[index] CentreCOM 9424T コマンドリファレンス 2.11

スイッチング/ポート認証


  - 概要
  - 802.1X認証方式
   - 基本設定
   - Supplicantとして使用する際の設定例 
  - MACベース認証方式
   - 基本設定
  - Web認証方式
   - Pingポーリング機能
   - HTTPリダイレクト
    - セッションキープ
   - HTTPサーバーの基本設定
   - HTTPSサーバーの基本設定
    - 自己認証による設定例
    - 外部認証による設定例
  - 機能・用語の説明
   - ダイナミックVLAN
   - ゲストVLAN
   - ポートの移動について
   - 認証アルゴリズムの併用
  - 設定例
   - ダイナミックVLANの設定例
   - ゲストVLANの設定例
   - テンポラリーIPアドレスを利用する場合の設定例
   - プロキシーサーバーを使用した場合の設定例
   - マルチプルVLAN(Protected Ports VLAN)を用いた設定例
  - 資料編
   - Web認証の画面遷移
    - 認証中
    - 認証成功
    - 認証失敗
     - エラーメッセージについて
    - 再認証中
   - 認証ログ
    - 認証ログ一覧
   - 認証サーバーの設定


本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。

ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の3種類をサポートしています。
1つのポートに複数の認証アルゴリズム(802.1X認証/MACベース認証/Web認証)を設定することもできます。後述の「認証アルゴリズムの併用」を参照してください。


ポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。

 

概要

ポート認証のシステムは、通常下記の3要素から成り立っています。



本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。

Note - Supplicantポートはタグ付きにはできません。

Note - Authenticatorポートとタグ付きポートを併用する場合は、ダイナミックVLAN、ゲストVLANは使用できません。

Note - ポート認証とMLD Snooping、IGMP Snooping、ポートセキュリティーは併用できません。

Note - 認証ポートに設定されたポートはVLANの設定を変更できません。先にVLANの設定を行ってから、ポート認証に関する設定を行ってください。

Note - MACベース認証とWeb認証では、SupplicantのMACアドレスがエージングによりFDBから削除されると、認証許可状態が解除されます。

Note - 複数のVLANインターフェースにIPを割り当てている場合、認証時にAuthenticatorからRadiusサーバーへ送信されるRadius Request PacketのNAS-IP-Addressの値が0.0.0.0になります。

Note - 認証ポートでタグ付きのEAPOL-Startを受信しているにもかかわらず、認証ポートが所属するすべてのVLANタグを付与したEAP-RequestとEAP-Failureを送信します。

Note - 認証ポートに設定するとブロードキャスト/未学習のマルチキャスト/未学習のユニキャストフレームのフィルタリング機能(BCASTEGRESSFILTERING、UNKMCASTEGRESSFILTERING、UNKUCASTEGRESSFILTERING)が自動で設定されますが、本設定は変更しないでください。


 

802.1X認証方式

802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。

802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。


 

基本設定

本製品をAuthenticatorとして使用し、802.1X Supplicantを受け付ける場合の基本設定を示します。

Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

以下の設定では、802.1X Supplicantには、802.1X Supplicantを搭載したPC 等が接続されているものとします。

802.1X Supplicantから認証情報として、「ユーザー名:userA」/「パスワード:passwordA」 が入力され、認証に成功すると、802.1X Supplicantは、VLAN-1(VID=1) で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 1
User-Name
User-Password
備考
userA passwordA 802.1X Supplicant用のユーザー名/パスワード


■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドのPORTAUTH=8021X TYPE=AUTHENTICATORを指定することにより、ポート1〜16は802.1X認証のAuthenticatorポートとなります。


    Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

 

Supplicantとして使用する際の設定例

本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。802.1X Supplicantとしての動作においては、IPの設定は必須ではありません。

■ 設定
  1. ポート認証機能を有効にします。


  2. ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。SET PORTAUTH PORTコマンドの「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。


Note - Supplicantポートをタグ付きに設定することはできません。

 

MACベース認証方式

MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。

 

基本設定

本製品をAuthenticatorとし、MACベース認証を行う場合の基本設定を示します。

Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

MAC Supplicantから通信が行われた時点で、Authenticator は、自動的に認証サーバー(RADIUSサーバー)に認証情報を問い合わせ、認証の可否を決定します。

認証が成功すると、MAC Supplicantは、VLAN-1(VID=1) で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 2
User-Name
User-Password
備考
a1-b2-c3-d4-e5-f6 a1-b2-c3-d4-e5-f6 MAC Supplicant用のユーザー名/パスワード

認証方式は、PAPを指定します。

■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。


    Note - MACベース認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。

 

Web認証方式

Web認証は、Webブラウザーを利用して認証を行うしくみです。ユーザーはAuthenticatorのWeb認証サーバーに接続し、ユーザー名とパスワードを入力することで認証が行われます。

HTTP接続を行う場合は、「http://IPアドレス」でアクセス可能です。

通信を暗号化する場合は、「https://IPアドレス」にアクセスすることにより、HTTPS接続を使用できます。

対応ブラウザー、プロトコルは以下のとおりです。

表 3
対応ブラウザー IE 6.0/7.0、Firefox 3.0(Windows/Mac)、Firefox 2.0(Linux/Unix)、Safari 2.0、Opera 9.5(Windows/Mac)、Opera 9.0(Linux/Unix)
対応プロトコル HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0


