第6編
AccessDefender

認証バイパスの構成例と設定例

認証バイパスの構成例と設定例を示します。

DHCP/DNSの認証バイパスの設定例

未認証クライアントからのDHCPパケットとDNSパケットを認証バイパスする場合の構成例と設定例を示します。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。

  • 拡張IPアクセスリスト「Example-IPv4-EX-ACL」
  • 宛先UDPポート番号[67]を認証バイパス
  • 宛先TCP/UDPポート番号[53]を認証バイパス
  • 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
  • 認証バイパス設定のために、拡張IPアクセスリスト[Example-IPv4-EX-ACL]を作成し、以下のルールを設定します。

    ルール10(authentication-bypass):宛先UDPポート番号[67]

    ルール20(authentication-bypass):宛先TCPポート番号[53]

    ルール21(authentication-bypass):宛先UDPポート番号[53]

    sw1# configure terminal 
    sw1(config)# ip access-list extended Example-IPv4-EX-ACL
    sw1(config-ip-ext-acl)# 10 permit authentication-bypass udp any any eq 67 
    sw1(config-ip-ext-acl)# 20 permit authentication-bypass tcp any any eq 53 
    sw1(config-ip-ext-acl)# 21 permit authentication-bypass udp any any eq 53
    sw1(config-ip-ext-acl)# exit
    sw1(config)#
  • 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# ip access-group Example-IPv4-EX-ACL in
    
    The remaining applicable IP related access entries are 253
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    
    ip access-list extended Example-IPv4-EX-ACL 3999
     10 permit authentication-bypass udp any any eq bootps
     20 permit authentication-bypass tcp any any eq domain
     21 permit authentication-bypass udp any any eq domain 
    interface port 1/0/1
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/2
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/3
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/4
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/5
     ip access-group Example-IPv4-EX-ACL in

VLANの認証バイパスの設定例

特定のVLANからの通信を認証バイパスする場合の構成例と設定例を示します。この例では、IPパケット対象化機能を有効にした拡張MACアクセスリストを使用しています。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。

補 足

拡張MACアクセスリストのIPパケット対象化機能は、NP7000の1.07.01以降、NP5000の1.07.01以降、NP4000の1.03.01以降、NP2100の1.09.02以降、NP2000の1.09.01以降、NP2500の1.10.01以降でサポートしています。

補 足

MAC認証と関係なくCPU宛てにコピーされるパケットは、認証バイパスにマッチしてもCPUコピーされることに注意してください。

  • IPパケット対象化機能を有効にした拡張MACアクセスリスト「Example-MAC-ACL」
  • VLAN 50、VLAN 60からの通信を認証バイパス
  • 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
  • 拡張MACアクセスリストのIPパケット対象化機能を有効に設定します。
    sw1# configure terminal
    sw1(config)# mac access-list enable ip-packets
    sw1(config)#
  • 認証バイパス設定のために、拡張MACアクセスリスト「Example-MAC-ACL」を作成し、以下のルールを設定します。

    ルール10(authentication-bypass):VLAN[50]

    ルール20(authentication-bypass):VLAN[60]

    sw1(config)# mac access-list extended Example-MAC-ACL
    sw1(config-mac-ext-acl)# 10 permit authentication-bypass any any vlan 50
    sw1(config-mac-ext-acl)# 20 permit authentication-bypass any any vlan 60
    sw1(config-mac-ext-acl)# exit
    sw1(config)#
  • 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# mac access-group Example-MAC-ACL in
    
    The remaining applicable MAC access entries are 1790
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    mac access-list enable ip-packets
    mac access-list extended Example-MAC-ACL 7999
     10 permit authentication-bypass any any vlan 50
     20 permit authentication-bypass any any vlan 60
    interface port 1/0/1
     mac access-group Example-MAC-ACL in
    interface port 1/0/2
     mac access-group Example-MAC-ACL in
    interface port 1/0/3
     mac access-group Example-MAC-ACL in
    interface port 1/0/4
     mac access-group Example-MAC-ACL in
    interface port 1/0/5
     mac access-group Example-MAC-ACL in

ページトップへ