設定例(ApresiaLightGM/FMシリーズ)
ネットワーク認証
マルチプル認証
基本構成図
L2認証スイッチのポート設定 | |||||
ポート番号 | ポート種別 | 接続装置 | 認証機能 | 固定VLAN | ダイナミックVLAN |
1 | アクセス | 端末-A 端末-B 端末-C 端末-D 端末-E 端末-F |
MAC認証 MAC認証 802.1x認証 802.1x認証 WEB認証 WEB認証 |
10 (10) 10 (10) 10 (10) |
なし 20 なし 30 なし 40 |
5 | アクセス | プリンター | なし | 50 | なし |
23-24 | トランク | L3スイッチ | なし | 10,20,30,40,50,100 | なし |
設定のポイント
L2認証スイッチ
マルチプル認証機能を有効にするための特別な設定は必要ありません。
(MAC認証/802.1x認証/WEB認証の各設定を併用することで動作)
- 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
(セグメントを跨ぐIP通信には、デフォルトルートの設定が必要) - ダイナミックに割り当てるVLANを作成しておく。
(作成したダイナミック用VLANをポートにアサインする必要なし) - 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
(認証ポートの配下で特定端末のみ非認証とする場合はスタティックにFDB登録する) - MAC認証用に、ダイナミックVLANの認証属性を有効にする。
設定例:enable authorization network - MAC認証用に、L2認証スイッチ~RADIUSサーバー間で共通の通信用パスワードを設定する。
設定例:config mac_based_access_control password APL-mac
※RADIUSサーバーのusersファイルに登録する「User-Password」と同設定。(大文字、小文字の区別あり) - L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
設定例:config radius add 1 192.168.200.1 key APL-radius default
※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
RADIUSサーバー
- clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する
◆ MAC認証の場合、機器ごとのMACアドレスとスイッチ間で共通の通信用パスワードを登録
※登録するMACアドレスの英字は「大文字」とし、":", "-"で区切らない
- ○良い例:000000000A10 Auth-Type := Local, User-Password == "APL-mac"
- ×悪い例:000000000a10 Auth-Type := Local, User-Password == "APL-mac"
- ×悪い例:00-00-00-00-0A-10 Auth-Type := Local, User-Password == "APL-mac"
◆ 802.1x認証およびWEB認証では、サプリカントごとのユーザー名やパスワードを登録
※登録するユーザー名とパスワードは大文字と小文字の区別あり
- ○設定例:user-c Auth-Type := EAP, User-Password == "pass-c"
- ○設定例:webuser-e Auth-Type := Local, User-Password == "webpass-e"
- ×悪い例:WEBUSER-e Auth-Type := Local, User-Password == "WEBPASS-e"
※ダイナミックVLANの認証属性はVLAN IDを登録する。
- ○良い例:Tunnel-Private-Group-Id = 20
- ×悪い例:Tunnel-Private-Group-Id = VLAN20
L2認証スイッチの設定例
VLANの設定 | |
#config vlan vlanid 1 delete 1-24 | VLAN1(default)は未使用のため削除 |
#create vlan vlanid 10,20,30,40,50,100 | クライアント用にVLAN(10,20,30,40,50)を作成 管理用としてVLAN(100)を作成 |
ポートの設定 | |
#config vlan vlanid 10 add untagged 1 | ポート1は以降にMAC/802.1x/WEB認証ポートして設定 ダイナミックVLAN指定の端末はVLAN(変更される) 指定ない端末はVLAN(変更なし) |
#config vlan vlanid 50 add untagged 5 | ポート5に接続した装置は認証不要で通信可能 |
#config vlan vlanid 10,20,30,40,50,100 add tagged 23-24 | ユーザーVLAN(10,20,30,40,50)と管理用VLAN(100)をトランクポート23-24に設定 |
#create link_aggregation group_id 1 #config link_aggregation group_id 1 master_port 23 ports 23-24 state enable | トランクポート23-24を上位L3スイッチとLAG接続 |
管理用IPアドレスの設定 | |
#config ipif System ipaddress 192.168.100.1/24 vlan VLAN100 state enable #create iproute default 192.168.100.254 |
管理用VLAN100にIPアドレス設定
|
SYSLOGサーバーの設定 | |
#create syslog host 1 ipaddress 192.168.200.2 state enable | SYSLOGサーバーの設定 |
#enable syslog | SYSLOGの有効化 |
ネットワーク監視装置の設定 | |
#create snmp host 192.168.200.3 v2c public | ネットワーク監視装置の設定 予約済みコミュニティ名public(Read/Only)を指定 |
#enable snmp traps | SNMPトラップ出力の有効化 |
RADIUSサーバーの設定 | |
