インターフェース / ポート認証
本製品は、スイッチポート上のポート認証機能としてMACベース認証とIEEE 802.1X認証(以下、802.1X認証)機能を実装しています。
本マニュアルでは「LANポート」のことを、スイッチ製品にならって「スイッチポート」と表記しています。「LANポート」と「スイッチポート」は同じ意味ですので、適宜読み替えてください。また同様に、「スイッチ」は「LAN側スイッチ」のことを表しています。
ポート認証機能を使用すると、スイッチポートに接続された機器やその利用者(ユーザー)を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、ダイナミックVLAN機能により、認証に成功した機器を特定のVLANにアサインすることも可能です。
ポート認証機能をAMF接続ポート上で使用することはできません。詳細はAMFの導入編をご覧ください。
ポート認証機能をトランクグループ上(saX、poXインターフェース)で使用することはできません。
概要
ポート認証のシステムは、通常下記の3要素から成り立っています。
- Authenticator(認証者)
ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果(成功・失敗)を受け取る)。
- 802.1X認証ではEAPメッセージの交換によってSupplicantを認証する(ユーザー認証)。
- MACベース認証ではSupplicantのMACアドレスによって認証を行う(機器認証)。
- 認証サーバー(RADIUSサーバー)
Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント)
ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。一方、MACベースの認証を受けるために特殊な機能は必要ない。
本製品の各スイッチポートは、Authenticatorとして動作可能です。認証サーバー(RADIUSサーバー)は別途用意する必要がありますが、小規模環境では本製品内蔵のローカルRADIUSサーバーを使うこともできます(詳しくは「運用・管理」の「RADIUSサーバー」をご覧ください)。
システム起動時、認証ポートに接続されている未認証の802.1X認証SupplicantやMACベース認証Supplicantが、本製品のDHCPサーバーからIPアドレスを取得できることがあります。これは、ポート認証モジュールがDHCPサーバーモジュールよりも後に稼働状態になるためで一時的なものです。システムの起動が完了した後(ログインプロンプトが表示された後)は、未認証Supplicantの通信はできません。
認証方式
ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、次の3種類をサポートしています。
- IEEE 802.1X認証(以下、802.1X認証)
802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、おもにユーザー単位で認証を行う仕組み。802.1X認証を利用するには、認証する側(Authenticator)と認証される側(Supplicant)の両方が802.1Xに対応している必要がある。本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は次のとおり。
- EAP-MD5
- EAP-TLS
- EAP-TTLS
- EAP-PEAP
- MACアドレスベース認証(以下、MACベース認証)
MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行う仕組み。Supplicant側に特殊な機能を必要としないため、認証サーバーにMACアドレスを登録するだけで使用できるという特徴がある。
MACベース認証では、認証成功したSupplicantのMACアドレスはFDBにダイナミックMACアドレスとして登録されます。したがってエージアウトによりFDBから削除されると、認証情報も削除(認証解除)されます。802.1X認証では、認証成功したSupplicantのMACアドレスはFDBにスタティックMACアドレスとして登録されます。
認証方式の併用
本製品は、同一ポート上でMACベース認証と802.1X認証を併用することができます。
併用時は次の順序で認証が行われます。
併用時の動作をもう少し詳しく説明すると次のようになります(次項で述べる2ステップ認証無効時の動作)。
- MACベース認証を実施
- 任意のパケットを受信したら、その送信元MACアドレスをユーザー名およびパスワードとして、RADIUSサーバーに認証を要求
- 認証成功なら該当Supplicantに通信を許可(認証プロセス完了)
- 認証失敗なら次の認証方式に進む
- 802.1X認証を実施
- 認証成功なら該当Supplicantに通信を許可(認証プロセス完了)
- 認証失敗なら該当Supplicantの通信を拒否(認証プロセス完了)
認証方式を併用する場合のポイントは次のとおりです。
2ステップ認証
MACベース認証と802.1X認証を併用する場合、初期設定では、前述のとおりどちらか1つの方式で認証に成功すれば通信が許可されますが、セキュリティーをより高めるため、両方の方式に成功したときだけ通信を許可するようにも設定できます。
この機能は「2ステップ認証」と呼び、スイッチポートごとにauth two-step enableコマンドで有効化できます。
2ステップ認証を有効にしたポートでは、SupplicantがMACベース認証と802.1X認証の両方の認証方式を連続してパスしたときに初めて通信が許可されます。
2ステップ認証で認証成功となる組み合わせは次のとおりです。
次に、2ステップ認証を使用する際の留意事項を示します。
- 2ステップ認証は、Auth-fail VLAN、ゲストVLAN、ダイナミックVLANとの併用も可能です。
2ステップ認証とダイナミックVLANを併用する場合は、2つ目の認証成功時にRADIUS-Acceptパケットで指定されたVLANがアサインされます(1つ目の認証成功時に指定されたVLANは無視されます)。
- 2ステップ認証では、Supplicantが1つ目の方式で認証に成功した後、一定の時間内に2つ目の認証が行われない場合、該当Supplicantの認証情報は削除されます(次に該当Supplicantからパケットを受信した場合は、1つ目の認証方式からやりなおします)。
- 2ステップ認証が有効なポートにおいて、特定のSupplicantだけ2ステップ認証の対象外とすることも可能です。それには、auth supplicant-macコマンドで該当SupplicantのMACアドレスを指定し、port-controlパラメーターでskip-second-authオプションを指定してください。
ホストモード
ホストモードとは、ポート認証におけるスイッチポート固有の設定項目の1つです。あるポートにおいて、1台のSupplicantにだけポート越えの通信を許可するか、それとも複数のSupplicantに通信を許可するか、複数のSupplicantに通信を許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御するために使います。
