例:EX シリーズ スイッチと Aruba ClearPass ポリシー マネージャーを使用したデバイス プロファイリングの構成
この構成例では、EXシリーズスイッチとAruba ClearPass Policy Managerの機能を使用して、エンドポイント認証プロセスの一部としてデバイスプロファイリングを実行する方法を示します。
この例では、組織の有線インフラストラクチャには、アクセスポリシーを定義した4種類のエンドポイントがあります。
アクセスポイント - アクセスポイントとしてプロファイリングされたエンドポイントは、ネットワークへのアクセスを許可され、AP_VLAN VLANに動的に割り当てられます。
IP 電話:IP 電話としてプロファイルされたエンドポイントは、ネットワークへのアクセスが許可されます。IPPhone_VLANは、VoIP VLANとして動的に割り当てられます。
会社のラップトップ - 802.1X サプリカントがあるエンドポイントは、ユーザーの資格情報によって認証されます。ユーザーが正常に認証されると、ラップトップはネットワークへのアクセスを許可され、Windows_VLAN VLANに配置されます。
企業以外のラップトップ - 802.1X サプリカントがなく、Windows デバイスとしてプロファイルされているエンドポイントは、ネットワークへのアクセスを拒否されます。
このトピックでは、次の内容について説明します。
要件
この例では、ポリシー インフラストラクチャに次のハードウェアおよびソフトウェア コンポーネントを使用します。
Junos OSリリース15.1R3以降を実行するEX4300スイッチ
6.3.3.63748 以降を実行する Aruba ClearPass Policy Manager プラットフォーム
概要とトポロジー
エンドポイント アクセス ポリシーを実装するために、ポリシー インフラストラクチャは次のように構成されます。
スイッチ上のすべてのアクセス インターフェイスは、修復 VLAN として機能する VLAN 100 になるように初期設定されています。エンドポイントが正常に認証されない場合、またはサポートされているエンドポイントの 1 つとして正常にプロファイルされない場合、そのエンドポイントは修復 VLAN に残ります。
802.1X サプリカントを持つエンドポイントは、802.1X PEAP 認証を使用して認証されます。802.1X PEAP認証の詳細については、 EXシリーズスイッチとAruba ClearPass PolicyManagerを使用した802.1X PEAPおよびMAC RADIUS認証の設定を参照してください。
802.1Xサプリカントを持たないエンドポイントは、MAC RADIUS認証を使用して認証され、デバイスのタイプを判断するためにプロファイルされます。これらのエンドポイントは、次の 2 段階の認証プロセスを経ます。
最初のステップは、エンドポイントが最初にスイッチに接続した後、Aruba ClearPass プロファイルによってプロファイルされる前に行われます。接続後、エンドポイントはMAC RADIUS認証を使用して認証されます。Aruba ClearPassは、エンドポイントにインターネットへのアクセスを許可するようにスイッチに指示するが、内部ネットワークへのアクセスは禁止する強制ポリシーを適用します。
2 番目の手順は、エンドポイントが正常にプロファイリングされた後に行われます。最初のステップで認証された後、エンドポイントはDHCPサーバーに接続してIPアドレスを要求します。スイッチは、エンドポイントからDHCPサーバーに送信されたDHCPメッセージをAruba ClearPassにも中継し、これによりClearPassがエンドポイントをプロファイリングできるようになります。エンドポイントをプロファイリングし、エンドポイントをエンドポイントリポジトリに追加すると、ClearPassはRADIUS認証変更(CoA)メッセージをスイッチに送信し、セッションを終了するように指示します。その後、スイッチはエンドポイントに代わって再認証を試みます。エンドポイントは現在エンドポイント・リポジトリに存在するため、Aruba ClearPassは、エンドポイントを認証する際に、デバイス・タイプに適した適用ポリシーを適用できます。たとえば、エンドポイントがアクセス ポイントの場合、ClearPass はアクセス ポイントをAP_VLAN VLAN に動的に割り当てる適用ポリシーを適用します。
図 1 に、この例で使用するトポロジを示します。
で使用されるトポロジー
構成
このセクションでは、次の手順について説明します。
EX4300スイッチの設定
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードからコミットを入力します。
[edit] set access radius-server 10.105.5.153 dynamic-request-port 3799 set access radius-server 10.105.5.153 secret password set access radius-server 10.105.5.153 source-address 10.105.5.91 set access profile CP-Test-Profile accounting-order radius set access profile CP-Test-Profile authentication-order radius set access profile CP-Test-Profile radius authentication-server 10.105.5.153 set access profile CP-Test-Profile radius accounting-server 10.105.5.153 set access profile CP-Test-Profile radius options nas-identifier 10.105.5.91 set protocols dot1x authenticator authentication-profile-name CP-Test-Profile set protocols dot1x authenticator interface ge-0/0/6.0 mac-radius set protocols dot1x authenticator interface ge-0/0/6.