インターフェース / ポート認証
本製品は、スイッチポート上のポート認証機能としてMACベース認証機能を実装しています。
本マニュアルでは「LANポート」のことを、スイッチ製品にならって「スイッチポート」と表記しています。「LANポート」と「スイッチポート」は同じ意味ですので、適宜読み替えてください。また同様に、「スイッチ」は「LAN側スイッチ」のことを表しています。
MACベース認証機能を使用すると、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、ダイナミックVLAN機能により、認証に成功した機器を特定のVLANにアサインすることも可能です。
ポート認証機能をAMF接続ポート上で使用することはできません。詳細はAMFの導入編をご覧ください。
ポート認証機能をトランクグループ上(saX、poXインターフェース)で使用することはできません。
概要
MACベース認証のシステムは、通常下記の3要素から成り立っています。
- Authenticator(認証者)
ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果(成功・失敗)を受け取る)。
MACベース認証ではSupplicantのMACアドレスによって認証を行う(機器認証)。
- 認証サーバー(RADIUSサーバー)
Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント)
ポートへの接続時にAuthenticatorから認証を受ける機器。MACベースの認証を受けるために特殊な機能は必要ない。
本製品の各スイッチポートは、Authenticatorとして動作可能です。認証サーバー(RADIUSサーバー)は別途用意する必要がありますが、小規模環境では本製品内蔵のローカルRADIUSサーバーを使うこともできます(詳しくは「運用・管理」の「RADIUSサーバー」をご覧ください)。
システム起動時、認証ポートに接続されている未認証のMACベース認証Supplicantが、本製品のDHCPサーバーからIPアドレスを取得できることがあります。これは、ポート認証モジュールがDHCPサーバーモジュールよりも後に稼働状態になるためで一時的なものです。システムの起動が完了した後(ログインプロンプトが表示された後)は、未認証Supplicantの通信はできません。
認証方式
ポートに接続された機器の認証方法として、本製品ではMACベース認証をサポートしています。
- MACアドレスベース認証(以下、MACベース認証)
MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行う仕組み。Supplicant側に特殊な機能を必要としないため、認証サーバーにMACアドレスを登録するだけで使用できるという特徴がある。
MACベース認証では、認証成功したSupplicantのMACアドレスはFDBにダイナミックMACアドレスとして登録されます。したがってエージアウトによりFDBから削除されると、認証情報も削除(認証解除)されます。
ホストモード
ホストモードとは、ポート認証におけるスイッチポート固有の設定項目の1つです。あるポートにおいて、1台のSupplicantにだけポート越えの通信を許可するか、それとも複数のSupplicantに通信を許可するか、複数のSupplicantに通信を許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御するために使います。
初期状態では、すべてのスイッチポートがSingle-Hostモードに設定されています。これは1ポート・1Supplicantの構成を想定したモードで、各ポートにおいて最初に認証をパスしたSupplicantだけが通信を許可されます。HUBなどを介して1ポートに複数のSupplicantを接続しても、2番目以降のSupplicantは通信できません。1つのポートに複数のSupplicantを接続したい場合は、ホストモードをMulti-HostモードかMulti-Supplicantモードに変更する必要があります。
ホストモードには次の3種類があり、インターフェースモードのauth host-modeコマンドで変更できます。初期設定はSingle-Hostモードです。
- Single-Hostモード(単一ホストモード)
1ポートあたり1台のみ通信を許可するモード。最初に認証をパスしたSupplicantだけに通信を許可する
- Multi-Hostモード(複数ホスト相乗りモード)
1ポートあたり複数台の通信を許可するモード。最初のSupplicantが認証をパスすると、その後に接続したSupplicantは認証を行うことなく通信できる。Multi-HostモードでダイナミックVLANを利用する場合、2番目以降のSupplicantは認証を経ず、結果的に個別の VLAN IDを割り当てられないため、最初のSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用されることとなる
- Multi-Supplicantモード(複数ホスト個別認証モード)
1ポートあたり複数台の通信を許可するモード。個々のSupplicantをMACアドレスで識別し、個別に認証を行うことで1台ずつ通信の許可・拒否を決定する。Multi-SupplicantモードでダイナミックVLANを利用する場合は、最初に認証をパスしたSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用される。2番目以降のSupplicantのVLAN属性が最初のSupplicantのそれと異なる場合、初期設定では認証失敗となるが、設定を変更することにより認証成功として最初のSupplicantと同じVLANを割り当てることもできる(この設定はauth dynamic-vlan-creationコマンドのruleパラメーターで行う)
基本設定
ここでは、MACベース認証システムを運用するために最低限必要な設定を示します。
MACベース認証の設定は、おおよそ次の流れで行います。
