付録:スイッチテンプレートの設定例

このセクションのすべての設定例は、すべてのスイッチに割り当てられているスイッチテンプレートで作成されています。スイッチテンプレートは、Juniper Mist ポータルの [Organization > Switch Templates ] タブで設定できます。

サードパーティ製のRADIUSサーバー設定

スイッチテンプレートの最初に、サードパーティの RADIUS サーバーを設定できます。設定する必要がある最小項目は次のとおりです。

[認証サーバー] = を選択しますRadius
少なくとも 1 つの新しい認証サーバーを追加します。
- このRADIUSサーバーが要求に応答するホスト名またはIPアドレスを構成します。
- スイッチとサーバーの間に共有シークレットを設定して、通信を許可します。

各クライアントの RADIUS サーバー上で同様のプロセスを実行する必要があります。RADIUS サーバー、クライアントの IP アドレス、共有シークレットを構成します。RADIUS クライアントとして機能するスイッチのベンダー固有のディクショナリを定義してください。

Mist認証設定

Juniper Mist Access Assuranceを使用する場合、設定する必要はあまりありません。

[認証サーバー] = として選択しますMist Auth

図 1: 認証サーバー構成 Authentication Servers Configuration

テストに使用するポートプロファイル

テストでは、次のポートプロファイルを使用しました。

すべての静的GBPタグ割り当ては、特別な認証なしで1つを使用しました。
- ポートプロファイル名=vlan1099-no-auth
- モード=Access
- ポートネットワーク=vlan1099
使用される802.1Xサプリカントを使用したすべての動的GBPタグ割り当て:
- ポートプロファイル名=vlan1099-eap-auth
- モード=Access
- ポートネットワーク=vlan1099
- dot1x authentication= を使用しますEnabled
使用されるMACアドレス経由の全ての動的GBPタグ割り当て:
- ポートプロファイル名=vlan1099-mac-auth
- モード=access
- ポートネットワーク=vlan1099
- dot1x authentication= を使用しますEnabled
- Mac認証=Enabled
- Mac認証のみ=Enabled
  これにより、スイッチが EAP ベースの認証を試みて失敗し、60 秒の遅延が発生するのを防ぎます。
- 認証プロトコル=pap
  これは、RADIUSサーバー側で設定する方が簡単でした。
最後に、アクセスポイントには、次のポートプロファイルを使用しました。
- ポートプロファイル名=access-points
- モード=Trunk
- ポートネットワーク=vlan1033
- trunk networks=vlan1033 および vlan1099

GBP タグ割り当て

テストケースに応じて、異なるGBPタグ割り当て構成を使用しました。

図 2 は、MAB および 802.1X クライアントを持つ RADIUS サーバーのテストに使用された GBP タグ割り当ての一覧を示しています。

図2:動的GBPタグ Dynamic GBP Tags

図 3 は、静的な IP アドレスベースの割り当てのテストに使用された GBP タグ割り当ての一覧を示しています。

図3:静的GBPタグ A screenshot of a computer Description automatically generated

GBPタグ割り当てテスト全体では、静的割り当てのより多くの順列が使用されましたが、ここではリストしません。

手記：

VLAN IDベース(ネットワークベース)の割り当てを使用しており、アクセススイッチがこれらの機能を利用できないEX4100スイッチである場合、Juniper Mistクラウドは無効なJunos OSコマンドを自動的に除外するため、スイッチにプッシュされません。残りの設定は意図したとおりにそのまま維持されます。

GBPポリシーの割り当て

ほとんどの場合、GBP タグ間のトラフィックをブロックまたは許可するために、次の SGT ポリシー適用マトリックスが使用されていました。

図 4: GBP ポリシー割り当て GBP Policy Assignments

項目一覧