初期状態では、すべてのスイッチポートがSingle-Hostモードに設定されています。これは1ポート・1Supplicantの構成を想定したモードで、各ポートにおいて最初に認証をパスしたSupplicantだけが通信を許可されます。HUBなどを介して1ポートに複数のSupplicantを接続しても、2番目以降のSupplicantは通信できません。1つのポートに複数のSupplicantを接続したい場合は、ホストモードをMulti-HostモードかMulti-Supplicantモードに変更する必要があります。
ホストモードには次の3種類があり、インターフェースモードのauth host-modeコマンドで変更できます。初期設定はSingle-Hostモードです。
- Single-Hostモード(単一ホストモード)
1ポートあたり1台のみ通信を許可するモード。最初に認証をパスしたSupplicantだけに通信を許可する
- Multi-Hostモード(複数ホスト相乗りモード)
1ポートあたり複数台の通信を許可するモード。最初のSupplicantが認証をパスすると、その後に接続したSupplicantは認証を行うことなく通信できる。Multi-HostモードでダイナミックVLANを利用する場合、2番目以降のSupplicantは認証を経ず、結果的に個別の VLAN IDを割り当てられないため、最初のSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用されることとなる
- Multi-Supplicantモード(複数ホスト個別認証モード)
1ポートあたり複数台の通信を許可するモード。個々のSupplicantをMACアドレスで識別し、個別に認証を行うことで1台ずつ通信の許可・拒否を決定する。Multi-SupplicantモードでダイナミックVLANを利用する場合は、最初に認証をパスしたSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用される。2番目以降のSupplicantのVLAN属性が最初のSupplicantのそれと異なる場合、初期設定では認証失敗となるが、設定を変更することにより認証成功として最初のSupplicantと同じVLANを割り当てることもできる(この設定はauth dynamic-vlan-creationコマンドのruleパラメーターで行う)
基本設定
ここでは、ポート認証システムを運用するために最低限必要な設定を示します。
ポート認証の設定は、おおよそ次の流れで行います。
- 認証サーバーの準備(ユーザー・機器情報の登録など)
ポート認証では、いずれの認証方式でも実際の認証をRADIUSサーバーに依頼するため、あらかじめRADIUSサーバーを用意し、ユーザー情報や機器情報(MACアドレス)を登録しておいてください。どのような情報を登録すべきかは、本解説編の「RADIUSサーバーの設定項目」のセクションで説明しています。
本製品内蔵のローカルRADIUSサーバーを利用する場合は、「運用・管理」の「RADIUSサーバー」を参照して、ローカルRADIUSサーバーの設定を済ませておいてください。
- 本製品のポート認証機能の設定
本製品のポート認証機能を使うためには、ルーターとしての基本設定以外に、最低限以下の設定が必要です。
- RADIUSクライアント機能の設定(認証サーバーの登録)
- ポート認証機能の設定
ここでは、1の「認証サーバーの準備」については触れません。ご使用のRADIUSサーバーのマニュアルをご覧になるか、「運用・管理」の「RADIUSサーバー」をご覧ください。
2の「本製品のポート認証機能の設定」は、各認証方式で共通なものと異なるものがありますが、ここではごく基本的な設定にしか触れません。以下の基本設定例は、次の構成を前提としています。
WAN側・LAN側のIPアドレスや経路など、IPの基本設定までは完了しているものとします。
- すべてのポートがvlan1(デフォルトVLAN)に所属
- vlan1にはIPアドレス192.168.10.1/24を設定
- 外部のRADIUSサーバーを使用
- ポート1.0.8(vlan1)に接続
- IPアドレス:192.168.10.5
- 共有パスワード:himitsu
- ポート1.0.1~1.0.4でポート認証を行う
- 各ポートでは1台の機器にだけ通信を許可する(Single-Hostモード)
- ダイナミックVLAN・ゲストVLANは使用しない
MACベース認証機能の設定
本製品をMACベース認証のAuthenticatorとして使用する場合の基本設定を示します。
- MACベース認証で使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。これには、radius-server hostコマンドを使います。
RADIUSクライアント機能の詳細については、「運用・管理」の「RADIUSクライアント」をご覧ください。
awplus(config)# radius-server host 192.168.10.5 key himitsu ↓
- システム全体でMACベース認証機能を有効にします。これには、aaa authentication auth-macコマンドを使います。
awplus(config)# aaa authentication auth-mac default group radius ↓
- ポート1.0.1~1.0.4でMACベース認証を有効にします。これには、auth-mac enableコマンドを使います。
awplus(config)# interface port1.0.1-port1.0.4 ↓
awplus(config-if)# auth-mac enable ↓
- 複数端末を個別に認証するため、ホストモードをMulti-Supplicantモードに変更します。これには、auth host-modeコマンドを使います。
awplus(config-if)# auth host-mode multi-supplicant ↓
awplus(config-if)# exit ↓
- デフォルトで有効になっているスパニングツリープロトコルの動作を無効にします。これにはspanning-tree enableコマンドをno形式で実行します。
設定は以上です。
ポート認証機能をトランクグループ上(saX、poXインターフェース)で使用することはできません。
タグ付きポートでMACベース認証を使用するときは、次のいずれかの構成で利用してください。
- ホストモード(auth host-mode)をMulti-Supplicantに設定する。この場合、タグ付きポートではダイナミックVLANを使用できません。
- ホストモード(auth host-mode)をSingle-HostかMulti-Hostに設定し、ダイナミックVLAN(auth dynamic-vlan-creation)とマルチVLANセッション(auth multi-vlan-session)を有効にする。この場合、該当タグ付きポートはイングレスフィルタリングが有効のままでご使用ください。
なお、タグ付きポートでは、ホストモードにかかわらずゲストVLAN、Auth-fail VLANを使用できません。
また、タグ付きポートでダイナミックVLANを使用する場合は上記2の構成で利用してください。
同一ポート上でスパニングツリープロトコルとMACベース認証は併用できません。
802.1X認証機能の設定
本製品を802.1X認証のAuthenticatorとして使用する場合の基本設定を示します。
- 802.1X認証で使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。これには、radius-server hostコマンドを使います。
RADIUSクライアント機能の詳細については、「運用・管理」の「RADIUSクライアント」をご覧ください。
