第6編
AccessDefender

認証バイパスの構成例と設定例

認証バイパスの構成例と設定例を示します。

DHCP/DNSの認証バイパスの設定例

未認証クライアントからのDHCPパケットとDNSパケットを認証バイパスする場合の構成例と設定例を示します。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。

  • 拡張IPアクセスリスト「Example-IPv4-EX-ACL」
  • 宛先UDPポート番号[67]を認証バイパス
  • 宛先TCP/UDPポート番号[53]を認証バイパス
  • 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
  • 認証バイパス設定のために、拡張IPアクセスリスト[Example-IPv4-EX-ACL]を作成し、以下のルールを設定します。

    ルール10(authentication-bypass):宛先UDPポート番号[67]

    ルール20(authentication-bypass):宛先TCPポート番号[53]

    ルール21(authentication-bypass):宛先UDPポート番号[53]

    sw1# configure terminal 
    sw1(config)# ip access-list extended Example-IPv4-EX-ACL
    sw1(config-ip-ext-acl)# 10 permit authentication-bypass udp any any eq 67 
    sw1(config-ip-ext-acl)# 20 permit authentication-bypass tcp any any eq 53 
    sw1(config-ip-ext-acl)# 21 permit authentication-bypass udp any any eq 53
    sw1(config-ip-ext-acl)# exit
    sw1(config)#
  • 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# ip access-group Example-IPv4-EX-ACL in
    
    The remaining applicable IP related access entries are 253
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    
    ip access-list extended Example-IPv4-EX-ACL 3999
     10 permit authentication-bypass udp any any eq bootps
     20 permit authentication-bypass tcp any any eq domain
     21 permit authentication-bypass udp any any eq domain 
    interface port 1/0/1
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/2
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/3
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/4
     ip access-group Example-IPv4-EX-ACL in 
    interface port 1/0/5
     ip access-group Example-IPv4-EX-ACL in

VLANの認証バイパスの設定例

特定のVLANからの通信を認証バイパスする場合の構成例と設定例を示します。なお、本設定例ではVLANやIP、AccessDefender関連の設定は省略します。

この例では、対象をIPv4パケットと想定して拡張エキスパートアクセスリストを使用していますが、拡張MACアクセスリストのIPパケット対象化機能に対応している機種の場合は、拡張MACアクセスリストでも可能です。

補 足

拡張MACアクセスリストのIPパケット対象化機能は、NP7000の1.07.01以降、NP5000の1.07.01以降、NP2100の1.09.02以降、およびNP2000の1.09.01以降でサポートしています。

  • 拡張エキスパートアクセスリスト「Example-EX-ACL」
  • VLAN 50、VLAN 60からの通信を認証バイパス
  • 認証バイパスを適用するポートは、ポート1/0/1からポート1/0/5
  • 認証バイパス設定のために、拡張エキスパートアクセスリスト[Example-EX-ACL]を作成し、以下のルールを設定します。

    ルール10(authentication-bypass):VLAN[50]

    ルール20(authentication-bypass):VLAN[60]

    sw1# configure terminal 
    sw1(config)# expert access-list extended Example-EX-ACL
    sw1(config-exp-nacl)# 10 permit authentication-bypass any any any any vlan 50
    sw1(config-exp-nacl)# 20 permit authentication-bypass any any any any vlan 60
    sw1(config-exp-nacl)# exit
    sw1(config)#
  • 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# expert access-group Example-EX-ACL in
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    
    expert access-list extended Example-EX-ACL 9999
     10 permit authentication-bypass any any any any vlan 50
     20 permit authentication-bypass any any any any vlan 60 
    interface port 1/0/1
     expert access-group Example-EX-ACL in 
    interface port 1/0/2
     expert access-group Example-EX-ACL in 
    interface port 1/0/3
     expert access-group Example-EX-ACL in 
    interface port 1/0/4
     expert access-group Example-EX-ACL in 
    interface port 1/0/5
     expert access-group Example-EX-ACL in

ページトップへ