インターフェース / ポート認証


概要
認証方式
認証方式の併用
2ステップ認証
ホストモード
基本設定
802.1X認証
MACベース認証
Web認証
Web認証Supplicant側の操作
応用設定
スイッチポートごとの詳細設定
全認証方式共通の設定項目
認証方式ごとの設定項目
Supplicantごとの設定項目
ポート認証設定のテンプレート化
ダイナミックVLAN
マルチプルダイナミックVLAN環境で自らパケットを送信しない機器を利用するには
ゲストVLAN
L3モード エンハンスト ゲストVLAN
Auth-fail VLAN
ローミング認証
ダイナミックACL
ダイナミックACLの内容を定義する
ダイナミックACLを有効にする
ダイナミックACLの情報を確認する
Web認証サーバーの詳細設定
Web認証用DHCPサーバー
プロキシーサーバーを使用している環境でのWeb認証
インターセプトモード / プロミスキャスモード
Web認証画面のカスタマイズ
HTML/CSSファイルの編集によるカスタマイズ
編集対象ファイルの準備
ファイルの編集
編集済みファイルの配置(アップロード)
カスタマイズのとりやめ(初期状態への復帰)
コマンドによるカスタマイズ
ログイン画面を外部Webサーバーに設置することによるカスタマイズ
外部サーバーの用意
ログイン画面のHTMLファイル作成
ログイン画面を外部Webサーバーに設置
ログイン画面を本体のフラッシュメモリーに設置することによるカスタマイズ
ログイン画面のHTMLファイル作成
ログイン画面をweb-authディレクトリーに設置
アカウンティング(利用記録)
RADIUSサーバーの設定項目
802.1X認証
MACベース認証
Web認証
ダイナミックVLAN(各認証方式共通)
EAP透過機能
設定や状態の確認


本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。

ポート認証機能を使用すると、スイッチポートに接続された機器やその利用者(ユーザー)を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、ダイナミックVLAN機能により、認証に成功した機器を特定のVLANにアサインすることも可能です。

Note
ポート認証機能をAMF接続ポート上で使用することはできません。詳細はAMFの導入編をご覧ください。

概要

ポート認証のシステムは、通常下記の3要素から成り立っています。


本製品の各スイッチポートは、Authenticatorとして動作可能です。認証サーバー(RADIUSサーバー)は別途用意する必要がありますが、小規模環境では本製品内蔵のローカルRADIUSサーバーを使うこともできます(詳しくは「運用・管理」の「RADIUSサーバー」をご覧ください)。
Note
システム起動時、認証ポートに接続されている未認証の802.1X認証SupplicantやMACベース認証Supplicantが、本製品のDHCPサーバーからIPアドレスを取得できることがあります。これは、ポート認証モジュールがDHCPサーバーモジュールよりも後に稼働状態になるためで一時的なものです。システムの起動が完了した後(ログインプロンプトが表示された後)は、未認証Supplicantの通信はできません。

認証方式

ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、次の3種類をサポートしています。


Note
MACベース認証では、認証成功したSupplicantのMACアドレスはFDBにダイナミックMACアドレスとして登録されます。したがってエージアウトによりFDBから削除されると、認証情報も削除(認証解除)されます。802.1X認証とWeb認証では、認証成功したSupplicantのMACアドレスはFDBにスタティックMACアドレスとして登録されます。

認証方式の併用

本製品は、同一ポート上で複数の認証方式を併用することができます。

次に、可能な認証方式と認証順序の組み合わせを示します。


次に、複数の認証方式を併用する場合の基本動作(次項で述べる2ステップ認証無効時の動作)を示します。

[MACベース認証と他の方式が有効なとき]

  1. MACベース認証を実施


  2. 802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施


[MACベース認証が無効で、802.1X認証とWeb認証だけが有効なとき]

  1. 802.1X認証/Web認証のどちらか先に開始されたほうで認証を実施


複数の認証方式を併用する場合のポイントは次のとおりです。


2ステップ認証

複数の認証方式を併用する場合、初期設定では、前述のとおりいずれか1つの方式で認証に成功すれば通信が許可されますが、セキュリティーをより高めるため、2つの方式に成功したときだけ通信を許可するようにも設定できます。

この機能は「2ステップ認証」と呼び、スイッチポートごとにauth two-step enableコマンドで有効化できます。

2ステップ認証を有効にしたポートでは、SupplicantがMACベース認証/802.1X認証/Web認証のうち2つの認証方式を連続してパスしたときに初めて通信が許可されます。

2ステップ認証で認証成功となる組み合わせは次のとおりです。

次に、2ステップ認証を使用する際の留意事項を示します。


ホストモード

ホストモードとは、ポート認証におけるスイッチポート固有の設定項目の1つです。あるポートにおいて、1台のSupplicantにだけポート越えの通信を許可するか、それとも複数のSupplicantに通信を許可するか、複数のSupplicantに通信を許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御するために使います。

初期状態では、すべてのスイッチポートがSingle-Hostモードに設定されています。これは1ポート・1Supplicantの構成を想定したモードで、各ポートにおいて最初に認証をパスしたSupplicantだけが通信を許可されます。HUBなどを介して1ポートに複数のSupplicantを接続しても、2番目以降のSupplicantは通信できません。1つのポートに複数のSupplicantを接続したい場合は、ホストモードをMulti-HostモードかMulti-Supplicantモードに変更する必要があります。

ホストモードには次の3種類があり、インターフェースモードのauth host-modeコマンドで変更できます。初期設定はSingle-Hostモードです。


基本設定

本製品を使ってポート認証のシステムを運用するために最低限必要な設定を示します。
ポート認証の設定は、おおよそ次の流れで行います。

  1. 認証サーバーの準備(ユーザー・機器情報の登録など)
    ポート認証では、いずれの認証方式でも実際の認証をRADIUSサーバーに依頼するため、あらかじめRADIUSサーバーを用意し、ユーザー情報や機器情報(MACアドレス)を登録しておいてください。どのような情報を登録すべきかは、本解説編の「RADIUSサーバーの設定項目」のセクションで説明しています。
    小規模なネットワーク環境において本製品内蔵のローカルRADIUSサーバーを利用する場合は、「運用・管理」の「RADIUSサーバー」を参照して、ローカルRADIUSサーバーの設定を済ませておいてください。

  2. RADIUSクライアント機能の設定(認証サーバーの登録など)
    ポート認証システムにおいて本製品はAuthenticatorとして動作しますが、認証サーバー(RADIUSサーバー)とのやりとりにおいては、本製品はRADIUSクライアント(NAS = Network Access Server)としてふるまいます。そのため、最初にRADIUSクライアントとしての設定を行います。詳しくは「運用・管理」の「RADIUSクライアント」をご覧ください。

  3. ポート認証機能の設定
    ポート認証機能をシステム全体で有効化し、さらに各スイッチポートでもポート認証を有効化します。動作パラメーターの調整はおもにスイッチポートごとに行います。
ここでは、1の「認証サーバーの準備」については触れません。ご使用のRADIUSサーバーのマニュアルをご覧になるか、「運用・管理」の「RADIUSサーバー」をご覧ください。

2の「認証サーバーの登録」は、ここでは各認証方式で共通のサーバーを使用する設定だけを示します。認証方式ごとに異なるサーバーを使用する方法、および、より詳しい設定方法については「運用・管理」の「RADIUSクライアント」をご覧ください。

3の「ポート認証機能の設定」は、各認証方式で共通なものと異なるものがありますが、ここではごく基本的な設定にしか触れません。以下の基本設定例は、次の構成を前提としています。


Note
本製品でWeb認証を使用する場合、Web認証サーバーは仮想アドレスで待ち受ける必要があります。そのためには、auth-web-server ipaddressコマンドかauth-web-server dhcp ipaddressコマンドの設定が必要です。

802.1X認証

本製品を802.1X認証のAuthenticatorとして使用する場合の基本設定を示します。

  1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
    awplus(config)# interface vlan1
    awplus(config-if)# ip address 172.16.10.1/24
    awplus(config-if)# exit
    

  2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
    awplus(config)# radius-server host 172.16.10.2 key himitsu
    

  3. システム全体で802.1X認証機能を有効にします。
    awplus(config)# aaa authentication dot1x default group radius
    

  4. ポート1.0.2~1.0.8で802.1X認証を行うよう設定します。
    awplus(config)# interface port1.0.2-port1.0.8
    awplus(config-if)# dot1x port-control auto
    

    Note
    認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

設定は以上です。

Note
プライベートVLANの所属ポート、ポートセキュリティーが有効なポートでは802.1X認証を使用できません。

Note
トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体(saX、poXインターフェース)のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます(たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される)。

Note
タグ付きポートで802.1X認証を使用するときは、ホストモード(auth host-modeコマンドで設定)をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できません。

Note
802.1X認証のSupplicantがログオフしても、ステータスがConnectingになりません。

MACベース認証

本製品をMACベース認証のAuthenticatorとして使用する場合の基本設定を示します。

  1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
    awplus(config)# interface vlan1
    awplus(config-if)# ip address 172.16.10.1/24
    awplus(config-if)# exit
    

  2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
    awplus(config)# radius-server host 172.16.10.2 key himitsu
    

  3. システム全体でMACベース認証機能を有効にします。
    awplus(config)# aaa authentication auth-mac default group radius
    

  4. ポート1.0.2~1.0.8でMACベース認証を行うよう設定します。
    awplus(config)# interface port1.0.2-port1.0.8
    awplus(config-if)# auth-mac enable
    awplus(config-if)# exit
    

  5. スパニングツリープロトコルの動作を無効にします。spanning-tree enableコマンドをno形式で実行します。


設定は以上です。

Note
プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではMACベース認証を使用できません。

Note
トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体(saX、poXインターフェース)のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます(たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される)。

Note
タグ付きポートでMACベース認証を使用するときは、ホストモード(auth host-modeコマンドで設定)をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できません。

Note
同一ポート上でスパニングツリープロトコルとMACベース認証は併用できません。

Web認証

本製品をWeb認証のAuthenticatorとして使用する場合の基本設定を示します。

Note
ここでは、Webアクセスにプロキシーサーバーを使用していない環境を想定しています。プロキシーサーバーを使用している環境での追加設定については、「プロキシーサーバーを使用している環境でのWeb認証」で解説します。

Note
本製品でWeb認証を使用する場合、Web認証サーバーは仮想アドレスで待ち受ける必要があります。そのためには、auth-web-server ipaddressコマンドかauth-web-server dhcp ipaddressコマンドの設定が必要です。本例では手順5~6でこの設定を行っています。
Note
Web認証、ダイナミックvlan使用時は、auth timeout connect-timeoutコマンドを使用し、デフォルトの30秒より長い時間を設定してください。(例:auth timeout connect-timeout 120)

