1ポート複数認証方式対応｜企業・データセンター向けL2/L3スイッチ：設定例｜製品情報｜APRESIA | APRESIA Systems株式会社

AccessDefender(ネットワーク認証機能)

1ポート複数認証方式対応

構成

1ポート複数認証方式対応構成イメージ図

設定例(AEOS8)

基本設定
hostname A-Def	ホスト名の設定
logging ip 192.168.1.100 local0 notice	syslogサーバの設定
vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 4094 name temp	VLANの設定・ユーザー所属VLAN名："v10","v20" ・管理用VLAN名："mgmt" ・暫定VLAN："temp"
interface port 1/1-46 switchport access vlan 4094	ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1 switchport mode trunk switchport trunk add 10,20,100,4094 interface port 1/47-48 link-aggregation 1	Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100 ip address 192.168.100.1/24	管理用VLANのアドレス設定
interface vlan 4094 ip address 10.0.0.1/16	暫定VLANのアドレス設定 ※暫定VLAN用DHCPサーバー設定のために必要です。 ※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254	デフォルトルートの設定
■ AccessDefender設定
packet-filter2 2 assign port 1/1-46 2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass	packet-filter2の設定・DHCPサーバーへの通信許可 ※Web認証でDHCP環境の場合は必須の設定となります。 ※ARPはWeb認証有効時には自動的に許可されます。
aaa radius 1 host 192.168.1.200 key apresia aaa authentication mac radius 1 aaa authentication web radius 1	RADIUSサーバー#1(プライマリ)の設定・MAC認証にRADIUSサーバー#1を使用・Web認証にRADIUSサーバー#1を使用
access-defender packet-filter2 max-rule 128 web-authentication port 1/1-46 web-authentication redirect url http://192.0.2.3:8080 web-authentication redirect http web-authentication ip 192.0.2.3 web-authentication http-port 8080 mac-authentication port 1/1-46 mac-authentication password 1q2w3e logout aging-time 300 0 0 0	AccessDefenderの設定・最大認証端末(128台) ・Web認証ポート(1-46) ・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト) ・認証URL(http://192.0.2.3:8080/) ・MAC認証ポート(1-46) ・MAC認証パスワード(1q2w3e) ・ログアウト(エージング：300秒)
web-authentication enable mac-authentication enable	Web認証の有効化 MAC認証の有効化
dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10 dhcp policy enable temp dhcp server address-check arp dhcp server enable	暫定VLAN用DHCPサーバーの設定・リース時間(10秒) ※設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。

設定例(AEOS7)

基本設定
hostname A-Def	ホスト名の設定
logging ip 192.168.1.100 local0 notice	syslogサーバの設定
vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 4094 name temp	VLANの設定・ユーザー所属VLAN名："v10","v20" ・管理用VLAN名："mgmt" ・暫定VLAN："temp"
interface port 1-44 switchport access vlan 4094 interface port 45-46 media utp switchport access vlan 4094	ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47-48 utp auto-negotiation disable utp link-speed-duplex 100m/full media utp switchport mode trunk switchport trunk add 10,20,100,4094 link-aggregation 1	Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。 ※ link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100 ip address 192.168.100.1/24	管理用VLANのアドレス設定
interface vlan 4094 ip address 10.0.0.1/16	暫定VLANのアドレス設定 ※暫定VLAN用DHCPサーバー設定のために必要です。 ※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254	デフォルトルートの設定
■ AccessDefender設定
packet-filter2 2 assign port 1-46 2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass	packet-filter2の設定・DHCPサーバーへの通信許可 ※Web認証でDHCP環境の場合は必須の設定となります。 ※ARPはWeb認証有効時には自動的に許可されます。
aaa radius 1 host 192.168.1.200 key apresia aaa authentication mac radius 1 aaa authentication web radius 1	RADIUSサーバー#1(プライマリ)の設定・MAC認証にRADIUSサーバー#1を使用・Web認証にRADIUSサーバー#1を使用
access-defender packet-filter2 max-rule 128 web-authentication port 1-46 web-authentication redirect url http://192.0.2.3:8080 web-authentication redirect http web-authentication ip 192.0.2.3 web-authentication http-port 8080 mac-authentication port 1-46 mac-authentication password 1q2w3e logout aging-time 300 0 0 0	AccessDefenderの設定・最大認証端末(128台) ・Web認証ポート(1-46) ・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト) ・認証URL(http://192.0.2.3:8080/) ・MAC認証ポート(1-46) ・MAC認証パスワード(1q2w3e) ・ログアウト(エージング：300秒)
web-authentication enable mac-authentication enable	Web認証の有効化 MAC認証の有効化
dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10 dhcp policy enable temp dhcp server address-check arp dhcp server enable	暫定VLAN用DHCPサーバーの設定・リース時間(10秒) ※設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。

設定項目一覧

MAC認証およびWeb認証の設定例と同様となります。

補足事項

基本設定

本例では、MAC認証とWeb認証を同一ポートで併用した時の設定例を示します。
Web認証を行なうため、上位L3スイッチに暫定VLANの設定が必須となります。
(詳細はWeb認証の設定例を参照ください)

IPアドレス割り当て時の注意点

VLAN割り当て方式		IPアドレス割り当て時の注意点
MAC認証	Web認証	IPアドレス割り当て時の注意点
固定	固定	特にありません。
固定	Dynamic	Web認証(Dynamic VLAN)を使用するため、暫定VLAN＝MAC認証時の固定VLANにリースタイムを短くした暫定DHCPサーバーを起動する必要があるため、MAC認証(固定VLAN)に収容する機器は、リースタイムを短くした暫定DHCPサーバーでIPアドレス割り当てるか、またはあらかじめ固定IPアドレスを割り当てることで運用する必要があります。
Dynamic	固定	Web認証端末へのIPアドレス割り当てをDHCPで行なう場合、認証前に正規DHCPサーバーへの通信を許可する必要がありますが、これに伴いMAC認証端末へのIPアドレス割り当ても認証前に行なわれてしまうため、正規DHCPサーバーのリースタイムが長いとMAC認証端末のIPアドレスが切り替わりません。Web認証端末へのIPアドレスには固定IPアドレスを割り当てるか、またはWeb認証にもDynamic VLANをご利用ください。
Dynamic	Dynamic	MAC認証端末が暫定DHCPサーバーとの通信中にVLAN切り替えが発生してしまうことを防ぐため、「mac-authentication ignore-dhcp」コマンドにより、MAC認証端末のDHCPリクエストをMAC認証対象外として頂く必要があります。

その他はMAC認証およびWeb認証の設定例と同様となります。

機能紹介

AccessDefender(ネットワーク認証機能)：1ポート複数認証方式対応

APRESIA設定例TOPへ戻る

関連情報