ページの本文へ

1ポート複数認証方式対応 設定例

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1/1-46
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※ 認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1
 switchport mode trunk
 switchport trunk add 10,20,100,4094
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
interface vlan 4094
 ip address 10.0.0.1/16
暫定VLANのアドレス設定
※ 暫定VLAN用DHCPサーバー設定のために必要です。
※ 暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
packet-filter2
 2 assign port 1/1-46
 2 1 condition ipv4 dst tcp/udp 67 udp
 2 1 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはWEB認証有効時には自動的に許可されます。
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 1/1-46
 web-authentication redirect url http://1.1.1.1:8080
 web-authentication redirect http
 web-authentication ip 1.1.1.1
 web-authentication http-port 8080
 mac-authentication port 1/1-46
 mac-authentication password 1q2w3e
 logout aging-time 300 0 0 0
AccessDefenderの設定
・最大認証端末(128台)
・WEB認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://1.1.1.1:8080/)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)
・ログアウト(エージング:300秒)
web-authentication enable
mac-authentication enable
WEB認証の有効化
MAC認証の有効化
dhcp policy temp
 network 10.0.0.0/16
 range 1 10.0.0.10 10.0.0.20
 router 10.0.0.254
 lease 10
dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1-44
 switchport access vlan 4094
interface port 45-46
 media utp
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※ 認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47-48
 utp auto-negotiation disable
 utp link-speed-duplex 100m/full
 media utp
 switchport mode trunk
 switchport trunk add 10,20,100,4094
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
※ link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
interface vlan 4094
 ip address 10.0.0.1/16
暫定VLANのアドレス設定
※ 暫定VLAN用DHCPサーバー設定のために必要です。
※ 暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
packet-filter2
 2 assign port 1-46
 2 1 condition ipv4 dst tcp/udp 67 udp
 2 1 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはWEB認証有効時には自動的に許可されます。
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 1-46
 web-authentication redirect url http://1.1.1.1:8080
 web-authentication redirect http
 web-authentication ip 1.1.1.1
 web-authentication http-port 8080
 mac-authentication port 1-46
 mac-authentication password 1q2w3e
 logout aging-time 300 0 0 0
AccessDefenderの設定
・最大認証端末(128台)
・WEB認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://1.1.1.1:8080/)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)
・ログアウト(エージング:300秒)
web-authentication enable
mac-authentication enable
WEB認証の有効化
MAC認証の有効化
dhcp policy temp
 network 10.0.0.0/16
 range 1 10.0.0.10 10.0.0.20
 router 10.0.0.254
 lease 10
dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。

設定項目一覧

MAC認証およびWEB認証の設定例と同様となります。

補足事項

基本設定

  • 本例では、MAC認証とWEB認証を同一ポートで併用した時の設定例を示します。
  • WEB認証を行なうため、上位L3スイッチに暫定VLANの設定が必須となります。
    (詳細はWEB認証の設定例を参照ください)

IPアドレス割り当て時の注意点

VLAN割り当て方式 IPアドレス割り当て時の注意点
MAC認証 WEB認証

固定

固定 特にありません。
固定 Dynamic WEB認証(Dynamic VLAN)を使用するため、暫定VLAN=MAC認証時の固定VLANにリースタイムを短くした暫定DHCPサーバーを起動する必要があるため、MAC認証(固定VLAN)に収容する機器は、リースタイムを短くした暫定DHCPサーバーでIPアドレス割り当てるか、またはあらかじめ固定IPアドレスを割り当てることで運用する必要があります。
Dynamic 固定 WEB認証端末へのIPアドレス割り当てをDHCPで行なう場合、認証前に正規DHCPサーバーへの通信を許可する必要がありますが、これに伴いMAC認証端末へのIPアドレス割り当ても認証前に行なわれてしまうため、正規DHCPサーバーのリースタイムが長いとMAC認証端末のIPアドレスが切り替わりません。WEB認証端末へのIPアドレスには固定IPアドレスを割り当てるか、またはWEB認証にもDynamic VLANをご利用ください。
Dynamic Dynamic MAC認証端末が暫定DHCPサーバーとの通信中にVLAN切り替えが発生してしまうことを防ぐため、「mac-authentication ignore-dhcp」コマンドにより、MAC認証端末のDHCPリクエストをMAC認証対象外として頂く必要があります。

その他はMAC認証およびWEB認証の設定例と同様となります。

ページの先頭へ