設定例:APRESIA(AEOSシリーズ)

AccessDefender(ネットワーク認証機能)

MAC認証

構成

MAC認証構成イメージ図

設定例(AEOS8)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 20 name v20
vlan 100 name mgmt
vlan 4094 name temp

VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1/1-46

switchport access vlan 4094

ユーザー向け物理インタフェース(port 1-46)の設定
※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1

switchport mode trunk
switchport trunk add 10,20,100

interface port 1/47-48

link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定
※DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
access-defender

packet-filter2 max-rule 128
mac-authentication port 1/1-46
mac-authentication password 1q2w3e

AccessDefenderの設定

・最大認証端末(128台)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)

mac-authentication enable MAC認証の有効化

設定例(AEOS7)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 20 name v20
vlan 100 name mgmt
vlan 4094 name temp

VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1-44

switchport access vlan 4094

interface port 45-46

media utp
switchport access vlan 4094

ユーザー向け物理インタフェース(port 1-46)の設定
※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47/48

utp auto-negotiation disable
utp link-speed-duplex 100m/full
media utp
switchport mode trunk
switchport trunk add 10,20,100
link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定
※DVLANによる接続が想定される全VLANをTrunk設定します。
※link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication mac radius 1
RADIUSサーバー#1(プライマリ)の設定
・MAC認証にRADIUSサーバー#1を使用
access-defender

packet-filter2 max-rule 128
mac-authentication port 1-46
mac-authentication password 1q2w3e

AccessDefenderの設定

・最大認証端末(128台)
・MAC認証ポート(1-46)
・MAC認証パスワード(1q2w3e)

mac-authentication enable MAC認証の有効化

設定項目一覧

★:必須設定項目

No.項目デフォルト設定備考
1 AccessDefender有効化★ disable  
2 RADIUSサーバー

INDEX★
IPアドレス★
UDPポート番号
タイムアウト時間
リトライ回数
共有鍵(シークレットキー)★
Primary/Secondary指定★
ローカル認証
強制認証
デッドタイム


なし
なし
1812
3秒
3回
なし
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8


1~1440分
3 認証ポート★ なし  
4 MAC認証パスワード★ なし  
5 ログアウト条件

エージング
接続時間


0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
6 最大接続台数

ポート番号
1ポートあたり
装置あたり★


なし
なし
なし
 
7 syslog(IP/facility/priority) なし  
8 packet-filter2 強制転送(認証バイパス) なし  

補足事項

基本設定

  • APRESIAでMAC認証のみを行う場合は、上位L3スイッチへの暫定VLANの設定は必須ではなく、APRESIAの暫定VLANを認証済み端末の固定VLANとして使用する場合など、必要に応じて上位L3スイッチに暫定VLANの設定を行なって頂ければ問題ありません。

Dynamic VLAN

  • Dynamic VLANであるなしの区別は、RADIUSのユーザー情報にVLAN IDを指定するための属性(VSA: NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
  • VSAをサポートしているRADIUSであれば問題なくDynamic VLANをご利用頂けます。FreeRadiusのdictionaryファイルの設定例は以下の通りです。
VENDOR             APRESIA  278
BEGIN-VENDOR   APRESIA
ATTRIBUTE         NA-Vlan-Id  192  integer
END-VENDOR      APRESIA

RADIUSユーザー登録

  • MAC認証時、APRESIAからRADIUSサーバーに対して以下の認証リクエストが送信されます。
    • ユーザー名: MACアドレス(例:00:11:22:33:44:55)
    • パスワード: MAC認証パスワード※(例:1q2w3e)
      ※mac-authentication passwordで設定したパスワード
  • FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容
001122334455	Cleartext-Password := "1q2w3e"
# VLAN 10に収容
001122334466	Cleartext-Password := "1q2w3e"
                        NA-Vlan-Id = 10
# VLAN 20に収容
0011223344ab	Cleartext-Password := "1q2w3e"
                        NA-Vlan-Id = 20
・・・
RADIUSユーザーとしてMACアドレスを登録する際には、「:」を除いた小文字英数字とします。

機能紹介

APRESIA設定例TOPへ戻る

関連情報