- 認証サーバーの準備(機器情報の登録など)
MACベース認証では、実際の認証をRADIUSサーバーに依頼するため、あらかじめRADIUSサーバーを用意し、機器情報(MACアドレス)を登録しておいてください。
本製品内蔵のローカルRADIUSサーバーを利用する場合は、「運用・管理」の「RADIUSサーバー」を参照して、ローカルRADIUSサーバーの設定を済ませておいてください。
- 本製品のMACベース認証機能の設定
本製品のMACベース認証機能を使うためには、ルーターとしての基本設定以外に、最低限以下の設定が必要です。
- RADIUSクライアント機能の設定(認証サーバーの登録)
- MACベース認証機能の設定
認証サーバーの準備・設定
MACベース認証で使用するRADIUSサーバーには、ユーザーごとに下記の照合用属性を定義してください。
表 1:MACベース認証で使用する照合用RADIUS属性
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式(ハイフンあり、a~fは小文字)だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる |
| User-Password |
MACアドレスまたは共通パスワード |
認証対象機器のMACアドレス。通常は機器ごとにUser-Nameと同じ値を指定する。ただし、auth-mac passwordコマンドを設定している場合は、すべての機器に対して同コマンドで設定した共通パスワードを指定すること |
RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
本製品内蔵のローカルRADIUSサーバーについては、「運用・管理」の「RADIUSサーバー」をご参照ください。
本製品のMACベース認証機能の設定
ここでは、MACベース認証を使用する上で必要不可欠な設定内容に焦点を当てるため、次に示すようなシンプルな構成を想定します。
WAN側・LAN側のIPアドレスや経路など、IPの基本設定までは完了しているものとします。
- すべてのポートがvlan1(デフォルトVLAN)に所属
- vlan1にはIPアドレス192.168.10.1/24を設定
- 外部のRADIUSサーバーを使用
- ポート1.0.8(vlan1)に接続
- IPアドレス:192.168.10.5
- 共有パスワード:himitsu
- ポート1.0.1~1.0.4でポート認証を行う
- 各ポートでは1台の機器にだけ通信を許可する(Single-Hostモード)
- ダイナミックVLAN・ゲストVLANは使用しない
- MACベース認証で使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。これには、radius-server hostコマンドを使います。
RADIUSクライアント機能の詳細については、「運用・管理」の「RADIUSクライアント」をご覧ください。
awplus(config)# radius-server host 192.168.10.5 key himitsu ↓
- システム全体でMACベース認証機能を有効にします。これには、aaa authentication auth-macコマンドを使います。
awplus(config)# aaa authentication auth-mac default group radius ↓
- ポート1.0.1~1.0.4でMACベース認証を有効にします。これには、auth-mac enableコマンドを使います。
awplus(config)# interface port1.0.1-port1.0.4 ↓
awplus(config-if)# auth-mac enable ↓
- 複数端末を個別に認証するため、ホストモードをMulti-Supplicantモードに変更します。これには、auth host-modeコマンドを使います。
awplus(config-if)# auth host-mode multi-supplicant ↓
awplus(config-if)# exit ↓
- デフォルトで有効になっているスパニングツリープロトコルの動作を無効にします。これにはspanning-tree enableコマンドをno形式で実行します。
設定は以上です。
タグ付きポートでMACベース認証を使用するときは、ホストモード(auth host-modeコマンドで設定)をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できません。
同一ポート上でスパニングツリープロトコルとMACベース認証は併用できません。
応用設定
スイッチポートごとの詳細設定
ポート認証では、スイッチポートごとに各種の詳細設定が可能です。
次に設定可能な項目と設定コマンドをまとめます。ここで挙げるコマンドは、スイッチポート固有の設定をするためのものなので、すべてインターフェースモードで実行します。
なお、設定項目によっては、ポート単位だけでなく、Supplicantごとに個別の設定が可能なものもあります。
Supplicantが存在するスイッチポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。
表 2
| 設定項目 |
設定コマンド |
説明 |
| クリティカルポート |
auth critical |
すべてのRADIUSサーバーが無応答だった場合(認証期間中にすべてのRADIUSサーバーがDead状態になった場合)、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる |
| ダイナミックVLAN |
auth dynamic-vlan-creation |
ダイナミックVLANを有効にしたポートでは、認証をパスしたSupplicantを特定のVLANに動的に割り当てる。どのVLANに割り当てるかは、RADIUSサーバーから返された情報にしたがう。詳細は後述 |
| ゲストVLAN |
auth guest-vlan |
