[index]
CentreCOM FS900Mシリーズ コマンドリファレンス 1.6.0
ポート認証/概要・基本設定
- 概要
- 認証方式
- 認証サーバーの設定
- 802.1X認証方式
- 基本設定
- Supplicantとして使用する際の設定例
- MACベース認証方式
- 基本設定
- Web認証方式
- 基本設定
- Web認証画面
- 認証中
- 認証成功
- 認証失敗
- 認証失敗(Held)
- Web認証画面が表示されない例
- エラーメッセージについて
- DHCPサーバー使用環境にWeb認証を導入する場合
- DHCPサーバー使用環境でDHCPパケット転送機能を使いWeb認証を導入する場合
- マルチプルVLAN構成でDHCPパケット転送機能を使いWeb認証を導入する場合
- ダイナミックVLAN
- ゲストVLAN
- Supplicant MAC透過機能
本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。
ポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。
ポート認証のシステムは、下記の3要素から成り立っています。
- Authenticator(認証者):ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。
認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果(成功・失敗)を受け取る)。
- 認証サーバー(RADIUSサーバー):Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント):ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。
本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。
Note
- ポート認証有効の場合、EAP透過機能は使用できません。
Note
- AuthenticatorポートとSupplicantポートは、ミラーポートに設定することはできません。
Note
- AuthenticatorポートとSupplicantポートではスパニングツリープロトコルは使用できません。
Note
- AuthenticatorポートとSupplicantポートは、トランクグループに所属させることはできません。
Note
- コンボポート、ポートセキュリティー有効ポートは、Authenticatorポートに設定することはできません。
Note
- Authenticatorポートにはスタティックエントリーは追加できません。
Note
- AuthenticatorポートではLDF検出は併用できません。
Note
- Supplicantポートをタグ付きに設定することはできません。
Note
- Authenticatorポートをタグ付きに設定する場合は、Multi-Supplicantモード(MODE=MULTI)で、かつダイナミックVLAN無効(VLANASSIGNMENT=DISABLED)である必要があります。
ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の3種類をサポートしています。
- IEEE 802.1X認証方式(以下、802.1X認証)
EAPメッセージの交換によってSupplicantを認証する(ユーザー認証)。
802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
- MACアドレスベース認証方式(以下、MACベース認証)
SupplicantのMACアドレスによって認証を行う(機器認証)。
MACベース認証を受けるために特殊な機能は必要ない。
- Web認証方式
Supplicant上のWebブラウザーからユーザー名とパスワードを入力することによって認証を行う(ユーザー認証)。
Web認証を受けるためには、Supplicant上に対応Webブラウザーが必要。
本製品では、同一ポート上に複数の認証方式を設定することもできます(同一ポート上に802.1X認証、MACベース認証、Web認証を設定可能)。認証方式を併用した場合は、最初にMACベース認証を実施し、次に802.1X認証とWeb認証で先に開始された方式を実施します。再認証を行う際は認証に成功した方式で実施します。
ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。
Note
- 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
- 802.1X認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
表 1
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "userB") |
| User-Password |
パスワード |
(EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時)ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要です(別途、ユーザー電子証明書の用意が必要です) |
認証方式は、EAP-MD5、PEAP(EAP-MSCHAPv2)、TLS、TTLSを指定します。
Note
- 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
- MACベース認証方式を使用する場合、機器ごとに下記の属性を定義してください。
表 2
| 属性名 |
属性値 |
備考 |
| User-Name |
MACアドレス |
認証対象機器のMACアドレス(例:"00-00-f4-11-22-33")。a〜fは小文字で指定します。 |
| User-Password |
MACアドレス |
認証対象機器のMACアドレス。User-Nameと同じ値を指定します。 |
認証方式は、PAPを指定します。
- Web認証方式を使用する場合、ユーザーごとに下記の属性を定義してください。
表 3
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
ユーザー名を指定します。 |
| User-Password |
パスワード |
ユーザー名に対応するパスワードを指定します。 |
認証方式は、PAPを指定します。
- ダイナミックVLAN(後述)を使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
表 4
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN(13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802(6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN名かVLAN ID |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID(例:"sales", 10) |
802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。
802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。
- Authenticator時:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
- Supplicant時:EAP-MD5
本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
