- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
Junos OS リリース 14.2 以降、デバイスが認証なしで 802.1X で構成されたインターフェイスを介して LAN にアクセスできるようにするために、MX シリーズ ルーターで静的 MAC バイパス リストを設定できます。静的 MAC バイパス リストは除外 リストとも呼ばれ、認証サーバーへの要求なしにルーターで許可される MAC アドレスを指定します。
認証の静的 MAC バイパスを使用して、プリンターなど、802.1X 非対応のデバイスの接続を許可できます。ホストの MAC アドレスが静的 MAC アドレス リストと比較および照合された場合、応答しないホストが認証され、インターフェイスが開かれます。
この例では、2 台のプリンターの認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
拡張LANモードで実行されているMX240、MX480、またはMX960ルーター向けのJunos OSリリース14.2以降。
認証コードのポートアクセスエンティティ (PAE) として動作する 1 台のルーター。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
サーバーをルーターに接続する前に、以下が完了していることを確認してください。
ルーターで拡張LANモードを設定。
ルーターで基本的なブリッジングとVLAN設定が実行されていること。
RADIUS認証サーバーに設定されたユーザー。
概要とトポロジー
プリンターに LAN へのアクセスを許可するには、静的 MAC バイパス リストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されます。
認証ポートとして機能するMXシリーズルーターを考えてみましょう。インターフェイスge-0/0/10を使用して、IPネットワークを介してRADIUSサーバーに接続されます。また、ルーターは、インターフェイスge-0/0/1を使用する会議室、インターフェイスge-0/0/20を使用するプリンター、インターフェイスge-0/0/8を使用するハブ、およびインターフェイスge-0/0/2とge-0/0/9を介して2つのサプリカントまたはクライアントにもリンクされます。
表 1に示すインターフェイスは、静的MAC認証用に構成されます。
| プロパティ | 設定 |
|---|---|
ルーターハードウェア | MXシリーズルーター |
VLAN名 | default |
統合されたプリンター/FAX/コピー機への接続(PoE 不要) | ge-0/0/19、MAC アドレス 00:04:0f:fd:ac:fe ge-0/0/20、MACアドレス00:04:ae:cd:23:5f |
MACアドレス00:04:0f:fd:ac:feのプリンターは、アクセスインターフェイス ge-0/0/19に接続されています。MAC アドレス 00:04:ae:cd:23:5f を持つ 2 台目のプリンターが、アクセス インターフェイス ge-0/0/20 に接続されます。両方のプリンターが静的リストに追加され、802.1X 認証がバイパスされます。
トポロジー
設定
手順
CLIクイック構成
スタティックMAC認証を迅速に設定するには、以下のコマンドをコピーしてルータ端末ウィンドウに貼り付けます。
[edit] set protocols authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols authentication-access-control interface all supplicant multiple set protocols authentication-access-control authenticaton-profile-name profile1
ステップバイステップでの手順
静的 MAC 認証を構成します。
静的 MAC アドレスとして MAC アドレス 00:04:0f:fd:ac:fe と 00:04:ae:cd:23:5f を構成します。
content_copy zoom_out_map[edit protocols] user@router# set authentication-access-control static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 認証方法を構成します。
content_copy zoom_out_map[edit protocols] user@router# set authentication-access-control interface all supplicant multiple
認証に使用する認証プロファイル名(アクセスプロファイル名)を設定します。
content_copy zoom_out_map[edit protocols] user@router# set authentication-access-control authentication-profile-name profile1
注:アクセスプロファイルの設定は、802.1Xクライアントにのみ必要で、静的MACクライアントには必要ではありません。
結果
設定の結果の表示:
user@router> show
interfaces {
ge-0/0/19 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
ge-0/0/20 {
unit 0 {
family bridge {
vlan-id 10;
}
}
}
}
protocols {
authentication-access-control {
authentication-profile-name profile1;
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。
アクション
以下の動作モードコマンドを使用します。
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意味
出力フィールド MAC address には、2 つのプリンターの MAC アドレスが表示されます。
出力フィールド Interface は、MAC アドレス 00:04:0f:fd:ac:fe がインターフェイス ge-0/0/19.0 を介して LAN に接続できること、および MAC アドレス 00:04:ae:cd:23:5f がインターフェイス ge-0/0/20.0 を介して LAN に接続できることを示しています。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。
