[index] CentreCOM 9424T コマンドリファレンス 2.11

スイッチング/ポート認証

  - 概要
  - 802.1X認証方式
   - 基本設定
   - Supplicantとして使用する際の設定例 
  - MACベース認証方式
   - 基本設定
  - Web認証方式
   - Pingポーリング機能
   - HTTPリダイレクト
    - セッションキープ
   - HTTPサーバーの基本設定
   - HTTPSサーバーの基本設定
    - 自己認証による設定例
    - 外部認証による設定例
  - 機能・用語の説明
   - ダイナミックVLAN
   - ゲストVLAN
   - ポートの移動について
   - 認証アルゴリズムの併用
  - 設定例
   - ダイナミックVLANの設定例
   - ゲストVLANの設定例
   - テンポラリーIPアドレスを利用する場合の設定例
   - プロキシーサーバーを使用した場合の設定例
   - マルチプルVLAN（Protected Ports VLAN）を用いた設定例
  - 資料編
   - Web認証の画面遷移
    - 認証中
    - 認証成功
    - 認証失敗
     - エラーメッセージについて
    - 再認証中
   - 認証ログ
    - 認証ログ一覧
   - 認証サーバーの設定

本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。

ポートに接続された機器（および機器を使用するユーザー。以下同様）の認証方法としては、大きく分けて次の3種類をサポートしています。
1つのポートに複数の認証アルゴリズム（802.1X認証/MACベース認証/Web認証）を設定することもできます。後述の「認証アルゴリズムの併用」を参照してください。

• 802.1X認証
  
• MACベース認証
  
• Web認証
  

概要

• Authenticator（認証者）：ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。
  
  • IEEE 802.1X認証方式（以下、802.1X認証）
    EAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
    
  • MACアドレスベース認証方式（以下、MACベース認証）
    SupplicantのMACアドレスによって認証を行う（機器認証）。MACベース認証を受けるために特殊な機能は必要ない。
    
  • Web認証方式
    Supplicant上のWebブラウザーからユーザー名とパスワードを入力することによって認証を行う（ユーザー認証）。Web認証を受けるには、Supplicant上に対応Webブラウザーが必要。
    
  認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。
  認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
  
  
• 認証サーバー（RADIUSサーバー）：Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
  
  
• Supplicant（クライアント）：ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。後述の「Supplicantとして使用する際の設定例」をご覧ください。
  

Note - Supplicantポートはタグ付きにはできません。

Note - Authenticatorポートとタグ付きポートを併用する場合は、ダイナミックVLAN、ゲストVLANは使用できません。

Note - ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。

Note - 認証ポートに設定されたポートはVLANの設定を変更できません。先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。

Note - MACベース認証とWeb認証では、SupplicantのMACアドレスがエージングによりFDBから削除されると、認証許可状態が解除されます。

Note - 複数のVLANインターフェースにIPを割り当てている場合、認証時にAuthenticatorからRadiusサーバーへ送信されるRadius Request PacketのNAS-IP-Addressの値が0.0.0.0になります。

Note - 認証ポートでタグ付きのEAPOL-Startを受信しているにもかかわらず、認証ポートが所属するすべてのVLANタグを付与したEAP-RequestとEAP-Failureを送信します。

Note - 認証ポートに設定するとブロードキャスト/未学習のマルチキャスト/未学習のユニキャストフレームのフィルタリング機能（BCASTEGRESSFILTERING、UNKMCASTEGRESSFILTERING、UNKUCASTEGRESSFILTERING）が自動で設定されますが、本設定は変更しないでください。

802.1X認証方式

• Authenticator時：EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
  
  
• Supplicant時：EAP-MD5
  

基本設定

表 1

User-Name	User-Password	備考
userA	passwordA	802.1X Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドのPORTAUTH=8021X TYPE=AUTHENTICATORを指定することにより、ポート1〜16は802.1X認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR ↓
   
   

   Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

Supplicantとして使用する際の設定例

1. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
2. ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。SET PORTAUTH PORTコマンドの「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。
   
   SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓

Note - Supplicantポートをタグ付きに設定することはできません。

MACベース認証方式

基本設定

表 2

User-Name	User-Password	備考
a1-b2-c3-d4-e5-f6	a1-b2-c3-d4-e5-f6	MAC Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
   
   

   Note - MACベース認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。

Web認証方式

表 3

対応ブラウザー	IE 6.0/7.0、Firefox 3.0（Windows/Mac）、Firefox 2.0（Linux/Unix）、Safari 2.0、Opera 9.5（Windows/Mac）、Opera 9.0（Linux/Unix）
対応プロトコル	HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0

1. Webブラウザーを起動します。
   
   
2. 「アドレス」に、Web認証サーバーのIPアドレスを入力し、「Enter」キーを押します。
   
   
3. 次の画面が表示されますので、「ユーザー名」と「パスワード」を入力し、「Login」をクリックします。
   

   

   Note - Web認証で、同時にWeb認証サーバーにアクセスできるSupplicant数（認証用画面が同時に開ける数）は最大48です。認証に成功すれば、他のSupplicantがアクセス可能になります。

Note - L3構成にてゲストVLANとDHCPサーバーを使用時に、Web認証でゲストVLAN以外にアサインされた後、ログアウトをするとWeb認証画面へアクセスできません。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。またL2構成の場合には、Web認証で認証が成功し、ゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。

Note - 本製品と異なるセグメントのSupplicantからWeb認証画面へはアクセスできません。

Pingポーリング機能

表 4

項目	説明
NORMALINTERVAL	認証が成功している状態でのPing監視間隔を設定できる。デフォルトは30秒である。
TIMEOUT	Pingを送信して返信を待つ時間を設定できる。デフォルトは1秒である。
FAILCOUNT	タイムアウトが連続して発生した回数の最大値を設定できる。デフォルトは5回である。この回数を超えたSupplicantは未認証状態へ強制的に移動する。
REAUTHREFRESH	Pingの返信を受信した時に再認証タイマーを初期値に戻すかを設定できる。デフォルトは「更新しない」である。