以下の設定では、802.1X Supplicantには、802.1X Supplicantを搭載したPCなどが接続されているものとします。
802.1X Supplicantから認証情報として、「ユーザー名:userA」/「パスワード:passwordA」が入力され、認証に成功すると、802.1X SupplicantはVLAN default(VID=1)で通信が可能になります。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 5
| User-Name |
User-Password |
備考 |
| userA |
passwordA |
802.1X Supplicant用のユーザー名/パスワード |
■ 設定
- RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=8021X TYPE=AUTHENTICATOR」を指定することにより、ポート1は802.1X認証のAuthenticatorポートとなります。
SET PORTAUTH=8021X PORT=1 TYPE=AUTHENTICATOR ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。802.1X Supplicantとしての動作においては、IPの設定は必須ではありません。
■ 設定
- ポート認証機能を有効にします。
- ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。SET PORTAUTH PORTコマンドで「TYPE=SUPPLICANT」を指定することにより、ポート1はSupplicantポートとなります。
SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=user1 PASSWORD=himitsu ↓
MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。
本製品をAuthenticatorとし、MACベース認証を行う場合の基本設定を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
MAC Supplicantから通信が行われた時点で、Authenticatorは、自動的に認証サーバー(RADIUSサーバー)に認証情報を問い合わせ、認証の可否を決定します。
認証が成功すると、MAC SupplicantはVLAN default(VID=1)で通信が可能になります。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 6
| User-Name |
User-Password |
備考 |
| a1-b2-c3-d4-e5-f6 |
a1-b2-c3-d4-e5-f6 |
MAC Supplicant用のユーザー名/パスワード |
認証方式は、PAPを指定します。
■ 設定
- RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」を指定することにより、ポート1はMACベース認証のAuthenticatorポートとなります。
SET PORTAUTH=MACBASED PORT=1 TYPE=AUTHENTICATOR ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
Web認証は、Webブラウザーを利用して認証を行うしくみです。ユーザーはAuthenticatorのWeb認証サーバーに接続し、ユーザー名とパスワードを入力することで認証が行われます。
対応ブラウザー、プロトコルは以下のとおりです。
表 7
| 対応ブラウザー |
IE 6.0/7.0(Windows/Mac)、Firefox 2.0(Windows/Mac/Linux/Unix)、Safari 2.0(Mac)、Opera 9.0(Windows/Mac/Linux/Unix) |
| 対応プロトコル |
HTTP 1.0/1.1 |
SupplicantからWeb認証を行う場合は、以下のように操作します。
- Webブラウザーを起動します。
- 「アドレス」に、Web認証サーバーのIPアドレス(本製品のIPアドレス)とTCPポート番号(デフォルトは8080番)を入力し(入力例:http://192.168.1.1:8080/)、「Enter」キーを押します。
- 次の画面が表示されますので、「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。
本製品をAuthenticatorとし、Web認証を行う場合の基本設定を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
以下の設定では、Web Supplicantには、対応Webブラウザーが搭載されており、「http://192.168.10.5:3000」にアクセスするものとします。
Web Supplicantには、IPアドレスの設定が必要です。
Web Supplicantから認証情報として、「ユーザー名:webuserA」/「パスワード:webpasswordA」が入力され、認証に成功すると、Web Supplicantは、VLAN default(VID=1)で通信が可能になります。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 8
| User-Name |
User-Password |
備考 |
| webuserA |
webpasswordA |
Web Supplicant用のユーザー名/パスワード |
認証方式は、PAPを指定します。
■ 設定
- RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
IPアドレスの設定により、Web Supplicantは本製品のWeb認証サーバーにアクセスできるようになります。
ADD IP IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」を指定することにより、ポート1はWeb認証のAuthenticatorポートとなります。
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR ↓
- Web認証サーバーのTCPポート番号を変更します。
SET WEBAUTHSERVER PORT=3000 ↓
Note
- Web認証サーバー用のTCPポート番号は、Web GUIで使用するHTTPサーバー用のTCPポート番号(SET HTTP LISTENPORTコマンドで設定)とは別に設定します。デフォルトは8080番です。
- Web認証サーバーを有効にします。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
Supplicant上のWebブラウザーに表示される画面・メッセージを紹介します。
- 画面に表示される一部の文字列は、SET WEBAUTHSERVERコマンドのMESSAGE1〜MESSAGE5のパラメーターで変更可能です。
Note
- Web GUIから設定すると、文字列に全角文字(日本語)を使用することができます(CLIからは半角英数字のみ。使用可能文字についての詳細は、SET WEBAUTHSERVERコマンドをご覧ください)。
- 認証成功後、指定したページに自動的にジャンプさせるには、SET WEBAUTHSERVERコマンドのREDIRECTURLパラメーターでリダイレクトURLを指定します。
認証中
認証中は、次の画面が表示されます。
メッセージ内容:
認証中(Authenticating)...
