[index] CentreCOM 9424T コマンドリファレンス 2.11
- 概要 - 802.1X認証方式 - 基本設定 - Supplicantとして使用する際の設定例 - MACベース認証方式 - 基本設定 - Web認証方式 - Pingポーリング機能 - HTTPリダイレクト - セッションキープ - HTTPサーバーの基本設定 - HTTPSサーバーの基本設定 - 自己認証による設定例 - 外部認証による設定例 - 機能・用語の説明 - ダイナミックVLAN - ゲストVLAN - ポートの移動について - 認証アルゴリズムの併用 - 設定例 - ダイナミックVLANの設定例 - ゲストVLANの設定例 - テンポラリーIPアドレスを利用する場合の設定例 - プロキシーサーバーを使用した場合の設定例 - マルチプルVLAN(Protected Ports VLAN)を用いた設定例 - 資料編 - Web認証の画面遷移 - 認証中 - 認証成功 - 認証失敗 - エラーメッセージについて - 再認証中 - 認証ログ - 認証ログ一覧 - 認証サーバーの設定
本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。
ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の3種類をサポートしています。
1つのポートに複数の認証アルゴリズム(802.1X認証/MACベース認証/Web認証)を設定することもできます。後述の「認証アルゴリズムの併用」を参照してください。
概要 |
Note - Supplicantポートはタグ付きにはできません。
Note - Authenticatorポートとタグ付きポートを併用する場合は、ダイナミックVLAN、ゲストVLANは使用できません。
Note - ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。
Note - 認証ポートに設定されたポートはVLANの設定を変更できません。先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。
Note - MACベース認証とWeb認証では、SupplicantのMACアドレスがエージングによりFDBから削除されると、認証許可状態が解除されます。
Note - 複数のVLANインターフェースにIPを割り当てている場合、認証時にAuthenticatorからRadiusサーバーへ送信されるRadius Request PacketのNAS-IP-Addressの値が0.0.0.0になります。
Note - 認証ポートでタグ付きのEAPOL-Startを受信しているにもかかわらず、認証ポートが所属するすべてのVLANタグを付与したEAP-RequestとEAP-Failureを送信します。
Note - 認証ポートに設定するとブロードキャスト/未学習のマルチキャスト/未学習のユニキャストフレームのフィルタリング機能(BCASTEGRESSFILTERING、UNKMCASTEGRESSFILTERING、UNKUCASTEGRESSFILTERING)が自動で設定されますが、本設定は変更しないでください。
802.1X認証方式 |
基本設定 |
userA | passwordA | 802.1X Supplicant用のユーザー名/パスワード |
ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR ↓
Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
Supplicantとして使用する際の設定例 |
ENABLE PORTAUTH ↓
SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓
Note - Supplicantポートをタグ付きに設定することはできません。
MACベース認証方式 |
基本設定 |
a1-b2-c3-d4-e5-f6 | a1-b2-c3-d4-e5-f6 | MAC Supplicant用のユーザー名/パスワード |
ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
Note - MACベース認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。
Web認証方式 |
対応ブラウザー | IE 6.0/7.0、Firefox 3.0(Windows/Mac)、Firefox 2.0(Linux/Unix)、Safari 2.0、Opera 9.5(Windows/Mac)、Opera 9.0(Linux/Unix) |
対応プロトコル | HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0 |
Note - Web認証で、同時にWeb認証サーバーにアクセスできるSupplicant数(認証用画面が同時に開ける数)は最大48です。認証に成功すれば、他のSupplicantがアクセス可能になります。
Note - L3構成にてゲストVLANとDHCPサーバーを使用時に、Web認証でゲストVLAN以外にアサインされた後、ログアウトをするとWeb認証画面へアクセスできません。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。またL2構成の場合には、Web認証で認証が成功し、ゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。
Note - 本製品と異なるセグメントのSupplicantからWeb認証画面へはアクセスできません。
Pingポーリング機能 |
NORMALINTERVAL | 認証が成功している状態でのPing監視間隔を設定できる。デフォルトは30秒である。 |
TIMEOUT | Pingを送信して返信を待つ時間を設定できる。デフォルトは1秒である。 |
FAILCOUNT | タイムアウトが連続して発生した回数の最大値を設定できる。デフォルトは5回である。この回数を超えたSupplicantは未認証状態へ強制的に移動する。 |
REAUTHREFRESH | Pingの返信を受信した時に再認証タイマーを初期値に戻すかを設定できる。デフォルトは「更新しない」である。 |
Note - 通常のPingコマンドとの併用が可能です。
Note - ダイナミックVLAN と併用する場合、DHCPサーバーと併用しなければなりません。
Note - 「テンポラリーIPアドレスを使用する場合の設定例」を参照してください。