ゲストVLANを有効にしたポートでは、未認証のSupplicantをゲストVLANとして指定されたVLANに所属させる。通常、未認証時はポート越えの通信ができないが、ゲストVLAN所属の未認証Supplicant間であれば未認証時でも通信が可能となる。詳細は後述 |
| ホストモード |
auth host-mode |
1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する |
| 最大Supplicant数 |
auth max-supplicant |
複数のSupplicantに通信を許可する場合(Multi-HostモードかMulti-Supplicantモードのとき)、該当ポート配下からの通信を許可するSupplicantの最大数を指定する |
| 再認証 |
auth reauthentication |
再認証有効時は、認証に成功したSupplicantを定期的に再認証する(再認証の動作は認証方式によって異なる) |
| 再認証間隔 |
auth timeout reauth-period |
再認証有効時にSupplicantを再認証する間隔を指定する |
| 認証失敗後の抑止期間 |
auth timeout quiet-period |
認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する |
| RADIUSサーバー応答待ち時間 |
auth timeout server-timeout |
RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する |
| ローミング認証 |
auth roaming enable |
ローミング認証を有効にしたポート間では、一度認証をパスしたSupplicantが再認証を受けずに自由に移動して通信を継続できる。詳細は後述 |
| Auth-fail VLAN |
auth auth-fail vlan |
Auth-fail VLANを有効にしたポートでは、認証失敗したSupplicantをAuth-fail VLANとして指定されたVLANに所属させる |
| 認証の有効・無効 |
auth-mac enable |
対象ポートで該当する認証方式を有効・無効化する |
| RADIUS認証方式 |
auth-mac method |
RADIUSサーバーとの間で使用する認証方式をPAP、EAP-MD5から選択する |
| 再認証時の再学習 |
auth-mac reauth-relearning |
再認証を行うとき、SupplicantのMACアドレスをいったん削除して再学習するかどうかを設定する |
Supplicantごとの設定項目
スイッチポートごとの詳細設定項目にはさらに、Supplicant単位の設定が可能なものもあります。これは、auth supplicant-macコマンドで行います。
同コマンドを使用すると、特定のポートにおいて、特定のMACアドレスを持つSupplicantだけ無認証で通信を許可するなど、特定のSupplicantを特別扱いするような設定が可能です。
Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。
Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値(明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値)が使われます。
スイッチポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。
次にいくつか例を示します。
■ MACベース認証を行っているポート1.0.2~1.0.8において、MACアドレス0000.1122.3344を持つSupplicantだけは認証を行わずに常時通信を許可する。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized ↓
■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.f4cd.cdcd」に対してのみ再認証を行うよう設定する(ポート単位では再認証の設定をしていないと仮定します)。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication ↓
■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.1122.3344」の特別扱いをやめる。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# no auth supplicant-mac 0000.1122.3344 ↓
ポート認証設定のテンプレート化
ポート認証機能を使用するときの、各ポートへ入力する設定コマンドのテンプレート化が可能です。
通常、ポート認証機能を使用する際は、複数のコマンドを設定する必要がありますが、本機能を使用することで、複数のコマンドをテンプレートにまとめることが可能になり、ポートへはテンプレートのみの設定で済みます。
これにより、複数の認証ポートの作成を効率化することができます。
ポート認証設定のテンプレート化は、次の手順で行います。
- ポート認証プロファイルを作成します。グローバルコンフィグモードのauth profileコマンド使って、プロファイル名(テンプレート名)を作成します。
awplus(config)# auth profile macauth ↓
- プロファイル(テンプレート)内に含めたいコマンドを入力します(プロファイルに含めることができるコマンドは、「ポート認証プロファイルモード」のコマンドのみです)。
awplus(config-auth-profile)# auth-mac enable ↓
awplus(config-auth-profile)# auth host-mode multi-supplicant ↓
awplus(config-auth-profile)# auth max-supplicant 5 ↓
