アクセスポイントをIEEE 802.1Xサプリカントとして設定する
概要 セキュリティを強化するには、この機能を使用して、認証情報が確認されるまでアクセス ポイントへのトラフィックをブロックします。
Juniper Mist APは、IEEE 802.1X認証を使用して、アップリンクの有線スイッチに対する認証を行うことができます。802.1X 認証が実装されている場合、スイッチは、認証サーバー(RADIUS サーバー)で資格情報が提示および照合されるまで、ポートの AP へのトラフィックをブロックします。AP が認証されると、スイッチはトラフィックのブロックを停止します。
Juniper Mist™ APで802.1Xサプリカント機能を動作させるには、APに必要なファームウェアがあることを確認し、スイッチポートプロファイルとデバイスプロファイルで802.1Xを有効にして、Juniper Mist CA証明書をRADIUSサーバーに追加します。
展開に関する考慮事項
802.1Xを搭載したJuniper Mist APをエッジに導入するには、スイッチ側のゲストVLANを活用する方法をお勧めします。Mistクラウドへのアクセスを除いて完全にロックダウンされたゲストVLANでは、APはクラウドに接続し、その設定を受信し、正しいAPファームウェアバージョン(必要な場合)をダウンロードできます。サプリカントが設定されると、APはネットワークに対する認証を試みます。
必要条件: APファームウェアバージョン0.14.x以上が必要です。すべての AP がこの要件を満たしていることを確認するために、以下のプロセスには、サイト設定で自動アップグレードを有効にすることが含まれます。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。
バージョン 0.14.x 以降への自動更新を有効にする
802.1Xは、Juniper Mist APファームウェアバージョン0.14.x以降でサポートされています。すべての AP がこの要件を満たしていることを確認するには、サイト設定で自動アップグレードを有効にします。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。
スイッチポートプロファイルでの802.1Xの有効化
スイッチで、AP が接続するポートの 802.1X 認証を有効にします。少なくともサイトの初期導入時には、ゲストVLAN、サーバー拒否VLAN、またはMAC認証フォールバックを、Mist CloudへのAP接続を許可するデフォルトVLANで使用することをお勧めします。このようにして、APはクラウドに安全に接続して、初期設定とAPファームウェアを受け取ることができます。
ポート プロファイルで 802.1X を設定するには、次の手順に従います。
RADIUS を使用した VLAN の割り当て(該当する場合)
Mist Edgeを使用してすべてのWLANをトンネリングする場合は、アクセスとして設定されたスイッチポートに接続するAPで十分でしょう。しかし、Mist Edge を使用しない場合や、WLAN のローカル トラフィック ブレークアウトがある場合は、スイッチ ポートをトランクにする必要があります。ほとんどのスイッチ オペレーティング システムでは、RADIUS から複数の VLAN を返すことができます。
Junosの場合、複数のEgress-VLANIDまたはEgress-VLAN-Nameを返すことができます。
Egress-VLAN-Nameの例:
- 1 = タグ付き
- 2 = タグなし
- vlan-2 および vlan-3 は、スイッチ上の VLAN 名です
次の例では、VLAN 1vlan-2 がタグ付けされ、VLAN 2vlan-3 はタグ付けされていません。
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
設定のヘルプについては、Junos OSのマニュアルを参照してください。
デバイス プロファイルで 802.1X サプリカント オプションを有効にする
一度に複数の AP をすばやく設定するには、この機能を有効にしてデバイス プロファイルを設定します。次に、デバイス プロファイルを AP に適用します。APが初めてクラウドに接続すると、サプリカント設定がすぐに受信されます。
APへのデバイスプロファイルの適用
組織に AP を要求するときは、デバイス プロファイルを適用してサイトを識別します。これにより、AP をオンラインにすると、サイト構成の自動アップグレード設定を介してファームウェアが取得され、デバイス プロファイルから AP 構成が取得されます。
RADIUS サーバーへの証明書のインポート
Juniper Mistは、組織に固有のCA証明書を生成します。サーバーが AP を認証できるように、この証明書を RADIUS サーバーにインポートする必要があります。
Mist 証明書は [組織の>設定] ページで確認できます。
![Mist Certificate Link on the Organization Settings Page](/documentation/us/en/software/mist/mist-wireless/mist-aiops/images/s070252.png)