AccessDefender(ネットワーク認証機能)
MAC認証
構成
設定例(AEOS8)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 192.168.1.100 local0 notice | syslogサーバの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt" ・暫定VLAN : "temp" |
| interface port 1/1-46
switchport access vlan 4094 |
ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。 |
| interface lag 1
switchport mode trunk link-aggregation 1 |
Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。 |
| interface vlan 100
ip address 192.168.100.1/24 |
管理用VLANのアドレス設定 |
| ip route 0.0.0.0/0 192.168.100.254 | デフォルトルートの設定 |
| ■ AccessDefender設定 | |
| aaa radius 1 host 192.168.1.200 key apresia aaa authentication mac radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・MAC認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| mac-authentication enable | MAC認証の有効化 |
設定例(AEOS7)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 192.168.1.100 local0 notice | syslogサーバの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt" ・暫定VLAN : "temp" |
| interface port 1-44
switchport access vlan 4094 interface port 45-46
media utp |
ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。 |
| interface port 47/48
utp auto-negotiation disable |
Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。 ※link-aggregationを組むため全IFのポート速度を固定します。 |
| interface vlan 100
ip address 192.168.100.1/24 |
管理用VLANのアドレス設定 |
| ip route 0.0.0.0/0 192.168.100.254 | デフォルトルートの設定 |
| ■ AccessDefender設定 | |
| aaa radius 1 host 192.168.1.200 key apresia aaa authentication mac radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・MAC認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| mac-authentication enable | MAC認証の有効化 |
設定項目一覧
★:必須設定項目
| No. | 項目 | デフォルト設定 | 備考 |
|---|---|---|---|
| 1 | AccessDefender有効化★ | disable | |
| 2 | RADIUSサーバー
INDEX★ |
なし なし 1812 3秒 3回 なし なし なし なし なし |
1~8 1~65535 1~30秒 1~5回 最大127文字 1~8 1~1440分 |
| 3 | 認証ポート★ | なし | |
| 4 | MAC認証パスワード★ | なし | |
| 5 | ログアウト条件
エージング |
0秒 0秒 |
10秒~1ヶ月 10秒~1ヶ月 |
| 6 | 最大接続台数
ポート番号 |
なし なし なし |
|
| 7 | syslog(IP/facility/priority) | なし | |
| 8 | packet-filter2 強制転送(認証バイパス) | なし |
補足事項
基本設定
- APRESIAでMAC認証のみを行う場合は、上位L3スイッチへの暫定VLANの設定は必須ではなく、APRESIAの暫定VLANを認証済み端末の固定VLANとして使用する場合など、必要に応じて上位L3スイッチに暫定VLANの設定を行なって頂ければ問題ありません。
Dynamic VLAN
- Dynamic VLANであるなしの区別は、RADIUSのユーザー情報にVLAN IDを指定するための属性(VSA: NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
- VSAをサポートしているRADIUSであれば問題なくDynamic VLANをご利用頂けます。FreeRadiusのdictionaryファイルの設定例は以下の通りです。
VENDOR APRESIA 278 BEGIN-VENDOR APRESIA ATTRIBUTE NA-Vlan-Id 192 integer END-VENDOR APRESIA
RADIUSユーザー登録
- MAC認証時、APRESIAからRADIUSサーバーに対して以下の認証リクエストが送信されます。
- ユーザー名: MACアドレス(例:00:11:22:33:44:55)
- パスワード: MAC認証パスワード※(例:1q2w3e)
※mac-authentication passwordで設定したパスワード
- FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容 001122334455 Cleartext-Password := "1q2w3e" # VLAN 10に収容 001122334466 Cleartext-Password := "1q2w3e" NA-Vlan-Id = 10 # VLAN 20に収容 0011223344ab Cleartext-Password := "1q2w3e" NA-Vlan-Id = 20 ・・・
- ※
- RADIUSユーザーとしてMACアドレスを登録する際には、「:」を除いた小文字英数字とします。