Note - 通常のPingコマンドとの併用が可能です。

Note - ダイナミックVLAN と併用する場合、DHCPサーバーと併用しなければなりません。

Note - 「テンポラリーIPアドレスを使用する場合の設定例」を参照してください。

HTTPリダイレクト

SET WEBAUTHSERVER HTTPREDIRECT=ENABLED ↓

Note - URLがホスト名(たとえばhttp://www.allied-telesis.co.jp/)の場合、認証前に名前解決をする必要があります。

Note - HTTPリダイレクト機能が有効（SET WEBAUTHSERVER HTTPREDIRECT=ENABLED） かつ、Web認証サーバーのHTTPSが有効（SET WEBAUTHSERVER SECURITY=ENABLED）な場合、HTTPSによる接続を行います。

セッションキープ

Note - セッションキープはHTTPリダイレクトが有効の場合のみ動作します。

Note - 802.1X認証やMACベース認証と併用している場合、802.1X認証やMACベース認証のHELDが解除されると、セッションキープも解除されます。

Note - 認証成功時、HTTPリダイレクトよりもセッションキープの方が優先されます。

HTTPサーバーの基本設定

表 5

User-Name	User-Password	備考
WebUserA	WebPasswordA	Web Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
   
   
5. Web サーバーを設定します。「IPADDRESS=10.0.0.1 PORT=3000」の指定により、「http://10.0.0.1:3000」 でアクセス可能にします。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PORT=3000 ↓
   
   
6. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   

   Note - Web認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。

HTTPSサーバーの基本設定

自己認証による設定例

1. RSA公開鍵を鍵番号｢0｣として生成します。推奨鍵長は1024ビットです。
   
   CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
   
   

   Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

   
   

   Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

   
   

   Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

   
   
2. 公開鍵証明書の発行を行うために、本製品のX.500識別名（DN = Distinguished Name）を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。
   
   SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
   
   ここでは、下記の各属性値を設定しています。
   

   表 6
   

   属性名	名称	設定値
   CN	Common Name	1.1.1.1
   O	Organization	toy-organization
   OU	Organization Unit	toy-organization-unit
   L	Locality	toy-city
   ST	State or Province	toy-pref
   C	Country	jp

   
   

   Note - CN（Common Name）には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。

   
   
   
3. 生成した RSA 公開鍵を使用して、公開鍵証明書を発行します。ここでは発行した証明書の名前を｢my-cert｣、シリアル番号を｢0｣とします。
   
   CREATE PKI CERTIFICATE=my-cert KEYPAIR=0 SERIALNUMBER=0 ↓
   
   本コマンド実行により、本製品のファイルシステム上に公開鍵証明書｢my-cert.cer｣が発行されます。
   
   

   Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された公開鍵証明書は設定ファイルには含まれませんのでご注意ください。

   
   
4. 発行した公開鍵証明書を証明書データベースへ登録します。ここでは証明書データベースへの登録名を｢for https server｣とします。
   
   ADD PKI CERTIFICATE="for https server" LOCATION=my-cert.cer TYPE=SELF TRUSTED=yes ↓
   
   
5. IPインターフェースを作成します。
   
   ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
   
   
6. RADIUS サーバーの設定を行います。ここではシークレットの値を｢secret｣とします。
   
   ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
   
   
7. ポート1にポート認証機能として、Web認証を設定します。
   
   SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
   
   
8. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。
   
   SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
   
   
9. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   
10. ポート認証機能を有効にします。
    
    ENABLE PORTAUTH ↓

Note - 上記設定でHTTPS接続を開始すると、お使いのブラウザーによっては、下図のような「警告ウィンドウ」が表示される場合があります。｢はい（Y）｣をクリックすることで、認証ページへ移動することができます。

外部認証による設定例

1. RSA公開鍵を鍵番号｢0｣として生成します。推奨鍵長は1024ビットです。
   
   CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
   
   

   Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

   
   

   Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

   
   

   Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

   
   
2. 公開鍵証明書の発行要求を行うために、本製品のX.500識別名（DN = Distinguished Name）を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。
   
   SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
   
   ここでは各属性値を下記に設定しています。
   

   表 7
   

   属性値	設定値
   CN（Common Name）	1.1.1.1
   O（Organization）	toy-organization
   OU（Organization Unit）	toy-organization-unit
   L（Locality）	toy-city
   ST（State or Province）	toy-pref
   C（Country）	jp

   
   

   Note - CN（Common Name）には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。

   
   
   
3. 生成した RSA 公開鍵を使用して公開鍵証明書の発行要求ファイルを生成します。ここでは証明書発行要求ファイルの名前を｢enroll_pem｣、エンコード形式をPEM（Privacy Enhanced Mail）形式とします。
   
   CREATE PKI ENROLLMENTREQUEST="enroll_pem" KEYPAIR=0 FORMAT=pem ↓
   
   本コマンド実行により、本製品のファイルシステム上に証明書発行要求ファイル ”enroll_pem.csr” が生成されます。
   
   

   Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された証明書要求ファイルは設定ファイルには含まれませんのでご注意ください。

   
   
4. 生成した証明書発行要求ファイルをUPLOADコマンドでTFTPサーバーなどにアップロードし、それをCAに渡します。CAから証明書が発行され、証明書ファイルが作成されます。ここでは発行された証明書を｢cert.cer｣とします。また、CA自体の証明書を｢ca_cert.cer｣とします。
   
   
5. 発行された公開鍵証明書およびCA自体の証明書をTFTPサーバーなどへ置き、LOADコマンドでロードします。ロードした各ファイルを証明書データベースへ登録します。ここでは証明書データベース上の名前をそれぞれ、｢for https server｣、｢ca｣とします。
   
   ADD PKI CERTIFICATE="ca" LOCATION=ca_cert.cer TRUSTED=yes TYPE=CA ↓
   ADD PKI CERTIFICATE="for https server" LOCATION=cert.cer TRUSTED=yes TYPE=EE ↓
   
   
6. IPインターフェースを作成します。
   
   ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
   
   
7. RADIUS サーバーの設定を行います。ここではシークレットの値を｢secret｣とします。
   
   ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
   
   
8. ポート1にポート認証機能として、Web認証を設定します。
   
   SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
   
   
9. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。
   
   SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
   
   
10. Web 認証サーバーを有効にします。
    
    ENABLE WEBAUTHSERVER ↓
    
    
11. ポート認証機能を有効にします。
    
    ENABLE PORTAUTH ↓

機能・用語の説明

ダイナミックVLAN

表 8

VLANASSIGNMENT	VLANASSIGNMENTTYPE	認証後のSupplicant の所属VLAN
DISABLED	-	ポートのVLAN
ENABLED	PORT	ポートのVLANまたは最初のSupplicantに指定されたVLAN。ポートの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=PORTのとき」をご覧ください。
ENABLED	USER(Multi-Supplicantモード時のみ)	認証サーバーから指定されたVLAN。Supplicant単位でVLANが割り当てられる（マルチプルダイナミックVLAN）。Supplicantの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=USERのとき」をご覧ください。

