AccessDefender(ネットワーク認証機能)

User Policy Control

構成

User Policy Control 構成イメージ

設定例(AEOS8)

構成例(Web認証(固定VLAN))における認証スイッチの設定例を示します。

基本設定
vlan database
 vlan 10 name v10
VLANの設定
・ユーザー所属VLAN名 : "v10"
※ 認証スイッチとRADIUSサーバーが同一ネットワークに存在するため、ユーザーVLAN(v10)を管理用VLANとし、RADIUSサーバーへアクセスします。
interface port 1/1-46
 switchport access vlan 10
ユーザー向け物理インタフェース(port 1-46)の設定
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface lag 1
 switchport mode trunk
 switchport trunk add 10
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
interface vlan 10
 ip address 10.1.10.100/24
VLANのアドレス設定
ip route 0.0.0.0/0 10.1.10.254デフォルトルートの設定
■ AccessDefender設定
packet-filter2

1 assign port 1/1-46
1 1 condition ipv4 dst tcp/udp 67 udp
1 1 action authentication-bypass
2 assign port 1/1-46
2 1 action deny
2 1 condition dst ip 10.1.10.0/24
2 1 condition class 1 mask 0xffe
2 2 action deny
2 2 condition dst ip 20.0.0.0/24
2 2 condition class 9 mask 0xffe
3 assign port 1/1-46
3 1 action permit
3 1 action qos qp7
3 1 condition dst ip 20.0.0.0/24
3 1 condition class 1
3 2 action permit
3 2 action qos qp7
3 2 condition dst ip 10.1.10.0/24
3 2 condition class 9

Packet Filter2の設定

・DHCPサーバーへの通信許可
※ Web認証でDHCP環境の場合は必須の設定となります。
※ ARPはWeb認証有効時には自動的に許可されます。
クラスID:1、2 の設定(10.1.10.0/24 宛パケットを破棄)
クラスID:9、10 の設定(20.0.0.0/24 宛パケットを破棄)
クラスID:1 の設定(20.0.0.0/24 宛パケットの優先度変更)
クラスID:9 の設定(10.1.10.0/24 宛パケットの優先度変更)

qos enableQoS の有効化(優先度制御用)
aaa radius 1 host 10.1.10.240 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・Web認証にRADIUSサーバー#1を使用
access-defender

packet-filter2 max-rule 128
web-authentication port 1/1-46
web-authentication ip 10.1.10.100
web-authentication https-port 8443

AccessDefenderの設定

・最大認証端末(128台)
・Web認証ポート(1-46)
・認証URL(https://10.1.10.100:8443/)
※ この例では、同一ネットワークに閉じた認証のため、ゲートウェイ認証のように管理用IPアドレスを認証URLに指定していますが、Web認証では任意の認証URL指定で問題ありません。

web-authentication enableWeb認証の有効化

設定項目一覧

Packet Filter2のフィルター条件(コンディション)でクラスIDを設定します。

No.項目デフォルト設定備考
1class ID
 <GROUP><RULE>condition class<CLASSID>
なし認証端末のクラスID <1~4095>

補足事項

  • Packet Filter2のフィルター条件(コンディション)にクラスIDを設定することによって、認証端末毎のフレーム制御ポリシー適用を実現します。
  • RADIUSサーバーにクラスIDを設定することにより、認証時にユーザー(端末)毎に動的にクラスIDを割り当てます。

機能紹介

APRESIA設定例TOPへ戻る

関連情報