例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
EX シリーズ スイッチ上の 802.1X は、RADIUS データベースに資格情報を持たないユーザーに LAN アクセスを提供します。ゲストと呼ばれるこれらのユーザーは認証され、通常はインターネットへのアクセスが提供されます。
この例では、ゲスト VLAN を作成し、802.1X 認証を構成する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.0以降
ポートアクセスエンティティ(PAE)として動作する1台のEXシリーズスイッチ。認証側PAEのインターフェイスは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
ゲスト VLAN 認証を構成する前に、以下が完了していることを確認してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(CLI 手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。その他のスイッチについては、例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
注:ELSの詳細については、こちらをご覧ください。拡張レイヤー2ソフトウェアCLIの使用
概要とトポロジー
IEEE 802.1Xポートベースネットワークアクセスコントロール(PNAC)の一部として、ゲストVLANの認証を設定することで、VLAN認証グループに属さないサプリカントに限定されたネットワークアクセスを提供できます。通常、ゲストVLANアクセスは、企業サイトへの訪問者にインターネットアクセスを提供するために使用されます。ただし、ゲスト VLAN 機能を使用して、企業 LAN で 802.1X 認証に失敗したサプリカントに、リソースが限られている VLAN へのアクセスを提供することもできます。
この図は、QFX5100 スイッチにも適用されます。
トポロジー
図 1 は、インターフェイス ge-0/0/1 でスイッチに接続された会議室を示しています。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ、24ギガビットイーサネットインターフェイス: 8個のPoEインターフェイス(ge-0/0/0 〜 ge-0/0/7)および16個の非PoEインターフェイス(ge-0/0/8 〜 ge-0/0/23) |
VLAN 名とタグ ID |
sales、タグ100support、タグ200 guest-vlan、タグ300 |
1台のRADIUSサーバー |
インターフェイスを介してスイッチに接続されたバックエンドデータベース ge-0/0/10 |
この例では、アクセス インターフェイス ge-0/0/1 が会議室の LAN 接続を提供しています。このアクセスインターフェイスを設定して、会議室の訪問者のうち、企業VLANで認証されていない訪問者にLAN接続を提供します。
802.1X認証を含むゲストVLANの設定
手順
CLIクイック構成
802.1X認証でゲストVLANをすばやく設定するには、次のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set vlans guest-vlan vlan-id 300 set protocols dot1x authenticator interface all guest-vlan guest-vlan
ステップバイステップでの手順
EX シリーズ スイッチで 802.1X 認証を含むゲスト VLAN を構成するには:
ゲスト VLAN の VLAN ID を設定します。
[edit] user@switch# set vlans guest-vlan vlan-id 300
dot1xプロトコルでゲスト VLAN を設定します。
[edit] user@switch# set protocols dot1x authenticator interface all guest-vlan guest-vlan
結果
構成の結果を確認します。
user@switch> show configuration
protocols {
dot1x {
authenticator {
interface {
all {
guest-vlan {
guest-vlan;
}
}
}
}
}
}
vlans {
guest-vlan {
vlan-id 300;
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
ゲスト VLAN が設定されていることの確認
目的
ゲスト VLAN が作成され、インターフェイスが認証に失敗し、ゲスト VLAN に移動されていることを確認します。
ELS をサポートする EXシリーズの Junos OS の実行中、 show vlans コマンドの出力には追加情報が含まれます。ご使用のスイッチが、ELS をサポートしているソフトウェアを実行した場合は、 VLANを表示を参照してください。ELSの詳細については、「拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
アクション
以下の動作モードコマンドを発行します。
user@switch> show vlans
Name Tag Interfaces
default
ge-0/0/3.0*
dynamic 40
None
guest 30
None
guest—vlan 300
ge-0/0/1.0*
vlan_dyn
None
user@switch> show dot1x interface ge-0/0/1.0 detail
ge-0/0/1.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Single
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Restrict: Disabled
Reauthentication: Enabled
Configured Reauthentication interval: 3600 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 2
Guest VLAN member: guest-vlan
Number of connected supplicants: 1
Supplicant: user1, 00:00:00:00:13:23
Operational state: Authenticated
Authentication method: Guest VLAN
Authenticated VLAN: guest-vlan
Dynamic Filter: match source-dot1q-tag 10 action deny
Session Reauth interval: 60 seconds
Reauthentication due in 50 seconds
意味
show vlans コマンドの出力には、VLAN の名前として guest-vlan が、300 として VLAN ID が表示されます。
show dot1x interface ge-0/0/1.0 detail コマンドの出力には、このインターフェイスのサプリカントが 802.1X 認証に失敗し、guest-vlanに渡されたことを示す Guest VLAN membership フィールドが表示されます。