• Supplicantの認証に失敗した場合、ポートは本来のVLAN（ADD VLANコマンドで指定したVLAN）の所属となります。ポート越えの通信は不可能です。
  
• RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
  
• RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  
• 未認証のポート、および、CONTROL=UNAUTHORISED（未認証固定）またはCONTROL=AUTHORISED（認証済み固定）に設定されたポートは、本来のVLAN所属となります。
  
• ポートがダイナミックVLANにアサインされているとき、ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
  
  • 認証済みのSupplicantがいなくなったとき。
    
  • リンクがダウンしたとき。
    
  • システム上でポート認証が無効にされたとき（DISABLE PORTAUTHコマンド）。
    

• Supplicantの認証に失敗した場合、Supplicantは本来のVLAN（ADD VLANコマンドで指定したVLAN）の所属となります。ポート越えの通信は不可能です。
  
• RADIUSサーバーから有効なVLANの情報が返ってきた場合、SupplicantはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• RADIUSサーバーから無効なVLANの情報が返ってきた場合、Supplicantは本来のVLAN所属となります。また、認証も失敗となるため、ポート越えの通信は不可能です。
  
• RADIUSサーバーからVLANの情報が返ってこなかった場合、Supplicant本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、Supplicantは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  
• 未認証のポート、および、CONTROL=UNAUTHORISED（未認証固定）またはCONTROL=AUTHORISED（認証済み固定）に設定されたポート上のSupplicantは、本来のVLAN所属となります。
  

ゲストVLAN

Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。

ポートの移動について

• 移動元と移動先ポートの認証方式が同じであること。
  
• 移動元と移動先ポートで、SET PORTAUTH PORTコマンドのVLANASSIGNMENTTYPEパラメーターが同じであること。
  
• 移動元と移動先ポートで、SET PORTAUTH PORTコマンドのPORTMOVEREAUTHパラメーターがENABLEDになっていること。
  
• SET PORTAUTH PORTコマンドに「VLANASSIGNMENTTYPE=PORT」が指定されている場合、移動元と移動先ポートにゲストVLANやダイナミックVLANが設定されていないこと。
  

Note - リンクダウン・リンクアップ時にEAPOL-Startを送出するSupplicant（Windows XP SP3、Windows Vistaなど）は、再認証を行わずにポート移動させることはできません。

認証アルゴリズムの併用

• 認証メカニズムは同時に実行（RADIUSサーバーと通信）することはできない。1つの認証メカニズムが実行中の場合、他は待ち状態となる。
  
• MACベース認証/Web認証と併用した場合は802.1Xも必ずMulti-Supplicantモードとなる。
  
• 1つの認証メカニズムで認証が成功すれば、認証許可状態となる。
  
• 802.1X/MACベース認証を併用した場合、MACベース認証が先に実行されるが、EAPOL-Startを受信したときはただちに802.1X認証が実行される。
  
• 802.1X/MACベース認証を併用した場合、MACベース認証でHELDになると同時にEAP-RequestをSupplicantに送信する。
  
• 802.1X/MACベース認証は1回目の認証の失敗でHELD状態となる。Web認証は3回連続で認証に失敗した場合にHELD状態となる。HELD期間はQUIETPERIODパラメーターに依存する。HELD状態は1つの認証メカニズムで認証が成功すれば、解除される。
  
• 802.1X/Web認証ではConnecting時に「ユーザー名」と「パスワード」を入力させるタイミングが存在する。入力されてボタンが押されるまでは他の認証アルゴリズムを実行することができる。
  
• 802.1X/MACベース認証はREAUTHPERIODパラメーターで設定した再認証間隔を過ぎると再認証を実行し、HELDになった場合、未認証状態となる。Web認証は再認証間隔を過ぎると強制的に未認証状態となる。
  
• 802.1X/MACベース認証において再認証は認証に成功した認証メカニズムに対してHELDとなった場合にのみ未認証状態となる。
  
• 1つの認証メカニズムがHELD→CONNECTINGになった時、他の認証メカニズムがCONNECTINGであれば、Supplicant情報は削除される。
  
• 認証アルゴリズムを併用し、1つの認証アルゴリズムで認証許可状態となった場合、その認証が解除されるまで、他の認証アルゴリズムは動作しない。ただし MACベース認証で認証許可状態で、EAPOL-Startを受信したときは、MACベース認証が解除され、802.1X認証が実行される。
  

• Initialize
  初期化状態。処理終了後、Disconnectedに移行する。
  ※現状設定変更があるといったんリセットしているのでこの状態になることはない。
  
  
• Disconnected
  未認証（リセット）状態。サプリカントがどの状態であったとしても以下のイベントが発生した場合にこの状態になる。
  
  • EAPOL-Logoff受信時
    
  • WEB画面でログアウトボタンを押した時
    
  • Ageoutした時
    
  処理終了後、Connectingに移行する。
  
  
• Connecting
  認証開始待ち状態。HELD期間中はその認証アルゴリズムは実行できない。HELD期間でない場合に以下のイベントが発生することで Authenticatingに移行する。
  
  • MACベース認証：フレームを受信
    
  • 802.1X認証：EAP-Responseを受信
    
  • Web認証：「ユーザー名」と「パスワード」を入力してログインボタンを押す
    
  Connectingの状態でアクセスがない場合SuppAgeout Timer (300秒固定) 経過後に、Supplicant情報は削除される。
  
  
• Authenticating
  RADIUS SERVERと通信中の状態。通信結果を受けて以下のどれかに移行する。
  （Authenticated）
  
  • RADIUS SERVERからAccess-Acceptを受信し、正常にVLAN移動が終了した（認証アルゴリズムの内、どれか1つでも成功すればよい）
    
  （Aborting）
  
  • 再認証が発生
    
  • EAPOL-Start受信
    
  • EAPOL-Logoff受信
    
  • RADIUS SERVERから応答がなかった
    
  （HELD）
  
  • RADIUS SERVERからAccess-Rejectを受信
    
  • RADIUS SERVERからAccess-Acceptを受信したが、VLAN移動で異常が発生した場合（不正なAccess-Accept/指定されたVLANが存在しない/指定されたVLANのTypeがPort Based以外/ Secure設定されていて1台目と違うVLANが指定された/ VLANの移動に失敗した）
    
