[index] CentreCOM x230シリーズ コマンドリファレンス 5.4.4

インターフェース / ポート認証

Note - ポート認証機能をAMF接続ポート上で使用することはできません。詳細はAMFの導入編をご覧ください。

• Authenticator（認証者）
  ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
  
  • 802.1X認証ではEAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。
    
  • MACベース認証ではSupplicantのMACアドレスによって認証を行う（機器認証）。
    
  • Web認証ではSupplicant上のWebブラウザーからユーザー名とパスワードを入力することで認証を行う（ユーザー認証）。
    
  
  
• 認証サーバー（RADIUSサーバー）
  Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
  
  
• Supplicant（クライアント）
  ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。一方、MACベースの認証を受けるために特殊な機能は必要ない。Web認証を受けるためには対応するWebブラウザー（後述）が必要となる。
  

• IEEE 802.1X認証（以下、802.1X認証）
  802.1X認証は、EAP（Extensible Authentication Protocol）というプロトコルを使って、おもにユーザー単位で認証を行う仕組み。802.1X認証を利用するには、認証する側（Authenticator）と認証される側（Supplicant）の両方が802.1Xに対応している必要がある。本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は次のとおり。
  
  
  • EAP-MD5
    
  • EAP-TLS
    
  • EAP-TTLS
    
  • EAP-PEAP
    
  
  
• MACアドレスベース認証（以下、MACベース認証）
  MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行う仕組み。Supplicant側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器（例：ネットワークプリンター）を接続したい場合などに利用できる。
  
  
• Web認証
  Web認証は、接続機器上のWebブラウザーからユーザー名とパスワードを入力することによって、ユーザー単位で認証を行う仕組み。Web認証では、Supplicant側に下記の対応Webブラウザーが必要。
  
  
  • Internet Explorer 6.0以降（Windows）
    
  • Firefox 2.0以降（Windows/Mac OS X/Linux/Unix）
    
  • Safari 2.0以降（Mac OS X）
    
  • Netscape 7.0以降（Linux/Unix）
    
  
  Web認証サーバー・Webブラウザー間の通信方式としては、HTTPとHTTPSに対応している。Web認証サーバーがサポートしているプロトコルバージョンは次のとおり。
  
  
  • HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0
    
  
  なお、Web認証ではHTTP/HTTPSを使って認証を行う関係上、認証前であってもAuthenticator・Supplicant間でIPの通信ができる必要がある。通常これはWeb認証用DHCPサーバー機能、またはDHCPサーバー機能を使ってSupplicantに一時的なIP設定情報を供給することで実現する。
  

Note - MACベース認証では、認証成功したSupplicantのMACアドレスはFDBにダイナミックMACアドレスとして登録されます。したがってエージアウトによりFDBから削除されると、認証情報も削除（認証解除）されます。802.1X認証とWeb認証では、認証成功したSupplicantのMACアドレスはFDBにスタティックMACアドレスとして登録されます。

• MACベース認証 → 802.1X認証
  
• MACベース認証 → Web認証
  
• 802.1X認証 → Web認証
  

1. MACベース認証を実施
   
   
   • 任意のパケットを受信したら、その送信元MACアドレスをユーザー名およびパスワードとして、RADIUSサーバーに認証を要求
     
   • 認証成功なら該当Supplicantに通信を許可（認証プロセス完了）
     
   • 認証失敗なら次の認証方式に進む
     

   Note - MACベース認証とWeb認証を併用しているポートでは、ARP、DHCP、DNS、HTTP、HTTPSのいずれかのパケットを受信したときだけMACベース認証が開始されます。

   
   
2. 802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施
   
   
   • 認証成功なら該当Supplicantに通信を許可（認証プロセス完了）
     
   • 認証失敗なら該当Supplicantの通信を拒否（認証プロセス完了）
     

1. 802.1X認証/Web認証のどちらか先に開始されたほうで認証を実施
   
   
   • 802.1X認証を先に実施した場合
     
     
     • 802.1X認証成功なら、該当Supplicantに通信を許可（認証プロセス完了）
       
     • 802.1X認証失敗なら、Web認証を実施
       
       
       • Web認証成功なら、該当Supplicantに通信を許可（認証プロセス完了）
         
       • Web認証失敗なら、該当Supplicantの通信を拒否（認証プロセス完了）
         
     
     
   • Web認証を先に実施した場合
     
     
     • Web認証成功なら、該当Supplicantに通信を許可（認証プロセス完了）
       
     • Web認証失敗なら、該当Supplicantの通信を拒否（認証プロセス完了）（※802.1X認証は行わない）
       

• いずれか1つの方式で成功すれば認証成功となる。
  
  
• 再認証（auth reauthenticationコマンド）は、認証に成功した方式で行う
  
  
• どのホストモード（auth host-modeコマンド。詳細は後述）でも認証方式の併用が可能。ただし、認証方式併用時、パケット転送動作はin固定となる（dot1x control-directionコマンド）
  
  
• MACベース認証が有効なときは、必ず最初にMACベース認証が行われる（パケット受信をトリガーとして自動的に行われる認証方式であるため）。
  
  
• MACベース認証と他の方式（802.1X認証かWeb認証）を併用している場合、MACベース認証に失敗しても、他の方式で認証失敗しないかぎり認証失敗後の待機状態にはならない
  
  
• 802.1X認証とWeb認証の2方式だけが有効（MACベース認証が無効）なポートでは、802.1X認証が先なら802.1X認証失敗後にWeb認証を行うが、Web認証を先に実施した場合はWeb認証失敗により認証プロセスが完了するため802.1X認証は行われない。
  
  
• 802.1X認証とWeb認証の2方式だけが有効（MACベース認証が無効）なポートで802.1X認証を先に実施した場合、802.1X認証に失敗しても、Web認証で失敗しないかぎり認証失敗後の待機状態にはならない。802.1X認証失敗後、一定期間（約30秒）Web認証が行われない場合は認証情報がクリアされる
  
  
• 認証方式ごとに異なるRADIUSサーバーを使用するような設定も可能（詳細は「運用・管理」の「RADIUSクライアント」を参照）
  

Note - MACベース認証とWeb認証を併用している場合、Web認証にて認証成功後、ログアウトして再度認証を試みると一回目の認証に必ず失敗します。認証画面を再読み込みしてから、再度認証してください。

