- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
拡張LANモードのMXシリーズルーター向け802.1Xの概要
Junos OS リリース 14.2 以降、IEEE 802.1X はネットワーク エッジ セキュリティを提供し、イーサネット LAN を不正なユーザー アクセスから保護します。802.1X、MAC RADIUS、キャプティブポータルなど、複数の異なる認証方法を使用して、MXシリーズルーターを介してネットワークへのアクセスを制御するサポートが実装されています。
この機能は、拡張LANモードのMX240、MX480、およびMX960ルーター上の次のMPCでサポートされています。
2つの100ギガビットイーサネットポートと8つの10ギガビットイーサネットポートを備えたMPC4E
32 個の 10 ギガビット イーサネット ポートを備えた MPC4E
QSFP+搭載の2ポート40ギガビットイーサネットMICを含むMPC3E
40 の 1 ギガビット イーサネット ポートまたは 20 の 1 ギガビット イーサネット ポートを備えた MPC1E
ルーターで拡張 LAN モードを設定または削除する場合は、ルーターを再起動する必要があります。network-services lan オプションを設定することは、システムが拡張 IP モードで実行されていることを意味します。MX-LANモードで機能するようにデバイスを設定すると、このモードでの有効化または表示に使用できるサポートされている設定ステートメントと動作showコマンドのみがCLIインターフェイスに表示されます。MX-LANモードでサポートされていないパラメーターがシステム構成ファイルに含まれている場合、それらのサポートされていない属性をコミットすることはできません。サポートされていない設定を削除してから、設定をコミットする必要があります。CLI のコミットが成功した後、属性を有効にするには、システムの再起動が必要です。同様に、 network-services lan ステートメントを削除すると、システムは MX-LAN モードで稼働しなくなります。したがって、MX-LAN モード以外でサポートされているすべての設定が表示され、CLI インターフェイスで定義に使用できます。構成ファイルに MX-LAN モードでのみサポートされている設定が含まれている場合、設定をコミットする前に、それらの属性を削除する必要があります。CLI のコミットが成功した後、CLI 設定を有効にするには、システムの再起動が必要になります。レイヤー 2 次世代 CLI の構成設定は、MX-LAN モードでサポートされます。そのため、CLI設定の一般的なMXシリーズ形式は、MX-LANモードで異なる場合があります。
この機能は、拡張LANモードで機能するMXシリーズの仮想シャーシコンビネーションでサポートされています([edit chassis]階層レベルでnetwork-services lanステートメントを入力することで)。ポートベースのネットワークアクセス制御は、MPCがMX-LANモードと非MX-LANモードの両方にあるMX240、MX480、MX960ルーターでサポートされています(これらのルーター上のMPCでサポートされている他のネットワークサービスモードも使用)。イーサネット インターフェイスで IEEE 802.1x ポートベース ネットワーク アクセス コントロール(PNAC)プロトコルを設定するには、[edit protocols authentication-access- control] 階層レベルで authenticator ステートメントを設定する必要があります。また、ルータでキャプティブ ポータル認証を設定して、スイッチに接続されたユーザがネットワークへのアクセスを許可される前に認証されるようにすることもできます。また、Junos Pulseアクセスコントロールサービスをアクセスポリシーとして設定し、 uac-policy ステートメントを使用して、ネットワークへのアドミッションと保護されたネットワークリソースへのアクセスのためにスイッチに接続されたユーザーを認証および許可することもできます。
802.1X 認証のしくみ
802.1X 認証は、 Authenticator Port Access Entity (スイッチ)を使用して、サプリカント(エンド デバイス)との間のすべてのトラフィックを、サプリカントの資格情報が Authentication server (RADIUS サーバー)で提示および一致されるまでポートでブロックすることで機能します。認証されると、スイッチはトラフィックのブロックを停止し、サプリカントに対してポートを開放します。
エンドデバイスは、 single モード、 single-secure モード、または multiple モードのいずれかで認証されます。
single- 最初のエンド デバイスのみを認証します。後からポートに接続する他のすべてのエンド デバイスは、さらなる認証なしで完全なアクセスを許可されます。エンドデバイスの認証に対して、事実上「ピギーバック」します。
single-secure- 1 台のエンド デバイスにのみポートへの接続を許可します。最初のエンド デバイスがログアウトするまで、他のエンド デバイスの接続は許可されません。
multiple- 複数のエンド デバイスがポートに接続できるようになります。各エンド デバイスは個別に認証されます。
ネットワークアクセスは、VLANとファイアウォールフィルターを使用することでさらに定義できます。これらのフィルターはどちらも、エンドデバイスのグループを分離し、必要なLANエリアに一致させるフィルターとして機能します。例えば、VLAN を構成することで、さまざまな認証失敗のカテゴリーを、以下に応じて処理できます。
エンド デバイスが 802.1X に対応しているかどうか。
ホストが接続されているスイッチ インターフェイス上で MAC RADIUS 認証が構成されているかどうか。
RADIUS 認証サーバーが利用できなくなったか、RADIUS アクセス拒否メッセージを送信したかどうか。RADIUS サーバー障害フォールバックを構成する(CLI 手順)を参照してください。
802.1X 機能の概要
MX シリーズ ルーターで使用できる 802.1X 機能は、使用しているスイッチによって異なります。
ジュニパーネットワークスのMXシリーズルーターの802.1X機能は次のとおりです。
ゲスト VLAN - ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証が設定されていない場合、802.1X 非対応の応答しないエンド デバイスに LAN への限定アクセス(通常はインターネットのみ)を提供します。また、ゲスト VLAN を使用して、ゲスト ユーザーに LAN への限定アクセスを提供できます。通常、ゲスト VLAN はインターネットと他のゲストのエンド デバイスへのアクセスのみを提供します。
サーバー拒否 VLAN - 802.1X に対応しているが、間違った資格を送信した応答性の高いエンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
サーバー障害 VLAN - RADIUS サーバーのタイムアウト時に、802.1X エンド デバイスに LAN への限定アクセス(通常はインターネットへのアクセスのみ)を提供します。
ダイナミック VLAN - 認証後に、エンド デバイスが動的に VLAN のメンバーになることを可能にします。
プライベート VLAN - プライベート VLAN (PVLAN) のメンバーであるインターフェイス上で 802.1X 認証を構成できるようにします。
ユーザー セッションの動的な変更 - スイッチ管理者が既に認証されたセッションを終了できるようにします。この機能は、RFC 3576 で定義されている RADIUS 切断メッセージのサポートに基づいています。
RADIUS アカウンティング - RADIUS アカウンティング サーバーにアカウンティング情報を送信します。アカウンティング情報は、契約者がログインまたはログアウトしたとき、および契約者がサブスクリプションを有効化または無効化したときに、サーバーに送信されます。
802.1X 認証に関連するサポートされている機能
802.1X が他のセキュリティ テクノロジに取って代わるものではありません。802.1Xは、DHCPスヌーピング、DAI(Dynamic ARP Inspection)、MAC制限などのポートセキュリティ機能と連動して、スプーフィングを防止します。
認証に関連してサポートされている機能は次のとおりです。
静的 MAC バイパス - 802.1X 非対応のデバイス(プリンターなど)を認証するためのバイパス機構を提供します。静的 MAC バイパスは、これらのデバイスを 802.1X 対応ポートに接続して、802.1X 認証をバイパスします。
MAC RADIUS 認証 - 802.1X 認証が有効かどうかに関係なく、MAC 認証を有効または無効にする手段を提供します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
