Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アクセスポイントをIEEE 802.1Xサプリカントとして設定する

概要 セキュリティを強化するには、この機能を使用して、認証情報が確認されるまでアクセス ポイントへのトラフィックをブロックします。

Juniper Mist APは、IEEE 802.1X認証を使用して、アップリンクの有線スイッチに対する認証を行うことができます。802.1X 認証が実装されている場合、スイッチは、認証サーバー(RADIUS サーバー)で資格情報が提示および照合されるまで、ポートの AP へのトラフィックをブロックします。AP が認証されると、スイッチはトラフィックのブロックを停止します。

Juniper Mist™ APで802.1Xサプリカント機能を動作させるには、APに必要なファームウェアがあることを確認し、スイッチポートプロファイルとデバイスプロファイルで802.1Xを有効にして、Juniper Mist CA証明書をRADIUSサーバーに追加します。

展開に関する考慮事項

802.1Xを搭載したJuniper Mist APをエッジに導入するには、スイッチ側のゲストVLANを活用する方法をお勧めします。Mistクラウドへのアクセスを除いて完全にロックダウンされたゲストVLANでは、APはクラウドに接続し、その設定を受信し、正しいAPファームウェアバージョン(必要な場合)をダウンロードできます。サプリカントが設定されると、APはネットワークに対する認証を試みます。

要件: APファームウェアバージョン0.14.x以上が必要です。すべての AP がこの要件を満たしていることを確認するために、以下のプロセスには、サイト設定で自動アップグレードを有効にすることが含まれます。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。

バージョン 0.14.x 以降への自動更新を有効にする

802.1Xは、Juniper Mist APファームウェアバージョン0.14.x以降でサポートされています。すべての AP がこの要件を満たしていることを確認するには、サイト設定で自動アップグレードを有効にします。これにより、すべてのAPがこの機能をサポートするために必要なファームウェアを自動的に取得します。

  1. Juniper Mistポータルの左側のメニューから、[組織] > [管理者] |サイト構成。
  2. サイトを選択して [サイトの構成] ページを開きます。
  3. [AP ファームウェアのアップグレード] で、[自動更新を有効にする] を選択します。
  4. [バージョンのアップグレード] で、[運用ファームウェアの自動アップグレード] を選択して最新のファームウェアを取得します。
    AP Firmware Upgrade Section of the Site Configuration Page
  5. 自動アップグレードを実行する時刻曜日を選択します。
    新しい設定が有効になるまで、少なくとも 2 時間かかります。たとえば、これらの設定を午後 2 時に構成し、AP を今日更新する場合は、時刻を午後 4 時以降に設定します。
  6. [サイトの構成] ページの右上隅にある [保存] をクリックします。

スイッチポートプロファイルでの802.1Xの有効化

スイッチで、AP が接続するポートの 802.1X 認証を有効にします。少なくともサイトの初期導入時には、ゲストVLAN、サーバー拒否VLAN、またはMAC認証フォールバックを、Mist CloudへのAP接続を許可するデフォルトVLANで使用することをお勧めします。このようにして、APはクラウドに安全に接続して、初期設定とAPファームウェアを受け取ることができます。

ポート プロファイルで 802.1X を設定するには、次の手順に従います。

  1. [組織>スイッチ テンプレート] を選択し、構成するスイッチ テンプレートをクリックします。
  2. [認証サーバー] セクションで、RADIUS サーバーを追加します。
    Adding RADIUS Servers in the Switch Template
  3. [共有要素] セクションで、802.1X と MAC 認証またはゲスト ネットワークを有効にします。
    • 802.1X と MAC 認証 - このオプションを使用すると、RADIUS サーバーを完全に可視化して制御できます。AP デバイスが接続すると、スイッチは MAC 認証を実行します。RADIUSは、Mistクラウドにアクセスできるデフォルト/不明なデバイスVLANを返す必要があります。その後、APはクラウドに接続し、必要に応じてファームウェアをダウンロードして、サプリカントの設定を受信します。次に、AP は RADIUS 認証を要求します。AP が認証されると、スイッチは指定された VLAN に AP を配置します。

