Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する

802.1Xは、ポートベースネットワークアクセス制御(PNAC)のIEEE規格です。802.1X を使用して、ネットワークアクセスの制御を行います。ユーザーデータベースと照合された認証情報を提供するユーザーとデバイスにのみ、ネットワークへのアクセスが許可されます。Junos OS リリース 14.2 以降、802.1X 認証および MAC RADIUS 認証のユーザー データベースとして RADIUS サーバーを使用できます。

この例では、RADIUS サーバーを MX シリーズ ルーターに接続し、802.1X 用に構成する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 拡張LANモードで実行されているMX240、MX480、またはMX960ルーターの場合はJunos OSリリース14.2以降、その他すべてのルーターの場合はJunos OSリリース14.2R3。

  • 認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。

  • 802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。

サーバーをルーターに接続する前に、以下が完了していることを確認してください。

  • ルーターで拡張LANモードを設定。

  • ルーターで基本的なブリッジングとVLAN設定が実行されていること。

  • RADIUS認証サーバーに設定されたユーザー。

概要とトポロジー

MXシリーズルーターは、認証コードのポートアクセスエンティティ(PAE)として機能します。サプリカント(クライアント)がサーバーで認証されるまで、すべてのトラフィックをブロックし、制御ゲートとして機能します。それ以外のユーザーとデバイスはアクセスを拒否されます。

認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。

表 1: トポロジーのコンポーネント
プロパティ 設定

ルーターハードウェア

MXシリーズルーター

VLAN名

default

1台のRADIUSサーバー

ポート ge-0/0/10でスイッチに接続されている、 10.0.0.100 のアドレスを持つバックエンドデータベース

この例では、MXシリーズルーターのアクセスポート ge-0/0/10 にRADIUSサーバーを接続します。スイッチは認証装置として機能し、サプリカントからRADIUSサーバのユーザデータベースに認証情報を転送します。MX シリーズ ルーターと RADIUS サーバー間の接続を構成するには、サーバーのアドレスを指定し、秘密のパスワードを構成します。この情報は、スイッチのアクセスプロファイルに設定されます。

設定

手順

CLIクイック構成

RADIUSサーバーをスイッチに素早く接続するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。

ステップバイステップでの手順

RADIUS サーバーをスイッチに接続します。

  1. サーバーのアドレスを定義し、シークレットパスワードを設定します。スイッチの秘密パスワードは、サーバーの秘密パスワードと一致させる必要があります。

  2. 認証順序を設定し、radiusを最初の認証方法にします。

  3. サプリカントを認証するために試行するサーバー IP アドレスのリストを設定します。

結果

設定の結果の表示:

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

スイッチとRADIUSサーバーが正しく接続されていることを確認

目的

RADIUSサーバーが指定したポートでスイッチに接続されていることを確認します。

アクション

RADIUSサーバーに Ping を送信し、スイッチとサーバー間の接続を確認します。

意味

ICMPエコー要求パケットをスイッチから10.0.0.100のターゲットサーバーに送信し、IPネットワーク上で到達可能かどうかをテストします。サーバーからICMPエコー応答が返され、スイッチとサーバーが接続されていることを確認します。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
14.2
Junos OS リリース 14.2 以降、802.1X 認証および MAC RADIUS 認証のユーザー データベースとして RADIUS サーバーを使用できます。