  
  
• Authenticated
  認証許可状態。再認証期間を過ぎることで802.1X認証/MACベース認証はConnectingに移行する。Web認証は Disconnectedに移行する。
  
  
• Aborting
  RADIUSとの通信状態を初期化している状態。処理終了後、Disconnectedに移行する。
  
  
• Held
  一定期間認証をブロックする状態。認証アルゴリズムごとに存在するため、HELD以外の認証アルゴリズムは実行することができる。（他の認証アルゴリズムはConnectingとなる）認証が成功するとすべてHELDがリセットされる。
  
  
• ForceAuth
  強制的にすべてのサプリカントを認証成功にする状態。
  
  
• ForceUnauth
  強制的にすべてのサプリカントを未認証にする状態。
  

表 9

User-Name	User-Password	備考
user1	password1	PC1 802.1X Supplicant用のユーザー名/パスワード
a1-b2-c3-d4-e5-f6	a1-b2-c3-d4-e5-f6	PC2 MAC Supplicant用のユーザー名/パスワード
user3	password3	PC3 WEB Supplicant用のユーザー名/パスワード

1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
3. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
4. ポート1で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=8021X PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
   
   
5. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。同一ポートでの ポート認証のパラメーターの設定は 全認証方式で共通であるため、以下の設定で、MACベース認証でも「MODE=MULTI VLANASSIGNMENTTYPE=USER」で機能します。
   
   SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR ↓
   
   
6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR ↓
   
   
7. Web認証サーバーを設定します。IPADDRESS=10.0.0.1の指定により、「http://10.0.0.1」でアクセス可能にします。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 ↓
   
   
8. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓

設定例

ダイナミックVLANの設定例

Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証、Web認証でも同様に動作します。

Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

Note - 認証ポートとタグ付きポートを併用する場合は、ダイナミックVLANは使用できません。

Note - L3構成にてダイナミックVLANとDHCPサーバーを使用時に、Web認証で元のVLAN以外にアサインされた後、REAUTHPERIODの時間が経過するとWeb認証画面へアクセスできなくなります。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。また、L2構成の場合にはWeb認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。

表 10

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
user1	password1	VLAN (13)	IEEE-802 (6)	20	802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させる VLAN

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓

   
   
2. RADIUSサーバーを接続するポート24をVLAN「R」に割り当てます。
   
   ADD VLAN=R PORT=24 ↓
   
   
3. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN-R IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
5. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
6. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。 また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミック VLANを有効にします。
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
   
   
   

   Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

   
   

   Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

ゲストVLANの設定例

Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。

表 11

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
user1	password1	VLAN (13)	IEEE-802 (6)	10	802.1X Supplicant1用のユーザー名/パスワード
user2	password2	VLAN (13)	IEEE-802 (6)	10	802.1X Supplicant2用のユーザー名/パスワード
user3	password3	VLAN (13)	IEEE-802 (6)	10	802.1X Supplicant3用のユーザー名/パスワード

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
   
   
2. ゲストVLANを作成します。ルーティングさせないように、L2ONLYパラメーターを指定します。
   
   CREATE VLAN=B VID=20 L2ONLY ↓
   
   
3. RADIUSサーバーを接続するポート24をVLAN「A」に割り当てます。
   
   ADD VLAN=A PORT=24 ↓
   
   
4. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
   
   ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
   
   
5. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
6. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
7. ポート1〜16で802.1Xを行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。
   
   「GUESTVLAN=20」の指定により、ゲストVLAN は、VLAN-Bとなります。また、「VLANASSIGNMENTTYPE=USER」の指定により、接続しているSupplicantごとに、VLANが割り当てられます。（マルチプルダイナミックVLAN）
   
   SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER GUESTVLAN=20 ↓
   
   

   Note - Multi-supplicantモードでゲストVLANを使用する場合、「VLANASSIGNMENTTYPE=USER」に指定する必要があります。

テンポラリーIPアドレスを利用する場合の設定例

表 12

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
WebUserA	WebPasswordA	VLAN (13)	IEEE-802 (6)	10	PC1 Web Supplicant1用のユーザー名/パスワードおよび、認証後に所属させるVLAN
WebUserB	WebPasswordB	VLAN (13)	IEEE-802 (6)	10	PC2 Web Supplicant2用のユーザー名/パスワードおよび、認証後に所属させる VLAN

1. VLANを作成します。
   
   CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓

   
   
2. VLANにポートを割り当てます。
   
   ADD VLAN=A PORT=24 ↓
ADD VLAN=B PORT=1-23 ↓

   
   
3. VLANにIPアドレスを割り当てます。
   
   ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD IP INT=VLAN-B IP=192.168.20.5 MASK=255.255.255.0 ↓

   
   
4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
   
   ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
   
   
5. ポート認証機能を有効にします。
   
   ENABLE PORTAUTH ↓
   
   
6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。また、マルチプルダイナミックVLAN（ユーザー単位のダイナミックVLAN）を設定します。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
   
   
7. Web認証サーバーを設定します。「IPADDRESS=10.0.0.1」の指定により、「http://10.0.0.1」でアクセス可能にします。「PINGPOLL=ENABLED REAUTHREFRESH=ENABLED」の設定により、Pingポーリング機能が有効になり、SupplicantがAuthenticatorからのPingに応答している間、再認証までの時間が延長されます。「TEMPORARYIP=ENABLED」の指定により、テンポラリーIPアドレス機能が有効になります。
   
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PINGPOLL=ENABLED REAUTHREFRESH=ENABLED TEMPORARYIP=ENABLED ↓
   
   
8. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓
   
   
9. DHCPサーバーを有効にします。
   
   ENABLE DHCP ↓
   
   
10. DHCPサーバーを設定します。認証成功後、所属するVLAN-AのIP インターフェース用設定です。
    
    CREATE DHCP POLICY=mypolicy1 LEASE=7200 ↓
ADD DHCP POLICY=mypolicy1 SUBNET=255.255.255.0 ROUTER=192.168.10.5 ↓
CREATE DHCP RANGE=myip1 POLICY=mypolicy1 IP=192.168.10.240 NUMBER=10 ↓

    
    
