[index] CentreCOM GS900M V2シリーズ コマンドリファレンス 2.3.2

ポート認証/概要・基本設定


  - 概要
  - 認証方式
  - 認証サーバーの設定
  - 802.1X認証方式
   - 基本設定
   - Supplicantとして使用する際の設定例
  - MACベース認証方式
   - 基本設定
  - Web認証方式
   - 基本設定
   - Web認証画面
    - 認証中
    - 認証成功
    - 認証失敗
    - 認証失敗(Held)
    - Web認証画面が表示されない例
   - エラーメッセージについて
   - 認証用DHCPサーバー機能をWeb認証で使用する場合
  - ダイナミックVLAN
  - ゲストVLAN
  - Supplicant MAC透過機能


ここでは、ポート認証機能について、コマンドラインインターフェースによる設定方法を中心に説明します。なお、ここでの設定の一部は、Web GUIでは「セキュリティー設定」の「RADIUSサーバー」、「認証用WEBサーバー」、「ポート認証」で設定できます。(詳細は「Web GUI」/「セキュリティー設定」をご覧ください。)

 

概要

本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。

ポート認証機能を使用すれば、スイッチポートに接続された機器を認証し、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、認証に成功した機器を特定のVLANにアサインすることも可能です(ダイナミックVLAN)。さらに、本製品はSupplicant機能にも対応しているため、他の機器から認証を受けるよう設定することもできます。

ポート認証のシステムは、下記の3要素から成り立っています。



本製品の各スイッチポートは、上記のうち、AuthenticatorとSupplicantになることができます。認証サーバー(RADIUSサーバー)は別途用意する必要があります。

Note - ポート認証有効の場合、EAP透過機能は使用できません。

Note - AuthenticatorポートとSupplicantポートは、ミラーポートに設定することはできません。

Note - AuthenticatorポートとSupplicantポートではスパニングツリープロトコルは使用できません。

Note - AuthenticatorポートとSupplicantポートは、トランクグループに所属させることはできません。

Note - コンボポート、ポートセキュリティー有効ポートは、Authenticatorポートに設定することはできません。

Note - Authenticatorポートにはスタティックエントリーは追加できません。

Note - Supplicantポートをタグ付きに設定することはできません。

Note - Authenticatorポートをタグ付きに設定する場合は、Multi-Supplicantモード(MODE=MULTI)で、かつダイナミックVLAN無効(VLANASSIGNMENT=DISABLED)である必要があります。

Note - Supplicant MAC透過機能とタグ付きポートとの併用はサポート対象外です。

Note - 802.1X認証でゲストVLANを設定した場合、認証に失敗した場合にもEAP-Successパケットを送信します

 

認証方式

ポートに接続された機器(および機器を使用するユーザー。以下同様)の認証方法としては、大きく分けて次の3種類をサポートしています。


本製品では、同一ポート上に複数の認証方式を設定することもできます(同一ポート上に802.1X認証、MACベース認証、Web認証を設定可能)。認証方式を併用した場合は、最初にMACベース認証を実施し、次に802.1X認証とWeb認証で先に開始された方式を実施します。再認証を行う際は認証に成功した方式で実施します。

 

認証サーバーの設定

ポート認証機能を利用するために必要な認証サーバー(RADIUSサーバー)の設定項目について簡単に説明します。

Note - 認証サーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。


 

802.1X認証方式


802.1X認証は、EAP(Extensible Authentication Protocol)というプロトコルを使って、ユーザー単位で認証を行うしくみです。802.1X認証を利用するには、認証する側と認証される側の両方が802.1Xに対応している必要があります。

802.1X認証では、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPなど様々な認証方式が使用されています。このうち、本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は以下のとおりです。


 

基本設定

本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
以下の設定では、802.1X Supplicantには、802.1X Supplicantを搭載したPCなどが接続されているものとします。

802.1X Supplicantから認証情報として、「ユーザー名:userA」/「パスワード:passwordA」が入力され、認証に成功すると、802.1X SupplicantはVLAN default(VID=1)で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 5
User-Name
User-Password
備考
userA passwordA 802.1X Supplicant用のユーザー名/パスワード


■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=8021X TYPE=AUTHENTICATOR」を指定することにより、ポート1は802.1X認証のAuthenticatorポートとなります。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

 

Supplicantとして使用する際の設定例

本製品を802.1X Supplicantとして使用する場合の基本設定を示します。ここでは、ポート1が認証を受けるものとします。
802.1X Supplicantとしての動作にはIPの設定が必須です。

