[index] CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4

スイッチング/ポート認証

  - 概要
  - 認証方式
  - 機能・用語の説明
   - ダイナミックVLAN
   - ゲストVLAN
   - ポートの移動について
   - Pingポーリング機能
  - 認証サーバーの設定
  - 802.1X認証方式
   - 基本設定
   - Supplicantとして使用する際の設定例 
  - MACベース認証方式
   - 基本設定
  - Web認証方式
   - HTTPサーバーの設定例
   - HTTPSサーバーの設定例
    - 自己認証による設定例
    - 外部認証による設定例
   - テンポラリーIPアドレスを利用する場合の設定例 
   - 画面遷移
    - 認証中
    - 認証成功
    - 認証失敗
    - 再認証中
   - エラーメッセージについて
  - ダイナミックVLANの設定例
  - ゲストVLANの設定例
  - 認証方式の併用

概要

• Authenticator（認証者）：ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。
  
  • IEEE 802.1X認証方式（以下、802.1X認証）
    EAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
    
  • MACアドレスベース認証方式（以下、MACベース認証）
    SupplicantのMACアドレスによって認証を行う（機器認証）。MACベース認証を受けるために特殊な機能は必要ない。
    
  • Web認証方式
    Supplicant上のWebブラウザーからのユーザー名とパスワードを入力することによって認証を行う（ユーザー認証）。Web認証を受けるには、Supplicant上に対応Webブラウザーが必要。
    
  認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。
  認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
  
  
• 認証サーバー（RADIUSサーバー）：Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
  
  
• Supplicant（クライアント）：ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。後述の「Supplicantとして使用する際の設定例」をご覧ください。
  

Note - Protected Ports VLANと併用する場合は、先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。

Note - ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。

認証方式

• 802.1X認証
  
• MACベース認証
  
• Web認証
  

機能・用語の説明

ダイナミックVLAN

表 1

VLANASSIGNMENT	VLANASSIGNMENTTYPE	認証後のSupplicant の所属VLAN
DISABLED	-	ポートのVLAN
ENABLED	PORT	ポートのVLANまたは最初のSupplicantに指定されたVLAN。ポートの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLE、VLANASSIGNMENTTYPE=PORTのとき」をご覧ください。
ENABLED	USER(Multi-Supplicantモード時のみ)	認証サーバーから指定されたVLAN。Supplicantの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLE、VLANASSIGNMENTTYPE=USERのとき」をご覧ください。

• Supplicantの認証に失敗した場合、ポートは本来のVLAN（ADD VLANコマンドで指定したVLAN）の所属となります。ポート越えの通信は不可能です。
  
• RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
  
• RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  
• 未認証のポート、および、CONTROL=UNAUTHORISED（未認証固定）またはCONTROL=AUTHORISED（認証済み固定）に設定されたポートは、本来のVLAN所属となります。
  
• ポートがダイナミックVLANにアサインされているとき、ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
  
  • 認証済みのSupplicantがいなくなったとき。
    
  • リンクがダウンしたとき。
    
  • システム上でポート認証が無効にされたとき（DISABLE PORTAUTHコマンド）。
    

• Supplicantの認証に失敗した場合、Supplicantは本来のVLAN（ADD VLANコマンドで指定したVLAN）の所属となります。ポート越えの通信は不可能です。
  
• RADIUSサーバーから有効なVLANの情報が返ってきた場合、SupplicantはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• RADIUSサーバーから無効なVLANの情報が返ってきた場合、Supplicantは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
  
• RADIUSサーバーからVLANの情報が返ってこなかった場合、Supplicant本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、Supplicantは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  
• 未認証のポート、および、CONTROL=UNAUTHORISED（未認証固定）またはCONTROL=AUTHORISED（認証済み固定）に設定されたポート上のSupplicantは、本来のVLAN所属となります。
  

Note - 「ダイナミックVLANの設定例」を参照してください。

ゲストVLAN

Note - ゲストVLANに指定するVLAN は、CREATE VLANコマンドに、L2ONLYパラメーターを指定して作成します。

Note - 「ゲストVLANの設定例」を参照してください。

ポートの移動について

• 移動元と移動先ポートの認証方式が同じであること。
  
• 移動元と移動先ポートで、SET PORTAUTH PORTコマンドのVLANASSIGNMENTTYPEパラメーターが同じであること。
  
• 移動元と移動先ポートで、SET PORTAUTH PORTコマンドのPORTMOVEREAUTHパラメーターがENABLEDになっていること。
  
• SET PORTAUTH PORTコマンドに「VLANASSIGNMENTTYPE=PORT」が指定されている場合、移動元と移動先ポートのゲストVLANやダイナミックVLANが設定されていないこと。
  