Supplicantから、Web認証を行う場合は、以下の様に操作します。

  1. Webブラウザーを起動します。

  2. 「アドレス」に、Web認証サーバーのIPアドレスを入力し、「Enter」キーを押します。

  3. 次の画面が表示されますので、「ユーザー名」と「パスワード」を入力し、「Login」をクリックします。

    Note - Web認証で、同時にWeb認証サーバーにアクセスできるSupplicant数(認証用画面が同時に開ける数)は最大48です。認証に成功すれば、他のSupplicantがアクセス可能になります。

その他表示される画面については、後述の「Web認証の画面遷移」を参照してください。

Note - L3構成にてゲストVLANとDHCPサーバーを使用時に、Web認証でゲストVLAN以外にアサインされた後、ログアウトをするとWeb認証画面へアクセスできません。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。またL2構成の場合には、Web認証で認証が成功し、ゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。

Note - 本製品と異なるセグメントのSupplicantからWeb認証画面へはアクセスできません。

 

Pingポーリング機能

Web認証では、認証済みSupplicantのPing監視ができます。SET WEBAUTHSERVERコマンドのPINGPOLLパラメーターで機能の有効・無効を設定します。Pingポーリング機能で使用するパラメーターは以下の通りです。

表 4
項目
説明
NORMALINTERVAL 認証が成功している状態でのPing監視間隔を設定できる。デフォルトは30秒である。
TIMEOUT Pingを送信して返信を待つ時間を設定できる。デフォルトは1秒である。
FAILCOUNT タイムアウトが連続して発生した回数の最大値を設定できる。デフォルトは5回である。この回数を超えたSupplicantは未認証状態へ強制的に移動する。
REAUTHREFRESH Pingの返信を受信した時に再認証タイマーを初期値に戻すかを設定できる。デフォルトは「更新しない」である。


Note - 通常のPingコマンドとの併用が可能です。

Note - ダイナミックVLAN と併用する場合、DHCPサーバーと併用しなければなりません。

Note - 「テンポラリーIPアドレスを使用する場合の設定例」を参照してください。

 

HTTPリダイレクト

ユーザーはAuthenticatorを意識することなく、任意のWebページアクセス(たとえばhttp://www.allied-telesis.co.jp/)により、Web認証のログイン画面が表示され、認証できます。Webページへのアクセスは、Supplicantと同じサブネット内ではなく、スイッチを経由したルーティング先にしなければなりません。この場合、SupplicantのデフォルトゲートウェイをAuthenticatorのIPアドレスにします。

■ HTTPリダイレクトを有効にします。


Note - URLがホスト名(たとえばhttp://www.allied-telesis.co.jp/)の場合、認証前に名前解決をする必要があります。

Note - HTTPリダイレクト機能が有効(SET WEBAUTHSERVER HTTPREDIRECT=ENABLED) かつ、Web認証サーバーのHTTPSが有効(SET WEBAUTHSERVER SECURITY=ENABLED)な場合、HTTPSによる接続を行います。

 

セッションキープ

ユーザーがHTTPリダイレクト機能を利用して任意のWebページにアクセスし認証を行い、認証許可となった場合に、接続しようとしたWebページを自動的に表示します。

Note - セッションキープはHTTPリダイレクトが有効の場合のみ動作します。

Note - 802.1X認証やMACベース認証と併用している場合、802.1X認証やMACベース認証のHELDが解除されると、セッションキープも解除されます。

Note - 認証成功時、HTTPリダイレクトよりもセッションキープの方が優先されます。


 

HTTPサーバーの基本設定

本製品をAuthenticatorとし、Web認証を行う場合の基本設定を示します。

Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

以下の設定では、Web Supplicantには、対応Webブラウザーが搭載されており、「http://10.0.0.1:3000」にアクセスするものとします。 Web Supplicantには、IPアドレスとデフォルトゲートウェイの設定が必要です。

Web Supplicantから認証情報として、「ユーザー名:WebUserA」/「パスワード:WebPasswordA」が入力され、認証に成功すると、Web Supplicantは、VLAN-1(VID=1) で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 5
User-Name
User-Password
備考
WebUserA WebPasswordA Web Supplicant用のユーザー名/パスワード


認証方式は、PAPを指定します。

■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。


  5. Web サーバーを設定します。「IPADDRESS=10.0.0.1 PORT=3000」の指定により、「http://10.0.0.1:3000」 でアクセス可能にします。


  6. Web認証サーバーを有効にします。


    Note - Web認証を指定したポートでは、自動的に 「MODE=MULTI」が設定されます。


 

HTTPSサーバーの基本設定

HTTPSサーバー機能を使用することにより、Web認証時の本製品との通信を暗号化することができます。

 

自己認証による設定例

ここでは本製品自身によって発行された公開鍵証明書を使用したHTTPSサーバーの設定を示します。

■ 構成


■ 設定
  1. RSA公開鍵を鍵番号「0」として生成します。推奨鍵長は1024ビットです。


    Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

    Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

    Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

  2. 公開鍵証明書の発行を行うために、本製品のX.500識別名(DN = Distinguished Name)を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。


