[index] AT-MWS-GPシリーズリファレンスマニュアル 2.0.0

リファレンス編 / スイッチ / Security / 802.1X

  - 概要
  - Global Settings
  - Port Settings
  - Authenticated host

本製品は、スイッチポート単位でLAN上のユーザーや機器を認証する、IEEE 802.1Xポート認証機能を実装しています。

802.1X認証機能を使用すると、スイッチポートに接続された機器やその利用者（ユーザー）を認証紙、認証に成功したときだけ同機器からの通信、および、同機器への通信を許可するよう設定できます。また、ダイナミックVLAN機能により、認証に成功した機器を特定のVLANにアサインすることも可能です。

概要

802.1X認証のシステムは、通常、下記の3要素から成り立っています。

Authenticator（認証者）
ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
802.1X認証ではEAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。
認証サーバー（RADIUSサーバー）
Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
Supplicant（クライアント）
ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。

本製品の各スイッチポートは、Authenticatorとして動作可能です。認証サーバー（RADIUSサーバー）は別途用意する必要があります。

Global Settings

802.1X認証を使用するための一般設定を行います。

表 1：一般設定

項目名 説明

State 802.1X認証機能を使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。
デフォルトは「Disabled」です。

Guest VLAN ゲストVLAN機能を使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。
ゲストVLANを有効にすると、Supplicantが認証に失敗した場合、ポートのVLANをゲストVLAN IDに動的に変更することで、ネットワークへのアクセスを制限付きで許可することができます。
デフォルトは「Disabled」です。

Guest VLAN ID ゲストVLANのVLAN IDを、ドロップダウンリストから選択します。ドロップダウンリストには、「VLAN」/「802.1Q」画面で作成されたVLANのVLAN IDが表示されます。
デフォルトは「1」です。

表 2：コマンドボタン

項目名 説明

Apply 設定の変更をコンフィグに保存し、動作に反映します。

Port Settings

各スイッチポートでの802.1X認証の動作を設定します。

表 3：ポートごとの設定

項目名 説明

Port ポート番号を表示します。
ポート番号は、以下のスイッチポートを指します。

AT-MWS2012GP
・1～8：　10/100/1000BASE-T PoEポート
・9、10：　10/100/1000BASE-Tポート
・11、12：　SFPスロット

AT-MWS5028GP
・1～24：　10/100/1000BASE-T PoEポート
・25～28：　SFPスロット

Mode 該当のポートでの802.1X認証の使用方法を、「Disabled」、「Auto」、「Force Authorized」、「Force Unauthorized」から選択します。
「Disabled」を選択すると、該当のポートで802.1X認証を使用しません。
「Auto」を選択すると、802.1X認証のAuthenticatorとして動作し、該当のポートの状態は認証の結果に応じて変動します。
「Force Authorized」を選択すると、該当のポートを認証済み（Authorized）として固定設定します。
「Force Unauthorized」を選択すると、該当のポートを未認証（Unauthorized）として固定設定します。
デフォルトは「Disabled」です。

Reauthentication 該当のポートにおいて、Supplicantの再認証を有効にするか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。
Supplicantの再認証を有効にすると、認証に成功したSupplicantを定期的に再認証します。再認証の時間になると、SupplicantにEAPOLパケット（EAP Request/Identity）を送信してユーザー情報を再取得し、RADIUSサーバーに認証要求を送信します。通常、802.1X認証Supplicantはユーザー情報をキャッシュしており、Supplicantのユーザーは再認証を意識することはありません。
デフォルトは「Enabled」です。

Reauthentication period Supplicantの再認証間隔を、30～65535の数値（単位：秒）で設定します。
デフォルトは「3600」です。

Quiet Period Supplicantの認証に失敗したのち、Supplicantとの通信を拒否する期間を、0～65535の数値（単位：秒）で設定します。
デフォルトは「60」です。

Supplicant Period Supplicantからの応答待ち時間を、1～65535の数値（単位：秒）で設定します。
デフォルトは「30」です。

Max Retry 該当のポートで802.1X認証を行う時、EAPOLパケット（EAP Request/Identity）を何回まで再送するか（reauthMax）を、1～10の数値で設定します。
デフォルトは「2」です。