Pingポーリング機能

表 2

項目	説明
NORMALINTERVAL	認証が成功している状態でのPing監視間隔を設定できる。デフォルトは30秒である。
TIMEOUT	Pingを送信して返信を待つ時間を設定できる。デフォルトは1秒である。
FAILCOUNT	タイムアウトが連続して発生した回数の最大値を設定できる。デフォルトは5回である。この回数を超えたSupplicantは未認証状態へ強制的に移動する。
REAUTHREFLESH	Pingの返信を受信した時に再認証タイマーを初期値に戻すかを設定できる。デフォルトは「更新しない」である。

Note - 通常のPingコマンドとの併用が可能です。

Note - ダイナミックVLAN と併用する場合、DHCPサーバーと併用しなければなりません。

Note - 「テンポラリーIPアドレスを使用する場合の設定例」を参照してください。

認証サーバーの設定

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

• 802.1X認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
  

  表 3
  

  属性名	属性値	備考
  User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
  User-Password	パスワード	（EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時）ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）。EAP-TLS使用時は不要です（別途、ユーザー電子証明書の用意が必要です）

  認証方式は、EAP-MD5、PEAP(EAP-MSCHAPv2)、TLS、TTLSを指定します。
  
  

  Note - 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant（OSや専用ソフトウェアなど）のマニュアルをご参照ください。

  
  
• MACベース認証方式を使用する場合、機器ごとに下記の属性を定義してください。
  

  表 4
  

  属性名	属性値	備考
  User-Name	MACアドレス	認証対象機器のMACアドレス（例："00-00-f4-11-22-33"）。a〜fは小文字で指定します。
  User-Password	MACアドレス	認証対象機器のMACアドレス。User-Nameと同じ値を指定します。

  認証方式は、PAPを指定します。
  
  
• Web認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
  

  表 5
  

  属性名	属性値	備考
  User-Name	ユーザー名	ユーザー名を指定します。
  User-Password	パスワード	ユーザー名に対応するパスワードを指定します。

  認証方式は、PAPを指定します。
  
  
• ダイナミックVLANを使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
  

  表 6
  

  属性名	属性値	備考
  Tunnel-Type	VLAN (13)	固定値。指定方法はサーバーに依存
  Tunnel-Medium-Type	IEEE-802 (6)	固定値。指定方法はサーバーに依存
  Tunnel-Private-Group-ID	VLAN名かVLAN ID	認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID（例："sales", 10）

  Note - 後述の「ダイナミックVLANの設定例」を参照してください。

802.1X認証方式

• Authenticator時：EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
  
  
• Supplicant時：EAP-MD5
  

基本設定

表 7

User-Name	User-Password	備考
userA	passwordA	802.1X Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドのPORTAUTH=8021X TYPE=AUTHENTICATORを指定することにより、ポート1〜16は802.1X認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR ↓
   
   

   Note - Authenticatorポートをタグ付きに設定することはできません。

   
   

   Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。

Supplicantとして使用する際の設定例

1. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
2. ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。SET PORTAUTH PORTコマンドの「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。
   
   SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓
   
   

   Note - Supplicantポートをタグ付きに設定することはできません。

MACベース認証方式

基本設定

表 8

User-Name	User-Password	備考
a1-b2-c3-d4-e5-f6	a1-b2-c3-d4-e5-f6	MAC Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
   
   

   Note - MACベース認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。

Web認証方式

表 9

対応ブラウザー	IE 6.0/7.0、Firefox 2.0（Windows/Mac/Linux/Unix）、Safari 2.0、Opera 9.0（Windows/Mac/Linux/Unix）
対応プロトコル	HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0

1. Webブラウザーを起動します。
   
   
2. 「アドレス」に、Web認証サーバーのIPアドレスを入力し、「Enter」キーを押します。
   
   
3. 次の画面が表示されますので、「ユーザー名」と「パスワード」を入力し、「Login」をクリックします。
   

   

