- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
MAC RADIUS認証のためのPEAPの設定
拡張認証プロトコル (EAP) は、パスワードベースの認証方法やより安全な証明書ベースの認証方法など、複数の認証方法をサポートする拡張可能なプロトコルです。EAP は、オーセンティケータ(スイッチング デバイス)と認証サーバー間のネゴシエーションを容易にし、サプリカントに使用する認証方法を決定します。MAC RADIUS認証に使用されるデフォルトの認証方法はEAP-MD5です。サーバーはクライアントにランダムなチャレンジ値を送信し、クライアントはチャレンジとパスワードをMD5でハッシュしてIDを証明します。EAP-MD5 はクライアント認証のみを提供し、サーバー認証は提供しないため、スプーフィング攻撃に対して脆弱になる可能性があります。
保護された拡張認証プロトコル (保護された EAP または単に PEAP とも呼ばれます) を構成して、EAP-MD5 のセキュリティの脆弱性に対処できます。PEAP は、暗号化および認証されたトランスポート層セキュリティ(TLS)トンネル内で EAP パケットをカプセル化するプロトコルです。PEAP はトンネルを設定し、エンドポイントの認証に直接関与しないため、外部認証プロトコルと呼ばれます。トンネル内のクライアントの MAC アドレスを認証するために使用される内部認証プロトコルは、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAPv2) です。トンネル内での暗号化された情報交換により、ユーザーの認証情報が盗聴から保護されます。
PEAP を MS-CHAPv2 と併用する場合の利点の 1 つは、セキュア トンネルの確立に必要なのがサーバー側の証明書のみであり、サーバー側の公開キー証明書を使用してサーバーを認証することです。これにより、認証を必要とするすべてのクライアントにデジタル証明書を展開することに伴うオーバーヘッドがなくなります。
クライアントが MAC RADIUS 認証を使用してスイッチ上で認証されると、後続のクライアントは、最初のクライアントによって確立されたのと同じ外部トンネルを使用して、サーバーと通信できます。これは、SSL によって提供されるセッション再開機能を使用して実現されます。セッションの再開により、後続のクライアントが新しい TLS トンネルの確立を待つときに発生する可能性のある待機時間が短縮されます。
MAC RADIUS 認証用に PEAP 認証プロトコルを構成する前に、内部認証プロトコルとして MS-CHAPv2 を使用する PEAP を使用するように認証サーバーも構成されていることを確認します。認証サーバーの構成については、サーバーのドキュメントを参照してください。
認証プロトコルは、 interface all オプションを使用してグローバルに設定することも、個々のインターフェイス名を使用してローカルに設定することもできます。認証プロトコルが個々のインターフェイスとすべてのインターフェイスの両方に設定されている場合、そのインターフェイスのローカル設定がグローバル設定よりも優先されます。
MAC RADIUS認証用のPEAP認証プロトコルを設定するには、次の手順に従います。