HTTPリダイレクト |
SET WEBAUTHSERVER HTTPREDIRECT=ENABLED ↓
Note - URLがホスト名(たとえばhttp://www.allied-telesis.co.jp/)の場合、認証前に名前解決をする必要があります。
Note - HTTPリダイレクト機能が有効(SET WEBAUTHSERVER HTTPREDIRECT=ENABLED) かつ、Web認証サーバーのHTTPSが有効(SET WEBAUTHSERVER SECURITY=ENABLED)な場合、HTTPSによる接続を行います。
Note - セッションキープはHTTPリダイレクトが有効の場合のみ動作します。
Note - 802.1X認証やMACベース認証と併用している場合、802.1X認証やMACベース認証のHELDが解除されると、セッションキープも解除されます。
Note - 認証成功時、HTTPリダイレクトよりもセッションキープの方が優先されます。
HTTPサーバーの基本設定 |
WebUserA | WebPasswordA | Web Supplicant用のユーザー名/パスワード |
ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PORT=3000 ↓
ENABLE WEBAUTHSERVER ↓
Note - Web認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。
HTTPSサーバーの基本設定 |
CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。
Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。
Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。
SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
CN | Common Name | 1.1.1.1 |
O | Organization | toy-organization |
OU | Organization Unit | toy-organization-unit |
L | Locality | toy-city |
ST | State or Province | toy-pref |
C | Country | jp |
Note - CN(Common Name)には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。
CREATE PKI CERTIFICATE=my-cert KEYPAIR=0 SERIALNUMBER=0 ↓
Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された公開鍵証明書は設定ファイルには含まれませんのでご注意ください。
ADD PKI CERTIFICATE="for https server" LOCATION=my-cert.cer TYPE=SELF TRUSTED=yes ↓
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
ENABLE WEBAUTHSERVER ↓
ENABLE PORTAUTH ↓
Note - 上記設定でHTTPS接続を開始すると、お使いのブラウザーによっては、下図のような「警告ウィンドウ」が表示される場合があります。「はい(Y)」をクリックすることで、認証ページへ移動することができます。
CREATE ENCO KEY=0 TYPE=rsa LENGTH=1024 DESCRIPTION=my-rsa-key ↓
Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。
Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。
Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。
SET SYSTEM DISTINGUISHEDNAME="cn=1.1.1.1,o=toy-organization,ou=toy-organization-unit,l=toy-city,st=toy-pref,c=jp" ↓
CN(Common Name) | 1.1.1.1 |
O(Organization) | toy-organization |
OU(Organization Unit) | toy-organization-unit |
L(Locality) | toy-city |
ST(State or Province) | toy-pref |
C(Country) | jp |
Note - CN(Common Name)には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。
CREATE PKI ENROLLMENTREQUEST="enroll_pem" KEYPAIR=0 FORMAT=pem ↓
Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された証明書要求ファイルは設定ファイルには含まれませんのでご注意ください。
ADD PKI CERTIFICATE="ca" LOCATION=ca_cert.cer TRUSTED=yes TYPE=CA ↓
ADD PKI CERTIFICATE="for https server" LOCATION=cert.cer TRUSTED=yes TYPE=EE ↓
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.1.254 ORDER=1 SECRET=secret ↓
SET PORTAUTH=webbased PORT=1 TYPE=authenticator ↓
SET WEBAUTHSERVER IPADDRESS=1.1.1.1 SECURITY=enabled SSLKEYID=0 ↓
ENABLE WEBAUTHSERVER ↓
ENABLE PORTAUTH ↓
機能・用語の説明 |
ダイナミックVLAN |
DISABLED | - | ポートのVLAN |
ENABLED | PORT | ポートのVLANまたは最初のSupplicantに指定されたVLAN。ポートの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=PORTのとき」をご覧ください。 |
