AccessDefender(ネットワーク認証機能)
Web認証(SSL対応)
構成
設定例(AEOS8)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 192.168.1.100 local0 notice | syslogサーバの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt" ・暫定VLAN : "temp" |
| interface port 1/1-46
switchport access vlan 4094 |
ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。 |
| interface lag 1
switchport mode trunk link-aggregation 1 |
Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。 |
| interface vlan 100
ip address 192.168.100.1/24 |
管理用VLANのアドレス設定 |
| interface vlan 4094
ip address 10.0.0.1/16 |
暫定VLANのアドレス設定 ※暫定VLAN用DHCPサーバー設定のために必要です。 ※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。 |
| ip route 0.0.0.0/0 192.168.100.254 | デフォルトルートの設定 |
- ※
- MAC認証設定例(AEOS8)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。
| ■ AccessDefender設定 | |
|---|---|
| packet-filter2
2 assign port 1/1-46 |
packet-filter2の設定
・DHCPサーバーへの通信許可 |
| aaa radius 1 host 192.168.1.200 key apresia aaa authentication web radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・Web認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| web-authentication enable | Web認証の有効化 |
| dhcp policy temp
network 10.0.0.0/16 dhcp server address-check arp dhcp server enable |
暫定VLAN用DHCPサーバーの設定 ・リース時間(10秒) ※ 設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。 ※ 認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。 |
設定例(AEOS7)
| 基本設定 | |
|---|---|
| hostname A-Def | ホスト名の設定 |
| logging ip 192.168.1.100 local0 notice | syslogサーバの設定 |
| vlan database
vlan 10 name v10 |
VLANの設定 ・ユーザー所属VLAN名 : "v10","v20" ・管理用VLAN名 : "mgmt" ・暫定VLAN : "temp" |
| interface port 1-44
switchport access vlan 4094 interface port 45-46
media utp |
ユーザー向け物理インタフェース(port 1-46)の設定 ※暫定VLANをaccessポートとして設定します。 ※認証前のポートは孤立状態のため、未認証端末同士も通信不可です。 ※認証成功時にRADIUSサーバーからVIDが返答された場合、認証端末が所属するVLANが変更されます。 |
| interface port 47-48
utp auto-negotiation disable |
Uplink向け物理インターフェース(port 47-48)の設定 ※DVLANによる接続が想定される全VLANをTrunk設定します。 ※link-aggregationを組むため全IFのポート速度を固定します。 |
| interface vlan 100
ip address 192.168.100.1/24 |
管理用VLANのアドレス設定 |
| interface vlan 4094
ip address 10.0.0.1/16 |
暫定VLANのアドレス設定 ※暫定VLAN用DHCPサーバー設定のために必要です。 ※暫定VLANは全スイッチで同一のためアドレス重複を避ける必要があります。 |
| ip route 0.0.0.0/0 192.168.100.254 | デフォルトルートの設定 |
- ※
- MAC認証設定例(AEOS7)の基本設定との差分は、暫定VLAN用DHCPサーバーの設定のために必要となる暫定VLANのIPアドレス設定のみです。
| ■ AccessDefender設定 | |
|---|---|
| packet-filter2
2 assign port 1-46 |
packet-filter2の設定 ・DHCPサーバーへの通信許可 ※Web認証でDHCP環境の場合は必須の設定となります。 ※ARPはWeb認証有効時には自動的に許可されます。 ・DNSサーバーへの通信許可 ※HTTPをトリガとした認証ページリダイレクトを利用するには認証前に任意のサイトへ名前の解決をする必要があります。 |