    ここでは、下記の各属性値を設定しています。

    表 6
    属性名
    名称
    設定値
    CN Common Name 1.1.1.1
    O Organization toy-organization
    OU Organization Unit toy-organization-unit
    L Locality toy-city
    ST State or Province toy-pref
    C Country jp


    Note - CN(Common Name)には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。


  3. 生成した RSA 公開鍵を使用して、公開鍵証明書を発行します。ここでは発行した証明書の名前を「my-cert」、シリアル番号を「0」とします。


    本コマンド実行により、本製品のファイルシステム上に公開鍵証明書「my-cert.cer」が発行されます。

    Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された公開鍵証明書は設定ファイルには含まれませんのでご注意ください。

  4. 発行した公開鍵証明書を証明書データベースへ登録します。ここでは証明書データベースへの登録名を「for https server」とします。


  5. IPインターフェースを作成します。


  6. RADIUS サーバーの設定を行います。ここではシークレットの値を「secret」とします。


  7. ポート1にポート認証機能として、Web認証を設定します。


  8. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。


  9. Web認証サーバーを有効にします。


  10. ポート認証機能を有効にします。


Note - 上記設定でHTTPS接続を開始すると、お使いのブラウザーによっては、下図のような「警告ウィンドウ」が表示される場合があります。「はい(Y)」をクリックすることで、認証ページへ移動することができます。


 

外部認証による設定例

ここでは第三者機関によって発行された公開鍵証明書を使用したHTTPSサーバーの設定を示します。

■ 構成


■ 設定
  1. RSA公開鍵を鍵番号「0」として生成します。推奨鍵長は1024ビットです。


    Note - RSA公開鍵の作成には時間がかかります。「Key Generation completed with [Success]」と表示されるまで待ってから、次の手順に進んでください。また、RSA公開鍵の作成を行うと、CPUに処理に負荷がかかるため、スイッチの動作に影響を与えます。RSA公開鍵の作成は、本製品をネットワークに接続していない状態かネットワークの負荷が低いときに行うことをお勧めします。

    Note - CREATE ENCO KEYコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された鍵設定はユーザーがアップロード・ダウンロード可能な設定ファイルには保存されませんので、設定のバックアップを行う場合には、本製品からアップロードした設定ファイルとは別に設定コマンド自体をテキストファイルなどで保管してください。

    Note - 鍵番号は0〜65535の範囲で自由に選択できます。以後、鍵は番号だけで識別することになるため、鍵を作成するときは、CREATE ENCO KEYコマンドのDESCRIPTIONパラメーターを使って、鍵の用途などコメントを付けておくとよいでしょう。このコメントはSHOW ENCO KEYコマンドで表示されます。

  2. 公開鍵証明書の発行要求を行うために、本製品のX.500識別名(DN = Distinguished Name)を設定します。これは、SET SYSTEM DISTINGUISHEDNAMEコマンドで行います。


    ここでは各属性値を下記に設定しています。

    表 7
    属性値
    設定値
    CN(Common Name) 1.1.1.1
    O(Organization) toy-organization
    OU(Organization Unit) toy-organization-unit
    L(Locality) toy-city
    ST(State or Province) toy-pref
    C(Country) jp


    Note - CN(Common Name)には Web認証サーバーへのアクセス専用IPアドレスの指定を推奨します。


  3. 生成した RSA 公開鍵を使用して公開鍵証明書の発行要求ファイルを生成します。ここでは証明書発行要求ファイルの名前を「enroll_pem」、エンコード形式をPEM(Privacy Enhanced Mail)形式とします。


    本コマンド実行により、本製品のファイルシステム上に証明書発行要求ファイル ”enroll_pem.csr” が生成されます。

    Note - このコマンドはコンソールから入力したときだけ有効なコマンドです。設定ファイルにこのコマンドを記述しておいても無効ですのでご注意ください。また、本コマンドで作成された証明書要求ファイルは設定ファイルには含まれませんのでご注意ください。

  4. 生成した証明書発行要求ファイルをUPLOADコマンドでTFTPサーバーなどにアップロードし、それをCAに渡します。CAから証明書が発行され、証明書ファイルが作成されます。ここでは発行された証明書を「cert.cer」とします。また、CA自体の証明書を「ca_cert.cer」とします。

  5. 発行された公開鍵証明書およびCA自体の証明書をTFTPサーバーなどへ置き、LOADコマンドでロードします。ロードした各ファイルを証明書データベースへ登録します。ここでは証明書データベース上の名前をそれぞれ、「for https server」、「ca」とします。


  6. IPインターフェースを作成します。


  7. RADIUS サーバーの設定を行います。ここではシークレットの値を「secret」とします。


  8. ポート1にポート認証機能として、Web認証を設定します。


  9. Web認証サーバーへのアクセス専用IPアドレスを設定します。さらにWeb認証でHTTPSを使用するための設定を行います。


  10. Web 認証サーバーを有効にします。


  11. ポート認証機能を有効にします。




 

機能・用語の説明


 

ダイナミックVLAN

ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。

Supplicantが認証された後、Supplicantの所属VLANおよび、ポートをどのVLANに移動させるかは、SET PORTAUTH PORTコマンドの、VLANASSIGNMENTパラメーター、VLANASSIGNMENTTYPEパラメーターで設定します。