ENABLED | USER(Multi-Supplicantモード時のみ) | 認証サーバーから指定されたVLAN。Supplicant単位でVLANが割り当てられる(マルチプルダイナミックVLAN)。Supplicantの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=USERのとき」をご覧ください。 |
ゲストVLAN |
Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。
ポートの移動について |
Note - リンクダウン・リンクアップ時にEAPOL-Startを送出するSupplicant(Windows XP SP3、Windows Vistaなど)は、再認証を行わずにポート移動させることはできません。
認証アルゴリズムの併用 |
user1 | password1 | PC1 802.1X Supplicant用のユーザー名/パスワード |
a1-b2-c3-d4-e5-f6 | a1-b2-c3-d4-e5-f6 | PC2 MAC Supplicant用のユーザー名/パスワード |
user3 | password3 | PC3 WEB Supplicant用のユーザー名/パスワード |
ADD IP INT=VLAN1 IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=8021X PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR ↓
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR ↓
SET WEBAUTHSERVER IPADDRESS=10.0.0.1 ↓
ENABLE WEBAUTHSERVER ↓
設定例 |
ダイナミックVLANの設定例 |
Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証、Web認証でも同様に動作します。
Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。
Note - 認証ポートとタグ付きポートを併用する場合は、ダイナミックVLANは使用できません。
Note - L3構成にてダイナミックVLANとDHCPサーバーを使用時に、Web認証で元のVLAN以外にアサインされた後、REAUTHPERIODの時間が経過するとWeb認証画面へアクセスできなくなります。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。また、L2構成の場合にはWeb認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。
user1 | password1 | VLAN (13) | IEEE-802 (6) | 20 | 802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させる VLAN |
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓
ADD VLAN=R PORT=24 ↓
ADD IP INT=VLAN-R IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。
ゲストVLANの設定例 |
Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。
user1 | password1 | VLAN (13) | IEEE-802 (6) | 10 | 802.1X Supplicant1用のユーザー名/パスワード |
user2 | password2 | VLAN (13) | IEEE-802 (6) | 10 | 802.1X Supplicant2用のユーザー名/パスワード |
user3 | password3 | VLAN (13) | IEEE-802 (6) | 10 | 802.1X Supplicant3用のユーザー名/パスワード |
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 L2ONLY ↓
ADD VLAN=A PORT=24 ↓
ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=8021X PORT=1-16 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER GUESTVLAN=20 ↓
Note - Multi-supplicantモードでゲストVLANを使用する場合、「VLANASSIGNMENTTYPE=USER」に指定する必要があります。
テンポラリーIPアドレスを利用する場合の設定例 |
WebUserA | WebPasswordA | VLAN (13) | IEEE-802 (6) | 10 | PC1 Web Supplicant1用のユーザー名/パスワードおよび、認証後に所属させるVLAN |
WebUserB | WebPasswordB | VLAN (13) | IEEE-802 (6) | 10 | PC2 Web Supplicant2用のユーザー名/パスワードおよび、認証後に所属させる VLAN |
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
ADD VLAN=A PORT=24 ↓
ADD VLAN=B PORT=1-23 ↓
ADD IP INT=VLAN-A IP=192.168.10.5 MASK=255.255.255.0 ↓
ADD IP INT=VLAN-B IP=192.168.20.5 MASK=255.255.255.0 ↓
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
ENABLE PORTAUTH ↓
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER ↓
SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PINGPOLL=ENABLED REAUTHREFRESH=ENABLED TEMPORARYIP=ENABLED ↓
ENABLE WEBAUTHSERVER ↓
ENABLE DHCP ↓
CREATE DHCP POLICY=mypolicy1 LEASE=7200 ↓
