[index] SwitchBlade x3100シリーズコマンドリファレンス

スイッチング / ポート認証

  - 概要 
   - 認証方式
   - ホストモード
   - 基本設定 
    - 802.1X認証
    - MACアドレスベース認証（MACベース認証）
   - ダイナミックVLAN
   - ゲストVLAN
   - 認証サーバー

本製品は、スイッチポート単位でLAN上のユーザーや機器を認証するポート認証機能を実装しています。ポートに接続された機器（および機器を使用するユーザー。以下同様）の認証方法としては、IEEE802.1X認証（以下、802.1X認証）、MACアドレスベース認証（MACベース認証）をサポートしています。

概要

ポート認証のシステムは、通常下記の3要素から成り立っています。

Authenticator（認証者）：
ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェアを意味します。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否します。認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼します（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取ります）。
- 802.1X認証ではEAPメッセージの交換によってSupplicantを認証します（ユーザー認証）。
- MACベース認証ではSupplicantのMACアドレスによって認証を行います（機器認証）。
Supplicant（クライアント）：
ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェアを意味します。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要があります。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもあります。一方、MACベースの認証を受けるために特殊な機能は必要ありません。認証可能なSupplicantの数はシステム全体で2048台でポートあたりの制限はありません（1ポートで2048台のSupplicantを認証することも可能です）。
認証サーバー（RADIUSサーバー）：
Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェアを意味します。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理します。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用います。

本製品の各スイッチポートは、上記のうち、Authenticatorになることができます。認証サーバー（RADIUSサーバー）は別途用意する必要があります。

認証方式

ポートに接続された機器（および機器を使用するユーザー。以下同様）の認証方法としては、次の2種類をサポートしています。

IEEE 802.1X認証（以下、802.1X認証）
802.1X認証は、EAP（Extensible Authentication Protocol）というプロトコルを使って、おもにユーザー単位で認証を行う仕組みです。802.1X認証を利用するには、認証する側（Authenticator）と認証される側（Supplicant）の両方が802.1Xに対応している必要があります。本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は次のとおりです。
- EAP-MD5
- EAP-TLS
- EAP-TTLS
- EAP-PEAP
MACアドレスベース認証（MACベース認証）
MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行う仕組みです。Supplicant側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器（例：ネットワークプリンター）を接続したい場合などに利用できます。

Note - 本製品は、同一ポート上で802.1X認証とMACベース認証を併用することはできません。

ホストモード

ホストモードとは、ポート認証におけるスイッチポート固有の設定項目の1つです。あるポートにおいて、1台のSupplicantにだけポート越えの通信を許可するか、それとも複数のSupplicantに通信を許可するか、複数のSupplicantに通信を許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御するために使います。

初期状態では、すべてのスイッチポートがSingle-Hostモードに設定されています。これは1ポート・1Supplicantの構成を想定したモードで、各ポートにおいて最初に認証をパスしたSupplicantだけが通信を許可されます。HUBなどを介して1ポートに複数のSupplicantを接続しても、2番目以降のSupplicantは通信できません。1つのポートに複数のSupplicantを接続したい場合は、ホストモードをMulti-HostモードかMulti-Supplicantモードに変更する必要があります。

ホストモードには次の3種類があり、SET AUTHENTICATION INTERFACEコマンドで変更できます。初期設定はSingle Hostモードです。

Single-Hostモード（単一ホストモード）
1ポートあたり1台のみ通信を許可するモード。最初に認証をパスしたSupplicantだけに通信を許可する
Multi-Hostモード（複数ホスト相乗りモード）
1ポートあたり複数台の通信を許可するモード。最初のSupplicantが認証をパスすると、その後に接続したSupplicantは認証を行うことなく通信できる。Multi-HostモードでダイナミックVLANを利用する場合、2番目以降のSupplicantは認証を経ず、結果的に個別の VLAN IDを割り当てられないため、最初のSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用されることとなる
Multi-Supplicantモード（複数ホスト個別認証モード）
1ポートあたり複数台の通信を許可するモード。個々のSupplicantをMACアドレスで識別し、個別に認証を行うことで1台ずつ通信の許可・拒否を決定する。Multi-SupplicantモードでダイナミックVLANを利用する場合は、最初に認証をパスしたSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用される。2番目以降のSupplicantのVLAN属性が最初のSupplicantのそれと異なる場合、初期設定では認証失敗となるが、設定を変更することにより認証成功として最初のSupplicantと同じVLANを割り当てることもできる。

