ページの本文へ

設定例10:User Policy Control

構成

機能の図解

設定例(AEOS8)

構成例(WEB認証(固定VLAN))における認証スイッチの設定例を示します

基本設定  
vlan database
 vlan 10 name v10
VLANの設定
・ユーザー所属VLAN名 : "v10"
※ 認証スイッチとRADIUSサーバーが同一ネットワークに存在するため、ユーザーVLAN(v10)を管理用VLANとし、RADIUSサーバーへアクセスします。
interface port 1/1-46
 switchport access vlan 10
ユーザー向け物理インタフェース(port 1-46)の設定
※ 認証前のポートは孤立状態のため、未認証端末同士も
通信不可です。
interface lag 1
 switchport mode trunk
 switchport trunk add 10
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
interface vlan 10
 ip address 10.1.10.100/24
VLANのアドレス設定
ip route 0.0.0.0/0 10.1.10.254 デフォルトルートの設定
■ AccessDefender設定
packet-filter2
 1 assign port 1/1-46
 1 1 condition ipv4 dst tcp/udp 67 udp
 1 1 action authentication-bypass
 2 assign port 1/1-46
 2 1 action deny
 2 1 condition dst ip 10.1.10.0/24
 2 1 condition class 1 mask 0xffe
 2 2 action deny
 2 2 condition dst ip 20.0.0.0/24
 2 2 condition class 9 mask 0xffe
 3 assign port 1/1-46
 3 1 action permit
 3 1 action qos qp7
 3 1 condition dst ip 20.0.0.0/24
 3 1 condition class 1
 3 2 action permit
 3 2 action qos qp7
 3 2 condition dst ip 10.1.10.0/24
 3 2 condition class 9
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはWEB認証有効時には自動的に許可されます。

クラスID:1、2 の設定(10.1.10.0/24 宛パケットを破棄)
クラスID:9、10 の設定(20.0.0.0/24 宛パケットを破棄)
クラスID:1 の設定(20.0.0.0/24 宛パケットの優先度変更)
クラスID:9 の設定(10.1.10.0/24 宛パケットの優先度変更)
qos enable QoS の有効化(優先度制御用)
aaa radius 1 host 10.1.10.240 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 1/1-46
 web-authentication ip 10.1.10.100
 web-authentication https-port 8443
AccessDefenderの設定
・最大認証端末(128台)
・WEB認証ポート(1-46)
・認証URL(https://10.1.10.100:8443/)
※ この例では、同一ネットワークに閉じた認証のため、
ゲートウェイ認証のように管理用IPアドレスを認証URLに指定
していますが、WEB認証では任意の認証URL指定で問題ありません。
web-authentication enable WEB認証の有効化

設定項目一覧

Packet-Filter2のフィルター条件(コンディション)でクラスIDを設定します。

No. 項目 デフォルト設定 備考
1 class ID
 <GROUP><RULE>condition class<CLASSID>
なし 認証端末のクラスID <1~4095>

補足事項

  • パケットフィルター2のフィルター条件(コンディション)にクラスIDを設定することによって、認証端末毎のフレーム制御ポリシー適用を実現します。
  • RADIUSサーバーにクラスIDを設定することにより、認証時にユーザー(端末)毎に動的にクラスIDを割り当てます。
ページの先頭へ