■ 設定
  1. ポート認証機能を有効にします。


  2. ポート1で認証を受けるよう設定します。認証を受けるためのユーザー名とパスワードを指定してください。SET PORTAUTH PORTコマンドで「TYPE=SUPPLICANT」を指定することにより、ポート1はSupplicantポートとなります。


 

MACベース認証方式

MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行うしくみです。認証される側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器(例:ネットワークプリンター)を接続したい場合などに利用できます。おもに、802.1X認証を補完するものとして利用されます。

 

基本設定

本製品をAuthenticatorとし、MACベース認証を行う場合の基本設定を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

MAC Supplicantから通信が行われた時点で、Authenticatorは、自動的に認証サーバー(RADIUSサーバー)に認証情報を問い合わせ、認証の可否を決定します。
認証が成功すると、MAC SupplicantはVLAN default(VID=1)で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 6
User-Name
User-Password
備考
a1-b2-c3-d4-e5-f6 a1-b2-c3-d4-e5-f6 MAC Supplicant用のユーザー名/パスワード

認証方式は、PAPを指定します。

■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1でMACベース認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=MACBASED TYPE=AUTHENTICATOR」を指定することにより、ポート1はMACベース認証のAuthenticatorポートとなります。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

 

Web認証方式

Web認証は、Webブラウザーを利用して認証を行うしくみです。ユーザーはAuthenticatorのWeb認証サーバーに接続し、ユーザー名とパスワードを入力することで認証が行われます。

OSごとの対応ブラウザー、プロトコルは以下のとおりです。

表 7
対応ブラウザー IE 6.0/7.0(Windows/Mac)、Firefox 3.0.6(Windows)、Firefox 3.0.1(Mac)、Firefox 2.0(Linux/Unix)、Safari 2.0.4(Mac)、Opera 9.6.3(Windows/Linux)、Opera 9.60 Beta(Mac)、Opera 9.0(Unix)、Netscape 9.0.0.6(Linux)
対応プロトコル HTTP 1.0/1.1


SupplicantからWeb認証を行う場合は、以下のように操作します。

  1. Webブラウザーを起動します。

  2. 「アドレス」に、Web認証サーバーのIPアドレス(本製品のIPアドレス)とTCPポート番号(デフォルトは8080番)を入力し(入力例:http://192.168.1.1:8080/)、「Enter」キーを押します。

  3. 次の画面が表示されますので、「ユーザー名」と「パスワード」を入力し、「ログイン」をクリックします。



 

基本設定

本製品をAuthenticatorとし、Web認証を行う場合の基本設定を示します。
Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。
以下の設定では、Web Supplicantには、対応Webブラウザーが搭載されており、「http://192.168.10.5:3000」にアクセスするものとします。
Web Supplicantには、IPアドレスの設定が必要です。

Web Supplicantから認証情報として、「ユーザー名:webuserA」/「パスワード:webpasswordA」が入力され、認証に成功すると、Web Supplicantは、VLAN default(VID=1)で通信が可能になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 8
User-Name
User-Password
備考
webuserA webpasswordA Web Supplicant用のユーザー名/パスワード


認証方式は、PAPを指定します。

■ 設定
  1. RADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。
    IPアドレスの設定により、Web Supplicantは本製品のWeb認証サーバーにアクセスできるようになります。


  2. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  3. ポート認証機能を有効にします。


  4. ポート1でWeb認証を行うよう設定します。SET PORTAUTH PORTコマンドで「PORTAUTH=WEBBASED TYPE=AUTHENTICATOR」を指定することにより、ポート1はWeb認証のAuthenticatorポートとなります。


  5. Web認証サーバーのTCPポート番号を変更します。


    Note - Web認証サーバー用のTCPポート番号は、Web GUIで使用するHTTPサーバー用のTCPポート番号(SET HTTP LISTENPORTコマンドで設定)とは別に設定します。デフォルトは8080番です。

  6. Web認証サーバーを有効にします。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

 

Web認証画面

Supplicant上のWebブラウザーに表示される画面・メッセージを紹介します。


 

認証中

認証中は、次の画面が表示されます。


メッセージ内容:
認証中(Authenticating)...
しばらくお待ちください。

 

