ページの本文へ

設定例2:MAC認証

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1/1-46
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1
 switchport mode trunk
 switchport trunk add 10,20,100
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 mac-authentication port 1/1-46
 mac-authentication password 1q2w3e
AccessDefenderの設定
・最大認証端末(128台)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)
mac-authentication enable MAC認証の有効化

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1-44
 switchport access vlan 4094
interface port 45-46
 media utp
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47/48
 utp auto-negotiation disable
 utp link-speed-duplex 100m/full
 media utp
 switchport mode trunk
 switchport trunk add 10,20,100
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
※ link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 mac-authentication port 1-46
 mac-authentication password 1q2w3e
AccessDefenderの設定
・最大認証端末(128台)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)
mac-authentication enable MAC認証の有効化

設定項目一覧

★:必須設定項目

No. 項目 デフォルト設定 備考
1 AccessDefender有効化★ disable
2 RADIUSサーバー
 INDEX★
 IPアドレス★
 UDPポート番号
 タイムアウト時間
 リトライ回数
 共有鍵(シークレットキー)★
 Primary/Secondary指定★
 ローカル認証
 強制認証
 デッドタイム

なし
なし
1812
3秒
3回
なし
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8


1~1440分
3 認証ポート★ なし  
4 MAC認証パスワード★ なし  
5 ログアウト条件
  エージング
  接続時間

0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
6 最大接続台数
  ポート番号
  1ポートあたり
  装置あたり★

なし
なし
なし
 
7 syslog(IP/facility/priority) なし  
8 packet-filter2 強制転送(認証バイパス) なし  

補足事項

基本設定

  • APRESIAでMAC認証のみを行う場合は、上位L3スイッチへの暫定VLANの設定は必須ではなく、APRESIAの暫定VLANを認証済み端末の固定VLANとして使用する場合など、必要に応じて上位L3スイッチに暫定VLANの設定を行なって頂ければ問題ありません。

Dynamic VLAN

  • Dynamic VLANであるなしの区別は、RADIUSのユーザー情報にVLAN IDを指定するための属性(VSA: NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
  • VSAをサポートしているRADIUSであれば問題なくDynamic VLANをご利用頂けます。FreeRadiusのdictionaryファイルの設定例は以下の通りです。
VENDOR APRESIA 278
BEGIN-VENDOR APRESIA
ATTRIBUTENA-Vlan-Id 192 integer
END-VENDOR APRESIA

RADIUSユーザー登録

  • MAC認証時、APRESIAからRADIUSサーバーに対して以下の認証リクエストが送信されます。
    • ユーザー名: MACアドレス(例: 00:11:22:33:44:55)
    • パスワード: MAC認証パスワード※(例: 1q2w3e)
      ※mac-authentication passwordで設定したパスワード
  • FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容
001122334455 Cleartext-Password := "1q2w3e"
# VLAN 10に収容
001122334466 Cleartext-Password := "1q2w3e"
NA-Vlan-Id = 10
# VLAN 20に収容
0011223344ab Cleartext-Password := "1q2w3e"
NA-Vlan-Id = 20

※RADIUSユーザーとしてMACアドレスを登録する際には、「:」を除いた小文字英数字とします。

ページの先頭へ