設定例(ApresiaLightGM/FMシリーズ)

ネットワーク認証

マルチプル認証

基本構成図

マルチプル認証 基本構成図

L2認証スイッチのポート設定
ポート番号 ポート種別 接続装置 認証機能 固定VLAN ダイナミックVLAN
1 アクセス 端末-A
端末-B
端末-C
端末-D
端末-E
端末-F
MAC認証
MAC認証
802.1x認証
802.1x認証
WEB認証
WEB認証
10
(10)
10
(10)
10
(10)
なし
20
なし
30
なし
40
5 アクセス プリンター なし 50 なし
23-24 トランク L3スイッチ なし 10,20,30,40,50,100 なし

設定のポイント

L2認証スイッチ

マルチプル認証機能を有効にするための特別な設定は必要ありません。
(MAC認証/802.1x認証/WEB認証の各設定を併用することで動作)

  • 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
    (セグメントを跨ぐIP通信には、デフォルトルートの設定が必要)
  • ダイナミックに割り当てるVLANを作成しておく。
    (作成したダイナミック用VLANをポートにアサインする必要なし)
  • 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
    (認証ポートの配下で特定端末のみ非認証とする場合はスタティックにFDB登録する)
  • MAC認証用に、ダイナミックVLANの認証属性を有効にする。
    設定例:enable authorization network
  • MAC認証用に、L2認証スイッチ~RADIUSサーバー間で共通の通信用パスワードを設定する。
    設定例:config mac_based_access_control password APL-mac
    ※RADIUSサーバーのusersファイルに登録する「User-Password」と同設定。(大文字、小文字の区別あり)
  • L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
    設定例:config radius add 1 192.168.200.1 key APL-radius default
    ※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
RADIUSサーバー
  • clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する

◆ MAC認証の場合、機器ごとのMACアドレスとスイッチ間で共通の通信用パスワードを登録

※登録するMACアドレスの英字は「大文字」とし、":", "-"で区切らない

  • ○良い例:000000000A10 Auth-Type := Local, User-Password == "APL-mac"
  • ×悪い例:000000000a10 Auth-Type := Local, User-Password == "APL-mac"
  • ×悪い例:00-00-00-00-0A-10 Auth-Type := Local, User-Password == "APL-mac"

◆ 802.1x認証およびWEB認証では、サプリカントごとのユーザー名やパスワードを登録

※登録するユーザー名とパスワードは大文字と小文字の区別あり

  • ○設定例:user-c Auth-Type := EAP, User-Password == "pass-c"
  • ○設定例:webuser-e Auth-Type := Local, User-Password == "webpass-e"
  • ×悪い例:WEBUSER-e Auth-Type := Local, User-Password == "WEBPASS-e"

