AccessDefender(ネットワーク認証機能)

DHCP Snooping

構成

DHCP Snooping構成イメージ図

設定例(AEOS8)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 100 name mgmt

VLANの設定

・ユーザー所属VLAN名:"v10"
・管理用VLAN名:"mgmt"

interface port 1/1-46

switchport access vlan 10

ユーザー向け物理インタフェース(port 1-46)の設定

※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。

interface lag 1

switchport mode trunk
switchport trunk add 10,100

interface port 1/47-48

link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定
interface vlan 10

ip address 10.1.10.1/24

ユーザー所属VLANのアドレス設定
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
access-defender

packet-filter2 max-rule 128
dhcp-snooping port 1/1-46
dhcp-snooping mode timer 600
dhcp-snooping static-entry port 1/2 10.1.10.99

AccessDefenderの設定

・最大認証端末(128台)
・DHCP Snoopingポート(1-46)
・DENYモード切替時間の設定(600秒)
・スタティックエントリでプリンタ(ポート2, 固定IP:10.1.10.99)を許可

dhcp-snooping enable DHCP Snoopingの有効化

設定例(AEOS7)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 100 name mgmt

VLANの設定

・ユーザー所属VLAN名:"v10"
・管理用VLAN名:"mgmt"

interface port 1-44

switchport access vlan 10

interface port 45-46

media utp
switchport access vlan 10

ユーザー向け物理インタフェース(port 1-46)の設定

※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。

interface port 47-48

utp auto-negotiation disable
utp link-speed-duplex 100m/full

media utp

switchport mode trunk
switchport trunk add 10,100
link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定

※ link-aggregationを組むため全IFのポート速度を固定します。

interface vlan 10

ip address 10.1.10.1/24

ユーザー所属VLANのアドレス設定
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
access-defender

packet-filter2 max-rule 128
dhcp-snooping port 1-46
dhcp-snooping mode timer 600
dhcp-snooping static-entry port 2 10.1.10.99

AccessDefenderの設定

・最大認証端末(128台)
・DHCP Snoopingポート(1-46)
・DENYモード切替時間の設定(600秒)
・スタティックエントリでプリンタ(ポート2, 固定IP:10.1.10.99)を許可

dhcp-snooping enable DHCP Snoopingの有効化

設定項目一覧

★:必須設定項目

No.項目デフォルト設定備考
1AccessDefender有効化★disable 
2認証ポート★なし 
3最大接続台数

ポート番号
1ポートあたり
装置あたり★


なし
なし
なし
 
4静的フィルター登録(※1)
自動切換えモードタイマー(※2)
なし
なし
 
5syslog(IP/facility/priority)なし 
6packet-filter2 強制転送(認証バイパス)なし 
※1
ポートに対して、静的にフィルターを登録することで、DHCP Snoopingが有効なポートであっても、特定の固定IP 端末からの通信を許可します。
※2
PERMITモードで起動後、自動的にDENYモードに切替わるまでの時間です。

補足事項

DENYモード/PERMITモード

  • DHCP SnoopingにはDENYモード/PERMITモードの2つのモードがあり、DENYモードはDHCPクライアント情報の収集とアクセス制限を行ないますが、PERMITモードはDHCPクライアント情報の収集のみを行ないアクセス制限を行ないません。
  • デフォルトではPERMITモードで動作するため、DHCP Snoopingによるアクセス制限を行なうためにはPERMITモードからDENYモードへの切り替えタイマーを設定する必要があります。本設定によりスイッチ起動後暫くの間はDHCPクライアント情報の収集のみを行ない、クライアント情報が十分に収集できる時間の経過後にアクセス制御を開始することが可能となりますので、スイッチがリブートしてしまった場合などDHCPクライアント情報がクリアされてしまうことで全クライアントがアクセス制限されてしまうようなケースを救うことが可能となります。
  • PERMITモードからDENYモードへの切り替えタイマーを設定していない場合は、PERMITモードのまま動作し続けるため適切なアクセス制限が行なわれません。モード切り替えタイマーは必ず設定してください。
  • PERMITモードでは固定IPアドレスの機器も通信が許可されます。

基本設定

  • 正規DHCPサーバーが接続されるポートはDHCP Snoopingの対象ポートから除外する必要があります。
  • AEOS7の7.21.01より前のバージョンでは、DHCP Snoopingを有効とするVLANには必ずIPアドレスを付与する必要があります。
    7.21.01以降、およびAEOS8ではIPアドレスを付与しなくとも動作します。

注意事項、制限事項など

  • DHCP SnoopingとDHCPリレー機能またはDHCPサーバー機能を併用することはできません。従ってDHCP SnoopingとWeb認証/Dynamic VLANを併用する場合、暫定DHCPサーバーはAPRESIA内部ではなくAPRESIA外部に持たせる必要があります。
  • DHCP SnoopingではDHCPクライアント情報が登録されているポートがリンクダウンしても情報のクリアは行なわれず、リースタイマ経過によるクリアが行なわれます。

機能紹介

APRESIA設定例TOPへ戻る

関連情報