awplus(config)# radius-server host 192.168.10.5 key himitsu ↓
- システム全体で802.1X認証機能を有効にします。これには、aaa authentication dot1xコマンドを使います。
awplus(config)# aaa authentication dot1x default group radius ↓
- ポート1.0.1~1.0.4で802.1X認証を有効にします。これには、dot1x port-controlコマンドでautoを指定します。
awplus(config)# interface port1.0.1-port1.0.4 ↓
awplus(config-if)# dot1x port-control auto ↓
認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。
- 複数端末を個別に認証するため、ホストモードをMulti-Supplicantモードに変更します。これには、auth host-modeコマンドを使います。
awplus(config-if)# auth host-mode multi-supplicant ↓
awplus(config-if)# exit ↓
設定は以上です。
ポート認証機能をトランクグループ上(saX、poXインターフェース)で使用することはできません。
タグ付きポートで802.1X認証を使用するときは、次のいずれかの構成で利用してください。
- ホストモード(auth host-mode)をMulti-Supplicantに設定する。この場合、タグ付きポートではダイナミックVLANを使用できません。
- ホストモード(auth host-mode)をSingle-HostかMulti-Hostに設定し、ダイナミックVLAN(auth dynamic-vlan-creation)とマルチVLANセッション(auth multi-vlan-session)を有効にする。この場合、該当タグ付きポートはイングレスフィルタリングが有効のままでご使用ください。
なお、タグ付きポートでは、ホストモードにかかわらずゲストVLAN、Auth-fail VLANを使用できません。
また、タグ付きポートでダイナミックVLANを使用する場合は上記2の構成で利用してください。
802.1X認証のSupplicantがログオフしても、ステータスがConnectingになりません。
応用設定
スイッチポートごとの詳細設定
ポート認証では、スイッチポートごとに各種の詳細設定が可能です。
次に設定可能な項目と設定コマンドをまとめます。ここで挙げるコマンドは、スイッチポート固有の設定をするためのものなので、すべてインターフェースモードで実行します。
なお、設定項目によっては、ポート単位だけでなく、Supplicantごとに個別の設定が可能なものもあります。
Supplicantが存在するスイッチポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。
全認証方式共通の設定項目
以下の項目は、対象ポートで有効化されているすべての認証方式に適用されます。
表 1
| 設定項目 |
設定コマンド |
説明 |
| 802.1X認証 |
MACベース認証 |
| クリティカルポート |
auth critical |
すべてのRADIUSサーバーが無応答だった場合(認証期間中にすべてのRADIUSサーバーがDead状態になった場合)、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる |
| ダイナミックVLAN |
auth dynamic-vlan-creationコマンド |
ダイナミックVLANを有効にしたポートでは、認証をパスしたSupplicantを特定のVLANに動的に割り当てる。どのVLANに割り当てるかは、RADIUSサーバーから返された情報にしたがう。詳細は後述 |
| ゲストVLAN |
auth guest-vlanコマンド |
ゲストVLANを有効にしたポートでは、未認証のSupplicantをゲストVLANとして指定されたVLANに所属させる。通常、未認証時はポート越えの通信ができないが、ゲストVLAN所属の未認証Supplicant間であれば未認証時でも通信が可能となる。詳細は後述 |
| ホストモード |
auth host-mode |
1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する |
| 最大Supplicant数 |
auth max-supplicant |
複数のSupplicantに通信を許可する場合(Multi-HostモードかMulti-Supplicantモードのとき)、該当ポート配下からの通信を許可するSupplicantの最大数を指定する |
| VLANごとのSupplicant数の制限 |
auth vlan-restriction |
複数のSupplicantに通信を許可する場合(Multi-Supplicantモードのとき)、該当ポートのSupplicantの許可をVLANごとにひとつに制限する |
| 再認証 |
auth reauthentication |
再認証有効時は、認証に成功したSupplicantを定期的に再認証する(再認証の動作は認証方式によって異なる) |
| 再認証間隔 |
auth timeout reauth-periodコマンド |
再認証有効時にSupplicantを再認証する間隔を指定する |
| 認証失敗後の抑止期間 |
auth timeout quiet-periodコマンド |
認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する |
| RADIUSサーバー応答待ち時間 |
auth timeout server-timeout |
RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する |
| ローミング認証 |
auth roaming enableコマンド |
ローミング認証を有効にしたポート間では、一度認証をパスしたSupplicantが再認証を受けずに自由に移動して通信を継続できる。詳細は後述 |
| Auth-fail VLAN |
auth auth-fail vlanコマンド |
Auth-fail VLANを有効にしたポートでは、認証失敗したSupplicantをAuth-fail VLANとして指定されたVLANに所属させる |
認証方式ごとの設定項目
以下の項目は、認証方式ごとに設定を行います。特定の認証方式でしか設定できない項目もあります。
Supplicantごとの設定項目
スイッチポートごとの詳細設定項目にはさらに、Supplicant単位の設定が可能なものもあります。これは、auth supplicant-macコマンドで行います。
同コマンドを使用すると、特定のポートにおいて、特定のMACアドレスを持つSupplicantだけ無認証で通信を許可するなど、特定のSupplicantを特別扱いするような設定が可能です。
Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。
Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値(明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値)が使われます。
スイッチポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。
次にいくつか例を示します。
■ MACベース認証を行っているポート1.0.2~1.0.8において、MACアドレス0000.1122.3344を持つSupplicantだけは認証を行わずに常時通信を許可する。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized ↓
dot1x port-controlコマンドの設定は802.1X認証にのみ適用されますが、auth supplicant-macコマンドのport-controlパラメーターはすべての認証方式に適用されます。
■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.f4cd.cdcd」に対してのみ再認証を行うよう設定する(ポート単位では再認証の設定をしていないと仮定します)。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication ↓
■ 前記のポート1.0.2~1.0.8において、Supplicant「0000.1122.3344」の特別扱いをやめる。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# no auth supplicant-mac 0000.1122.3344 ↓
ポート認証設定のテンプレート化
ポート認証機能を使用するときの、各ポートへ入力する設定コマンドのテンプレート化が可能です。
通常、ポート認証機能を使用する際は、複数のコマンドを設定する必要がありますが、本機能を使用することで、複数のコマンドをテンプレートにまとめることが可能になり、ポートへはテンプレートのみの設定で済みます。
これにより、複数の認証ポートの作成を効率化することができます。
ポート認証設定のテンプレート化は、次の手順で行います。
- ポート認証プロファイルを作成します。グローバルコンフィグモードのauth profileコマンド使って、プロファイル名(テンプレート名)を作成します。
awplus(config)# auth profile macauth ↓
- プロファイル(テンプレート)内に含めたいコマンドを入力します(プロファイルに含めることができるコマンドは、「ポート認証プロファイルモード」のコマンドのみです)。
awplus(config-auth-profile)# auth-mac enable ↓
awplus(config-auth-profile)# auth host-mode multi-supplicant ↓
awplus(config-auth-profile)# auth max-supplicant 5 ↓
設定は以上です。
あとはインターフェースモードのauth profileコマンドで、作成したプロファイル(テンプレート)を設定したいポートに添付することで、テンプレート化したポート認証設定が行えます。
例:ポート「1.0.5~1.0.8」への「macauth」テンプレートの添付設定例
awplus(config)# interface port1.0.5-1.0.8 ↓
awplus(config-if)# auth profile macauth ↓
ポート認証のインターフェースモードコマンドが設定されているポートにテンプレートを設定しようとすると上書きされてしまいますのでご注意ください。
一つのインターフェースが、複数のテンプレートを持つことはできません。 新しいテンプレートを作成する前に、既存のテンプレートを削除する必要があります。
ポート認証のインターフェースモードコマンド、およびテンプレート化のインターフェースモードコマンドは、同じインターフェースに設定することはできません。
使用中のテンプレートは削除することはできません。
ダイナミックVLAN
ダイナミックVLANは、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。
ダイナミックVLANをタグ付きポートで使用するときは、ホストモード(auth host-mode)をSingle-HostかMulti-Hostに設定し、マルチVLANセッション(auth multi-vlan-session)を有効にしてください。また、該当タグ付きポートはイングレスフィルタリングが有効のままでご使用ください。
ダイナミックVLANの基本的な動作は次のとおりです。
なお、以下の説明において「本来のVLAN」とはswitchport access vlanコマンドで指定したVLANのことを指します。
■ Single-Hostモード時は、下記のルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。2台目以降のSupplicantは無視され、認証を受けられないため、ポート越えの通信もできません。
表 3:Single-HostモードにおけるダイナミックVLANの動作
| ポートの状態 |
所属VLAN |
ポート越えの通信可否 |
| 未認証 |
ゲストVLANなし |
本来のVLAN |
不可 |
| ゲストVLANあり |
ゲストVLAN |
ゲストVLAN内のみ可 |
| 認証済み |
VLAN通知あり |
RADIUSサーバーから通知されたVLAN |
制限なし |
| VLAN通知なし |
本来のVLAN |
- 未認証(認証前、認証失敗後、および、未認証固定)ポートの動作は、ゲストVLAN(詳細は次節)の有効・無効によって異なります。
- ゲストVLAN無効時、未認証ポートは本来のVLAN所属となります。ポート越えの通信は不可能です。
- ゲストVLAN有効時、未認証ポートはゲストVLAN所属となります。ゲストVLANと同一のVLAN内にかぎり、ポート越えの通信(スイッチング)が可能です。
- RADIUSサーバーからのAccess-Acceptメッセージで有効なVLAN(製品上に登録されているVLAN)の情報が返ってきた場合、ポートはそのVLANの所属となります。認証成功となるため、ポート越えの通信も可能です。
- RADIUSサーバーからのAccess-Acceptメッセージで無効なVLAN(製品上に登録されていないVLAN)の情報が返ってきた場合、ポート認証機能としては認証失敗となります。そのため、ポートの所属は未認証時のもの(1.を参照)となります。
- RADIUSサーバーからのAccess-AcceptメッセージにVLANの情報が含まれていなかった場合、ポートは本来のVLAN所属となります。認証成功となるため、ポート越えの通信も可能です。
- 認証済みに固定設定されたポートは、本来のVLAN所属となります。認証済みなので、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
■ Multi-Hostモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-Hostモードと異なり、2台目以降のSupplicantは認証を受けることなくポート越えの通信が可能となります。なお、2台目以降は認証を受けないのでRADIUSサーバーからVLAN情報を受け取ることもなく、結果的に1台目と同じVLAN所属で通信することとなります。