※ダイナミックVLANの認証属性はVLAN IDを登録する。

  • ○良い例:Tunnel-Private-Group-Id = 20
  • ×悪い例:Tunnel-Private-Group-Id = VLAN20

L2認証スイッチの設定例

VLANの設定
#config vlan vlanid 1 delete 1-24VLAN1(default)は未使用のため削除
#create vlan vlanid 10,20,30,40,50,100クライアント用にVLAN(10,20,30,40,50)を作成
管理用としてVLAN(100)を作成
ポートの設定
#config vlan vlanid 10 add untagged 1ポート1は以降にMAC/802.1x/WEB認証ポートして設定
ダイナミックVLAN指定の端末はVLAN(変更される)
指定ない端末はVLAN(変更なし)
#config vlan vlanid 50 add untagged 5ポート5に接続した装置は認証不要で通信可能
#config vlan vlanid 10,20,30,40,50,100 add tagged 23-24ユーザーVLAN(10,20,30,40,50)と管理用VLAN(100)をトランクポート23-24に設定
#create link_aggregation group_id 1
#config link_aggregation group_id 1 master_port 23 ports 23-24 state enable
トランクポート23-24を上位L3スイッチとLAG接続
管理用IPアドレスの設定
#config ipif System ipaddress 192.168.100.1/24 vlan VLAN100 state enable
#create iproute default 192.168.100.254
管理用VLAN100にIPアドレス設定
  • RADIUSサーバーと疎通可能
  • SYSLOGサーバーと疎通可能
  • ネットワーク監視装置と疎通可能
SYSLOGサーバーの設定
#create syslog host 1 ipaddress 192.168.200.2 state enableSYSLOGサーバーの設定
#enable syslogSYSLOGの有効化
ネットワーク監視装置の設定
#create snmp host 192.168.200.3 v2c publicネットワーク監視装置の設定
予約済みコミュニティ名public(Read/Only)を指定
#enable snmp trapsSNMPトラップ出力の有効化
RADIUSサーバーの設定
#config radius add 1 192.168.200.1 key APL-radius defaultRADIUS サーバーのIPアドレスと認証スイッチと共有する秘密鍵の設定
※keyは大文字と小文字の区別あり
MAC認証の設定
#config mac_based_access_control method radiusRADIUSサーバーによる認証
#config mac_based_access_control password APL-macRADIUSサーバーとの通信用パスワード
※passwordは大文字と小文字の区別あり
#enable authorization networkダイナミックVLANの有効
RADIUSサーバーの認証属性(VLAN)が有効
#config mac_based_access_control ports 1 state enableMAC認証ポートの有効化
#enable mac_based_access_controlMAC認証の有効化
802.1x認証の設定
#config 802.1x auth_protocol radius_eapRADIUSサーバーによる認証
#config 802.1x capability ports 1 authenticator802.1x認証ポートの有効化
#enable 802.1x802.1x認証の有効化
WEB認証の設定
#config web_authentication method radiusRADIUSサーバーによる認証
#config web_authentication virtual_ip 1.1.1.1WEB認証用の仮想IPアドレスを設定
#config web_authentication ports 1 state enableWEB認証ポートの有効化
#enable web_authenticationWEB認証の有効化
確認コマンド

◆ MAC認証の場合

  • show fdb
  • show mac_based_access_control
  • show mac_based_access_control auth_mac
  • show authentication ports
  • (現在の認証状態をリセットし再認証するには)
    clear mac_based_access_control auth_mac ports all

◆ 802.1x認証の場合

  • show fdb
  • show 802.1x auth_configuration
  • show 802.1x auth_state
  • show auth_session_statistics
  • show authentication ports
  • (現在の認証状態をリセットし再認証するには)
    config 802.1x reauth mac_based ports all

◆ WEB認証の場合

  • show fdb
  • show web_authentication
  • show web_authentication ports
  • show web_authentication auth_state ports
  • show web_authentication user
  • (現在の認証状態をリセットし再認証するには)
    clear web_authentication auth_state ports all

RADIUSサーバーの設定(Free Radius)

RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)

clients.confファイル登録

RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

<設定例>
client 192.168.100.0/24 {
secret = APL-radius
shortname = ApresiaLight
}
usersファイル登録

MAC認証では、機器ごとのMACアドレスとスイッチ間の共通の通信用パスワードを登録します。
802.1x認証およびWEB認証では、サプリカントごとのユーザー名やパスワードを登録します。

・機器(サプリカント)ごとに下記の属性を定義します。
属性名属性備考
User-Name MACアドレス MAC認証の場合、対象機器のMACアドレス
(例:000000000A10)
ユーザー名 802.1x認証では、対象サプリカントのユーザー名
(例:user-c)
WEB認証の場合、対象サプリカントのユーザー名
(例:webuser-e)
User-Password パスワード MAC認証の場合、スイッチ間の共通のパスワード
(例:"APL-mac")
802.1x認証では、ユーザー名に対するパスワード
(例:"pass-c")
WEB認証の場合、ユーザー名に対するパスワード
(例:"webpass-e")
・機器(サプリカント)ごとに下記の属性を定義します。
属性名属性備考
Tunnel-Type VLAN (13) 固定値
Tunnel-Medium-Type IEEE-802 (6) 固定値
Tunnel-Private-Group-ID VLAN ID 認証後に所属させるVLAN ID (例:20)
<設定例>
000000000A10 Auth-Type := Local, User-Password == "APL-mac"
000000000B20 Auth-Type := Local, User-Password == "APL-mac"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 20
user-c Auth-Type := EAP, User-Password == "pass-c"
user-d Auth-Type := EAP, User-Password == "pass-d"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 30
webuser-e Auth-Type := Local, User-Password == "webpass-e"
webuser-f Auth-Type := Local, User-Password == "webpass-f"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 40

設定例TOPへ戻る

関連情報