しばらくお待ちください。
認証成功
認証に成功すると、次の画面が表示されます。すでに認証済みのSupplicantからアクセスを受けた場合も、次の画面が表示されます。
この画面で「ログオフ」をクリックすると、認証が解除されます。
Note
- 「Enter」キーを押しただけではログオフできません。認証を解除する場合は「ログオフ」ボタンをクリックしてください。
メッセージ内容:
認証済み(Authenticated)
認証が完了しました。
認証を解除する場合はボタンを押してください。
認証失敗
認証に失敗すると、次の画面が表示されます。
メッセージ内容:
ログインできません。しばらく経ってから再度ログインしてください。
認証失敗(Held)
規定回数のログイン失敗によりHeldの状態(待機中)になると、次の画面が表示されます。
メッセージ内容:
待機中(Held)
ログインできません。しばらく経ってから再度ログインしてください。
Web認証画面が表示されない例
以下のような場合には、Web認証画面は表示されません。
- Web認証サーバーが無効のとき(DISABLE WEBAUTHSERVERコマンド)
- ポート認証が無効のとき(DISABLE PORTAUTHコマンド)
- 認証方式にWeb認証(PORTAUTH=WEBBASED、PORTAUTH=AUTO)が指定されていないとき
- AuthenticatorポートがCONTROL=AUTHORISED(認証済み固定)に設定されているとき
- AuthenticatorポートがCONTROL=UNAUTHORISED(未認証固定)に設定されているとき
- Supplicant MAC透過アドレスとして登録されているMACアドレスを持つSupplicantからアクセスされたとき。Supplicantの接続ポートが登録されているポートと同じ場合には、認証済みSupplicantとして強制的に通信可能にし、異なる場合には未認証Supplicantとして認証要求を強制的に拒否する。
認証失敗時に初期画面に表示されるメッセージは次のとおりです。
表 9
| 表示されるメッセージ |
エラーの原因 |
| ログインできません。ユーザー名、パスワードに誤りがあります。 |
ユーザー名、パスワードに空白しか入力されていない |
| ログインできません。同時接続数の最大を超えているか、本端末は認証できない可能性があります。 |
同時接続数が最大数(=10)に達している。 |
| SupplicantのMACアドレスがFDBにスタティックエントリーとして登録されている |
| ログインできません。サーバーが見つかりません。 |
認証処理がタイムアウトしている |
| RADIUSサーバーとの通信に失敗した |
| ログインできません。ユーザー名、パスワードを確認してください。 |
RADIUSサーバーで認証に失敗した |
| ログインできません。しばらく経ってから再度ログインしてください。 |
Heldの状態(待機中)になっている |
| 別のSupplicantが認証中 |
| DHCPサーバー使用環境にWeb認証を導入する場合 |
本製品はDHCPサーバー機能を搭載していないため、Web認証利用時にはSupplicantに固定のIPアドレスが割り当てられていることを前提としています。ただし、ゲストVLANと認証成功後の所属VLANの両方にDHCPサーバーを用意することで、Web認証を利用することも可能です。
ここでは、Supplicantに動的にIPアドレスが割り当てられる環境でWeb認証を使用するための設定方法を説明します。
Note
- ゲストVLANとダイナミックVLANについての詳細は、後述の「ゲストVLAN」、「ダイナミックVLAN」をご覧ください。
■ Supplicantが通信可能になるまでの動作
- DHCPクライアント機能が有効になっているSupplicantがAuthenticatorに接続。
- SupplicantはMAC認証を実施し、認証に失敗することでゲストVLANの所属になる。ゲストVLAN内に存在するDHCPサーバーによって、SupplicantにIPアドレスが割り当てられる。
Note
- ここで割り当てられるIPアドレスは、Web認証サーバーにアクセスするために一時的に使用されるものなので、DHCPサーバー側でIPアドレスの使用期限(リース時間)を短く設定しておいてください。
- SupplicantはWebブラウザーからAuthenticator(Web認証サーバー)にアクセス。ユーザーIDとパスワードの入力により、RADIUSサーバーとの認証処理が開始される。
- Supplicantの認証が成功すると、認証後のVLANの所属になる。
- ゲストVLAN内のDHCPサーバーから割り当てられたIPアドレスが解放され、認証後のVLAN内に存在するDHCPサーバーによって、新たにIPアドレスが割り当てられる。
- Supplicantは、認証後のVLANで通信が可能になる。
REAUTHENABLED=ENABLED(認証切断を行う)が設定されている場合は、REAUTHPERIODパラメーターで指定された時間が経過すると認証が切断されます。この場合、上記2に戻り、Supplicantは再びゲストVLANの所属になります。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 10
| User-Name |
User-Password |
備考 |
| webuserA |
webpasswordA |
Web Supplicant用のユーザー名/パスワード |
認証方式は、PAPを指定します。
■ 設定
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=R VID=100 ↓
- RADIUSサーバーを接続するポート9をVLAN「R」に割り当てます。
- RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP INT=R IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1の認証設定を以下のようにします。SET PORTAUTH PORTコマンドで「PORTAUTH=AUTO」を指定することにより、ポート1でいったんMAC認証を実施させ、失敗させることでゲストVLANの所属になるようにします。「GUESTVLAN=20」の指定により、VLAN「B」がゲストVLANになります。
