ページの本文へ

設定例4:ゲートウェイ認証

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 10.1.10.220 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
VLANの設定
・サーバー向けVLAN名 : "v10"
interface port 1/1-22
 switchport access vlan 10
サーバー向け物理インタフェース(port 1-22)の設定
※ サーバー向けVLANをaccessポートとして設定します。
interface lag 1
switchport access vlan 10
Uplink向け物理インターフェース(lag 1)の設定
interface port 1/23-24
 link-aggregation 1
Uplink向け物理インターフェース(port 23-24)の設定
interface vlan 10
 ip address 10.1.10.100/24
暫定VLANのアドレス設定
ip route 0.0.0.0/0 10.1.10.254 デフォルトルートの設定
■ AccessDefender設定
packet-filter2
 1 assign port 1/23-24
 1 1 condition ipv4 dst tcp/udp 67 udp
 1 1 action authentication-bypass
 1 2 condition ipv4 dst tcp/udp 514 udp
 1 2 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはゲートウェイ認証有効時には自動的に許可されます。

・syslogサーバーへの通信許可
※ コアL3スイッチやエッジL2スイッチのsyslog収集のために必要となります。
aaa radius 1 host 10.1.10.240 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication lag 1 gateway
 web-authentication ip 10.1.10.100
 web-authentication https-port 443
 logout aging-time 300 0 0 0
 logout linkdown lag 1 disable
 roaming lag 1 enable
AccessDefenderの設定
・最大認証端末(128台)
・ゲートウェイ認証ポート(23-24)
・認証URL(https://10.1.10.100/)
・ログアウト(エージング:300秒)
リンクダウンログアウト無効化(23-24)
・ポート間ローミング機能を有効化(23-24)
※ LAGポートを認証ポートに設定した場合、上記2行の設定は必須です。
web-authentication enable WEB認証の有効化

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 10.1.10.220 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
VLANの設定
・サーバー向けVLAN名 : "v10"
interface port 1-22
 switchport access vlan 10
サーバー向け物理インタフェース(port 1-22)の設定
※ サーバー向けVLANをaccessポートとして設定します。
interface port 23-24
 utp advertise delete 10m/half
 utp advertise delete 10m/full
 utp advertise delete 100m/half
 utp advertise delete 100m/full
 switchport access vlan 10
 link-aggregation 1
Uplink向け物理インターフェース(port 23-24)の設定
※ link-aggregationを組むため全IFのポート速度を固定します。
※ 1000m/fullに固定する場合は左記の通り、オートネゴで1000/fullのみアドバタイズするように設定します。
interface vlan 10
 ip address 10.1.10.100/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 10.1.10.254 デフォルトルートの設定
■ AccessDefender設定
packet-filter2
 1 assign port 23-24
 1 1 condition ipv4 dst tcp/udp 67 udp
 1 1 action authentication-bypass
 1 2 condition ipv4 dst tcp/udp 514 udp
 1 2 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはゲートウェイ認証有効時には自動的に許可されます。

・syslogサーバーへの通信許可
※ コアL3スイッチやエッジL2スイッチのsyslog収集のために必要となります。
aaa radius 1 host 10.1.10.240 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 23-24 gateway
 web-authentication ip 10.1.10.100
 web-authentication https-port 443
 logout aging-time 300 0 0 0
 logout linkdown port 23-24 disable
 roaming port 23-24 enable
AccessDefenderの設定
・最大認証端末(128台)
・ゲートウェイ認証ポート(23-24)
・認証URL(https://10.1.10.100/)
・ログアウト(エージング:300秒)
・リンクダウンログアウト無効化(23-24)
・ポート間ローミング機能を有効化(23-24)
※ LAGポートを認証ポートに設定した場合、上記2行の設定は必須です。
web-authentication enable WEB認証の有効化

設定項目一覧

★:必須設定項目

No. 項目 デフォルト設定 備考
1 AccessDefender有効化★ disable
2 RADIUSサーバー
 INDEX★
 IPアドレス★
 UDPポート番号
 タイムアウト時間
 リトライ回数
 共有鍵(シークレットキー)★
 Primary/Secondary指定★
 ローカル認証
 強制認証
 デッドタイム

なし
なし
1812
3秒
3回
なし
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8


1~1440分
3 認証ポート★ なし  
4 認証Webページ
 HTTPポート番号★
 HTTPSポート番号★
 認証用IPアドレス(URL)★
 リダイレクトURL
 リダイレクト対象ポート(HTTP)
 リダイレクト対象ポート(HTTPS)
 リダイレクト対象ポート(Proxy)

なし
なし
なし
なし
なし
なし
なし

1~65535
1~65535

最大255文字
ポート80
ポート443
1~65535
5 ログアウト条件
 エージング
 接続時間

0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
6 最大接続台数
 ポート番号
 1ポートあたり
 装置あたり★

なし
なし
なし
 
7 SSL用秘密鍵(鍵長) 1024bit 512~2048bit
8 syslog(IP/facility/priority) なし  
9 packet-filter2 強制転送(認証バイパス) なし  

補足事項

基本設定

  • WEB認証ポート設定コマンド「web-authentication port」に「gateway」オプションを付与するとゲートウェイ認証として動作します。WEB認証とゲートウェイ認証で設定が異なる部分は本オプションのみで、その他の設定の違いはありません。
  • 認証ポートは未認証端末からサーバーファームへの通信を一切許可しないため、syslogやDHCP等の認証する必要なく許可されるべき管理向け通信については、packet-filter2を使用して強制的に通信を許可しておく必要があります。
  • APRESIA自身への通信(telnet, SNMP)は端末の認証状態を問わず可能です。これらの通信を制限する必要がある場合は、telnetおよびSNMPのアクセス制御機能によりアクセス可能な端末を制限して頂く必要があります。

注意事項、制限事項など

  • ゲートウェイ認証は端末のMACアドレスではなくIPアドレスで認証状態を管理しているため、多対一NATデバイスの配下に複数の端末が存在する場合など、APRESIAから見て端末のIPアドレスが一意に区別できない場合は正常に動作しませんのでご注意ください。
  • ゲートウェイ認証ではDynamic VLANを使用することはできません。
  • 認証ポートでサポートされるL2冗長プロトコルはLink-Aggregationまたはポートリダンダントの2種類となります。(xSTPやMMRPはご利用頂けません。)
    なお、認証ポートでL2冗長プロトコルを使用する場合は、ローミングとリンクダウンログアウト無効を設定して頂くことで、経路の切り替わりや切り戻りが発生しても端末のログイン状態を維持することが可能です。
ページの先頭へ