      Enabling 802.1X and MAC Authentication
    • 802.1X with Guest Network—この方法では、ゲストVLANを使用して、新しいAPがMistクラウドに接続して設定を取得するまで、新しいAPへのアクセスを制限します。AP が接続すると、ゲスト VLAN に配置されます。その後、クラウドに接続し、必要に応じてファームウェアをダウンロードして、サプリカントの設定を受信します。次に、AP は RADIUS 認証を要求します。AP が認証されると、スイッチは指定された VLAN に AP を配置します。

      Enabling 802.1X and Guest Network in a Port Profile
    メモ:

    また、APが目的のVLANに割り当てられるように、ポートプロファイルでVLANを特定します。または、RADIUS を使用して VLAN を割り当てます。 RADIUS 経由の VLAN の割り当て(該当する場合)を参照してください。

RADIUS を使用した VLAN の割り当て(該当する場合)

Mist Edgeを使用してすべてのWLANをトンネリングする場合は、アクセスとして設定されたスイッチポートに接続するAPで十分でしょう。しかし、Mist Edge を使用しない場合や、WLAN のローカル トラフィック ブレークアウトがある場合は、スイッチ ポートをトランクにする必要があります。ほとんどのスイッチ オペレーティング システムでは、RADIUS から複数の VLAN を返すことができます。

Junosの場合、複数のEgress-VLANIDまたはEgress-VLAN-Nameを返すことができます。

Egress-VLAN-Nameの例:

  • 1 = タグ付き
  • 2 = タグなし
  • vlan-2 および vlan-3 は、スイッチ上の VLAN 名です

次の例では、VLAN 1vlan-2 がタグ付けされ、VLAN 2vlan-3 はタグ付けされていません。

メモ:

設定のヘルプについては、Junos OSのマニュアルを参照してください。

デバイス プロファイルで 802.1X サプリカント オプションを有効にする

一度に複数の AP をすばやく設定するには、この機能を有効にしてデバイス プロファイルを設定します。次に、デバイス プロファイルを AP に適用します。APが初めてクラウドに接続すると、サプリカント設定がすぐに受信されます。

  1. Juniper Mistポータル>左側のメニューから[組織デバイスプロファイル]を選択します。
  2. 既存のプロファイルをクリックするか、[プロファイルの作成] をクリックします。
  3. デバイス プロファイルの イーサネット プロパティ セクションで、802.1X サプリカント オプションを見つけ、有効 をクリックします。
    802.1X Supplicant Option on the Device Profile Page
  4. このデバイス プロファイルに必要なその他の設定を構成します。
  5. [デバイス プロファイル] ページの右上隅にある [保存] をクリックします。

APへのデバイスプロファイルの適用

組織に AP を要求するときは、デバイス プロファイルを適用してサイトを識別します。これにより、AP をオンラインにすると、サイト構成の自動アップグレード設定を介してファームウェアが取得され、デバイス プロファイルから AP 構成が取得されます。

  1. Juniper Mistポータルの左側のメニューから[アクセスポイント]を選択します。
  2. アクセスポイント ページの右上隅にある AP の要求 をクリックします。
  3. ポップアップウィンドウで、アクティベーションコードまたは請求コードを入力し、サイトを選択して、デバイスプロファイルを選択します。
    Applying a Device Profiles When Claiming APs
  4. [要求] をクリックします。

RADIUS サーバーへの証明書のインポート

Juniper Mistは、組織に固有のCA証明書を生成します。サーバーが AP を認証できるように、この証明書を RADIUS サーバーにインポートする必要があります。

Mist 証明書[組織の>設定] ページで確認できます。

Mist Certificate Link on the Organization Settings Page