設定例:APRESIA(AEOSシリーズ)

AccessDefender(ネットワーク認証機能)

Web認証(SSL対応)

構成

Web認証(SSL対応)構成イメージ図

設定例(AEOS8)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 20 name v20
vlan 100 name mgmt
vlan 4094 name temp

VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1/1-46

switchport access vlan 4094

ユーザー向け物理インタフェース(port 1-46)の設定
※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1

switchport mode trunk
switchport trunk add 10,20,100,4094

interface port 1/47-48

link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定
※DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
interface vlan 4094

ip address 10.0.0.1/16

暫定VLANのアドレス設定
※暫定VLAN用DHCPサーバー設定のために必要です。
※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
MAC認証設定例(AEOS8)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。
■ AccessDefender設定
packet-filter2

2 assign port 1/1-46
2 1 condition ipv4 dst tcp/udp 67 udp
2 1 action authentication-bypass

packet-filter2の設定

・DHCPサーバーへの通信許可
※Web認証でDHCP環境の場合は必須の設定となります。
※ARPはWeb認証有効時には自動的に許可されます。

aaa radius 1 host 192.168.1.200 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・Web認証にRADIUSサーバー#1を使用
access-defender

packet-filter2 max-rule 128
web-authentication port 1/1-46
web-authentication redirect url http://192.0.2.3:8080
web-authentication redirect http
web-authentication ip 192.0.2.3
web-authentication http-port 8080
logout aging-time 300 0 0 0

AccessDefenderの設定

・最大認証端末(128台)
・Web認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://192.0.2.3:8080/)
・ログアウト(エージング:300秒)

web-authentication enable Web認証の有効化
dhcp policy temp

network 10.0.0.0/16
range 1 10.0.0.10 10.0.0.20
router 10.0.0.254
lease 10

dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。
※ 認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。

設定例(AEOS7)

基本設定
hostname A-Defホスト名の設定
logging ip 192.168.1.100 local0 noticesyslogサーバの設定
vlan database

vlan 10 name v10
vlan 20 name v20
vlan 100 name mgmt
vlan 4094 name temp

VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1-44

switchport access vlan 4094

interface port 45-46

media utp
switchport access vlan 4094

ユーザー向け物理インタフェース(port 1-46)の設定
※暫定VLANをaccessポートとして設定します。
※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47-48

utp auto-negotiation disable
utp link-speed-duplex 100m/full
media utp
switchport mode trunk
switchport trunk add 10,20,100,4094
link-aggregation 1

Uplink向け物理インターフェース(port 47-48)の設定
※DVLANによる接続が想定される全VLANをTrunk設定します。
※link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100

ip address 192.168.100.1/24

管理用VLANのアドレス設定
interface vlan 4094

ip address 10.0.0.1/16

暫定VLANのアドレス設定
※暫定VLAN用DHCPサーバー設定のために必要です。
※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
MAC認証設定例(AEOS7)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。
■ AccessDefender設定
packet-filter2

2 assign port 1-46
2 1 condition ipv4 dst tcp/udp 67 udp
2 1 action authentication-bypass
2 2 condition ipv4 dst tcp/udp 53
2 2 action authentication-bypass

packet-filter2の設定
・DHCPサーバーへの通信許可
※Web認証でDHCP環境の場合は必須の設定となります。
※ARPはWeb認証有効時には自動的に許可されます。
・DNSサーバーへの通信許可
※HTTPをトリガとした認証ページリダイレクトを利用するには認証前に任意のサイトへ名前の解決をする必要があります。
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・Web認証にRADIUSサーバー#1を使用
access-defender

packet-filter2 max-rule 128
web-authentication port 1-46
web-authentication redirect url http://192.0.2.3:8080
web-authentication redirect http
web-authentication ip 192.0.2.3
web-authentication http-port 8080
logout aging-time 300 0 0 0

AccessDefenderの設定

・最大認証端末(128台)
・Web認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://192.0.2.3:8080/)
・ログアウト(エージング:300秒)

web-authentication enable Web認証の有効化
dhcp policy temp

network 10.0.0.0/16
range 1 10.0.0.10 10.0.0.20
router 10.0.0.254
lease 10

dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。
※認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。

