MAC RADIUS認証
いくつかの異なる認証方法を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。
ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定して、LAN アクセスを提供できます。詳細については、このトピックを参照してください。
MAC RADIUS認証の設定(CLI手順)
ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。
また、認証の静的 MAC バイパス用に MAC アドレスを構成することで、802.1X 非対応デバイスに LAN へのアクセスを許可することもできます。
802.1X認証も許可されたインターフェイスでMAC RADIUS認証を設定することも、いずれかの認証方式を単独で設定することもできます。
インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、スイッチは最初にホストに 3 つの EAPoL 要求をホストに送信します。ホストからの応答がない場合、スイッチはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーはMACアドレスが許可されたアドレスであるというメッセージをスイッチに送信し、スイッチは接続されているインターフェイス上の応答していないホストにLANアクセスを開きます。
MAC RADIUS認証がインターフェイスで設定されているが、802.1X認証が( mac-radius restrict オプションを使用して)設定されていない場合、スイッチは最初に802.1X認証を試行することで、遅延することなくRADIUSサーバーでMACアドレスの認証を試みます。
MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。
スイッチとRADIUSサーバー間に設定された基本アクセス。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
CLI を使用して MAC RADIUS 認証を構成するには、次の手順を実行します。
-
スイッチ上で、応答しないホストが接続されているインターフェイスをMAC RADIUS認証用に構成し、インターフェイスge-0/0/20のrestrict修飾子を追加して、MAC RADIUS認証のみを使用するようにします。
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
-
RADIUS認証サーバー上で、ユーザー名とパスワードとして、応答しないホストのMACアドレス(コロンなし)を使用して、応答しない各ホストのユーザープロファイルを作成します(ここでは、MACアドレスは 00:04:0f:fd:ac:fe と 00:04:ae:cd:23:5fです)。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=Local, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=Local, User-Password = "0004aecd235f"
-
(オプション)MACアドレスをパスワードとして使用するのではなく、すべてのMAC RADIUS認証にグローバルパスワードを設定します(ここではグローバルパスワードは $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzFです)。
[edit]# user@switch# edit protocols dot1x authenticator mac-radius password $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzF
関連項目
例:EXシリーズスイッチ上でMAC RADIUS認証を設定する
802.1X 非対応のホストに LAN アクセスを許可するには、802.1X 非対応ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を構成します。MAC RADIUS認証が設定されている場合、スイッチはホストのMACアドレスを使用して、RADIUSサーバーでホストの認証を試みます。
この例では、802.1X 非対応の 2 つのホストに対して MAC RADIUS 認証を設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.3またはそれ以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
RADIUS 認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。
MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。
EX シリーズ スイッチと RADIUS サーバー間の構成済み基本アクセス。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。その他のスイッチについては、例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
注:ELSの詳細については、こちらをご覧ください。拡張レイヤー2ソフトウェアCLIの使用
基本的な802.1X設定を実行している。「 802.1Xインターフェイスの設定(CLI手順)」を参照してください。
概要とトポロジー
IEEE 802.1X ポートベース ネットワーク アクセス コントロール(PNAC)は、デバイスが 802.1X プロトコルを使用してスイッチと通信できる場合(つまり、デバイスが 802.1X 対応である場合)、デバイスを認証し、LAN へのアクセスを許可します。802.1X 非対応のエンド デバイスに LAN アクセスを許可するには、エンド デバイスが接続されているインターフェイスで MAC RADIUS 認証を設定します。エンド デバイスの MAC アドレスがインターフェイスに表示されると、スイッチは RADIUS サーバに問い合わせて、許可された MAC アドレスかどうかを確認します。エンド デバイスの MAC アドレスが RADIUS サーバーで許可されるように設定されている場合、スイッチはエンド デバイスへの LAN アクセスを開きます。
複数のサプリカント用に設定されたインターフェイスで、MAC RADIUS認証と802.1X認証方法の両方を設定できます。さらに、インターフェイスが 802.1X 非対応ホストにのみ接続されている場合、 mac-radius restrict オプションを使用して MAC RADIUS を有効にし、802.1X 認証を有効にしないようにすることで、デバイスが EAP メッセージに応答していないとスイッチが判断するまでの遅延を回避できます。
図 1 は、スイッチに接続された 2 台のプリンターを示しています。
この図は、QFX5100 スイッチにも適用されます。
表 1 は、MAC RADIUS認証の例のコンポーネントを示しています。
プロパティ | 設定 |
---|---|
スイッチ ハードウェア |
EX4200 ポート(ge-0/0/0 から ge-0/0/23) |