| aaa radius 1 host 192.168.1.200 key apresia aaa authentication web radius 1 |
RADIUSサーバー#1(プライマリ)の設定 ・Web認証にRADIUSサーバー#1を使用 |
| access-defender
packet-filter2 max-rule 128 |
AccessDefenderの設定
・最大認証端末(128台) |
| web-authentication enable | Web認証の有効化 |
| dhcp policy temp
network 10.0.0.0/16 dhcp server address-check arp dhcp server enable |
暫定VLAN用DHCPサーバーの設定 ・リース時間(10秒) ※設定するDHCPサーバーのリース空間は、認証スイッチ毎に変える必要があります。 ※認証ページリダイレクトを利用するにはDNSサーバーのオプションを利用してください。 |
設定項目一覧
★:必須設定項目
| No. | 項目 | デフォルト設定 | 備考 |
|---|---|---|---|
| 1 | AccessDefender有効化★ | disable | |
| 2 | RADIUSサーバー
INDEX★ |
なし なし 1812 3秒 3回 なし なし なし なし なし |
1~8 1~65535 1~30秒 1~5回 最大127文字 1~8 1~1440分 |
| 3 | 認証ポート★ | なし | |
| 4 | 認証Webページ
HTTPポート番号★ |
なし なし なし なし なし なし なし |
1~65535 1~65535 最大255文字 ポート80 ポート443 1~65535 |
| 5 | ログアウト条件
エージング |
0秒 0秒 |
10秒~1ヶ月 10秒~1ヶ月 |
| 6 | 最大接続台数
ポート番号 |
なし なし なし |
|
| 7 | SSL用秘密鍵(鍵長) | 1024bit | 512~2048bit |
| 8 | syslog(IP/facility/priority) | なし | |
| 9 | packet-filter2 強制転送(認証バイパス) | なし |
補足事項
基本設定
- Web認証でDHCP環境の場合は、Web認証前にDHCPサーバーからIPアドレスを取得する必要があるため、packet-filter2によるDHCPの強制通信許可が必要です。(ARPは自動的に通信が許可されます。)
- Web認証を行なう場合は、以下の理由により上位L3スイッチへの暫定VLANの設定が必須となります。
- ユーザーが認証ページ(http://192.0.2.3:8080/)を表示するための通信が、認証L2スイッチの暫定VLANを通過するようにするため。
- 認証ページリダイレクトを行なう際に、ユーザーの任意のHTTP通信が、認証L2スイッチの暫定VLANを通過するようにするため。
Dynamic VLAN
- Dynamic VLANでありなしの区別はRADIUSのユーザー情報にVLAN IDを指定するための属性(VSA:NA-Vlan-ID)のありなしのみで区別されるため、APRESIAに特別な設定をする必要はありません。
- FreeRadiusのdictionaryファイルの設定例はMAC認証と同様です。
RADIUSユーザー登録
- FreeRadiusのusersファイルの設定例は以下の通りです。
# ポートに設定済みのVLAN 4094に収容 user00 Cleartext-Password := "user00-password" # VLAN 10に収容 user10 Cleartext-Password := "user10-password" NA-Vlan-Id = 10 # VLAN 20に収容 user20 Cleartext-Password := "user20-password" NA-Vlan-Id = 20 ・・・
IPアドレス割り当てについての注意点
- Web認証でDynamic VLANを使用する場合、認証前と認証後のIPアドレスを切り替える必要がありますが、この切り替えは認証前のIPアドレスを暫定DHCPサーバーから払い出す際に、リースタイムを短く設定することで行ないます。
- 上記に伴い、Web認証でDynamic VLANを使用するポートにおいて、Dynamic VLANではなくポートに設定済みのVLAN(固定VLAN)に収容する機器は、リースタイムを短くした暫定DHCPサーバーでIPアドレス割り当てるか、またはあらかじめ固定IPアドレスを割り当てることで運用する必要があります。
- 本設定例では暫定DHCPサーバーを認証L2スイッチ内部に持たせておりますが、認証L2スイッチ外部に持たせても問題ありません。ただし暫定DHCPサーバーと正規DHCPサーバーを同じDHCPサーバーとする場合は、同サーバーがプール毎にリースタイムを分けることが可能であること、および同サーバーがある端末に暫定IPアドレスを払い出した後、同じ端末に正規IPアドレスを払い出すことが問題なく可能であること※の2点を注意する必要があります。
- ※
- DHCPサーバーの仕様によっては端末のVLANが切り替わった後も暫定IPアドレスを払い出し続ける場合があります。
認証ページリダイレクト
- 認証ページリダイレクトを使用する場合、認証ページのポート番号には、認証ページにリダイレクトするプロトコル(HTTP/HTTPS/HTTP-Proxy)以外のポート番号(ex. 8080など)を使用する必要があります。