SET PORTAUTH=AUTO PORT=1 TYPE=AUTHENTICATOR MODE=SINGLE GUESTVLAN=20 VLANASSIGNMENT=ENABLED ↓
Note
- Multi-Supplicantモード(MODE=MULTI)では、ゲストVLANを使用できません。
- Web認証サーバーのTCPポート番号を変更します。
SET WEBAUTHSERVER PORT=3000 ↓
Note
- Web認証サーバー用のTCPポート番号は、Web GUIで使用するHTTPサーバー用のTCPポート番号(SET HTTP LISTENPORTコマンドで設定)とは別に設定します。デフォルトは8080番です。
- Web認証サーバーを有効にします。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
| DHCPサーバー使用環境でDHCPパケット転送機能を使いWeb認証を導入する場合 |
本製品はDHCPサーバー機能を搭載していないため、Web認証利用時にはSupplicantに固定のIPアドレスが割り当てられていることを前提としています。DHCPパケット転送機能を使用することで、前の設定例のようにDHCPサーバーを2台使用せずに1台利用するだけで、Web認証を利用することも可能です。
ここでは、Supplicantに動的にIPアドレスが割り当てられる環境でWeb認証を使用するための設定方法を説明します。
Note
- ゲストVLANとダイナミックVLANについての詳細は、後述の「ゲストVLAN」、「ダイナミックVLAN」をご覧ください。
■ Supplicantが通信可能になるまでの動作
- DHCPクライアント機能が有効になっているSupplicantがAuthenticatorに接続。
- SupplicantにはWeb認証を設定する。DHCPパケット転送機能を有効(SET PORTAUTH DHCPPASSTHROUGHコマンド)にすることで、マネージメントVLAN内に存在するDHCPサーバーによって、SupplicantにIPアドレスが割り当てられる。
- SupplicantはWebブラウザーからAuthenticator(Web認証サーバー)にアクセス。ユーザーIDとパスワードの入力により、RADIUSサーバーとの認証処理が開始される。
- Supplicantの認証が成功すると、マネージメントVLANの所属になる。
Note
- RADIUSサーバー側で、認証後のVLANをマネージメントVLAN(下記の構成例では、VID=100) とする設定が必要です。
- Supplicantは、マネージメントVLANで通信が可能になる。
REAUTHENABLED=ENABLED(認証切断を行う)が設定されている場合は、REAUTHPERIODパラメーターで指定された時間が経過すると認証が切断されます。この場合、上記2に戻り、Supplicantは再びゲストVLANの所属になります。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 11
| User-Name |
User-Password |
備考 |
| webuserA |
webpasswordA |
Web Supplicant用のユーザー名/パスワード |
認証方式は、PAPを指定します。
■ 設定
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=R VID=100 ↓
- DHCPサーバーとRADIUSサーバーを接続するポート8、9をVLAN「R」に割り当てます。
- RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
ADD IP INT=R IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1の認証設定を以下のようにします。
SET PORTAUTH=WEBBASED PORT=1 TYPE=AUTHENTICATOR MODE=SINGLE GUESTVLAN=10 VLANASSIGNMENT=ENABLED ↓
Note
- Multi-Supplicantモード(MODE=MULTI)では、ゲストVLANを使用できません。
- Web認証サーバーのTCPポート番号を変更します。
SET WEBAUTHSERVER PORT=3000 ↓
Note
- Web認証サーバー用のTCPポート番号は、Web GUIで使用するHTTPサーバー用のTCPポート番号(SET HTTP LISTENPORTコマンドで設定)とは別に設定します。デフォルトは8080番です。
- Web認証サーバーを有効にします。
- DHCPパケット転送機能を有効にします。
SET PORTAUTH DHCPPASSTHROUGH=ENABLED ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
| マルチプルVLAN構成でDHCPパケット転送機能を使いWeb認証を導入する場合 |
マルチプルVLAN構成でDHCPパケット転送機能を使い、Web認証を導入する場合の注意点は下記のとおりです。
- RADIUSサーバー、Supplicant、DHCPサーバーは、すべて同一VLANに所属する必要があり、所属VLANはマネージメントVLANである必要がある。
- RADIUSサーバー、DHCPサーバーは、アップリンクポートに所属する必要がある。
- Supplicantはクライアントポートに所属し、それぞれが通信できないようにするためには、異なるグループとする必要がある。
- クライアントポートを認証ポートとする場合、ゲストVLANを無効とする必要がある。
■ 構成
ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。
以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
利用者機器のためにVLAN「A」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN「A」に自動的にアサインされます。