設定は以上です。
あとはインターフェースモードのauth profileコマンドで、作成したプロファイル(テンプレート)を設定したいポートに添付することで、テンプレート化したポート認証設定が行えます。
例:ポート「1.0.5~1.0.8」への「macauth」テンプレートの添付設定例
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# auth profile macauth ↓
ポート認証のインターフェースモードコマンドが設定されているポートにテンプレートを設定しようとすると上書きされてしまいますのでご注意ください。
一つのインターフェースが、複数のテンプレートを持つことはできません。 新しいテンプレートを作成する前に、既存のテンプレートを削除する必要があります。
ポート認証のインターフェースモードコマンド、およびテンプレート化のインターフェースモードコマンドは、同じインターフェースに設定することはできません。
使用中のテンプレートは削除することはできません。
ダイナミックVLAN
ダイナミックVLANは、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。
ダイナミックVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
ダイナミックVLANの基本的な動作は次のとおりです。
なお、以下の説明において「本来のVLAN」とはswitchport access vlanコマンドで指定したVLANのことを指します。
■ Single-Hostモード時は、下記のルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。2台目以降のSupplicantは無視され、認証を受けられないため、ポート越えの通信もできません。
表 3:Single-HostモードにおけるダイナミックVLANの動作
| ポートの状態 |
所属VLAN |
ポート越えの通信可否 |
| 未認証 |
ゲストVLANなし |
本来のVLAN |
不可 |
| ゲストVLANあり |
ゲストVLAN |
ゲストVLAN内のみ可 |
| 認証済み |
VLAN通知あり |
RADIUSサーバーから通知されたVLAN |
制限なし |
| VLAN通知なし |
本来のVLAN |
- 未認証(認証前、認証失敗後、および、未認証固定)ポートの動作は、ゲストVLAN(詳細は次節)の有効・無効によって異なります。
- ゲストVLAN無効時、未認証ポートは本来のVLAN所属となります。ポート越えの通信は不可能です。
- ゲストVLAN有効時、未認証ポートはゲストVLAN所属となります。ゲストVLANと同一のVLAN内にかぎり、ポート越えの通信(スイッチング)が可能です。
- RADIUSサーバーからのAccess-Acceptメッセージで有効なVLAN(製品上に登録されているVLAN)の情報が返ってきた場合、ポートはそのVLANの所属となります。認証成功となるため、ポート越えの通信も可能です。
- RADIUSサーバーからのAccess-Acceptメッセージで無効なVLAN(製品上に登録されていないVLAN)の情報が返ってきた場合、ポート認証機能としては認証失敗となります。そのため、ポートの所属は未認証時のもの(1.を参照)となります。
- RADIUSサーバーからのAccess-AcceptメッセージにVLANの情報が含まれていなかった場合、ポートは本来のVLAN所属となります。認証成功となるため、ポート越えの通信も可能です。
- 認証済みに固定設定されたポートは、本来のVLAN所属となります。認証済みなので、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
■ Multi-Hostモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-Hostモードと異なり、2台目以降のSupplicantは認証を受けることなくポート越えの通信が可能となります。なお、2台目以降は認証を受けないのでRADIUSサーバーからVLAN情報を受け取ることもなく、結果的に1台目と同じVLAN所属で通信することとなります。
■ Multi-Supplicantモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-HostモードやMulti-Hostモードとは異なり、2台目以降のSupplicantも個別に認証を受けますが、2台目以降のSupplicantへのVLAN割り当てルールは、auth dynamic-vlan-creationコマンドのruleパラメーターによって、次の2つから選択できます。
- rule deny(初期設定)
2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合、該当Supplicantは認証失敗となります。
- rule permit
2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合であっても、該当Supplicantを認証成功とします。ただし、該当Supplicantの所属VLANは1台目のSupplicantと同じになります(RADIUSサーバーの返却してきたVLAN情報は無視される)。
■ ポートがダイナミックVLANにアサインされているときは、switchport access vlanコマンドで該当ポートの所属VLANを変更することはできません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
- 認証済みのSupplicantがいなくなったとき
- リンクがダウンしたとき
- ポート上でポート認証が無効にされたとき
- システム上でポート認証が無効にされたとき
以下では、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、次のVLANをあらかじめ作成しておきます。
表 4
