認証バイパスの構成例と設定例
認証バイパスの構成例と設定例を示します。
DHCP/DNSの認証バイパスの設定例
未認証クライアントからのDHCPパケットとDNSパケットを認証バイパスする場合の構成例と設定例を示します。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。
- 拡張IPアクセスリスト「Example-IPv4-EX-ACL」
- 宛先UDPポート番号[67]を認証バイパス
- 宛先TCP/UDPポート番号[53]を認証バイパス
- 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
- 認証バイパス設定のために、拡張IPアクセスリスト[Example-IPv4-EX-ACL]を作成し、以下のルールを設定します。
ルール10(authentication-bypass):宛先UDPポート番号[67]
ルール20(authentication-bypass):宛先TCPポート番号[53]
ルール21(authentication-bypass):宛先UDPポート番号[53]
sw1# configure terminal sw1(config)# ip access-list extended Example-IPv4-EX-ACL sw1(config-ip-ext-acl)# 10 permit authentication-bypass udp any any eq 67 sw1(config-ip-ext-acl)# 20 permit authentication-bypass tcp any any eq 53 sw1(config-ip-ext-acl)# 21 permit authentication-bypass udp any any eq 53 sw1(config-ip-ext-acl)# exit sw1(config)#
- 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# ip access-group Example-IPv4-EX-ACL in The remaining applicable IP related access entries are 253 sw1(config-if-port-range)# end sw1#
- 実施後のアクセスリスト関連の設定を以下に抜粋します。
# ACL ip access-list extended Example-IPv4-EX-ACL 3999 10 permit authentication-bypass udp any any eq bootps 20 permit authentication-bypass tcp any any eq domain 21 permit authentication-bypass udp any any eq domain interface port 1/0/1 ip access-group Example-IPv4-EX-ACL in interface port 1/0/2 ip access-group Example-IPv4-EX-ACL in interface port 1/0/3 ip access-group Example-IPv4-EX-ACL in interface port 1/0/4 ip access-group Example-IPv4-EX-ACL in interface port 1/0/5 ip access-group Example-IPv4-EX-ACL in
VLANの認証バイパスの設定例
特定のVLANからの通信を認証バイパスする場合の構成例と設定例を示します。この例では、IPパケット対象化機能を有効にした拡張MACアクセスリストを使用しています。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。
補 足
拡張MACアクセスリストのIPパケット対象化機能は、NP7000の1.07.01以降、NP5000の1.07.01以降、NP4000の1.03.01以降、NP2100の1.09.02以降、NP2000の1.09.01以降、NP2500の1.10.01以降でサポートしています。
補 足
MAC認証と関係なくCPU宛てにコピーされるパケットは、認証バイパスにマッチしてもCPUコピーされることに注意してください。
- IPパケット対象化機能を有効にした拡張MACアクセスリスト「Example-MAC-ACL」
- VLAN 50、VLAN 60からの通信を認証バイパス
- 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
- 拡張MACアクセスリストのIPパケット対象化機能を有効に設定します。
sw1# configure terminal sw1(config)# mac access-list enable ip-packets sw1(config)#
- 認証バイパス設定のために、拡張MACアクセスリスト「Example-MAC-ACL」を作成し、以下のルールを設定します。
ルール10(authentication-bypass):VLAN[50]
ルール20(authentication-bypass):VLAN[60]
sw1(config)# mac access-list extended Example-MAC-ACL sw1(config-mac-ext-acl)# 10 permit authentication-bypass any any vlan 50 sw1(config-mac-ext-acl)# 20 permit authentication-bypass any any vlan 60 sw1(config-mac-ext-acl)# exit sw1(config)#
- 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# mac access-group Example-MAC-ACL in The remaining applicable MAC access entries are 1790 sw1(config-if-port-range)# end sw1#
- 実施後のアクセスリスト関連の設定を以下に抜粋します。
# ACL mac access-list enable ip-packets mac access-list extended Example-MAC-ACL 7999 10 permit authentication-bypass any any vlan 50 20 permit authentication-bypass any any vlan 60 interface port 1/0/1 mac access-group Example-MAC-ACL in interface port 1/0/2 mac access-group Example-MAC-ACL in interface port 1/0/3 mac access-group Example-MAC-ACL in interface port 1/0/4 mac access-group Example-MAC-ACL in interface port 1/0/5 mac access-group Example-MAC-ACL in