AccessDefenderの認証方式の構成例と設定例
AccessDefenderの認証方式の構成例と設定例を示します。
複数のRADIUSサーバーを使用する場合
複数のRADIUSサーバーを使用する場合の構成例と設定例を示します。所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に、設定した順番に登録されます。登録リストの先頭のRADIUSサーバーから問い合わせが行われ、タイムアウトなどで応答がない場合には次に登録されたRADIUSサーバーに問い合わせます。
| 項目 | 設定 |
|---|---|
| RADIUS認証 | デフォルトのRADIUSサーバーグループ「radius」で使用 |
| RADIUSサーバー |
|
| RADIUSサーバー |
|
| RADIUSサーバー |
|
| 認証クライアントの最大数 | 256 |
| MAC認証有効ポート | ポート1/0/1からポート1/0/5 |
| MAC認証用パスワード | apresia-mac |
複数のRADIUSサーバーを使用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication mac-auth default group radius sw1(config)#
- 以下のRADIUSサーバーを設定します。所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
IPアドレス[172.16.1.101]、共有鍵[apresia]
IPアドレス[172.16.1.111]、共有鍵[aabbcc]
IPアドレス[172.16.1.121]、共有鍵[testtest]
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)# radius-server host 172.16.1.111 key aabbcc sw1(config)# radius-server host 172.16.1.121 key testtest sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でMAC認証を有効に、MAC認証用パスワードを[apresia-mac]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 mac sw1(config-a-def)# mac-authentication password apresia-mac mac sw1(config-a-def)# exit sw1(config)#
- MAC認証を有効にします。
sw1(config)# mac-authentication enable sw1(config)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia radius-server host 172.16.1.111 key aabbcc radius-server host 172.16.1.121 key testtest aaa authentication mac-auth default group radius # ACCESS-DEFENDER access-defender total-client 256 # MAC-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 mac mac-authentication password apresia-mac mac mac-authentication enable
ユーザー設定グループでRADIUSを使用する場合
ユーザー設定グループでRADIUSを使用する場合の構成例と設定例を示します。この例では、ユーザーが設定したRADIUSサーバーグループ「AP_RAD_1」にRADIUSサーバーを登録して使用しています。登録リストの先頭のRADIUSサーバーから問い合わせが行われ、タイムアウトなどで応答がない場合には次に登録されたRADIUSサーバーに問い合わせます。
| 項目 | 設定 |
|---|---|
| RADIUS認証 | ユーザーが設定したRADIUSサーバーグループ「AP_RAD_1」で使用 |
| RADIUSサーバー |
|
| RADIUSサーバー |
|
| RADIUSサーバー |
|
| 認証クライアントの最大数 | 256 |
| MAC認証有効ポート | ポート1/0/1からポート1/0/5 |
| MAC認証用パスワード | apresia-mac |
ユーザー設定グループでRADIUSを使用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。
sw1(config)# aaa new-model sw1(config)#
- 以下のRADIUSサーバーを設定します。所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
IPアドレス[172.16.1.101]、共有鍵[apresia]
IPアドレス[172.16.1.111]、共有鍵[aabbcc]
IPアドレス[172.16.1.121]、共有鍵[testtest]
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)# radius-server host 172.16.1.111 key aabbcc sw1(config)# radius-server host 172.16.1.121 key testtest sw1(config)#
- RADIUSサーバーグループ「AP_RAD_1」を作成し、前の手順で設定したRADIUSサーバーを、このグループに所属するように設定します。
sw1(config)# aaa group server radius AP_RAD_1 sw1(config-sg-radius)# server 172.16.1.101 sw1(config-sg-radius)# server 172.16.1.111 sw1(config-sg-radius)# server 172.16.1.121 sw1(config-sg-radius)# exit sw1(config)#
- MAC認証で使用する認証方式リストを、ユーザー設定のRADIUSサーバーグループ「AP_RAD_1」に指定します。
sw1(config)# aaa authentication mac-auth default group AP_RAD_1 sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でMAC認証を有効に、MAC認証用パスワードを[apresia-mac]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 mac sw1(config-a-def)# mac-authentication password apresia-mac mac sw1(config-a-def)# exit sw1(config)#
- MAC認証を有効にします。
sw1(config)# mac-authentication enable sw1(config)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia radius-server host 172.16.1.111 key aabbcc radius-server host 172.16.1.121 key testtest aaa group server radius AP_RAD_1 server 172.16.1.101 server 172.16.1.111 server 172.16.1.121 aaa authentication mac-auth default group AP_RAD_1 # ACCESS-DEFENDER access-defender total-client 256 # MAC-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 mac mac-authentication password apresia-mac mac mac-authentication enable
