設定例(ApresiaLightGSシリーズ)

ネットワーク認証

MACアドレス認証

APLGSシリーズのポートアクセス制御機能には802.1X認証とMAC認証があります。WEB認証はサポートしていません。ここではMACアドレス認証について説明します。APLGSシリーズではMAC認証の場合も認証サーバーへの問い合わせはEAP-MD5で行われます。

基本構成図

基本構成図

L2認証スイッチのポート設定
ポート番号 ポート種別 接続装置 認証機能 固定VLAN ダイナミック
VLAN
1 アクセス 端末-A
端末-B
MAC認証 10 なし
2 アクセス 端末-C MAC認証 30 なし
3 アクセス 端末-D MAC認証 (10) 40
5 アクセス プリンター なし 50 なし
9-10 トランク L3スイッチ なし 10,20,30,40,50,100 なし

設定のポイント

L2認証スイッチ

  • 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
    (セグメントを跨ぐIP通信には、デフォルトルートの設定が必要)
  • ダイナミックに割り当てるVLANを作成しておく。
    (作成したダイナミック用VLANをポートにアサインする必要なし)
  • 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
    (認証ポートの配下で特定端末のみ認証不要とする場合はスタティックにFDB登録する)
  • L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
    ※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
  • ユーザーのパスワードはMACアドレスになる。

RADIUSサーバー

  • clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
  • usersファイルに認証対象のMACアドレスを登録する。
    ※登録するMACアドレスの英字は「小文字」とし、":", "-"で区切らない。

    ○良い例:000000000a10 Auth-Type := EAP, User-Password == "000000000a10"
    ×悪い例:000000000A10 Auth-Type := EAP, User-Password == "000000000A10"
    ×悪い例:00-00-00-00-0A-10 Auth-Type := EAP, User-Password == "00-00-00-00-0A-10"

    ※ダイナミックVLANの認証属性はVLAN IDを登録する。

    ○良い例:Tunnel-Private-Group-Id = 40
    ×悪い例:Tunnel-Private-Group-Id = VLAN40

L2認証スイッチの設定例

[802.1X認証]の例と同様に下記の「VLANの設定」から「RADIUSサーバーの設定」までを行います。

  • VLANの設定
  • ポートの設定
  • 管理IPアドレスの設定
  • RADIUSサーバーの設定

MAC認証の設定

画面左の[セキュリティ]が展開された状態から[ポートアクセス制御]をクリックします。
[ポートアクセス制御]画面が表示されます。
[ポートアクセス制御機能:]のメニューから[有効]を、[認証方式:]のメニューから[RADIUS]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

[ポートアクセス設定]の画面が現れるので、ポートの設定をしていきます。
[ポート:]がポート1になっていることを確認します。[認証モード:]を[MAC認証]にします。

[ポートアクセス制御]画面

[ポート認証設定:]のメニューから[Auto]を選択します。これでポートの認証が有効になります。

[ポートアクセス制御]画面

画面を下にスクロールし、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

同様にポート2、3の設定を繰り返します。
[ポート:]メニューからポート2、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

[ポート:]メニューからポート3、[ポート認証設定:]から[Auto]、[サプリカントモード:]から[シングル]、[ダイナミックVLAN:]から[有効]を選択し、[適用]ボタンをクリックします。

[ポートアクセス制御]画面

画面上の[状態確認]ボタンをクリックして設定を確認します。

[ポートアクセス制御]画面

認証状態もこの画面から確認できます。

[ポートアクセス制御]画面

RADIUSサーバーの設定(Free RADIUS)

RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)

eap.confファイル登録

EAP認証方式を登録します。
認証方式「MD5」のため、eap.confファイルを編集する必要はありません。

clients.confファイル登録

RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

<設定例>
client 192.168.100.0/24 {
                    secret = APL-radius
                    shortname = ApresiaLight
}
usersファイル登録

機器ごとのMACアドレスやパスワードを登録します。

・機器ごとに下記の属性を定義します。
属性名属性備考
User-Name MACアドレス 認証対象機器のMACアドレス(例:000000000a10)
":","-"で区切らず、英字は小文字で指定
User-Password パスワード MACアドレスと同じ(例:"000000000a10")
英字は小文字で指定
・ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
属性名属性備考
Tunnel-Type VLAN (13) 固定値
Tunnel-Medium-Type IEEE-802 (6) 固定値
Tunnel-Private-Group-ID VLAN ID 認証後に所属させるVLAN ID (例:40)
<設定例>
000000000a10 Auth-Type := EAP, User-Password == "000000000a10"
000000000b20 Auth-Type := EAP, User-Password == "000000000b20"
000000000c30 Auth-Type := EAP, User-Password == "000000000c30"
000000000d40 Auth-Type := EAP, User-Password == "000000000d40"
                  Tunnel-Type = 13,
                  Tunnel-Medium-Type = 6,
                  Tunnel-Private-Group-Id = 40

設定例TOPへ戻る

関連情報