| VLAN |
所属ポート |
割り当て方法 |
用途 |
インターフェースのIPアドレス |
| vlan10 |
1.0.1 |
固定 |
RADIUSサーバー設置 |
172.16.10.1/24 |
| vlan100 |
(1.0.2-1.0.8) |
動的(ダイナミックVLAN) |
認証済みSupplicant収容 |
172.16.100.1/24 |
| vlan200 |
動的(ダイナミックVLAN) |
認証済みSupplicant収容 |
172.16.200.1/24 |
| vlan240 |
1.0.2-1.0.8 |
固定 |
未認証Supplicant収容 |
172.16.240.1/24 |
ここでは、ポート1.0.2~1.0.8でMACベース認証を行うものとします。
SupplicantのためのVLANは、vlan100、vlan200、vlan240の3つです。
接続した直後のSupplicantは未認証のため、ポート本来のVLAN所属となります。本例では、認証を行うポートをvlan240に所属させておくことで、未認証Supplicantがvlan240所属になるようにします。なお、本例ではゲストVLANを設定していないため、vlan240の所属ポート間での通信はできません。
認証をパスしたSupplicantは、RADIUSサーバー側から返されたVLAN IDの情報に基づき、自動的にvlan100、vlan200のどちらかにアサインされます。また、DHCPサーバーの設定により、割り当てられるIPアドレスも172.16.100.200~172.16.100.240(vlan100のとき)か、172.16.200.200~172.16.200.240(vlan200のとき)のどちらかに変更されます。
- VLANを作成します。
ダイナミックVLANによってSupplicantに割り当てるVLANは、あらかじめvlanコマンドで定義しておく必要があります。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10 name FixedVLAN10 ↓
awplus(config-vlan)# vlan 100 name DynamicVLAN100 ↓
awplus(config-vlan)# vlan 200 name DynamicVLAN200 ↓
awplus(config-vlan)# vlan 240 name InitialFixedVLAN240 ↓
awplus(config-vlan)# exit ↓
- 各スイッチポートをVLANに割り当てます。
ここでは、RADIUSサーバーを収容するポート1.0.1をvlan10に、ポート認証を行う1.0.2~1.0.8をvlan240に割り当てています。
vlan100とvlan200はダイナミックVLAN用なので、これらのVLANにポートを固定で割り当てることはしません。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# exit ↓
- 各VLANインターフェースにIPアドレスを設定します。
awplus(config)# interface vlan10 ↓
awplus(config-if)# ip address 172.16.10.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan100 ↓
awplus(config-if)# ip address 172.16.100.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan200 ↓
awplus(config-if)# ip address 172.16.200.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan240 ↓
awplus(config-if)# ip address 172.16.240.1/24 ↓
awplus(config-if)# exit ↓
- RADIUSサーバーのIPアドレスと共有パスワードを指定します。
awplus(config)# radius-server host 172.16.10.2 key himitsu ↓
- Supplicantを収容するvlan100、vlan200、vlan240では、DHCPサーバー機能を使ってIPアドレスの動的割り当てを行うよう設定します。vlan240用のDHCPプールでは、リース時間を最小の20秒に設定しています。これは、ダイナミックVLANによって所属VLANが変更された場合に、クライアントのIPアドレスもすばやく変更されるようするためです。
awplus(config)# ip dhcp pool DynamicVLAN100 ↓
awplus(dhcp-config)# network 172.16.100.0/24 ↓
awplus(dhcp-config)# range 172.16.100.200 172.16.100.240 ↓
awplus(dhcp-config)# default-router 172.16.100.1 ↓
awplus(dhcp-config)# lease 0 2 0 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# ip dhcp pool DynamicVLAN200 ↓
awplus(dhcp-config)# network 172.16.200.0/24 ↓
awplus(dhcp-config)# range 172.16.200.200 172.16.200.240 ↓
awplus(dhcp-config)# default-router 172.16.200.1 ↓
awplus(dhcp-config)# lease 0 2 0 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# ip dhcp pool InitialFixedVLAN240 ↓
