802.1X および MAC RADIUS 認証の静的 MAC バイパス
Junos OS では、EX シリーズ スイッチで静的 MAC バイパス リストを設定することで、認証なしで 802.1X 設定インターフェイスから LAN へのアクセスを設定できます。除外リストとも呼ばれる静的 MAC バイパス リストは、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。詳細については、このトピックをお読みください。
イーサネット スイッチング テーブルに静的 MAC アドレス エントリーを追加する場合、これは静的 MAC バイパス リストに MAC アドレスを追加するのと同じ効果があります。静的 MAC アドレス エントリーの設定については、 を参照してください MAC Addresses。
802.1X および MAC RADIUS 認証の静的 MAC バイパスの設定(CLI プロシージャ)
スイッチで静的 MAC バイパス リスト(除外リストと呼ばれることもあります)を設定して、RADIUS サーバーへの 802.1X または MAC RADIUS 認証要求なしで LAN へのアクセスが許可されるデバイスの MAC アドレスを指定できます。
静的 MAC バイパス リストを設定するには、次の手順にしたがってください。
認証をバイパスする MAC アドレスを指定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
特定のインターフェイスを介して接続されている場合に認証をバイパスするようにサプリカントを設定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
認証後に特定のVLANにサプリカントを移動するように設定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
関連項目
例:EX シリーズ スイッチでの 802.1X および MAC RADIUS 認証の静的 MAC バイパスの設定
デバイスが認証なしで 802.1X 設定インターフェイスから LAN にアクセスできるようにするには、EX シリーズ スイッチで静的 MAC バイパス リストを設定できます。除外リストとも呼ばれる静的 MAC バイパス リストは、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。
認証の静的 MAC バイパスを使用して、プリンターなどの 802.1X 対応でないデバイスへの接続を許可できます。ホストのMACアドレスを比較して静的MACアドレスリストと照合すると、応答しないホストが認証され、そのホストに対してインターフェイスが開かれます。
この例では、2 台のプリンターで認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、次のソフトウェアコンポーネントとハードウェアコンポーネントを使用します。
この例は、QFX5100 スイッチにも適用されます。
EX シリーズ スイッチ用 Junos OS リリース 9.0 以降
オーセンティケータ ポート アクセス エンティティ(PAE)として機能する 1 つの EX シリーズ スイッチ。オーセンティケータ PAE のポートは、サプリカントとの間のすべてのトラフィックが認証されるまでブロックする制御ゲートを形成します。
認証の静的 MAC バイパスを設定する前に、次の機能があることを確認してください。
スイッチで基本的なブリッジングと VLAN 設定を実行します。スイッチの基本的なブリッジングと VLAN の設定について説明したマニュアルを参照してください。ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートするスイッチを使用している場合は、例を参照してください 。ELS のサポート または 例を使用した EX シリーズ スイッチの基本ブリッジングと VLAN の設定: スイッチ上で基本的なブリッジングと VLAN を設定します。他のすべてのスイッチについては、例を参照してください 。EX シリーズ スイッチの基本ブリッジングと VLAN の設定
ELS の詳細については、以下を参照してください。拡張レイヤー 2 ソフトウェア CLI の使用。
RADIUS サーバー接続を指定し、スイッチでアクセス プロファイルを設定します。例を参照してください 。802.1X 用 RADIUS サーバーを EX シリーズ スイッチに接続します。
概要とトポロジー
LAN へのアクセスを許可するには、LAN を静的 MAC バイパス リストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスできます。
図 1 は、EX4200 に接続された 2 台のプリンターを示しています。
この図は、QFX5100 スイッチにも適用されます。
に 表 1 示すインターフェイスは、認証の静的MACバイパス用に設定されます。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200、24 ギガビット イーサネット ポート: 16 個の非 PoE ポートと 8 個の PoE ポート( |
VLAN 名 |
|
統合プリンター/FAX/コピー機への接続(PoE は不要) |
|
MAC アドレス 00:04:0f:fd:ac:fe を持つプリンターは、アクセス インターフェイスに接続されています ge-0/0/19。MAC アドレス 00:04:ae:cd:23:5f を持つ 2 つ目のプリンターは、アクセス インターフェイスに接続されています ge-0/0/20。どちらのプリンターも静的リストに追加され、802.1X 認証をバイパスします。
トポロジ
設定
手順
CLI クイック設定
静的 MAC バイパス リストを迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
手順
静的 MAC バイパス リストを設定します。
MAC アドレス
00:04:0f:fd:ac:feおよび00:04:ae:cd:23:5f静的 MAC アドレスとして設定します。[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 認証方法を設定します。
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
認証に使用する認証プロファイル名(アクセス プロファイル名)を設定します。
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
注:アクセス プロファイルの設定は、静的 MAC クライアントの場合ではなく、802.1X クライアントでのみ必要です。
結果
設定の結果を表示します。
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
検証
設定が正しく機能していることを確認するには、次のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。
対処
動作モード コマンドを発行します。
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意味
出力フィールド MAC address には、2 つのプリンターの MAC アドレスが表示されます。
出力フィールドInterfaceは、MAC アドレス00:04:0f:fd:ac:feがインターフェイスを介して LAN に接続でき、MAC アドレス00:04:ae:cd:23:5fがインターフェイスge-0/0/19.0を介して LAN に接続できることを示していますge-0/0/20.0。