各設定を組み合わせた場合の、動作は以下のようになります。

表 8
VLANASSIGNMENT
VLANASSIGNMENTTYPE
認証後のSupplicant の所属VLAN
DISABLED - ポートのVLAN
ENABLED PORT ポートのVLANまたは最初のSupplicantに指定されたVLAN。ポートの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=PORTのとき」をご覧ください。
ENABLED USER(Multi-Supplicantモード時のみ) 認証サーバーから指定されたVLAN。Supplicant単位でVLANが割り当てられる(マルチプルダイナミックVLAN)。Supplicantの所属するVLANと通信については下記の「■VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=USERのとき」をご覧ください。


■ VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=PORTのとき

■ VLANASSIGNMENT=ENABLED、VLANASSIGNMENTTYPE=USERのとき(マルチプルダイナミックVLAN)

「ダイナミックVLANの設定例」も参照してください。

 

ゲストVLAN

ゲストVLANを使用すると、認証前および、認証に失敗したSupplicantが所属するVLANを指定できます。

未認証のSupplicantの所属するVLAN を SET PORTAUTH PORTコマンドのGUESTVLANパラメーターで指定することができます。ゲストVLAN 内では、通信が可能です。
ゲストVLANに指定するVLANは、認証前にルーティングさせないようにするため、L2ONLY VLAN(CREATE VLANコマンドのL2ONLYパラメーターで作成)を指定するか、ハードウェアパケットフィルターでルーティングを制限する必要があります。「ゲストVLANの設定例」を参照してください。

Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。

 

ポートの移動について

ポートをリンクダウンさせずに、同一スイッチ内の他のポートにSupplicantが移動した場合、再認証せずに、通信を続けることができます。

■ 構成例


上記構成で、Supplicantが、P1に接続されているHUB1から、P2に接続されているHUB2に移動した場合、認証情報が引き継がれ、再認証せずに、通信を継続可能です。ポート移動は、802.1X認証、MACベース認証、Web認証のすべての認証方式で可能です。

■ ポート移動を可能にするには、以下の条件があります。

Note - リンクダウン・リンクアップ時にEAPOL-Startを送出するSupplicant(Windows XP SP3、Windows Vistaなど)は、再認証を行わずにポート移動させることはできません。

 

認証アルゴリズムの併用

1つのポートに複数の認証アルゴリズム(802.1X認証/MACベース認証/Web認証)を設定できます。
認証アルゴリズムを併用した場合は、下記の動作となります。

■ Supplicantの状態と遷移

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 9
User-Name
User-Password
備考
user1 password1 PC1 802.1X Supplicant用のユーザー名/パスワード
a1-b2-c3-d4-e5-f6 a1-b2-c3-d4-e5-f6 PC2 MAC Supplicant用のユーザー名/パスワード
user3 password3 PC3 WEB Supplicant用のユーザー名/パスワード


■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。


  5. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」の指定により、ポート1はMACベース認証のAuthenticatorポートとなります。同一ポートでの ポート認証のパラメーターの設定は 全認証方式で共通であるため、以下の設定で、MACベース認証でも「MODE=MULTI VLANASSIGNMENTTYPE=USER」で機能します。


  6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。


  7. Web認証サーバーを設定します。IPADDRESS=10.0.0.1の指定により、「http://10.0.0.1」でアクセス可能にします。


  8. Web認証サーバーを有効にします。


 

設定例

 

ダイナミックVLANの設定例

ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。

以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN-Bに自動的にアサインされます。

ここでは、ポート1〜16で802.1X認証を行うものとします。また、RADIUSサーバーは、VLAN「R」所属のポート24(通常のポート)に接続されているものとします。

Note - 以下の例は、802.1X Supplicantを使用していますが、MACベース認証、Web認証でも同様に動作します。

Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

Note - 認証ポートとタグ付きポートを併用する場合は、ダイナミックVLANは使用できません。

Note - L3構成にてダイナミックVLANとDHCPサーバーを使用時に、Web認証で元のVLAN以外にアサインされた後、REAUTHPERIODの時間が経過するとWeb認証画面へアクセスできなくなります。アクセスできるようにするためにはSupplicantでIPアドレスを再取得する必要があります。また、L2構成の場合にはWeb認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。


■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 10
User-Name
User-Password
Tunnel-Type
Tunnel-Medium-Type
Tunnel-Private-Group-ID
備考
user1 password1 VLAN (13) IEEE-802 (6) 20 802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させる VLAN


■ 設定
  1. VLANを作成します。


  2. RADIUSサーバーを接続するポート24をVLAN「R」に割り当てます。


  3. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1〜16で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。 また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミック VLANを有効にします。



    Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

    Note - Web認証では、Web認証サーバーの設定も必要です。「テンポラリーIPアドレスを利用する場合の設定例」を参照してください。

 

ゲストVLANの設定例

ゲストVLAN を使用すると、認証前および、認証失敗した Supplicantが所属するVLANを指定できます。

以下の設定では、認証前および、認証失敗した 802.1X Supplicantは、VLAN-Bに所属しています。

認証が成功すると、VLAN-Aで通信が可能です。

Note - 認証ポートとタグ付きポートを併用する場合は、ゲストVLANは使用できません。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 11
User-Name
User-Password
Tunnel-Type
Tunnel-Medium-Type
Tunnel-Private-Group-ID
備考
user1 password1 VLAN (13) IEEE-802 (6) 10 802.1X Supplicant1用のユーザー名/パスワード
user2 password2 VLAN (13) IEEE-802 (6) 10 802.1X Supplicant2用のユーザー名/パスワード
user3 password3 VLAN (13) IEEE-802 (6) 10 802.1X Supplicant3用のユーザー名/パスワード