   Note - Web認証で、同時にWeb認証サーバーにアクセスできるSupplicant数（認証用画面が同時に開ける数）は最大48です。認証に成功すれば、他のSupplicantがアクセス可能になります。

HTTPサーバーの設定例

表 10

User-Name	User-Password	備考
WebUserA	WebPasswordA	Web Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
   
   
5. Web サーバーを設定します。「IPADDRESS=10.0.0.1 PORT=3000」の指定により、「http://10.0.0.1:3000」 でアクセス可能にします。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PORT=3000 ↓
   
   
6. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   

   Note - Web認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。

HTTPSサーバーの設定例

自己認証による設定例

1. RSA公開鍵を鍵番号｢0｣として生成します。推奨鍵長は1024ビットです。
   
   CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
   
   

   Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

   
   

   Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

   
   

   Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

   
   
2. 公開鍵証明書の発行を行うために、本製品のX.500識別名（DN = Distinguished Name）を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。
   
   SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
   
   ここでは、下記の各属性値を設定しています。
   

   表 11
   

   属性名	名称	設定値
   CN	Common Name	1.1.1.1
   O	Organization	toy-organization
   OU	Organization Unit	toy-organization-unit
   L	Locality	toy-city
   ST	State or Province	toy-pref
   C	Country	jp

   
   

   Note - CN（Common Name）には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。

   
   
   
3. 生成した RSA 公開鍵を使用して、公開鍵証明書を発行します。ここでは発行した証明書の名前を｢my-cert｣、シリアル番号を｢0｣とします。
   
   CREATE PKI CERTIFICATE=my-cert KEYPAIR=0 SERIALNUMBER=0 ↓
   
   本コマンド実行により、本製品のファイルシステム上に公開鍵証明書｢my-cert.cer｣が発行されます。
   
   

   Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された公開鍵証明書は設定ファイルには含まれませんのでご注意ください。

   
   
4. 発行した公開鍵証明書を証明書データベースへ登録します。ここでは証明書データベースへの登録名を｢for https server｣とします。
   
   ADD PKI CERTIFICATE="for https server" LOCATION=my-cert.cer TYPE=SELF TRUSTED=yes ↓
   
   
5. IPインターフェースを作成します。
   
   ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
   
   
6. RADIUS サーバーの設定を行います。ここではシークレットの値を｢secret｣とします。
   
   ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
   
   
7. ポート1にポート認証機能として、Web認証を設定します。
   
   SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
   
   
8. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。
   
   SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
   
   
9. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   
10. ポート認証機能を有効にします。
    
    ENABLE PORTAUTH ↓
    
    

Note - 上記設定でHTTPS接続を開始すると、お使いのブラウザーによっては、下図のような「警告ウィンドウ」が表示される場合があります。｢はい（Y）｣をクリックすることで、認証ページへ移動することができます。

外部認証による設定例

1. RSA公開鍵を鍵番号｢0｣として生成します。推奨鍵長は1024ビットです。
   
   CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
   
   

   Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

   
   

   Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

   
   

   Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

   
   
2. 公開鍵証明書の発行要求を行うために、本製品のX.500識別名（DN = Distinguished Name）を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。
   
   SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
   
   ここでは各属性値を下記に設定しています。
   

   表 12
   

   属性値	設定値
   CN（Common Name）	1.1.1.1
   O（Organization）	toy-organization
   OU（Organization Unit）	toy-organization-unit
   L（Locality）	toy-city
   ST（State or Province）	toy-pref
   C（Country）	jp

   
   

   Note - CN（Common Name）には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。

   
   
   
3. 生成した RSA 公開鍵を使用して公開鍵証明書の発行要求ファイルを生成します。ここでは証明書発行要求ファイルの名前を｢enroll_pem｣、エンコード形式をPEM（Privacy Enhanced Mail）形式とします。
   
   CREATE PKI ENROLLMENTREQUEST="enroll_pem" KEYPAIR=0 FORMAT=pem ↓
   
   本コマンド実行により、本製品のファイルシステム上に証明書発行要求ファイル ”enroll_pem.csr” が生成されます。
   
   

   Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された証明書要求ファイルは設定ファイルには含まれませんのでご注意ください。

   
   
4. 生成した証明書発行要求ファイルをUPLOADコマンドでTFTPサーバーなどにアップロードし、それをCAに渡します。CAから証明書が発行され、証明書ファイルが作成されます。ここでは発行された証明書を｢cert.cer｣とします。また、CA自体の証明書を｢ca_cert.cer｣とします。
   