■ Multi-Supplicantモードでは、前記ルールにしたがい1台目のSupplicantが認証をパスしてVLANを割り当てられると、該当ポートは認証済み状態、かつ、1台目のSupplicantに割り当てられたVLANの所属となります。Single-HostモードやMulti-Hostモードとは異なり、2台目以降のSupplicantも個別に認証を受けますが、2台目以降のSupplicantへのVLAN割り当てルールは、auth dynamic-vlan-creationコマンドのruleパラメーターによって、次の2つから選択できます。
- rule deny(初期設定)
2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合、該当Supplicantは認証失敗となります。
- rule permit
2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合であっても、該当Supplicantを認証成功とします。ただし、該当Supplicantの所属VLANは1台目のSupplicantと同じになります(RADIUSサーバーの返却してきたVLAN情報は無視される)。
■ ポートがダイナミックVLANにアサインされているときは、switchport access vlanコマンドで該当ポートの所属VLANを変更することはできません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
- 認証済みのSupplicantがいなくなったとき
- リンクがダウンしたとき
- ポート上でポート認証が無効にされたとき
- システム上でポート認証が無効にされたとき
以下では、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、次のVLANをあらかじめ作成しておきます。
表 4
| VLAN |
所属ポート |
割り当て方法 |
用途 |
インターフェースのIPアドレス |
| vlan10 |
1.0.1 |
固定 |
RADIUSサーバー設置 |
172.16.10.1/24 |
| vlan100 |
(1.0.2-1.0.8) |
動的(ダイナミックVLAN) |
認証済みSupplicant収容 |
172.16.100.1/24 |
| vlan200 |
動的(ダイナミックVLAN) |
認証済みSupplicant収容 |
172.16.200.1/24 |
| vlan240 |
1.0.2-1.0.8 |
固定 |
未認証Supplicant収容 |
172.16.240.1/24 |
ここでは、ポート1.0.2~1.0.8でMACベース認証を行うものとします。
SupplicantのためのVLANは、vlan100、vlan200、vlan240の3つです。
接続した直後のSupplicantは未認証のため、ポート本来のVLAN所属となります。本例では、認証を行うポートをvlan240に所属させておくことで、未認証Supplicantがvlan240所属になるようにします。なお、本例ではゲストVLANを設定していないため、vlan240の所属ポート間での通信はできません。
認証をパスしたSupplicantは、RADIUSサーバー側から返されたVLAN IDの情報に基づき、自動的にvlan100、vlan200のどちらかにアサインされます。また、DHCPサーバーの設定により、割り当てられるIPアドレスも172.16.100.200~172.16.100.240(vlan100のとき)か、172.16.200.200~172.16.200.240(vlan200のとき)のどちらかに変更されます。
- VLANを作成します。
ダイナミックVLANによってSupplicantに割り当てるVLANは、あらかじめvlanコマンドで定義しておく必要があります。
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 10 name FixedVLAN10 ↓
awplus(config-vlan)# vlan 100 name DynamicVLAN100 ↓
awplus(config-vlan)# vlan 200 name DynamicVLAN200 ↓
awplus(config-vlan)# vlan 240 name InitialFixedVLAN240 ↓
awplus(config-vlan)# exit ↓
- 各スイッチポートをVLANに割り当てます。
ここでは、RADIUSサーバーを収容するポート1.0.1をvlan10に、ポート認証を行う1.0.2~1.0.8をvlan240に割り当てています。
vlan100とvlan200はダイナミックVLAN用なので、これらのVLANにポートを固定で割り当てることはしません。
awplus(config)# interface port1.0.1 ↓
awplus(config-if)# switchport access vlan 10 ↓
awplus(config-if)# exit ↓
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# exit ↓
- 各VLANインターフェースにIPアドレスを設定します。
awplus(config)# interface vlan10 ↓
awplus(config-if)# ip address 172.16.10.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan100 ↓
awplus(config-if)# ip address 172.16.100.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan200 ↓
awplus(config-if)# ip address 172.16.200.1/24 ↓
awplus(config-if)# exit ↓
awplus(config)# interface vlan240 ↓
awplus(config-if)# ip address 172.16.240.1/24 ↓
awplus(config-if)# exit ↓
- RADIUSサーバーのIPアドレスと共有パスワードを指定します。
awplus(config)# radius-server host 172.16.10.2 key himitsu ↓
- Supplicantを収容するvlan100、vlan200、vlan240では、DHCPサーバー機能を使ってIPアドレスの動的割り当てを行うよう設定します。vlan240用のDHCPプールでは、リース時間を最小の20秒に設定しています。これは、ダイナミックVLANによって所属VLANが変更された場合に、クライアントのIPアドレスもすばやく変更されるようするためです。
awplus(config)# ip dhcp pool DynamicVLAN100 ↓
awplus(dhcp-config)# network 172.16.100.0/24 ↓
awplus(dhcp-config)# range 172.16.100.200 172.16.100.240 ↓
awplus(dhcp-config)# default-router 172.16.100.1 ↓
awplus(dhcp-config)# lease 0 2 0 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# ip dhcp pool DynamicVLAN200 ↓
awplus(dhcp-config)# network 172.16.200.0/24 ↓
