[index]
CentreCOM 8316XL/8324XL コマンドリファレンス 2.7
スイッチング/ポート認証
- 概要
- 802.1X認証方式
- 基本設定
- Authenticator
- Authenticator(ダイナミックVLAN)
- Supplicant
- 認証サーバー
本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の2種類をサポートしています。
- IEEE 802.1X認証(以下、802.1X認証)
- MACアドレスベース認証(以下、MACベース認証)
802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。
一方、MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。
802.1XおよびMACベースのポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。
ポート認証のシステムは、下記の3要素から成り立っています。
- Authenticator(認証者):ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。802.1X認証ではEAPメッセージの交換によってSupplicantを認証する(ユーザー認証)。また、MACベース認証ではSupplicantのMACアドレスによって認証を行う(機器認証)。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果(成功・失敗)を受け取る)。
- 認証サーバー(RADIUSサーバー):Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント):ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。一方、MACベースの認証を受けるために特殊な機能は必要ない。
本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます(Authenticatorであると同時にSupplicantでもあるような設定も可能)。認証サーバー(RADIUSサーバー)は別途用意する必要があります。
802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。
- Authenticator時:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP、EAP-OTP(MD4/MD5)
- Supplicant時:EAP-MD5、EAP-TLS、EAP-OTP(MD4/MD5)
本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。以下の例では、メインの認証方式として802.1X認証を使用し、これを補うためにMACベース認証を併用します。
本製品をAuthenticatorとして使用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、すべてのポートがVLAN defaultに所属していることを前提に、ポート1〜8で802.1X認証を、ポート9〜15でMACベース認証を行うものとします。また、RADIUSサーバーはポート16(通常のポート)に接続されているものとします。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初にIPモジュールを有効にし、VLAN defaultにIPアドレスを設定します。
ENABLE IP ↓
ADD IP INT=vlan-default IP=192.168.10.5 MASK=255.255.255.0 ↓
Note
- ここではRADIUSサーバーがVLAN default上にあるものと仮定しています。他のVLAN上にあるときは、RADIUSサーバーまでの経路を適切に設定してください。
- RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUS SERVER=192.168.10.130 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- 802.1X認証機能を有効にします。
- ポート1〜8で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜8はAuthenticatorポートとなります。
ENABLE PORTAUTH=8021X PORT=1-8 TYPE=AUTHENTICATOR ↓
- MACベース認証機能を有効にします。
ENABLE PORTAUTH=MACBASED ↓
- ポート9〜15でMACベース認証を行うよう設定します。
ENABLE PORTAUTH=MACBASED PORT=9-15 ↓
Note
- 802.1X認証のAuthenticatorポートとMACベース認証ポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できません。また、802.1X認証のAuthenticatorポートとMACベース認証ポートをタグ付きに設定することはできません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、ENABLE PORTAUTH PORTコマンド/SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。
| Authenticator(ダイナミックVLAN) |
ダイナミックVLAN(Dynamic VLAN Assignemnt)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。802.1X認証、MACベース認証のどちらでも利用可能です。
以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN(「A」、「B」、「C」のどれか)に自動的にアサインされます。
ここでは、ポート1〜8で802.1X認証を、ポート9〜15でMACベース認証を行うものとします。また、RADIUSサーバーは、VLAN「R」所属のポート16(通常のポート)に接続されているものとします。
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓
- RADIUSサーバーを接続するポート16をVLAN「R」に割り当てます。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。IPモジュールを有効にし、VLAN「R」にIPアドレスを設定します。
ENABLE IP ↓
ADD IP INT=vlan-R IP=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUS SERVER=192.168.10.130 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- 802.1X認証機能を有効にします。
- ポート1〜8で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜8はAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。
ENABLE PORTAUTH=8021X PORT=1-8 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
- MACベース認証機能を有効にします。
ENABLE PORTAUTH=MACBASED ↓
- ポート9〜15でMACベース認証を行うよう設定します。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。
ENABLE PORTAUTH=MACBASED PORT=9-15 VLANASSIGNMENT=ENABLED ↓
Note
- 802.1X認証のAuthenticatorポートとMACベース認証ポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できません。また、802.1X認証のAuthenticatorポートとMACベース認証ポートをタグ付きに設定することはできません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、ENABLE PORTAUTH PORTコマンド/SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。
■ ダイナミックVLANの動作仕様は次のとおりです。
- Supplicantの認証に失敗した場合、ポートは本来のVLAN(ADD VLAN PORTコマンドで指定したVLAN)の所属となります。ポート越えの通信は不可能です。
- RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
- RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
- 未認証のポート、および、CONTROL=UNAUTHORISED(未認証固定)またはCONTROL=AUTHORISED(認証済み固定)に設定されたポートは、本来のVLAN所属となります。
■ ポートがダイナミックVLANにアサインされているときは、ADD VLAN PORTコマンドで該当ポートの所属VLANを変更しても、設定変更は直ちには反映されません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。
- 802.1X認証モジュールを有効にします。
- ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。
ENABLE PORTAUTH=8021X PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓
Note
- Supplicantポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できません。
ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。
Note
- 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
- 802.1X認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の属性を定義してください。
表 1:802.1X認証(ダイナミックVLANなし)
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "userB") |
| User-Password |
パスワード |
(EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時)ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要(別途、ユーザー電子証明書の用意が必要) |
Note
- 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
- MACベース認証において、ダイナミックVLANを使用しないときは、機器ごとに下記の属性を定義してください。
表 2:802.1X認証(ダイナミックVLANなし)
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス(例:"00-00-f4-11-22-33")。a〜fは小文字で指定 |
| User-Password |
MACアドレス |
認証対象機器のMACアドレス。User-Nameと同じ値を指定すること |
- また、802.1X認証、MACベース認証でダイナミックVLANを使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
表 3:ダイナミックVLAN用の属性
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN (13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802 (6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN名かVLAN ID |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID(例:"sales", 10) |
Copyright (C) 2004-2010 アライドテレシスホールディングス株式会社
PN: J613-M0249-11 Rev.J