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/22.0 mac-radius set protocols dot1x authenticator interface ge-0/0/22.0 supplicant multiple set vlans AP_VLAN vlan-id 130 set vlans IPPhone_VLAN vlan-id 120 set vlans Windows_VLAN vlan-id 150 set vlans v100 description "Remediation VLAN" set vlans v100 vlan-id 100 set interfaces ge-0/0/6 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/6 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members v100 set interfaces ge-0/0/22 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/22 unit 0 family ethernet-switching vlan members v100 set interfaces irb unit 100 family inet address 10.10.100.1/24 set interfaces irb unit 120 family inet address 10.10.120.1/24 set interfaces irb unit 130 family inet address 10.10.130.1/24 set interfaces irb unit 150 family inet address 10.10.150.1/24 set vlans AP_VLAN l3-interface irb.130 set vlans IPPhone_VLAN l3-interface irb.120 set vlans Windows_VLAN l3-interface irb.150 set vlans v100 l3-interface irb.100 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.10.10.10 set forwarding-options dhcp-relay server-group dhcp-dot1x 10.105.5.153 set forwarding-options dhcp-relay active-server-group dhcp-dot1x set forwarding-options dhcp-relay group all interface irb.100 set forwarding-options dhcp-relay group all interface irb.120 set forwarding-options dhcp-relay group all interface irb.130 set forwarding-options dhcp-relay group all interface irb.150 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp set firewall family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 set firewall family ethernet-switching filter Internet_Only_Access term Block_Internal then discard set firewall family ethernet-switching filter Internet_Only_Access term Allow_All then accept
手順
EX4300スイッチの一般的な設定手順は次のとおりです。
Aruba ClearPass Policy Manager への接続を構成します。
802.1Xプロトコルで使用されるアクセスプロファイルを作成します。アクセス プロファイルは、802.1X プロトコルに、使用する認証サーバーと認証方法、および認証方法の順序を指示します。
802.1X プロトコルを構成します。
VLAN を構成します。
アクセス ポートでイーサネット スイッチングを設定します。
IRB(統合型ルーティングおよびブリッジング)インターフェイスを設定し、VLAN に割り当てます。
デバイス・プロファイリングを実行できるように、DHCPパケットをAruba ClearPassに送信するようにDHCPリレーを構成します。
内部ネットワークへのアクセスをブロックするファイアウォールポリシーを作成します。
EX4300スイッチを設定するには、次の手順に従います。
RADIUS サーバーの接続情報を指定します。
[edit access] user@Policy-EX4300-01# set radius-server 10.105.5.153 dynamic-request-port 3799 user@Policy-EX4300-01# set radius-server 10.105.5.153 secret password user@Policy-EX4300-01# set radius-server 10.105.5.153 source-address 10.105.5.91
