi users
関連ユーザーごとに、ジュニパー-スイッチング-フィルター属性を追加します。宛先MACに基づいてアクセスを拒否または許可するには、以下を使用します
Juniper-Switching-Filter = "Match Destination mac 00:00:00:01:02:03 Action allow",
または
Juniper-Switching-Filter = "Match Destination-mac 00:00:00:01:02:03 Action deny",
宛先IPアドレスに基づいてアクセスを拒否または許可するには:
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action deny"
または
Juniper-Switching-Filter = "match destination-ip 192.168.1.0/31 action allow"
異なる一致とアクションを持つ複数のフィルターを送信するには:
spirent123 Auth-Type := EAP, User-Password := "spirent123" Juniper-Switching-Filter += "Match Ip-protocol 1 Destination-port 53 Action allow,", Juniper-Switching-Filter += "Match ip-proto [ 17, 25 ] dst-port 53 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 2 src-port 67 Action allow,", Juniper-Switching-Filter += "match ether-type [ 3000-4000 8000] action deny,", Juniper-Switching-Filter += "Match destination-port 23 Action allow,", Juniper-Switching-Filter += "Match Ip-protocol 6 Destination-port 80 Action trap,",
または
Juniper-Switching-Filter = "Match Ip-protocol 6 Destination-port 53 Action allow , Match Ip-protocol [ 17 25] Destination-port 53 Action allow , Match Ether-type [2054-2070] Action deny, Match Ip-protocol 6 Destination-port 443 Action trap"
宛先MACアドレスとIPプロトコルに基づいて、パケット損失優先度(PLP)を高に設定するには、MACアドレスを使用します。
Juniper-Switching-Filter = "match destination-mac 00:04:0f:fd:ac:fe, ip-protocol 2, action loss-priority high"
ジュニパー-VoIP-Vlan:
access-acceptメッセージまたはCOAリクエストメッセージにVSA ジュニパー-VoIP-Vlanを使用して、RADIUSサーバーからVOIP vlanを取得します。この属性の番号は49です。
Juniper-VoIP-Vlan = "voip_vlan"
VoIPでは、スイッチにIP電話を接続し、802.1X互換のIP電話用にIEEE 802.1X認証を設定することができます。
802.1X認証により、イーサネットLANが不正なユーザーアクセスから保護されます。VoIPとして知られるプロトコルは、パケット交換ネットワークを介して音声を送信するために使用されます。音声通話を送信するために、VoIPではアナログ電話回線ではなく、ネットワーク接続を使用します。VoIP を 802.1X で使用する場合、RADIUS サーバーが電話の ID を検証し、Link Layer Discovery Protocol-Media Endpoint Discovery(LLDP-MED)が電話にサービス クラス(CoS)パラメータを提供します。
ジュニパー-CWA-リダイレクト:
ジュニパーRADIUS辞書の属性番号50であるジュニパー-CWA-リダイレクトVSAを使用することで、リダイレクトURLをAAAサーバー上で一元的に設定できます。動的ファイアウォールフィルターとURLは両方とも、AAAサーバーから同じRADIUS Access-Acceptメッセージでスイッチに配信されます。バックアップ認証メカニズムとして、セントラルWeb認証(CWA)は、ホストのWebブラウザをセントラルWeb認証サーバーにリダイレクトします。ユーザーは、CWAサーバーのWebインターフェイスにユーザー名とパスワードを入力できます。CWAサーバーが認証情報を受け入れると、ユーザーは認証され、ネットワークへのアクセスが付与されます。
ホストがMAC RADIUS認証に失敗した後は、セントラルWeb認証が使用されます。スイッチは認証として機能し、動的ファイアウォールフィルターとセントラルWeb認証へのリダイレクトURLを含むAAAサーバーからRADIUS Access-Acceptメッセージを受信します。
セントラルWeb認証手順を有効にするには、リダイレクトURLと動的ファイアウォールフィルターの両方が存在する必要があります。セントラルWeb認証にジュニパースイッチングフィルターVSAを使用するには、AAAサーバー上で直接フィルター条件を設定する必要があります。フィルターには、CWAサーバーの宛先IPアドレスとアクション許可を一致させるための条件を含める必要があります。
次に例を示します。
001122334455 Auth-Type := EAP, Cleartext-Password :="001122334455" Session-Timeout = "300", Juniper-CWA-Redirect-URL = "https://10.10.10.10", Juniper-Switching-Filter = "Match Destination-ip 10.10.10.10 Action allow, Match ip-protocol 17 Action allow, Match Destination-mac 00:01:02:33:44:55 Action deny"
リダイレクトURLの場合、スイッチはDNSクエリを解決しません。CWAサーバーの宛先IPアドレスを有効にするには、ジュニパー-Switching-Filterプロパティを設定する必要があります。
ジュニパーAVペア:
ジュニパー-AV-ペア属性は、ジュニパーネットワークスのベンダー固有属性(VSA)です。加入者管理とサービスサポートに必要な多数の重要な機能を提供するために、パブリック標準属性が提供する機能以上の RADIUS サーバーの機能を強化するために使用されます。
i) Port-Bounce:
CoA bounce host portコマンドを使用すると、セッションが終了し、ポートがバウンスされます(リンクダウンイベントとそれに続くリンクアップイベントが開始されます)。リクエストは、以下に示すVSAを含む典型的なCoA-Requestメッセージでradiusサーバーから送信されます。
Juniper-AV-Pair = "Port-Bounce".