• MACベース認証 ○ → 802.1X認証 ○
  
• MACベース認証 ○ → Web認証 ○
  
• 802.1X認証 ○ → Web認証 ○
  

• 2ステップ認証は、Auth-fail VLAN、ゲストVLAN、ダイナミックVLANとの併用も可能です。
  2ステップ認証とダイナミックVLANを併用する場合は、2つ目の認証成功時にRADIUS-Acceptパケットで指定されたVLANがアサインされます（1つ目の認証成功時に指定されたVLANは無視されます）。
  
  
• 2ステップ認証使用時は、Authenticator（本製品）とRADIUSサーバーとの間で使用する認証方式（PAP、EAP-MD5など）を、MACベース認証、Web認証、802.1X認証のそれぞれで別の方式に設定してください。Authenticator・RADIUSサーバー間の認証方式は次のようにして設定します。
  

  MACベース認証	auth-mac methodコマンド
  802.1X認証	Supplicant側で設定
  Web認証	auth-web methodコマンド

  
  なお、MACベース認証 → Web認証、および、MACベース認証 → 802.1X認証の2ステップ認証の場合は、auth-mac passwordコマンドでMACベース認証用の共通パスワードを設定し、RADIUSサーバー側にもそのパスワードを登録しておくことで、Authenticator・RADIUSサーバー間の認証方式を意識しなくてもよくなります。
  
  
• 2ステップ認証では、Supplicantが1つ目の方式で認証に成功した後、一定の時間内に2つ目の認証が行われない場合、該当Supplicantの認証情報は削除されます（次に該当Supplicantからパケットを受信した場合は、1つ目の認証方式からやりなおします）。
  
  
• 2ステップ認証が有効なポートにおいて、特定のSupplicantだけ2ステップ認証の対象外とすることも可能です。それには、auth supplicant-macコマンドで該当SupplicantのMACアドレスを指定し、port-controlパラメーターでskip-second-authオプションを指定してください。
  

• Single-Hostモード（単一ホストモード）
  1ポートあたり1台のみ通信を許可するモード。最初に認証をパスしたSupplicantだけに通信を許可する
  
  
• Multi-Hostモード（複数ホスト相乗りモード）
  1ポートあたり複数台の通信を許可するモード。最初のSupplicantが認証をパスすると、その後に接続したSupplicantは認証を行うことなく通信できる。Multi-HostモードでダイナミックVLANを利用する場合、2番目以降のSupplicantは認証を経ず、結果的に個別の VLAN IDを割り当てられないため、最初のSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用されることとなる
  
  
• Multi-Supplicantモード（複数ホスト個別認証モード）
  1ポートあたり複数台の通信を許可するモード。個々のSupplicantをMACアドレスで識別し、個別に認証を行うことで1台ずつ通信の許可・拒否を決定する。Multi-SupplicantモードでダイナミックVLANを利用する場合はさらに、個々のSupplicantに個別のVLANを割り当てるか、最初のSupplicantのVLANをそれ以降に接続した他のSupplicantにも適用するかの設定も可能。後者の場合、2番目以降のSupplicantのVLAN属性が最初のSupplicantのそれと異なる場合、初期設定では認証失敗となるが、設定を変更することにより認証成功として最初のSupplicantと同じVLANを割り当てることもできる（これらの設定はauth dynamic-vlan-creationコマンドのtype、ruleパラメーターで行う）
  

1. 認証サーバーの準備（ユーザー・機器情報の登録など）
   ポート認証では、いずれの認証方式でも実際の認証をRADIUSサーバーに依頼するため、あらかじめRADIUSサーバーを用意し、ユーザー情報や機器情報（MACアドレス）を登録しておいてください。どのような情報を登録すべきかは、本解説編の「RADIUSサーバーの設定項目」のセクションで説明しています。
   小規模なネットワーク環境において本製品内蔵のローカルRADIUSサーバーを利用する場合は、「運用・管理」の「RADIUSサーバー」を参照して、ローカルRADIUSサーバーの設定を済ませておいてください。
   
   
2. RADIUSクライアント機能の設定（認証サーバーの登録など）
   ポート認証システムにおいて本製品はAuthenticatorとして動作しますが、認証サーバー（RADIUSサーバー）とのやりとりにおいては、本製品はRADIUSクライアント（NAS = Network Access Server）としてふるまいます。そのため、最初にRADIUSクライアントとしての設定を行います。詳しくは「運用・管理」の「RADIUSクライアント」をご覧ください。
   
   
3. ポート認証機能の設定
   ポート認証機能をシステム全体で有効化し、さらに各スイッチポートでもポート認証を有効化します。動作パラメーターの調整はおもにスイッチポートごとに行います。
   

• すべてのポートがvlan1（デフォルトVLAN）に所属
  
• vlan1にはIPアドレス172.16.10.1/24を設定
  
• 上位にL3スイッチが存在。vlan1のデフォルトゲートウェイアドレスは172.16.10.254となる
  
• 外部のRADIUSサーバーを使用
  
  • ポート1.0.1に接続
    
  • IPアドレス：172.16.10.2
    
  • 共有パスワード：himitsu
    
• ポート1.0.2〜1.0.8でポート認証を行う
  
  • 各ポートでは1台の機器にだけ通信を許可する（Single-Hostモード）
    
  • ダイナミックVLAN・ゲストVLANは使用しない
    

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. システム全体で802.1X認証機能を有効にします。
   

   awplus(config)# aaa authentication dot1x default group radius ↓

   
   
4. ポート1.0.2〜1.0.8で802.1X認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# dot1x port-control auto ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートでは802.1X認証を使用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートで802.1X認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

Note - 802.1X認証のSupplicantがログオフしても、ステータスがConnectingになりません。

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. システム全体でMACベース認証機能を有効にします。
   

   awplus(config)# aaa authentication auth-mac default group radius ↓

   
   
4. ポート1.0.2〜1.0.8でMACベース認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth-mac enable ↓ awplus(config-if)# end ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではMACベース認証を使用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートでMACベース認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

Note - 同一ポート上でスパニングツリープロトコルとMACベース認証は併用できません。

Note - ここでは、Webアクセスにプロキシーサーバーを使用していない環境を想定しています。

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   

   Note - ここではRADIUSサーバーがvlan1上にあるものと仮定しています。他のVLAN上にあるときは、RADIUSサーバーまでの経路を適切に設定してください。