  1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
    awplus(config)# interface vlan1
    awplus(config-if)# ip address 172.16.10.1/24
    awplus(config-if)# exit
    

    Note
    ここではRADIUSサーバーがvlan1上にあるものと仮定しています。他のVLAN上にあるときは、RADIUSサーバーまでの経路を適切に設定してください。

  2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
    awplus(config)# radius-server host 172.16.10.2 key himitsu
    

  3. Web認証では、Webブラウザーで本製品にアクセスして認証を受けるため、Supplicantは認証前でもIPアドレスが必要です。ここでは、DHCPサーバー機能を利用して、認証前のSupplicantにIPアドレスを割り当てます。なお、本例ではダイナミックVLANを使用しないため、認証後も同じIPアドレスを使い続ける前提で以下の設定をしています。
    awplus(config)# ip dhcp pool webauth
    awplus(dhcp-config)# network 172.16.10.0/24
    awplus(dhcp-config)# range 172.16.10.200 172.16.10.240
    awplus(dhcp-config)# default-router 172.16.10.1
    awplus(dhcp-config)# lease 0 2 0
    awplus(dhcp-config)# subnet-mask 255.255.255.0
    awplus(dhcp-config)# exit
    awplus(config)# service dhcp-server
    

  4. システム全体でWeb認証機能を有効にします。
    awplus(config)# aaa authentication auth-web default group radius
    

  5. Web認証サーバーに仮想アドレス10.10.10.1を設定します。
    また、仮想アドレス宛てのパケットをCPUに送るためのハードウェアアクセスリストを作成します。
    awplus(config)# auth-web-server ipaddress 10.10.10.1
    awplus(config)# access-list 3000 send-to-cpu ip any 10.10.10.1/32
    

  6. ポート1.0.2~1.0.8でWeb認証を行うよう設定します。
    また、仮想アドレス宛てのパケットをCPUに送るため、Web認証ポートにハードウェアパケットフィルターを適用します。
    awplus(config)# interface port1.0.2-port1.0.8
    awplus(config-if)# auth-web enable
    awplus(config-if)# access-group 3000
    awplus(config-if)# exit
    

    Note
    認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

設定は以上です。

Note
プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではWeb認証を使用できません。

Note
トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体(saX、poXインターフェース)のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます(たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される)。

Note
タグ付きポートでWeb認証を使用するときは、ホストモード(auth host-modeコマンドで設定)をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できません。

Note
ハードウェアによるフィルタリング機能が使用するシステム内部領域が、わずかの時にWeb認証ポートがリンクアップへと推移すると、Web認証はセキュリティーの適用に失敗します。

Note
Web認証に使用するインターフェースと、認証を行う端末の間ではルーティングを行わないでください。ルーティングを行い認証をした場合、正常に認証処理ができなくなります。

Note
同一スイッチポート上においてWeb認証とポリシーベースQoSは併用できません。

Note
Web認証を使用するときは、service httpコマンドでWebサーバー機能を無効化しないでください。

Note
クライアント側で表示される認証画面の言語はデフォルトで英語に設定されていますが、auth-web-server page languageコマンドで日本語へ変更することが可能です。

Web認証Supplicant側の操作

本設定では、Web認証Supplicantとなる機器でDHCPクライアント機能を有効にしておくことを前提としています。

上記の設定後、ポート1.0.2~1.0.8に機器を接続すると、本製品のDHCPサーバー機能によって172.16.10.200~172.16.10.240の範囲からIPアドレスが割り当てられます。

次にこれらの機器上でWebブラウザーを起動し、URL欄に「http://172.16.10.1/」と入力して本製品宛てにWebアクセスを行うと、次のような認証画面が表示されます。
Note
初期状態で有効になっているHTTPリダイレクト機能により、10.10.10.1、172.16.20.1など、本製品経由でルーティングされるアドレスを指定した場合も、ブラウザーが172.16.10.1にリダイレクトされます。

Note
Internet Explorerのバージョンによっては、HTTPS経由でWeb認証サーバーにアクセスしてから認証ページが表示されるまでに十数秒を要する場合があります。


認証を受けるには、「User name」欄にユーザー名を、「Password」欄にパスワードを入力して「login」ボタンをクリックしてください。すると、次のような認証中画面が表示されます。


認証に成功すると次のような画面が表示され、ポート越えの通信が可能になります。この画面で「logout」をクリックすると、明示的なログアウト(認証済み→未認証へのリセット)が可能です。


認証に失敗した場合は次の画面が表示されます。


認証失敗時のメッセージには次の種類があります。


応用設定

スイッチポートごとの詳細設定

ポート認証では、スイッチポートごとに各種の詳細設定が可能です。

次に設定可能な項目と設定コマンドをまとめます。ここで挙げるコマンドは、スイッチポート固有の設定をするためのものなので、すべてインターフェースモードで実行します。

なお、スイッチポート固有の設定項目は、すべての認証方式で共通で使われるものと、特定の認証方式で使われるものがあります。また、設定項目によっては、ポート単位だけでなく、Supplicantごとに個別の設定が可能なものもあります。

Note
Supplicantが存在するスイッチポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。

全認証方式共通の設定項目

以下の項目は、対象ポートで有効化されているすべての認証方式に適用されます。

表 1
設定項目
設定コマンド
説明
802.1X認証
MACベース認証
Web認証
クリティカルポート
auth critical
すべてのRADIUSサーバーが無応答だった場合(認証期間中にすべてのRADIUSサーバーがDead状態になった場合)、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる
ダイナミックVLAN
auth dynamic-vlan-creationコマンド
ダイナミックVLANを有効にしたポートでは、認証をパスしたSupplicantを特定のVLANに動的に割り当てる。どのVLANに割り当てるかは、RADIUSサーバーから返された情報にしたがう。詳細は後述
ゲストVLAN
auth guest-vlanコマンド
ゲストVLANを有効にしたポートでは、未認証のSupplicantをゲストVLANとして指定されたVLANに所属させる。通常、未認証時はポート越えの通信ができないが、ゲストVLAN所属の未認証Supplicant間であれば未認証時でも通信が可能となる。詳細は後述
ホストモード
auth host-mode
1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する
最大Supplicant数
auth max-supplicant
複数のSupplicantに通信を許可する場合(Multi-HostモードかMulti-Supplicantモードのとき)、該当ポート配下からの通信を許可するSupplicantの最大数を指定する
再認証
auth reauthentication
再認証有効時は、認証に成功したSupplicantを定期的に再認証する(再認証の動作は認証方式によって異なる)
再認証間隔
auth timeout reauth-periodコマンド
再認証有効時にSupplicantを再認証する間隔を指定する
認証失敗後の抑止期間
auth timeout quiet-periodコマンド
認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する
RADIUSサーバー応答待ち時間
auth timeout server-timeout
RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する
ローミング認証
auth roaming enableコマンド
ローミング認証を有効にしたポート間では、一度認証をパスしたSupplicantが再認証を受けずに自由に移動して通信を継続できる。詳細は後述
ローミング認証リンクダウン対応
auth roaming disconnectedコマンド
ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で再認証が必要となるが、本オプションを有効化すれば、ポートがリンクダウンしても認証情報が保持されるため、再認証なしでのポート間移動が可能となる。詳細は後述
Auth-fail VLAN
auth auth-fail vlanコマンド
Auth-fail VLANを有効にしたポートでは、認証失敗したSupplicantをAuth-fail VLANとして指定されたVLANに所属させる
ダイナミックACL
auth dynamic-acl enableコマンド
ダイナミックACLを有効にしたポートでは、認証成功時にRADIUSサーバーからACLの情報を取得して認証ポートに適用する

認証方式ごとの設定項目

以下の項目は、認証方式ごとに設定を行います。特定の認証方式でしか設定できない項目もあります。

表 2
設定項目
設定コマンド
説明
802.1X認証
MACベース認証
Web認証
認証の有効・無効 dot1x port-controlコマンド auth-mac enableコマンド auth-web enableコマンド 対象ポートで該当する認証方式を有効・無効化する
RADIUS認証方式 なし auth-mac method auth-web method MACベース認証、Web認証時、RADIUSサーバーとの間で使用する認証方式をPAP、EAP-MD5から選択する
再認証時の再学習 なし auth-mac reauth-relearningコマンド なし MACベース認証で再認証を行うとき、SupplicantのMACアドレスをいったん削除して再学習するかどうかを設定する
未認証時の特定パケット転送 なし なし auth-web forwardコマンド Web認証時、未認証Supplicantからの特定のパケットを同一VLAN内のポートに転送するよう設定する
Supplicant接続後タイムアウト なし なし auth timeout connect-timeoutコマンド Web認証SupplicantがConnecting状態になってから認証状態を削除するまでの時間を設定する
認証試行回数 dot1x max-auth-failコマンド なし auth-web max-auth-failコマンド 何回認証に失敗したら該当Supplicantからの認証要求を一時的に拒否するかを設定する
EAPOLのバージョン dot1x eapol-versionコマンド なし なし 802.1X認証で使用するEAPOLのバージョンを設定する
認証時の再送回数 dot1x max-reauth-reqコマンド なし なし 802.1X認証を行うとき、EAPOL-Requestパケットを何回まで再送するかを設定する
Supplicant応答待ち時間 auth timeout supp-timeoutコマンド なし なし 802.1X認証でSupplicantからの応答を待つ時間を指定する

Supplicantごとの設定項目

スイッチポートごとの詳細設定項目にはさらに、Supplicant単位の設定が可能なものもあります。これは、auth supplicant-macコマンドで行います。

同コマンドを使用すると、特定のポートにおいて、特定のMACアドレスを持つSupplicantだけ無認証で通信を許可するなど、特定のSupplicantを特別扱いするような設定が可能です。

Note
Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。

Note
Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値(明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値)が使われます。

Note
スイッチポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。

次にいくつか例を示します。

■ 802.1X認証とWeb認証を行っているポート1.0.2~1.0.8において、MACアドレス0000.1122.3344を持つSupplicantだけは認証を行わずに常時通信を許可する。
awplus(config)# interface port1.0.2-1.0.8
awplus(config-if)# dot1x port-control auto
awplus(config-if)# auth-web enable
awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized

Note
dot1x port-controlコマンドの設定は802.1X認証にのみ適用されますが、auth supplicant-macコマンドのport-controlパラメーターはすべての認証方式に適用されます。

■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.f4cd.cdcd」に対してのみ再認証を行うよう設定する(ポート単位では再認証の設定をしていないと仮定します)。
awplus(config)# interface port1.0.2-1.0.8
awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication

■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.1122.3344」の特別扱いをやめる。
awplus(config)# interface port1.0.2-1.0.8
awplus(config-if)# no auth supplicant-mac 0000.1122.3344

ポート認証設定のテンプレート化

ポート認証機能を使用するときの、各ポートへ入力する設定コマンドのテンプレート化が可能です。

通常、ポート認証機能を使用する際は、複数のコマンドを設定する必要がありますが、本機能を使用することで、複数のコマンドをテンプレートにまとめることが可能になり、ポートへはテンプレートのみの設定で済みます。
これにより、複数の認証ポートの作成を効率化することができます。

たとえば、学校の教室レイアウト変更における設定作業において、ポート「1.0.5~1.0.8」に「学生」向けの認証設定をする場合は、下記のようにテンプレート名「student」を作成してコマンドを集約、複数のポートにテンプレート名「student」を設定することで、大幅に設定作業を簡略化できます。


・テンプレート化前
awplus(config)# interface port1.0.5-1.0.8
awplus(config-if)# auth-web enable
awplus(config-if)# auth host-mode multi-supplicant
awplus(config-if)# auth auth-fail vlan 40
awplus(config-if)# auth dynamic-vlan-creation
awplus(config-if)# auth-web max-auth-fail 2
・テンプレート化後
awplus(config)# interface port1.0.5-1.0.8
awplus(config-if)# auth profile student


ポート認証設定のテンプレート化は、次の手順で行います。
  1. ポート認証プロファイルを作成します。グローバルコンフィグモードのauth profileコマンド使って、プロファイル名(テンプレート名)を作成します。
    awplus(config)# auth profile student
    
  2. プロファイル(テンプレート)内に含めたいコマンドを入力します(プロファイルに含めることができるコマンドは、「ポート認証プロファイルモード」のコマンドのみです)。
    awplus(config-auth-profile)# auth-web enable
    awplus(config-auth-profile)# auth host-mode multi-supplicant
    awplus(config-auth-profile)# auth auth-fail vlan 40
    awplus(config-auth-profile)# auth dynamic-vlan-creation
    awplus(config-auth-profile)# auth-web max-auth-fail 2
    

設定は以上です。


あとはインターフェースモードのauth profileコマンドで、作成したプロファイル(テンプレート)を設定したいポートに添付することで、テンプレート化したポート認証設定が行えます。

例:ポート「1.0.5~1.0.8」への「student」テンプレートの添付設定例
awplus(config)# interface port1.0.5-1.0.8
awplus(config-if)# auth profile student

Note
ポート認証のインターフェースモードコマンドが設定されているポートにテンプレートを設定しようとすると上書きされてしまいますのでご注意ください。
Note
一つのインターフェースが、複数のテンプレートを持つことはできません。 新しいテンプレートを作成する前に、既存のテンプレートを削除する必要があります。
Note
ポート認証のインターフェースモードコマンド、およびテンプレート化のインターフェースモードコマンドは、同じインターフェースに設定することはできません。
Note
使用中のテンプレートは削除することはできません。

ダイナミックVLAN

ダイナミックVLANは、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。

Note
ダイナミックVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
Note
Web認証、ダイナミックvlan使用時は、auth timeout connect-timeoutコマンドを使用し、デフォルトの30秒より長い時間を設定してください。(例:auth timeout connect-timeout 120)

ダイナミックVLANの基本的な動作は次のとおりです。
なお、以下の説明において「本来のVLAN」とはswitchport access vlanコマンドで指定したVLANのことを指します。

■ Single-Hostモード時は、下記のルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。2台目以降のSupplicantは無視され、認証を受けられないため、ポート越えの通信もできません。

表 3:Single-HostモードにおけるダイナミックVLANの動作
ポートの状態
所属VLAN
ポート越えの通信可否
未認証 ゲストVLANなし 本来のVLAN 不可
ゲストVLANあり ゲストVLAN ゲストVLAN内のみ可
認証済み VLAN通知あり RADIUSサーバーから通知されたVLAN 制限なし
VLAN通知なし 本来のVLAN

  1. 未認証(認証前、認証失敗後、および、未認証固定)ポートの動作は、ゲストVLAN(詳細は次節)の有効・無効によって異なります。


  2. RADIUSサーバーからのAccess-Acceptメッセージで有効なVLAN(製品上に登録されているVLAN)の情報が返ってきた場合、ポートはそのVLANの所属となります。認証成功となるため、ポート越えの通信も可能です。

  3. RADIUSサーバーからのAccess-Acceptメッセージで無効なVLAN(製品上に登録されていないVLAN)の情報が返ってきた場合、ポート認証機能としては認証失敗となります。そのため、ポートの所属は未認証時のもの(1.を参照)となります。

  4. RADIUSサーバーからのAccess-AcceptメッセージにVLANの情報が含まれていなかった場合、ポートは本来のVLAN所属となります。認証成功となるため、ポート越えの通信も可能です。

  5. 認証済みに固定設定されたポートは、本来のVLAN所属となります。認証済みなので、ポート越えの通信も可能です。

  6. 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。

■ Multi-Hostモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-Hostモードと異なり、2台目以降のSupplicantは認証を受けることなくポート越えの通信が可能となります。なお、2台目以降は認証を受けないのでRADIUSサーバーからVLAN情報を受け取ることもなく、結果的に1台目と同じVLAN所属で通信することとなります。

■ Multi-Supplicantモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-HostモードやMulti-Hostモードとは異なり、2台目以降のSupplicantも個別に認証を受けますが、2台目以降のSupplicantへのVLAN割り当てルールは、auth dynamic-vlan-creationコマンドのtypeパラメーターとruleパラメーターの組み合わせによって、次の3パターンから選択できます。


■ ポートがダイナミックVLANにアサインされているときは、switchport access vlanコマンドで該当ポートの所属VLANを変更することはできません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。


以下では、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

また、本製品をL2スイッチとして使用している環境においてWeb認証とダイナミックVLANを併用する場合は、認証前のVLANと認証後のVLAN間で通信できるよう、上位にL3スイッチを配置してルーティングを行わせる必要があります。
Note
Web認証使用時に認証前後でSupplicantの所属VLANが変更される場合、本製品をL2スイッチとして使用している場合でも認証前後の両方のVLANインターフェースにIPアドレスを設定してください。そうでない場合、認証成功画面が表示されないことがあります。

ここでは、次のVLANをあらかじめ作成しておきます。

表 4
VLAN
所属ポート
割り当て方法
用途
インターフェースのIPアドレス
vlan10 1.0.1 固定 RADIUSサーバー設置 172.16.10.1/24
vlan100 (1.0.2-1.0.24) 動的(ダイナミックVLAN) 認証済みSupplicant収容 172.16.100.1/24
vlan200 動的(ダイナミックVLAN) 認証済みSupplicant収容 172.16.200.1/24
vlan240 1.0.2-1.0.24 固定 未認証Supplicant収容 172.16.240.1/24

ここでは、ポート1.0.2~1.0.16で802.1X認証とWeb認証を併用し、ポート1.0.17~1.0.24でMACベース認証を行うものとします。

SupplicantのためのVLANは、vlan100、vlan200、vlan240の3つです。

接続した直後のSupplicantは未認証のため、ポート本来のVLAN所属となります。本例では、認証を行うポートをvlan240に所属させておくことで、未認証Supplicantがvlan240所属になるようにします。DHCPサーバーの設定により、vlan240所属時は172.16.240.200~172.16.240.240の範囲のIPアドレスが割り当てられます。なお、本例ではゲストVLANを設定していないため、vlan240の所属ポート間での通信はできません。

認証をパスしたSupplicantは、RADIUSサーバー側から返されたVLAN IDの情報に基づき、自動的にvlan100、vlan200のどちらかにアサインされます。また、DHCPサーバーの設定により、割り当てられるIPアドレスも172.16.100.200~172.16.100.240(vlan100のとき)か、172.16.200.200~172.16.200.240(vlan200のとき)のどちらかに変更されます。

  1. VLANを作成します。
    ダイナミックVLANによってSupplicantに割り当てるVLANは、あらかじめvlanコマンドで定義しておく必要があります。
    awplus(config)# vlan database
    awplus(config-vlan)# vlan 10 name FixedVLAN10
    awplus(config-vlan)# vlan 100 name DynamicVLAN100
    awplus(config-vlan)# vlan 200 name DynamicVLAN200
    awplus(config-vlan)# vlan 240 name InitialFixedVLAN240
    awplus(config-vlan)# exit
    

  2. 各スイッチポートをVLANに割り当てます。
    ここでは、RADIUSサーバーを収容するポート1.0.1をvlan10に、ポート認証を行う1.0.2~1.0.24をvlan240に割り当てています。
    vlan100とvlan200はダイナミックVLAN用なので、これらのVLANにポートを固定で割り当てることはしません。
    awplus(config)# interface port1.0.1
    awplus(config-if)# switchport access vlan 10
    awplus(config-if)# exit
    awplus(config)# interface port1.0.2-1.0.24
    awplus(config-if)# switchport access vlan 240
    awplus(config-if)# exit
    

  3. 各VLANインターフェースにIPアドレスを設定します。
    awplus(config)# interface vlan10
    awplus(config-if)# ip address 172.16.10.1/24
    awplus(config-if)# exit
    awplus(config)# interface vlan100
    awplus(config-if)# ip address 172.16.100.1/24
    awplus(config-if)# exit
    awplus(config)# interface vlan200
    awplus(config-if)# ip address 172.16.200.1/24
    awplus(config-if)# exit
    awplus(config)# interface vlan240
    awplus(config-if)# ip address 172.16.240.1/24
    awplus(config-if)# exit
    

  4. RADIUSサーバーのIPアドレスと共有パスワードを指定します。
    awplus(config)# radius-server host 172.16.10.2 key himitsu
    

  5. Supplicantを収容するvlan100、vlan200、vlan240では、DHCPサーバー機能を使ってIPアドレスの動的割り当てを行うよう設定します。vlan240用のDHCPプールでは、リース時間を最小の20秒に設定しています。これは、ダイナミックVLANによって所属VLANが変更された場合に、クライアントのIPアドレスもすばやく変更されるようするためです。
    awplus(config)# ip dhcp pool DynamicVLAN100
    awplus(dhcp-config)# network 172.16.100.0/24
    awplus(dhcp-config)# range 172.16.100.200 172.16.100.240
    awplus(dhcp-config)# default-router 172.16.100.1
    awplus(dhcp-config)# lease 0 2 0
    awplus(dhcp-config)# subnet-mask 255.255.255.0
    awplus(dhcp-config)# exit
    awplus(config)# ip dhcp pool DynamicVLAN200
    awplus(dhcp-config)# network 172.16.200.0/24
    awplus(dhcp-config)# range 172.16.200.200 172.16.200.240
    awplus(dhcp-config)# default-router 172.16.200.1
    awplus(dhcp-config)# lease 0 2 0
    awplus(dhcp-config)# subnet-mask 255.255.255.0
    awplus(dhcp-config)# exit
    awplus(config)# ip dhcp pool InitialFixedVLAN240
    awplus(dhcp-config)# network 172.16.240.0/24
    awplus(dhcp-config)# range 172.16.240.200 172.16.240.240
    awplus(dhcp-config)# default-router 172.16.240.1
    awplus(dhcp-config)# lease 0 0 0 20
    awplus(dhcp-config)# subnet-mask 255.255.255.0
    awplus(dhcp-config)# exit
    awplus(config)# service dhcp-server
    