■ 設定
  1. VLANを作成します。


  2. ゲストVLANを作成します。ルーティングさせないように、L2ONLYパラメーターを指定します。


  3. RADIUSサーバーを接続するポート24をVLAN「A」に割り当てます。


  4. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  5. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  6. ポート認証機能を有効にします。


  7. ポート1〜16で802.1Xを行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。

    「GUESTVLAN=20」の指定により、ゲストVLAN は、VLAN-Bとなります。また、「VLANASSIGNMENTTYPE=USER」の指定により、接続しているSupplicantごとに、VLANが割り当てられます。(マルチプルダイナミックVLAN)


    Note - Multi-supplicantモードでゲストVLANを使用する場合、「VLANASSIGNMENTTYPE=USER」に指定する必要があります。


 

テンポラリーIPアドレスを利用する場合の設定例

Web SupplicantがDHCPでIPアドレスを取得する場合、未認証のWeb SupplicantはIPアドレス取得前であるため、Web認証サーバーへアクセスできません。テンポラリーIPアドレスは、Web認証サーバーへアクセスできるように、スイッチのDHCPサーバーを使用し、未認証のWeb SupplicantにIPアドレスを一時的(LeaseTime 20秒)に付与する機能です。

本製品をAuthenticatorとし、テンポラリーIPアドレスを利用した、Web認証を行う場合の基本設定を示します。

テンポラリーIPアドレス機能を使用するには、DHCPサーバーの設定が必要です。

Web Supplicantには、IPアドレスを設定せず、DHCPクライアント機能を有効にします。

以下の設定では、Web Supplicant には、DHCPサーバーより テンポラリーIPとして VLAN-BのサブネットのIPアドレス(192.168.20.24x)が割り当てられ、搭載されている対応Webブラウザーより「http://10.0.0.1」にアクセスするものとします。

Web Supplicant1から認証情報として、「ユーザー名:WebUserA」/「パスワード:WebPasswordA」 が入力され、認証に成功すると、Web Supplicant1は、VLAN-A(VID=10) で通信が可能になります。

Web Supplicant1には、認証成功後、本製品のDHCPサーバーから、VLAN-AのサブネットのIPアドレス(192.168.10.24x)が再度割り当てられます。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 12
User-Name
User-Password
Tunnel-Type
Tunnel-Medium-Type
Tunnel-Private-Group-ID
備考
WebUserA WebPasswordA VLAN (13) IEEE-802 (6) 10 PC1 Web Supplicant1用のユーザー名/パスワードおよび、認証後に所属させるVLAN
WebUserB WebPasswordB VLAN (13) IEEE-802 (6) 10 PC2 Web Supplicant2用のユーザー名/パスワードおよび、認証後に所属させる VLAN

認証方式は、PAP を指定します。

■ 設定
  1. VLANを作成します。


  2. VLANにポートを割り当てます。


  3. VLANにIPアドレスを割り当てます。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」の指定により、ポート1はWeb認証のAuthenticatorポートとなります。また、マルチプルダイナミックVLAN(ユーザー単位のダイナミックVLAN)を設定します。


  7. Web認証サーバーを設定します。「IPADDRESS=10.0.0.1」の指定により、「http://10.0.0.1」でアクセス可能にします。「PINGPOLL=ENABLED REAUTHREFRESH=ENABLED」の設定により、Pingポーリング機能が有効になり、SupplicantがAuthenticatorからのPingに応答している間、再認証までの時間が延長されます。「TEMPORARYIP=ENABLED」の指定により、テンポラリーIPアドレス機能が有効になります。


  8. Web認証サーバーを有効にします。


  9. DHCPサーバーを有効にします。


  10. DHCPサーバーを設定します。認証成功後、所属するVLAN-AのIP インターフェース用設定です。


  11. DHCPサーバーを設定します。VLAN-BのIPインターフェース用設定です。この設定が、テンポラリーIPアドレスとして、使用されます。


    Note - ここではIPアドレスのリース時間を7200秒に指定していますが、テンポラリーIPアドレスのリース時間は20秒固定なので、リース時間7200秒の設定は有効にはなりません。

    Note - Pingポーリング機能とWeb認証のダイナミックVLANを併用する場合、スイッチにDHCPサーバーを設定する必要があります。

 

プロキシーサーバーを使用した場合の設定例

本製品は Supplicantにプロキシーサーバーが設定されていても、HTTPリダイレクト機能を利用して、Web認証を実行できます。 また、Supplicantの認証成功後、本製品のDHCPサーバーを使用することで、Supplicantのプロキシーサーバーを設定することもできます。

Note - プロキシーサーバーはSupplicantと同じサブネット内ではなく、スイッチを経由したルーティング先にします。SupplicantのデフォルトゲートウェイはAuthenticatorのIPアドレスに設定します。