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. Web認証では、Webブラウザーで本製品にアクセスして認証を受けるため、Supplicantは認証前でもIPアドレスが必要です。ここでは、auth-web-server dhcp ipaddressコマンドで本製品のWeb認証用DHCPサーバー機能を有効にし、認証前のSupplicantにIPアドレスを割り当てます。
   以下の設定により、認証前のSupplicantには、IPアドレスとして172.16.10.2〜172.16.10.62内のいずれかが割り当てられ、デフォルトゲートウェイアドレスとして172.16.10.1（Web認証サーバーの待ち受けIPアドレス）が通知されます。
   

   awplus(config)# auth-web-server dhcp ipaddress 172.16.10.1/26 ↓

   
   
4. 次に、認証後のSupplicantに正規のIPアドレスを割り当てるため、DHCPサーバー機能の設定を行います。手順3で指定したWeb認証用DHCPサーバーの使用するアドレスと重複しないように、動的IPアドレスの範囲を調整します。
   今回は、Web認証用DHCPサーバーで使用するIPアドレスの範囲が172.16.10.1〜172.16.10.62であるため、認証後の正規アドレスとして使用できるIPアドレスの範囲は172.16.10.63〜172.16.10.253となります。
   また、デフォルトゲートウェイアドレス（default-routerコマンド）は、上位L3スイッチのアドレス（172.16.10.254）になります。
   
   

   Note - 本製品はDHCPサーバー機能をサポートしておりませんので、別途ご用意ください。以下は、DHCPサーバー機能をサポートしている弊社製品の設定例にて説明します。

   
   

   awplus(config)# ip dhcp pool webauth ↓ awplus(dhcp-config)# network 172.16.10.0/24 ↓ awplus(dhcp-config)# range 172.16.10.63 172.16.10.240 ↓ awplus(dhcp-config)# default-router 172.16.10.254 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# service dhcp-server ↓

   
   
5. システム全体でWeb認証機能を有効にします。
   

   awplus(config)# aaa authentication auth-web default group radius ↓

   
   
6. ポート1.0.2〜1.0.8でWeb認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth-web enable ↓ awplus(config-if)# end ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではWeb認証を使用できません。

Note - DHCP SnoopingとWeb認証（auth-web enable）は併用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートでWeb認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

Note - 使用できるPCLエントリーがわずかの時にWeb認証ポートがリンクアップへと推移すると、Web認証はセキュリティーの適用に失敗します。

Note - Web認証に使用するインターフェースと、認証を行う端末の間ではルーティングを行わないでください。ルーティングを行い認証をした場合、正常に認証処理ができなくなります。

Note - ポリシーベースのQoS、Web認証の2機能を同時に使用することはできません。

Note - Web認証において、Web認証用DHCPサーバー機能とインターセプトモードを使用したとき、DHCPによってIPアドレスを動的に取得するSupplicantとIPアドレスが静的に割り当てられているSupplicantが異なる認証ポートに接続されていると、IPアドレスの重複をSupplicantが解消できない場合があります。インターセプトモードを使用する場合は、Web認証用DHCPサーバー機能ではなく、通常のDHCPサーバー機能を使用してください。また、Supplicantに貸し出す動的IPアドレスの範囲は、IPアドレスが静的に割り当てられているSupplicantのIPアドレスが除外されるように構成してください。

Note - Web認証を使用するときは、service httpコマンドで設定用Webサーバー（Web GUIサーバー）を無効化しないでください。

Note - 初期状態で有効になっているHTTPリダイレクト機能（auth-web-server http-redirectコマンド）により、10.10.10.1、172.16.20.1など、認証ポートのインターフェースと別ネットワークのアドレスを指定した場合も、ブラウザーが172.16.10.1にリダイレクトされます。

Note - Internet Explorerのバージョンによっては、HTTPS経由でWeb認証サーバーにアクセスしてから認証ページが表示されるまでに十数秒を要する場合があります。

Note - Supplicantのデフォルトゲートウェイが、認証スイッチに設定されていない場合、本製品宛て（Web認証サーバー宛て）にWebアクセスを行えばWeb認証画面を開くことができますが、auth-web forwardコマンドでdnsを設定してもドメイン名からWeb認証画面を開くことはできません（※ Supplicantのデフォルトゲートウェイが認証スイッチに設定されていても、サブディレクトリを含むURLからは認証画面へアクセスできません）。

• Login Failed! Could not authenticate. Please check Username & Password.
  （ユーザー名・パスワードが正しくありません）
  
  
• Login Failed! Could not start authentication. Please try later.
  （前回認証に失敗したなどの理由で、現在一時的に認証できない状態にあります。後ほど再試行してください）
  
  
• Login Failed! Could not authenticate.
  （このポートは「未認証」固定に設定されているため、認証を受けられません）
  

Note - Supplicantが存在するスイッチポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。

表 2

設定項目	設定コマンド			説明
	802.1X認証	MACベース認証	Web認証
クリティカルポート	auth critical			すべてのRADIUSサーバーが無応答だった場合（認証期間中にすべてのRADIUSサーバーがDead状態になった場合）、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる
ダイナミックVLAN	auth dynamic-vlan-creation			ダイナミックVLANを有効にしたポートでは、認証をパスしたSupplicantを特定のVLANに動的に割り当てる。どのVLANに割り当てるかは、RADIUSサーバーから返された情報にしたがう。詳細は後述
ゲストVLAN	auth guest-vlan			ゲストVLANを有効にしたポートでは、未認証のSupplicantをゲストVLANとして指定されたVLANに所属させる。通常、未認証時はポート越えの通信ができないが、ゲストVLAN所属の未認証Supplicant間であれば未認証時でも通信が可能となる。詳細は後述
ホストモード	auth host-mode			1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する
最大Supplicant数	auth max-supplicant			複数のSupplicantに通信を許可する場合（Multi-HostモードかMulti-Supplicantモードのとき）、該当ポート配下からの通信を許可するSupplicantの最大数を指定する
再認証	auth reauthentication			再認証有効時は、認証に成功したSupplicantを定期的に再認証する（再認証の動作は認証方式によって異なる）
再認証間隔	auth timeout reauth-period			再認証有効時にSupplicantを再認証する間隔を指定する
認証失敗後の抑止期間	auth timeout quiet-period			認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する
RADIUSサーバー応答待ち時間	auth timeout server-timeout			RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する
ローミング認証	auth roaming enable			ローミング認証を有効にしたポート間では、一度認証をパスしたSupplicantが再認証を受けずに自由に移動して通信を継続できる。詳細は後述
ローミング認証リンクダウン対応	auth roaming disconnected			ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で再認証が必要となるが、本オプションを有効化すれば、ポートがリンクダウンしても認証情報が保持されるため、再認証なしでのポート間移動が可能となる。詳細は後述
Auth-fail VLAN	auth auth-fail vlan			Auth-fail VLANを有効にしたポートでは、認証失敗したSupplicantをAuth-fail VLANとして指定されたVLANに所属させる

