ページの本文へ

設定例3:WEB認証(SSL対応)

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
・暫定VLAN : "temp"
interface port 1/1-46
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※ 認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface lag 1
 switchport mode trunk
 switchport trunk add 10,20,100,4094
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
interface vlan 4094
 ip address 10.0.0.1/16
暫定VLANのアドレス設定
※ 暫定VLAN用DHCPサーバー設定のために必要です。
※ 暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定

※MAC認証設定例(AEOS8)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。

■ AccessDefender設定
packet-filter2
 2 assign port 1/1-46
 2 1 condition ipv4 dst tcp/udp 67 udp
 2 1 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはWEB認証有効時には自動的に許可されます。
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 1/1-46
 web-authentication redirect url http://192.0.2.3:8080
 web-authentication redirect http
 web-authentication ip 192.0.2.3
 web-authentication http-port 8080
 logout aging-time 300 0 0 0
AccessDefenderの設定
・最大認証端末(128台)
・WEB認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://192.0.2.3:8080/)
・ログアウト(エージング:300秒)
web-authentication enable WEB認証の有効化
dhcp policy temp
 network 10.0.0.0/16
 range 1 10.0.0.10 10.0.0.20
 router 10.0.0.254
 lease 10
dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。
※ 認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 20 name v20
 vlan 100 name mgmt
 vlan 4094 name temp
VLANの設定
・ユーザー所属VLAN名 : "v10","v20"
・管理用VLAN名 : "mgmt"
暫定VLAN : "temp"
interface port 1-44
 switchport access vlan 4094
interface port 45-46
 media utp
 switchport access vlan 4094
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
※ 認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。
interface port 47-48
 utp auto-negotiation disable
 utp link-speed-duplex 100m/full
 media utp
 switchport mode trunk
 switchport trunk add 10,20,100,4094
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ DVLANによる接続が想定される全VLANをTrunk設定します。
※ link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
interface vlan 4094
 ip address 10.0.0.1/16
暫定VLANのアドレス設定
※ 暫定VLAN用DHCPサーバー設定のために必要です。
※ 暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定

※MAC認証設定例(AEOS7)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。

■ AccessDefender設定
packet-filter2
 2 assign port 1-46
 2 1 condition ipv4 dst tcp/udp 67 udp
 2 1 action authentication-bypass
 2 2 condition ipv4 dst tcp/udp 53
 2 2 action authentication-bypass
packet-filter2の設定
・DHCPサーバーへの通信許可
※ WEB認証でDHCP環境の場合は必須の設定となります。
※ ARPはWEB認証有効時には自動的に許可されます。

・DNSサーバーへの通信許可
※ HTTPをトリガとした認証ページリダイレクトを利用するには認証前に任意のサイトへ名前の解決をする必要があります。
aaa radius 1 host 192.168.1.200 key apresia
aaa authentication web radius 1
RADIUSサーバー#1(プライマリ)の設定
・WEB認証にRADIUSサーバー#1を使用
access-defender
 packet-filter2 max-rule 128
 web-authentication port 1-46
 web-authentication redirect url http://192.0.2.3:8080
 web-authentication redirect http
 web-authentication ip 192.0.2.3
 web-authentication http-port 8080
 logout aging-time 300 0 0 0
AccessDefenderの設定
・最大認証端末(128台)
・WEB認証ポート(1-46)
・認証ページリダイレクト(httpアクセスは認証URLにリダイレクト)
・認証URL(http://192.0.2.3:8080/)
・ログアウト(エージング:300秒)
web-authentication enable WEB認証の有効化
dhcp policy temp
 network 10.0.0.0/16
 range 1 10.0.0.10 10.0.0.20
 router 10.0.0.254
 lease 10
dhcp policy enable temp
dhcp server address-check arp
dhcp server enable
暫定VLAN用DHCPサーバーの設定
・リース時間(10秒)
※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。
※ 認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。