   
5. 発行された公開鍵証明書およびCA自体の証明書をTFTPサーバーなどへ置き、LOADコマンドでロードします。ロードした各ファイルを証明書データベースへ登録します。ここでは証明書データベース上の名前をそれぞれ、｢for https server｣、｢ca｣とします。
   
   ADD PKI CERTIFICATE="ca" LOCATION=ca_cert.cer TRUSTED=yes TYPE=CA ↓
   ADD PKI CERTIFICATE="for https server" LOCATION=cert.cer TRUSTED=yes TYPE=EE ↓
   
   
6. IPインターフェースを作成します。
   
   ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
   
   
7. RADIUS サーバーの設定を行います。ここではシークレットの値を｢secret｣とします。
   
   ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
   
   
8. ポート1にポート認証機能として、Web認証を設定します。
   
   SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
   
   
9. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。
   
   SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
   
   
10. Web 認証サーバーを有効にします。
    
    ENABLE WEBAUTHSERVER ↓
    
    
11. ポート認証機能を有効にします。
    
    ENABLE PORTAUTH ↓

テンポラリーIPアドレスを利用する場合の設定例

表 13

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
WebUserA	WebPasswordA	VLAN (13)	IEEE-802 (6)	10	PC1 Web Supplicant1用のユーザー名/パスワードおよび、認証後に所属させるVLAN
WebUserB	WebPasswordB	VLAN (13)	IEEE-802 (6)	10	PC2 Web Supplicant2用のユーザー名/パスワードおよび、認証後に所属させる VLAN

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓

   
   
2. VLANにポートを割り当てます。
   
   ADD VLAN=A PORT=24 ↓
ADD VLAN=B PORT=1-23 ↓

   
   
3. VLANにIPアドレスを割り当てます。
   
   ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD IP INT=VLAN-B IP=192.168.20.5 MASK=255.255.255.0 ↓

   
   
4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
5. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
   
   
7. Web認証サーバーを設定します。「IPADDRESS=10.0.0.1」の指定により、「http://10.0.0.1」でアクセス可能にします。「PINGPOLL=ENABLED REAUTHREFRESH=ENABLED」の設定により、Pingポーリング機能が有効になり、SupplicantがAuthenticatorからのPingに応答している間、再認証までの時間が延長されます。「TEMPORARYIP=ENABLED」の指定により、テンポラリーIPアドレス機能が有効になります。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PINGPOLL=ENABLED REAUTHREFRESH=ENABLED TEMPORARYIP=ENABLED ↓
   
   
8. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   
9. DHCPサーバーを有効にします。
   
   ENABLE DHCP ↓
   
   
10. DHCPサーバーを設定します。認証成功後、所属するVLAN-AのIP インターフェース用設定です。
    
    CREATE DHCP POLICY=mypolicy1 LEASE=7200 ↓
    ADD DHCP POLICY=mypolicy1 SUBNET=255.255.255.0 ROUTER=192.168.10.5 ↓
    CREATE DHCP RANGE=myip1 POLICY=mypolicy1 IP=192.168.10.240 NUMBER=10 ↓
    
    
11. DHCPサーバーを設定します。VLAN-BのIPインターフェース用設定です。この設定が、テンポラリーIPアドレスとして、使用されます。
    
    CREATE DHCP POLICY=mypolicy2 LEASE=7200 ↓
    ADD DHCP POLICY=mypolicy2 SUBNET=255.255.255.0 ROUTER=192.168.20.5 ↓
    CREATE DHCP RANGE=myip2 POLICY=mypolicy2 IP=192.168.20.240 NUMBER=10 ↓
    
    

    Note - Pingポーリング機能とWeb認証のダイナミックVLANを併用する場合、スイッチにDHCPサーバーを設定する必要があります。

画面遷移

認証中

• ダイナミックVLANが有効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがENABLED）の場合
  
• PVIDとは異なるVLANが ゲストVLANに設定されている場合
  

• ダイナミックVLANが無効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがDISABLED）かつ ゲストVLANを使用しない（SET PORTAUTH PORTコマンドのGUESTVLANパラメーターがNONE）場合
  
• ダイナミックVLANが無効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがDISABLED）かつ PVIDがゲストVLANと同じ設定の場合
  

