[index] SwitchBlade x3100シリーズ コマンドリファレンス

スイッチング / ポート認証

  - 概要 
   - 802.1X認証方式 
   - 基本設定 
    - Authenticator 
    - 認証サーバー 

• Authenticator（認証者）：ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。802.1X認証ではEAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
  
  
• Supplicant（クライアント）：ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。
  
  
• 認証サーバー（RADIUSサーバー）：Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
  

• Authenticator時：EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAP
  

Note - 設定を開始する前に設定対象のインターフェースのSTPを無効にしてから設定を行います。STPを無効にするにはDISABLE STPコマンドのINTERFACEパラメーターを使います。また、ポート認証を有効にするとインターフェースのディレクション（CUSTOMERからNETWORK）の変更や、VLANとインターフェースとの関連付けの変更ができなくなります。

Note - インターフェースのディレクションは、CUSTOMERのみサポートしています。NETWORKはサポートしていません。インターフェースのディレクションの設定変更は、SET INTERFACE GEコマンドまたはSET INTERFACE XEコマンドで行えます。

1. 802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。IPモジュールを有効にし、VLAN defaultにIPアドレスを設定します。
   
   officer SEC>> CREATE VLAN VID=4,301 ↓
officer SEC>> ADD VLAN=VLAN4 INTERFACE=1.0 ↓
officer SEC>> ADD VLAN=VLAN301 INTERFACE=1.1,6.22-6.23 ↓

   
   
2. STPインターフェースを無効にします。
   
   officer SEC>> DISABLE STP INTERFACE=6.22-6.23 ↓

   
   
3. VLAN4にIPの設定などを行います。
   
   officer SEC>> ADD IP INTERFACE=VLAN:4.0 IPADDRESS=192.168.10.1 SUBNETMASK=255.255.255.0 ↓
officer SEC>> ENABLE IP INTERFACE=VLAN:4.0 ↓

   
   
4. RADIUSサーバーの設定を行います。PRIORITYパラメーターを設定することで、どの順番でサーバーに接続させるかを決めます。
   
   officer SEC>> ADD RADIUS SERVER=192.168.10.205 SECRET=naspass1 TYPE=LOGIN,DOT1X AUTHENTICATION=ON RETRIES=2 PRIORITY=1 ACCOUNTING=ON ↓
officer SEC>> ADD RADIUS SERVER=192.168.10.206 SECRET=naspass2 TYPE=LOGIN,DOT1X AUTHENTICATION=ON RETRIES=2 PRIORITY=2 ACCOUNTING=ON ↓
officer SEC>> ADD RADIUS SERVER=192.168.10.207 SECRET=naspass3 TYPE=LOGIN,DOT1X AUTHENTICATION=ON PRIORITY=3 ACCOUNTING=ON ↓

   
   
5. RADIUSのINTERIMUPDATEをONにしアカウンティングピリオドを60に設定します。
   
   officer SEC>> SET RADIUS ACCOUNTINGPERIOD=60 INTERIMUPDATE=ON ↓

   
   
6. 802.1X認証を有効にしインターフェースを指定します。
   
   officer SEC>> ENABLE DOT1X INTERFACE=6.22-6.23 ↓

   
   
7. アカウンティングを開始します。
   

   officer SEC>> SET DOT1X ACCOUNTING=STARTSTOP ↓ officer SEC>> SHOW DOT1X ↓ --- Port Authentication Information --- 802.1X ------ 802.1X Port-Based Authentication...... Enabled RADIUS Accounting..................... Start-Stop

   
   
8. サプリカントのステータスを表示します。
   

   officer SEC>> SHOW DOT1X INTERFACE=6.22-6.23 ↓ --- Port Authentication Interface --- Interface Status PortControl --------- ------------- ------------ ETH:6.22 Enabled Auto ETH:6.23 Enabled Auto officer SEC>> SHOW DOT1X SUPPLICANT ↓ --- Port Authentication Supplicant --- Number of Supplicants................. 1 Number of Authorized Supplicants...... 0 --- Port Authentication Supplicant --- Interface UserName Type VLAN Status MacAddress --------- ----------------- --------- ---- -------------- ----------------- ETH:6.22 user1 802.1X 301 Authenticating 00:09:41:58:E6:F2

(C) 2010 アライドテレシスホールディングス株式会社

PN: 613-001335 Rev.A