アクセスプロファイルを設定します。
[edit access] user@Policy-EX4300-01# set profile CP-Test-Profile accounting-order radius user@Policy-EX4300-01# set profile CP-Test-Profile authentication-order radius user@Policy-EX4300-01# set profile CP-Test-Profile radius authentication-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius accounting-server 10.105.5.153 user@Policy-EX4300-01# set profile CP-Test-Profile radius options nas-identifier 10.105.5.91
CP-Test-Profileを使用するように802.1Xを設定し、各アクセスインターフェイスでプロトコルを有効にします。さらに、インターフェイスを設定して、MAC RADIUS認証をサポートし、それぞれを個別に認証する必要がある複数のサプリカントを許可します。
デフォルトでは、スイッチは最初に 802.1X 認証を試みます。エンドポイントから EAP パケットを受信しない場合、エンドポイントに 802.1X サプリカントがないことを示している場合は、MAC RADIUS 認証を試みます。
[edit protocols] user@Policy-EX4300-01# set dot1x authenticator authentication-profile-name CP-Test-Profile user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/6.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/8.0 supplicant multiple user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 mac-radius user@Policy-EX4300-01# set dot1x authenticator interface ge-0/0/22.0 supplicant multiple
この例で使用する VLAN を構成します。
[edit vlans] user@Policy-EX4300-01# set AP_VLAN vlan-id 130 user@Policy-EX4300-01# set IPPhone_VLAN vlan-id 120 user@Policy-EX4300-01# set Windows_VLAN vlan-id 150 user@Policy-EX4300-01# set v100 description "Remediation VLAN" user@Policy-EX4300-01# set v100 vlan-id 100
ダイナミックVLANの割り当てが機能するためには、認証が試行される前にVLANがスイッチ上に存在している必要があります。VLAN が存在しない場合、認証は失敗します。
アクセス ポートを設定します。
各アクセス ポートは、修復 VLAN、VLAN v100 に設定されます。このVLANは、Aruba ClearPassがエンドポイントの認証時にダイナミックVLAN情報を送信しない場合、エンドポイントによって使用されます。
[edit interfaces] user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/6 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/8 unit 0 family ethernet-switching vlan members v100 user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching interface-mode access user@Policy-EX4300-01# set ge-0/0/22 unit 0 family ethernet-switching vlan members v100
IRB インターフェイスを設定し、VLAN に割り当てます。
[edit interfaces] user@Policy-EX4300-01# set irb unit 100 family inet address 10.10.100.1/24 user@Policy-EX4300-01# set irb unit 120 family inet address 10.10.120.1/24 user@Policy-EX4300-01# set irb unit 130 family inet address 10.10.130.1/24 user@Policy-EX4300-01# set irb unit 150 family inet address 10.10.150.1/24
[edit vlans] user@Policy-EX4300-01# set v100 l3-interface irb.100 user@Policy-EX4300-01# set IPPhone_VLAN l3-interface irb.120 user@Policy-EX4300-01# set AP_VLAN l3-interface irb.130 user@Policy-EX4300-01# set Windows_VLAN l3-interface irb.150
