ルーティング インターフェイスでは、MAC アドレスを RADIUS サーバと照合して、802.1x 認証をサポートしていない LAN デバイスの 802.1x をバイパスすることができます。MAB は、認証が必要になる可能性のあるすべての MAC アドレスを手動で設定する必要をなくすことで、IT 運用を簡素化し、時間を節約し、スケーラビリティを強化します。
前提条件
- RADIUS サーバを設定し、Edge に追加する必要があります。認証サービスの設定を参照してください。
- MAB 機能を利用するには、RADIUS サーバに、バイパスする MAC アドレスのリストが含まれていることが必要です。
- RADIUS 認証は、VLAN を介した Edge のルーティングまたはスイッチング インターフェイスで、プロファイル レベルまたは Edge レベルで設定する必要があります。
注: リリース 5.2.0 以降、スイッチング ポートで使用する RADIUS ベースの MAB も VLAN でサポートされます。スイッチング ポートの VLAN で使用する場合、この機能には次の制限があります。
- L2 トラフィックは RADIUS MAB をトリガしません。
- ルーティングされたトラフィックが表示されるまで、L2 トラフィックは Linux ベースのスイッチでは転送されません。ハードウェア スイッチはすでに純粋な L2 トラフィックをフィルタリングしていないため、この制限は変更されません。
- ルーティングされたトラフィックが発生せず、RADIUS MAB がタイムアウト(デフォルトは 30 分)すると、L2 トラフィックは再度ブロックされます。
- 802.1x が有効の場合、自分宛てのパケットの 802.1x ステータスを確認する追加のフックによって、パフォーマンスが低下する可能性があります。
- 自分宛の Linux によって完全に管理されるトラフィックは、802.1x 認証(DHCP、DNS、ssh など)より前にフィルタリングされなくなります。
ルーティング インターフェイスの MAB の有効化
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。
- Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
- [接続 (Connectivity)] カテゴリで、[インターフェイス (Interfaces)] をクリックして展開します。
- [インターフェイス (Interfaces)] セクションには、選択した Edge で使用可能なインターフェイスのさまざまなタイプが表示されます。
- [インターフェイス (Interface)] をクリックして、RADIUS 認証用に設定されたルーティング インターフェイスを編集します。
- インターフェイスの [編集 (Edit)] 画面で、[RADIUS 認証 (RADIUS Authentication)] が設定されていることを確認し、[RADIUS ベースの MAB (MAC Address Authentication Bypass) を有効にする (Enable RADIUS based MAB (MAC Address Authentication Bypsss))] のチェックボックスをオンにします。
- [保存 (Save)] をクリックし、[デバイス (Device)] ページに戻ります。
- 右下隅にある [変更の保存 (Save Changes)] をクリックして、設定を適用します。
VLAN を使用したスイッチング ポートの MAB の有効化
- エンタープライズ ポータルの [SD-WAN] サービスで、 の順にクリックします。
- Edge へのリンクをクリックするか、Edge の [デバイス (Device)] 列にある [表示 (View)] リンクをクリックします。選択した Edge の設定オプションが [デバイス (Device)] タブに表示されます。
- [接続 (Connectivity)] カテゴリで、[VLAN] をクリックして展開します。
- [VLAN] セクションには、選択した Edge に対して設定されている VLAN が表示されます。
- [VLAN] をクリックして、RADIUS 認証用に設定された VLAN を編集します。
- インターフェイスの [編集 (Edit)] 画面で、[RADIUS 認証 (RADIUS Authentication)] が設定されていることを確認し、[RADIUS ベースの MAB (MAC Address Authentication Bypass) を有効にする (Enable RADIUS based MAB (MAC Address Authentication Bypsss))] のチェックボックスをオンにします。
- [完了 (DONE)] をクリックし、[デバイス (Device)] ページに戻ります。
- [接続 (Connectivity)] カテゴリに戻り、[インターフェイス (Interfaces)] をクリックして展開します。
- [インターフェイス (Interfaces)] セクションには、選択した Edge で使用可能なインターフェイスのさまざまなタイプが表示されます。
- [インターフェイス (Interface)] をクリックしてスイッチング インターフェイスを編集し、RADIUS 用に設定された VLAN を割り当てることができるようにします。
- VLAN を追加したら、[保存 (SAVE)] をクリックし、[デバイス (Device)] ページに戻ります。
- 右下隅にある [変更の保存 (Save Changes)] をクリックして、設定を適用します。