Note - Supplicantのプロキシーサーバーに対応するためには HTTPリダイレクトを有効にする必要があります。


Supplicantのプロキシーサーバーを構成するには、以下の3通りの方法があります。
  1. WPAD(Web Proxy Auto Discovery)を使用する。
    プロキシーサーバーのIPアドレス/ポート番号を意識することなく、認証後、プロキシーサーバーを通して外部にアクセスすることが可能になります。

    ブラウザーはDHCP INFORMパケットにより、PAC(Proxy Auto Configuration) ファイルの位置を取得し、プロキシーサーバーの設定を自動的に構成します。

    本製品の設定


    Supplicantの設定
    Microsoft Internet Explorerでは、[設定を自動的に検出する]オプションが相当します。

    Note - Internet Explorerで未認証のSupplicantがPACファイルを取得できなかった場合、プロキシー設定はされず、HTTPリダイレクトが機能します。

    Note - 認証成功後にWebブラウザーの再起動で PACファイルの再取得が行われます。

  2. PAC (Proxy Auto Configuration)ファイルを手動で設定する
    プロキシーサーバーの設定を記述した、PACファイルを用意し、ネットワーク上の位置をブラウザーに設定します。

    本製品の設定


    Supplicantの設定
    http://{PAC ファイルを配置した、サーバーのURL }/{PAC ファイル名} を設定します。
     (例) http://192.168.2.2/proxy.pac

    Microsoft Internet Explorerでは、[自動構成スクリプトを使用する] に、PACファイルの位置を設定します。

    Note - Internet Explorerで [自動構成スクリプトを使用する] のオプションに スイッチ以外のPACファイルを指定した場合、未認証のSupplicantはPACファイルを取得できないため、プロキシー設定はされず、HTTPリダイレクトが機能します。

    Note - 認証成功後にWebブラウザーの再起動で PACファイルの再取得が行われます。


  3. プロキシーサーバーを直接指定する。
    プロキシーサーバーのIP アドレス、ポート番号を手動で、設定します。

    本製品の設定

    Supplicantの設定
    Microsoft Internet Explorerでは、[LAN にプロキシサーバーを使用する] に、プロキシーサーバーのアドレス、ポート番号を設定します。

    Note - Internet Explorerではプロキシーサーバーの設定の[例外]にWeb認証サーバーのIPアドレスを設定しなければ、認証成功後、Web認証サーバーへアクセスできません。

■ PAC(Proxy Auto Configuration) ファイルについて
PACファイルには、本製品のWeb認証サーバーへのIPアドレスが、DIRECTとなるように記述してください。

以下の、PACファイルの例では、


■ 設定例について


Supplicantの設定

外部サーバーの設定

■ 構成


■ 設定例
  1. 認証サーバーリストにRADIUSサーバーを追加します。


  2. VLANを作成します。
    認証前のVLAN v4と認証成功後のダイナミックVLAN用のVLAN v3を作成します。


  3. ポート1にWeb認証の設定をします。


  4. ポート認証を有効にします。


  5. Web認証サーバーを設定します。


  6. Web認証サーバーを有効にします。


  7. VLANインターフェースにIPアドレスを設定します。


  8. DHCP/BOOTPリレー機能を有効にします。
    DHCP/BOOTPリレーの設定で認証成功後、Supplicantが ダイナミックVLANでVLAN v3へ移動したときに 外部のDHCPサーバーより IPアドレスを取得するように設定します。


  9. DHCP/BOOTPリクエストの転送先IPアドレスを設定します。


  10. DHCPポリシーを作成し、IP設定情報を追加します。
    認証前にVLAN v4でSupplicantがIPアドレスを取得できるようにします。


  11. Supplicantに貸し出すIPアドレスの範囲(DHCPレンジ)を定義します。


  12. DHCPサーバーを有効にします。


  13. DNSサーバーリストにDNSサーバーのIPアドレスを追加します。
    認証前および認証後、SupplicantでのWebページアクセスを、DNS解決できるようにします。


  14. DNSリレー機能を有効にします。


Note - 認証成功後、ダイナミックVLANでVLANを変更し、Supplicantが外部のDHCPサーバー(DHCPリレーを含む)を使用する場合、RenewalTimeを8以上に設定します。RenewalTimeを8以下に設定していると、認証後のページが表示されなかったり、セッションキープが機能しない場合があります。

 

マルチプルVLAN(Protected Ports VLAN)を用いた設定例

ゲストVLANにマルチプルVLAN(Protected Ports VLAN)を利用することで、インターネットマンションなどで、各居住者間の通信を遮断しつつ、Web認証を利用した契約管理システムを構築することができます。