awplus(dhcp-config)# range 172.16.200.200 172.16.200.240 ↓
awplus(dhcp-config)# default-router 172.16.200.1 ↓
awplus(dhcp-config)# lease 0 2 0 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# ip dhcp pool InitialFixedVLAN240 ↓
awplus(dhcp-config)# network 172.16.240.0/24 ↓
awplus(dhcp-config)# range 172.16.240.200 172.16.240.240 ↓
awplus(dhcp-config)# default-router 172.16.240.1 ↓
awplus(dhcp-config)# lease 0 0 0 20 ↓
awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓
awplus(dhcp-config)# exit ↓
awplus(config)# service dhcp-server ↓
- システム全体でMACベース認証を有効にします。
awplus(config)# aaa authentication auth-mac default group radius ↓
- ポート1.0.2~1.0.8でMACベース認証を行うよう設定し、ダイナミックVLANを有効にします。
awplus(config)# interface port1.0.2-1.0.8 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
設定は以上です。
ゲストVLAN
ゲストVLANは、未認証時にのみ割り当てられる、同一VLAN内での通信が可能なVLANです。
ゲストVLANを設定していない場合、未認証の状態ではたとえ同一VLAN所属のポート間であっても通信できませんが、これらのポートに対して同じゲストVLANを設定しておけば、未認証状態でもゲストVLAN内にかぎって通信が可能になります。なお、認証にパスした後は、ゲストVLANではなくポート本来のVLAN、あるいは、ダイナミックVLANによって割り当てられたVLANの所属となります。
ゲストVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
ローミング認証が有効化されているポートではゲストVLANを使用できません。
ゲストVLANは、ホストモードがSingle-HostモードかMulti-Hostモードの場合のみ有効です。Multi-SupplicantモードのポートではゲストVLANを使用できません。
次に例を挙げながらゲストVLANの動作について説明します。
- ゲストVLANなし(ダイナミックVLANなし)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 240 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
- 認証成功後
ダイナミックVLANの設定はされていないため、認証にパスした後も所属VLANは変わらずvlan240のままですが、ポート認証機能による通信上の制限はなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANなし(ダイナミックVLANあり)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100,200,240 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
- 認証成功後
ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANあり(ダイナミックVLANなし)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 240,248 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth guest-vlan 248 ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません(認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません)。
- 認証成功後
ダイナミックVLANの設定はされていないため、認証にパスした後は本来のVLANであるvlan240の所属となり、ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
- ゲストVLANあり(ダイナミックVLANあり)の場合
awplus(config)# vlan database ↓
awplus(config-vlan)# vlan 100,200,240,248 ↓
awplus(config-vlan)# exit ↓
awplus(config)# aaa authentication auth-mac default group radius ↓
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# switchport access vlan 240 ↓
awplus(config-if)# auth-mac enable ↓
awplus(config-if)# auth guest-vlan 248 ↓
awplus(config-if)# auth dynamic-vlan-creation ↓
この設定では、ポート1.0.2~1.0.8本来の所属はvlan240です。
- 未認証時
ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません(認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません)。
- 認証成功後
ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります(未認証のSupplicantとの通信は不可)。
Auth-fail VLAN
Auth-fail VLANは、認証失敗時に割り当てられるVLANです。ハードウェアパケットフィルターを設定しAuth-fail VLANにアサインされたクライアントのアクセス制御が可能です。
Auth-fail VLANの設定は、auth auth-fail vlanコマンドで行います。
Auth-fail VLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。
Auth-fail VLANへはRADIUSサーバーからAccess-Rejectを受信した場合のみアサインされ、タイムアウトによる認証失敗時はAuth-fail VLANへはアサインされません。
Auth-fail VLANは、ホストモードがSingle-HostモードかMulti-Hostモードの場合のみ使用できます。Multi-SupplicantモードのポートではAuth-fail VLANを使用できません。
MACベース認証とAuth-fail VLANの併用時、認証失敗したSupplicantがAuth-fail VLANの所属になったとき、各種showコマンドや各Supplicantの認証画面では「Authenticated」と表示されます。
ローミング認証