awplus(dhcp-config)# network 172.16.240.0/24 ↓
awplus(dhcp-config)# range 172.16.240.200 172.16.240.240 ↓
awplus(dhcp-config)# default-router 172.16.240.1 ↓
awplus(dhcp-config)# lease 0 0 0 20 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# service dhcp-server ↓
- システム全体でMACベース認証を有効にします。
awplus(config)# aaa authentication auth-mac default group radius ↓
- ポート1.0.2~1.0.8でMACベース認証を行うよう設定し、ダイナミックVLANを有効にします。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
設定は以上です。
ゲストVLAN
ゲストVLANは、未認証時にのみ割り当てられる、同一VLAN内での通信が可能なVLANです。
ゲストVLANを設定していない場合、未認証の状態ではたとえ同一VLAN所属のポート間であっても通信できませんが、これらのポートに対して同じゲストVLANを設定しておけば、未認証状態でもゲストVLAN内にかぎって通信が可能になります。なお、認証にパスした後は、ゲストVLANではなくポート本来のVLAN、あるいは、ダイナミックVLANによって割り当てられたVLANの所属となります。
ゲストVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
ローミング認証が有効化されているポートではゲストVLANを使用できません。
ゲストVLANは、ホストモードがSingle-HostモードかMulti-Hostモードの場合のみ有効です。Multi-SupplicantモードのポートではゲストVLANを使用できません。
次に例を挙げながらゲストVLANの動作について説明します。
- ゲストVLANなし(ダイナミックVLANなし)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 240 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
- 認証成功後
ダイナミックVLANの設定はされていないため、認証にパスした後も所属VLANは変わらずvlan240のままですが、ポート認証機能による通信上の制限はなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANなし(ダイナミックVLANあり)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100,200,240 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
- 認証成功後
ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANあり(ダイナミックVLANなし)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 240,248 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth guest-vlan 248 ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません(認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません)。
- 認証成功後
ダイナミックVLANの設定はされていないため、認証にパスした後は本来のVLANであるvlan240の所属となり、ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANあり(ダイナミックVLANあり)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100,200,240,248 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth guest-vlan 248 ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません(認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません)。
- 認証成功後
ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
Auth-fail VLAN
Auth-fail VLANは、認証失敗時に割り当てられるVLANです。ハードウェアパケットフィルターを設定しAuth-fail VLANにアサインされたクライアントのアクセス制御が可能です。
Auth-fail VLANの設定は、auth auth-fail vlanコマンドで行います。
Auth-fail VLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
Auth-fail VLANへはRADIUSサーバーからAccess-Rejectを受信した場合のみアサインされ、タイムアウトによる認証失敗時はAuth-fail VLANへはアサインされません。
Auth-fail VLANは、ホストモードがSingle-HostモードかMulti-Hostモードの場合のみ使用できます。Multi-SupplicantモードのポートではAuth-fail VLANを使用できません。
MACベース認証とAuth-fail VLANの併用時、認証失敗したSupplicantがAuth-fail VLANの所属になったとき、各種showコマンドや各Supplicantの認証画面では「Authenticated」と表示されます。
ローミング認証
