Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1 X および MAC RADIUS 認証の静的な MAC バイパス

Junos OS では、EX シリーズスイッチの静的な MAC バイパスリストを構成することで、802.1 X 構成のインターフェイスを介して、認証なしで LAN へのアクセスを構成できます。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。詳細については、このトピックをお読みください。

802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成 (CLI 手順)

スイッチ上で静的 MAC バイパスリスト (除外リストと呼ばれることもあります) を構成して、802.1 X や MAC RADIUS の認証要求を RADIUS サーバーに送信することなく、LAN へのアクセスが許可されたデバイスの MAC アドレスを指定できます。

静的な MAC バイパスリストを構成するには、次のようにします。

  • 認証をバイパスする MAC アドレスを指定します。

  • 特定のインターフェイスを介して接続されている場合、認証をバイパスするように、サプリカントを構成します。

  • 認証された後に特定の VLAN に移動するように、サプリカントを構成します。

例:EX シリーズスイッチでの 802.1 X および MAC RADIUS 認証の静的 MAC バイパスの構成

802.1 X 構成のインターフェイスを通じて、デバイスが認証なしで LAN にアクセスできるようにするには、EX シリーズスイッチで静的な MAC バイパスリストを構成します。静的な MAC バイパスリスト (除外リストとも呼ばれる) は、認証サーバーに要求を送信せずに、スイッチ上で許可される mac アドレスを指定します。

認証の静的な MAC バイパスを使用して、プリンターなど、802.1 X 対応でないデバイスの接続を許可することができます。ホストのホストのMAC アドレスを静的 MAC アドレス リストと比較した場合、応答しないホストは認証され、それに対してインターフェイスが開きます。

この例では、2つのプリンターに対して認証の静的 MAC バイパスを設定する方法について説明します。

要件

この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。

注:

この例は QFX5100 スイッチにも適用されます。

  • EX シリーズスイッチの Junos OS リリース9.0 以降

  • 1つの EX シリーズスイッチを、PAE (オーセンティケータ port access entity) として機能させることができます。オーセンティケータのポートは、認証されるまで、サプリカントとのすべてのトラフィックをブロックする制御ゲートを形成します。

認証の静的 MAC バイパスを設定する前に、以下のことを確認してください。

概要とトポロジー

プリンターから LAN へのアクセスを許可するには、それらを静的な MAC バイパスリストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されています。

図 1は、EX4200 に接続されている2つのプリンターを示しています。

注:

この図は QFX5100 スイッチにも適用されます。

図 1: 認証構成の静的 MAC バイパスのトポロジ認証構成の静的 MAC バイパスのトポロジ

表 1示されているインターフェイスは、認証の静的 MAC バイパスに対して設定されることになっています。

表 1: 認証構成トポロジーの静的 MAC バイパスのコンポーネント
プロパティ 設定

スイッチハードウェア

EX4200、24ギガビットイーサネットポート: 非接続PoE 16 および PoE ポート 8 個( ge-0/0/0 ~ ge-0/0/23 )

VLAN 名

default

統合型プリンター/ファックス/コピーマシンへの接続 (PoE は必要ありません)

ge-0/0/19、MAC アドレス 00:04:0f:fd:ac:fe ge-0/0/20, MAC アドレス 00:04: ae: cd:23: 5f

MAC アドレス 00:04:0f:fd:ac:fe を使用したプリンターは、アクセス インターフェイスに接続されています ge-0/0/19 。2 つ目のプリンター MAC アドレス 00:04:ae:cd:23:5f がアクセス インターフェイスに接続されています ge-0/0/20 。どちらのプリンターも静的リストに追加され、802.1 X 認証をバイパスします。

Topology

構成

手順

CLI クイック構成

静的な MAC バイパスリストを迅速に設定するには、以下のコマンドをコピーし、スイッチ端末ウィンドウに貼り付けます。

順を追った手順

静的な MAC バイパスリストを構成します。

  1. MAC アドレスおよび 00:04:0f:fd:ac:fe 静的 00:04:ae:cd:23:5f MAC アドレスとして設定します。

  2. 802.1 X の認証方法を設定します。

  3. 認証に使用する認証プロファイル名 (アクセスプロファイル名) を設定します。

    注:

    アクセスプロファイルの設定は、静的な MAC クライアントに対してではなく、802.1 X クライアントに対してのみ要求されます。

結果

構成の結果を表示するには、以下のようにします。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

認証の静的 MAC バイパスの検証

目的

両方のプリンターの MAC アドレスが設定されていて、正しいインターフェイスに関連付けられていることを確認します。

アクション

運用モードコマンドを発行します。

出力フィールドは MAC address 、2台のプリンターのMACアドレスを示しています。

出力フィールドは、デバイスがMAC アドレスを介してLANに接続できる、およびMAC アドレスを介して Interface00:04:0f:fd:ac:fe LANに接続できる ge-0/0/19.000:04:ae:cd:23:5f 示しています ge-0/0/20.0