MAC RADIUS認証
いくつかの異なる認証方法を使用して、スイッチを介してネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスへの認証方法として、802.1X、MAC RADIUS、およびキャプティブポータルをサポートします。
ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定して、LAN アクセスを提供できます。詳細については、このトピックをお読みください。
MAC RADIUS認証の設定(CLI手順)
ホストが接続されているスイッチインターフェイスでMAC RADIUS認証を設定することで、802.1X非対応のLAN認証を許可できます。
また、802.1X非対応デバイスにLANへのアクセスを許可するには、静的MACバイパス認証のMACアドレスを設定します。
802.1X 認証も可能なインターフェイスで MAC RADIUS 認証を設定することも、認証いずれかの方法のみを設定することもできます。
インターフェイスでMAC RADIUSと802.1X認証の両方が有効になっている場合、スイッチはまずホストに3つのEAPoLリクエストを送信します。ホストから応答がない場合、スイッチはホストの MACアドレスを RADIUS サーバーに送信し、それが許可された MACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーは、MACアドレスが許可されたアドレスであることを示すメッセージをスイッチに送信し、スイッチは接続されているインターフェイス上の応答していないホストへのLANアクセスを開きます。
インターフェイスにMAC RADIUS認証が設定されているが、802.1X認証が設定されていない場合( mac-radius restrict オプションを使用)、スイッチは最初に802.1X認証を試みることで、遅延なくRADIUSサーバーでMACアドレスの認証を試みます。
MAC RADIUS 認証を設定する前に、以下を満たしていることを確認してください。
スイッチと RADIUS サーバー間の構成された基本アクセス。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
CLIを使用してMAC RADIUS認証を設定するには:
-
スイッチ上で、応答しないホストがMAC RADIUS認証用に接続されているインターフェイスを設定し、インターフェイスge-0/0/20の制限修飾子を追加して、MAC RADIUS認証のみを使用するようにします。
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
RADIUS認証サーバーで、応答していないホストのMACアドレス(コロンなし)をユーザー名とパスワードとして使用して、応答していないホストごとにユーザープロファイルを作成します(ここでは、MACアドレスは 00:04:0f:fd:ac:fe および 00:04:ae:cd:23:5fです)。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(オプション)MACアドレスをパスワードとして使用するのではなく、すべてのMAC RADIUS認証にグローバルパスワードを設定します(ここでグローバルパスワードは $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzFです)。
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
関連項目
例:EXシリーズスイッチでのMAC RADIUS認証の設定
802.1X 非対応のホストに LAN へのアクセスを許可するには、802.1X 非対応ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を構成できます。MAC RADIUS 認証が設定されている場合、スイッチはホストの MACアドレスを使用して、RADIUS サーバーでホストの認証を試みます。
この例では、802.1X非対応のホスト2台に対してMAC RADIUS認証を設定する方法を説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.3以降。
認証コードのポートアクセスエンティティ(PAE)として機能するEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
RADIUS 認証サーバー。認証サーバーはバックエンドデータベースとして機能し、ネットワークへの接続を許可されたホスト(サプリカント)の資格情報を含みます。
MAC RADIUS 認証を設定する前に、以下を満たしていることを確認してください。
EXシリーズスイッチとRADIUSサーバー間の構成された基本アクセス。 例:802.1X用RADIUSサーバーをEXシリーズスイッチに接続するを参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー 2 ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EXシリーズ スイッチの基本的なブリッジングと VLAN の設定 または 例:スイッチでの基本的なブリッジングと VLAN の設定を参照してください。その他のスイッチについては、「 例:EXシリーズスイッチの基本的なブリッジングとVLANの設定」を参照してください。
注:ELSの詳細については、以下を参照してください: 拡張レイヤー 2 ソフトウェア CLI の使用
基本的な802.1X設定を実行しました。 802.1Xインターフェイス設定の設定(CLI手順)を参照してください。
概要とトポロジー
IEEE 802.1Xポートベースのネットワークアクセス制御(PNAC)は、デバイスが802.1Xプロトコルを使用してスイッチと通信できる(つまり、デバイスが802.1X対応である)場合に、デバイスを認証し、LANへのアクセスを許可します。802.1X が非対応のエンド デバイスに LAN へのアクセスを許可するには、エンド デバイスが接続されているインターフェイスで MAC RADIUS 認証を構成できます。エンドデバイスの MACアドレスがインターフェイスに表示されると、スイッチは RADIUS サーバーを参照して、それが許可された MACアドレスであるかどうかを確認します。エンドデバイスの MACアドレスが RADIUS サーバーで許可されるように設定されている場合、スイッチはエンドデバイスへの LAN アクセスを開きます。