認証成功

認証に成功すると、次の画面が表示されます。すでに認証済みのSupplicantからアクセスを受けた場合も、次の画面が表示されます。

この画面で「ログオフ」をクリックすると、認証が解除されます。

Note - 「Enter」キーを押しただけではログオフできません。認証を解除する場合は「ログオフ」ボタンをクリックしてください。


メッセージ内容:
認証済み(Authenticated)
認証が完了しました。
認証を解除する場合はボタンを押してください。

 

認証失敗

認証に失敗すると、次の画面が表示されます。


メッセージ内容:
ログインできません。しばらく経ってから再度ログインしてください。

 

認証失敗(Held)

規定回数のログイン失敗によりHeldの状態(待機中)になると、次の画面が表示されます。


メッセージ内容:
待機中(Held)
ログインできません。しばらく経ってから再度ログインしてください。

 

Web認証画面が表示されない例

以下のような場合には、Web認証画面は表示されません。


 

エラーメッセージについて

認証失敗時に初期画面に表示されるメッセージは次のとおりです。

表 9
表示されるメッセージ
エラーの原因
ログインできません。ユーザー名、パスワードに誤りがあります。 ユーザー名、パスワードに空白しか入力されていない
ログインできません。同時接続数の最大を超えているか、本端末は認証できない可能性があります。 同時接続数が最大数(1ポートあたり320、システムあたり480)に達している。
SupplicantのMACアドレスがFDBにスタティックエントリーとして登録されている
ログインできません。サーバーが見つかりません。 認証処理がタイムアウトしている
RADIUSサーバーとの通信に失敗した
ログインできません。ユーザー名、パスワードを確認してください。 RADIUSサーバーで認証に失敗した
ログインできません。しばらく経ってから再度ログインしてください。 Heldの状態(待機中)になっている
別のSupplicantが認証中


 

認証用DHCPサーバー機能をWeb認証で使用する場合

本製品は認証用DHCPサーバー機能を搭載しているため、Web認証利用時に認証前のSupplicantにIPアドレスを割り振ることができます。

ここでは、Supplicantに動的にIPアドレスが割り当てられる環境でWeb認証を使用するための設定方法を説明します。

Note - ゲストVLANとダイナミックVLANについての詳細は、後述の「ゲストVLAN」、「ダイナミックVLAN」をご覧ください。

■ Supplicantが通信可能になるまでの動作

  1. DHCPクライアント機能が有効になっているSupplicantがAuthenticatorに接続。

  2. Web認証が有効なポートでは、Supplicantが未認証の場合、ゲストVLANの所属になる。本製品のDHCPサーバー機能によって、SupplicantにIPアドレスが割り当てられる。

  3. SupplicantはWebブラウザーからAuthenticator(Web認証サーバー)にアクセス。ユーザーIDとパスワードの入力により、RADIUSサーバーとの認証処理が開始される。

  4. Supplicantの認証が成功すると、認証後のVLANの所属になる。

  5. ゲストVLAN内のDHCPサーバーから割り当てられたIPアドレスが解放され、認証後のVLAN内に存在するDHCPサーバーによって、新たにIPアドレスが割り当てられる。

  6. Supplicantは、認証後のVLANで通信が可能になる。
REAUTHENABLED=ENABLED(認証切断を行う)が設定されている場合は、REAUTHPERIODパラメーターで指定された時間が経過すると認証が切断されます。この場合、上記2に戻り、Supplicantは再びゲストVLANの所属になります。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 10
User-Name
User-Password
備考
webuserA webpasswordA Web Supplicant用のユーザー名/パスワード


認証方式は、PAPを指定します。

■ 設定
  1. VLANを作成します。


  2. RADIUSサーバーを接続するポート9をVLAN「R」に割り当てます。


  3. RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。最初に、IPアドレスを設定します。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1の認証設定を以下のようにします。SET PORTAUTH PORTコマンドで「PORTAUTH=AUTO」を指定することにより、ポート1でいったんMAC認証を実施させ、失敗させることでゲストVLANの所属になるようにします。「GUESTVLAN=20」の指定により、VLAN「B」がゲストVLANになります。


  7. Web認証サーバーのTCPポート番号を変更します。


    Note - Web認証サーバー用のTCPポート番号は、Web GUIで使用するHTTPサーバー用のTCPポート番号(SET HTTP LISTENPORTコマンドで設定)とは別に設定します。デフォルトは8080番です。

  8. Web認証サーバーを有効にします。


  9. 認証用DHCPサーバー機能を有効にします。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。


 

ダイナミックVLAN

ダイナミックVLAN(Dynamic VLAN Assignment)は、RADIUSサーバーから受け取った認証情報に基づいてポート、またはユーザーの所属VLANを動的に変更する機能です。

