アクセスポイントをIEEE 802.1Xサプリカントとして設定する

概要セキュリティを強化するには、この機能を使用して、認証情報が確認されるまでアクセスポイントへのトラフィックをブロックします。

Juniper Mist APは、IEEE 802.1X認証を使用して、アップリンクの有線スイッチに対する認証を行うことができます。802.1X 認証が実装されている場合、スイッチは、認証サーバー(RADIUS サーバー)で資格情報が提示および照合されるまで、ポートの AP へのトラフィックをブロックします。AP が認証されると、スイッチはトラフィックのブロックを停止します。

Juniper Mist™ APで802.1Xサプリカント機能を動作させるには、APに必要なファームウェアがあることを確認し、スイッチポートプロファイルとデバイスプロファイルで802.1Xを有効にして、Juniper Mist CA証明書をRADIUSサーバーに追加します。

展開に関する考慮事項

802.1Xを搭載したJuniper Mist APをエッジに導入するには、スイッチ側のゲストVLANを活用する方法をお勧めします。Mistクラウドへのアクセスを除いて完全にロックダウンされたゲストVLANでは、APはクラウドに接続し、その設定を受信し、正しいAPファームウェアバージョン(必要な場合)をダウンロードできます。サプリカントが設定されると、APはネットワークに対する認証を試みます。

必要条件： APファームウェアバージョン0.14.x以上が必要です。すべての AP がこの要件を満たしていることを確認するために、以下のプロセスには、サイト設定で自動アップグレードを有効にすることが含まれます。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。

バージョン 0.14.x 以降への自動更新を有効にする

802.1Xは、Juniper Mist APファームウェアバージョン0.14.x以降でサポートされています。すべての AP がこの要件を満たしていることを確認するには、サイト設定で自動アップグレードを有効にします。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。

Juniper Mistポータルの左側のメニューから、[組織] > [管理者] |サイト構成。
サイトを選択して [サイトの構成] ページを開きます。
[AP ファームウェアのアップグレード] で、[自動更新を有効にする] を選択します。
[バージョンのアップグレード] で、[運用ファームウェアの自動アップグレード] を選択して最新のファームウェアを取得します。
自動アップグレードを実行する時刻と曜日を選択します。
新しい設定が有効になるまで、少なくとも 2 時間かかります。たとえば、これらの設定を午後 2 時に構成し、AP を今日更新する場合は、時刻を午後 4 時以降に設定します。
[サイトの構成] ページの右上隅にある [保存] をクリックします。

スイッチポートプロファイルでの802.1Xの有効化

スイッチで、AP が接続するポートの 802.1X 認証を有効にします。少なくともサイトの初期導入時には、ゲストVLAN、サーバー拒否VLAN、またはMAC認証フォールバックを、Mist CloudへのAP接続を許可するデフォルトVLANで使用することをお勧めします。このようにして、APはクラウドに安全に接続して、初期設定とAPファームウェアを受け取ることができます。

ポートプロファイルで 802.1X を設定するには、次の手順に従います。

[組織>スイッチテンプレート] を選択し、構成するスイッチテンプレートをクリックします。
[認証サーバー] セクションで、RADIUS サーバーを追加します。
[共有要素] セクションで、802.1X と MAC 認証またはゲストネットワークを有効にします。
- 802.1X と MAC 認証 - このオプションを使用すると、RADIUS サーバーを完全に可視化して制御できます。AP デバイスが接続すると、スイッチは MAC 認証を実行します。RADIUSは、Mistクラウドにアクセスできるデフォルト/不明なデバイスVLANを返す必要があります。その後、APはクラウドに接続し、必要に応じてファームウェアをダウンロードして、サプリカントの設定を受信します。次に、AP は RADIUS 認証を要求します。AP が認証されると、スイッチは指定された VLAN に AP を配置します。
- 802.1X with Guest Network—この方法では、ゲストVLANを使用して、新しいAPがMistクラウドに接続して設定を取得するまで、新しいAPへのアクセスを制限します。AP が接続すると、ゲスト VLAN に配置されます。その後、クラウドに接続し、必要に応じてファームウェアをダウンロードして、サプリカントの設定を受信します。次に、AP は RADIUS 認証を要求します。AP が認証されると、スイッチは指定された VLAN に AP を配置します。
手記：
また、APが目的のVLANに割り当てられるように、ポートプロファイルでVLANを特定します。または、RADIUS を使用して VLAN を割り当てます。 RADIUS 経由の VLAN の割り当て(該当する場合)を参照してください。

RADIUS を使用した VLAN の割り当て(該当する場合)

Mist Edgeを使用してすべてのWLANをトンネリングする場合は、アクセスとして設定されたスイッチポートに接続するAPで十分でしょう。しかし、Mist Edge を使用しない場合や、WLAN のローカルトラフィックブレークアウトがある場合は、スイッチポートをトランクにする必要があります。ほとんどのスイッチオペレーティングシステムでは、RADIUS から複数の VLAN を返すことができます。

Junosの場合、複数のEgress-VLANIDまたはEgress-VLAN-Nameを返すことができます。

Egress-VLAN-Nameの例:

1 = タグ付き
2 = タグなし
vlan-2 および vlan-3 は、スイッチ上の VLAN 名です

次の例では、VLAN 1vlan-2 がタグ付けされ、VLAN 2vlan-3 はタグ付けされていません。

手記：

設定のヘルプについては、Junos OSのマニュアルを参照してください。

デバイスプロファイルで 802.1X サプリカントオプションを有効にする

一度に複数の AP をすばやく設定するには、この機能を有効にしてデバイスプロファイルを設定します。次に、デバイスプロファイルを AP に適用します。APが初めてクラウドに接続すると、サプリカント設定がすぐに受信されます。

Juniper Mistポータル>左側のメニューから[組織デバイスプロファイル]を選択します。
既存のプロファイルをクリックするか、[プロファイルの作成] をクリックします。
デバイスプロファイルのイーサネットプロパティセクションで、802.1X サプリカントオプションを見つけ、有効をクリックします。
このデバイスプロファイルに必要なその他の設定を構成します。
[デバイスプロファイル] ページの右上隅にある [保存] をクリックします。

APへのデバイスプロファイルの適用

組織に AP を要求するときは、デバイスプロファイルを適用してサイトを識別します。これにより、AP をオンラインにすると、サイト構成の自動アップグレード設定を介してファームウェアが取得され、デバイスプロファイルから AP 構成が取得されます。

Juniper Mistポータルの左側のメニューから[アクセスポイント]を選択します。
アクセスポイントページの右上隅にある AP の要求をクリックします。
ポップアップウィンドウで、アクティベーションコードまたは請求コードを入力し、サイトを選択して、デバイスプロファイルを選択します。
[要求] をクリックします。

RADIUS サーバーへの証明書のインポート

Juniper Mistは、組織に固有のCA証明書を生成します。サーバーが AP を認証できるように、この証明書を RADIUS サーバーにインポートする必要があります。

Mist 証明書は [組織の>設定] ページで確認できます。

Mist Certificate Link on the Organization Settings Page

このページの目次