ADD DHCP POLICY=mypolicy1 SUBNET=255.255.255.0 ROUTER=192.168.10.5 ↓
CREATE DHCP RANGE=myip1 POLICY=mypolicy1 IP=192.168.10.240 NUMBER=10 ↓
CREATE DHCP POLICY=mypolicy2 LEASE=7200 ↓
ADD DHCP POLICY=mypolicy2 SUBNET=255.255.255.0 ROUTER=192.168.20.5 ↓
CREATE DHCP RANGE=myip2 POLICY=mypolicy2 IP=192.168.20.240 NUMBER=10 ↓
Note - ここではIPアドレスのリース時間を7200秒に指定していますが、テンポラリーIPアドレスのリース時間は20秒固定なので、リース時間7200秒の設定は有効にはなりません。
Note - Pingポーリング機能とWeb認証のダイナミックVLANを併用する場合、スイッチにDHCPサーバーを設定する必要があります。
プロキシーサーバーを使用した場合の設定例 |
Note - プロキシーサーバーはSupplicantと同じサブネット内ではなく、スイッチを経由したルーティング先にします。SupplicantのデフォルトゲートウェイはAuthenticatorのIPアドレスに設定します。
Note - Supplicantのプロキシーサーバーに対応するためには HTTPリダイレクトを有効にする必要があります。
Note - Internet Explorerで未認証のSupplicantがPACファイルを取得できなかった場合、プロキシー設定はされず、HTTPリダイレクトが機能します。
Note - 認証成功後にWebブラウザーの再起動で PACファイルの再取得が行われます。
Note - Internet Explorerで [自動構成スクリプトを使用する] のオプションに スイッチ以外のPACファイルを指定した場合、未認証のSupplicantはPACファイルを取得できないため、プロキシー設定はされず、HTTPリダイレクトが機能します。
Note - 認証成功後にWebブラウザーの再起動で PACファイルの再取得が行われます。
Note - Internet Explorerではプロキシーサーバーの設定の[例外]にWeb認証サーバーのIPアドレスを設定しなければ、認証成功後、Web認証サーバーへアクセスできません。
function FindProxyForURL(url,host) ↓
{ ↓
if(isPlainHostName(host) ↓
||shExpMatch(host,"10.0.0.1") ↓
||shExpMatch(host,"192.168.1.1") ↓
||shExpMatch(host,"192.168.2.1") ↓
||shExpMatch(host,"192.168.3.1") ↓
||shExpMatch(host,"192.168.4.1") ↓
) ↓
{ ↓
return "DIRECT"; ↓
} ↓
return "PROXY 192.168.1.11:8080;DIRECT"; ↓
} ↓
ADD RADIUS SERVER=192.168.1.11 ORDER=1 SECRET=test ↓
CREATE VLAN=v2 VID=2 UNTAGGEDPORT=2 ↓
CREATE VLAN=v3 VID=3 UNTAGGEDPORT=3 ↓
CREATE VLAN=v4 VID=4 UNTAGGEDPORT=1 ↓
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=MULTI ↓
ENABLE PORTAUTH ↓
SET WEBAUTHSERVER IPADDRESS=10.0.0.1 PROXYSERVER="192.168.1.11" PROXYPORT=8080 HTTPREDIRECT=enabled SESSIONKEEP=enabled TEMPORARYIP=enabled RENEWALTIME=8 ↓
ENABLE WEBAUTHSERVER ↓
ADD IP INTERFACE=vlan1 IPADDRESS=192.168.1.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan2 IPADDRESS=192.168.2.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan3 IPADDRESS=192.168.3.1 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan4 IPADDRESS=192.168.4.1 MASK=255.255.255.0 ↓
ENABLE BOOTP RELAY INTERFACE=vlan3 ↓
ADD BOOTP RELAY=192.168.1.10 INTERFACE=vlan3 ↓
CREATE DHCP POLICY="poli4" LEASE=60 ↓
ADD DHCP POLICY="poli4" SUBNETMASK=255.255.255.0 ↓
ADD DHCP POLICY="poli4" ROUTER=192.168.4.1 ↓
ADD DHCP POLICY="poli4" DNSSERVER=192.168.4.1 ↓
ADD DHCP POLICY="poli4" DOMAINNAME=test.com ↓
CREATE DHCP RANGE="ran3" POLICY="poli4" IP=192.168.4.201 NUMBER=10 ↓
ENABLE DHCP ↓
ADD IP DNS PRIMARY=192.168.1.10 ↓
ENABLE IP DNSRELAY ↓
Note - 認証成功後、ダイナミックVLANでVLANを変更し、Supplicantが外部のDHCPサーバー(DHCPリレーを含む)を使用する場合、RenewalTimeを8以上に設定します。RenewalTimeを8以下に設定していると、認証後のページが表示されなかったり、セッションキープが機能しない場合があります。
マルチプルVLAN(Protected Ports VLAN)を用いた設定例 |
Note - 非加入者VLANおよび、加入者VLANは通常のポートベースVLANですが、ゲストVLANのマルチプルVLAN設定が効いているため、契約の有無に関わらず住居間の通信はできません。
CREATE VLAN=accept VID=10 TAGGEDPORT=24 ↓
CREATE VLAN=limited VID=20 TAGGEDPORT=24 ↓