  6. システム全体で802.1X認証、MACベース認証、Web認証を有効にします。
    awplus(config)# aaa authentication dot1x default group radius
    awplus(config)# aaa authentication auth-mac default group radius
    awplus(config)# aaa authentication auth-web default group radius
    

  7. Web認証サーバーに仮想アドレス10.10.10.1を設定します。
    また、仮想アドレス宛てのパケットをCPUに送るためのハードウェアアクセスリストを作成します。
    awplus(config)# auth-web-server ipaddress 10.10.10.1
    awplus(config)# access-list 3000 send-to-cpu ip any 10.10.10.1/32
    

  8. ポート1.0.2~1.0.16で802.1X認証とWeb認証を行うよう設定します。

  9. ポート1.0.17~1.0.24でMACベース認証を行うよう設定します。

設定は以上です。

■ ハッシュキーを生成するアルゴリズムを変更するにはplatform mac-vlan-hashing-algorithmコマンドを使用します。
awplus(config)# platform mac-vlan-hashing-algorithm crc16l 

マルチプルダイナミックVLAN環境で自らパケットを送信しない機器を利用するには

マルチプルダイナミックVLANを利用しているポートに、通常のPCだけでなく、自らパケットを送信しないプリンターなどの機器(以下、プリンター)を接続した場合は、後述する設定を行わないとPCからプリンターへの通信ができません。

理由は次のとおりです。

この場合は、IPサブネットVLANとダイナミックVLANを併用することにより、上記制限を回避することが可能です。
Note
ただし、IPサブネットVLANとダイナミックVLANを併用した場合、プリンターに対してもブロードキャスト送信ができるようになりますが、認証されていない機器にブロードキャストを出力する動作となるため、セキュリティー面での制限となることをあらかじめご理解ください。このため、本回避策で使用するIPサブネットVLANの設定は必要箇所のみに限定してください。

たとえば、マルチプルダイナミックVLAN+MACベース認証が有効なポート1(port1.0.1)にPCと2台のプリンターを接続している次の環境を想定します。


この場合、下記青字部分のIPサブネットVLAN設定を追加することで、プリンターA、Bが未認証であっても該当ポートからプリンターに対するARP要求がブロードキャストされるようになります。これを受けてプリンターもARP応答を送信するため、MAC認証が実行され、プリンターのMACアドレスが本来所属すべきVLANに移動することができます。
vlan database
  vlan 51-53 state enable
!
vlan classifier rule 1 ipv4 192.168.51.0/24 vlan 51
vlan classifier rule 2 ipv4 192.168.52.0/24 vlan 52
vlan classifier rule 3 ipv4 192.168.53.0/24 vlan 53
vlan classifier group 1 add rule 1
vlan classifier group 1 add rule 2
vlan classifier group 1 add rule 3
!
interface port1.0.1
 switchport
 switchport mode access
 vlan classifier activate 1
 auth-mac enable
 auth host-mode multi-supplicant
 auth dynamic-vlan-creation type multi

ゲストVLAN

ゲストVLANは、未認証時にのみ割り当てられる、同一VLAN内での通信が可能なVLANです。

ゲストVLANを設定していない場合、未認証の状態ではたとえ同一VLAN所属のポート間であっても通信できませんが、これらのポートに対して同じゲストVLANを設定しておけば、未認証状態でもゲストVLAN内にかぎって通信が可能になります。なお、認証にパスした後は、ゲストVLANではなくポート本来のVLAN、あるいは、ダイナミックVLANによって割り当てられたVLANの所属となります。

Note
ゲストVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

Note
ゲストVLANを、ホストモード(auth host-modeコマンド)がMulti-Supplicantモードのポートで使用する場合は、マルチプルダイナミックVLANを使用する必要があります。

Note
DHCP SnoopingとゲストVLAN(auth guest-vlanコマンド)は併用できません。

Note
Web認証とゲストVLANを併用しているスイッチポートでは、ゲストVLAN内でスイッチングされるパケットのうち、終点IPアドレスがゲストVLANのサブネット範囲外のものが破棄されます。このため、該当スイッチポートの未認証Supplicantは、別のスイッチポートに接続された本製品とは別のルーター(同一ゲストVLAN所属)を経由してもゲストVLAN外のホストと通信することができません。これを許可するには、auth guest-vlan forwardコマンドかauth-web forwardコマンドを使います。

Note
802.1X認証、MACベース認証だけが有効な状態でゲストVLANを使用する場合、認証前Supplicantに対してDHCPでIPアドレスを付与することはできません。IPアドレスの付与が必要な場合はWeb認証を有効にしてください。

Note
Web認証使用時に認証前後でSupplicantの所属VLANが変更される場合、本製品をL2スイッチとして使用している場合でも認証前後の両方のVLANインターフェースにIPアドレスを設定してください。そうでない場合、認証成功画面が表示されないことがあります。

Note
ゲストVLANやAuth-fail VLANはあくまでも一時的な利用を目的としたVLANのため、VLAN内の通信は通常のVLANと異なりソフトウェア処理となります。そのため、通信量が多い場合はCPUに負荷がかかりますのでご注意ください。

次に802.1X認証の例を挙げながらゲストVLANの動作について説明します。



L3モード エンハンスト ゲストVLAN

Note
Web認証使用時に認証前後でSupplicantの所属VLANが変更される場合、本製品をL2スイッチとして使用している場合でも認証前後の両方のVLANインターフェースにIPアドレスを設定してください。そうでない場合、認証成功画面が表示されないことがあります。
Note
Web認証を使用する場合、auth-web-server ipaddressコマンドかauth-web-server dhcp ipaddressコマンドでWeb認証サーバーの仮想アドレスを設定してください。
以下の設定例では、ゲストVLANであるvlan248(192.168.248.0/24)内の未認証Supplicantは、同一VLAN内および192.168.10.5のホストとだけ通信が可能となります。


auth-web-server ipaddress 10.10.10.1
access-list 3000 send-to-cpu ip any 10.10.10.1/32
!
interface port1.0.2-port1.0.7
 auth-web enable
 access-group 3000
 auth guest-vlan 248 
 auth guest-vlan forward 192.168.10.5
 auth dynamic-vlan-creation
!
interface port1.0.8
 auth-web enable
 auth guest-vlan 248
 auth dynamic-vlan-creation
!
!
interface vlan10
 ip address 192.168.10.1/24
!
interface vlan100
 ip address 192.168.100.1/24
!
interface vlan248
 ip address 192.168.248.1/24

Auth-fail VLAN

Auth-fail VLANは、認証失敗時に割り当てられるVLANです。ハードウェアパケットフィルターを設定しAuth-fail VLANにアサインされたクライアントのアクセス制御が可能です。
Auth-fail VLANの設定は、auth auth-fail vlanコマンドで行います。

Note
Auth-fail VLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

Note
Auth-fail VLANへはRADIUSサーバーからAccess-Rejectを受信した場合のみアサインされ、タイムアウトによる認証失敗時はAuth-fail VLANへはアサインされません。

Note
Auth-fail VLANを、ホストモード(auth host-modeコマンド)がMulti-Supplicantモードのポートで使用する場合は、マルチプルダイナミックVLANを使用する必要があります。

Note
各認証方式とAuth-fail VLAN併用時、認証失敗したSupplicantがAuth-fail VLANの所属になったとき、各種showコマンドや各Supplicantの認証画面では「Authenticated」と表示されます。

Note
Web認証使用時に認証前後でSupplicantの所属VLANが変更される場合、本製品をL2スイッチとして使用している場合でも認証前後の両方のVLANインターフェースにIPアドレスを設定してください。そうでない場合、認証成功画面が表示されないことがあります。

Note
認証失敗が最大回数に達するとAuth-fail VLANにアサインします。最大回数は認証方式ごとに設定できます。

Note
ゲストVLANやAuth-fail VLANはあくまでも一時的な利用を目的としたVLANのため、VLAN内の通信は通常のVLANと異なりソフトウェア処理となります。そのため、通信量が多い場合はCPUに負荷がかかりますのでご注意ください。

ローミング認証

初期設定では、あるポートで認証をパスしたSupplicantが別の認証ポートに移動すると、移動前のポートから該当Supplicantの認証情報が削除され、移動先のポートで新たに認証を受けることになります。

一方、ローミング認証を有効化した認証ポート間では、一度認証をパスしたSupplicantが新たに認証を受けずに自由に移動して通信を継続できます。

Note
ダイナミックVLAN、ゲストVLANが有効化されているポートでローミング認証を使用するときは、ホストモード(auth host-modeコマンド)をMulti-Supplicantモードに設定し、ダイナミックVLANの割り当て方法を「Supplicant単位のVLAN割り当て」(auth dynamic-vlan-creationコマンドで「type multi」(マルチプルダイナミックVLAN)を指定)に設定してください。

Note
DHCP Snoopingとローミング認証(auth roaming enableコマンド)は併用できません。

ローミング認証の基本的な仕様は次のとおりです。


■ ローミング認証を有効化するには、auth roaming enableコマンドを使います。たとえば、MACベース認証が有効化されているポート1.0.2~1.0.8でローミング認証を有効化するには、次のようにします。
awplus(config)# interface port1.0.2-port1.0.8
awplus(config-if)# auth roaming enable

■ Supplicantの移動にともなって移動前のポートがリンクダウンするような環境(例:ポートにSupplicantが直結されているような環境)でも再認証なしでのポート間移動を可能にするには、auth roaming disconnectedコマンドでリンクダウン対応オプションを有効化します。
awplus(config)# interface port1.0.2-port1.0.8
awplus(config-if)# auth roaming disconnected
Note
MACベース認証ポートでリンクダウン対応オプションを使用するためには、グローバルコンフィグモードのauth-mac staticコマンドでMACベース認証Supplicantのスタティック登録を有効にする必要があります。
awplus(config)# auth-mac static
Note
リンクダウン対応オプションは、トランクグループでは使えません。