VLAN名 |
セールス |
プリンターへの接続(PoE 不要) |
ge-0/0/19、MAC アドレス 00040ffdacfe ge-0/0/20、MACアドレス0004aecd235f |
RADIUSサーバー |
スイッチオンインターフェイスに接続 ge-0/0/10 |
MAC アドレス 00040ffdacfe のプリンターは、アクセス インターフェイス ge-0/0/19 に接続されています。MACアドレス0004aecd235fの2台目のプリンターが、アクセスインターフェイスge-0/0/20に接続されています。この例では、両方のインターフェイスがスイッチ上でMAC RADIUS認証用に設定されており、両方のプリンターのMACアドレス(コロンなし)がRADIUSサーバーに設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1X 認証を試みる間の通常の遅延をなくすように設定されています。 mac radius restrict
オプションを使用すると、MAC RADIUS認証が有効になり、802.1X認証が無効になります。
トポロジー
設定
手順
CLIクイック構成
MAC RADIUS認証を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
[edit] set protocols dot1x authenticator interface ge-0/0/19 mac-radius set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
また、ステップバイステップ手順のステップ 2 で行ったように、2 つの MAC アドレスを RADIUS サーバー上のユーザ名とパスワードとして設定する必要があります。
ステップバイステップでの手順
スイッチとRADIUSサーバーでMAC RADIUS認証を設定します。
スイッチ上で、プリンターが接続されているインターフェイスをMAC RADIUS認証用に設定し、インターフェイスge-0/0/20にrestrictオプションを設定して、MAC RADIUS認証のみが使用されるようにします。
[edit] user@switch# set protocols dot1x authenticator interface ge-0/0/19 mac-radius user@switch# set protocols dot1x authenticator interface ge-0/0/20 mac-radius restrict
RADIUS サーバーで、ユーザー名とパスワードとして MAC アドレス 00040ffdacfe と 0004aecd235f を構成します。
[root@freeradius]# edit /etc/raddb vi users 00040ffdacfe Auth-type:=EAP, User-Password = "00040ffdacfe" 0004aecd235f Auth-type:=EAP, User-Password = "0004aecd235f"
結果
スイッチ上の設定の結果の表示:
user@switch> show configuration protocols { dot1x { authenticator { authentication-profile-name profile52; interface { ge-0/0/19.0 { mac-radius; } ge-0/0/20.0 { mac-radius { restrict; } } } } } }
検証
サプリカントが認証されていることを確認します。
サプリカントが認証されていることの確認
目的
スイッチとRADIUSサーバーでサプリカントがMAC RADIUS認証用に設定されたら、サプリカントが認証されていることを確認し、認証方法を表示します。
アクション
802.1X で構成されたインターフェイス ge-0/0/19 および ge-0/0/20 に関する情報を表示します。
user@switch> show dot1x interface ge-0/0/19.0 detail ge-0/0/19.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Disabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user101, 00:04:0f:fd:ac:fe Operational state: Authenticated Authentication method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds user@switch> show dot1x interface ge-0/0/20.0 detail ge-0/0/20.0 Role: Authenticator Administrative state: Auto Supplicant mode: Single Number of retries: 3 Quiet period: 60 seconds Transmit period: 30 seconds Mac Radius: Enabled Mac Radius Restrict: Enabled Reauthentication: Enabled Configured Reauthentication interval: 3600 seconds Supplicant timeout: 30 seconds Server timeout: 30 seconds Maximum EAPOL requests: 2 Guest VLAN member: <not configured> Number of connected supplicants: 1 Supplicant: user102, 00:04:ae:cd:23:5f Operational state: Authenticated Authentcation method: Radius Authenticated VLAN: vo11 Dynamic Filter: match source-dot1q-tag 10 action deny Session Reauth interval: 60 seconds Reauthentication due in 50 seconds
意味
show dot1x interface detail
コマンドのサンプル出力では、接続されたエンド デバイスの MAC アドレスが [Supplicant()] フィールドに表示されます。インターフェイス ge-0/0/19 では、MAC アドレスは 00:04:0f:fd:ac:fe で、これは MAC RADIUS 認証用に設定された最初のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ Radius] と表示されます。インターフェイス ge-0/0/20 では、MAC アドレスは 00:04:ae:cd:23:5f で、これは MAC RADIUS 認証用に設定された 2 台目のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ Radius] と表示されます。