SET PORTAUTH PORTコマンドのVLANASSIGNMENTパラメーターにENABLEDを指定することにより、有効にします。ダイナミックVLANをポート単位で設定するか、ユーザー(MACアドレス)単位で設定するかをSET PORTAUTH PORTコマンドのVLANASSIGNMENTTYPEパラメーターで設定します。

以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

利用者機器のためにVLAN「A」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN「A」に自動的にアサインされます。

ここでは、ポート1〜8で802.1X認証を行うものとします(ポート1〜8の認証前の所属VLANはVLAN defaultと仮定します)。また、RADIUSサーバーは、VLAN「R」所属のポート9(通常のポート)に接続されているものとします。

Note - 以下の例では、802.1X認証を使用していますが、MACベース認証、Web認証でも同様に動作します。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 11
User-Name
User-Password
Tunnel-Type
Tunnel-Medium-Type
Tunnel-Private-Group-ID
備考
user1 password1 VLAN(13) IEEE-802(6) 20 802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させるVLAN


■ 設定
  1. VLANを作成します。


  2. RADIUSサーバーを接続するポート9をVLAN「R」に割り当てます。


  3. RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。VLAN「R」にIPアドレスを設定します。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1〜8で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。また、「VLANASSIGNMENT=ENABLED」の指定により、ダイナミックVLANを有効にします。


Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

■ ダイナミックVLANの動作仕様は次のとおりです。


■ ポートがダイナミックVLANにアサインされているときは、ADD VLAN PORTコマンドで該当ポートの所属VLANを変更しても、設定変更はただちには反映されません。ポートがダイナミックVLANから本来のVLANに戻るのは、次のときです。


 

ゲストVLAN

ゲストVLANは、未認証時にのみ割り当てられる、同一VLAN内での通信が可能なVLANです。

ゲストVLANを設定していない場合、未認証の状態ではたとえ同一VLAN所属のポート間であっても通信できませんが、これらのポートに対して同じゲストVLANを設定しておけば、未認証状態でもゲストVLAN内にかぎって通信が可能になります。なお、認証にパスした後は、ゲストVLANではなくポート本来のVLAN、あるいは、ダイナミックVLANによって割り当てられたVLANの所属となります。

以下の設定では、認証前および、認証失敗した802.1X Supplicantは、VLAN「B」に所属しています。
認証が成功すると、VLAN「A」で通信が可能です。

Note - 以下の例では、802.1X認証を使用していますが、MACベース認証、Web認証でも同様に動作します。ただし、802.1X認証以外は、VLANASSIGNMENTTYPE=USERのみ使用可能です。

■ 構成


■ 認証サーバー(RADIUSサーバー)には、以下のように設定されているものとします。

表 12
User-Name
User-Password
備考
user1 password1 802.1X Supplicant1用のユーザー名/パスワード
user2 password2 802.1X Supplicant2 用のユーザー名/パスワード
user3 password3 802.1X Supplicant3 用のユーザー名/パスワード


■ 設定
  1. VLANを作成します。


  2. RADIUSサーバーを接続するポート9をVLAN「A」に割り当てます。


  3. RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。VLAN「A」にIPアドレスを設定します。


  4. RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。


  5. ポート認証機能を有効にします。


  6. ポート1〜3で802.1X認証を行うよう設定します。SET PORTAUTH PORTコマンドの「PORTAUTH=8021X TYPE=AUTHENTICATOR」の指定により、ポート1は802.1X認証のAuthenticatorポートとなります。また、「GUESTVLAN=20」の指定により、VLAN「B」がゲストVLANになります。


    Note - RADIUSサーバーを接続するポートは、Authenticatorポートにしないでください。SET PORTAUTH PORTコマンドのTYPEパラメーターをNONEに設定してください。

 

Supplicant MAC透過機能

本製品は、特定のMACアドレスを送信元アドレスに持つフレームのみを常に認証済みのSupplicantとして通信可能にするSupplicant MAC透過機能にも対応しています。

■ Supplicant MAC透過アドレスを登録する場合は、SET PORTAUTH PORT SUPPLICANTMACコマンドを使います。


■ 登録済みのSupplicant MAC透過アドレスを削除する場合は、DELETE PORTAUTH PORT SUPPLICANTMACコマンドを使います。





(C) 2009-2011 アライドテレシスホールディングス株式会社

PN: 613-001180 Rev.E