ルーターは次のように設定されているものと仮定します。


新規加入者がインターネットにアクセスするまでの流れは以下のようになります。

  1. 利用者が端末を接続すると、本製品のゲストVLAN からテンポラリーIPアドレスが付与されます。
  2. 利用者がWebブラウザーを開くと、HTTPリダイレクト機能によって認証ページにリダイレクトされます。
  3. 利用者はあらかじめ通知を受けているゲストアカウントでログインします。
  4. 本製品は管理センターのRADIUS サーバーに問い合わせを行います。問い合わせたゲストアカウントに対して非加入者用VLAN IDが返ってきます。
  5. 本製品は利用者端末を非加入者用VLANに登録します。
  6. 認証後、リース期間経過により利用者端末は テンポラリーIPアドレスを解放し、新たにルーターの非加入者用VLANからIPアドレスが付与されます。
  7. 利用者端末では、リダイレクトURL機能により管理センターのWeb認証サーバーの登録ページにリダイレクトされます。
  8. 利用者は 登録ページから登録し、契約します。
  9. 契約後、一度ログアウトし、利用者は再度接続します。
  10. 認証ページにて、登録した利用者アカウントでログインします。
  11. 本製品は管理センターのRADIUSサーバーに問い合わせを行います。問い合わせた利用者アカウントに対して加入者用VLAN IDが返ってきます。
  12. 本製品は利用者端末を加入者用VLANに登録します。
  13. 認証後、リース期間経過により利用者端末は テンポラリーIPアドレスを解放し、新たにルーターの加入者用VLANからIPアドレスが付与されます。
  14. 利用者は自由にインターネットアクセスが可能となります。
Note - 非加入者VLANおよび、加入者VLANは通常のポートベースVLANですが、ゲストVLANのマルチプルVLAN設定が効いているため、契約の有無に関わらず住居間の通信はできません。


■ 設定例
  1. 加入者用VLANを作成します。


  2. 非加入者用VLANを作成します。


  3. 認証前VLAN (ゲストVLAN)を作成します。マルチプルVLAN(Protected Ports VLAN)をゲストVLANとして登録するためL2ONLYオプションを指定します。ポート24をアップリンク、ポート1〜23をクライアントに設定します。


  4. デフォルトVLANからポート24を削除します。


  5. 各VLANインターフェースにIPアドレスを付与します。


  6. デフォルトゲートウェイをルーターの加入者用VLAN(vlan10)インターフェースに設定します。


  7. RADIUS サーバーを登録します。


  8. Web認証サーバーを設定します。Web認証サーバーへのアクセス専用のIPアドレスを1.1.1.1に設定します。リダイレクトURL機能を使って、認証後はWeb認証サーバーへリダイレクトさせます。未認証のSupplicantにIPアドレスを付与します。


  9. Web認証設定を行います。ポート1〜23(クライアントポート)のWeb認証を有効にします。マルチプルダイナミックVLAN(ユーザー単位のダイナミックVLAN)を設定し、ゲストVLANはvlan30(認証前VLAN/マルチプルVLAN)を設定します。


  10. ゲストVLAN用DHCPサーバーを設定します。IPアドレスのリース時間は、Web認証サーバーの設定でテンポラリーIP機能が有効なため、実際には20秒で扱われます。デフォルトゲートウェイは認証前VLAN(vlan30)のインターフェースを指定、DNSサーバーはルーターのインターフェースを指定し、ルーターでDNSリレーします。



 

資料編

 

Web認証の画面遷移

以下が、Web認証において、Supplicant上のWebブラウザーに表示される画面/メッセージとなります。

画面に表示される一部の文字列は、SET WEBAUTHSERVERコマンドのHEADER/SUBHEADERTOP/SUBHEADERBOTTOM/FOOTERパラメーターで変更可能です。

認証成功後、リダイレクトするURLを指定するには、SET WEBAUTHSERVERコマンドのREDIRECTURLパラメーターを設定します。

 

認証中

以下の条件の場合、認証中は 以下の画面を表示します。

ユーザー認証を実行中です。サーバーからの応答により、しばらく時間がかかる場合があります。このページは、20秒以内に更新されます。認証済みページが表示されない場合は、手動でページを更新してください。

以下の条件の場合、認証中は以下の画面を表示します。

ユーザー認証が実行中です。サーバーからの応答により、しばらく時間がかかる場合があります。

 

認証成功

認証に成功するとこの画面を表示します。

認証されました。

 

認証失敗

認証に失敗するとこの画面を表示します。

ログインに失敗しました。サーバー認証が失敗しました。

 
エラーメッセージについて
認証失敗時に初期画面に表示されるメッセージは次のとおりです。

表 13
表示されるメッセージ
エラーの原因
Login Failed! Please check the supplied User Name & Password. 空白のみの入力または、MACアドレス形式。
Login Failed! Maximum sessions active. Please try later. 同時接続数が最大数に達した。
Login Failed! Could not authenticate with server. 内部的な制限(メモリー上限等)に達し、要求が受け付けられなかった。認証処理がタイムアウトし、RADIUS サーバーとの通信が失敗した。
Login Failed! Could not authenticate. Please check Username & Password. RADIUSサーバーで認証に失敗した。
Login Failed! Could not start authentication. Please try later. Held/Lockout状態になった。
Login Failed! Could not authenticate. 別のSupplicantが認証中。ポートの設定が未認証固定に手動設定されている。


 

再認証中

再認証中はこの画面を表示します。

ユーザー認証を実行中です。サーバーからの応答により、しばらく時間がかかる場合があります。このページは20秒以内に更新されます。認証済みのページが表示されない場合は、手動でページを更新してください。

Note - 本製品の配下のルーターからなど、本製品と異なるセグメントのSupplicantから、Web認証画面へのアクセスは受け付けられません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ダイナミックVLANとDHCPサーバー使用時に、Web認証で元のVLAN以外にアサインされた後、ログアウトすると、Web認証画面にアクセスできません。アクセスする場合には、SupplicantでIPアドレスを再取得する必要があります。また、レイヤー2スイッチとして使用する構成の場合、Web認証でゲストVLAN以外にアサインされた後、Web認証画面へアクセスできません。

