例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
EXシリーズスイッチの802.1xポートベースネットワークアクセスコントロール(PNAC)認証は、エンタープライズLANのアクセスニーズを満たすために3種類の認証を提供します。
オーセンティケータ ポートで最初のエンド デバイス(サプリカント)を認証し、同じく接続している他のすべてのエンド デバイスに LAN へのアクセスを許可します。
オーセンティケータポートで一度に1台のエンドデバイスのみを認証します。
オーセンティケータポートで複数のエンドデバイスを認証します。VoIP設定では、マルチ サプリカント モードが使用されます。
この例では、IEEE 802.1Xを使用して、3つの異なる管理モードを使用するエンドデバイスを認証するようにEXシリーズスイッチを設定します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.0以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、エンドデバイスが認証されるまで、エンドデバイスとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
802.1XをサポートするRADIUS認証サーバー1台。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたエンドデバイス(サプリカント)の認証情報を含みます。
802.1X 認証用にポートを構成する前に、以下が完了していることを確認してください。
初期スイッチ設定を実行している。EXシリーズスイッチの接続および設定(CLI 手順)を参照してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。その他のスイッチについては、例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
注:ELSの詳細については、 拡張レイヤー2ソフトウェアのCLIを使用するを参照してください。
認証サーバーで設定されたユーザー。
概要とトポロジー
図 1に示すように、トポロジーには、ポートge-0/0/10で認証サーバーに接続されたEX4200アクセススイッチが含まれています。インターフェイス ge-0/0/8、ge-0/0/9、ge-0/0/11 は、3 つの異なる管理モード用に構成されます。
この図は、QFX5100 スイッチにも適用されます。
トポロジー
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200スイッチ、24ギガビットイーサネットポート: PoEポート8個(ge-0/0~ge-0/7)、非PoEポート16個(ge-0/0/8~ge-0/23)搭載。 |
Avaya 電話への接続 - 統合ハブを使用して、電話とデスクトップ PC を 1 つのポートに接続します。(PoE が必要) |
ge-0/0/8、ge-0/0/9、および ge-0/0/11 |
エンタープライズ ネットワークのさまざまなエリアのサプリカントをサポートするために、管理モードを設定するには:
シングル サプリカント モード認証用にアクセス ポート ge-0/0/8 を設定します。
シングルセキュアサプリカントモード認証用にアクセスポートge-0/0/9を設定します。
マルチ サプリカント モード認証用にアクセス ポート ge-0/0/11 を設定します。
シングル サプリカント モード は、オーセンティケータ ポートに接続する最初のエンド デバイスのみを認証します。最初のエンド デバイスが正常に接続された後にオーセンティケータ ポートに接続する他のすべてのエンド デバイスは、802.1X 対応であるかどうかにかかわらず、それ以上の認証なしでポートへのアクセスが許可されます。最初に認証されたエンドデバイスがログアウトすると、エンドデバイスが認証されるまで他のすべてのエンドデバイスがロックアウトされます。
シングルセキュア サプリカント モードでは 、1 台のエンド デバイスのみが認証されてオーセンティケータ ポートに接続されます。最初のエンド デバイスがログアウトするまで、他のエンド デバイスはオーセンティケータ ポートに接続できません。
マルチ サプリカント モード は、1 つのオーセンティケータ ポートで複数のエンド デバイスを個別に認証します。ポートセキュリティを介してポートに接続できるデバイスの最大数を設定する場合、設定された値のうち小さい方の値を使用して、ポートごとに許可されるエンドデバイスの最大数が決定されます。
複数のサプリカント モードをサポートする802.1Xの設定
手順
CLIクイック構成
異なる 802.1X 認証モードでポートをすばやく構成するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/8 supplicant single set protocols dot1x authenticator interface ge-0/0/9 supplicant single-secure set protocols dot1x authenticator interface ge-0/0/11 supplicant multiple
ステップバイステップでの手順
インターフェイスの管理モードを設定します。
サプリカントモードをインターフェイスge-0/0/8でシングルとして設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/8 supplicant single
サプリカント モードをインターフェイス ge-0/0/9 でシングル セキュアとして設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/9 supplicant single-secure
インターフェイスge-0/0/11でマルチサプリカントモードを設定します。
[edit protocols] user@switch# set dot1x authenticator interface ge-0/0/11 supplicant multiple
結果
構成の結果を確認します。
[edit]
user@access-switch> show configuration
protocols {
dot1x {
authenticator {
interface {
ge-0/0/8.0 {
supplicant single;
)
ge-0/0/9.0 {
supplicant single-secure;
)
ge-0/0/11.0 {
supplicant multiple;
)
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
802.1Xの設定の確認
目的
インターフェイスge-0/0/8、ge-0/0/9、およびge-0/0/11で802.1Xの設定を確認します。
アクション
次の 動作モード コマンドを発行して、802.1X の設定を確認します show dot1x interface。
user@switch> show dot1x interface ge-0/0/8.0 detail ge-0/0/8.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> user@switch> show dot1x interface ge-0/0/9.0 detail ge-0/0/9.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single-Secure Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0 user@switch> show dot1x interface ge-0/0/11.0 detail ge-0/0/11.0 Role: Authenticator Administrative state: Auto Supplicant mode: Multiple Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Disabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 0
意味
Supplicant mode出力フィールドには、各インターフェイスに設定された管理モードが表示されます。インターフェイス ge-0/0/8.0Single サプリカント モードを表示します。インターフェイス ge-0/0/9.0Single-Secureサプリカント モードを表示します。インターフェイス ge-0/0/11.0Multiple サプリカント モードを表示します。