基本設定

本製品を使ってポート認証のシステムを運用するための基本的な設定例を示します。

Note - 設定を開始する前に設定対象のインターフェースのSTPを無効にしてから設定を行います。STPを無効にするにはDISABLE STPコマンドのINTERFACEパラメーターを使います。また、ポート認証を有効にするとインターフェースのディレクション（CUSTOMERからNETWORK）の変更や、VLANとインターフェースとの関連付けの変更ができなくなります。

Note - インターフェースのディレクションは、CUSTOMERのみサポートしています。NETWORKはサポートしていません。インターフェースのディレクションの設定変更は、SET INTERFACE GEコマンドまたはSET INTERFACE XEコマンドで行えます。

802.1X認証

本製品を802.1X認証のAuthenticatorとして使用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

ここでは、すべてのポートがVLAN defaultに所属していることを前提に、ポート6.22～6.23で802.1X認証を行うものとします。また、RADIUSサーバーはポート1.0（通常のポート）に接続されているものとします。

802.1XではRADIUSサーバーを使って認証を行うため、最初にRADIUSサーバーと通信するための設定をします。
STPインターフェースを無効にします。
VLAN4にIPの設定などを行います。
RADIUSサーバーの設定を行います。PRIORITYパラメーターを設定することで、どの順番でサーバーに接続させるかを決めます。
RADIUSのINTERIMUPDATEをONにしアカウンティングピリオドを60に設定します。
802.1X認証を有効にしインターフェースを指定します。
802.1X認証をシステムレベルで有効にします。

アカウンティングを開始します。

officer SEC>> SET DOT1X ACCOUNTING=STARTSTOP ↓ officer SEC>> SHOW DOT1X ↓ --- Port Authentication Information --- 802.1X ------ 802.1X Port-Based Authentication...... Enabled RADIUS Accounting..................... Start-Stop

Supplicantのステータスを表示します。

officer SEC>> SHOW DOT1X INTERFACE=6.22-6.23 ↓ --- Port Authentication Interface --- Interface Status PortControl HostMode GuestVLAN --------- ------------- ------------ --------- --------- ETH:6.22 Enabled Auto Single None ETH:6.23 Enabled Auto Single None officer SEC>> SHOW DOT1X SUPPLICANT ↓ --- 802.1X Port-Based Authentication Supplicant --- Authorized/Total...................... 0/ 1 --- 802.1X Port-Based Authentication Supplicant --- Interface UserName Type VLAN Status MacAddress --------- ----------------- --------- ---- -------------- ----------------- ETH:6.22 user1 802.1X 301 Authenticating 00:09:41:58:E6:F2

MACアドレスベース認証（MACベース認証）

本製品をAuthenticatorとし、MACベース認証を行う場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

ここでは、すべてのポートがVLAN defaultに所属していることを前提に、ポート6.22～6.23でMACベース認証を行うものとします。また、RADIUSサーバーはポート1.0（通常のポート）に接続されているものとします。

VLANを作成しインターフェースと関連付けを行います。
STPインターフェースを無効にします。
VLAN4にIPアドレス、サブネットマスクの設定を行い、IPインターフェースを有効にします。
RADIUSサーバーの設定を行います。認証の優先順位も適切に設定してください。
RADIUSサーバーのアカウンティングの設定を行います。

RADIUSサーバーの設定を確認します。

officer SEC>> SHOW RADIUS ↓ --- RADIUS -------------------------------------------------------------------- Auth Mode............................. Login Interim-Update........................ ON Accounting Period..................... 60 RADIUS Servers ------------------------------------------------------------ Hostname/IP Auth Acct Time Address Status Pri Port Port Retries out Function Type ---------------- -------- --- ----- ----- ------- ----- ---------------- ----- 192.168.10.5 Enabled 1 1812 1813 2 5 AUTHENTICATION, MACAUTH ACCOUNTING 192.168.10.100 Enabled 2 1812 1813 2 5 AUTHENTICATION, MACAUTH ACCOUNTING 192.168.10.110 Enabled 3 1812 1813 3 5 AUTHENTICATION, MACAUTH ACCOUNTING

MACベース認証をシステムレベルで有効にします。
MACベース認証をインターフェースレベルで有効にします。
RADIUSのアカウンティングの設定を行います。ここではSTARTSTOPで設定します。

MACベース認証の設定を確認します。

officer SEC>> SHOW MACAUTHENTICATION ↓ --- MAC-Based Authentication Information --- MAC-Based Authentication..... Enabled User Name Format............. Unformatted Upper Case................... Off RADIUS Accounting............ Start-Stop