初期設定では、あるポートで認証をパスしたSupplicantが別の認証ポートに移動すると、移動前のポートから該当Supplicantの認証情報が削除され、移動先のポートで新たに認証を受けることになります。
一方、ローミング認証を有効化した認証ポート間では、一度認証をパスしたSupplicantが新たに認証を受けずに自由に移動して通信を継続できます。
ダイナミックVLANまたはゲストVLANが有効化されているポートではローミング認証を使用できません。
ローミング認証の基本的な仕様は次のとおりです。
- ローミング認証を行うポートはすべて同一の認証設定でなくてはならない。移動前と移動後のポートで認証関連の設定が異なる場合、移動先でSupplicantは再認証を受ける。
- 同一の認証設定であっても移動前と移動先のポートで所属VLANが異なる場合、移動先でSupplicantは再認証を受ける。
- MACベース認証が有効なポートから、認証が無効なポートに移動すると、移動前のポートからSupplicantの情報が削除される。そのため、その後再び元のポートに移動したときは認証を受ける。
- ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で新たに認証を受ける必要がある。
■ ローミング認証を有効化するには、auth roaming enableコマンドを使います。たとえば、MACベース認証が有効化されているポート1.0.2~1.0.8でローミング認証を有効化するには、次のようにします。
awplus(config)# interface port1.0.2-port1.0.8 ↓
awplus(config-if)# auth roaming enable ↓
アカウンティング(利用記録)
ポート認証機能では、アカウンティングをサポートしているRADIUSサーバーを利用して、Supplicantのログイン・ログアウトを記録することもできます。
本製品内蔵のローカルRADIUSサーバーは認証機能のみをサポートしており、アカウンティングはサポートしていません。
初期設定ではアカウンティングは無効です。アカウンティングの有効化は、認証方式ごとに行います。
■ 802.1X認証Supplicantのアカウンティングを有効にするには、aaa accounting dot1xコマンドを使います。ここでは、ログインとログアウトの両方を記録するため、対象イベントとしてstart-stopを指定しています。また、radius-server hostコマンドで登録したRADIUSサーバーを順に試行させるため、デフォルトのサーバーグループであるgroup radiusを指定しています。
awplus(config)# aaa accounting dot1x default start-stop group radius ↓
■ MACベース認証Supplicantのアカウンティングを有効にするには、aaa accounting auth-macコマンドを使います。コマンドの使い方は802.1Xと同じです。
awplus(config)# aaa accounting auth-mac default start-stop group radius ↓
■ 認証方式ごとに異なるRADIUSアカウンティングサーバーを使用する方法など、詳しい設定については、「運用・管理」の「RADIUSクライアント」をご覧ください。
RADIUSサーバーの設定項目
ポート認証機能を利用するために必要なRADIUSサーバー(認証サーバー)の設定項目について簡単に説明します。
RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
802.1X認証
802.1X認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の照合用属性を定義してください。
表 5:802.1X認証で使用する照合用RADIUS属性
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "userB") |
| User-Password |
パスワード |
ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要(代わりにユーザー電子証明書の用意が必要) |
Authenticator側では802.1X認証用パスワードの長さを特に制限していませんが、本製品のローカルRADIUSサーバーで設定可能なパスワードの最大長は31文字です。
また、認証方式としてPEAP(EAP-MSCHAPv2)、EAP-TLS、EAP-TTLSを使う場合は、それぞれ下記の電子証明書を用意し、各機器上にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
表 6:802.1X認証で使用する電子証明書
| 認証方式 |
各証明書のインストール先 |
| 信頼できるルートCAの証明書 |
サーバー証明書と秘密鍵 |
ユーザー証明書と秘密鍵 |
| PEAP |
Supplicant |
認証サーバー |
不要 |
| EAP-TLS |
Supplicantと認証サーバー |
認証サーバー |
Supplicant |
| EAP-TTLS |
Supplicant |
認証サーバー |
不要 |
MACベース認証
MACベース認証において、ダイナミックVLANを使用しないときは、機器ごとに下記の照合用属性を定義してください。
表 7:MACベース認証で使用する照合用RADIUS属性
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式(ハイフンあり、a~fは小文字)だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる |
| User-Password |
MACアドレスまたは共通パスワード |
認証対象機器のMACアドレス。通常は機器ごとにUser-Nameと同じ値を指定する。ただし、auth-mac passwordコマンドを設定している場合は、すべての機器に対して同コマンドで設定した共通パスワードを指定すること |
ダイナミックVLAN(各認証方式共通)
802.1X認証、MACベース認証でダイナミックVLANを使用するときは、前述の照合用属性に加え、返却用属性として下記の3属性を追加設定してください。
表 8:ダイナミックVLAN用の返却用RADIUS属性
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN (13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802 (6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN IDかVLAN名 |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANのIDか名前(例:10, "sales") |
| Egress-VLANID |
VLANタグの有無とVLAN ID |
属性値の先頭オクテットが 0x32(ASCIIの「2」)ならタグなし、0x31(ASCIIの「1」)ならタグ付きを示す |
| Egress-VLAN-Name |
VLANタグの有無とVLAN名 |
属性値の先頭オクテットが 0x32(ASCIIの「2」)ならタグなし、0x31(ASCIIの「1」)ならタグ付きを示す |