設定項目一覧

★:必須設定項目

No. 項目 デフォルト設定 備考
1 AccessDefender有効化★ disable
2 RADIUSサーバー
 INDEX★
 IPアドレス★
 UDPポート番号
 タイムアウト時間
 リトライ回数
 共有鍵(シークレットキー)★
 Primary/Secondary指定★
 ローカル認証
 強制認証
 デッドタイム

なし
なし
1812
3秒
3回
なし
なし
なし
なし
なし

1~8

1~65535
1~30秒
1~5回
最大127文字
1~8



1~1440分
3 認証ポート★ なし  
4 認証Webページ
 HTTPポート番号★
 HTTPSポート番号★
 認証用IPアドレス(URL)★
 リダイレクトURL
 リダイレクト対象ポート(HTTP)
 リダイレクト対象ポート(HTTPS)
 リダイレクト対象ポート(Proxy)

なし
なし
なし
なし
なし
なし
なし

1~65535
1~65535

最大255文字
ポート80
ポート443
1~65535
5 ログアウト条件
 エージング
 接続時間

0秒
0秒

10秒~1ヶ月
10秒~1ヶ月
6 最大接続台数
 ポート番号
 1ポートあたり
 装置あたり★

なし
なし
なし
 
7 SSL用秘密鍵(鍵長) 1024bit 512~2048bit
8 syslog(IP/facility/priority) なし  
9 packet-filter2 強制転送(認証バイパス) なし  

補足事項

基本設定

  • WEB認証でDHCP環境の場合は、WEB認証前にDHCPサーバーからIPアドレスを取得する必要があるため、packet-filter2によるDHCPの強制通信許可が必要です。(ARPは自動的に通信が許可されます。)
  • WEB認証を行なう場合は、以下の理由により上位L3スイッチへの暫定VLANの設定が必須となります。
    • ユーザーが認証ページ(http://192.0.2.3:8080/)を表示するための通信が、認証L2スイッチの暫定VLANを通過するようにするため。
    • 認証ページリダイレクトを行なう際に、ユーザーの任意のHTTP通信が、認証L2スイッチの暫定VLANを通過するようにするため。

Dynamic VLAN

  • Dynamic VLANでありなしの区別はRADIUSのユーザー情報にVLAN IDを指定するための属性(VSA:NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
  • FreeRadiusのdictionaryファイルの設定例はMAC認証と同様です。

RADIUSユーザ登録

  • FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容
user00 Cleartext-Password := "user00-password"
# VLAN 10に収容
user10 Cleartext-Password := "user10-password"
NA-Vlan-Id = 10
# VLAN 20に収容
user20 Cleartext-Password := "user20-password"
NA-Vlan-Id = 20

IPアドレス割り当てについての注意点

  • WEB認証でDynamic VLANを使用する場合、認証前と認証後のIPアドレスを切り替える必要がありますが、この切り替えは認証前のIPアドレスを暫定DHCPサーバーから払い出す際に、リースタイムを短く設定することで行ないます。
  • 上記に伴い、WEB認証でDynamic VLANを使用するポートにおいて、Dynamic VLANではなくポートに設定済みのVLAN(固定VLAN)に収容する機器は、リースタイムを短くした暫定DHCPサーバーでIPアドレス割り当てるか、またはあらかじめ固定IPアドレスを割り当てることで運用する必要があります。
  • 本設定例では暫定DHCPサーバーを認証L2スイッチ内部に持たせておりますが、認証L2スイッチ外部に持たせても問題ありません。ただし暫定DHCPサーバーと正規DHCPサーバーを同じDHCPサーバーとする場合は、同サーバーがプール毎にリースタイムを分けることが可能であること、および同サーバーがある端末に暫定IPアドレスを払い出した後、同じ端末に正規IPアドレスを払い出すことが問題なく可能であることの2点を注意する必要があります。
DHCPサーバーの仕様によっては端末のVLANが切り替わった後も暫定IPアドレスを払い出し続ける場合があります。

認証ページリダイレクト

  • 認証ページリダイレクトを使用する場合、認証ページのポート番号には、認証ページにリダイレクトするプロトコル(HTTP/HTTPS/HTTP-Proxy)以外のポート番号(ex. 8080など)を使用する必要があります。
ページの先頭へ