表 3

設定項目	設定コマンド			説明
	802.1X認証	MACベース認証	Web認証
認証の有効・無効	dot1x port-control	auth-mac enable	auth-web enable	対象ポートで該当する認証方式を有効・無効化する
RADIUS認証方式	なし	auth-mac method	auth-web method	MACベース認証、Web認証時、RADIUSサーバーとの間で使用する認証方式をPAP、EAP-MD5から選択する
再認証時の再学習	なし	auth-mac reauth-relearning	なし	MACベース認証で再認証を行うとき、SupplicantのMACアドレスをいったん削除して再学習するかどうかを設定する
未認証時の特定パケット転送	なし	なし	auth-web forward	Web認証時、未認証Supplicantからの特定のパケットを同一VLAN内のポートに転送するよう設定する
Supplicant接続後タイムアウト	なし	なし	auth timeout connect-timeout	Web認証SupplicantがConnecting状態になってから認証状態を削除するまでの時間を設定する
認証試行回数	dot1x max-auth-fail	なし	auth-web max-auth-fail	何回認証に失敗したら該当Supplicantからの認証要求を一時的に拒否するかを設定する
未認証ポートでの転送制御	dot1x control-direction	なし	なし	802.1X認証の未認証ポートにおけるパケット転送制御動作を変更する
EAPOLのバージョン	dot1x eapol-version	なし	なし	802.1X認証で使用するEAPOLのバージョンを設定する
認証時の再送回数	dot1x max-reauth-req	なし	なし	802.1X認証を行うとき、EAPOL-Requestパケットを何回まで再送するかを設定する
Supplicant応答待ち時間	auth timeout supp-timeout	なし	なし	802.1X認証でSupplicantからの応答を待つ時間を指定する

Note - Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。

Note - Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値（明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値）が使われます。

Note - スイッチポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth-web enable ↓ awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized ↓

Note - dot1x port-controlコマンドの設定は802.1X認証にのみ適用されますが、auth supplicant-macコマンドのport-controlパラメーターはすべての認証方式に適用されます。

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication ↓

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# no auth supplicant-mac 0000.1122.3344 ↓

Note - ダイナミックVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

表 4：Single-HostモードにおけるダイナミックVLANの動作

ポートの状態	所属VLAN		ポート越えの通信可否
未認証	ゲストVLANなし	本来のVLAN	不可
	ゲストVLANあり	ゲストVLAN	ゲストVLAN内のみ可
認証済み	VLAN通知あり	RADIUSサーバーから通知されたVLAN	制限なし
	VLAN通知なし	本来のVLAN

• 未認証（認証前、認証失敗後、および、未認証固定）ポートの動作は、ゲストVLAN（詳細は次節）の有効・無効によって異なります。
  
  
  • ゲストVLAN無効時、未認証ポートは本来のVLAN所属となります。ポート越えの通信は不可能です。
    
    
  • ゲストVLAN有効時、未認証ポートはゲストVLAN所属となります。ゲストVLANと同一のVLAN内にかぎり、ポート越えの通信（スイッチング）が可能です。
    
  
  
• RADIUSサーバーからのAccess-Acceptメッセージで有効なVLAN（製品上に登録されているVLAN）の情報が返ってきた場合、ポートはそのVLANの所属となります。認証成功となるため、ポート越えの通信も可能です。
  
  
• RADIUSサーバーからのAccess-Acceptメッセージで無効なVLAN（製品上に登録されていないVLAN）の情報が返ってきた場合、ポート認証機能としては認証失敗となります。そのため、ポートの所属は未認証時のもの（第1項を参照）となります。
  
  
• RADIUSサーバーからのAccess-AcceptメッセージにVLANの情報が含まれていなかった場合、ポートは本来のVLAN所属となります。認証成功となるため、ポート越えの通信も可能です。
  
  
• 認証済みに固定設定されたポートは、本来のVLAN所属となります。認証済みなので、ポート越えの通信も可能です。
  
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  

• type single（ポート単位のVLAN割り当て）（初期設定）
  ダイナミックVLANの割り当てをポート単位で行います。Multi-Supplicantモードで1ポートに複数のSupplicantが接続されている場合であっても、すべてのSupplicantが同じVLANの所属になります。2台目以降のSupplicantへのVLAN割り当てルールは、auth dynamic-vlan-creationコマンドのruleパラメーターによって、次の2つから選択できます。
  
  
  • rule deny（初期設定）
    2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合、該当Supplicantは認証失敗となります。
    
    
  • rule permit
    2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合であっても、該当Supplicantを認証成功とします。ただし、該当Supplicantの所属VLANは1台目のSupplicantと同じになります（RADIUSサーバーの返却してきたVLAN情報は無視される）。
    
  
  
• type multi（Supplicant単位のVLAN割り当て ＝ マルチプルダイナミックVLAN）
  ダイナミックVLANの割り当てをSupplicant単位（MACアドレス単位）で行います。Multi-Supplicantモードで1ポートに複数のSupplicantが接続されている場合、個々のSupplicantを別のVLANに所属させることが可能です。
  
  

  Note - type multi（マルチプルダイナミックVLAN）に設定したポートから他の認証ポート（ダイナミックVLANの有効・無効やtype設定は問わない）へ、ポートのリンクダウンを起こさずにSupplicantが移動する可能性がある場合は、Supplicantの移動に関わるすべての認証ポートでイングレスフィルタリングを無効にしてください（switchport modeコマンドのingress-filterパラメーターでdisableを指定）。イングレスフィルタリングが有効だと、移動前のポートにSupplicantの情報が残るため、移動先のポートで認証を受けられません。