11. DHCPサーバーを設定します。VLAN-BのIPインターフェース用設定です。この設定が、テンポラリーIPアドレスとして、使用されます。
    
    CREATE DHCP POLICY=mypolicy2 LEASE=7200 ↓
ADD DHCP POLICY=mypolicy2 SUBNET=255.255.255.0 ROUTER=192.168.20.5 ↓
CREATE DHCP RANGE=myip2 POLICY=mypolicy2 IP=192.168.20.240 NUMBER=10 ↓

    
    

    Note - ここではIPアドレスのリース時間を7200秒に指定していますが、テンポラリーIPアドレスのリース時間は20秒固定なので、リース時間7200秒の設定は有効にはなりません。

    
    

    Note - Pingポーリング機能とWeb認証のダイナミックVLANを併用する場合、スイッチにDHCPサーバーを設定する必要があります。

プロキシーサーバーを使用した場合の設定例

Note - プロキシーサーバーはSupplicantと同じサブネット内ではなく、スイッチを経由したルーティング先にします。SupplicantのデフォルトゲートウェイはAuthenticatorのIPアドレスに設定します。

Note - Supplicantのプロキシーサーバーに対応するためには HTTPリダイレクトを有効にする必要があります。

1. WPAD（Web Proxy Auto Discovery）を使用する。
   プロキシーサーバーのIPアドレス/ポート番号を意識することなく、認証後、プロキシーサーバーを通して外部にアクセスすることが可能になります。
   
   ブラウザーはDHCP INFORMパケットにより、PAC(Proxy Auto Configuration) ファイルの位置を取得し、プロキシーサーバーの設定を自動的に構成します。
   
   本製品の設定
   
   
   • SET WEBAUTHSERVER HTTPREDIRECT=ENABLED
     
   • SET WEBAUTHSERVER SESSIONKEEP=ENABLED
     
   • SET WEBAUTHSERVER PROXYSERVER={プロキシーサーバーのIPアドレス}
     
   • SET WEBAUTHSERVER PROXYPORT ={プロキシーサーバーのポート番号}
     
   • DHCP サーバーを有効にします
     
   
   Supplicantの設定
   Microsoft Internet Explorerでは、[設定を自動的に検出する]オプションが相当します。
   
   

   Note - Internet Explorerで未認証のSupplicantがPACファイルを取得できなかった場合、プロキシー設定はされず、HTTPリダイレクトが機能します。

   
   

   Note - 認証成功後にWebブラウザーの再起動で　PACファイルの再取得が行われます。

   
   
2. PAC (Proxy Auto Configuration)ファイルを手動で設定する
   プロキシーサーバーの設定を記述した、PACファイルを用意し、ネットワーク上の位置をブラウザーに設定します。
   
   本製品の設定
   
   
   • SET WEBAUTHSERVER HTTPREDIRECT=ENABLED
     
   • SET WEBAUTHSERVER SESSIONKEEP=ENABLED
     
   • SET WEBAUTHSERVER PROXYSERVER={プロキシーサーバーのIPアドレス}
     
   • SET WEBAUTHSERVER PROXYPORT ={プロキシーサーバーのポート番号}
     
   • DHCP サーバーを有効にします
     
   
   Supplicantの設定
   http://{PAC ファイルを配置した、サーバーのURL }/{PAC ファイル名} を設定します。
   　(例) http://192.168.2.2/proxy.pac
   
   Microsoft Internet Explorerでは、[自動構成スクリプトを使用する] に、PACファイルの位置を設定します。
   
   

   Note - Internet Explorerで [自動構成スクリプトを使用する] のオプションに スイッチ以外のPACファイルを指定した場合、未認証のSupplicantはPACファイルを取得できないため、プロキシー設定はされず、HTTPリダイレクトが機能します。

   
   

   Note - 認証成功後にWebブラウザーの再起動で　PACファイルの再取得が行われます。

   
   
   
3. プロキシーサーバーを直接指定する。
   プロキシーサーバーのIP アドレス、ポート番号を手動で、設定します。
   
   本製品の設定
   
   • SET WEBAUTHSERVER HTTPREDIRECT=ENABLED
     
   • SET WEBAUTHSERVER SESSIONKEEP=ENABLED
     
   • SET WEBAUTHSERVER PROXYPORT ={プロキシーサーバーのポート番号}
     
   
   Supplicantの設定
   Microsoft Internet Explorerでは、[LAN にプロキシサーバーを使用する] に、プロキシーサーバーのアドレス、ポート番号を設定します。
   
   

   Note - Internet Explorerではプロキシーサーバーの設定の[例外]にWeb認証サーバーのIPアドレスを設定しなければ、認証成功後、Web認証サーバーへアクセスできません。

• 10.0.0.1、192.168.1.1、192.168.3.1、192.168.4.1 へのアクセスは、プロキシーサーバーを経由せず直接アクセスします。
  
• それ以外の宛先へのアクセスは、192.168.1.11 のプロキシーサーバー経由でアクセスするように指定しています。
  

function FindProxyForURL(url,host) ↓
{ ↓
if(isPlainHostName(host) ↓
||shExpMatch(host,"10.0.0.1") ↓
||shExpMatch(host,"192.168.1.1") ↓
||shExpMatch(host,"192.168.2.1") ↓
||shExpMatch(host,"192.168.3.1") ↓
||shExpMatch(host,"192.168.4.1") ↓
) ↓
{ ↓
return "DIRECT"; ↓
} ↓
return "PROXY 192.168.1.11:8080;DIRECT"; ↓
} ↓


• SupplicantはWPADを使用します。
  
• 任意のWebページアクセス（たとえばhttp://www.allied-telesis.co.jp/）を行い、Web認証を行います。
  
• 認証成功後、任意のWebページへ自動的にアクセスします。
  
• Supplicantは 認証前はスイッチのDHCPサーバーから、認証成功後は外部のDHCPサーバーからIPアドレスを取得するものとします。
  

• SupplicantのWebブラウザーで、WPADを有効にします。
  
• 認証後は、http://10.0.0.1 にアクセスすると、本製品の認証ページにアクセスできます。
  

• WPAD PC上には、PACファイルがproxy.pac というファイル名でアクセス可能とします。このproxy.pacファイルが認証後Supplicantに使用されます。
  
• DHCPサーバーは、Option 252として、WPAD PC上のproxy.pacファイルへのURL を答えるように構成されています。
  
• プロキシーサーバーは、ポート番号 8080で待ち受けているものとします。
  

1. 認証サーバーリストにRADIUSサーバーを追加します。
   
   ADD RADIUS SERVER=192.168.1.11 ORDER=1 SECRET=test ↓

   
   
