802.1Xの静的MACバイパスおよびMAC RADIUS認証
Junos OSでは、EXシリーズスイッチで静的MACバイパスリストを設定することで、認証なしで802.1Xで構成されたインターフェイスを介したLANへのアクセスを設定できます。静的 MAC バイパス リストは除外 リストとも呼ばれ、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。詳細については、このトピックを参照してください。
イーサネット スイッチング テーブルに静的 MAC アドレス エントリーを追加すると、静的 MAC バイパス リストに MAC アドレスを追加するのと同じ効果があります。スタティック MAC アドレス エントリーの設定については、 MAC Addressesを参照してください。
802.1Xの静的MACバイパスおよびMAC RADIUS認証の設定(CLI手順)
スイッチに静的 MAC バイパス リスト(除外リストとも呼ばれる)を構成して、RADIUS サーバーへの 802.1X または MAC RADIUS 認証要求なしで LAN へのアクセスを許可するデバイスの MAC アドレスを指定できます。
スタティック MAC バイパス リストを設定するには:
認証をバイパスするMACアドレスを指定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe
サプリカントが特定のインターフェイスを介して接続されている場合、認証をバイパスするように設定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5
認証後に特定のVLANに移動するサプリカントを設定します。
[edit protocols dot1x] user@switch# set authenticator static 00:04:0f:fd:ac:fe interface ge-0/0/5 vlan-assignment default-vlan
関連項目
例:EXシリーズスイッチでの802.1Xの静的MACバイパスおよびMAC RADIUS認証の設定
デバイスが認証なしで 802.1X で構成されたインターフェイスを介して LAN にアクセスできるようにするには、EX シリーズ スイッチで静的 MAC バイパス リストを構成します。静的 MAC バイパス リストは除外 リストとも呼ばれ、認証サーバーに要求を送信せずにスイッチで許可される MAC アドレスを指定します。
認証の静的 MAC バイパスを使用して、プリンターなど、802.1X 非対応のデバイスの接続を許可できます。ホストの MAC アドレスが静的 MAC アドレス リストと比較および照合された場合、応答しないホストが認証され、インターフェイスが開かれます。
この例では、2 台のプリンターの認証の静的 MAC バイパスを設定する方法について説明します。
要件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
この例は、QFX5100スイッチにも適用されます。
EXシリーズスイッチ向けJunos OSリリース9.0以降
認証コードのポートアクセスエンティティ (PAE) として動作する EX シリーズスイッチ 1 台。認証側PAEのポートは、サプリカントが認証されるまで、サプリカントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。
認証の静的 MAC バイパスを設定する前に、以下が完了していることを確認してください。
スイッチで基本的なブリッジングとVLAN設定が実行されていること。基本的なブリッジングとスイッチのVLANの設定について説明したドキュメントを参照してください。拡張レイヤー2ソフトウェア(ELS)設定スタイルをサポートするスイッチを使用している場合は、 例:ELS をサポートする EX シリーズスイッチの基本的なブリッジングと VLAN を設定する または 例: スイッチに基本的なブリッジングと VLAN の設定。その他のスイッチについては、例:EXシリーズスイッチの基本的なブリッジングとVLANの設定を参照してください。
ELSの詳細については、こちらをご覧ください。拡張レイヤー2ソフトウェアのCLIを使用します。
RADIUSサーバー接続を指定し、スイッチにアクセスプロファイルを設定。「例 :802.1XによるRADIUSサーバーとEXシリーズスイッチの接続例をご覧ください。
概要とトポロジー
プリンターに LAN へのアクセスを許可するには、静的 MAC バイパス リストに追加します。このリストの MAC アドレスは、RADIUS サーバーからの認証なしでアクセスが許可されます。
図 1 は、EX4200に接続された2台のプリンターを示しています。
この図は、QFX5100 スイッチにも適用されます。
表 1に示すインターフェイスは、認証の静的MACバイパス用に構成されます。
| プロパティ | 設定 |
|---|---|
スイッチ ハードウェア |
EX4200、24ギガビットイーサネットポート: 16個の非PoEポートと8個のPoEポート( |
VLAN名 |
|
統合されたプリンター/FAX/コピー機への接続(PoE 不要) |
|
MACアドレス00:04:0f:fd:ac:feのプリンターは、アクセスインターフェイス ge-0/0/19に接続されています。MAC アドレス 00:04:ae:cd:23:5f を持つ 2 台目のプリンターが、アクセス インターフェイス ge-0/0/20 に接続されます。両方のプリンターが静的リストに追加され、802.1X 認証がバイパスされます。
トポロジー
設定
手順
CLIクイック構成
スタティックMACバイパスリストを迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウにペーストします。
[edit] set protocols dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f] set protocols dot1x authenticator interface all supplicant multiple set protocols dot1x authenticator authenticaton-profile-name profile1
ステップバイステップでの手順
スタティック MAC バイパス リストを設定します。
静的 MAC アドレスとして MAC アドレス
00:04:0f:fd:ac:feと00:04:ae:cd:23:5fを構成します。[edit protocols] user@switch# set dot1x authenticator static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f]
802.1X 認証方法を構成します。
[edit protocols] user@switch# set dot1x authenticator interface all supplicant multiple
認証に使用する認証プロファイル名(アクセスプロファイル名)を設定します。
[edit protocols] user@switch# set dot1x authenticator authentication-profile-name profile1
注:アクセスプロファイルの設定は、802.1Xクライアントにのみ必要で、静的MACクライアントには必要ではありません。
結果
設定の結果の表示:
user@switch> show
interfaces {
ge-0/0/19 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
ge-0/0/20 {
unit 0 {
family ethernet-switching {
vlan members default;
}
}
}
}
protocols {
dot1x {
authenticator {
authentication-profile-name profile1
static [00:04:0f:fd:ac:fe 00:04:ae:cd:23:5f];
interface {
all {
supplicant multiple;
}
}
}
}
}
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
認証の静的 MAC バイパスの検証
目的
両方のプリンターの MAC アドレスが設定され、正しいインターフェイスに関連付けられていることを確認します。
アクション
以下の動作モードコマンドを発行します。
user@switch> show dot1x static-mac-address MAC address VLAN-Assignment Interface 00:04:0f:fd:ac:fe default ge-0/0/19.0 00:04:ae:cd:23:5f default ge-0/0/20.0
意味
出力フィールド MAC address には、2 つのプリンターの MAC アドレスが表示されます。
出力フィールド Interface は、MAC アドレス 00:04:0f:fd:ac:fe がインターフェイス ge-0/0/19.0 を介して LAN に接続できること、および MAC アドレス 00:04:ae:cd:23:5f がインターフェイス ge-0/0/20.0 を介して LAN に接続できることを示しています。