[index]
CentreCOM 9424T/SP コマンドリファレンス 2.3
スイッチング/ポート認証
- 概要
- 802.1X認証方式
- 基本設定
- Authenticator
- Authenticator(ダイナミックVLAN)
- ゲストVLAN
- ゲストVLANの設定例
- Supplicant
- 認証サーバー
本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の2種類をサポートしています。
- IEEE 802.1X認証(以下、802.1X認証)
- MACアドレスベース認証(以下、MACベース認証)
802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。
一方、MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。
802.1XおよびMACベースのポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。
ポート認証のシステムは、通常下記の3要素から成り立っています。
- Authenticator(認証者):ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。802.1X認証ではEAPメッセージの交換によってSupplicantを認証する(ユーザー認証)。また、MACベース認証ではSupplicantのMACアドレスによって認証を行う(機器認証)。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果(成功・失敗)を受け取る)。
- 認証サーバー(RADIUSサーバー):Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント):ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。一方、MACベースの認証を受けるために特殊な機能は必要ない。
本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。
Note
- Protected Ports VLANと併用する場合は、先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。
Note
- ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。
802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。
- Authenticator時:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
- Supplicant時:EAP-MD5
本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。以下の例では、メインの認証方式として802.1X認証を使用し、これを補うためにMACベース認証を併用します。
本製品をAuthenticatorとして使用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP INT=vlan1 IP=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜16で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜16はAuthenticatorポートとなります。
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR ↓
- ポート17〜23でMACベース認証を行うよう設定します。
SET PORTAUTH=MACBASED PORT=17-23 TYPE=AUTHENTICATOR ↓
Note
- Authenticatorポートをタグ付きに設定することはできません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。
| Authenticator(ダイナミックVLAN) |
ダイナミックVLAN(Dynamic VLAN Assignemnt)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。802.1X認証、MACベース認証のどちらでも利用可能です。
以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN(「A」、「B」、「C」のどれか)に自動的にアサインされます。
ここでは、ポート1〜16で802.1X認証を、ポート17〜23でMACベース認証を行うものとします。また、RADIUSサーバーは、VLAN「R」所属のポート24(通常のポート)に接続されているものとします。
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓
- RADIUSサーバーを接続するポート24をVLAN「R」に割り当てます。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP INT=vlan-R IP=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜16で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜16はAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
- ポート17〜23でMACベース認証を行うよう設定します。
SET PORTAUTH=MACBASED PORT=17-23 TYPE=AUTHENTICATOR ↓
Note
- Authenticatorポートをタグ付きに設定することはできません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。
■ ダイナミックVLANの動作仕様は次のとおりです。
- Supplicantの認証に失敗した場合、ポートは本来のVLAN(ADD VLANコマンドで指定したVLAN)の所属となります。ポート越えの通信は不可能です。
- RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
- RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
- 未認証のポート、および、CONTROL=UNAUTHORISED(未認証固定)またはCONTROL=AUTHORISED(認証済み固定)に設定されたポートは、本来のVLAN所属となります。
■ ポートがダイナミックVLANにアサインされているとき、ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
- 認証済みのSupplicantがいなくなったとき。
- リンクがダウンしたとき。
- システム上でポート認証が無効にされたとき(DISABLE PORTAUTHコマンド)。
ゲストVLAN
ゲストVLANを使用すると、認証前および、認証に失敗したSupplicantが所属するVLANを指定できます。
未認証のSupplicantの所属するVLANを SET PORTAUTH PORTコマンドのGUESTVLANパラメーターで指定することができます。ゲストVLAN内では、通信が可能です。
ゲストVLANの設定例
ゲストVLAN を使用すると、認証前および、認証失敗した Supplicantが所属するVLANを指定できます。
以下の設定では、認証前および、認証失敗した 802.1X Supplicantは、VLAN-Bに所属しています。
認証が成功すると、デフォルトVLANで通信が可能です。
Note
- 以下の例は、802.1X Supplicantを使用していますが、MACベース認証でも同様に動作します。
■ 構成
認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 1
| User-Name |
User-Password |
備考 |
| user1 |
password1 |
802.1X Supplicant1用のユーザー名/パスワード |
| user2 |
password2 |
802.1X Supplicant2用のユーザー名/パスワード |
| user3 |
password3 |
802.1X Supplicant3用のユーザー名/パスワード |
■ 設定
- VLANを作成します。
- ゲストVLANを作成します。
- RADIUSサーバーを接続するポート24をVLAN「A」に割り当てます。
- RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜16で802.1Xを行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。
「GUESTVLAN=20」の指定により、ゲストVLAN は、VLAN-Bとなります。
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR GUESTVLAN=20 ↓
本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。
- ポート認証機能を有効にします。
- ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。
SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓
Note
- Supplicantポートをタグ付きに設定することはできません。
ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。
Note
- 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
- 802.1X認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の属性を定義してください。
表 2:802.1X認証(ダイナミックVLANなし)
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "userB") |
| User-Password |
パスワード |
(EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時)ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要(別途、ユーザー電子証明書の用意が必要) |
Note
- 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
- MACベース認証において、ダイナミックVLANを使用しないときは、機器ごとに下記の属性を定義してください。
表 3:MACベース認証(ダイナミックVLANなし)
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス(例:"00-00-f4-11-22-33")。a〜fは小文字で指定 |
| User-Password |
MACアドレス |
認証対象機器のMACアドレス。User-Nameと同じ値を指定すること |
- また、802.1X認証、MACベース認証でダイナミックVLANを使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
表 4:ダイナミックVLAN用の属性
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN (13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802 (6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN名かVLAN ID |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID(例:"sales", 10) |
(C) 2004-2009 アライドテレシスホールディングス株式会社
PN: J613-M0109-12 Rev.G