2. VLANを作成します。
   認証前のVLAN v4と認証成功後のダイナミックVLAN用のVLAN v3を作成します。
   
   CREATE VLAN=v2 VID=2 UNTAGGEDPORT=2 ↓
CREATE VLAN=v3 VID=3 UNTAGGEDPORT=3 ↓
CREATE VLAN=v4 VID=4 UNTAGGEDPORT=1 ↓

   
   
3. ポート1にWeb認証の設定をします。
   
   SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓

   
   
4. ポート認証を有効にします。
   
   ENABLE PORTAUTH ↓

   
   
5. Web認証サーバーを設定します。
   
   • 「TEMPORARYIP=ENABLED」の指定により、認証前のSupplicantは、スイッチのDHCPサーバーよりテンポラリーIPアドレスを取得できます。
     
   • 「PROXYSERVER="192.168.1.11" PROXYPORT=8080」の指定により、認証前のSupplicantのプロキシーサーバーのアクセス先を、「http://192.168.1.11:8080」とするPACファイルを作成します。
     
   • 「HTTPREDIRECT=enabled」の指定により、任意のWebサーバーへのアクセスで、Web認証のログイン画面を表示します。
     
   • 「SESSIONKEEP=enabled」の指定により、認証成功後、自動的にWebサーバーへアクセスします。
     
   • 「RENEWALTIME=8」の指定により、認証成功後、Webサーバーへアクセスする時間を調整します。
     
   SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PROXYSERVER="192.168.1.11" PROXYPORT=8080 HTTPREDIRECT=enabled SESSIONKEEP=enabled TEMPORARYIP=enabled RENEWALTIME=8 ↓

   
   
6. Web認証サーバーを有効にします。
   
   ENABLE WEBAUTHSERVER ↓

   
   
7. VLANインターフェースにIPアドレスを設定します。
   
   ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan2 IPADDRESS=192.168.2.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan3 IPADDRESS=192.168.3.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan4 IPADDRESS=192.168.4.1 MASK=255.255.255.0 ↓

   
   
8. DHCP/BOOTPリレー機能を有効にします。
   DHCP/BOOTPリレーの設定で認証成功後、Supplicantが ダイナミックVLANでVLAN v3へ移動したときに 外部のDHCPサーバーより IPアドレスを取得するように設定します。
   
   ENABLE BOOTP RELAY INTERFACE=vlan3 ↓

   
   
9. DHCP/BOOTPリクエストの転送先IPアドレスを設定します。
   
   ADD BOOTP RELAY=192.168.1.10 INTERFACE=vlan3 ↓

   
   
10. DHCPポリシーを作成し、IP設定情報を追加します。
    認証前にVLAN v4でSupplicantがIPアドレスを取得できるようにします。
    
    CREATE DHCP POLICY="poli4" LEASE=60 ↓
ADD DHCP POLICY="poli4" SUBNETMASK=255.255.255.0 ↓
ADD DHCP POLICY="poli4" ROUTER=192.168.4.1 ↓
ADD DHCP POLICY="poli4" DNSSERVER=192.168.4.1 ↓
ADD DHCP POLICY="poli4" DOMAINNAME=test.com ↓

    
    
11. Supplicantに貸し出すIPアドレスの範囲（DHCPレンジ）を定義します。
    
    CREATE DHCP RANGE="ran3" POLICY="poli4" IP=192.168.4.201 NUMBER=10 ↓

    
    
12. DHCPサーバーを有効にします。
    
    ENABLE DHCP ↓

    
    
13. DNSサーバーリストにDNSサーバーのIPアドレスを追加します。
    認証前および認証後、SupplicantでのWebページアクセスを、DNS解決できるようにします。
    
    ADD IP DNS PRIMARY=192.168.1.10 ↓

    
    
14. DNSリレー機能を有効にします。
    
    ENABLE IP DNSRELAY ↓


Note - 認証成功後、ダイナミックVLANでVLANを変更し、Supplicantが外部のDHCPサーバー(DHCPリレーを含む)を使用する場合、RenewalTimeを8以上に設定します。RenewalTimeを8以下に設定していると、認証後のページが表示されなかったり、セッションキープが機能しない場合があります。

マルチプルVLAN（Protected Ports VLAN）を用いた設定例

• ルーター配下のスイッチに本製品を使用し、Web認証＋ゲストVLAN を使用する。
  
• 各住居の端末は契約の有無にかかわらず、ゲストVLAN にてIPを取得できる。
  
• 各住居からインターネットへのアクセスを試みると、本製品の認証画面にリダイレクトされる。
  
• ゲスト用のアカウント（事前にお客様へ周知）にてログインすると、インターネット上のWeb認証サーバーのみアクセスが可能となり、申し込みを行うと正規アカウントが取得できる。
  
• ゲストアカウントからログアウト後、正規アカウントにてログインすると、制限なくインターネットへのアクセスが可能となる。
  

• 加入者VLANは制限なくインターネットへアクセスできる。
  
• 非加入者VLANはインターネット上のDNSサーバーおよび契約用Web認証サーバーのみにアクセスできる。
  
• 認証前VLANはインターネットへはアクセスできない。
  
• 非契約者用VLANと契約者用VLANのDHCPサーバーが有効。
  

1. 利用者が端末を接続すると、本製品のゲストVLAN からテンポラリーIPアドレスが付与されます。
   
2. 利用者がWebブラウザーを開くと、HTTPリダイレクト機能によって認証ページにリダイレクトされます。
   
3. 利用者はあらかじめ通知を受けているゲストアカウントでログインします。
   
4. 本製品は管理センターのRADIUS サーバーに問い合わせを行います。問い合わせたゲストアカウントに対して非加入者用VLAN IDが返ってきます。
   
5. 本製品は利用者端末を非加入者用VLANに登録します。
   
6. 認証後、リース期間経過により利用者端末は テンポラリーIPアドレスを解放し、新たにルーターの非加入者用VLANからIPアドレスが付与されます。
   
7. 利用者端末では、リダイレクトURL機能により管理センターのWeb認証サーバーの登録ページにリダイレクトされます。
   
8. 利用者は 登録ページから登録し、契約します。
   
9. 契約後、一度ログアウトし、利用者は再度接続します。
   
10. 認証ページにて、登録した利用者アカウントでログインします。
    
11. 本製品は管理センターのRADIUSサーバーに問い合わせを行います。問い合わせた利用者アカウントに対して加入者用VLAN IDが返ってきます。
    
12. 本製品は利用者端末を加入者用VLANに登録します。
    
13. 認証後、リース期間経過により利用者端末は テンポラリーIPアドレスを解放し、新たにルーターの加入者用VLANからIPアドレスが付与されます。
    
14. 利用者は自由にインターネットアクセスが可能となります。
    

Note - 非加入者VLANおよび、加入者VLANは通常のポートベースVLANですが、ゲストVLANのマルチプルVLAN設定が効いているため、契約の有無に関わらず住居間の通信はできません。

