ページの本文へ

設定例1:802.1X

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
interface port 1/2-12
 switchport access vlan 10
interface port 1/13-24
 switchport access vlan 20
ユーザー向け物理インタフェース(port 2-24)の設定
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface port 1/1
 switchport mode trunk
 switchport trunk add 10,20,100
Uplink向け物理インターフェース(port 1)の設定
※ 接続が想定される全VLANをTrunk設定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication dot1x radius 1
RADIUSサーバー#1(プライマリ)の設定
・802.1X認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 dot1x port 1/2-24
 dot1x port 1/2-24 reauthentication
AccessDefenderの設定
・最大認証端末(128台)
・802.1X認証ポート(2-24)
・再認証有効設定
dot1x enable 802.1X認証の有効化

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
interface port 2-12
 switchport access vlan 10
interface port 13-24
 switchport access vlan 20
ユーザー向け物理インタフェース(port 2-24)の設定
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface port 1
 switchport mode trunk
 switchport trunk add 10,20,100
Uplink向け物理インターフェース(port 1)の設定
※ 接続が想定される全VLANをTrunk設定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication dot1x radius 1
RADIUSサーバー#1(プライマリ)の設定
・802.1X認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 dot1x port 2-24
 dot1x port 2-24 reauthentication
AccessDefenderの設定
・最大認証端末(128台)
・802.1X認証ポート(2-24)
・再認証有効設定
dot1x enable 802.1X認証の有効化

設定項目一覧

★:必須設定項目

No. 項目 デフォルト設定 備考
1 AccessDefender有効化★ disable
2 RADIUSサーバー
 INDEX★
 IPアドレス★
 UDPポート番号
 タイムアウト時間
 リトライ回数
 共有鍵(シークレットキー)★
 Primary/Secondary指定★
 強制認証
 デッドタイム

なし
なし
1812
3秒
3回
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8

1~1440分
3 認証ポート★ なし  
4 再認証(802.1X)
  再認証有効
  再認証間隔

なし
3600秒


5~2147483647秒
5 リトライ関係(802.1X)
  サプリカントからの応答タイムアウト

30秒

5~65535秒
6 ログアウト条件
  エージング
  接続時間

0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
7 最大接続台数
  ポート番号
  1ポートあたり
  装置あたり★

なし
なし
なし
 
8 syslog(IP/facility/priority) なし  
9 packet-filter2 強制転送(認証バイパス) なし  

補足事項

  • 認証時の負荷軽減のため、EAP-Request/EAP-Identityパケットはマルチキャストではなく常にユニキャストで送信されます。
  • 認証前の端末は、APRESIAの認証ポートによって通信が制限されているため、APRESIAのポートを経由して他の端末との通信はできません。
    ただし、EAPフレームを中継(EAP透過)するスイッチ(もしくはリピーターハブ)内での通信はその限りではありません。
ページの先頭へ