[index] CentreCOM GS900Mシリーズ コマンドリファレンス 1.6.0

ポート認証/概要・基本設定


  - 概要
  - 802.1X認証方式 
  - 基本設定
   - Authenticator
   - Authenticator(ダイナミックVLAN)
   - Supplicant
   - 認証サーバー
  - Supplicant MAC透過機能


本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、次の方式をサポートしています。





802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。

ポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。

 

概要

ポート認証のシステムは、下記の3要素から成り立っています。



本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。


Note - AuthenticatorポートとSupplicantポートは、ミラーポートに設定することはできません。

Note - AuthenticatorポートとSupplicantポートではスパニングツリープロトコルは使用できません。

Note - AuthenticatorポートとSupplicantポートは、トランクグループに所属させることはできません。

Note - ポート認証有効のポートがある場合、EAP透過機能は使用できません。

Note - コンボポートとポートセキュリティー有効ポートは、Authenticatorポートに設定することはできません。

Note - Authenticatorポートにはスタティックエントリーは追加できません。

Note - Authenticatorポートでは、LDF検出を併用できません。


 

802.1X認証方式

802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。




 

基本設定

本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。以下の例では、認証方式として「EAP-MD5」を使うものと仮定します。

 

Authenticator

本製品をAuthenticatorとして使用する場合の基本設定を示します。ここでは、ポート5で認証を行うものとします。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

  1. ポート認証ではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。VLAN defaultにIPアドレスを設定します。


  2. RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証モジュールを有効にします。


  4. ポート5をAuthenticatorポートに指定します。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。

 

Authenticator(ダイナミックVLAN)

ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。

以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

ここでは、利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN(「A」、「B」、「C」のどれか)に自動的にアサインされます。



  1. VLANを作成します


  2. RADIUSサーバーを接続するポート16をVLAN「R」に割り当てます。


  3. 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。VLAN「R」にIPアドレスを設定します。


  4. RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1〜8で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜8はAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。



Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。


■ ダイナミックVLANの動作仕様は次のとおりです。


■ ポートがダイナミックVLANにアサインされているときは、ADD VLAN PORTコマンドで該当ポートの所属VLANを変更しても、設定変更はすぐには反映されません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。




 

Supplicant

本製品をSupplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。

  1. ポート認証モジュールを有効にします。


  2. ポート1をSupplicantポートに指定します。


 

認証サーバー

ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。


 

Supplicant MAC透過機能

本製品は、特定のMACアドレスを送信元アドレスに持つフレームのみを常に認証済みのSupplicantとして通信可能にするSupplicant MAC透過機能にも対応しています。

■ Supplicant MAC透過アドレスを登録する場合は、SET PORTAUTH PORT SUPPLICANTMACコマンドを使います。


■ 登録済みのSupplicant MAC透過アドレスを削除する場合は、DELETE PORTAUTH PORT SUPPLICANTMACコマンドを使います。






(C) 2005-2008 アライドテレシスホールディングス株式会社

PN: J613-M0220-03 Rev.F