1. 加入者用VLANを作成します。
   
   CREATE VLAN=accept VID=10 TAGGEDPORT=24 ↓

   
   
2. 非加入者用VLANを作成します。
   
   CREATE VLAN=limited VID=20 TAGGEDPORT=24 ↓

   
   
3. 認証前VLAN (ゲストVLAN)を作成します。マルチプルVLAN（Protected Ports VLAN）をゲストVLANとして登録するためL2ONLYオプションを指定します。ポート24をアップリンク、ポート1〜23をクライアントに設定します。
   
   CREATE VLAN=guest VID=30 PORTPROTECTED L2ONLY ↓
ADD VLAN=guest TAGGEDPORT=24 GROUP=UPLINK ↓
ADD VLAN=guest UNTAGGEDPORT=1-23 GROUP=AUTO ↓

   
   
4. デフォルトVLANからポート24を削除します。
   
   DELETE VLAN=Default_VLAN VID=1 UNTAGGEDPORT=24 ↓

   
   
5. 各VLANインターフェースにIPアドレスを付与します。
   
   ADD IP INTERFACE=vlan10 IP=192.168.10.253 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan20 IP=192.168.20.253 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan30 IP=192.168.30.253 MASK=255.255.255.0 ↓
SET IP LOCAL INTERFACE=vlan10 ↓

   
   
6. デフォルトゲートウェイをルーターの加入者用VLAN（vlan10）インターフェースに設定します。
   
   ADD IP ROUTE=0.0.0.0 INTERFACE=vlan10 NEXTHOP=192.168.10.254 ↓

   
   
7. RADIUS サーバーを登録します。
   
   ADD RADIUS SERVER=172.29.64.101 ORDER=1 SECRET=testing123 ↓

   
   
8. Web認証サーバーを設定します。Web認証サーバーへのアクセス専用のIPアドレスを1.1.1.1に設定します。リダイレクトURL機能を使って、認証後はWeb認証サーバーへリダイレクトさせます。未認証のSupplicantにIPアドレスを付与します。
   
   SET WEBAUTHSERVER IPADDRESS=1.1.1.1 REDIRECTURL=http://172.29.64.102/ HTTPREDIRECT=ENABLED TEMPORARYIP=ENABLED ↓
ENABLE WEBAUTHSERVER ↓

   
   
9. Web認証設定を行います。ポート1〜23（クライアントポート）のWeb認証を有効にします。マルチプルダイナミックVLAN（ユーザー単位のダイナミックVLAN）を設定し、ゲストVLANはvlan30（認証前VLAN/マルチプルVLAN）を設定します。
   
   SET PORTAUTH=WEB PORT=1-23 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER GUESTVLAN=30 ↓
ENABLE PORTAUTH ↓

   
   
10. ゲストVLAN用DHCPサーバーを設定します。IPアドレスのリース時間は、Web認証サーバーの設定でテンポラリーIP機能が有効なため、実際には20秒で扱われます。デフォルトゲートウェイは認証前VLAN（vlan30）のインターフェースを指定、DNSサーバーはルーターのインターフェースを指定し、ルーターでDNSリレーします。
    
    CREATE DHCP POLICY="guest" LEASE=3600 ↓
ADD DHCP POLICY="guest" SUBNETMASK=255.255.255.0 ↓
ADD DHCP POLICY="guest" ROUTER=192.168.30.253 ↓
ADD DHCP POLICY="guest" DNSSERVER=192.168.30.254 ↓
CREATE DHCP RANGE="guestip" POLICY="guest" IP=192.168.30.100 NUMBER=100 ↓
ENABLE DHCP ↓


資料編

Web認証の画面遷移

認証中

• ダイナミックVLANが有効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがENABLED）の場合
  
• PVIDとは異なるVLANが ゲストVLANに設定されている場合
  

• ダイナミックVLANが無効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがDISABLED）かつ ゲストVLANを使用しない（SET PORTAUTH PORTコマンドのGUESTVLANパラメーターがNONE）場合
  
• ダイナミックVLANが無効（SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターがDISABLED）かつ PVIDがゲストVLANと同じ設定の場合
  

認証成功

認証失敗

エラーメッセージについて

表 13

表示されるメッセージ	エラーの原因
Login Failed! Please check the supplied User Name & Password.	空白のみの入力または、MACアドレス形式。
Login Failed! Maximum sessions active. Please try later.	同時接続数が最大数に達した。
Login Failed! Could not authenticate with server.	内部的な制限(メモリー上限等)に達し、要求が受け付けられなかった。認証処理がタイムアウトし、RADIUS サーバーとの通信が失敗した。
Login Failed! Could not authenticate. Please check Username & Password.	RADIUSサーバーで認証に失敗した。
Login Failed! Could not start authentication. Please try later.	Held/Lockout状態になった。
Login Failed! Could not authenticate.	別のSupplicantが認証中。ポートの設定が未認証固定に手動設定されている。

再認証中

Note - 本製品の配下のルーターからなど、本製品と異なるセグメントのSupplicantから、Web認証画面へのアクセスは受け付けられません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ダイナミックVLANとDHCPサーバー使用時に、Web認証で元のVLAN以外にアサインされた後、ログアウトすると、Web認証画面にアクセスできません。アクセスする場合には、SupplicantでIPアドレスを再取得する必要があります。また、レイヤー2スイッチとして使用する構成の場合、Web認証でゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ゲストVLANとDHCPサーバー使用時に、Web認証でゲストVLAN以外にアサインされた後、REAUTHPERIOD（Supplicantの再認証間隔）の時間経過後に、Web認証画面にアクセスできません。また、本製品をレイヤー2スイッチとして使用する構成の場合、Web認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。

