802.1 X および MAC RADIUS 認証の静的な MAC バイパス
Junos OS では、EX シリーズスイッチの静的な MAC バイパスリストを構成することで、802.1 X 構成のインターフェイスを介して、認証なしで LAN へのアクセスを構成できます。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。詳細については、このトピックをお読みください。
802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成 (CLI 手順)
スイッチ上で静的 MAC バイパスリスト (除外リストと呼ばれることもあります) を構成して、802.1 X や MAC RADIUS の認証要求を RADIUS サーバーに送信することなく、LAN へのアクセスが許可されたデバイスの MAC アドレスを指定できます。
静的な MAC バイパスリストを構成するには、次のようにします。
認証をバイパスする MAC アドレスを指定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
特定のインターフェイスを介して接続されている場合、認証をバイパスするように、サプリカントを構成します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
認証された後に特定の VLAN に移動するように、サプリカントを構成します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
関連項目
例:EX シリーズスイッチでの 802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成
802.1 X 構成のインターフェイスを通じて、デバイスが認証なしで LAN にアクセスできるようにするには、EX シリーズスイッチで静的な MAC バイパスリストを構成します。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。
認証の静的な MAC バイパスを使用して、プリンターなど、802.1 X 対応でないデバイスの接続を許可することができます。ホストのホストのMAC アドレスを静的 MAC アドレス リストと比較した場合、応答しないホストは認証され、それに対してインターフェイスが開きます。
この例では、2つのプリンターに対して認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
この例は QFX5100 スイッチにも適用されます。
EX シリーズスイッチの Junos OS リリース9.0 以降
1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。
認証の静的 MAC バイパスを設定する前に、以下のことを確認してください。
スイッチで基本的なブリッジングと VLAN の構成を実行。スイッチの基本的なブリッジと VLAN の設定について説明しているマニュアルを参照してください。ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチを使用している場合は、例 : ELS対応スイッチで基本ブリッジングとVLANを設定EX シリーズまたは例: スイッチ上での基本ブリッジと VLAN の設定その他のすべてのスイッチについては、次の例を 参照してください。EX シリーズスイッチ用の基本ブリッジと VLAN の設定
ELS の詳細については、以下を参照してください。拡張レイヤー2ソフトウェア CLI を使用します。
RADIUS サーバー接続を指定し、スイッチにアクセスプロファイルを設定しました。例をご覧ください。802.1 X の RADIUS サーバーを EX シリーズスイッチに接続します。
概要とトポロジー
プリンターから LAN へのアクセスを許可するには、それらを静的な MAC バイパスリストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されています。
図 1は、EX4200 に接続されている2つのプリンターを示しています。
この図は QFX5100 スイッチにも適用されます。
で表 1示されているインターフェイスは、認証の静的 MAC バイパスに対して設定されることになっています。
| プロパティ | 設定 |
|---|---|
スイッチハードウェア |
EX4200、24ギガビットイーサネットポート: 非接続PoE 16 および PoE ポート 8 個( |
VLAN 名 |
|
統合型プリンター/ファックス/コピーマシンへの接続 (PoE は必要ありません) |
|
MAC アドレス 00:04:0f:fd:ac:fe を使用したプリンターは、アクセス インターフェイスに接続されています ge-0/0/19 。2 つ目のプリンター MAC アドレス 00:04:ae:cd:23:5f がアクセス インターフェイスに接続されています ge-0/0/20 。どちらのプリンターも静的リストに追加され、802.1 X 認証をバイパスします。
Topology
構成
手順
CLI クイック構成
静的な MAC バイパスリストを迅速に設定するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
順を追った手順
静的な MAC バイパスリストを構成します。
MAC アドレスおよび
00:04:0f:fd:ac:fe静的00:04:ae:cd:23:5fMAC アドレスとして設定します。[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1 X の認証方法を設定します。
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
認証に使用する認証プロファイル名 (アクセスプロファイル名) を設定します。
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
注:アクセスプロファイルの設定は、静的な MAC クライアントに対してではなく、802.1 X クライアントに対してのみ要求されます。
結果
構成の結果を表示するには、以下のようにします。
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
検証
構成が正常に機能していることを確認するには、以下のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定されていて、正しいインターフェイスに関連付けられていることを確認します。
アクション
運用モードコマンドを発行します。
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
何
出力フィールドは MAC address 、2台のプリンターのMACアドレスを示しています。
出力フィールドは、デバイスがMAC アドレスを介してLANに接続できる、およびMAC アドレスを介して Interface00:04:0f:fd:ac:fe LANに接続できる ge-0/0/19.000:04:ae:cd:23:5f 示しています ge-0/0/20.0 。