認証成功

認証失敗

再認証中

Note - 本製品の配下のルーターからなど、本製品と異なるセグメントのSupplicantから、Web認証画面へのアクセスは受け付けられません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ダイナミックVLANとDHCPサーバー使用時に、Web認証で元のVLAN以外にアサインされた後、ログアウトすると、Web認証画面にアクセスできません。アクセスする場合には、SupplicantでIPアドレスを再取得する必要があります。また、レイヤー2スイッチとして使用する構成の場合、Web認証でゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ゲストVLANとDHCPサーバー使用時に、Web認証でゲストVLAN以外にアサインされた後、REAUTHPERIOD（Supplicantの再認証間隔）の時間経過後に、Web認証画面にアクセスできません。また、本製品をレイヤー2スイッチとして使用する構成の場合の場合、Web認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。

エラーメッセージについて

表 14

表示されるメッセージ	エラーの原因
Login Failed! Please check the supplied User Name & Password.	空白のみの入力または、MACアドレス形式。
Login Failed! Maximum sessions active. Please try later.	同時接続数が最大数に達した。
Login Failed! Could not authenticate with server.	内部的な制限(メモリー上限等)に達し、要求が受け付けられなかった。認証処理がタイムアウトし、RADIUS サーバーとの通信が失敗した。
Login Failed! Could not authenticate. Please check Username & Password.	RADIUSサーバーで認証に失敗した。
Login Failed! Could not start authentication. Please try later.	Held/Lockout状態になった。
Login Failed! Could not authenticate.	別のSupplicantが認証中。ポートの設定が未認証固定に手動設定されている。

ダイナミックVLANの設定例

Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証、Web認証でも同様に動作します。

Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

表 15

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
user1	password1	VLAN (13)	IEEE-802 (6)	20	802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させる VLAN

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓

   
   
2. RADIUSサーバーを接続するポート24をVLAN「R」に割り当てます。
   
   ADD VLAN=R PORT=24 ↓
   
   
3. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN-R IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
5. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
6. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。 また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミック VLANを有効にします。
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
   
   

   Note - Authenticatorポートをタグ付きに設定することはできません。

   
   

   Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPE/ROLEパラメーターをNONEに設定してください。

   
   

   Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

ゲストVLANの設定例

Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証、Web認証でも同様に動作します。

表 16

User-Name	User-Password	備考
user1	password1	802.1X Supplicant1用のユーザー名/パスワード
user2	password2	802.1X Supplicant2 用のユーザー名/パスワード
user3	password3	802.1X Supplicant3 用のユーザー名/パスワード

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
   
   
2. ゲストVLANを作成します。ルーティングさせないように、L2ONLYパラメーターを指定します。
   
   CREATE VLAN=B VID=20 L2ONLY ↓
   
   
3. RADIUSサーバーを接続するポート24をVLAN「A」に割り当てます。
   
   ADD VLAN=A PORT=24 ↓
   
   
4. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
5. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
6. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
7. ポート1〜16で802.1Xを行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。
   
   「GUESTVLAN=20」の指定により、ゲストVLAN は、VLAN-Bとなります。また、「VLANASSIGNMENTTYPE=USER」の指定により、接続している Supplicantごとに、VLAN が割り当てられます。
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER GUESTVLAN=20 ↓
   
   

   Note - Multi-supplicantモードで ゲストVLANを使用する場合、「VLANASSIGNMENTTYPE=USER」に指定する必要があります。

認証方式の併用

表 17

User-Name	User-Password	備考
user1	password1	PC1 802.1X Supplicant用のユーザー名/パスワード
a1:b2:c3:d4:e5:f6	a1:b2:c3:d4:e5:f6	PC2 MAC Supplicant用のユーザー名/パスワード
user3	password3	PC3 WEB Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=8021X PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
   
   
5. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。同一ポートでの ポート認証のパラメーターの設定は 全認証方式で共通であるため、以下の設定で、MACベース認証でも「MODE=MULTI VLANASSIGNMENTTYPE=USER」で機能します。
   
   SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR ↓
   
   
6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR ↓
   
   
7. Web認証サーバーを設定します。IPADDRESS=10.0.0.1の指定により、「http://10.0.0.1」でアクセス可能にします。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 ↓
   
   
8. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓

(C) 2006-2008 アライドテレシスホールディングス株式会社

PN: 613-000699 Rev.C