Supplicantのステータスを確認します。

officer SEC>> SHOW MACAUTHENTICATION INTERFACE=6.22-6.23 ↓ --- Port Authentication Interface --- Interface Status PortControl HostMode GuestVLAN --------- ------------- ------------ --------- --------- ETH:6.22 Enabled Auto Single None ETH:6.23 Enabled Auto Single None officer SEC>> SHOW MACAUTHENTICATION SUPPLICANT INTERFACE=6.22-6.23 ↓ --- MAC-Based Authentication Supplicant --- Authorized/Total...................... 2/ 2 --- MAC-Based Authentication Supplicant --- Interface Authorized/Total --------- ---------------- ETH:6.22 1/ 1 ETH:6.23 1/ 1 --- MAC-Based Authentication Supplicant --- Interface UserName Type VLAN Status MacAddress --------- ----------------- --------- ---- -------------- ----------------- ETH:6.22 00-0c-25-1a-1b-1c MAC-Based 10 Authenticated 00:0C:25:1A:1B:1C ETH:6.23 00-0c-25-aa-bb-cc MAC-Based 10 Authenticated 00:0C:25:AA:BB:CC

ダイナミックVLAN

ダイナミックVLAN（Dynamic VLAN Assignment）は、RADIUSサーバーから受け取った認証情報に基づいてポート、またはユーザーの所属VLANを動的に変更する機能です。またLLDP-MEDでは、RADIUSサーバーからの情報を基にタグ付き、タグなしVLANにポートを所属させ、LLDP-MEDの情報要素を送信するさいにダイナミックVLANで割り当てられたタグ付きVLAN IDを使用します。

以下、本製品をAuthenticatorとして使用し、さらにダイナミックVLAN機能を利用する場合の基本設定を示します。Authenticatorとしての動作には、IPの設定とRADIUSサーバーの指定が必須です。

利用者機器のために3つのVLAN「A」、「B」、「C」を用意します。また、RADIUSサーバーを接続するためのVLAN「R」も作成します。各ポートに接続された機器は、認証成功後、RADIUSサーバー側から返されたVLAN（「A」、「B」、「C」のどれか）に自動的にアサインされます。

ここでは、ポート1.0～1.15で802.1X認証を行うものとします。また、RADIUSサーバーは、VLAN「R」所属のポート1.23（通常のポート）に接続されているものとします。

■ 認証サーバー（RADIUSサーバー）には、以下のように設定されているものとします。

表 1

User-Name User-Password Tunnel-Type Tunnel-Medium-Type Tunnel-Private-Group-ID 備考

user1 password1 VLAN（13） IEEE-802（6） 20 802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させるVLAN

■ 設定

VLANを作成します。
RADIUSサーバーを接続するポート1.23をVLAN「R」に割り当てます。
802.1X認証ではRADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。最初にIPアドレスを設定します。
RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
802.1X認証機能を有効にしインターフェースを指定します。
ポート1.1～1.8でダイナミックVLANを有効にします。
802.1X認証機能をシステムレベルで有効にします。

ゲストVLAN

ゲストVLANは、未認証時にのみ割り当てられる、同一VLAN内での通信が可能なVLANです。

ゲストVLANを設定していない場合、未認証の状態ではたとえ同一VLAN所属のポート間であっても通信できませんが、これらのポートに対して同じゲストVLANを設定しておけば、未認証状態でもゲストVLAN内に限って通信が可能になります。なお、認証にパスした後は、ゲストVLANではなくポート本来のVLAN、あるいは、ダイナミックVLANによって割り当てられたVLANの所属となります。

以下の設定では、認証前および、認証失敗した802.1X Supplicantは、VLAN「B」に所属しています。認証が成功すると、VLAN「A」で通信が可能です。

Note - 以下の例では、802.1X認証を使用していますが、MACベース認証でも同様に動作します。

■ 設定

VLANを作成します。
RADIUSサーバーを接続するポート9をVLAN「A」に割り当てます。
認証成功した際にVLAN「A」で通信するために、あらかじめ認証ポートをVLAN「A」へ所属させます。
RADIUSサーバーを使って認証を行うため、RADIUSサーバーと通信するための設定をします。VLAN「A」にIPアドレスを設定します。
RADIUSサーバーを登録します。IPアドレスとUDPポート、共有パスワードを指定します。
ポート認証機能を有効にします。
ゲストVLANを設定します
802.1X認証機能をシステムレベルで有効にします。

認証サーバー

認証サーバー（RADIUS）については、「運用・管理」の「認証サーバー」をご覧ください。

PN: 613-001335 Rev.C

User-Name	User-Password	Tunnel-Type	Tunnel-Medium-Type	Tunnel-Private-Group-ID	備考
user1	password1	VLAN（13）	IEEE-802（6）	20	802.1X Supplicant用のユーザー名/パスワードおよび、認証後に所属させるVLAN