#config radius add 1 192.168.200.1 key APL-radius default | RADIUS サーバーのIPアドレスと認証スイッチと共有する秘密鍵の設定 ※keyは大文字と小文字の区別あり |
MAC認証の設定 | |
#config mac_based_access_control method radius | RADIUSサーバーによる認証 |
#config mac_based_access_control password APL-mac | RADIUSサーバーとの通信用パスワード ※passwordは大文字と小文字の区別あり |
#enable authorization network | ダイナミックVLANの有効 RADIUSサーバーの認証属性(VLAN)が有効 |
#config mac_based_access_control ports 1 state enable | MAC認証ポートの有効化 |
#enable mac_based_access_control | MAC認証の有効化 |
802.1x認証の設定 | |
#config 802.1x auth_protocol radius_eap | RADIUSサーバーによる認証 |
#config 802.1x capability ports 1 authenticator | 802.1x認証ポートの有効化 |
#enable 802.1x | 802.1x認証の有効化 |
WEB認証の設定 | |
#config web_authentication method radius | RADIUSサーバーによる認証 |
#config web_authentication virtual_ip 1.1.1.1 | WEB認証用の仮想IPアドレスを設定 |
#config web_authentication ports 1 state enable | WEB認証ポートの有効化 |
#enable web_authentication | WEB認証の有効化 |
確認コマンド
◆ MAC認証の場合
- show fdb
- show mac_based_access_control
- show mac_based_access_control auth_mac
- show authentication ports
- (現在の認証状態をリセットし再認証するには)
clear mac_based_access_control auth_mac ports all
◆ 802.1x認証の場合
- show fdb
- show 802.1x auth_configuration
- show 802.1x auth_state
- show auth_session_statistics
- show authentication ports
- (現在の認証状態をリセットし再認証するには)
config 802.1x reauth mac_based ports all
◆ WEB認証の場合
- show fdb
- show web_authentication
- show web_authentication ports
- show web_authentication auth_state ports
- show web_authentication user
- (現在の認証状態をリセットし再認証するには)
clear web_authentication auth_state ports all
RADIUSサーバーの設定(Free Radius)
RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)
clients.confファイル登録
RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。
<設定例>
client 192.168.100.0/24 { secret = APL-radius shortname = ApresiaLight }
usersファイル登録
MAC認証では、機器ごとのMACアドレスとスイッチ間の共通の通信用パスワードを登録します。
802.1x認証およびWEB認証では、サプリカントごとのユーザー名やパスワードを登録します。
・機器(サプリカント)ごとに下記の属性を定義します。
属性名 | 属性 | 備考 |
---|---|---|
User-Name | MACアドレス | MAC認証の場合、対象機器のMACアドレス (例:000000000A10) |
ユーザー名 | 802.1x認証では、対象サプリカントのユーザー名 (例:user-c) WEB認証の場合、対象サプリカントのユーザー名 (例:webuser-e) |
|
User-Password | パスワード | MAC認証の場合、スイッチ間の共通のパスワード (例:"APL-mac") 802.1x認証では、ユーザー名に対するパスワード (例:"pass-c") WEB認証の場合、ユーザー名に対するパスワード (例:"webpass-e") |
・機器(サプリカント)ごとに下記の属性を定義します。
属性名 | 属性 | 備考 |
---|---|---|
Tunnel-Type | VLAN (13) | 固定値 |
Tunnel-Medium-Type | IEEE-802 (6) | 固定値 |
Tunnel-Private-Group-ID | VLAN ID | 認証後に所属させるVLAN ID (例:20) |
<設定例>
000000000A10 Auth-Type := Local, User-Password == "APL-mac" 000000000B20 Auth-Type := Local, User-Password == "APL-mac" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 20 user-c Auth-Type := EAP, User-Password == "pass-c" user-d Auth-Type := EAP, User-Password == "pass-d" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 30 webuser-e Auth-Type := Local, User-Password == "webpass-e" webuser-f Auth-Type := Local, User-Password == "webpass-f" Tunnel-Type = 13, Tunnel-Medium-Type = 6, Tunnel-Private-Group-Id = 40