CREATE VLAN=guest VID=30 PORTPROTECTED L2ONLY ↓
ADD VLAN=guest TAGGEDPORT=24 GROUP=UPLINK ↓
ADD VLAN=guest UNTAGGEDPORT=1-23 GROUP=AUTO ↓
DELETE VLAN=Default_VLAN VID=1 UNTAGGEDPORT=24 ↓
ADD IP INTERFACE=vlan10 IP=192.168.10.253 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan20 IP=192.168.20.253 MASK=255.255.255.0 ↓
ADD IP INTERFACE=vlan30 IP=192.168.30.253 MASK=255.255.255.0 ↓
SET IP LOCAL INTERFACE=vlan10 ↓
ADD IP ROUTE=0.0.0.0 INTERFACE=vlan10 NEXTHOP=192.168.10.254 ↓
ADD RADIUS SERVER=172.29.64.101 ORDER=1 SECRET=testing123 ↓
SET WEBAUTHSERVER IPADDRESS=1.1.1.1 REDIRECTURL=http://172.29.64.102/ HTTPREDIRECT=ENABLED TEMPORARYIP=ENABLED ↓
ENABLE WEBAUTHSERVER ↓
SET PORTAUTH=WEB PORT=1-23 TYPE=AUTHENTICATOR MODE=MULTI VLANASSIGNMENTTYPE=USER GUESTVLAN=30 ↓
ENABLE PORTAUTH ↓
CREATE DHCP POLICY="guest" LEASE=3600 ↓
ADD DHCP POLICY="guest" SUBNETMASK=255.255.255.0 ↓
ADD DHCP POLICY="guest" ROUTER=192.168.30.253 ↓
ADD DHCP POLICY="guest" DNSSERVER=192.168.30.254 ↓
CREATE DHCP RANGE="guestip" POLICY="guest" IP=192.168.30.100 NUMBER=100 ↓
ENABLE DHCP ↓
資料編 |
Web認証の画面遷移 |
Login Failed! Please check the supplied User Name & Password. | 空白のみの入力または、MACアドレス形式。 |
Login Failed! Maximum sessions active. Please try later. | 同時接続数が最大数に達した。 |
Login Failed! Could not authenticate with server. | 内部的な制限(メモリー上限等)に達し、要求が受け付けられなかった。認証処理がタイムアウトし、RADIUS サーバーとの通信が失敗した。 |
Login Failed! Could not authenticate. Please check Username & Password. | RADIUSサーバーで認証に失敗した。 |
Login Failed! Could not start authentication. Please try later. | Held/Lockout状態になった。 |
Login Failed! Could not authenticate. | 別のSupplicantが認証中。ポートの設定が未認証固定に手動設定されている。 |
Note - 本製品の配下のルーターからなど、本製品と異なるセグメントのSupplicantから、Web認証画面へのアクセスは受け付けられません。
Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ダイナミックVLANとDHCPサーバー使用時に、Web認証で元のVLAN以外にアサインされた後、ログアウトすると、Web認証画面にアクセスできません。アクセスする場合には、SupplicantでIPアドレスを再取得する必要があります。また、レイヤー2スイッチとして使用する構成の場合、Web認証でゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。
Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ゲストVLANとDHCPサーバー使用時に、Web認証でゲストVLAN以外にアサインされた後、REAUTHPERIOD(Supplicantの再認証間隔)の時間経過後に、Web認証画面にアクセスできません。また、本製品をレイヤー2スイッチとして使用する構成の場合、Web認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。
認証ログ |
ENABLE PORTAUTH=WEBBASED PORT=ALL LOGTYPE=SUCCESS ↓
Sev | ログレベル。ERR、WRN、INF、DBG のいずれか。 |
Module | モジュール名。 |
Message | ログメッセージのフォーマット。 |
Trigger | ログメッセージが出力される条件。 |
PORTAUTH | ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。 |
LOGTYPE | ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。 |
INF | WEBAUTH | User(USER-NAME) tried to login from IP-ADDRESS on PORT-ID | Web認証ページでログインボタンを押したとき | ALL、WEBBASED | ALL、SUCCESS |
INF | WEBAUTH | User(USER-NAME) tried to logout from IP-ADDRESS on PORT-ID | Web認証ページでログイン後ログアウトボタンを押したとき | ALL、WEBBASED | ALL、LOGOFF |
INF | PACCESS | MAC Authentication successful for MAC-ADDRESS on PORT-ID | MACベース認証が成功(PAE state が AUTHENTICATED に遷移)したとき | ALL、MACBASED | ALL、SUCCESS |
