AccessDefender(ネットワーク認証機能)
ゲートウェイ認証
構成
設定例(AEOS8)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 10.1.10.220 local0 notice | syslogサーバーの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・サーバー向けVLAN名 : "v10" |
| interface port 1/1-22
switchport access vlan 10 |
サーバー向け物理インタフェース(port 1-22)の設定 ※サーバー向けVLANをaccessポートとして設定します。 |
| interface lag 1
switchport access vlan 10 |
Uplink向け物理インターフェース(lag 1)の設定 |
| interface port 1/23-24
link-aggregation 1 |
Uplink向け物理インターフェース(port 23-24)の設定 |
| interface vlan 10
ip address 10.1.10.100/24 |
暫定VLANのアドレス設定 |
| ip route 0.0.0.0/0 10.1.10.254 | デフォルトルートの設定 |
| ■ AccessDefender設定 | |
| packet-filter2
1 assign port 1/23-24 |
Packet Filter2の設定
・DHCPサーバーへの通信許可 |
| aaa radius 1 host 10.1.10.240 key apresia aaa authentication web radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・Web認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| web-authentication enable | Web認証の有効化 |
設定例(AEOS7)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 10.1.10.220 local0 notice | syslogサーバーの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・サーバー向けVLAN名 : "v10" |
| interface port 1-22
switchport access vlan 10 |
サーバー向け物理インタフェース(port 1-22)の設定 ※サーバー向けVLANをaccessポートとして設定します。 |
| interface port 23-24
utp advertise delete 10m/half |
Uplink向け物理インターフェース(port 23-24)の設定 ※link-aggregationを組むため全IFのポート速度を固定します。 ※1000m/fullに固定する場合は左記の通り、オートネゴで1000/fullのみアドバタイズするように設定します。 |
| interface vlan 10
ip address 10.1.10.100/24 |
管理用VLANのアドレス設定 |
| ip route 0.0.0.0/0 10.1.10.254 | デフォルトルートの設定 |
| ■ AccessDefender設定 | |
| packet-filter2
1 assign port 23-24 |
Packet Filter2の設定
・DHCPサーバーへの通信許可 |
| aaa radius 1 host 10.1.10.240 key apresia aaa authentication web radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・Web認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| web-authentication enable | Web認証の有効化 |
設定項目一覧
★:必須設定項目
| No. | 項目 | デフォルト設定 | 備考 |
|---|---|---|---|
| 1 | AccessDefender有効化★ | disable | |
| 2 | RADIUSサーバー
INDEX★ |
なし なし 1812 3秒 3回 なし なし なし なし なし |
1~8 1~65535 1~30秒 1~5回 最大127文字 1~8 1~1440分 |
| 3 | 認証ポート★ | なし | |
| 4 | 認証Webページ
HTTPポート番号★ |
なし なし なし なし なし なし なし |
1~65535 1~65535 最大255文字 ポート80 ポート443 1~65535 |
| 5 | ログアウト条件
エージング |
0秒 0秒 |
10秒~1ヶ月 10秒~1ヶ月 |
| 6 | 最大接続台数
ポート番号 |
なし なし なし |
|
| 7 | SSL用秘密鍵(鍵長) | 1024bit | 512~2048bit |
| 8 | syslog(IP/facility/priority) | なし | |
| 9 | packet-filter2 強制転送(認証バイパス) | なし |
補足事項
基本設定
- Web認証ポート設定コマンド「web-authentication port」に「gateway」オプションを付与するとゲートウェイ認証として動作します。Web認証とゲートウェイ認証で設定が異なる部分は本オプションのみで、その他の設定の違いはありません。
- 認証ポートは未認証端末からサーバーファームへの通信を一切許可しないため、syslogやDHCP等の認証する必要なく許可されるべき管理向け通信については、packet-filter2を使用して強制的に通信を許可しておく必要があります。
- APRESIA自身への通信(telnet, SNMP)は端末の認証状態を問わず可能です。これらの通信を制限する必要がある場合は、telnetおよびSNMPのアクセス制御機能によりアクセス可能な端末を制限して頂く必要があります。
注意事項、制限事項など
- ゲートウェイ認証は端末のMACアドレスではなくIPアドレスで認証状態を管理しているため、多対一NATデバイスの配下に複数の端末が存在する場合など、APRESIAから見て端末のIPアドレスが一意に区別できない場合は正常に動作しませんのでご注意ください。
- ゲートウェイ認証ではDynamic VLANを使用することはできません。
- 認証ポートでサポートされるL2冗長プロトコルはLink-Aggregationまたはポートリダンダントの2種類となります。(xSTPやMMRPはご利用頂けません。)
なお、認証ポートでL2冗長プロトコルを使用する場合は、ローミングとリンクダウンログアウト無効を設定して頂くことで、経路の切り替わりや切り戻りが発生しても端末のログイン状態を維持することが可能です。