ダイナミックACL

ダイナミックACLは、Supplicant認証時にRADIUSサーバーからアクセスリスト(ACL)の情報を取得して認証ポートに適用する機能です。
本機能ではSupplicantごとにACLを設定することができるため、ポート認証機能において、接続時の認証に加え、ACLによる動的なトラフィック制御が可能になります。

ダイナミックACLの基本仕様は次のとおりです。

ダイナミックACLの設定は次の流れで行います。
  1. ダイナミックACLの内容を定義する
  2. 認証ポートでダイナミックACLを有効にする
以下、それぞれの手順を説明します。

ダイナミックACLの内容を定義する

ダイナミックACLの内容は機器(MACアドレス)やユーザーごとに定義します。
これには2通りの方法があります。

■ 装置(Authenticator)側で定義したACLの番号または名前をRADIUSサーバー側で指定する場合は、次の手順で設定します。
  1. 装置側でアクセスリストを定義します。ダイナミックACLで使用できるのは、次のアクセスリストです。

    たとえば、ここでは次のようなアクセスリストを定義したものとします。
    awplus(config)# access-list 3000 permit ip 192.168.1.0/24 192.168.2.0/24
    awplus(config)# access-list 3001 deny ip 192.168.1.0/24 any
    awplus(config)# ipv6 access-list v6acl001
    awplus(config-ipv6-hw-acl)# deny tcp 2001:db8:10:aaaa::/64 any lt 1024
    

  2. RADIUSサーバー側で各機器・ユーザーに適用するACLの番号または名前を指定します。これには、RADIUSのFilter-Id属性(文字列)を使用します。
    たとえば、次のような属性値を登録することで、認証成功時に該当Supplicantの接続ポートに指定した番号/名前のACLを適用させることができます。
    Filter-Id属性を複数登録した場合は、その順序でACLが適用されます。
    RADIUSサーバーの設定方法については、ご使用のRADIUSサーバーのマニュアルをご参照ください。
    Filter-Id = "3000"
    Filter-Id = "3001"
    Filter-Id = "v6acl001"
    
    Note
    本製品内蔵のローカルRADIUSサーバー機能では、次のようにユーザーグループごとにattributeコマンド(RADIUSサーバー・ユーザーグループモード)でFilter-Id属性の指定が可能です。同属性を複数登録したいときはrepeatedオプションを忘れずに指定してください。
    機器・ユーザーとFilter-Id属性を関連付けるには、userコマンド(RADIUSサーバーモード)で機器やユーザーを登録するときに、groupパラメーターでユーザーグループを指定します。詳しくは「運用・管理」/「RADIUSサーバー」をご覧ください。
    awplus(config-radsrv)# group dynAclById
    awplus(config-radsrv-group)# attribute repeated Filter-Id "3000"
    awplus(config-radsrv-group)# attribute repeated Filter-Id "3001"
    awplus(config-radsrv-group)# attribute repeated Filter-Id "v6acl001"
    awplus(config-radsrv-group)# exit
    awplus(config-radsrv)# user 00-00-5e-00-53-01 password 00-00-5e-00-53-01 group dynAclById
    

■ ACLの内容そのものをRADIUSサーバー側に登録する場合は、次の手順で設定します。
  1. RADIUSサーバー側で各機器・ユーザーに適用するACLルールの内容を指定します。これには、RADIUSのNAS-Filter-Rule属性(文字列)を使用します。
    同属性値には、IPv4パケットが対象の場合は「ip:」、IPv6パケットが対象の場合は「ipv6:」に続けて、下記コマンド書式のACTION以降を記述します。
    ただし、ACTION は permit と deny しか使用できません。

    次に具体的な記述例を示します。
    1~2行目はIPv4に対するルール、3行目はIPv6に対するルールです。
    NAS-Filter-Rule属性を複数登録した場合は、その順序で指定したACLルールが適用されます。
    RADIUSサーバーの設定方法については、ご使用のRADIUSサーバーのマニュアルをご参照ください。
    NAS-Filter-Rule = "ip:permit ip 192.168.10.0/24 192.168.20.0/24"
    NAS-Filter-Rule = "ip:deny ip 192.168.10.0/24 any"
    NAS-Filter-Rule = "ipv6:deny tcp 2001:db8:10:ffff::/64 any lt 1024"
    
    Note
    本製品内蔵のローカルRADIUSサーバー機能では、次のようにユーザーグループごとにattributeコマンド(RADIUSサーバー・ユーザーグループモード)でNAS-Filter-Rule属性の指定が可能です。同属性を複数登録したいときはrepeatedオプションを忘れずに指定してください。
    機器・ユーザーとNAS-Filter-Rule属性を関連付けるには、userコマンド(RADIUSサーバーモード)で機器やユーザーを登録するときに、groupパラメーターでユーザーグループを指定します。詳しくは「運用・管理」/「RADIUSサーバー」をご覧ください。
    awplus(config-radsrv)# group dynAclByRule
    awplus(config-radsrv-group)# attribute repeated NAS-Filter-Rule "ip:permit ip 192.168.10.0/24 192.168.20.0/24"
    awplus(config-radsrv-group)# attribute repeated NAS-Filter-Rule "ip:deny ip 192.168.10.0/24 any"
    awplus(config-radsrv-group)# attribute repeated NAS-Filter-Rule "ipv6:deny tcp 2001:db8:10:ffff::/64 any lt 1024"
    awplus(config-radsrv-group)# exit
    awplus(config-radsrv)# user 00-00-5e-00-53-02 password 00-00-5e-00-53-02 group dynAclByRule
    
Note

ダイナミックACLを有効にする

ダイナミックACLの内容を定義したら、認証ポートでダイナミックACLを有効にします。
認証ポートの初期設定ではダイナミックACLは無効です。
ダイナミックACLを使用する場合は、認証ポートに対してauth dynamic-acl enableコマンドを実行します。
awplus(config)# interface port1.0.1
awplus(config-if)# auth dynamic-acl enable

ダイナミックACLの情報を確認する

ダイナミックACL機能による以下の設定はランニングコンフィグに表示されず、設定にも保存できません。

これらの情報を確認するには、以下のshowコマンドを使用します。

■ 動的に生成されたACLルールの内容はshow access-listコマンドで確認できます。
awplus# show access-list 
Hardware IP access list 3000
    4 permit ip 192.168.1.0/24 192.168.2.0/24
Hardware IP access list 3001
    4 deny ip 192.168.1.0/24 any
Hardware IP access list dacl-port1.0.2-0000.5e00.5302 (dynamic)
    4 permit ip 192.168.10.0/24 192.168.20.0/24
    8 deny ip 192.168.10.0/24 any
Hardware IPv6 access list dacl-port1.0.2-0000.5e00.5302-ipv6 (dynamic)
    4 deny tcp 2001:db8:10:ffff::/64 any lt 1024

■ 認証ポートに適用されたダイナミックACLはshow interface access-groupコマンドで確認できます。
awplus# show interface port1.0.2 access-group 
Interface port1.0.2
  access-group dacl-port1.0.2-0000.5e00.5302
  access-group dacl-port1.0.2-0000.5e00.5302-ipv6

■ 動的に生成・適用されたACLルールの内容はshow auth supplicantshow dot1x supplicantコマンドでも確認できます。
awplus# show auth supplicant 
Interface port1.0.2
...
  Supplicant name: 00-00-5e-00-53-02
  Supplicant address: 0000.5e00.5302
...
    dynamicACL Rules:
      ip:permit ip 192.168.10.0/24 192.168.20.0/24
      ip:deny ip 192.168.10.0/24 any
      ipv6:deny tcp 2001:db8:10:ffff::/64 any lt 1024

Web認証サーバーの詳細設定

Web認証では、本製品内蔵の認証用Webサーバー(Web認証サーバー)を利用してユーザー認証を行います。

Web認証サーバーは、Web認証機能を有効にすると自動的に有効化されるため特別な設定は不要ですが、オプションの設定項目として次のものがあります。

表 5
設定項目
設定コマンド
説明
待ち受けIPアドレス(仮想アドレス)
auth-web-server ipaddress
Web認証サーバーにアクセスするためのIPアドレスを設定する
待ち受けTCPポート
auth-web-server port
Web認証サーバーの待ち受けTCPポート番号を初期値の80(HTTPS無効時)、443(HTTPS有効時)から変更したい場合に指定する
HTTPS(SSL)
auth-web-server ssl
通常のHTTPではなくHTTPSでアクセスを受け付けるように設定する。SSLサーバー証明書は、初期状態ではファームウェア組み込みのものが自動的に使われる。独自に取得した証明書を使いたい場合は、copyコマンドのweb-auth-https-fileキーワードを使ってインストールすること。また、インストールした証明書はリモートホストなどへコピーできないため注意すること
セッションキープ
auth-web-server session-keep
HTTPリダイレクト機能有効時にリダイレクト前のURLを記憶しておき、Web認証成功後に記憶しておいたURLにリダイレクトさせる機能。後述する認証後リダイレクト機能と本機能の両方を設定した場合は、本機能のほうが優先される
認証後リダイレクト
auth-web-server redirect-url
Web認証成功後、あらかじめ設定しておいたURLにWebブラウザーをリダイレクトさせる機能。前述のセッションキープ機能と本機能の両方を設定している場合は、セッションキープ機能のほうが有効となる
リダイレクト前待機時間
auth-web-server redirect-delay-time
セッションキープと認証後リダイレクト機能において、Web認証成功後、Webブラウザーをリダイレクトさせるまでの待機時間
Supplicant監視
auth-web-server ping-poll enable
認証にパスしたSupplicantの存在をPingパケットで定期的に監視し、応答がなくなったら該当Supplicantがログアウトしたと見なす機能。動作調整用に以下のパラメーターが存在する
Supplicant監視 応答時再認証タイマーリセット
auth-web-server ping-poll reauth-timer-refresh
再認証有効時、Web認証サーバーのSupplicant監視機能においてPing応答があった場合に再認証タイマーをリセットしたい場合に設定する
Ping送信間隔
auth-web-server ping-poll interval
Pingパケットの送信間隔
Ping応答待ち時間
auth-web-server ping-poll timeout
Pingパケットの応答待ち時間
Supplicant不在しきい値
auth-web-server ping-poll failcount
Supplicantがいなくなったと判断するPing無応答の回数を設定する
DHCPサーバーアドレス(仮想アドレス)
auth-web-server dhcp ipaddress
Web認証サーバーのDHCPサーバーを有効化する。またDHCPサーバー、Web認証サーバーのIPアドレスも指定する
DHCPリース期間
auth-web-server dhcp lease
Web認証サーバーのDHCPサーバーのリース期間を指定する
DHCP WPAD(PACファイルURL)
auth-web-server dhcp wpad-option
Webブラウザーのプロキシー自動検出機能(WPAD)に対応して、Web認証用DHCPサーバーがプロキシー自動構成ファイル(PACファイル)のURLを返答するよう設定する
HTTPリダイレクト対象TCPポート
auth-web-server intercept-port
プロキシー環境でWeb認証を使用する場合は、本コマンドでプロキシーサーバーの待ち受けTCPポート番号を設定することにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクトが働くようになる
HTTPSリダイレクト対象TCPポート
auth-web-server ssl intercept-port
プロキシー環境でWeb認証を使用する場合は、本コマンドでプロキシーサーバーの待ち受けTCPポート番号を設定することにより、プロキシーサーバー経由のHTTPS通信に対しても、HTTPSリダイレクトが働くようになる
リダイレクト時ホスト名
auth-web-server host-name
HTTPSリダイレクト機能がSupplicantにリダイレクト先URLを通知するとき、通常はWeb認証サーバーの待ち受けIPアドレスを使うが、本コマンドを設定している場合は指定したホスト名をURLに含める。独自証明書でHTTPSを使っているとき、本コマンドで証明書のCommon Name(CN)と一致するホスト名を設定することにより、Supplicant(Webブラウザー)の警告を出ないようにすることが可能
認証ページカスタマイズ タイトル文字列
auth-web-server page title
認証ページ共通ヘッダーのタイトル文字列を変更する(日本語は使用不可)
サブタイトル文字列
auth-web-server page sub-title
認証ページ共通ヘッダーのサブタイトル文字列を変更する(日本語は使用不可)
画像ファイル
auth-web-server page logo
認証ページ共通ヘッダーの画像ファイルを制御する
ウェルカムメッセージ
auth-web-server page welcome-message
ログイン画面の入力フォームの横に任意のメッセージを表示させる(日本語は使用不可)
認証成功メッセージ
auth-web-server page success-message
認証成功画面に追加のメッセージを表示させる(日本語は使用不可)
言語切り替え
auth-web-server page language
認証画面に表示されるメッセージの言語を変更する

