ページの本文へ

MACアドレス認証

基本構成図

L2認証スイッチのポート設定
ポート番号 ポート種別 接続装置 認証機能 固定VLAN ダイナミック
VLAN
1 アクセス 端末-A
端末-B
MAC認証 10
(10)
なし
20
2 アクセス 端末-C MAC認証 30 なし
3 アクセス 端末-D MAC認証 (10) 40
5 アクセス プリンター なし 50 なし
23-24 トランク L3スイッチ なし 10,20,30,40,50,100 なし

設定のポイント

L2認証スイッチ

  • 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
    (セグメントを跨ぐIP通信には、デフォルトルートの設定が必要)
  • ダイナミックに割り当てるVLANを作成しておく。
    (作成したダイナミック用VLANをポートにアサインする必要なし)
  • 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
    (認証ポートの配下で特定端末のみ非認証とする場合はスタティックにFDB登録する)
  • ダイナミックVLANの認証属性を有効にする。
    設定例:enable authorization network
  • L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
    設定例:config radius add 1 192.168.200.1 key APL-radius default
    ※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
  • L2認証スイッチ~RADIUSサーバー間で共通の通信用パスワードを設定する。
    設定例:config mac_based_access_control password APL-mac
    ※RADIUSサーバーのusersファイルに登録する「User-Password」と同設定。(大文字、小文字の区別あり)

RADIUSサーバー

  • clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
  • usersファイルにL2認証スイッチで設定した共通の通信用パスワードを登録する。
  • usersファイルに認証対象のMACアドレスを登録する。

    【APLFMシリーズver1.08.00以降/APLGMシリーズver1.06.00以降/APLGM152GTの場合】
    ※登録するMACアドレスの英字は「大文字」または「小文字」とし、区切る場合は"-"を使用する。
    区切り文字として":"は使用しない。
    ○良い例:000000000A10 Auth-Type := Local, User-Password == "APL-mac"
    ○良い例:000000000a10 Auth-Type := Local, User-Password == "APL-mac"
    ○良い例:00-00-00-00-0a-10 Auth-Type := Local, User-Password == "APL-mac"
    ×悪い例:00:00:00:00:0a:10 Auth-Type := Local, User-Password == "APL-mac"

    【APLFMシリーズver1.07.02以前/APLGMシリーズver1.05.01以前の場合】
    ※登録するMACアドレスの英字は「大文字」とし、":", "-"で区切らない。
    ○良い例:000000000A10 Auth-Type := Local, User-Password == "APL-mac"
    ×悪い例:000000000a10 Auth-Type := Local, User-Password == "APL-mac"
    ×悪い例:00-00-00-00-0A-10 Auth-Type := Local, User-Password == "APL-mac"

    ※ダイナミックVLANの認証属性はVLAN IDを登録する。
    ○良い例:Tunnel-Private-Group-Id = 20
    ×悪い例:Tunnel-Private-Group-Id = VLAN20

L2認証スイッチの設定例

VLANの設定
#config vlan vlanid 1 delete 1-24

#create vlan vlanid 10,20,30,40,50,100
VLAN1(default)は未使用のため削除。

クライアント用にVLAN(10,20,30,40,50)を作成。
管理用としてVLAN(100)を作成。
ポートの設定
#config vlan vlanid 10 add untagged 1,3
#config vlan vlanid 30 add untagged 2


#config vlan vlanid 50 add untagged 5


#config vlan vlanid 10,20,30,40,50,100 add tagged 23-24
ポート1~3は以降にMAC認証ポートとして設定。
ダイナミックVLAN指定の端末はVLAN(変更される)。
指定ない端末はVLAN(変更なし)。

ポート5は以降のMAC認証ポートで設定しない。
ポート5に接続した装置は認証不要で通信可能。

ユーザーVLAN(10,20,30,40,50)と管理用VLAN(100)をトランクポート23-24に設定。
#create link_aggregation group_id 1
#config link_aggregation group_id 1 master_port 23 ports 23-24 state enable
トランクポート23-24を上位L3スイッチとLAG接続。
管理用IPアドレスの設定
#config ipif System ipaddress 192.168.100.1/24 vlan VLAN100 state enable
#create iproute default 192.168.100.254
管理用VLAN100にIPアドレス設定。
  • RADIUSサーバーと疎通可能
  • SYSLOGサーバーと疎通可能
  • ネットワーク監視装置と疎通可能
SYSLOGサーバーの設定
#create syslog host 1 ipaddress 192.168.200.2 state enable

#enable syslog
SYSLOGサーバーの設定。


SYSLOGの有効化。
ネットワーク監視装置の設定
#create snmp host 192.168.200.3 v2c public
#enable snmp traps
ネットワーク監視装置の設定。
予約済みコミュニティ名public(Read Only)を指定。
SNMPトラップ出力の有効化。
RADIUSサーバーの設定
#config radius add 1 192.168.200.1 key APL-radius default RADIUS サーバーのIPアドレスと認証スイッチと共有する秘密鍵の設定。
※keyは大文字と小文字の区別あり。
MAC認証の設定
#config mac_based_access_control method radius

#config mac_based_access_control password APL-mac

#enable authorization network

#config mac_based_access_control ports 1-3 state enable

#enable mac_based_access_control
RADIUSサーバーによる認証。

RADIUSサーバーとの通信用パスワード
※passwordは大文字と小文字の区別あり。 
ダイナミックVLANの有効化。 RADIUSサーバーの認証属性(VLAN)が有効。 
MAC認証ポートの有効化。

MAC認証の有効化。

確認コマンド

show fdb
show mac_based_access_control
show mac_based_access_control auth_mac
show authentication ports
(現在の認証状態をリセットし再認証するには)
clear mac_based_access_control auth_mac ports all

RADIUSサーバーの設定(Free Radius)

RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)

clients.confファイル登録

RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

<設定例>


client 192.168.100.0/24 {
              secret = APL-radius
              shortname = ApresiaLight
}

usersファイル登録

機器ごとのMACアドレスや共通の通信用パスワードを登録します。
「User-Password」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

  • 機器ごとに下記の属性を定義します。
属性名 属性 備考
User-Name MACアドレス 認証対象機器のMACアドレス
(例:000000000A10)
“:”,“-”で区切らず、英字は大文字で指定
User-Password パスワード 認証スイッチと共通のパスワード
(例:"APL-mac")
英字は大文字、小文字で区別される
  • ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
属性名 属性 備考
Tunnel-Type VLAN (13) 固定値
Tunnel-Medium-Type IEEE-802 (6) 固定値
Tunnel-Private-Group-ID VLAN ID 認証後に所属させるVLAN ID
(例:20)

<設定例>


000000000A10 Auth-Type := Local, User-Password == "APL-mac"
000000000B20 Auth-Type := Local, User-Password == "APL-mac"
               Tunnel-Type = 13,
               Tunnel-Medium-Type = 6,
               Tunnel-Private-Group-Id = 20
000000000C30 Auth-Type := Local, User-Password == "APL-mac"
000000000D40 Auth-Type := Local, User-Password == "APL-mac"
               Tunnel-Type = 13,
               Tunnel-Medium-Type = 6,
               Tunnel-Private-Group-Id = 40
ページの先頭へ