Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

802.1Xの静的MACバイパスとMAC RADIUS認証

Junos OSでは、EXシリーズスイッチで静的MACバイパスリストを設定することで、認証なしで802.1X設定インターフェイスを介してLANへのアクセスを設定することができます。静的 MAC バイパスリストは、 除外リストとも呼ばれ、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。詳細については、このトピックをお読みください。

注:

イーサネットスイッチングテーブルに静的MACアドレスエントリを追加すると、静的MACバイパスリストにMACアドレスを追加するのと同じ効果があります。静的 MACアドレスエントリーの設定については、 MACアドレスを参照してください。

802.1XおよびMAC RADIUS認証の静的MACバイパスの設定(CLI手順)

スイッチ上で静的な MAC バイパスリスト(除外リストと呼ばれることもあります)を設定して、RADIUS サーバーへの 802.1X または MAC RADIUS 認証要求なしで LAN へのアクセスを許可されるデバイスの MAC アドレスを指定できます。

静的MACバイパスリストを設定するには:

  • 認証をバイパスするMACアドレスを指定します。

  • サプリカントが特定のインターフェイスを介して接続されている場合に、認証をバイパスするように設定します。

  • サプリカントが認証された後に特定の VLAN に移動するように設定します。

関連項目

例:EXシリーズスイッチで802.1Xの静的MACバイパスとMAC RADIUS認証を設定する

デバイスが認証なしで 802.1X 設定されたインターフェイスを介して LAN にアクセスできるようにするには、EXシリーズ スイッチで静的 MAC バイパスリストを構成します。静的 MAC バイパスリストは、 除外リストとも呼ばれ、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。

静的 MAC バイパス認証を使用して、プリンターなど、802.1X 非対応のデバイスの接続を許可できます。ホストのMACアドレスを静的なMACアドレスリストと比較および照合すると、応答していないホストが認証され、インターフェイスが開かれます。

この例では、2台のプリンターに対して認証の静的MACバイパスを設定する方法を説明します。

要件

この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています。

注:

この例は、QFX5100スイッチにも適用されます。

  • EXシリーズスイッチ向けJunos OSリリース9.0以降

  • 認証コードのポートアクセスエンティティ(PAE)として動作する1つのEXシリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。

静的 MAC バイパス認証を設定する前に、以下を確認してください。

概要とトポロジー

プリンターに LAN へのアクセスを許可するには、静的 MAC バイパスリストにプリンターを追加します。このリストにあるMACアドレスは、RADIUSサーバーからの認証なしでアクセスが許可されています。

図1 は、EX4200に接続された2台のプリンターを示しています。

注:

この図は、QFX5100スイッチにも適用されます。
図1:認証設定Network diagram of a port-based authentication system using a RADIUS server, showing connections between the RADIUS server, IP network, EX4200 switch, and various devices like laptops, hubs, and printers.の静的MACバイパスのトポロジー

表1に示すインターフェイスは、静的MACバイパス認証用に設定されます。

表1:認証の静的MACバイパスの設定トポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200、24ギガビットイーサネットポート:16個の非PoEポートと8個のPoEポート(ge-0/0/0ge-0/0/23)

VLAN名

default

統合されたプリンター/FAX/コピー機への接続(PoE不要)

ge-0/0/19、MACアドレス 00:04:0f:fd:ac:fe ge-0/0/20、MACアドレス 00:04:ae:cd:23:5f

MACアドレスが00:04:0f:fd:ac:feのプリンターは、アクセスインターフェイス ge-0/0/19に接続されています。MACアドレス 00:04:ae:cd:23:5f の 2 台目のプリンターは、アクセス インターフェイス ge-0/0/20に接続されています。両方のプリンターが静的リストに追加され、802.1X 認証をバイパスします。

トポロジー

設定

手順

CLIクイックコンフィグレーション

静的 MAC バイパス リストをすばやく設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

ステップバイステップの手順

静的 MAC バイパスリストを設定します。

  1. 静的 MAC アドレスとして 00:04:0f:fd:ac:fe および 00:04:ae:cd:23:5f MAC アドレスを設定します。

  2. 802.1X認証方法を設定します。

  3. 認証に使用する認証プロファイル名(アクセス認証プロファイル名)を設定します。

    注:

    アクセスプロファイルの設定は、802.1Xクライアントにのみ必要であり、静的MACクライアントには必要ありません。

結果

設定の結果の表示:

検証

設定が正常に機能していることを確認するには、以下のタスクを実行します。

認証の静的 MAC バイパスの検証

目的

両方のプリンターのMACアドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。

アクション

動作モード コマンドを発行します。

意味

出力フィールド MAC address には、2つのプリンターのMACアドレスが表示されます。

出力フィールド Interface は、MACアドレス 00:04:0f:fd:ac:fe がインターフェイス ge-0/0/19.0 を介してLANに接続でき、MACアドレス 00:04:ae:cd:23:5f がインターフェイス ge-0/0/20.0を介してLANに接続できることを示しています。

関連項目

関連ドキュメント