Web認証用DHCPサーバー

Web認証用DHCPサーバーを使用すると、本製品のDHCPサーバー機能を使用せずに認証前のSupplicantにIPアドレスなどのIP設定パラメーターを提供することが可能です。
提供できるパラメーターは、IPアドレス、リースタイム、ゲートウェイアドレス、DNSサーバーアドレスになります。
本機能は認証前のSupplicantにのみIP設定パラメーターを提供します。
認証成功後は、本製品のDHCPサーバー、または外部のDHCPサーバーからIP設定パラメーターの提供を受ける必要があります。
Web認証用DHCPサーバーの設定は、auth-web-server dhcp ipaddressコマンド、auth-web-server dhcp leaseコマンドで行います。

プロキシーサーバーを使用している環境でのWeb認証

Webアクセスをプロキシーサーバー経由で行っている環境でWeb認証を行うためには、Web認証機能やWeb認証サーバーに対して追加設定が必要です。


Webブラウザーのプロキシー設定を手動で行う場合
Webブラウザーにプロキシーサーバーの情報(アドレス、ポートなど)を固定設定して運用する場合は、Web認証の基本設定に下記の設定を追加してください。

ここでは、本製品(Web認証サーバー)のIPアドレス、およびプロキシーサーバーのアドレス・ポートが下記のとおりであると仮定します。


[本製品の設定]
  1. Web認証サーバーに仮想アドレス10.10.10.1を設定します。
    また、仮想アドレス宛てのパケットをCPUに送るため、Web認証ポートにハードウェアパケットフィルターを適用します。
    awplus(config)# auth-web-server ipaddress 10.10.10.1
    awplus(config)# access-list 3000 send-to-cpu ip any 10.10.10.1/32
    awplus(config)# interface port1.0.1-1.0.8
    awplus(config-if)# access-group 3000
    

  2. HTTPリダイレクト対象のTCPポートにプロキシーサーバーのポートを追加します。これには、auth-web-server intercept-portコマンドを使います。
    これにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクト機能が働くようになります。
    awplus(config)# auth-web-server intercept-port 8080
    

    Note
    Supplicantのプロキシーサーバー設定の[例外]に、AuthenticatorのIPアドレスまたはホスト名が正しく登録されていない場合、プロキシー要求のループが発生することがありますが、これを検知しSupplicantのWebブラウザー上に警告メッセージを表示することができます。設定は、auth-web-server intercept-portコマンドで「any」を指定します。

[Supplicant(Webブラウザー)の設定]
Webブラウザーのプロキシーサーバー設定を次のようにしてください。
Note
プロキシーサーバー設定の[例外]にWeb認証サーバーのIPアドレスを設定しない場合、認証成功後、Web認証サーバーへアクセスできなくなります。

Webブラウザーのプロキシー設定をPACファイルで提供する場合(本製品がPACファイルサーバーになる場合)
プロキシー設定情報を、本製品に置いたプロキシー自動構成ファイル(PACファイル)の形で提供する場合は、Web認証の基本設定に下記の設定を追加してください。

なお、PACファイルの場所(URL)は、WebブラウザーにURLを固定設定する場合と、プロキシー自動検出機能(WPAD = Web Proxy Auto-Detection)によってWebブラウザーが自動取得する場合がありますが、以下の設定はどちらにも対応します。

ここでは、本製品(Web認証サーバー/DHCPサーバー/PACサーバー)のIPアドレス、PACファイルのURL、およびプロキシーサーバーのアドレス・ポートが下記のとおりであると仮定します。


[PACファイルの用意]
あらかじめ、ネットワーク環境にあったPACファイルを用意しておきます。
そのとき、Web認証サーバーへのアクセスが、プロキシーを使用しない直接通信になるよう注意してください。
具体的には、Web認証サーバーのIPアドレスやホスト名に対し、戻り値として "DIRECT" を返すよう記述してください。

次に示すPACファイルのサンプルでは、10.10.10.1 へのアクセスは、プロキシーサーバーを経由せず直接アクセスし、それ以外の宛先へのアクセスは、IPアドレス 192.168.10.5、ポート 8080 のプロキシーサーバー経由でアクセスするよう指示しています。
function FindProxyForURL(url, host){
    if(isPlainHostName(host) || shExpMatch(host, "10.10.10.1")){
         return "DIRECT";
    }else{
         return "PROXY 192.168.10.5:8080; DIRECT";
    }
}

[本製品の設定]
  1. 本製品をPACファイルサーバーとして動作させるため、TFTPサーバー192.168.10.10上に用意したPACファイル「ourproxy.pac」を、本製品のWebサーバー機能にインストールします。これには、copyコマンドのproxy-autoconfig-fileオプションを使います。
    awplus# copy tftp://192.168.10.10/ourproxy.pac proxy-autoconfig-file
    

    これにより、Webブラウザーからは以下のURLでインストールしたPACファイルにアクセスできるようになります(インストール元のファイル名にかかわらず、URLのファイル名部分はproxy.pac固定です)。
    http://本製品のIPアドレス/proxy.pac
    
    Note
    PACファイルには未認証Supplicantからもアクセスできます。また、Web認証が無効のときでも前記URLからPACファイルの取得が可能です。ただし、Web認証サーバーでHTTPS(auth-web-server ssl)を使用している場合は、未認証SupplicantがPACファイルを取得できません。HTTPS使用時は、次項「本製品以外のPACファイルサーバーを使う場合」にしたがい、本製品以外のPACファイルサーバーからPACファイルを取得するようにしてください。

  2. HTTPリダイレクト対象のTCPポートにプロキシーサーバーのポートを追加します。これには、auth-web-server intercept-portコマンドを使います。
    これにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクト機能が働くようになります。
    awplus# configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    awplus(config)# auth-web-server intercept-port 8080
    

    Note
    Supplicantのプロキシーサーバー設定の[例外]に、AuthenticatorのIPアドレスまたはホスト名が正しく登録されていない場合、プロキシー要求のループが発生することがありますが、これを検知しSupplicantのWebブラウザー上に警告メッセージを表示することができます。設定は、auth-web-server intercept-portコマンドで「any」を指定します。

  3. Webブラウザーのプロキシー自動検出機能(WPAD)によるPACファイルURLの問い合わせに応答できるよう、Web認証用DHCPサーバーを有効化し、WPADオプションとしてPACファイルのURLを登録します。また、Web認証サーバーに仮想アドレス10.10.10.1を設定します。
    これには、auth-web-server dhcp ipaddressコマンドとauth-web-server dhcp wpad-optionコマンドを使います。
    awplus(config)# auth-web-server dhcp ipaddress 10.10.10.1/24
    awplus(config)# auth-web-server dhcp wpad-option http://10.10.10.1/proxy.pac
    
    Note
    WPADをサポートしていないブラウザーの場合は、ここで指定したPACファイルのURLを手動設定します。

  4. 仮想アドレス宛てのパケットをCPUに送るため、Web認証ポートにハードウェアパケットフィルターを適用します。
    awplus(config)# access-list 3000 send-to-cpu ip any 10.10.10.1/32
    awplus(config)# interface port1.0.1-1.0.8
    awplus(config-if)# access-group 3000
    

[Supplicant(Webブラウザー)の設定]
Webブラウザーのプロキシーサーバー設定を次のいずれかにしてください。
あるいは

Webブラウザーのプロキシー設定をPACファイルで提供する場合(本製品以外のPACファイルサーバーを使う場合)
前述のとおり、Web認証サーバーでHTTPS(auth-web-server ssl)を使用している場合は、本製品のPACファイルサーバー機能ではなく、本製品以外のPACファイルサーバーを使う必要があります。

プロキシー設定情報を、本製品以外のPACファイルサーバー上に置いたプロキシー自動構成ファイル(PACファイル)の形で配布している場合は、Web認証の基本設定に下記の設定を追加してください。

なお、PACファイルの場所(URL)は、WebブラウザーにURLを固定設定する場合と、プロキシー自動検出機能(WPAD = Web Proxy Auto-Detection)によって自動取得する場合がありますが、以下の設定はどちらにも対応します。

ここでは、本製品(Web認証サーバー)のIPアドレス、PACファイルのURL、およびプロキシーサーバーのアドレス・ポートが下記のとおりであると仮定します。


[PACファイルの用意]
あらかじめ、ネットワーク環境にあったPACファイルを用意しておきます。
そのとき、Web認証サーバーへのアクセスが、プロキシーを使用しない直接通信になるよう注意してください。
具体的には、Web認証サーバーのIPアドレスやホスト名に対し、戻り値として "DIRECT" を返すよう記述してください。

