設定例(ApresiaLightGM200シリーズ)
ネットワーク認証
Web認証
基本構成図
| L2認証スイッチのポート設定 | |||||
| ポート番号 | ポート種別 | ユーザー/ 接続装置 |
認証機能 | 固定VLAN | ダイナミックVLAN |
| 1 | アクセス | ユーザーA | Web認証 | 10 | なし |
| 2 | アクセス | ユーザーB | Web認証 | (10) | 20 |
| 9-10 | トランク | L3スイッチ | なし | 10,20,100 | なし |
設定のポイント
L2認証スイッチ
- 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
(セグメントを跨ぐIP通信には、デフォルトルートの設定が必要) - ダイナミックに割り当てるVLANを作成しておく。
(作成したダイナミック用VLANをポートにアサインする必要なし) - 端末でDHCPを使用する場合は認証バイパスを設定する。
- 上位L3スイッチには認証設定を有効にしない。
- L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
RADIUSサーバー
- clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
- usersファイルにWeb認証用のユーザー名とパスワードを登録する。
※登録するユーザー名とパスワードは大文字と小文字の区別あり。
- ○良い例:user-a Auth-Type := Local, User-Password == "pass-a"
- ×悪い例:USER-a Auth-Type := Local, User-Password == "pass-A"
※ダイナミックVLANの認証属性はVLAN IDを登録する。
- ○良い例:Tunnel-Private-Group-Id = 20
- ×悪い例:Tunnel-Private-Group-Id = VLAN20
DHCPサーバー
- D-VLANでVLANを変更する端末は、元のVLANでのIPアドレスのリース期間を短くする。
※VLAN変更後、速やかに変更後のVLANでIPアドレスが更新されるようにする。
L2認証スイッチの設定例
| VLANの設定 | |
| # configure terminal (config)# vlan 10,20,100 (config-vlan)# exit |
クライアント用にVLAN(10,20)を作成 管理用としてVLAN(100)を作成 |
| ポートの設定 | |
| (config)# interface range port 1/0/1-2 (config-if-port-range)# switchport access vlan 10 (config-if-port-range)# exit |
VLAN(10)をuntagポート1、2に設定 |
| (config)# interface range port 1/0/9-10 (config-if-port-range)# channel-group 1 mode on (config-if-port-range)# exit |
ポート9、10をスタティックのLAGグループ1として登録 |
| (config)# interface port-channel 1 (config-if-port-channel)# switchport mode trunk (config-if-port-channel)# switchport trunk allowed vlan 10,20,100 (config-if-port-channel)# exit |
VLAN(10,20,100)をtagポート9、10に設定 |
| 認証バイパスの設定 | |
| (config)# ip access-list extended dhcpdns (config-ip-ext-acl)# permit authentication-bypass udp any eq bootpc any eq bootps (config-ip-ext-acl)# permit authentication-bypass udp any any eq domain (config-ip-ext-acl)# exit |
DHCPの認証バイパスを設定 DNSの認証バイパスを設定 |
| (config)# interface range port 1/0/1-2 (config-if-port-range)# ip access-group dhcpdns (config-if-port-range)# exit |
ポート1,2に認証バイパスを設定 |
| 管理用IPアドレスの設定 | |
| (config)# no interface vlan 1 (config)# interface vlan 100 (config-if-vlan)# ip address 192.168.100.1/24 (config-if-vlan)# exit (config)# ip route default 192.168.100.254 |
管理用VLAN100にIPアドレス設定 |
| RADIUSサーバーの設定 | |
| (config)# aaa new-model (config)# radius-server host 192.168.200.1 key APL-radius (config)# aaa authentication web-auth default group radius |
AAA 機能を有効 RADIUSサーバーを登録 Web認証でRADIUSサーバーを利用 |
| Web認証の設定 | |
| (config)# access-defender (config-a-def)# authentication interface port 1/0/1-2 web (config-a-def)# web-authentication http-ip ipv4 1.1.1.1 (config-a-def)# exit |
ポート1-2のWeb認証を有効化 Web認証用の仮想IPアドレスを設定 |
| (config)# web-authentication enable (config)# |
Web認証の有効化 |
RADIUSサーバーの設定(Free RADIUS)
RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)
clients.confファイル登録
RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。
<設定例>
client 192.168.100.0/24 {
secret = APL-radius
shortname = ApresiaLight
}
<usersファイル登録>
サプリカント(クライアント)ごとのユーザー名やパスワードを登録します。
・サプリカント(クライアント)ごとに下記の属性を定義します。
| 属性名 | 属性 | 備考 |
|---|---|---|
| User-Name | ユーザー名 | 対象サプリカントのユーザー名(例:user-a) 英字は大文字、小文字で区別される |
| User-Password | パスワード | ユーザー名に対応するパスワード(例:"pass-a") 英字は大文字、小文字で区別される |
・ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
| 属性名 | 属性 | 備考 |
|---|---|---|
| Tunnel-Type | VLAN (13) | 固定値 |
| Tunnel-Medium-Type | IEEE-802 (6) | 固定値 |
| Tunnel-Private-Group-ID | VLAN ID | 認証後に所属させるVLAN ID (例:20) |
<設定例>
user-a Auth-Type := Local, User-Password == "pass-a"
user-b Auth-Type := Local, User-Password == "pass-b"
Tunnel-Type = 13,
Tunnel-Medium-Type = 6,
Tunnel-Private-Group-Id = 20
確認コマンド
- show access-defender client
- show access-defender port-configuration
- show radius statistics