このコマンドはセッション指向であるため、「セッション識別」セクションにリストされているセッション識別属性を1つ以上必要とします。セッションが見つからない場合、デバイスはerror-code属性が「Session Context Not Found」のCoA-NAKメッセージを送信します。
デバイスはホスティングポートを4秒間シャットダウンしてから、再度有効にし(ポートバウンス)、セッションが見つかった場合はCoA-ACKを返します。
ii) ip-mac-session-binding:
これは、デバイスのMACアドレスが古くなっており、再学習する必要がある場合に、そのデバイスの認証セッションが終了しないようにするために使用されます。access-acceptまたはCOAリクエストメッセージで、VSA ジュニパーAVペアからこの属性値を受け取ります。
IP-MACアドレスバインディングに基づいて認証セッションを維持するために、以下の属性と値のペア両方を使用してRADIUSサーバーを設定します。
Juniper-AV-Pair = "IP-Mac-Session-Binding Juniper-AV-Pair = "No-Mac-Binding-Reauth"
iii) No-Mac-Binding-reauth:
これは、デバイスのMACアドレスが古くなったときにクライアントの再認証をブロックし、認証セッションが終了しないようにするために使用されます。このプロパティ値は、access-acceptまたはCOAリクエストメッセージでVSA ジュニパーAVペアから送信されます。
Juniper-AV-Pair = "No-Mac-Binding-Reauth" Detailed information is provided in the document: Retain the Authentication Session Using IP-MAC Bindings
iv) Supplicant-Mode-Single:
デバイスは、access-acceptまたはCOAリクエストメッセージでVSA ジュニパー-AVペアからこの属性値を受信すると、現在の設定モードからsingleに切り替わります。Juniper-AV-Pair = "Supplicant-Mode-Single"
v) Supplicant-Mode-Single-Secure:
デバイスは、access-acceptまたはCOAリクエストメッセージでVSA ジュニパー-AVペアからこの属性値を受信すると、現在の設定モードからsingle-secureに切り替わります。
Juniper-AV-Pair = "Supplicant-Mode-Single-Secure"
vi) Retain-Mac-Aged-Session:
802.11Xクライアントのaccess-acceptメッセージでVSA ジュニパー-AV-ペアからこの属性値を受信した場合、MACがエージングしていてもクライアントはアクティブなままであり、MACは再学習されます。Juniper-AV-Pair = "Retain-Mac-Aged-Session"
MS-MPPE-Send-KeyとMS-MPPE-Recv-Key:
これらは、動的CAKシナリオで使用されるMACSEC CAK生成キーとEAPキー名です。Cisco-AVPair:
Cisco Systems(IANAプライベートエンタープライズ番号9)は、単一のVSA、Cisco-AVPair(26-1)を使用しています。このVSAは、その値に基づいて、さまざまな情報を送信します。BNGがRADIUSサーバーに接続され、Cisco BroadHopアプリケーションがRADIUS Change of authorization(CoA)メッセージを使用してサービスをプロビジョニングするための Policy Control and Charging Rules Function(PCRF)サーバーとして機能する一部の加入者アクセスネットワークでは、このVSAをRADIUSメッセージで使用して、サービスをアクティブ化および非アクティブ化できます。BNGからRADIUSメッセージが配信されるときに、アカウンティング、CoA、または認証回答のプロパティを変更することはできません。
i) Cisco-AVPair = "加入者:command=bounce-host-port"
セッションが終了し、CoA bounce host portコマンドを介してポートがバウンスされます(リンクダウンイベントとそれに続くリンクアップイベントが開始されます)。リクエストは、以下に示すVSAを含む典型的なCoA-RequestメッセージでAAAサーバーから送信されます。
Cisco:Avpair=“subscriber:command=bounce-host-port”
このコマンドはセッション指向であるため、「セッション識別」セクションにリストされているセッション識別属性を1つ以上必要とします。セッションが見つからない場合、デバイスはerror-code属性が「Session Context Not Found」のCoA-NAKメッセージを送信します。デバイスはホスティングポートを4秒間シャットダウンしてから、再度有効にし(ポートバウンス)、セッションが見つかった場合はCoA-ACKを返します。
ii) Cisco-AVPair Reauthenticateコマンド
セッション認証を開始するために、AAAサーバーは、以下のVSAを含む標準のCoA-Requestメッセージを送信します。
Cisco:Avpair=“subscriber:command=reauthenticate” Cisco:Avpair=“subscriber:reauthenticate-type=<last | rerun>”
reauthenticate-type CoA再認証リクエストが、セッションで最後に成功した認証方法を使用するか、または認証プロセスを完全に再実行するかどうかを定義します。
"subscriber:command=reauthenticate" 再認証を発生させるには存在する必要があります。デフォルトのアクションでは、「加入者:reauthenticate-type」が指定されていない場合、セッションに使用された以前の成功した認証方法を繰り返します。メソッドが再認証に成功すると、以前のすべての認証データが、新しく再認証された認証データに置き換えられます。
「加入者:command=reauthenticate」も存在する場合にのみ、「加入者:reauthenticate-type」が有効になります。VSAが別のCoAコマンドに含まれている場合は無視されます。
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。