Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EX シリーズスイッチの柔軟な認証順序

Junos OS スイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1 X、MAC RADIUS、および専用ポータルをサポートしています。柔軟な認証順機能を使用して、クライアントの認証を試みるときにスイッチが使用する認証方式の順序を指定できます。1つのインターフェイスに複数の認証方法が設定されている場合、1つの認証方法が失敗すると、スイッチは別の方法に戻ります。詳細については、このトピックをお読みください。

柔軟な認証順序の構成

柔軟な認証順機能を使用して、クライアントの認証を試みるときにスイッチが使用する認証方式の順序を指定できます。1つのインターフェイスに複数の認証方法が設定されている場合、1つの認証方法が失敗すると、スイッチは別の方法に戻ります。

デフォルトでは、スイッチは最初に 802.1 X 認証を使用してクライアントを認証しようとします。クライアントからの応答がなく、MAC RADIUS 認証がインターフェイスで構成されているため、802.1 X 認証が失敗した場合、スイッチは、MAC RADIUS を使用して認証を試みます。MAC RADIUS が失敗し、専用ポータルがインターフェイスに設定されている場合、スイッチは、専用ポータルを使用して認証を試みます。

柔軟な認証順序では、使用される認証方法の順序は、インターフェイスに接続されているクライアントのタイプに応じて変更できます。802.1 X 認証またauthentication-orderは MAC RADIUS 認証を最初に試行する認証方法である必要があるかどうかを指定するステートメントを設定できます。常に最終認証方法を試みたのは、専用ポータルです。

MAC RADIUS 認証が順に最初の認証方法として設定されている場合は、任意のクライアントからデータを受信すると、MAC RADIUS 認証を使用してクライアントを認証しようとします。MAC RADIUS 認証が失敗した場合、スイッチは 802.1 X 認証を使用してクライアントを認証します。802.1 X 認証が失敗し、専用ポータルがインターフェイスに設定されている場合、スイッチは、専用ポータルを使用して認証を試みます。

注:

802.1 X 認証と MAC RADIUS 認証が失敗し、そのインターフェイスで専用ポータルが構成されていない場合、クライアントは、サーバー障害が発生した場合を除き、LAN へのアクセスを拒否されます。詳細については、 『 RADIUS Server Fail の代替手順 (CLI) の設定を構成する」を参照してください。

マルチサプリカントモードで構成されたインターフェイス上で、異なる認証方法を並列で使用できます。そのため、専用ポータルを使用してエンドデバイスがインターフェイスで認証された場合でも、そのインターフェイスに接続した別のエンドデバイスを 802.1 X または MAC RADIUS 認証を使用して認証できます。

インターフェイスで柔軟な認証順序を構成する前に、そのインターフェイスに認証方法が設定されていることを確認してください。このスイッチは、その方法が認証順に含まれている場合でも、インターフェイス上で構成されていない方法を使用して認証を試みません。スイッチはそのメソッドを無視し、そのインターフェイスで有効になっている認証順序で次のメソッドを試行します。

文をauthentication-order設定するには、以下のガイドラインに従います。

  • 認証順序には、少なくとも2つの認証方法が含まれている必要があります。

  • 802.1 x 認証は、認証順に含まれているいずれかの方法である必要があります。

  • 認証順序に、専用ポータルが含まれている場合は、注文の最後の方法である必要があります。

  • インターフェイスmac-radius-restrictに設定されている場合は、そのインターフェイスで認証順序を設定することはできません。

柔軟な認証順序を構成するには、次の有効な組み合わせのいずれかを使用します。

注:

認証順は、 interface allオプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに構成することもできます。認証順序が個々のインターフェイスとすべてのインターフェイスに対して設定されている場合、そのインターフェイスのローカル構成はグローバル構成を上書きします。

  • 802.1 X 認証を最初の認証方法として設定するには、次に MAC RADIUS 認証、および専用ポータル:
  • 最初の認証方法として 802.1 X 認証を構成するには、次に、専用ポータルを実行します。
  • 802.1 X 認証を最初の認証方法として設定し、次に MAC RADIUS 認証を構成するには、以下の手順に従います。
  • 最初の認証方法として MAC RADIUS 認証を設定し、その後で 802.1 X を構成してから、専用ポータルを実行するには、以下の手順に従います。

認証順を構成した後、このinsert コマンドを使用して、認証順序に変更を加える必要があります。このsetコマンドを使用しても、設定された順序は変更されません。

初期構成後に認証順序を変更するには、次のようにします。

たとえば、から[mac-radius dot1x captive portal][dot1x mac-radius captive portal]以下のように注文を変更するとします。

EAPoL ブロックを構成して既存の認証セッションを維持する

802.1 X 認証システムとして動作するスイッチが、認証されたクライアントから EAP 開始メッセージを受信すると、スイッチは、802.1 X メソッドを使用してクライアントの再認証を試み、通常は、EAP 要求メッセージを返し、応答を待機します。クライアントが応答しない場合、スイッチは MAC RADIUS または専用ポータルの方法を使用してクライアントを再認証しようとします。これらの方法が構成されている場合。MAC RADIUS または専用ポータル認証を使用して認証されたクライアントは応答しないため、スイッチが再認証を試みると、トラフィックはインターフェイスにドロップされます。

802.1 がクライアントの認証に使用される最初の方法として MAC RADIUS を使用するようにインターフェイス上で柔軟な認証順序を構成している場合でも、クライアントが EAP スタートアップメッセージを送信した場合、スイッチは再認証については、それまでのような変更については、X がMAC RADIUS 認証を使用して正常に認証されました。EAPoL ブロックは、固定またはフレキシブルのいずれかの認証順序で構成できます。authentication-order明細書を設定しない場合、注文は既定で固定されます。このeapol-blockステートメントは、 authentication-orderステートメントを設定することによって、または構成しなくても設定できます。

MAC RADIUS 認証を使用して認証されたクライアントから、 eapol-blockまたは文を使用した専用ポータルの認証を使って承認した EAP 開始メッセージを無視するようにスイッチを設定できます。EAPoL メッセージのブロックが有効な場合、スイッチがクライアントから EAP スタートアップメッセージを受信しても、EAP 要求メッセージは返されず、既存の認証セッションが維持されます。

注:

エンドポイントが MAC RADIUS 認証または専用ポータル認証で認証されていない場合、EAPoL ブロックは有効になりません。エンドポイントは、802.1 X 認証を使用して認証できます。

eapol-blockmac-radiusオプション付きで設定されている場合、クライアントは、MAC RADIUS 認証または CWA (中央 Web 認証) で認証を受けると、クライアントは、EAP 起動メッセージを送信しても認証状態が維持されます。がeapol-blockcaptive-portalオプション付きで設定されている場合、クライアントは、専用ポータルによる認証後、EAP 開始メッセージを送信しても、認証済み状態のままになります。

注:

この機能は EX4300 および EX9200 スイッチでサポートされています。

EAPoL メッセージのブロックを設定して既存の認証セッションを維持するには、次のようにします。

  • MAC RADIUS 認証を使用して認証されたクライアントの EAPoL ブロックを構成するには、次のようにします。
  • 専用ポータル認証を使用して認証されるクライアントの EAPoL ブロックを構成するには、次のようにします。