[index]
CentreCOM 9800シリーズ コマンドリファレンス 2.6
スイッチング/802.1X認証
- 概要
- 要件
- 基本設定
- Authenticator
- Supplicant
本製品は、ポート単位でLAN上の機器を認証するIEEE 802.1X認証(以下、802.1X認証)に対応しています。
本機能を使用することにより、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、本製品が他の機器から認証を受けるよう設定することもできます。
802.1X認証のシステムは、下記の3要素から成り立っています。
- Authenticator(認証者):ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果を受け取る)。
- 認証サーバー(RADIUSサーバー):Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント):ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます(Authenticatorであると同時にSupplicantでもあるような設定も可能)。認証サーバー(RADIUSサーバー)は別途用意する必要があります。
本製品を使って802.1X認証のシステムを運用する場合は、以下の要件を満たしている必要があります。
- 認証サーバー:本製品で802.1Xを運用する場合、認証方式「EAP-MD5」または「EAP-OTP(MD4/MD5)」に対応したRADIUSサーバーを用意する必要があります。
- Supplicant:本製品をAuthenticatorとして使用する場合、Supplicantは認証方式「EAP-MD5」または「EAP-OTP(MD4/MD5)」に対応している必要があります。
- Authenticator:本製品をSupplicantとして使用する場合、Authenticatorは認証方式「EAP-MD5」または「EAP-OTP(MD4/MD5)」に対応している必要があります。
本製品を使って802.1X認証のシステムを運用するための基本的な設定例を示します。以下の例では、認証方式として「EAP-MD5」を使うものと仮定します。
本製品をAuthenticatorとして使用する場合の基本設定を示します。ここでは、ポート5で認証を行うものとします。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初にIPモジュールを有効にし、VLAN defaultにIPアドレスを設定します。
ENABLE IP ↓
ADD IP INT=vlan-default IP=192.168.10.5 MASK=255.255.255.0 ↓
Note
- ここではRADIUSサーバーがVLAN default上にあるものと仮定しています。他のVLAN上にあるときは、RADIUSサーバーまでの経路を適切に設定してください。
- RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUS SERVER=192.168.10.130 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- 802.1X認証モジュールを有効にします。
- ポート5で認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート5はAuthenticatorポートとなります。
ENABLE PORTAUTH PORT=5 TYPE=AUTHENTICATOR ↓
Note
- Authenticatorポートには、Supplicantを1台だけ接続してください。同一ポート下における複数Supplicantの認証には対応していません。
Note
- Authenticatorポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できません。また、Authenticatorポートをタグ付きに設定することはできません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、ENABLE PORTAUTH PORTコマンド/SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。
本製品をSupplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。
- 802.1X認証モジュールを有効にします。
- ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。「TYPE=SUPPLICANT」の指定により、ポート1はSupplicantポートとなります。
ENABLE PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=atswitch PASSWORD=atpasswd ↓
Note
- Supplicantポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できません。
(C) 2002 - 2005 アライドテレシスホールディングス株式会社
PN: J613-M6933-01 Rev.G