Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

MAC RADIUS認証

いくつかの異なる認証方法を使用して、スイッチを介したネットワークへのアクセスを制御できます。Junos OSスイッチは、ネットワークへの接続を必要とするデバイスの認証方法として、802.1X、MAC RADIUS、キャプティブポータルをサポートしています。

ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を設定して、LAN アクセスを提供できます。詳細については、このトピックを参照してください。

MAC RADIUS認証の設定(CLI手順)

ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を構成することで、802.1X 非対応の LAN アクセスを許可できます。

注:

また、認証の静的 MAC バイパス用に MAC アドレスを構成することで、802.1X 非対応デバイスに LAN へのアクセスを許可することもできます。

802.1X認証も許可されたインターフェイスでMAC RADIUS認証を設定することも、いずれかの認証方式を単独で設定することもできます。

インターフェイスで MAC RADIUS と 802.1X 認証の両方が有効になっている場合、スイッチは最初にホストに 3 つの EAPoL 要求をホストに送信します。ホストからの応答がない場合、スイッチはホストのMACアドレスをRADIUSサーバーに送信し、許可されたMACアドレスであるかどうかを確認します。MACアドレスがRADIUSサーバーで許可されるように設定されている場合、RADIUSサーバーはMACアドレスが許可されたアドレスであるというメッセージをスイッチに送信し、スイッチは接続されているインターフェイス上の応答していないホストにLANアクセスを開きます。

MAC RADIUS認証がインターフェイスで設定されているが、802.1X認証が( mac-radius restrict オプションを使用して)設定されていない場合、スイッチは最初に802.1X認証を試行することで、遅延することなくRADIUSサーバーでMACアドレスの認証を試みます。

MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。

CLI を使用して MAC RADIUS 認証を構成するには、次の手順を実行します。

  • スイッチ上で、応答しないホストが接続されているインターフェイスをMAC RADIUS認証用に構成し、インターフェイスge-0/0/20restrict修飾子を追加して、MAC RADIUS認証のみを使用するようにします。

  • RADIUS認証サーバー上で、ユーザー名とパスワードとして、応答しないホストのMACアドレス(コロンなし)を使用して、応答しない各ホストのユーザープロファイルを作成します(ここでは、MACアドレスは 00:04:0f:fd:ac:fe00:04:ae:cd:23:5fです)。

  • (オプション)MACアドレスをパスワードとして使用するのではなく、すべてのMAC RADIUS認証にグローバルパスワードを設定します(ここではグローバルパスワードは $9$H.fQ/CuEclFnclKMN-HqmPfQFn/AuOzFです)。

例:EXシリーズスイッチ上でMAC RADIUS認証を設定する

802.1X 非対応のホストに LAN アクセスを許可するには、802.1X 非対応ホストが接続されているスイッチ インターフェイスで MAC RADIUS 認証を構成します。MAC RADIUS認証が設定されている場合、スイッチはホストのMACアドレスを使用して、RADIUSサーバーでホストの認証を試みます。

この例では、802.1X 非対応の 2 つのホストに対して MAC RADIUS 認証を設定する方法について説明します。

要件

この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:

注:

この例は、QFX5100スイッチにも適用されます。

  • EXシリーズスイッチ向けJunos OSリリース9.3またはそれ以降

  • 認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。

  • RADIUS 認証サーバー。認証サーバーはバックエンドのデータベースとして機能し、ネットワークへの接続を許可されたホスト (サプリカント) の認証情報を含みます。

MAC RADIUS認証を設定する前に、以下が完了していることを確認してください。

概要とトポロジー

IEEE 802.1X ポートベース ネットワーク アクセス コントロール(PNAC)は、デバイスが 802.1X プロトコルを使用してスイッチと通信できる場合(つまり、デバイスが 802.1X 対応である場合)、デバイスを認証し、LAN へのアクセスを許可します。802.1X 非対応のエンド デバイスに LAN アクセスを許可するには、エンド デバイスが接続されているインターフェイスで MAC RADIUS 認証を設定します。エンド デバイスの MAC アドレスがインターフェイスに表示されると、スイッチは RADIUS サーバに問い合わせて、許可された MAC アドレスかどうかを確認します。エンド デバイスの MAC アドレスが RADIUS サーバーで許可されるように設定されている場合、スイッチはエンド デバイスへの LAN アクセスを開きます。