次に示すPACファイルのサンプルでは、10.10.10.1 へのアクセスは、プロキシーサーバーを経由せず直接アクセスし、それ以外の宛先へのアクセスは、IPアドレス 192.168.10.5、ポート 8080 のプロキシーサーバー経由でアクセスするよう指示しています。
function FindProxyForURL(url, host){
    if(isPlainHostName(host) || shExpMatch(host, "10.10.10.1")){
         return "DIRECT";
    }else{
         return "PROXY 192.168.10.5:8080; DIRECT";
    }
}

[本製品の設定]
  1. Web認証サーバーに仮想アドレス10.10.10.1を設定します。
    また、仮想アドレス宛てのパケットをCPUに送るため、Web認証ポートにハードウェアパケットフィルターを適用します。
    awplus(config)# auth-web-server ipaddress 10.10.10.1
    awplus(config)# access-list 3000 send-to-cpu ip any 10.10.10.1/32
    awplus(config)# interface port1.0.1-1.0.8
    awplus(config-if)# access-group 3000
    

  2. HTTPリダイレクト対象のTCPポートにプロキシーサーバーのポートを追加します。これには、auth-web-server intercept-portコマンドを使います。
    これにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクト機能が働くようになります。
    awplus(config)# auth-web-server intercept-port 8080
    

    Note
    Supplicantのプロキシーサーバー設定の[例外]に、AuthenticatorのIPアドレスまたはホスト名が正しく登録されていない場合、プロキシー要求のループが発生することがありますが、これを検知しSupplicantのWebブラウザー上に警告メッセージを表示することができます。設定は、auth-web-server intercept-portコマンドで「any」を指定します。

  3. Webブラウザーのプロキシー自動検出機能(WPAD)によるPACファイルURLの問い合わせに応答できるよう、DHCPサーバー機能を有効化して、WPADオプションとしてPACファイルのURLを登録します。
    awplus(config)# ip dhcp option 252 ascii
    awplus(config)# ip dhcp pool vlan1
    awplus(dhcp-config)# network 172.16.10.0/24
    awplus(dhcp-config)# range 172.16.10.11 172.16.10.20
    awplus(dhcp-config)# default-router 172.16.10.1
    awplus(dhcp-config)# lease 0 0 0 20
    awplus(dhcp-config)# option 252 http://172.16.10.10/ourproxy.pac
    
    Note
    本製品以外のPACファイルサーバーを使う場合、Web認証用DHCPサーバーは使用できません。通常のDHCPサーバー機能を使用してください。
    Note
    WPADをサポートしていないブラウザーの場合は、ここで指定したPACファイルのURLを手動設定します。

  4. 未認証のSupplicant(Webブラウザー)が前記URLのPACファイルを取得できるよう、auth-web forwardコマンドでPACファイルサーバーへの通信(L2スイッチング)を許可します。
    awplus(config)# interface port1.0.2-port1.0.8
    awplus(config-if)# auth-web forward 172.16.10.10 tcp 80
    
    Note
    前記のauth-web forwardコマンドは対象パケットのスイッチングを許可するだけで、本製品を介してのルーティングは許可しません。そのため、本製品以外のPACファイルサーバーを使う場合は、原則として未認証SupplicantとPACファイルサーバーが同一サブネットに置かれている必要があります。

[Supplicant(Webブラウザー)の設定]
Webブラウザーのプロキシーサーバー設定を次のいずれかにしてください。
あるいは

インターセプトモード / プロミスキャスモード

インターセプトモード / プロミスキャスモードは、SupplicantからのARP/DNSメッセージに対するAuthenticatorの代理応答を有効にする機能です。本機能は特別な設定を行うことなく自動的に動作します。

Web認証では、ドメイン名を含むURLから名前解決して認証画面へアクセスするには、必ずHTTPリダイレクト機能が動作する必要があるため、未認証SupplicantのデフォルトゲートウェイにAuthenticatorのインターフェースアドレスが設定されていないと、認証画面へのアクセスができません。またその際、未認証Supplicantは名前解決を依頼するDNSサーバーと通信できる必要があります。

しかし、本製品ではインターセプトモード / プロミスキャスモードの働きにより、未認証SupplicantのデフォルトゲートウェイにAuthenticatorのインターフェースアドレスが設定されていない場合でも、DNSサーバーとの通信ができる環境においてドメイン名を含むURLから認証画面へアクセス可能になります。

Web認証画面のカスタマイズ

Web認証画面の見た目や表示内容は一定のカスタマイズが可能です。
カスタマイズには次の3つの方法があります。


HTML/CSSファイルの編集によるカスタマイズ

HTML/CSSファイルの編集によるカスタマイズでは、下記部分の変更が可能です。

Note
ログイン画面を外部Webサーバーに設置している場合、HTML/CSSファイルの編集によるカスタマイズは、ログイン画面以外(認証中、認証成功、認証失敗)に対してのみ適用されます。

[全画面共通]


[認証成功画面(入力フォーム部分)]


  1. ヘッダー
    ヘッダーの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルheader.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、ヘッダーのカスタマイズが可能です。

  2. 入力フォーム
    入力フォームの見た目は、Web認証サーバーが内部に持っているHTMLデータとWeb認証サーバー上にあって外部からアクセス可能なファイルstyle.cssによって決定されます。入力フォームのHTMLデータは変更できないため文字列などの変更はできませんが、style.cssを編集して規定の場所に置くことにより、入力フォームのレイアウト(フォームパーツの配置)を変更できます。

  3. 画像ファイル
    初期設定では、ヘッダーからh_glb.gif、フッターからf_logo.gifというGIF画像ファイルを参照しています。この2つの画像ファイルそのものは変更できませんが、別に用意した画像ファイルlogo.gifを規定の場所に置けば、このファイルも外部からアクセス可能になります。ヘッダー、フッターを編集して、h_glb.gif、f_logo.gifの代わりにlogo.gifを参照させることで画像ファイルの変更が可能です。

  4. フッター
    フッターの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルfooter.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、フッターのカスタマイズが可能です。

  5. 認証成功画面の追加メッセージ
    認証成功画面の入力フォーム部分はデフォルトで上記の内容ですが、success_page_msg.htmlというファイルを用意することにより、「logout」ボタンの下に任意のメッセージを表示させることが可能です。

以下ではWeb認証画面の変更方法について簡単に説明します。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

編集対象ファイルの準備
Web認証画面のカスタマイズに使うファイルは次の5つです。
Web認証画面の編集にあたっては、最初にこれらのファイルをPC上に準備してください。

最初の3つ(HTMLとCSS)については、Web認証サーバーからダウンロードして保存します。たとえば、Web認証サーバーのIPアドレスが172.16.10.1の場合、各ファイルには次のURLでアクセスできますので、ブラウザーの「ファイル」/「名前を付けて保存」メニューなどを使って、PCにファイルとして保存してください。

保存の際には拡張子を「.html」または「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
以下はMicrosoft社製Internet Explorerにて保存する際の例です。


HTMLファイルsuccess_page_msg.htmlについては、ひな型となるHTMLファイルを次の内容でPC上に作成してください。
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META http-equiv="Content-Type" content="text/html; charset=UTF-8">
<META http-equiv="Content-Style-Type" content="text/css">
<TITLE></TITLE>
</HEAD>
<BODY>
ここに任意のコンテンツを記述してください。
</BODY>
</HTML>

こちらも拡張子を「.html」、文字エンコーディングを「UTF-8」に設定して保存してください。
以下はMicrosoft社製メモ帳(notepad.exe)にて保存する際の例です。


画像ファイルlogo.gifについては、PC上に任意のGIF画像ファイルを用意してlogo.gifという名前に変更してください。

ファイルの編集
PC上で前述のHTML/CSSファイル(header.html、footer.html、style.css、success_page_msg.html)を適宜編集します。
各ファイルは、HTML、CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。

編集済みファイルの配置(アップロード)
各ファイルの編集が完了したら、CLIのcopyコマンドを使ってPCから本製品にファイルを転送してください。転送先はフラッシュメモリーのルートディレクトリー(flash:/)です。

たとえば、ZMODEMを用いてコンソールポート経由でファイルを転送するには、次のようにします。
awplus# cd flash:/
awplus# copy zmodem
rz waiting to receive.**B0100000023be50
(通信ソフトウェア側でZMODEMによるファイル送信の操作を行う)

また、TFTPでファイルを転送するには次のようにします。
awplus# copy tftp://172.16.10.70/logo.gif flash:/

ファイルシステム上に下記のファイルが存在する場合、Web認証サーバーはこれらを使って認証画面を生成します。

編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスしてレイアウトを確認してください。さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。

カスタマイズのとりやめ(初期状態への復帰)
カスタマイズによって問題が発生した場合やカスタマイズをやめたい場合は、本製品のファイルシステムから下記のファイルを削除してください(移動やリネームでもかまいません)。オリジナルの認証画面に戻ります。

コマンドによるカスタマイズ

コマンドによるカスタマイズでは、下記部分の変更が可能です。
この方法は設定コマンドを実行・保存するだけでもっとも手軽ですが、日本語を表示することはできません。

Note
ログイン画面を外部Webサーバーに設置している場合、コマンドによるカスタマイズは、ログイン画面以外(認証中、認証成功、認証失敗)に対してのみ適用されます。

[全画面共通]


[認証成功画面(入力フォーム部分)]


ログイン画面を外部Webサーバーに設置することによるカスタマイズ

Web認証Supplicantからアクセス可能なWebサーバー(外部Webサーバー)がある場合、ログイン画面のHTMLファイルをそのサーバーに設置することができます。この方法では、ログイン画面全体をほぼ自由にレイアウトすることができます。

Note
この方法でカスタマイズできるのはログイン画面だけです。他の画面(認証中、認証成功、認証失敗)はWeb認証サーバー上のページが表示されます(Webサーバー上のページに対しては、「HTML/CSSの編集」や「コマンド」によるカスタマイズが適用されます)。

外部サーバーの用意
外部Webサーバーに関する要件は次のとおりです。


ログイン画面のHTMLファイル作成
外部サーバーに設置するログイン画面をHTMLファイルとして作成してください。
レイアウトのため、CSSファイルや画像ファイルを利用してもかまいません。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

ログイン画面のHTMLファイルは、次のログインフォームを含む必要があります。
formタグのaction属性には、Supplicant(Webブラウザー)からアクセス可能なWeb認証サーバーのURLを記入してください。
次の例では「http://192.168.1.5/」の部分がWeb認証サーバーのURLです。環境に応じた適切なURLを記述してください。

