- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。802.1X を使用して、ネットワークアクセスの制御を行います。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスにのみ、ネットワークへのアクセスが許可されます。Junos OS リリース 14.2 以降、802.1X 認証および MAC RADIUS 認証のユーザー データベースとして RADIUS サーバーを使用できます。
この例では、RADIUS サーバーを MX シリーズ ルーターに接続し、802.1X 用に構成する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーターの場合はJunos OSリリース14.2以降、その他すべてのルーターの場合はJunos OSリリース14.2R3。
認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
MXシリーズルーターは、認証コードのポートアクセスエンティティ(PAE)として機能します。サプリカント(クライアント)がサーバーで認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。
認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア | MXシリーズルーター |
VLAN名 | default |
1台のRADIUSサーバー | ポート ge-0/0/10でスイッチに接続されている、 10.0.0.100 のアドレスを持つバックエンドデータベース |
この例では、MXシリーズルーターのアクセスポート ge-0/0/10 にRADIUSサーバーを接続します。スイッチは認証装置として機能し、サプリカントからRADIUSサーバのユーザデータベースに認証情報を転送します。MX シリーズ ルーターと RADIUS サーバー間の接続を構成するには、サーバーのアドレスを指定し、秘密のパスワードを構成します。この情報は、スイッチのアクセスプロファイルに設定されます。
設定
手順
CLIクイック構成
RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit] set access radius-server 10.0.0.100 secret juniper set access radius-server 10.0.0.200 secret juniper set access profile profile1 authentication-order radius set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
ステップバイステップでの手順
RADIUS サーバーをスイッチに接続します。
サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。
content_copy zoom_out_map[edit] user@switch# set access radius-server 10.0.0.100 secret juniper user@switch# set access radius-server 10.0.0.200 secret juniper
認証順序を設定し、radiusを最初の認証方法にします。
content_copy zoom_out_map[edit] user@switch# set access profile profile1 authentication-order radius
サプリカントを認証するために試行するサーバー IP アドレスのリストを設定します。
content_copy zoom_out_map[edit] user@switch# set access profile profile1 radius authentication-server [10.0.0.100 10.0.0.200]
結果
設定の結果の表示:
user@switch> show configuration access
radius-server {
10.0.0.100
port 1812;
secret "$9$qPT3ApBSrv69rvWLVb.P5"; ## SECRET-DATA
}
}
profile profile1{
authentication-order radius;
radius {
authentication-server 10.0.0.100 10.0.0.200;
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
スイッチとRADIUSサーバーが正しく接続されていることを確認
目的
RADIUSサーバーが指定したポートでスイッチに接続されていることを確認します。
アクション
RADIUSサーバーに Ping を送信し、スイッチとサーバー間の接続を確認します。
user@switch> ping 10.0.0.100
PING 10.0.0.100 (10.0.0.100): 56 data bytes
64 bytes from 10.93.15.218: icmp_seq=0 ttl=64 time=9.734 ms
64 bytes from 10.93.15.218: icmp_seq=1 ttl=64 time=0.228 ms意味
ICMPエコー要求パケットをスイッチから10.0.0.100のターゲットサーバーに送信し、IPネットワーク上で到達可能かどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