複数のサプリカント用に設定されたインターフェイスで、MAC RADIUS認証と802.1X認証方法の両方を設定できます。さらに、インターフェイスが 802.1X 非対応ホストにのみ接続されている場合、 mac-radius restrict オプションを使用して MAC RADIUS を有効にし、802.1X 認証を有効にしないようにすることで、デバイスが EAP メッセージに応答していないとスイッチが判断するまでの遅延を回避できます。

図 1 は、スイッチに接続された 2 台のプリンターを示しています。

注:

この図は、QFX5100 スイッチにも適用されます。

図 1: MAC RADIUS認証設定のトポロジーMAC RADIUS認証設定のトポロジー

表 1 は、MAC RADIUS認証の例のコンポーネントを示しています。

表 1: MAC RADIUS認証構成トポロジーのコンポーネント
プロパティ 設定

スイッチ ハードウェア

EX4200 ポート(ge-0/0/0 から ge-0/0/23)

VLAN名

セールス

プリンターへの接続(PoE 不要)

ge-0/0/19、MAC アドレス 00040ffdacfe

ge-0/0/20、MACアドレス0004aecd235f

RADIUSサーバー

スイッチオンインターフェイスに接続 ge-0/0/10

MAC アドレス 00040ffdacfe のプリンターは、アクセス インターフェイス ge-0/0/19 に接続されています。MACアドレス0004aecd235fの2台目のプリンターが、アクセスインターフェイスge-0/0/20に接続されています。この例では、両方のインターフェイスがスイッチ上でMAC RADIUS認証用に設定されており、両方のプリンターのMACアドレス(コロンなし)がRADIUSサーバーに設定されています。インターフェイス ge-0/0/20 は、スイッチが 802.1X 認証を試みる間の通常の遅延をなくすように設定されています。 mac radius restrict オプションを使用すると、MAC RADIUS認証が有効になり、802.1X認証が無効になります。

トポロジー

設定

手順

CLIクイック構成

MAC RADIUS認証を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。

注:

また、ステップバイステップ手順のステップ 2 で行ったように、2 つの MAC アドレスを RADIUS サーバー上のユーザ名とパスワードとして設定する必要があります。

ステップバイステップでの手順

スイッチとRADIUSサーバーでMAC RADIUS認証を設定します。

  1. スイッチ上で、プリンターが接続されているインターフェイスをMAC RADIUS認証用に設定し、インターフェイスge-0/0/20にrestrictオプションを設定して、MAC RADIUS認証のみが使用されるようにします。

  2. RADIUS サーバーで、ユーザー名とパスワードとして MAC アドレス 00040ffdacfe と 0004aecd235f を構成します。

結果

スイッチ上の設定の結果の表示:

検証

サプリカントが認証されていることを確認します。

サプリカントが認証されていることの確認

目的

スイッチとRADIUSサーバーでサプリカントがMAC RADIUS認証用に設定されたら、サプリカントが認証されていることを確認し、認証方法を表示します。

アクション

802.1X で構成されたインターフェイス ge-0/0/19 および ge-0/0/20 に関する情報を表示します。

意味

show dot1x interface detail コマンドのサンプル出力では、接続されたエンド デバイスの MAC アドレスが [Supplicant()] フィールドに表示されます。インターフェイス ge-0/0/19 では、MAC アドレスは 00:04:0f:fd:ac:fe で、これは MAC RADIUS 認証用に設定された最初のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ Radius] と表示されます。インターフェイス ge-0/0/20 では、MAC アドレスは 00:04:ae:cd:23:5f で、これは MAC RADIUS 認証用に設定された 2 台目のプリンターの MAC アドレスです。[ Authentication method ] フィールドには、認証方法が [ Radius] と表示されます。