複数のサプリカントに設定されたインターフェイス上で、MAC RADIUS 認証方式と 802.1X 認証方式の両方を設定できます。さらに、インターフェイスが802.1X非対応ホストにのみ接続されている場合、 mac-radius restrict オプションを使用することで、MAC RADIUSを有効にし、802.1X認証を有効にしないようにすることができます。これにより、スイッチがデバイスがEAPメッセージに応答しないと判断する間に発生する遅延を回避できます。
図1 は、スイッチに接続された2台のプリンターを示しています。
この図は、QFX5100スイッチにも適用されます。
表1は、MAC RADIUS認証の例のコンポーネントを示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200ポート(ge-0/0/0〜ge-0/0/23) |
VLAN名 |
営業 |
プリンターへの接続(PoE不要) |
ge-0/0/19、MACアドレス00040ffdacfe ge-0/0/20、MACアドレス0004aecd235f |
RADIUSサーバー |
インターフェイスge-0/0/10のスイッチに接続されています |
MACアドレス00040ffdacfeのプリンターは、アクセスインターフェイスge-0/0/19に接続されています。MACアドレス0004aecd235fの2台目のプリンターは、アクセスインターフェイスge-0/0/20に接続されています。この例では、両方のインターフェイスがスイッチ上でMAC RADIUS認証用に設定されており、両方のプリンターのMACアドレス(コロンなし)がRADIUSサーバーで設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1X 認証を試みる間の通常の遅延を排除するように設定されています。MAC RADIUS認証が有効になり、 mac radius restrict オプションを使用して802.1X認証が無効になります。
トポロジー
設定
手順
CLIクイックコンフィグレーション
MAC RADIUS 認証をすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
また、「ステップバイステップ手順」のステップ2で行うように、2つのMACアドレスをRADIUSサーバー上でユーザー名とパスワードとして設定する必要があります。
ステップバイステップの手順
スイッチと RADIUS サーバーで MAC RADIUS 認証を設定します。
スイッチ上で、MAC RADIUS 認証用にプリンターが接続されているインターフェイスを設定し、インターフェイス ge-0/0/20 で制限オプションを設定して、MAC RADIUS 認証のみが使用されるようにします。
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrictRADIUSサーバーで、MACアドレス00040ffdacfeと0004aecd235fをユーザー名とパスワードとして設定します。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
結果
スイッチ上の設定結果を表示します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
authentication-profile-name profile52;
interface {
ge-0/0/19.0 {
mac-radius;
}
ge-0/0/20.0 {
mac-radius {
restrict;
}
}
}
}
}
}
検証
サプリカントが認証されていることを確認します。
サプリカントが認証されていることの確認
目的
スイッチとRADIUSサーバーでMAC RADIUS認証用にサプリカントを設定した後、サプリカントが認証されていることを確認し、認証方法を表示します。
アクション
802.1X設定インターフェイスge-0/0/19およびge-0/0/20に関する情報を表示します。
user@switch> show dot1x interface ge-0/0/19.0 detail
ge-0/0/19.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user101, 00:04:0f:fd:ac:fe
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
user@switch> show dot1x interface ge-0/0/20.0 detail
ge-0/0/20.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Enabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user102, 00:04:ae:cd:23:5f
Operational state: Authenticated
Authentcation method: Radius
Authenticated VLAN: vo11
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
show dot1x interface detailコマンドからのサンプル出力には、[Supplicant]フィールドに接続されたエンドデバイスのMACアドレスが表示されます。インターフェイスge-0/0/19では、MACアドレスは00:04:0f:fd:ac:feであり、これはMAC RADIUS認証用に設定された最初のプリンターのMACアドレスです。認証方法フィールドには、認証方法がRadiusと表示されます。インターフェイスge-0/0/20では、MACアドレスは00:04:ae:cd:23:5fであり、これはMAC RADIUS認証用に設定された2番目のプリンターのMACアドレスです。認証方法フィールドには、認証方法がRadiusと表示されます。