Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC RADIUS 認証

複数の異なる認証方法を使用して、スイッチを介してネットワークへのアクセスを制御できます。Junos OS スイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブ ポータルをサポートしています。

ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定して、LAN アクセスを提供できます。詳細については、このトピックをお読みください。

MAC RADIUS 認証の設定(CLI プロシージャ)

ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定することで、802.1X 対応 LAN アクセスでないデバイスを許可できます。

注:

また、認証の静的なMACバイパス用にMACアドレスを設定することで、非802.1X対応デバイスがLANにアクセスできるようにすることもできます。

802.1X 認証を許可するインターフェイスで MAC RADIUS 認証を設定することも、いずれかの認証方法だけを設定することもできます。

インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、スイッチは最初にホストに 3 つの EAPoL 要求をホストに送信します。ホストからの応答がない場合、スイッチはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスかどうかを確認します。MAC アドレスが RADIUS サーバーで許可されるように設定されている場合、RADIUS サーバーは MAC アドレスが許可アドレスであるというメッセージをスイッチに送信し、スイッチは、その MAC アドレスが接続されているインターフェイス上の応答のないホストへの LAN アクセスを開きます。

MAC RADIUS 認証がインターフェイス上で設定されていても、802.1X 認証が(オプションを使用 mac-radius restrict して)設定されていない場合、スイッチは 802.1X 認証を最初に試みることで遅延なく RADIUS サーバーで MAC アドレスの認証を試みます。

MAC RADIUS 認証を設定する前に、次の機能があることを確認してください。

CLI を使用して MAC RADIUS 認証を設定するには、次の手順に従います。

  • スイッチで、応答しないホストがMAC RADIUS認証用に接続されているインターフェイスを設定し、インターフェイスの修飾子ge-0/0/20restrict追加して、MAC RADIUS認証のみを使用するようにします。

  • RADIUS 認証サーバーで、応答しないホストの MAC アドレス(コロンなし)をユーザー名とパスワードとして使用して、応答しない各ホストのユーザー プロファイルを作成します(ここでは、MAC アドレスは 00:04:0f:fd:ac:fe00:04:ae:cd:23:5fのとおりです)。

例:EX シリーズ スイッチでの MAC RADIUS 認証の設定

802.1X 対応でないホストが LAN にアクセスすることを許可するには、非 802.1X 対応ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定できます。MAC RADIUS 認証が設定されている場合、スイッチはホストの MAC アドレスを使用して RADIUS サーバーでホストの認証を試みます。

この例では、2 つの非 802.1X 対応ホストに対して MAC RADIUS 認証を設定する方法について説明します。

要件

この例では、次のソフトウェアコンポーネントとハードウェアコンポーネントを使用します。

注:

この例は、QFX5100 スイッチにも適用されます。

  • EX シリーズ スイッチ向け Junos OS リリース 9.3 以降。

  • オーセンティケータ ポート アクセス エンティティ(PAE)として機能する EX シリーズ スイッチ。オーセンティケータ PAE のポートは、サプリカントとの間のすべてのトラフィックが認証されるまでブロックする制御ゲートを形成します。

  • RADIUS 認証サーバー。認証サーバーはバックエンド データベースとして機能し、ネットワークに接続する権限を持つホスト(サプリカント)の認証情報を格納します。

MAC RADIUS 認証を設定する前に、次の機能があることを確認してください。

概要とトポロジー

IEEE 802.1Xポートベースのネットワークアクセスコントロール(PNAC)は、デバイスが802.1Xプロトコルを使用してスイッチと通信できる場合(つまり、デバイスは802.1X対応)、LANへのデバイスアクセスを認証し、許可します。非 802.1X 対応エンド デバイスが LAN にアクセスできるように、エンド デバイスが接続されているインターフェイスで MAC RADIUS 認証を設定できます。エンド デバイスの MAC アドレスがインターフェイスに表示されると、スイッチは RADIUS サーバーを参照して、許可された MAC アドレスかどうかを確認します。エンド デバイスの MAC アドレスが RADIUS サーバーで許可されるように設定されている場合、スイッチはエンド デバイスへの LAN アクセスを開きます。

複数のサプリカント用に設定されたインターフェイス上で、MAC RADIUS認証と802.1X認証方法の両方を設定できます。さらに、インターフェイスが非 802.1X 対応ホストにのみ接続されている場合は、オプションを使用 mac-radius restrict して MAC RADIUS を有効にし、802.1X 認証を有効にしないため、スイッチが EAP メッセージに応答しないと判断した場合に発生する遅延を回避できます。

図 1 は、スイッチに接続されている 2 台のプリンターを示しています。

注:

この図は、QFX5100 スイッチにも適用されます。

図 1: MAC RADIUS 認証設定のトポロジMAC RADIUS 認証設定のトポロジ

表 1 は、MAC RADIUS 認証の例のコンポーネントを示しています。

表 1: MAC RADIUS 認証設定トポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200 ポート(ge-0/0/0~ge-0/0/23)

VLAN 名

販売

プリンターへの接続(PoE は不要)

ge-0/0/19、MAC アドレス 00040ffdacfe

ge-0/0/20、MAC アドレス 0004aecd235f

RADIUS サーバー

インターフェイス上のスイッチに接続 ge-0/0/10

MAC アドレス 00040ffdacfe を持つプリンターは、アクセス インターフェイス ge-0/0/19 に接続されています。MAC アドレス 0004aecd235f を持つ 2 つ目のプリンターは、アクセス インターフェイス ge-0/0/20 に接続されています。この例では、両方のインターフェイスがスイッチのMAC RADIUS認証用に設定され、両方のプリンタのMACアドレス(コロンなし)がRADIUSサーバー上で設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1X 認証を試みる間、通常の遅延をなくすために設定されています。MAC RADIUS 認証が有効になり、オプションを使用して mac radius restrict 802.1X 認証が無効になります。

トポロジ

設定

手順

CLI クイック設定

MAC RADIUS 認証を迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

注:

また、手順 2 で行われているように、RADIUS サーバーで 2 つの MAC アドレスをユーザー名とパスワードとして設定する必要があります。

手順

スイッチと RADIUS サーバーで MAC RADIUS 認証を設定します。

  1. スイッチで、プリンターが接続されているインターフェイスを MAC RADIUS 認証用に設定し、インターフェイス ge-0/0/20 で制限オプションを設定して、MAC RADIUS 認証のみが使用されるようにします。

  2. RADIUS サーバーで、MAC アドレス 00040ffdacfe および 0004aecd235f をユーザー名とパスワードとして設定します。

結果

スイッチの設定結果を表示します。

検証

サプリカントが認証されていることを確認します。

サプリカントが認証されていることを確認する

目的

サプリカントがスイッチと RADIUS サーバーで MAC RADIUS 認証用に設定された後、認証されていることを確認し、認証方法を表示します。

対処

802.1X-configured interfaces ge-0/0/19 および ge-0/0/20 に関する情報を表示します。

意味

コマンドの show dot1x interface detail サンプル出力には、接続されたエンド デバイスの MAC アドレスがフィールドに Supplicant 表示されます。インターフェイス ge-0/0/19 では、MAC アドレスは 00:04:0f:fd:ac:fe、MAC RADIUS 認証用に設定された最初のプリンターの MAC アドレスです。このフィールドには Authentication method 、認証方法が次のように Radius表示されます。インターフェイス ge-0/0/20上の MAC アドレスは 00:04:ae:cd:23:5f、MAC RADIUS 認証用に設定された 2 番目のプリンターの MAC アドレスです。このフィールドには Authentication method 、認証方法が次のように Radius表示されます。