[index]
CentreCOM GS900Mシリーズ コマンドリファレンス 1.6.0
ポート認証/概要・基本設定
- 概要
- 802.1X認証方式
- 基本設定
- Authenticator
- Authenticator(ダイナミックVLAN)
- Supplicant
- 認証サーバー
- Supplicant MAC透過機能
本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、次の方式をサポートしています。
- IEEE 802.1X認証(以下、802.1X認証)
802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。
ポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。
ポート認証のシステムは、下記の3要素から成り立っています。
- Authenticator(認証者):ポートに接続してきたSupplicant(クライアント)を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー(RADIUSサーバー)に依頼する(Supplicantの情報を認証サーバーに中継して、認証結果を受け取る)。
- 認証サーバー(RADIUSサーバー):Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
- Supplicant(クライアント):ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。
Note
- AuthenticatorポートとSupplicantポートは、ミラーポートに設定することはできません。
Note
- AuthenticatorポートとSupplicantポートではスパニングツリープロトコルは使用できません。
Note
- AuthenticatorポートとSupplicantポートは、トランクグループに所属させることはできません。
Note
- ポート認証有効のポートがある場合、EAP透過機能は使用できません。
Note
- コンボポートとポートセキュリティー有効ポートは、Authenticatorポートに設定することはできません。
Note
- Authenticatorポートにはスタティックエントリーは追加できません。
Note
- Authenticatorポートでは、LDF検出を併用できません。
802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。
- Authenticator時:EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
- Supplicant時:EAP-MD5
本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。以下の例では、認証方式として「EAP-MD5」を使うものと仮定します。
本製品をAuthenticatorとして使用する場合の基本設定を示します。ここでは、ポート5で認証を行うものとします。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
- ポート認証ではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。VLAN defaultにIPアドレスを設定します。
ADD IP IPADDRESS=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUSSERVER SERVER=192.168.10.130 ORDER=1 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証モジュールを有効にします。
- ポート5をAuthenticatorポートに指定します。
SET PORTAUTH PORT=5 TYPE=AUTHENTICATOR ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。
| Authenticator(ダイナミックVLAN) |
ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポートの所属VLANを動的に変更する機能です。
以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
ここでは、利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN(「A」、「B」、「C」のどれか)に自動的にアサインされます。
- VLANを作成します
CREATE VLAN=A VID=10 ↓
CREATE VLAN=B VID=20 ↓
CREATE VLAN=C VID=30 ↓
CREATE VLAN=R VID=1000 ↓
- RADIUSサーバーを接続するポート16をVLAN「R」に割り当てます。
- 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。VLAN「R」にIPアドレスを設定します。
ADD IP INT=R IP=192.168.10.5 MASK=255.255.255.0 ↓
- RADIUSサーバーのIPアドレスとUDPポート、共有パスワードを指定します。
ADD RADIUS SERVER=192.168.10.130 PORT=1812 ACCPORT=1813 SECRET=himitsu ↓
- ポート認証機能を有効にします。
- ポート1〜8で802.1X認証を行うよう設定します。「TYPE=AUTHENTICATOR」の指定により、ポート1〜8はAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。
SET PORTAUTH=8021X PORT=1-8 TYPE=AUTHENTICATOR VLANASSIGNMENT=ENABLED ↓
Note
- RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。Authenticatorポートにする場合は、SET PORTAUTH PORTコマンドのCONTROLパラメーターをAUTHORISEDに設定してください。
■ ダイナミックVLANの動作仕様は次のとおりです。
- Supplicantの認証に失敗した場合、ポートは本来のVLAN(ADD VLAN PORTコマンドで指定したVLAN)の所属となります。ポート越えの通信は不可能です。
- RADIUSサーバーから有効なVLANの情報が返ってきた場合、ポートはそのVLANの所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーから無効なVLANの情報が返ってきた場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- RADIUSサーバーからVLANの情報が返ってこなかった場合、ポートは本来のVLAN所属となります。認証に成功すれば、ポート越えの通信も可能です。
- 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
- 未認証のポート、および、CONTROL=UNAUTHORISED(未認証固定)またはCONTROL=AUTHORISED(認証済み固定)に設定されたポートは、本来のVLAN所属となります。
■ ポートがダイナミックVLANにアサインされているときは、ADD VLAN PORTコマンドで該当ポートの所属VLANを変更しても、設定変更はすぐには反映されません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。
- 認証済みのSupplicantがいなくなったとき。
- リンクがダウンしたとき。
- システム上でポート認証が無効にされたとき(DISABLE PORTAUTHコマンド)。
本製品をSupplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。Supplicantとしての動作においては、IPの設定は必須ではありません。
- ポート認証モジュールを有効にします。
- ポート1をSupplicantポートに指定します。
SET PORTAUTH PORT=1 TYPE=SUPPLICANT USERNAME=user1 PASSWORD=himitsu ↓
ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。
Note
- 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。
- 802.1X認証において、ダイナミックVLANを使用しないときは、ユーザーごとに下記の属性を定義してください。
表 1:802.1X認証(ダイナミックVLANなし)
| 属性名 |
属性値 |
備考 |
| User-Name |
ユーザー名 |
認証対象のユーザー名(例:"user1", "userB") |
| User-Password |
パスワード |
(EAP-MD5、PEAP(EAP-MSCHAPv2)、TTLS使用時)ユーザー名に対応するパスワード(例:"dbf8a9hve", "h1mi2uDa4o")。EAP-TLS使用時は不要(別途、ユーザー電子証明書の用意が必要) |
Note
- 認証方式としてEAP-TLSを使う場合は、RADIUSサーバーの電子証明書と各ユーザーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。認証方式としてEAP-PEAP、EAP-TTLSを使う場合は、RADIUSサーバーの電子証明書を用意し、各コンピューター上に適切にインストールしておく必要があります。詳細はRADIUSサーバーおよびSupplicant(OSや専用ソフトウェアなど)のマニュアルをご参照ください。
- また、802.1X認証でダイナミックVLANを使用するときは、前述の諸属性に加え、下記の3属性を追加設定してください。
表 2:ダイナミックVLAN用の属性
| 属性名 |
属性値 |
備考 |
| Tunnel-Type |
VLAN (13) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Medium-Type |
IEEE-802 (6) |
固定値。指定方法はサーバーに依存 |
| Tunnel-Private-Group-ID |
VLAN名かVLAN ID |
認証対象のユーザーや機器が認証をパスした後に所属させるVLANの名前かVLAN ID(例:"sales", 10) |
本製品は、特定のMACアドレスを送信元アドレスに持つフレームのみを常に認証済みのSupplicantとして通信可能にするSupplicant MAC透過機能にも対応しています。
■ Supplicant MAC透過アドレスを登録する場合は、SET PORTAUTH PORT SUPPLICANTMACコマンドを使います。
SET PORTAUTH PORT=5 SUPPLICANTMAC=00-00-F4-11-11-11 CONTROL=AUTHORISED ↓
■ 登録済みのSupplicant MAC透過アドレスを削除する場合は、DELETE PORTAUTH PORT SUPPLICANTMACコマンドを使います。
DELETE PORTAUTH PORT=5 SUPPLICANTMAC=00-00-F4-11-11-11 ↓
(C) 2005-2008 アライドテレシスホールディングス株式会社
PN: J613-M0220-03 Rev.F