初期設定では、あるポートで認証をパスしたSupplicantが別の認証ポートに移動すると、移動前のポートから該当Supplicantの認証情報が削除され、移動先のポートで新たに認証を受けることになります。
一方、ローミング認証を有効化した認証ポート間では、一度認証をパスしたSupplicantが新たに認証を受けずに自由に移動して通信を継続できます。
ダイナミックVLANまたはゲストVLANが有効化されているポートではローミング認証を使用できません。
ローミング認証の基本的な仕様は次のとおりです。
- ローミング認証を行うポートはすべて同一の認証設定でなくてはならない。移動前と移動後のポートで認証関連の設定が異なる場合、移動先でSupplicantは再認証を受ける。
- 同一の認証設定であっても移動前と移動先のポートで所属VLANが異なる場合、移動先でSupplicantは再認証を受ける。
- MACベース認証が有効なポートから、認証が無効なポートに移動すると、移動前のポートからSupplicantの情報が削除される。そのため、その後再び元のポートに移動したときは認証を受ける。
- ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で新たに認証を受ける必要がある。
■ ローミング認証を有効化するには、auth roaming enableコマンドを使います。たとえば、MACベース認証が有効化されているポート1.0.2~1.0.8でローミング認証を有効化するには、次のようにします。
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# auth roaming enable ↓
アカウンティング(利用記録)
ポート認証機能では、アカウンティングをサポートしているRADIUSサーバーを利用して、Supplicantのログイン・ログアウトを記録することもできます。
本製品内蔵のローカルRADIUSサーバーは認証機能のみをサポートしており、アカウンティングはサポートしていません。
初期設定ではアカウンティングは無効です。
■ MACベース認証Supplicantのアカウンティングを有効にするには、aaa accounting auth-macコマンドを使います。ここでは、ログインとログアウトの両方を記録するため、対象イベントとしてstart-stopを指定しています。また、radius-server hostコマンドで登録したRADIUSサーバーを順に試行させるため、デフォルトのサーバーグループであるgroup radiusを指定しています。
awplus(config)# aaa accounting auth-mac default start-stop group radius ↓
RADIUSサーバーの設定項目
ポート認証機能を利用するために必要なRADIUSサーバー(認証サーバー)の設定項目について簡単に説明します。
RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
MACベース認証
MACベース認証において、ダイナミックVLANを使用しないときは、機器ごとに下記の照合用属性を定義してください。
表 5:MACベース認証で使用する照合用RADIUS属性
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式(ハイフンあり、a~fは小文字)だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる |
| User-Password |
MACアドレスまたは共通パスワード |
認証対象機器のMACアドレス。通常は機器ごとにUser-Nameと同じ値を指定する。ただし、auth-mac passwordコマンドを設定している場合は、すべての機器に対して同コマンドで設定した共通パスワードを指定すること |
ダイナミックVLAN
MACベース認証でダイナミックVLANを使用するときは、前述の照合用属性に加え、返却用属性として下記の3属性を追加設定してください。
表 6:ダイナミックVLAN用の返却用RADIUS属性
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN (13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802 (6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN IDかVLAN名 |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANのIDか名前(例:10, "sales") |
設定や状態の確認
■ ポート認証機能の全般的な情報は、show authコマンドで確認します。
たとえば、ポート1.0.5におけるポート認証の情報を確認したいときは次のようにします。
awplus# show auth interface port1.0.5 ↓
■ Supplicantの情報は、show auth supplicantコマンドで確認します。
たとえば、ポート1.0.5上のSupplicantを確認したいときは次のようにします。
awplus# show auth supplicant interface port1.0.5 ↓
briefオプションを付けると簡素な表示になります。
awplus# show auth supplicant interface port1.0.5 brief ↓
■ Supplicantのログイン情報は、show auth sessionstatisticsコマンドで確認します。
たとえば、ポート1.0.5上のSupplicantのログイン情報を確認したいときは次のようにします。
awplus# show auth sessionstatistics interface port1.0.5 ↓
(C) 2015 - 2019 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.Y