■ タグなしポートでは各Supplicantに対し、「Tunnel-Type、Tunnel-Medium-Type、Tunnel-Private-Group-Id」の組み合わせ、「Egress-VLANID」、「Egress-VLAN-Name」のいずれか一つを指定してください。
「Egress-VLANID」、「Egress-VLAN-Name」を指定する場合は、属性値の先頭をタグなしを示す 0x32(ASCIIの「2」)に設定してください。
■ タグ付きポートでは各Supplicantに対し、「Egress-VLANID」か「Egress-VLAN-Name」を指定してください。これらの属性は1つのSupplicantに対して複数指定することも可能です(1つのSupplicantに複数のVLANをアサインできます)。
「Egress-VLANID」、「Egress-VLAN-Name」のどちらの場合でも、属性値の先頭をタグ付きを示す 0x31(ASCIIの「1」)に設定してください。
RADIUS Dynamic Authorization
本製品は、RADIUSプロトコルを通じてユーザーセッションの切断や認可属性の変更を可能にするRADIUS Dynamic Authorization拡張に対応しています。
本製品がサポートしているDynamic Authorization(DA)メッセージの種類と、各メッセージの受信時に実行するアクションは次のとおりです。
- Disconnect メッセージ - 指定されたSupplicantを切断します。
Disconnectメッセージによって切断されたSupplicantの認証情報は、認証抑止期間(quietPeriod。auth timeout quiet-periodコマンドで設定)の経過後に削除されます。認証抑止期間中、該当Supplicantからのパケットはすべて破棄されます。
- Change-of-Authorization (CoA) メッセージ - 指定されたSupplicantの所属VLANを変更します(ダイナミックVLAN使用時)。
使用方法
本機能を使用するには、本製品とDAメッセージの送信元(Dynamic Authorizationクライアント)の両方に設定が必要です。
Dynamic AuthorizationクライアントはRADIUSサーバーなどを含むセキュリティー製品の一機能として実装されている場合があります。
■ 本製品側では、radius dynamic-authorization-clientコマンドでDynamic Authorizationクライアントを登録します。
同コマンドではDynamic AuthorizationクライアントのIPv4アドレスと共有パスワードを指定してください。
awplus(config)# radius dynamic-authorization-client 172.16.10.2 key heMeetsTwo! ↓
■ Dynamic Authorizationクライアント側では、Disconnectメッセージ、CoAメッセージ内に、セッション(本製品・Supplicantの組み合わせ)を特定するためのRADIUS属性を少なくとも1つ含める必要があります。また、CoAメッセージ内には、変更後のVLANを指定するためのRADIUS属性も含める必要があります。
Dynamic Authorizationクライアント(RADIUSサーバーなど)の具体的な設定・操作方法は、ご使用のクライアント製品のマニュアルをご参照ください。
- セッションを特定するための属性(1つ以上指定)
- 本製品
- Supplicant
- User-Name (1) - Supplicantの認証ユーザー名
- NAS-Port (5) - Supplicantが接続されている本製品のポートのインターフェースインデックス番号(ifIndex)(参照:show interfaceコマンド)
- Framed-IP-Address (8) - SupplicantのIPv4アドレス
- Called-Station-Id (30) - 本製品のMACアドレス
- Calling-Station-Id (31) - SupplicantのMACアドレス
- Acct-Session-Id (44) - アカウンティングセッションID
指定したすべての属性にマッチするセッションだけがアクションの対象になります。
Framed-IP-Addressで指定するIPv4アドレスは、Supplicant認証時にAccess-AcceptメッセージのFramed-IP-Address属性で割り当てられた場合にのみマッチします。
- (CoAのみ)変更後のVLANを指定するための属性
- タグなしポート(いずれか1つだけ指定)
- Egress-VLANID (56) - VLANタグの有無とVLAN ID
- Egress-VLAN-Name (58) - VLANタグの有無とVLAN名
- Tunnel-Private-Group-ID (81) - VLAN IDかVLAN名
- タグ付きポート(複数の指定が可能)
- Egress-VLANID (56) - VLANタグの有無とVLAN ID
- Egress-VLAN-Name (58) - VLANタグの有無とVLAN名
Egress-VLANID、Egress-VLAN-Name属性では、属性値の先頭オクテットが 0x32(ASCIIの「2」)ならタグなし、0x31(ASCIIの「1」)ならタグ付きを示します。なお、タグ付き指定は認証ポートがタグ付き(トランクポート)で、なおかつ、ホストモード(auth host-mode)をSingle-HostかMulti-Hostに設定し、マルチVLANセッション(auth multi-vlan-session)とダイナミックVLAN(auth dynamic-vlan-creation)有効にしている場合のみ有効です。また、該当タグ付きポートはイングレスフィルタリングが有効のままでご使用ください。
Multi-SupplicantモードのポートではCoAメッセージによるVLAN変更は未サポートです。
設定や状態の確認
■ ポート認証機能の全般的な情報は、show authコマンド、show dot1xコマンドで確認します。
たとえば、ポート1.0.5における802.1X認証の情報を確認したいときは次のようにします。
awplus# show dot1x interface port1.0.5 ↓
■ Supplicantの情報は、show auth supplicantコマンド、show dot1x supplicantコマンドで確認します。
たとえば、ポート1.0.5上の802.1X Supplicantを確認したいときは次のようにします。
awplus# show dot1x supplicant interface port1.0.5 ↓
briefオプションを付けると簡素な表示になります。
awplus# show dot1x supplicant interface port1.0.5 brief ↓
■ Supplicantのログイン情報は、show auth sessionstatisticsコマンド、show dot1x sessionstatisticsコマンドで確認します。
たとえば、ポート1.0.5上の802.1X Supplicantのログイン情報を確認したいときは次のようにします。
awplus# show dot1x sessionstatistics interface port1.0.5 ↓
(C) 2015 - 2023 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AY