DHCPリクエストパケットをAruba ClearPassに転送するようにDHCPリレーを設定します。
[edit forwarding-options] user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.10.10.10 user@Policy-EX4300-01# set dhcp-relay server-group dhcp-dot1x 10.105.5.153 user@Policy-EX4300-01# set dhcp-relay active-server-group dhcp-dot1x user@Policy-EX4300-01# set dhcp-relay group all interface irb.100 user@Policy-EX4300-01# set dhcp-relay group all interface irb.120 user@Policy-EX4300-01# set dhcp-relay group all interface irb.130 user@Policy-EX4300-01# set dhcp-relay group all interface irb.150
メモ:この設定例では、DHCP リレーの設定を示すために、エンドポイント VLAN のレイヤ 3 インターフェイスがアクセス スイッチに設定されています。ただし、一般的なエンタープライズ展開では、エンドポイント VLAN のレイヤー 3 インターフェイスは、アグリゲーション レイヤー スイッチまたはコア レイヤー スイッチで構成されます。このような導入環境では、アグリゲーション・スイッチまたはコア・スイッチ上のDHCPリレーは、エンドポイントからAruba ClearPassにDHCPリクエストを転送するように設定する必要があります。
MAC RADIUS認証で認証済みで、まだプロファイリングされていないデバイスに使用するファイアウォールフィルター Internet_Only_Accessを設定します。
このフィルターは、エンドポイントによる内部ネットワーク (192.168.0.0/16) へのアクセスをブロックします。
[edit firewall] user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 67 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from destination-port 68 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DHCP then accept user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from destination-port 53 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol udp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_DNS from ip-protocol tcp user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal from ip-destination-address 192.168.0.0/16 user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Block_Internal then discard user@Policy-EX4300-01# set family ethernet-switching filter Internet_Only_Access term Allow_All then accept
結果
設定モードから、次のコマンド show を入力して設定を確認します。
user@Policy-EX4300-01# show access
radius-server {
10.105.5.153 {
dynamic-request-port 3799;
secret "$9$FYxf3A0Ehrv87yl7Vs4DjfTz3Ct0BIcre"; ## SECRET-DATA
source-address 10.105.5.91;
}
}
profile CP-Test-Profile {
accounting-order radius;
authentication-order radius;
radius {
authentication-server 10.105.5.153;
accounting-server 10.105.5.153;
options {
nas-identifier 10.105.5.91;
}
}
}
user@Policy-EX4300-01# show protocols
dot1x {
authenticator {
authentication-profile-name CP-Test-Profile;
interface {
ge-0/0/6.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
ge-0/0/22.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@Policy-EX4300-01# show interfaces
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
ge-0/0/8 {
unit 0 {
family ethernet-switching;
vlan {
members v100;
}
}
}
}
ge-0/0/22 {
unit 0 {
family ethernet-switching {
vlan {
members v100;