• 認証済みのSupplicantがいなくなったとき
  
  
• リンクがダウンしたとき
  
  
• ポート上でポート認証が無効にされたとき
  
  
• システム上でポート認証が無効にされたとき
  

Note - なお、後述するブロッキングモード（auth-web-server blocking-mode）を使用すれば、上位L3スイッチを配置しなくても、Web認証とダイナミックVLANの併用が可能になります。詳しくは、「ブロッキングモード」をご覧ください。

表 5

VLAN	所属ポート	割り当て方法	用途	インターフェースのIPアドレス
vlan10	1.0.1	固定	RADIUSサーバー設置	172.16.10.1/24
vlan100	1.0.2	固定	上位L3スイッチと接続	172.16.100.1/24
	(1.0.5-1.0.24)	動的（ダイナミックVLAN）	認証済みSupplicant収容
vlan200	1.0.3	固定	上位L3スイッチと接続	172.16.200.1/24
	(1.0.5-1.0.24)	動的（ダイナミックVLAN）	認証済みSupplicant収容
vlan240	1.0.4	固定	上位L3スイッチと接続	172.16.240.1/24
	1.0.5-1.0.24	固定	未認証Supplicant収容

1. VLANを作成します。
   ダイナミックVLANによってSupplicantに割り当てるVLANは、あらかじめvlanコマンドで定義しておく必要があります。
   

   awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 10 name FixedVLAN10 ↓ awplus(config-vlan)# vlan 100 name DynamicVLAN100 ↓ awplus(config-vlan)# vlan 200 name DynamicVLAN200 ↓ awplus(config-vlan)# vlan 240 name InitialFixedVLAN240 ↓ awplus(config-vlan)# exit ↓

   
   
2. 各スイッチポートをVLANに割り当てます。
   ここでは、RADIUSサーバーを収容するポート1.0.1をvlan10に、上位L3スイッチと接続するポート1.0.2、1.0.3、1.0.4をそれぞれvlan100、vlan200、vlan240に、ポート認証を行う1.0.5〜1.0.24をvlan240に割り当てています。
   vlan100とvlan200はダイナミックVLAN用なので、これらのVLANにポートを固定で割り当てることはしません。
   

   awplus(config)# interface port1.0.1 ↓ awplus(config-if)# switchport access vlan 10 ↓ awplus(config-if)# exit ↓ awplus(config)# interface port1.0.2 ↓ awplus(config-if)# switchport access vlan 100 ↓ awplus(config-if)# exit ↓ awplus(config)# interface port1.0.3 ↓ awplus(config-if)# switchport access vlan 200 ↓ awplus(config-if)# exit ↓ awplus(config)# interface port1.0.4-1.0.24 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# exit ↓

   
   
3. 各VLANインターフェースにIPアドレスを設定します。
   

   awplus(config)# interface vlan10 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan100 ↓ awplus(config-if)# ip address 172.16.100.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan200 ↓ awplus(config-if)# ip address 172.16.200.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan240 ↓ awplus(config-if)# ip address 172.16.240.1/24 ↓ awplus(config-if)# exit ↓

   
   
4. RADIUSサーバーのIPアドレスと共有パスワードを指定します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
5. Supplicantを収容するvlan100、vlan200、vlan240では、DHCPサーバー機能を使ってIPアドレスの動的割り当てを行うよう設定します。vlan240用のDHCPプールでは、リース時間を最小の20秒に設定しています。これは、ダイナミックVLANによって所属VLANが変更された場合に、クライアントのIPアドレスもすばやく変更されるようするためです。
   また、認証済みSupplicantを収容するvlan100とvlan200では、デフォルトゲートウェイアドレス（default-routerコマンド）として、上位L3スイッチのアドレス（vlan100：172.16.100.254、vlan200：172.16.200.254）を指定します。
   
   

   Note - 本製品は DHCPサーバー機能をサポートしておりませんので、別途ご用意ください。以下は、DHCPサーバー機能をサポートしている弊社製品の設定例にて説明します。

   
   

   awplus(config)# ip dhcp pool DynamicVLAN100 ↓ awplus(dhcp-config)# network 172.16.100.0/24 ↓ awplus(dhcp-config)# range 172.16.100.200 172.16.100.240 ↓ awplus(dhcp-config)# default-router 172.16.100.254 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# ip dhcp pool DynamicVLAN200 ↓ awplus(dhcp-config)# network 172.16.200.0/24 ↓ awplus(dhcp-config)# range 172.16.200.200 172.16.200.240 ↓ awplus(dhcp-config)# default-router 172.16.200.254 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# ip dhcp pool InitialFixedVLAN240 ↓ awplus(dhcp-config)# network 172.16.240.0/24 ↓ awplus(dhcp-config)# range 172.16.240.200 172.16.240.240 ↓ awplus(dhcp-config)# default-router 172.16.240.1 ↓ awplus(dhcp-config)# lease 0 0 0 20 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# service dhcp-server ↓

   
   
6. システム全体で802.1X認証、MACベース認証、Web認証を有効にします。
   

   awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# aaa authentication auth-mac default group radius ↓ awplus(config)# aaa authentication auth-web default group radius ↓

   
   
7. ポート1.0.5〜1.0.16で802.1X認証とWeb認証を行うよう設定します。
   
   • 802.1X認証とWeb認証を有効にします。
     

     awplus(config)# interface port1.0.5-1.0.16 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth-web enable ↓

     
     
   • ダイナミックVLANを有効にします。
     

     awplus(config-if)# auth dynamic-vlan-creation ↓

   
   
8. ポート1.0.17〜1.0.24でMACベース認証を行うよう設定します。
   
   • MACベース認証を有効にします。
     

     awplus(config)# interface port1.0.17-1.0.24 ↓ awplus(config-if)# auth-mac enable ↓

     
     
   • ダイナミックVLANを有効にします。
     

     awplus(config-if)# auth dynamic-vlan-creation ↓ awplus(config-if)# end ↓

Note - ゲストVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

Note - ゲストVLANを、ホストモード（auth host-modeコマンド）がMulti-Supplicantモードのポートで使用する場合は、マルチプルダイナミックVLANを使用する必要があります。