Note - 本製品をレイヤー3スイッチとして使用する構成の場合、ゲストVLANとDHCPサーバー使用時に、Web認証でゲストVLAN以外にアサインされた後、REAUTHPERIOD(Supplicantの再認証間隔)の時間経過後に、Web認証画面にアクセスできません。また、本製品をレイヤー2スイッチとして使用する構成の場合、Web認証で元のVLAN以外にアサインされた後、Web認証画面へアクセスできません。

 

認証ログ

認証ログ機能は指定した認証メカニズムの指定したログタイプを残すことができる機能です。

■ Web認証の認証成功ログを残すには、ENABLE PORTAUTH PORT LOGTYPEコマンドを使用します。


 

認証ログ一覧


表 14
Sev ログレベル。ERR、WRN、INF、DBG のいずれか。
Module モジュール名。
Message ログメッセージのフォーマット。
Trigger ログメッセージが出力される条件。
PORTAUTH ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。
LOGTYPE ENABLE/DISABLE PORTAUTH PORT LOGTYPE コマンドの設定条件。



表 15:Web認証ログ
Sev
Module
Message
Trigger
PORTAUTH
LOGTYPE
INF WEBAUTH User(USER-NAME) tried to login from IP-ADDRESS on PORT-ID Web認証ページでログインボタンを押したとき ALL、WEBBASED ALL、SUCCESS
INF WEBAUTH User(USER-NAME) tried to logout from IP-ADDRESS on PORT-ID Web認証ページでログイン後ログアウトボタンを押したとき ALL、WEBBASED ALL、LOGOFF


表 16:認証成功ログ
Sev
Module
Message
Trigger
PORTAUTH
LOGTYPE
INF PACCESS MAC Authentication successful for MAC-ADDRESS on PORT-ID MACベース認証が成功(PAE state が AUTHENTICATED に遷移)したとき ALL、MACBASED ALL、SUCCESS
INF PACCESS 802.1X Authentication successful for USER-NAME from MAC-ADDRESS on PORT-ID 802.1X認証が成功(PAE state が AUTHENTICATED に遷移)したとき ALL、8021X ALL、SUCCESS
INF PACCESS Web Authentication successful for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID Web認証が成功(PAE state が AUTHENTICATED に遷移)したとき ALL、WEBBASED ALL、SUCCESS


表 17:認証失敗ログ
Sev
Module
Message
Trigger
PORTAUTH
LOGTYPE
INF PACCESS MAC Authentication failed for MAC-ADDRESS on PORT-ID MACベース認証が失敗(PAE state が HELD に遷移)したとき ALL、MACBASED ALL、FAILURE
INF PACCESS 802.1X Authentication failed for USER-NAME from MAC-ADDRESS on PORT-ID 802.1X認証が失敗(PAE state が HELD に遷移)したとき ALL、8021X ALL、FAILURE
INF PACCESS Web Authentication failed for USER-NAME from IP-ADDRESS(MAC-ADDRESS) on PORT-ID Web認証が失敗(PAE state が HELD に遷移)したとき ALL、WEBBASED ALL、FAILURE


表 18:RADIUSサーバーログ
Sev
Module
Message
Trigger
PORTAUTH
LOGTYPE
INF RADIUS RADIUS server(IP-ADDRESS) timed out. RADIUS session or this server entering DEAD-TIME state for DEAD-TIME-VALUE min. RADIUSサーバーの応答待ちタイマーがタイムアウトしたとき ANY ALL、FAILURE


表 19:ログオフログ
Sev
Module
Message
Trigger
PORTAUTH
LOGTYPE
INF PACCESS Supplicant USER-NAME logoff from MAC-ADDRESS on PORT-ID 802.1X認証によってログインしていたサプリカントがログオフ(EAPOL-Logoff を受信)したとき ALL、8021X ALL、LOGOFF
INF PACCESS Supplicant logoff from MAC-ADDRESS on PORT-ID MACベース認証によってログインしていたサプリカントがログオフ(MACアドレスのエージアウト)したとき ALL、MACBASED ALL、LOGOFF
INF PACCESS Supplicant USER-NAME logoff from IP-ADDRESS(MAC-ADDRESS) on PORT-ID Web認証によってログインしていたサプリカントがログオフ(認証ページからのログアウトボタン押下、MACアドレスのエージアウト、Pingポーリングによる無応答検知)したとき ALL、WEBBASED ALL、LOGOFF
INF PACCESS Supplicant USER-NAME unauthorized from MAC-ADDRESS on PORT-ID 802.1X認証サプリカントが Authorized から Unauthorized に遷移したとき ALL、8021X ALL、LOGOFF
INF PACCESS Supplicant unauthorized from MAC-ADDRESS on PORT-ID MACベース認証サプリカントが Authorized から Unauthorized に遷移したとき ALL、MACBASED ALL、LOGOFF
INF PACCESS Supplicant USER-NAME unauthorized from IP-ADDRESS(MAC-ADDRESS) on PORT-ID Web認証サプリカントが Authorized から Unauthorized に遷移したとき ALL、WEBBASED ALL、LOGOFF


 

認証サーバーの設定

ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。








(C) 2009-2010 アライドテレシスホールディングス株式会社

PN: 613-001210 Rev.C