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.100.1/24;
}
}
unit 120 {
family inet {
address 10.10.120.1/24;
}
}
unit 130 {
family inet {
address 10.10.130.1/24;
}
}
unit 150 {
family inet {
address 10.10.150.1/24;
}
}
}
user@Policy-EX4300-01# show vlans
AP_VLAN {
vlan-id 130;
l3-interface irb.130;
}
IPPhone_VLAN {
vlan-id 120;
l3-interface irb.120;
}
Windows_VLAN {
vlan-id 150;
l3-interface irb.150;
}
v100 {
description "Remediation VLAN";
vlan-id 100;
l3-interface irb.100;
}
user@Policy-EX4300-01# show forwarding-options
dhcp-relay {
server-group {
dhcp-dot1x {
10.10.10.10;
10.105.5.153;
}
}
active-server-group dhcp-dot1x;
group all {
interface irb.100;
interface irb.120;
interface irb.130;
interface irb.150;
}
}
user@Policy-EX4300-01# show firewall
family ethernet-switching {
filter Internet_Only_Access {
term Allow_DHCP {
from {
destination-port [ 67 68 ];
ip-protocol udp;
}
then accept;
}
term Allow_DNS {
from {
destination-port 53;
ip-protocol [ udp tcp ];
}
}
term Block_Internal {
from {
ip-destination-address {
192.168.0.0/16;
}
}
then discard;
}
term Allow_All {
then accept;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
Aruba ClearPass Policy Manager の設定
手順
Aruba ClearPassを設定するための一般的な手順は以下の通りです。
デバイス プロファイリングを有効にします。
ジュニパーネットワークスのRADIUS辞書ファイルを変更して、この設定例で使用されている追加のジュニパーネットワークスのRADIUS属性が含まれるようにします。
EX4300をネットワークデバイスとして追加します。
802.1X PEAP 認証に使用されるサーバー証明書がインストールされていることを確認します。
この例で 802.1X 認証に使用するローカル ユーザーを追加します。
次の実施プロファイルを作成します。
VLAN 150 にエンドポイントを配置するEmployee_Windows_Profile。
VLAN 120 を VoIP VLAN として定義するIPPhone_Profile。
VLAN 130 にエンドポイントを配置するAccessPoint_Profile。
Internet_Access_Only_Profileは、まだプロファイリングされていないデバイスに使用されるファイアウォールフィルター Internet_Only_Accessを指定します。
次の 2 つの強制ポリシーを作成します。
MAC RADIUS認証が使用されるときに呼び出されるポリシーです。
802.1X 認証が使用されるときに呼び出されるポリシー。
MAC RADIUS 認証サービスと 802.1X 認証サービスを定義します。
MAC RADIUS 認証サービスが 802.1X 認証サービスよりも先に評価されていることを確認します。
Aruba ClearPassを設定するには、次の手順に従います。
デバイス プロファイリングを有効にします。
手順
[管理] > [サーバー マネージャー] > [サーバー構成] で、Aruba ClearPass サーバーの名前をクリックします。
[システム] タブで、[ エンドポイント分類に対してこのサーバーを有効にする] をクリックします。
ジュニパーネットワークスRADIUS辞書ファイルを更新します。
ジュニパーネットワークのRADIUS辞書ファイルは、Aruba ClearPassにプリインストールされています。EX シリーズ スイッチ向け Junos OS バージョン 15.1R3 では、辞書ファイルに追加する必要がある 3 つの新しいジュニパーネットワークス VSA のサポートが追加されます。
手順
Aruba ClearPassで、[RADIUS>管理>辞書]に移動します。
[RADIUS辞書]ウィンドウで、[フィルター]フィールドを使用して、[ベンダー名]で ジュニパー を検索します。
Juniper 辞書名をクリックし、[ エクスポート ] をクリックして、ファイルをデスクトップに保存します RadiusDictionary.xml 。
次の 3 つの属性をコピーして に貼り付け RadiusDictionary.xml、ファイルを保存します。
<Attribute profile="in out" type="String" name="Juniper-CWA-Redirect-URL" id="50" /> <Attribute profile="in out" type="String" name="Juniper-Switching-Filter" id="48" /> <Attribute profile="in out" type="String" name="Juniper-VoIP-Vlan" id="49" />