INF | PACCESS | 802.1X Authentication successful for USER-NAME from MAC-ADDRESS on PORT-ID | 802.1X認証が成功(PAE state が AUTHENTICATED に遷移)したとき | ALL、8021X | ALL、SUCCESS |
INF | PACCESS | Web Authentication successful for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID | Web認証が成功(PAE state が AUTHENTICATED に遷移)したとき | ALL、WEBBASED | ALL、SUCCESS |
INF | PACCESS | MAC Authentication failed for MAC-ADDRESS on PORT-ID | MACベース認証が失敗(PAE state が HELD に遷移)したとき | ALL、MACBASED | ALL、FAILURE |
INF | PACCESS | 802.1X Authentication failed for USER-NAME from MAC-ADDRESS on PORT-ID | 802.1X認証が失敗(PAE state が HELD に遷移)したとき | ALL、8021X | ALL、FAILURE |
INF | PACCESS | Web Authentication failed for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID | Web認証が失敗(PAE state が HELD に遷移)したとき | ALL、WEBBASED | ALL、FAILURE |
INF | RADIUS | RADIUS server(IP-ADDRESS) timed out. RADIUS session or this server entering DEAD-TIME state for DEAD-TIME-VALUE min. | RADIUSサーバーの応答待ちタイマーがタイムアウトしたとき | ANY | ALL、FAILURE |
INF | PACCESS | Supplicant USER-NAME logoff from MAC-ADDRESS on PORT-ID | 802.1X認証によってログインしていたサプリカントがログオフ(EAPOL-Logoff を受信)したとき | ALL、8021X | ALL、LOGOFF |
INF | PACCESS | Supplicant logoff from MAC-ADDRESS on PORT-ID | MACベース認証によってログインしていたサプリカントがログオフ(MACアドレスのエージアウト)したとき | ALL、MACBASED | ALL、LOGOFF |
INF | PACCESS | Supplicant USER-NAME logoff from IP-ADDRESS(MAC-ADDRESS) on PORT-ID | Web認証によってログインしていたサプリカントがログオフ(認証ページからのログアウトボタン押下、MACアドレスのエージアウト、Pingポーリングによる無応答検知)したとき | ALL、WEBBASED | ALL、LOGOFF |
INF | PACCESS | Supplicant USER-NAME unauthorized from MAC-ADDRESS on PORT-ID | 802.1X認証サプリカントが Authorized から Unauthorized に遷移したとき | ALL、8021X | ALL、LOGOFF |
INF | PACCESS | Supplicant unauthorized from MAC-ADDRESS on PORT-ID | MACベース認証サプリカントが Authorized から Unauthorized に遷移したとき | ALL、MACBASED | ALL、LOGOFF |
INF | PACCESS | Supplicant USER-NAME unauthorized from IP-ADDRESS(MAC-ADDRESS) on PORT-ID | Web認証サプリカントが Authorized から Unauthorized に遷移したとき | ALL、WEBBASED | ALL、LOGOFF |
認証サーバーの設定 |
Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
User-Name | ユーザー名 | 認証対象のユーザー名(例:"user1", "userB") |
User-Password | パスワード | (EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時)ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要です(別途、ユーザー電子証明書の用意が必要です) |
Note - 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
User-Name | MACアドレス | 認証対象機器のMACアドレス(例:"00-00-f4-11-22-33")。a〜fは小文字で指定します。 |
User-Password | MACアドレス | 認証対象機器のMACアドレス。User-Nameと同じ値を指定します。 |
Note - SET PORTAUTH USERIDFORMATコマンドで、User-NameおよびUser-Passwordで使用するMACアドレスのフォーマットを任意に変更できます。
User-Name | ユーザー名 | ユーザー名を指定します。 |
User-Password | パスワード | ユーザー名に対応するパスワードを指定します。 |
Tunnel-Type | VLAN (13) | 固定値。指定方法はサーバーに依存 |
Tunnel-Medium-Type | IEEE-802 (6) | 固定値。指定方法はサーバーに依存 |
Tunnel-Private-Group-ID | VLAN名かVLAN ID | 認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID(例:"sales", 10) |
Note - 「ダイナミックVLANの設定例」を参照してください。
(C) 2009-2010 アライドテレシスホールディングス株式会社
PN: 613-001210 Rev.C