<form action="http://192.168.1.5/" autocomplete="off" target="_self" name="AUTH" method="POST">
  <div>User name</div>
  <div><input size="30" type="text" maxlength="64" name="USERNAME"></div>
  <div>Password</div>
  <div><input size="30" type="password" maxlength="64" name="PASSWORD"></div>
  <div>
    <input type="submit" name="ACTION" value="login">
    <input type="reset" name="RESET" value="Reset">
  </div>
</form>

[外部Webサーバーに設置したログイン画面の例]


ログイン画面を外部Webサーバーに設置
ログイン画面のHTMLファイルが完成したら、外部Webサーバー上の適切なディレクトリーに設置してください。
ログイン画面でCSSファイルや画像ファイルを使用している場合は、それらも設置してください。

その後、auth-web-server login-urlコマンドでログイン画面のURLを指定します。
awplus(config)# auth-web-server login-url http://192.168.1.1/

これにより、Web認証サーバー(本製品)にアクセスしてきたWeb認証Supplicantは、外部Webサーバー上のログイン画面にリダイレクトされるようになります。

ユーザーが外部Webサーバー上のログイン画面でユーザー名とパスワードを入力して「login」ボタンを押すと、フォームのaction属性の指定によりこれらの情報がWeb認証サーバーに送信され、それ以降はWeb認証サーバー上のページ(認証中、認証成功、認証失敗)が表示されます。

認証失敗時は、Web認証サーバー上の認証失敗ページが表示された後、5秒後に外部Webサーバー上のログインページにリダイレクトされます。

ログイン画面を本体のフラッシュメモリーに設置することによるカスタマイズ

本製品では、ログイン画面のHTMLファイルを本体のフラッシュメモリーに設置することができます。
この方法では、ログイン画面全体をほぼ自由にレイアウトすることができます。

Note
この方法でカスタマイズできるのはログイン画面だけです。他の画面(認証中、認証成功、認証失敗)はWeb認証サーバー上のページが表示されます(Webサーバー上のページに対しては、「HTML/CSSの編集」や「コマンド」によるカスタマイズが適用されます)。

Note
ログイン画面を「外部Webサーバーに設置することによるカスタマイズ」と「本体のフラッシュメモリーに設置することによるカスタマイズ」を同時に設定した場合は、「外部Webサーバーに設置することによるカスタマイズ」が優先されます。

ログイン画面のHTMLファイル作成
本体のフラッシュメモリーに設置するログイン画面をHTMLファイルとして作成してください。
レイアウトのため、CSSファイルや画像ファイルを利用してもかまいません。

Note
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

ログイン画面のHTMLファイルは、次のログインフォームを含む必要があります。
formタグのaction属性には、Web認証サーバー(本製品)内部に保存されているファイルを指定するため「/index.cgi」を記述してください。

<form action="/index.cgi" autocomplete="off" target="_self" name="AUTH" method="POST">
  <div>User name</div>
  <div><input size="30" type="text" maxlength="64" name="USERNAME"></div>
  <div>Password</div>
  <div><input size="30" type="password" maxlength="64" name="PASSWORD"></div>
  <div>
    <input type="submit" name="ACTION" value="login">
    <input type="reset" name="RESET" value="Reset">
  </div>
</form>


ログイン画面をweb-authディレクトリーに設置
本体のフラッシュメモリー上に「web-auth」という名前のディレクトリーを作成してください。
ログイン画面のHTMLファイルが完成したら、web-authディレクトリーに設置してください。
ログイン画面でCSSファイルや画像ファイルを使用している場合は、それらも設置してください。

これにより、Web認証サーバー(本製品)にアクセスしてきたWeb認証Supplicantは、フラッシュメモリー上のログイン画面にリダイレクトされるようになります。

ユーザーが本体のフラッシュメモリー上のログイン画面でユーザー名とパスワードを入力して「login」ボタンを押すと、フォームのaction属性の指定によりこれらの情報がWeb認証サーバーに送信され、それ以降はWeb認証サーバー上のページ(認証中、認証成功、認証失敗)が表示されます。

認証失敗時は、Web認証サーバー上の認証失敗ページが表示された後、5秒後に本体のフラッシュメモリー上のログインページにリダイレクトされます。

アカウンティング(利用記録)

ポート認証機能では、アカウンティングをサポートしているRADIUSサーバーを利用して、Supplicantのログイン・ログアウトを記録することもできます。

Note
本製品内蔵のローカルRADIUSサーバーは認証機能のみをサポートしており、アカウンティングはサポートしていません。

初期設定ではアカウンティングは無効です。アカウンティングの有効化は、認証方式ごとに行います。

■ 802.1X認証Supplicantのアカウンティングを有効にするには、aaa accounting dot1xコマンドを使います。ここでは、ログインとログアウトの両方を記録するため、対象イベントとしてstart-stopを指定しています。また、radius-server hostコマンドで登録したRADIUSサーバーを順に試行させるため、デフォルトのサーバーグループであるgroup radiusを指定しています。
awplus(config)# aaa accounting dot1x default start-stop group radius

■ MACベース認証Supplicantのアカウンティングを有効にするには、aaa accounting auth-macコマンドを使います。コマンドの使い方は802.1Xと同じです。
awplus(config)# aaa accounting auth-mac default start-stop group radius

■ Web認証Supplicantのアカウンティングを有効にするには、aaa accounting auth-webコマンドを使います。コマンドの使い方は802.1Xと同じです。
awplus(config)# aaa accounting auth-web default start-stop group radius

■ 認証方式ごとに異なるRADIUSアカウンティングサーバーを使用する方法など、詳しい設定については、「運用・管理」の「RADIUSクライアント」をご覧ください。

RADIUSサーバーの設定項目

ポート認証機能を利用するために必要なRADIUSサーバー(認証サーバー)の設定項目について簡単に説明します。

Note
RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

802.1X認証

802.1X認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の照合用属性を定義してください。

表 7:802.1X認証で使用する照合用RADIUS属性
属性名
属性値
備考
User-Name ユーザー名 認証対象のユーザー名(例:"user1", "userB")
User-Password パスワード ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要(代わりにユーザー電子証明書の用意が必要)
Note
Authenticator側では802.1X認証用パスワードの長さを特に制限していませんが、本製品のローカルRADIUSサーバーで設定可能なパスワードの最大長は31文字です。

また、認証方式としてPEAP(EAP-MSCHAPv2)、EAP-TLS、EAP-TTLSを使う場合は、それぞれ下記の電子証明書を用意し、各機器上にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。

表 8:802.1X認証で使用する電子証明書
認証方式
各証明書のインストール先
信頼できるルートCAの証明書
サーバー証明書と秘密鍵
ユーザー証明書と秘密鍵
PEAP Supplicant 認証サーバー 不要
EAP-TLS Supplicantと認証サーバー 認証サーバー Supplicant
EAP-TTLS Supplicant 認証サーバー 不要

MACベース認証

MACベース認証において、ダイナミックVLANを使用しないときは、機器ごとに下記の照合用属性を定義してください。

表 9:MACベース認証で使用する照合用RADIUS属性
属性名
属性値
備考
User-Name MACアドレス 認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式(ハイフンあり、a~fは小文字)だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる
User-Password MACアドレスまたは共通パスワード 認証対象機器のMACアドレス。通常は機器ごとにUser-Nameと同じ値を指定する。ただし、auth-mac passwordコマンドを設定している場合は、すべての機器に対して同コマンドで設定した共通パスワードを指定すること

Web認証

Web認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の照合用属性を定義してください。

表 10:Web認証で使用する照合用RADIUS属性
属性名
属性値
備考
User-Name ユーザー名 認証対象のユーザー名(例:"user1", "userB")
User-Password パスワード ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")
Note
Web認証用パスワードは64文字以内で設定してください。なお、本製品のローカルRADIUSサーバーで設定可能なパスワードの最大長は31文字です。

ダイナミックVLAN(各認証方式共通)

802.1X認証、MACベース認証、Web認証でダイナミックVLANを使用するときは、前述の照合用属性に加え、返却用属性として下記の3属性を追加設定してください。

表 11:ダイナミックVLAN用の返却用RADIUS属性
属性名
属性値
備考
Tunnel-Type VLAN (13) 固定値。指定方法はサーバーに依存
Tunnel-Medium-Type IEEE-802 (6) 固定値。指定方法はサーバーに依存
Tunnel-Private-Group-ID VLAN IDかVLAN名 認証対象のユーザーや機器が認証をパスした後に所属させるVLANのIDか名前(例:10, "sales")

EAP透過機能

システム全体でポート認証機能(IEEE 802.1X、MACベース、Webのすべて)を無効に設定しているときは、通常受信したEAPOLパケットを他ポートに転送せず破棄しますが、dot1x eapコマンドの設定により、受信したEAPOLパケットを転送させることもできます。

■ 受信したEAPOLパケットをVLANに関係なくすべてのポートに転送するには、forwardを指定します。
awplus(config)# dot1x eap forward

■ 受信したEAPOLパケットを同一VLAN内のタグなしポートにだけ転送するには、forward-untagged-vlanを指定します。
awplus(config)# dot1x eap forward-untagged-vlan

■ 受信したEAPOLパケットを同一VLAN内のすべてのポートに転送するには、forward-vlanを指定します。転送先がタグ付きポートの場合EAPOLパケットはすべてタグ付きで出力されます。
awplus(config)# dot1x eap forward-vlan

■ 受信したEAPOLパケットを転送せず破棄させるには、discardを指定します(初期設定)。
awplus(config)# dot1x eap discard

設定や状態の確認

■ ポート認証機能の全般的な情報は、show authコマンド、show dot1xコマンドで確認します。

たとえば、ポート1.0.5における802.1X認証の情報を確認したいときは次のようにします。
awplus# show dot1x interface port1.0.5

■ Supplicantの情報は、show auth supplicantコマンド、show dot1x supplicantコマンドで確認します。

たとえば、ポート1.0.5上の802.1X Supplicantを確認したいときは次のようにします。
awplus# show dot1x supplicant interface port1.0.5

briefオプションを付けると簡素な表示になります。
awplus# show dot1x supplicant interface port1.0.5 brief

■ Supplicantのログイン情報は、show auth sessionstatisticsコマンド、show dot1x sessionstatisticsコマンドで確認します。

たとえば、ポート1.0.5上の802.1X Supplicantのログイン情報を確認したいときは次のようにします。
awplus# show dot1x sessionstatistics interface port1.0.5

■ Web認証サーバーの設定は、show auth-web-serverコマンドで確認します。
awplus# show auth-web-server


(C) 2012 - 2020 アライドテレシスホールディングス株式会社

PN: 613-001763 Rev.AK