Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC RADIUS 認証

スイッチからネットワークへのアクセスを制御するには、いくつかの異なる認証方法を使用します。Junos OS スイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1 X、MAC RADIUS、および専用ポータルをサポートしています。

ホストが接続されているスイッチインターフェイス上で MAC RADIUS 認証を設定して、LAN アクセスを提供できます。詳細については、このトピックをお読みください。

MAC RADIUS 認証の設定 (CLI 手順)

802.1 X 対応 LAN アクセスではないデバイスを許可するには、ホストが接続されているスイッチインターフェイスで MAC RADIUS 認証を構成します。

注:

また、802.1 X 対応デバイスが LAN にアクセスできるようにするには、認証の静的な MAC バイパス用にその MAC アドレスを構成します。

802.1 X 認証を許可するインターフェイスで MAC RADIUS 認証を構成することも、認証方法だけを構成することもできます。

インターフェイスで MAC RADIUS と 802.1 X 認証の両方が有効になっている場合、スイッチはまずホスト 3 EAPoL 要求をホストに送信します。ホストからの応答がない場合、スイッチはホストの MAC アドレス を RADIUS サーバーに送信して、ホストのホストが許可されているかどうかを確認MAC アドレス。MAC アドレスが RADIUS サーバー上で許可されている場合、RADIUS サーバーはそのスイッチにメッセージを送信し、MAC アドレスが許可されているアドレスであることを示します。スイッチは、接続されているインターフェイス上で、応答しているホストへの LAN アクセスをオープンします。

MAC RADIUS 認証がインターフェイス上で設定されているのに、802.1X 認証が(オプションを使用して)ない場合、スイッチは、802.1X 認証を最初に試行して遅延することなく、RADIUS サーバーによる MAC アドレス の認証を試みる。 mac-radius restrict

MAC RADIUS 認証を構成する前に、以下のことを確認してください。

CLI を使用して MAC RADIUS 認証を構成するには、次のようにします。

  • スイッチで、非応答ホストが MAC RADIUS 認証用にアタッチされているインターフェイスを設定し、MAC 認証のみを使用するインターフェイス用にRADIUS restrictge-0/0/20 追加します。

  • RADIUS認証サーバーで、非応答ホストの MAC アドレス(コロンなし)をユーザー名とパスワードとして使用して、各無応答ホストのユーザー プロファイルを作成します(この MAC アドレスは、 と です 00:04:0f:fd:ac:fe00:04:ae:cd:23:5f )。

例:EX シリーズスイッチでの MAC RADIUS 認証の設定

802.1 X 対応ホストが LAN にアクセスすることを許可しない場合は、802.1 のない X 利用のスイッチが接続されていても、そのホストで MAC RADIUS 認証を設定できます。MAC サーバー RADIUS認証が設定されている場合、スイッチはホストの認証を使用して RADIUS サーバーによるホストの認証を試MAC アドレス。

この例では、802.1 X 対応ホスト2台で MAC RADIUS 認証を構成する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチのリリース9.3 以降を Junos OS します。

  • EX シリーズスイッチは、オーセンティケータポートアクセスエンティティー (PAE) として機能します。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

  • RADIUS 認証サーバーです。認証サーバーはバックエンドデータベースとして動作し、ネットワークに接続する権限を持つホスト (サプリカント) の資格情報が含まれています。

MAC RADIUS 認証を構成する前に、以下のことを確認してください。

概要とトポロジー

IEEE 802.1 X ポートベースのネットワークアクセスコントロール (PNAC) は、デバイスが 802.1 X プロトコル (デバイスが 802.1 X 対応) を使用してスイッチと通信できる場合、LAN へのアクセスを認証して許可します。802.1 X 対応エンドデバイスに LAN へのアクセスを許可するには、エンドデバイスが接続されているインターフェイス上で MAC RADIUS 認証を構成できます。エンドデバイスの MAC アドレスがインターフェイスに表示される場合、スイッチは RADIUS サーバーを調べて、MAC アドレスが許可されているかどうかを確認します。エンドデバイスの MAC アドレスが RADIUS サーバーで許可されている場合、このスイッチはエンドデバイスへの LAN アクセスを開きます。