ここでは、ポート1〜8で802.1X認証を行うものとします(ポート1〜8の認証前の所属VLANはVLAN defaultと仮定します)。また、RADIUSサーバーは、VLAN「R」所属のポート9(通常のポート)に接続されているものとします。
Note
- 以下の例では、802.1X認証を使用していますが、MACベース認証、Web認証でも同様に動作します。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 12
| User-Name |
User-Password |
Tunnel-Type |
Tunnel-Medium-Type |
Tunnel-Private-Group-ID |
備考 |
| user1 |
password1 |
VLAN(13) |
IEEE-802(6) |
20 |
802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させるVLAN |
■ 設定
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=R VID=100 ↓
- RADIUSサーバーを接続するポート9をVLAN「R」に割り当てます。
- RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。VLAN「R」にIPアドレスを設定します。
ADD IP INT=R IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜8で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。
SET PORTAUTH=8021X PORT=1-8 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
■ ダイナミックVLANの動作仕様は次のとおりです。
- Supplicantの認証に失敗した場合、ポートは本来のVLAN(ADD VLAN PORTコマンドで指定したVLAN)の所属となります。ポート越えの通信は不可能です。
- RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
- 未認証のポート、および、CONTROL=UNAUTHORISED(未認証固定)またはCONTROL=AUTHORISED(認証済み固定)に設定されたポートは、本来のVLAN所属となります。
■ ポートがダイナミックVLANにアサインされているときは、ADD VLAN PORTコマンドで該当ポートの所属VLANを変更しても、設定変更は直ちには反映されません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
ゲストVLANを使用すると、認証前、および認証失敗したSupplicantが所属するVLANを指定できます。
以下の設定では、認証前および、認証失敗した802.1X Supplicantは、VLAN「B」に所属しています。
認証が成功すると、VLAN「A」で通信が可能です。
Note
- 以下の例では、802.1X認証を使用していますが、MACベース認証、Web認証でも同様に動作します。
■ 構成
■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。
表 13
| User-Name |
User-Password |
備考 |
| user1 |
password1 |
802.1X Supplicant1用のユーザー名/パスワード |
| user2 |
password2 |
802.1X Supplicant2 用のユーザー名/パスワード |
| user3 |
password3 |
802.1X Supplicant3 用のユーザー名/パスワード |
■ 設定
- VLANを作成します。
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
- RADIUSサーバーを接続するポート9をVLAN「A」に割り当てます。
- RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。VLAN「A」にIPアドレスを設定します。
ADD IP INT=A IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜3で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。また、「GUESTVLAN=20」の指定により、VLAN「B」がゲストVLANになります。
SET PORTAUTH=8021X PORT=1-3 TYPE=AUTHENTICATOR MODE=SINGLE GUESTVLAN=20 VLANASSIGNMENT=ENABLED ↓
Note
- Multi-Supplicantモード(MODE=MULTI)では、ゲストVLANを使用できません。
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。
本製品は、特定のMACアドレスを送信元アドレスに持つフレームのみを常に認証済みのSupplicantとして通信可能にするSupplicant MAC透過機能にも対応しています。
■ Supplicant MAC透過アドレスを登録する場合は、SET PORTAUTH PORT SUPPLICANTMACコマンドを使います。
SET PORTAUTH PORT=5 SUPPLICANTMAC=00-00-F4-11-11-11 CONTROL=AUTHORISED ↓
■ 登録済みのSupplicant MAC透過アドレスを削除する場合は、DELETE PORTAUTH PORT SUPPLICANTMACコマンドを使います。
DELETE PORTAUTH PORT=5 SUPPLICANTMAC=00-00-F4-11-11-11 ↓
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000325 Rev.F