辞書ファイルは、貼り付けを完了すると次のようになります。
Aruba ClearPassにインポート RadiusDictionary.xml するには、「RADIUS辞書」ウィンドウ内をクリックし
、ファイルを参照します。
ファイルをインポートすると、ジュニパー辞書ファイルは次のようになります。
EX4300スイッチをネットワークデバイスとして追加します。
手順
[構成] > [ネットワーク > デバイス] で、[ 追加] をクリックします。
[デバイス]タブで、スイッチのホスト名とIPアドレス、およびスイッチに設定したRADIUS共有シークレットを入力します。[ベンダー名] フィールドを [ジュニパー] に設定します。
802.1X PEAP 認証用のサーバー証明書が存在することを確認します。
[管理>証明書] > [サーバー証明書] で、Aruba ClearPass に有効なサーバー証明書がインストールされていることを確認します。そうでない場合は、有効なサーバー証明書を追加します。Aruba ClearPassのドキュメントおよび認証局には、証明書を取得してClearPassにインポートする方法の詳細が記載されています。
ローカル・ユーザー・リポジトリーにテスト・ユーザーを追加します。
このユーザーは、802.1X 認証の検証に使用されます。
手順
「構成> ID > ローカル ユーザー」で、「 追加」をクリックします。
「ローカル・ユーザーの追加」ウィンドウで、ユーザーID (usertest1)、ユーザー名 (テスト・ユーザー)、およびパスワードを入力します。次に、ユーザー ロールとして [従業員 ] を選択します。[属性] で [ 部門 ] 属性を選択し、[値] に 「財務 」と入力します。
802.1Xを使用して認証する従業員のWindowsラップトップまたはデスクトップに対して、実施プロファイルを設定します。
このプロファイルは、エンドポイントを VLAN 150 に配置します。
手順
「構成>適用>プロファイル」で、「 追加」をクリックします。
プロファイル タブで、テンプレートを RADIUS ベースの適用に設定 し、名前 フィールドにプロファイル名 Employee_Windows_Profile を入力します。
[属性] タブで、次のように属性を構成します。
VLAN 130 にアクセス ポイントを配置するアクセス ポイント実施プロファイルを設定します。
前の手順で使用したのと同じ基本的な手順を使用して、このプロファイルを作成します。プロファイルを完了すると、[概要] タブの情報が次のように表示されます。
IP フォン強制プロファイルを設定します。
このプロファイルは、VoIP VLANとして使用するVLANとしてVLAN 120を返すようにAruba ClearPassに指示します。ジュニパーネットワークスのRADIUSディクショナリは、この目的に使用する特別なRADIUS属性を定義しています。属性タイプとして[RADIUS-Juniper]を選択し、属性名として[Juniper-VoIP-Vlan]を選択します。
プロファイルを完了すると、[概要] タブの情報が次のように表示されます。
インターネットアクセスのみの実施プロファイルを設定します。
この実施プロファイルは、内部ネットワークへのアクセスをブロックするスイッチで設定したファイアウォールフィルター Internet_Only_Accessファイアウォールフィルターの名前を返すようにAruba ClearPassに指示します。このプロファイルを完了すると、[概要] タブの情報が次のように表示されます。
MAC RADIUS認証強化ポリシーを設定します。
MAC RADIUS認証によって認証されるエンドポイントの場合、このポリシーは、デバイスプロファイルに従って適用ポリシーを適用するようにAruba ClearPassに指示します。AccessPoint_Profileはアクセスポイントとしてプロファイルされたエンドポイントに適用され、IPPhone_ProfileはVoIP電話としてプロファイリングされたエンドポイントに適用されます。定義済みの適用ポリシー [アクセス拒否プロファイル] は、Windows デバイスとしてプロファイルされたエンドポイントに適用されます。これにより、802.1Xサプリカントを搭載したラップトップのみがネットワークにアクセスできるという組織のアクセスポリシーが適用されます。まだプロファイリングされていないエンドポイントを含む他のすべてのエンドポイントには、Internet_Access_Onlyプロファイルが適用されます。
手順
「構成>適用>ポリシー」で、「 追加」をクリックします。
[適用] タブで、ポリシーの名前 (Juniper-MAC-Auth-Policy) を入力し、[既定のプロファイル] を [Internet_Access_Only] に設定します。
[ルール] タブで、[ルール の追加] をクリックし、表示されたルールを追加します。
次のルールを作成する前に、[ 保存 ] をクリックしてルールを順番に追加する必要があります。
802.1X 強制ポリシーを構成します。
このポリシーは、ユーザーが財務部門のメンバーとして正常に認証された場合に、Employee_Windows_Profile実施プロファイルを使用するようにAruba ClearPassに指示します。
手順
「構成>適用>ポリシー」で、「 追加」をクリックします。
[適用] タブで、ポリシーの名前 (Juniper_Dot1X_Policy) を入力し、[既定のプロファイル] を [アクセス プロファイルを許可] に設定します。(これは事前定義されたプロファイルです。
[ルール] タブで、[ルール の追加] をクリックし、表示されたルールを追加します。
MAC RADIUS 認証サービスを構成します。
