[index] CentreCOM 9424T/SP コマンドリファレンス 2.3

スイッチング/ポート認証


  - 概要
  - 802.1X認証方式
  - 基本設定
   - Authenticator
   - Authenticator(ダイナミックVLAN)
    - ゲストVLAN 
    - ゲストVLANの設定例
   - Supplicant
   - 認証サーバー


本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の2種類をサポートしています。


802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。

一方、MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。

802.1XおよびMACベースのポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。

 

概要

ポート認証のシステムは、通常下記の3要素から成り立っています。



本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。

Note - Protected Ports VLANと併用する場合は、先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。

Note - ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。


 

802.1X認証方式

802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。


 

基本設定

本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。以下の例では、メインの認証方式として802.1X認証を使用し、これを補うためにMACベース認証を併用します。

 

Authenticator

本製品をAuthenticatorとして使用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

  1. 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1〜16で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜16はAuthenticatorポートとなります。


  5. ポート17〜23でMACベース認証を行うよう設定します。


Note - Authenticatorポートをタグ付きに設定することはできません。

Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。

 

Authenticator(ダイナミックVLAN)

ダイナミックVLAN(Dynamic VLAN Assignemnt)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。802.1X認証、MACベース認証のどちらでも利用可能です。

以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

ここでは、利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN(「A」、「B」、「C」のどれか)に自動的にアサインされます。

ここでは、ポート1〜16で802.1X認証を、ポート17〜23でMACベース認証を行うものとします。また、RADIUSサーバーは、VLAN「R」所属のポート24(通常のポート)に接続されているものとします。

  1. VLANを作成します。


  2. RADIUSサーバーを接続するポート24をVLAN「R」に割り当てます。


  3. 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1〜16で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜16はAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。


  7. ポート17〜23でMACベース認証を行うよう設定します。


Note - Authenticatorポートをタグ付きに設定することはできません。

Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。

■ ダイナミックVLANの動作仕様は次のとおりです。


■ ポートがダイナミックVLANにアサインされているとき、ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。

 

ゲストVLAN

ゲストVLANを使用すると、認証前および、認証に失敗したSupplicantが所属するVLANを指定できます。

未認証のSupplicantの所属するVLANを SET PORTAUTH PORTコマンドのGUESTVLANパラメーターで指定することができます。ゲストVLAN内では、通信が可能です。



 

ゲストVLANの設定例

ゲストVLAN を使用すると、認証前および、認証失敗した Supplicantが所属するVLANを指定できます。

以下の設定では、認証前および、認証失敗した 802.1X Supplicantは、VLAN-Bに所属しています。

認証が成功すると、デフォルトVLANで通信が可能です。

Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証でも同様に動作します。


■ 構成


認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 1
User-Name User-Password 備考
user1 password1 802.1X Supplicant1用のユーザー名/パスワード
user2 password2 802.1X Supplicant2用のユーザー名/パスワード
user3 password3 802.1X Supplicant3用のユーザー名/パスワード



■ 設定
  1. VLANを作成します。


  2. ゲストVLANを作成します。


  3. RADIUSサーバーを接続するポート24をVLAN「A」に割り当てます。


  4. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  5. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  6. ポート認証機能を有効にします。


  7. ポート1〜16で802.1Xを行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。

    「GUESTVLAN=20」の指定により、ゲストVLAN は、VLAN-Bとなります。


 

Supplicant

本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。

  1. ポート認証機能を有効にします。


  2. ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。


Note - Supplicantポートをタグ付きに設定することはできません。

 

認証サーバー

ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。








(C) 2004-2009 アライドテレシスホールディングス株式会社

PN: J613-M0109-12 Rev.G