認証ログ

ENABLE PORTAUTH=WEBBASED PORT=ALL LOGTYPE=SUCCESS ↓

認証ログ一覧

表 14

Sev	ログレベル。ERR、WRN、INF、DBG のいずれか。
Module	モジュール名。
Message	ログメッセージのフォーマット。
Trigger	ログメッセージが出力される条件。
PORTAUTH	ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。
LOGTYPE	ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。

表 15：Web認証ログ

Sev	Module	Message	Trigger	PORTAUTH	LOGTYPE
INF	WEBAUTH	User(USER-NAME) tried to login from IP-ADDRESS on PORT-ID	Web認証ページでログインボタンを押したとき	ALL、WEBBASED	ALL、SUCCESS
INF	WEBAUTH	User(USER-NAME) tried to logout from IP-ADDRESS on PORT-ID	Web認証ページでログイン後ログアウトボタンを押したとき	ALL、WEBBASED	ALL、LOGOFF

表 16：認証成功ログ

Sev	Module	Message	Trigger	PORTAUTH	LOGTYPE
INF	PACCESS	MAC Authentication successful for MAC-ADDRESS on PORT-ID	MACベース認証が成功（PAE state が AUTHENTICATED に遷移）したとき	ALL、MACBASED	ALL、SUCCESS
INF	PACCESS	802.1X Authentication successful for USER-NAME from MAC-ADDRESS on PORT-ID	802.1X認証が成功（PAE state が AUTHENTICATED に遷移）したとき	ALL、8021X	ALL、SUCCESS
INF	PACCESS	Web Authentication successful for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID	Web認証が成功（PAE state が AUTHENTICATED に遷移）したとき	ALL、WEBBASED	ALL、SUCCESS

表 17：認証失敗ログ

Sev	Module	Message	Trigger	PORTAUTH	LOGTYPE
INF	PACCESS	MAC Authentication failed for MAC-ADDRESS on PORT-ID	MACベース認証が失敗（PAE state が HELD に遷移）したとき	ALL、MACBASED	ALL、FAILURE
INF	PACCESS	802.1X Authentication failed for USER-NAME from MAC-ADDRESS on PORT-ID	802.1X認証が失敗（PAE state が HELD に遷移）したとき	ALL、8021X	ALL、FAILURE
INF	PACCESS	Web Authentication failed for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID	Web認証が失敗（PAE state が HELD に遷移）したとき	ALL、WEBBASED	ALL、FAILURE

表 18：RADIUSサーバーログ

Sev	Module	Message	Trigger	PORTAUTH	LOGTYPE
INF	RADIUS	RADIUS server(IP-ADDRESS) timed out. RADIUS session or this server entering DEAD-TIME state for DEAD-TIME-VALUE min.	RADIUSサーバーの応答待ちタイマーがタイムアウトしたとき	ANY	ALL、FAILURE

表 19：ログオフログ

Sev	Module	Message	Trigger	PORTAUTH	LOGTYPE
INF	PACCESS	Supplicant USER-NAME logoff from MAC-ADDRESS on PORT-ID	802.1X認証によってログインしていたサプリカントがログオフ（EAPOL-Logoff を受信）したとき	ALL、8021X	ALL、LOGOFF
INF	PACCESS	Supplicant logoff from MAC-ADDRESS on PORT-ID	MACベース認証によってログインしていたサプリカントがログオフ（MACアドレスのエージアウト）したとき	ALL、MACBASED	ALL、LOGOFF
INF	PACCESS	Supplicant USER-NAME logoff from IP-ADDRESS(MAC-ADDRESS) on PORT-ID	Web認証によってログインしていたサプリカントがログオフ（認証ページからのログアウトボタン押下、MACアドレスのエージアウト、Pingポーリングによる無応答検知）したとき	ALL、WEBBASED	ALL、LOGOFF
INF	PACCESS	Supplicant USER-NAME unauthorized from MAC-ADDRESS on PORT-ID	802.1X認証サプリカントが Authorized から Unauthorized に遷移したとき	ALL、8021X	ALL、LOGOFF
INF	PACCESS	Supplicant unauthorized from MAC-ADDRESS on PORT-ID	MACベース認証サプリカントが Authorized から Unauthorized に遷移したとき	ALL、MACBASED	ALL、LOGOFF
INF	PACCESS	Supplicant USER-NAME unauthorized from IP-ADDRESS(MAC-ADDRESS) on PORT-ID	Web認証サプリカントが Authorized から Unauthorized に遷移したとき	ALL、WEBBASED	ALL、LOGOFF

認証サーバーの設定

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

• 802.1X認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
  

  表 20
  

  属性名	属性値	備考
  User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
  User-Password	パスワード	（EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時）ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）。EAP-TLS使用時は不要です（別途、ユーザー電子証明書の用意が必要です）

  認証方式は、EAP-MD5、PEAP(EAP-MSCHAPv2)、TLS、TTLSを指定します。
  
  

  Note - 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant（OSや専用ソフトウェアなど）のマニュアルをご参照ください。

  
  
• MACベース認証方式を使用する場合、機器ごとに下記の属性を定義してください。
  

  表 21
  

  属性名	属性値	備考
  User-Name	MACアドレス	認証対象機器のMACアドレス（例："00-00-f4-11-22-33"）。a〜fは小文字で指定します。
  User-Password	MACアドレス	認証対象機器のMACアドレス。User-Nameと同じ値を指定します。

  認証方式は、PAPを指定します。
  
  

  Note - SET PORTAUTH USERIDFORMATコマンドで、User-NameおよびUser-Passwordで使用するMACアドレスのフォーマットを任意に変更できます。

  
  
• Web認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
  

  表 22
  

  属性名	属性値	備考
  User-Name	ユーザー名	ユーザー名を指定します。
  User-Password	パスワード	ユーザー名に対応するパスワードを指定します。

  認証方式は、PAPを指定します。
  
  
• ダイナミックVLANを使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
  

  表 23
  

  属性名	属性値	備考
  Tunnel-Type	VLAN (13)	固定値。指定方法はサーバーに依存
  Tunnel-Medium-Type	IEEE-802 (6)	固定値。指定方法はサーバーに依存
  Tunnel-Private-Group-ID	VLAN名かVLAN ID	認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID（例："sales", 10）

  Note - 「ダイナミックVLANの設定例」を参照してください。

(C) 2009-2010 アライドテレシスホールディングス株式会社

PN: 613-001210 Rev.C