Note - プロミスキャス/インターセプト Web認証を設定し、Web認証が有効になっているポートでは、ゲストVLANは使用できません。

Note - 802.1X認証、MACベース認証だけが有効な状態でゲストVLANを使用する場合、認証前Supplicantに対してDHCPでIPアドレスを付与することはできません。IPアドレスの付与が必要な場合はWeb認証を有効にしてください。

• ゲストVLANなし（ダイナミックVLANなし）の場合
  
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 240 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
    
    
  • 認証成功後
    ダイナミックVLANの設定はされていないため、認証にパスした後も所属VLANは変わらずvlan240のままですが、ポート認証機能による通信上の制限はなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANなし（ダイナミックVLANあり）の場合
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100,200,240 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth dynamic-vlan-creation ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
    
    
  • 認証成功後
    ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANあり（ダイナミックVLANなし）の場合
  
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 240,248 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth guest-vlan 248 ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません（認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません）。
    
    
  • 認証成功後
    ダイナミックVLANの設定はされていないため、認証にパスした後は本来のVLANであるvlan240の所属となり、ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANあり（ダイナミックVLANあり）の場合
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100,200,240,248 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth guest-vlan 248 ↓ awplus(config-if)# auth dynamic-vlan-creation ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません（認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません）。
    
    
  • 認証成功後
    ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    

Note - auth guest-vlanコマンドのroutingオプションを設定している場合、HTTPリダイレクト（auth-web-server http-redirect）は機能しません。そのため、routingオプションとauth-web-server intercept-portは併用不可となります。

Note - プロミスキャス/インターセプトWeb認証を設定し、Web認証が有効になっているポートでは、ゲストVLANは使用できません。

Note - Auth-fail VLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

Note - Auth-fail VLANへはRADIUSサーバーからAccess-Rejectを受信した場合のみアサインされ、タイムアウトによる認証失敗時はAuth-fail VLANへはアサインされません。

Note - プロミスキャス/インターセプトWeb認証を設定し、Web認証が有効になっているポートでは、Auth-fail VLANは使用できません。

Note - ゲストVLANが有効になっているポートでは、Auth-fail VLANは使用できません。auth guest-vlanコマンドのroutingパラメーターを設定しているポートでは使用できます。

Note - Auth-fail VLANにおいて、ハードウェアパケットフィルターを設定する場合は、Web認証時のみauth guest-vlanコマンドのroutingオプションとの併用設定が必要です。ただし、802.1X認証時、MACベース認証時は不要です。

Note - Auth-fail VLANを、ホストモード（auth host-modeコマンド）がMulti-Supplicantモードのポートで使用する場合は、マルチプルダイナミックVLANを使用する必要があります。

Note - Web認証とAuth-fail VLAN併用時、認証失敗したSupplicantがAuth-fail VLANの所属になったとき、各種showコマンドのSupplicant情報やSupplicantのWeb認証画面では「Authenticated」と表示されます。

Note - ダイナミックVLAN、ゲストVLANが有効化されているポートでローミング認証を使用するときは、ホストモード（auth host-modeコマンド）をMulti-Supplicantモードに設定し、ダイナミックVLANの割り当て方法を「Supplicant単位のVLAN割り当て」（auth dynamic-vlan-creationコマンドで「type multi」（マルチプルダイナミックVLAN）を指定）に設定してください。

Note - DHCP Snoopingとローミング認証（auth roaming enable）は併用できません。

• ローミング認証を行うポートはすべて同一の認証設定でなくてはならない。移動前と移動後のポートで認証関連の設定が異なる場合、移動先でSupplicantは再認証を受ける。
  
  
• 同一の認証設定であっても移動前と移動先のポートで所属VLANが異なる場合、移動先でSupplicantは再認証を受ける。
  
  
• MACベース認証が有効なポートから、認証が無効なポートに移動した場合、移動前のポートからSupplicantの情報が削除される。そのため、その後再び元のポートに移動したときは認証を受ける。802.1X認証、Web認証が有効なポートから、認証が無効なポートへは移動できない。 ただし、Web認証がPingポーリング機能を使用することで、設定された時間Supplicantから応答が無い場合は、該当ポートでの認証情報が削除されるので、非認証ポートへの移動も可能となる。
  
  
• ローミング認証はすべての認証方式で使用できるが、802.1X Supplicantによってはポート移動時に再認証が行われることがある（これは、Supplicant側のポートがリンクダウンしたとき、自ら再認証を行うSupplicantがあるため）。
  
  
• 初期設定では、ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で新たに認証を受ける必要があるが、リンクダウン対応オプション（auth roaming disconnectedコマンド）を有効化すれば、ポートがリンクダウンしても認証情報が保持されるため、再認証なしでのポート間移動が可能となる。
  

awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth roaming enable ↓

awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth roaming disconnected ↓

Note - リンクダウン対応オプションは、トランクグループとMACベース認証ポートでは使えません。

表 6

設定項目		設定コマンド	説明
待ち受けIPアドレス		auth-web-server ipaddress	Web認証サーバーにアクセスするためのIPアドレスを1つだけに限定したい場合の設定項目。未設定時は本製品に設定されたすべてのIPアドレスで待ち受ける
HTTP用待ち受けTCPポート		auth-web-server port	Web認証サーバーのHTTPアクセス用TCPポート番号を初期値の80から変更したい場合に指定する
HTTPS（SSL）		auth-web-server ssl	通常のHTTPではなくHTTPSでアクセスを受け付けるように設定する。SSLサーバー証明書は、初期状態ではファームウェア組み込みのものが自動的に使われる。独自に取得した証明書を使いたい場合は、copyコマンドのweb-auth-https-fileキーワードを使ってインストールすること。また、インストールした証明書はリモートホストなどへコピーできないため注意すること
HTTPS用待ち受けTCPポート		auth-web-server sslport	Web認証サーバーのHTTPSアクセス用TCPポート番号を初期値の443から変更したい場合に指定する
HTTPリダイレクト		auth-web-server http-redirect	Web認証を有効化したスイッチポートにおいて、受信したHTTPリクエストをWeb認証サーバーのIPアドレスにリダイレクトする機能。初期設定で有効
セッションキープ		auth-web-server session-keep	HTTPリダイレクト機能有効時にリダイレクト前のURLを記憶しておき、Web認証成功後に記憶しておいたURLにリダイレクトさせる機能。後述する認証後リダイレクト機能と本機能の両方を設定した場合は、本機能のほうが優先される
認証後リダイレクト		auth-web-server redirect-url	Web認証成功後、あらかじめ設定しておいたURLにWebブラウザーをリダイレクトさせる機能。前述のセッションキープ機能と本機能の両方を設定している場合は、セッションキープ機能のほうが有効となる
リダイレクト前待機時間		auth-web-server redirect-delay-time	セッションキープと認証後リダイレクト機能において、Web認証成功後、Webブラウザーをリダイレクトさせるまでの待機時間
Supplicant監視		auth-web-server ping-poll enable	認証にパスしたSupplicantの存在をPingパケットで定期的に監視し、応答がなくなったら該当Supplicantがログアウトしたと見なす機能。動作調整用に以下のパラメーターが存在する
Supplicant監視	応答時再認証タイマーリセット	auth-web-server ping-poll reauth-timer-refresh	再認証有効時、Web認証サーバーのSupplicant監視機能においてPing応答があった場合に再認証タイマーをリセットしたい場合に設定する
	Ping送信間隔	auth-web-server ping-poll interval	Pingパケットの送信間隔
	Ping応答待ち時間	auth-web-server ping-poll timeout	Pingパケットの応答待ち時間
	Supplicant不在しきい値	auth-web-server ping-poll failcount	Supplicantがいなくなったと判断するPing無応答の回数を設定する
DHCPサーバーアドレス		auth-web-server dhcp ipaddress	Web認証サーバーのDHCPサーバーを有効化する。またDHCPサーバーのIPアドレスも指定する
DHCPリース期間		auth-web-server dhcp lease	Web認証サーバーのDHCPサーバーのリース期間を指定する
DHCP WPAD（PACファイルURL）		auth-web-server dhcp wpad-option	Webブラウザーのプロキシー自動検出機能（WPAD）に対応して、Web認証用DHCPサーバーがプロキシー自動構成ファイル（PACファイル）のURLを返答するよう設定する
プロキシーサーバー待ち受けTCPポート		auth-web-server intercept-port	プロキシー環境でWeb認証を使用する場合は、本コマンドでプロキシーサーバーの待ち受けTCPポート番号を設定することにより、プロキシーサーバー経由のHTTP通信に対しても、HTTPリダイレクトが働くようになる
プロミスキャス/インターセプト Web認証		auth-web-server mode	SupplicantからのARP/DNSメッセージをWeb認証サーバーが代理応答する。（intercept：スイッチと同一サブネットからのメッセージが対象。promiscuous：すべてのIPアドレスからのメッセージが対象。）
ブロッキングモード		auth-web-server blocking-mode	Web認証画面でログインボタンを押した後、RADIUSサーバーからの認証結果を即座に表示する。ダイナミックVLANにより認証前後でSupplicantの所属サブネットが変わる場合でも、上位L3スイッチによるルーティングを介することなくWeb認証が可能になる

Note - インターセプトモードまたはプロミスキャスモード有効時、仮想アドレスを設定するにはブロッキングモード（auth-web-server blocking-mode）との併用が必要です。

• インターセプトモード
  認証ポートと同一サブネット内のIPアドレス・デフォルトゲートウェイを持つSupplicantからのARP/DNSメッセージをWeb認証サーバーが代理応答する。
  
  
• プロミスキャスモード
  すべてのIPアドレスのSupplicantからのARP/DNSメッセージをWeb認証サーバーが代理応答する。
  

Note - プロミスキャス/インターセプトWeb認証を設定し、Web認証が有効になっているポートでは、ゲストVLAN、Auth-fail VLANは使用できません。

Note - インターセプトモード/プロミスキャスモードを使用している環境において、未認証SupplicantへのIPアドレス割り当てにWeb認証用DHCPサーバー（auth-web-server dhcp ipaddress）ではなく、リース期間の長い外部のDHCPサーバーを使用している場合は、auth-web-server gatewayコマンドを設定してください。

Note - インターセプトモード/プロミスキャスモード設定時にHTTPS（auth-web-server ssl）を使用する場合は、ファームウェア組み込みのSSL証明書を使わずに、独自に取得した証明書をSupplicantと本製品（Authenticator）にインストールしてください。本製品に独自証明書をインストールするには、copyコマンドのweb-auth-https-fileパラメーターを使います。

• ダイナミックVLANの設定を行って認証後にSupplicantの所属サブネットが変わるようにする。
  
• auth timeout connect-timeoutを長めに（300秒以上に）設定する。
  

Note - ブロッキングモード有効時は、認証成功（Authenticated）画面の「logout」ボタンが表示されません。

Note - ブロッキングモードとダイナミックVLANを併用している場合は、認証成功（Authenticated）画面が表示されても、Supplicant側でDHCPによる自身のIPアドレス切り替えが完了するまで通信ができません（プロミスキャスモード設定時の固定IPアドレスのSupplicantは除く）。

Note - ブロッキングモードと認証後リダイレクト機能（auth-web-server redirect-url）またはセッションキープ機能（auth-web-server session-keep）を併用している場合、認証成功画面から別ページへリダイレクトされるまで最小で30秒間待つ必要があります。

1. ヘッダー
   ヘッダーの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルheader.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、ヘッダーのカスタマイズが可能です。
   
   
2. 入力フォーム
   入力フォームの見た目は、Web認証サーバーが内部に持っているHTMLデータとWeb認証サーバー上にあって外部からアクセス可能なファイルstyle.cssによって決定されます。入力フォームのHTMLデータは変更できないため文字列などの変更はできませんが、style.cssを編集して規定の場所に置くことにより、入力フォームのレイアウト（フォームパーツの配置）を変更できます。
   
   
3. 画像ファイル
   初期設定では、ヘッダーからh_glb.gif、フッターからf_logo.gifというGIF画像ファイルを参照しています。この2つの画像ファイルそのものは変更できませんが、別に用意した画像ファイルlogo.gifを規定の場所に置けば、このファイルも外部からアクセス可能になります。ヘッダー、フッターを編集して、h_glb.gif、f_logo.gifの代わりにlogo.gifを参照させることで画像ファイルの変更が可能です。
   
