アクセスポイントをIEEE 802.1Xサプリカントとして設定する
概要 セキュリティを強化するには、この機能を使用して、認証情報が確認されるまでアクセス ポイントへのトラフィックをブロックします。
Juniper Mist APは、IEEE 802.1X認証を使用して、アップリンクの有線スイッチに対する認証を行うことができます。802.1X 認証が実装されている場合、スイッチは、認証サーバー(RADIUS サーバー)で資格情報が提示および照合されるまで、ポートの AP へのトラフィックをブロックします。AP が認証されると、スイッチはトラフィックのブロックを停止します。
Juniper Mist™ APで802.1Xサプリカント機能を動作させるには、APに必要なファームウェアがあることを確認し、スイッチポートプロファイルとデバイスプロファイルで802.1Xを有効にして、Juniper Mist CA証明書をRADIUSサーバーに追加します。
展開に関する考慮事項
802.1Xを搭載したJuniper Mist APをエッジに導入するには、スイッチ側のゲストVLANを活用する方法をお勧めします。Mistクラウドへのアクセスを除いて完全にロックダウンされたゲストVLANでは、APはクラウドに接続し、その設定を受信し、正しいAPファームウェアバージョン(必要な場合)をダウンロードできます。サプリカントが設定されると、APはネットワークに対する認証を試みます。
必要条件: APファームウェアバージョン0.14.x以上が必要です。すべての AP がこの要件を満たしていることを確認するために、以下のプロセスには、サイト設定で自動アップグレードを有効にすることが含まれます。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。
バージョン 0.14.x 以降への自動更新を有効にする
802.1Xは、Juniper Mist APファームウェアバージョン0.14.x以降でサポートされています。すべての AP がこの要件を満たしていることを確認するには、サイト設定で自動アップグレードを有効にします。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。
スイッチポートプロファイルでの802.1Xの有効化
スイッチで、AP が接続するポートの 802.1X 認証を有効にします。少なくともサイトの初期導入時には、ゲストVLAN、サーバー拒否VLAN、またはMAC認証フォールバックを、Mist CloudへのAP接続を許可するデフォルトVLANで使用することをお勧めします。このようにして、APはクラウドに安全に接続して、初期設定とAPファームウェアを受け取ることができます。
ポート プロファイルで 802.1X を設定するには、次の手順に従います。
RADIUS を使用した VLAN の割り当て(該当する場合)
Mist Edgeを使用してすべてのWLANをトンネリングする場合は、アクセスとして設定されたスイッチポートに接続するAPで十分でしょう。しかし、Mist Edge を使用しない場合や、WLAN のローカル トラフィック ブレークアウトがある場合は、スイッチ ポートをトランクにする必要があります。ほとんどのスイッチ オペレーティング システムでは、RADIUS から複数の VLAN を返すことができます。
Junosの場合、複数のEgress-VLANIDまたはEgress-VLAN-Nameを返すことができます。
Egress-VLAN-Nameの例:
- 1 = タグ付き
- 2 = タグなし
- vlan-2 および vlan-3 は、スイッチ上の VLAN 名です
次の例では、VLAN 1vlan-2 がタグ付けされ、VLAN 2vlan-3 はタグ付けされていません。
001094001144 Cleartext-Password := "001094001144“ Tunnel-Type = VLAN, Tunnel-Medium-Type = IEEE-802, Egress-VLAN-Name += 1vlan-2, Egress-VLAN-Name += 2vlan-3,
設定のヘルプについては、Junos OSのマニュアルを参照してください。
デバイス プロファイルで 802.1X サプリカント オプションを有効にする
一度に複数の AP をすばやく設定するには、この機能を有効にしてデバイス プロファイルを設定します。次に、デバイス プロファイルを AP に適用します。APが初めてクラウドに接続すると、サプリカント設定がすぐに受信されます。
APへのデバイスプロファイルの適用
組織に AP を要求するときは、デバイス プロファイルを適用してサイトを識別します。これにより、AP をオンラインにすると、サイト構成の自動アップグレード設定を介してファームウェアが取得され、デバイス プロファイルから AP 構成が取得されます。
Access Assuranceの設定
Juniper Mist Access Assuranceのお客様の場合、構成は非常にシンプルです。AP認証と照合するラベルとポリシーを作成し、オプションで設定をスイッチに戻すだけで済みます。Juniper Mist Access Assuranceは、組織のCAを自動的に認識するため、証明書ストアに手動で追加する必要はありません。
認証ポリシーラベル
AP認証と一致するラベルの例を次に示します。ラベルの種類は [証明書属性] で、値は [発行者] に設定されています。値は組織 ID です。
/C=US/O=Mist/OU=OrgCA/CN=d3280c38-e446-4bed-bd2d-f7fa52f223a2
認証ラベル
一致するラベルを作成したら、ポリシーを作成できます。この例では、ルールは AP 証明書、有線認証、および EAP-TLS で一致することです。認証に成功すると、トランクVLAN設定がスイッチに返されます。
検証
すべてがうまくいけば、APが認証されていることがわかります。
RADIUS サーバーへの証明書のインポート
Juniper Mistは、組織に固有のCA証明書を生成します。サーバーが AP を認証できるように、この証明書を RADIUS サーバーにインポートする必要があります。
Mist 証明書は [組織の>設定] ページで確認できます。