Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

802.1X および MAC RADIUS 認証の静的 MAC バイパス

Junos OS では、EX シリーズ スイッチで静的 MAC バイパス リストを設定することで、認証なしで 802.1X 設定インターフェイスから LAN へのアクセスを設定できます。除外リストとも呼ばれる静的 MAC バイパス リストは、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。詳細については、このトピックをお読みください。

注:

イーサネット スイッチング テーブルに静的 MAC アドレス エントリーを追加する場合、これは静的 MAC バイパス リストに MAC アドレスを追加するのと同じ効果があります。静的 MAC アドレス エントリーの設定については、 を参照してください MAC Addresses

802.1X および MAC RADIUS 認証の静的 MAC バイパスの設定(CLI プロシージャ)

スイッチで静的 MAC バイパス リスト(除外リストと呼ばれることもあります)を設定して、RADIUS サーバーへの 802.1X または MAC RADIUS 認証要求なしで LAN へのアクセスが許可されるデバイスの MAC アドレスを指定できます。

静的 MAC バイパス リストを設定するには、次の手順にしたがってください。

  • 認証をバイパスする MAC アドレスを指定します。

  • 特定のインターフェイスを介して接続されている場合に認証をバイパスするようにサプリカントを設定します。

  • 認証後に特定のVLANにサプリカントを移動するように設定します。

例:EX シリーズ スイッチでの 802.1X および MAC RADIUS 認証の静的 MAC バイパスの設定

デバイスが認証なしで 802.1X 設定インターフェイスから LAN にアクセスできるようにするには、EX シリーズ スイッチで静的 MAC バイパス リストを設定できます。除外リストとも呼ばれる静的 MAC バイパス リストは、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。

認証の静的 MAC バイパスを使用して、プリンターなどの 802.1X 対応でないデバイスへの接続を許可できます。ホストのMACアドレスを比較して静的MACアドレスリストと照合すると、応答しないホストが認証され、そのホストに対してインターフェイスが開かれます。

この例では、2 台のプリンターで認証の静的 MAC バイパスを設定する方法について説明します。

要件

この例では、次のソフトウェアコンポーネントとハードウェアコンポーネントを使用します。

注:

この例は、QFX5100 スイッチにも適用されます。

  • EX シリーズ スイッチ用 Junos OS リリース 9.0 以降

  • オーセンティケータ ポート アクセス エンティティ(PAE)として機能する 1 つの EX シリーズ スイッチ。オーセンティケータ PAE のポートは、サプリカントとの間のすべてのトラフィックが認証されるまでブロックする制御ゲートを形成します。

認証の静的 MAC バイパスを設定する前に、次の機能があることを確認してください。

概要とトポロジー

LAN へのアクセスを許可するには、LAN を静的 MAC バイパス リストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスできます。

図 1 は、EX4200 に接続された 2 台のプリンターを示しています。

注:

この図は、QFX5100 スイッチにも適用されます。

図 1: 認証設定の静的 MAC バイパスのトポロジ認証設定の静的 MAC バイパスのトポロジ

表 1 示すインターフェイスは、認証の静的MACバイパス用に設定されます。

表 1: 認証設定トポロジーの静的MACバイパスのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200、24 ギガビット イーサネット ポート: 16 個の非 PoE ポートと 8 個の PoE ポート(ge-0/0/0 スルー ge-0/0/23)

VLAN 名

default

統合プリンター/FAX/コピー機への接続(PoE は不要)

ge-0/0/19、MAC アドレス 00:04:0f:fd:ac:fe ge-0/0/20、MAC アドレス 00:04:ae:cd:23:5f

MAC アドレス 00:04:0f:fd:ac:fe を持つプリンターは、アクセス インターフェイスに接続されています ge-0/0/19。MAC アドレス 00:04:ae:cd:23:5f を持つ 2 つ目のプリンターは、アクセス インターフェイスに接続されています ge-0/0/20。どちらのプリンターも静的リストに追加され、802.1X 認証をバイパスします。

トポロジ

設定

手順

CLI クイック設定

静的 MAC バイパス リストを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。

手順

静的 MAC バイパス リストを設定します。

  1. MAC アドレス 00:04:0f:fd:ac:fe および 00:04:ae:cd:23:5f 静的 MAC アドレスとして設定します。

  2. 802.1X 認証方法を設定します。

  3. 認証に使用する認証プロファイル名(アクセス プロファイル名)を設定します。

    注:

    アクセス プロファイルの設定は、静的 MAC クライアントの場合ではなく、802.1X クライアントでのみ必要です。

結果

設定の結果を表示します。

検証

設定が正しく機能していることを確認するには、次のタスクを実行します。

認証の静的 MAC バイパスの検証

目的

両方のプリンターの MAC アドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。

対処

動作モード コマンドを発行します。

意味

出力フィールド MAC address には、2 つのプリンターの MAC アドレスが表示されます。

出力フィールドInterfaceは、MAC アドレス00:04:0f:fd:ac:feがインターフェイスを介して LAN に接続でき、MAC アドレス00:04:ae:cd:23:5fがインターフェイスge-0/0/19.0を介して LAN に接続できることを示していますge-0/0/20.0