このサービスの設定では、受信したRADIUSユーザー名属性とクライアントMACアドレス属性が同じ値の場合、MAC RADIUS認証が実行されます。
手順
「構成>サービス」で、「 追加」をクリックします。
[サービス] タブで、表示されているフィールドに入力します。必ず [ プロファイル エンドポイント] オプションを選択してください。
[認証] タブで、次の操作を行います。
認証方法リストから [MAC AUTH ]を削除し、[ EAP MD5] をリストに追加します。
認証ソースの一覧で[ エンドポイントリポジトリ][ローカルSQL DB] を選択します。
適用 タブで、 Juniper-MAC-Auth-Policy を選択します。
[プロファイラー] タブで、次の操作を行います。
コンピューター、VoIP 電話、アクセス ポイントをエンドポイント分類リストに追加します。
RADIUS CoAアクションリストから [セッション終了] を選択します。
この構成により、エンドポイントは、プロファイリングされてエンドポイント・リポジトリーに追加された後、再認証を受けます。エンドポイントがプロファイリングされる前に、認証されたユーザーセッションに対してInternet_Access_Only_Profile実施プロファイルが有効になります。(このプロファイルは、ステップ 10 で設定した MAC 認証ポリシーのデフォルトプロファイルです)。Aruba ClearPassは、デバイスが正常に分類されると、RADIUS CoAをスイッチに送信し、これによりスイッチがセッションを終了します。その後、スイッチはエンドポイントの再認証を試みます。エンドポイントのデバイス プロファイルがエンドポイント リポジトリにあるため、エンドポイントが認証されるときに適切なデバイス適用プロファイルが適用されます。
802.1X 認証サービスを構成します。
手順
「構成>サービス」で、「 追加」をクリックします。
[サービス] タブで、次のようにフィールドに入力します。
[認証] タブで、[認証ソース] を [ローカル ユーザー リポジトリ][ローカル SQL DB] に設定します。
[適用] タブで、[適用ポリシー] を [Juniper_Dot1X_Policy] に設定します。
MAC RADIUS 認証サービス ポリシーが、802.1X 認証サービス ポリシーよりも先に評価されていることを確認します。
Aruba ClearPassは、同じ値を持つRADIUSユーザー名属性とクライアントMACアドレス属性によってMAC RADIUS認証要求を認識するように構成されているため、MAC RADIUSサービスポリシーを最初に評価する方が効率的です。
サービスのメインウィンドウで、次に示すように、サービスリストのJuniper-MAC_Dot1X_Policyの前にJuniper-MAC-Auth-Policyが表示されていることを確認します。表示されない場合は、[並べ替え] をクリックし、Juniper-MAC-Auth-Policy を Juniper-MAC_Dot1X_Policy の上に移動します。
検証
設定が正常に機能していることを確認します。
- EX4300スイッチでの802.1X認証の検証
- EX4300スイッチでのアクセスポイント認証の確認
- EX4300スイッチでのVoIP電話および企業以外のラップトップの認証の確認
- Aruba ClearPass Policy Manager での認証要求のステータスの検証
EX4300スイッチでの802.1X認証の検証
目的
テスト ユーザー usertest1 が認証され、正しい VLAN に配置されていることを確認します。
この手順を実行するには、usertest1 の認証情報を渡すアクティブな 802.1X サプリカントを持つ Windows デバイスが必要です。802.1X PEAP認証用にWindows 7サプリカントを構成する方法については、 EXシリーズスイッチとAruba ClearPassポリシーマネージャーを使用した802.1X PEAPおよびMAC RADIUS認証の構成を参照してください。
アクション
Windows 7 ラップトップを EX4300 スイッチの ge-0/0/22 に接続します。
スイッチで、次のコマンドを入力します。
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 802.1X Information: Interface Role State MAC address User ge-0/0/22.0 Authenticator Authenticated 00:50:56:9B:03:7F usertest1ダイナミックVLANの割り当てを含む詳細については、次のように入力します。
user@Policy-EX4300-01> show dot1x interface ge-0/0/22.0 detail ge-0/0/22.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: usertest1, 00:50:56:9B:03:7F Operational state: Authenticated Backend Authentication state: Idle Authentication method: Radius Authenticated VLAN: Windows_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 2682 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 282 seconds出力は、usertest1 が正常に認証され、Windows_VLAN VLAN に配置されたことを示しています。
EX4300スイッチでのアクセスポイント認証の確認
目的
アクセス ポイントが正常に認証され、正しい VLAN に配置されていることを確認します。