複数のサプリカント用に設定されたインターフェイスで、MAC RADIUS 認証方法と 802.1 X 認証方式の両方を設定できます。さらに、インターフェイスが 802.1X 非対応ホストにのみ接続されている場合は、 オプションを使用して MAC RADIUS を有効にし、802.1X 認証を有効にできません。したがって、スイッチがデバイスが EAP メッセージに応答していないと判断している間に発生する遅延を回避できます。 mac-radius restrict

図 1は、スイッチに接続されている2つのプリンターを示しています。

注:

この図は QFX5100 スイッチにも適用されます。

図 1: MAC RADIUS 認証構成のトポロジMAC RADIUS 認証構成のトポロジ

表 1は、MAC RADIUS 認証用の例のコンポーネントを示しています。

表 1: MAC RADIUS 認証構成トポロジーのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200 ポート (ge-0/0/0 から ge-0/0/23 まで)

VLAN 名

潜在

プリンターへの接続 (PoE は必要ありません)

ge-0/0/19、MAC アドレス00040ffdacfe

ge-0/0/20、MAC アドレス0004aecd235f

RADIUS サーバー

インターフェイス上のスイッチに接続されています ge-0/0/10

MAC アドレス00040ffdacfe のプリンターは、アクセスインターフェイス ge-0/0/19 に接続されています。MAC アドレス0004aecd235f を搭載した2台目のプリンターは、アクセスインターフェイス ge-0/0/20 に接続されています。この例では、スイッチ上で両方のインターフェイスが MAC RADIUS 認証用に設定されており、両方のプリンターの MAC アドレス (コロンなし) が RADIUS サーバー上に設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1 X 認証を試行している間に、通常の遅延を排除するように設定されています。MAC RADIUS 認証が有効になっており、このオプションをmac radius restrict使用した 802.1 x 認証は無効になっています。

Topology

構成

手順

CLI クイック構成

MAC RADIUS 認証を迅速に構成するには、以下のコマンドをコピーしてスイッチ端末ウィンドウに貼り付けます。

注:

また、2つの MAC アドレスを RADIUS サーバー上のユーザー名とパスワードとして設定する必要があります。これは、ステップバイステップの手順2で行います。

順を追った手順

スイッチと RADIUS サーバーで MAC RADIUS 認証を構成します。

  1. スイッチ上で、プリンターが MAC RADIUS 認証に接続されるインターフェイスを設定し、インターフェイス ge-0/0/20 の制限オプションを設定して、MAC RADIUS 認証のみが使用されるようにします。

  2. RADIUS サーバー上で、MAC アドレス00040ffdacfe と0004aecd235f をユーザー名とパスワードとして設定します。

結果

スイッチの構成結果を表示するには、以下のようにします。

検証

サプリカントが認証されていることを確認します。

サプリカントが認証されていることの確認

目的

サプリカントは、MAC RADIUS 認証用にスイッチと RADIUS サーバーで構成された後、認証されていることを確認し、認証方法を表示します。

アクション

802.1 X が構成したインターフェイスに関する情報を表示します。 0/0/19 および ge-0/0/20:

コマンドからのサンプル出力には show dot1x interface detail 、フィールドにMAC アドレスされたエンド デバイスのポートが表示 Supplicant されます。インターフェイスge-0/0/19では、MAC アドレスは、MAC認証用に設定されたMAC アドレスプリンターのRADIUS 00:04:0f:fd:ac:fe です。フィールド Authentication method には、認証方法が 表示されます Radius 。インターフェイスでは、インターフェイスMAC アドレス MAC認証用に設定された2 MAC アドレスプリンターのRADIUS ge-0/0/2000:04:ae:cd:23:5f です。フィールド Authentication method には、認証方法が 表示されます Radius