ローカルデータベースを使用する場合
ローカルデータベースを使用する場合の構成例と設定例を示します。この例では以下のように設定しています。
| 項目 | 設定 |
|---|---|
| MAC認証 | MAC認証でローカルデータベースを使用(デフォルト設定) |
| 認証クライアントの最大数 | 256 |
| MAC認証有効ポート | ポート1/0/1からポート1/0/5 |
| MAC認証用パスワード | apresia-mac |
ローカルデータベースを使用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを「ローカルデータベース(デフォルト設定)」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication mac-auth default local sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でMAC認証を有効に、MAC認証用パスワードを[apresia-mac]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 mac sw1(config-a-def)# mac-authentication password apresia-mac mac sw1(config-a-def)# exit sw1(config)#
- MAC認証を有効にします。
sw1(config)# mac-authentication enable sw1(config)#
- ローカルデータベースに、以下のユーザー情報を登録します。
ユーザー名[00005e005301]、パスワード[apresia-mac]
ユーザー名[00005e0053aa]、パスワード[apresia-mac]
sw1(config)# access-defender sw1(config-a-def)# aaa-local-db user 00005e005301 password apresia-mac sw1(config-a-def)# aaa-local-db user 00005e0053aa password apresia-mac sw1(config-a-def)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model # ACCESS-DEFENDER access-defender total-client 256 aaa-local-db user 00005e005301 password apresia-mac aaa-local-db user 00005e0053aa password apresia-mac # MAC-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 mac mac-authentication password apresia-mac mac mac-authentication enable
RADIUSとローカルデータベースを併用する場合
RADIUSとローカルデータベースを併用する場合の構成例と設定例を示します。この例ではaaa authentication control sufficientコマンドでMAC認証の移行条件変更機能を有効に設定して、タイムアウトだけでなく明示的に認証拒否(Access-Reject)された場合でも、次の認証方法に問い合わせるようにしています。
注 意
IEEE 802.1X認証では移行条件変更機能は使用できません。
| 項目 | 設定 |
|---|---|
| MAC認証の第1優先 | MAC認証の第1優先で、RADIUS認証をデフォルトのRADIUSサーバーグループ「radius」で使用 |
| RADIUSサーバー |
|
| MAC認証の第2優先 | MAC認証の第2優先で、ローカルデータベースを使用 |
| MAC認証の移行条件変更機能 | 有効 |
| 認証クライアントの最大数 | 256 |
| MAC認証有効ポート | ポート1/0/1からポート1/0/5 |
| MAC認証用パスワード | apresia-mac |
RADIUSとローカルデータベースを併用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、第1優先をデフォルトのRADIUSサーバーグループ「radius」に、第2優先を「ローカルデータベース」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication mac-auth default group radius local sw1(config)#
- RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)#
- MAC認証の移行条件変更機能を有効にします。
sw1(config)# aaa authentication control sufficient mac sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でMAC認証を有効に、MAC認証用パスワードを[apresia-mac]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 mac sw1(config-a-def)# mac-authentication password apresia-mac mac sw1(config-a-def)# exit sw1(config)#
- MAC認証を有効にします。
sw1(config)# mac-authentication enable sw1(config)#
- ローカルデータベースに、以下のユーザー情報を登録します。
ユーザー名[00005e005301]、パスワード[apresia-mac]
ユーザー名[00005e0053aa]、パスワード[apresia-mac]
sw1(config)# access-defender sw1(config-a-def)# aaa-local-db user 00005e005301 password apresia-mac sw1(config-a-def)# aaa-local-db user 00005e0053aa password apresia-mac sw1(config-a-def)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia aaa authentication mac-auth default group radius local aaa authentication control sufficient mac # ACCESS-DEFENDER access-defender total-client 256 aaa-local-db user 00005e005301 password apresia-mac aaa-local-db user 00005e0053aa password apresia-mac # MAC-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 mac mac-authentication password apresia-mac mac mac-authentication enable