設定項目一覧

★:必須設定項目

No.項目デフォルト設定備考
1 AccessDefender有効化★ disable  
2 RADIUSサーバー

INDEX★
IPアドレス★
UDPポート番号
タイムアウト時間
リトライ回数
共有鍵(シークレットキー)★
Primary/Secondary指定★
ローカル認証
強制認証
デッドタイム


なし
なし
1812
3秒
3回
なし
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8


1~1440分
3 認証ポート★ なし  
4 認証Webページ

HTTPポート番号★
HTTPSポート番号★
認証用IPアドレス(URL)★
リダイレクトURL
リダイレクト対象ポート(HTTP)
リダイレクト対象ポート(HTTPS)
リダイレクト対象ポート(Proxy)


なし
なし
なし
なし
なし
なし
なし

1~65535
1~65535

最大255文字
ポート80
ポート443
1~65535
5 ログアウト条件

エージング
接続時間


0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
6 最大接続台数

ポート番号
1ポートあたり
装置あたり★


なし
なし
なし
 
7 SSL用秘密鍵(鍵長) 1024bit 512~2048bit
8 syslog(IP/facility/priority) なし  
9 packet-filter2 強制転送(認証バイパス) なし  

補足事項

基本設定

  • Web認証でDHCP環境の場合は、Web認証前にDHCPサーバーからIPアドレスを取得する必要があるため、packet-filter2によるDHCPの強制通信許可が必要です。(ARPは自動的に通信が許可されます。)
  • Web認証を行なう場合は、以下の理由により上位L3スイッチへの暫定VLANの設定が必須となります。
    • ユーザーが認証ページ(http://192.0.2.3:8080/)を表示するための通信が、認証L2スイッチの暫定VLANを通過するようにするため。
    • 認証ページリダイレクトを行なう際に、ユーザーの任意のHTTP通信が、認証L2スイッチの暫定VLANを通過するようにするため。

Dynamic VLAN

  • Dynamic VLANでありなしの区別はRADIUSのユーザー情報にVLAN IDを指定するための属性(VSA:NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
  • FreeRadiusのdictionaryファイルの設定例はMAC認証と同様です。

RADIUSユーザー登録

  • FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容
user00	Cleartext-Password := "user00-password"
# VLAN 10に収容
user10	Cleartext-Password := "user10-password"
                NA-Vlan-Id = 10
# VLAN 20に収容
user20	Cleartext-Password := "user20-password"
                NA-Vlan-Id = 20
・・・

IPアドレス割り当てについての注意点

  • Web認証でDynamic VLANを使用する場合、認証前と認証後のIPアドレスを切り替える必要がありますが、この切り替えは認証前のIPアドレスを暫定DHCPサーバーから払い出す際に、リースタイムを短く設定することで行ないます。
  • 上記に伴い、Web認証でDynamic VLANを使用するポートにおいて、Dynamic VLANではなくポートに設定済みのVLAN(固定VLAN)に収容する機器は、リースタイムを短くした暫定DHCPサーバーでIPアドレス割り当てるか、またはあらかじめ固定IPアドレスを割り当てることで運用する必要があります。
  • 本設定例では暫定DHCPサーバーを認証L2スイッチ内部に持たせておりますが、認証L2スイッチ外部に持たせても問題ありません。ただし暫定DHCPサーバーと正規DHCPサーバーを同じDHCPサーバーとする場合は、同サーバーがプール毎にリースタイムを分けることが可能であること、および同サーバーがある端末に暫定IPアドレスを払い出した後、同じ端末に正規IPアドレスを払い出すことが問題なく可能であること※の2点を注意する必要があります。
DHCPサーバーの仕様によっては端末のVLANが切り替わった後も暫定IPアドレスを払い出し続ける場合があります。

認証ページリダイレクト

  • 認証ページリダイレクトを使用する場合、認証ページのポート番号には、認証ページにリダイレクトするプロトコル(HTTP/HTTPS/HTTP-Proxy)以外のポート番号(ex. 8080など)を使用する必要があります。

機能紹介

APRESIA設定例TOPへ戻る

関連情報