アクション
EX4300スイッチでアクセスポイントをge-0/0/6に接続します。
スイッチで、次のコマンドを入力します。
user@Policy-EX4300-01> show dot1x interface ge-0/0/6 ge-0/0/6.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 1 Supplicant: c46413c07cda, C4:64:13:C0:7C:DA Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: AP_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 1669 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 379 seconds出力は、アクセスポイントが認証され、AP_VLAN VLANに配置されたことを示しています。
EX4300スイッチでのVoIP電話および企業以外のラップトップの認証の確認
目的
VoIP 電話が正常に認証されていること、および企業以外のラップトップが認証されていないことを確認します。
アクション
EX4300スイッチでVoIP電話をge-0/0/8に接続し、802.1Xサプリカントが有効になっていないラップトップを電話のイーサネットポートに接続します。
デバイスの認証状態を確認するには、スイッチで次のコマンドを入力します。
user@Policy-EX4300-01> show dot1x interface ge-0/0/8 ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Mac Radius Authentication Protocol: EAP-MD5 Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: not configured Number of connected supplicants: 2 Supplicant: 08173515ec53, 08:17:35:15:EC:53 Operational state: Authenticated Backend Authentication state: Idle Authentication method: Mac Radius Authenticated VLAN: IPPhone_VLAN Session Reauth interval: 3600 seconds Reauthentication due in 3591 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 591 seconds Supplicant: No User, D0:67:E5:50:E3:DD Operational state: Connecting Backend Authentication state: Idle Authentication method: None Session Reauth interval: 0 seconds Reauthentication due in 0 seconds Session Accounting Interim Interval: 600 seconds Accounting Update due in 0 seconds出力では、2 つのサプリカントがポートに接続されており、それぞれが MAC アドレスで識別されていることがわかります。VoIP電話は正常に認証され、IPPhone_VLANに配置されます。ラップトップは認証状態ではなく接続状態であり、認証に失敗したことを示しています。
IPPhone_VLAN VLAN が VoIP VLAN として割り当てられていることを確認するには、次のコマンドを入力します。
user@Policy-EX4300-01> show ethernet-switching interface ge-0/0/8 Routing Instance Name : default-switch Logical Interface flags (DL - disable learning, AD - packet action drop, LH - MAC limit hit, DN - interface down, MMAS - Mac-move action shutdown, SCTL - shutdown by Storm-control ) Logical Vlan TAG MAC STP Logical Tagging interface members limit state interface flags ge-0/0/8.0 65535 tagged,untagged default 1 65535 Forwarding untagged IPPhone_VLAN 120 65535 Forwarding tagged
IPPhone_VLANタグ付き VLAN として表示され、VoIP VLAN であることを示します。
Aruba ClearPass Policy Manager での認証要求のステータスの検証
目的
エンドポイントが正しく認証されていること、およびスイッチとAruba ClearPassの間で正しいRADIUS属性が交換されていることを確認します。
アクション
モニタリング>ライブモニタリング>アクセストラッカーに移動して、認証要求のステータスを表示します。
アクセストラッカーは、認証要求の発生を監視し、そのステータスを報告します。
特定の認証要求の詳細を取得するには、要求をクリックします。
この要求のためにAruba ClearPassがスイッチに送り返したRADIUS属性を確認するには、[ 出力 ]タブをクリックします。
意味
IP フォンからの認証要求が成功し、VoIP VLAN に関する正しい情報がスイッチに返されました。