802.1X認証｜企業・データセンター向けL2/L3スイッチ：設定例｜製品情報｜APRESIA | APRESIA Systems株式会社

AccessDefender(ネットワーク認証機能)

802.1X認証

構成

802.1X認証構成イメージ図

設定例(AEOS8)

基本設定
hostname A-Def	ホスト名の設定
logging ip 192.168.1.100 local0 notice	syslogサーバの設定
vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt	VLANの設定・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt"
interface port 1/2-12 switchport access vlan 10 interface port 1/13-24 switchport access vlan 20	ユーザー向け物理インタフェース(port 2-24)の設定 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface port 1/1 switchport mode trunk switchport trunk add 10,20,100	Uplink向け物理インターフェース(port 1)の設定 ※接続が想定される全VLANをTrunk設定します。
interface vlan 100 ip address 192.168.100.1/24	管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254	デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia aaa authentication dot1x radius 1	RADIUSサーバー#1(プライマリ)の設定・802.1X認証にRADIUSサーバー#1を使用
access-defender packet-filter2 max-rule 128 dot1x port 1/2-24 dot1x port 1/2-24 reauthentication	AccessDefenderの設定・最大認証端末(128台) ・802.1X認証ポート(2-24) ・再認証有効設定
dot1x enable	802.1X認証の有効化

設定例(AEOS7)

基本設定
hostname A-Def	ホスト名の設定
logging ip 192.168.1.100 local0 notice	syslogサーバの設定
vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt	VLANの設定・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt"
interface port 2-12 switchport access vlan 10 interface port 13-24 switchport access vlan 20	ユーザー向け物理インタフェース(port 2-24)の設定 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface port 1 switchport mode trunk switchport trunk add 10,20,100	Uplink向け物理インターフェース(port 1)の設定 ※接続が想定される全VLANをTrunk設定します。
interface vlan 100 ip address 192.168.100.1/24	管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254	デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia aaa authentication dot1x radius 1	RADIUSサーバー#1(プライマリ)の設定・802.1X認証にRADIUSサーバー#1を使用
access-defender packet-filter2 max-rule 128 dot1x port 2-24 dot1x port 2-24 reauthentication	AccessDefenderの設定・最大認証端末(128台) ・802.1X認証ポート(2-24) ・再認証有効設定
dot1x enable	802.1X認証の有効化

設定項目一覧

★：必須設定項目

No.	項目	デフォルト設定	備考
1	AccessDefender有効化★	disable
2	RADIUSサーバー INDEX★ IPアドレス★ UDPポート番号タイムアウト時間リトライ回数共有鍵(シークレットキー)★ Primary/Secondary指定★ 強制認証デッドタイム	なしなし 1812 3秒 3回なしなしなしなし	1～8 1～65535 1～30秒 1～5回最大127文字 1～8 1～1440分
3	認証ポート★	なし
4	再認証(802.1X) 再認証有効再認証間隔	なし 3600秒	5～2147483647秒
5	リトライ関係(802.1X) サプリカントからの応答タイムアウト	30秒	5～65535秒
6	ログアウト条件エージング接続時間	0秒 0秒	10秒～1ヶ月 10秒～1ヶ月
7	最大接続台数ポート番号１ポートあたり装置あたり★	なしなしなし
8	syslog(IP/facility/priority)	なし
9	packet-filter2 強制転送(認証バイパス)	なし

補足事項

認証時の負荷軽減のため、EAP-Request/EAP-Identityパケットはマルチキャストではなく常にユニキャストで送信されます。
認証前の端末は、APRESIAの認証ポートによって通信が制限されているため、APRESIAのポートを経由して他の端末との通信はできません。
ただし、EAPフレームを中継(EAP透過)するスイッチ(もしくはリピーターハブ)内での通信はその限りではありません。

機能紹介

AccessDefender(ネットワーク認証機能)：802.1X認証

APRESIA設定例TOPへ戻る

関連情報