Authorized Status 認証の状態を表示します。

Guest VLAN ゲストVLANを使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。
デフォルトは「Enabled」です。

表 4：コマンドボタン

項目名 説明

Apply 設定の変更をコンフィグに保存し、動作に反映します。

Authenticated host

認証されたSupplicantの情報を表示します。

表 5：認証済みSupplicant

項目名 説明

User Name 認証されたユーザー名を表示します。

Port 認証されたスイッチポートのポート番号を表示します。

Session Time 認証を受けてからの経過時間を表示します。

Authenticate Method 認証方式を表示します。

MAC Address SupplicantのMACアドレスを表示します。

PN: 613-002363 Rev.A

項目名	説明
State	802.1X認証機能を使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。デフォルトは「Disabled」です。
Guest VLAN	ゲストVLAN機能を使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。ゲストVLANを有効にすると、Supplicantが認証に失敗した場合、ポートのVLANをゲストVLAN IDに動的に変更することで、ネットワークへのアクセスを制限付きで許可することができます。デフォルトは「Disabled」です。
Guest VLAN ID	ゲストVLANのVLAN IDを、ドロップダウンリストから選択します。ドロップダウンリストには、「VLAN」/「802.1Q」画面で作成されたVLANのVLAN IDが表示されます。デフォルトは「1」です。

項目名	説明
Apply	設定の変更をコンフィグに保存し、動作に反映します。

項目名	説明
Port	ポート番号を表示します。ポート番号は、以下のスイッチポートを指します。 AT-MWS2012GP ・1～8：　10/100/1000BASE-T PoEポート・9、10：　10/100/1000BASE-Tポート・11、12：　SFPスロット AT-MWS5028GP ・1～24：　10/100/1000BASE-T PoEポート・25～28：　SFPスロット
Mode	該当のポートでの802.1X認証の使用方法を、「Disabled」、「Auto」、「Force Authorized」、「Force Unauthorized」から選択します。「Disabled」を選択すると、該当のポートで802.1X認証を使用しません。「Auto」を選択すると、802.1X認証のAuthenticatorとして動作し、該当のポートの状態は認証の結果に応じて変動します。「Force Authorized」を選択すると、該当のポートを認証済み（Authorized）として固定設定します。「Force Unauthorized」を選択すると、該当のポートを未認証（Unauthorized）として固定設定します。デフォルトは「Disabled」です。
Reauthentication	該当のポートにおいて、Supplicantの再認証を有効にするか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。 Supplicantの再認証を有効にすると、認証に成功したSupplicantを定期的に再認証します。再認証の時間になると、SupplicantにEAPOLパケット（EAP Request/Identity）を送信してユーザー情報を再取得し、RADIUSサーバーに認証要求を送信します。通常、802.1X認証Supplicantはユーザー情報をキャッシュしており、Supplicantのユーザーは再認証を意識することはありません。デフォルトは「Enabled」です。
Reauthentication period	Supplicantの再認証間隔を、30～65535の数値（単位：秒）で設定します。デフォルトは「3600」です。
Quiet Period	Supplicantの認証に失敗したのち、Supplicantとの通信を拒否する期間を、0～65535の数値（単位：秒）で設定します。デフォルトは「60」です。
Supplicant Period	Supplicantからの応答待ち時間を、1～65535の数値（単位：秒）で設定します。デフォルトは「30」です。
Max Retry	該当のポートで802.1X認証を行う時、EAPOLパケット（EAP Request/Identity）を何回まで再送するか（reauthMax）を、1～10の数値で設定します。デフォルトは「2」です。
Authorized Status	認証の状態を表示します。
Guest VLAN	ゲストVLANを使用するか否かを、「Enabled」（有効）または「Disabled」（無効）から選択します。デフォルトは「Enabled」です。

項目名	説明
User Name	認証されたユーザー名を表示します。
Port	認証されたスイッチポートのポート番号を表示します。
Session Time	認証を受けてからの経過時間を表示します。
Authenticate Method	認証方式を表示します。
MAC Address	SupplicantのMACアドレスを表示します。