   
4. フッター
   フッターの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルfooter.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、フッターのカスタマイズが可能です。
   
   
5. 認証成功画面の追加メッセージ
   認証成功画面の入力フォーム部分はデフォルトで上記の内容ですが、success_page_msg.htmlというファイルを用意することにより、「logout」ボタンの下に任意のメッセージを表示させることが可能です。
   

Note - HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

• header.html
  
• footer.html
  
• style.css
  
• success_page_msg.html
  
• logo.gif
  

• http://172.16.10.1/header.html
  
• http://172.16.10.1/footer.html
  
• http://172.16.10.1/style.css
  

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <HTML> <HEAD> <META http-equiv="Content-Type" content="text/html; charset=UTF-8"> <META http-equiv="Content-Style-Type" content="text/css"> <TITLE></TITLE> </HEAD> <BODY> ここに任意のコンテンツを記述してください。 </BODY> </HTML>

• style.cssでフレーム位置を変更しても、入力フォームの「User name」欄と「Password」欄を縦方向に移動することはできません。
  
  
• header.html、footer.html、success_page_msg.htmlから参照できる画像ファイルは次の3つだけです。
  
  • h_glb.gif（Web認証サーバー組み込み済みのため画像の変更は不可）
    
  • f_logo.gif（Web認証サーバー組み込み済みのため画像の変更は不可）
    
  • logo.gif（追加できる唯一の画像。ファイル名は固定なので別の名前は使えない。使用する場合は各HTMLファイルから参照している画像ファイル名をlogo.gifに変更すること）
    
  
  
• HTML/CSSファイルの編集は、PC上で行ってください。CLIのeditコマンドでの編集はサポート対象外となりますので、ご了承ください。
  
  
• HTMLファイルで表示される部分に関して、日本語を含む文字列を使用することも可能です。
  
  
• HTML/CSSファイルの拡張子は必ず「.html」および「.css」にし、文字エンコーディングはUTF-8に統一してください。
  

awplus# cd flash:/ ↓ awplus# copy zmodem ↓ rz waiting to receive.**B0100000023be50 （通信ソフトウェア側でZMODEMによるファイル送信の操作を行う）

awplus# copy tftp://172.16.10.70/logo.gif flash:/ ↓

• flash:/header.html
  認証画面のヘッダー部分に、flash:/header.htmlのBODY部分を使用します。このファイルが存在しないときは、オリジナルのheader.htmlを使います。
  
  
• flash:/footer.html
  認証画面のフッター部分に、flash:/footer.htmlのBODY部分を使用します。このファイルが存在しないときは、オリジナルのfooter.htmlを使います。
  
  
• flash:/style.css
  認証画面から参照される「style.css」として、flash:/style.cssの内容を返します。このファイルが存在しないときは、オリジナルのstyle.cssを使います。
  
  
• flash:/success_page_msg.html
  認証成功画面の「logout」ボタンの下に、flash:/success_page_msg.htmlのBODY部分を挿入します。このファイルが存在しないときは、「logout」ボタンの下には何も表示されません。
  
  
• flash:/logo.gif
  認証画面のヘッダー、フッター部分から「logo.gif」が参照された場合、flash:/logo.gifの内容を返します。このファイルが存在しないときに「logo.gif」が参照されると、Not Foundになります。
  

• flash:/header.html
  
• flash:/footer.html
  
• flash:/style.css
  
• flash:/success_page_msg.html
  
• flash:/logo.gif
  

Note - 本製品内蔵のローカルRADIUSサーバーは認証機能のみをサポートしており、アカウンティングはサポートしていません。

awplus(config)# aaa accounting dot1x default start-stop group radius ↓

awplus(config)# aaa accounting auth-mac default start-stop group radius ↓

awplus(config)# aaa accounting auth-web default start-stop group radius ↓

Note - RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

表 7：802.1X認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
User-Password	パスワード	ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）。EAP-TLS使用時は不要（代わりにユーザー電子証明書の用意が必要）

Note - Authenticator側では802.1X認証用パスワードの長さを特に制限していませんが、本製品のローカルRADIUSサーバーで設定可能なパスワードの最大長は31文字です。

表 8：802.1X認証で使用する電子証明書

認証方式	各証明書のインストール先
	信頼できるルートCAの証明書	サーバー証明書と秘密鍵	ユーザー証明書と秘密鍵
PEAP	Supplicant	認証サーバー	不要
EAP-TLS	Supplicantと認証サーバー	認証サーバー	Supplicant
EAP-TTLS	Supplicant	認証サーバー	不要

表 9：MACベース認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	MACアドレス	認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式（ハイフンあり、a〜fは小文字）だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる）
User-Password	MACアドレスまたは共通パスワード	認証対象機器のMACアドレス。通常は機器ごとにUser-Nameと同じ値を指定する。ただし、auth-mac passwordコマンドを設定している場合は、すべての機器に対して同コマンドで設定した共通パスワードを指定すること

表 10：Web認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
User-Password	パスワード	ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）

Note - Web認証用パスワードは64文字以内で設定してください。なお、本製品のローカルRADIUSサーバーで設定可能なパスワードの最大長は31文字です。

表 11：ダイナミックVLAN用の返却用RADIUS属性

属性名	属性値	備考
Tunnel-Type	VLAN (13)	固定値。指定方法はサーバーに依存
Tunnel-Medium-Type	IEEE-802 (6)	固定値。指定方法はサーバーに依存
Tunnel-Private-Group-ID	VLAN IDかVLAN名	認証対象のユーザーや機器が認証をパスした後に所属させるVLANのIDか名前（例：10, "sales"）

awplus(config)# dot1x eap forward ↓

awplus(config)# dot1x eap forward-untagged-vlan ↓

awplus(config)# dot1x eap forward-vlan ↓

awplus(config)# dot1x eap discard ↓

awplus# show dot1x interface port1.0.5 ↓

awplus# show dot1x supplicant interface port1.0.5 ↓

awplus# show dot1x supplicant interface port1.0.5 brief ↓

awplus# show dot1x sessionstatistics interface port1.0.5 ↓

awplus# show auth-web-server ↓

(C) 2014 アライドテレシスホールディングス株式会社

PN: 613-001990 Rev.A