第6編
AccessDefender

RADIUS認証

AccessDefenderでは、RADIUSサーバーを認証サーバーとして使用できます。

RADIUSサーバーを設定するには、radius-server hostコマンドを使用します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。

RADIUSサーバーグループを設定するには、aaa group server radiusコマンドを使用します。そして、serverコマンドで所属するRADIUSサーバーを指定します。

ベンダー独自属性によるVLAN ID、クラスIDの設定

認証成功後に動的にVLANを変更する場合やクラスIDを割り当てる場合は、認証成功時にApresiaNP シリーズに引き渡すVLAN IDおよびクラスID を、あらかじめRADIUSサーバーに登録しておく必要があります。VLAN IDおよびクラスIDをRADIUSサーバーに登録する際は、ベンダー独自属性(Vendor Specific Attribute)として登録します。なお、ベンダー独自属性の値は、アクセス許可属性として各ユーザーに紐付けて登録してください。

ユーザーからの認証要求を受信すると、ベンダー独自属性に設定したVLAN IDおよびクラスIDがApresiaNP シリーズに引き渡されます。動的にVLANを変更する場合やクラスIDを割り当てる場合に、RADIUSサーバーに登録するベンダー独自属性は以下のとおりです。

RADIUSサーバーに登録するベンダー独自属性
属性ベンダー独自属性値動的なVLAN変更の設定値クラスID割り当ての設定値
Vendor-Specific ベンダーID 278 278
ベンダー属性番号 192*1 193
割り当てるVLAN ID 割り当てるクラスID
属性の型 整数(INTEGER) 整数(INTEGER)

*1:ベンダー独自属性による動的なVLAN変更は、Web認証およびMAC認証のみサポートしています。

Tunnel-Private-Group-IdによるVLAN設定

MAC認証、Web認証、およびIEEE 802.1X認証において、 Tunnel-Private-Group-Idにより動的にVLANを変更する機能をサポートしています。

動的にVLANを変更する場合は、認証成功時にApresiaNP シリーズに引き渡すVLAN IDまたはVLAN名称を、あらかじめRADIUSサーバーに登録しておく必要があります。VLAN IDまたはVLAN名称をRADIUSサーバーに登録する際は、Tunnel-Private-Group-Idに登録します。なお、Tunnel-Private-Group-Idは、アクセス許可属性として各ユーザーに登録してください。

ユーザーからの認証要求を受信すると、Tunnel-Private-Group-Idに設定したVLAN IDまたはVLAN名称がApresiaNP シリーズに引き渡されます。Tunnel-Private-Group-Idにより動的にVLANを変更する場合に、RADIUSサーバーに登録する属性は以下のとおりです。

Tunnel-Private-Group-IdによるVLAN 変更で使用する属性
属性属性値設定値備考
Tunnel-Type 使用するトンネリングプロトコル 13(VLAN) 固定
Tunnel-Medium-Type データ転送媒体のプロトコル 6(IEEE 802) 固定
Tunnel-Private-Group-Id トンネルが属するグループID 割り当てるVLAN IDまたはVLAN名称 変更可能

AccessDefenderで使用するRADIUS属性

AccessDefenderでサポートしているRADIUS属性を以下に示します。

MAC認証、Web認証で使用するRADIUS属性
属性説明
User-Name 認証されるユーザー名
User-Password パスワード
NAS-IP-Address 認証要求しているRADIUSクライアントのIPアドレス(IPv4のみ)
Calling-Station-Id 認証端末のMACアドレス
NAS-Identifier 認証された端末が属しているVLAN ID
NAS-Port 認証端末が接続されているインターフェース番号
IEEE 802.1X認証で使用するRADIUS属性
属性説明
User-Name 認証されるユーザー名
NAS-IP-Address 認証要求しているオーセンティケーターのIPアドレス(IPv4のみ)
Framed-MTU サプリカントとオーセンティケーター間の最大フレームサイズ(1466固定)
NAS-Port サプリカントが接続されているオーセンティケーターのインターフェース番号
NAS-Port-Type ユーザー認証に使用しているインターフェースのタイプ(Ethernet(15)固定)
Service-Type 提供するサービスタイプ(Framed(2)固定)
Calling-Station-Id サプリカントのMACアドレス
EAP-Message EAPメッセージの送受信に使用
Message-Authenticator RADIUSパケットの内容を保証するために使用
State オーセンティケーターとRADIUSサーバー間のState情報の保持
Tunnel-Type 動的VLAN割り当て用応答属性(VLAN(13)に設定)
Tunnel-Medium-Type 動的VLAN割り当て用応答属性(IEEE 802(6)に設定)
Tunnel-Private-Group-Id 動的VLAN割り当て用応答属性(割り当てるVLAN IDまたはVLAN名称)

NAS属性による制限

NAS(Network Access Server)属性による制限

RADIUSサーバーの以下のNAS属性を設定すると、ユーザーアカウントごとにアクセスできる内部ネットワークを制限できます。各属性を単独で設定して制限するだけでなく、属性を組み合わせて制限することもできます。設定できるNAS属性は、以下のとおりです。

NAS-IP-Address

NAS-IP-Addressは、認証クライアントが接続している装置のIPアドレスです。そのユーザーアカウントでは、登録した装置に接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。

NAS-IP-Address設定時のアクセス制限

NAS-Port

NAS-Portは、認証クライアントが接続している装置のポートです。そのユーザーアカウントでは、登録したポートに接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。

NAS-Port設定時のアクセス制限

NAS-Identifier

NAS-Identifierは、認証クライアントが接続している装置の該当ポートのVLAN IDです。そのユーザーアカウントでは、登録したVLAN IDに接続している認証クライアントで認証を行った場合のみ、内部ネットワークへのアクセスを許可します。

NAS-Identifier設定時のアクセス制限

ページトップへ