第6編
AccessDefender

OR認証(1ポート複数認証)の構成例と設定例

OR認証(1ポート複数認証)の構成例と設定例を示します。

同一ポートでMAC認証とWeb認証を使用する場合

同一ポートでMAC認証とWeb認証を使用する場合の構成例と設定例を示します。この例ではMAC認証とWeb認証は以下のように設定しています。

同一ポートでMAC認証とWeb認証を使用する場合の設定例
項目設定
RADIUS認証 デフォルトのRADIUSサーバーグループ「radius」で使用
RADIUSサーバー
  • IPアドレス:172.16.1.101
  • 共有鍵:apresia
※この設定例では、MAC認証もWeb認証も、同じRADIUSサーバーを使用
認証クライアントの最大数 256
MAC認証有効ポート ポート1/0/1からポート1/0/5
MAC認証用パスワード apresia-mac
MAC認証用エージングログアウト時間 1時間
Web認証有効ポート ポート1/0/1からポート1/0/5
認証用Webサーバー http://192.0.2.100:80/、またはhttps://192.0.2.100:443/
※HTTPプロトコル(80)とHTTPSプロトコル(443)はデフォルト有効
Web認証用エージングログアウト時間 1時間

同一ポートでMAC認証とWeb認証を使用する場合の構成例

  • VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
    sw1# configure terminal 
sw1(config)# vlan 10,100
sw1(config-vlan)# exit
sw1(config)# 
sw1(config)# interface range port 1/0/1-5
sw1(config-if-port-range)# switchport mode access 
sw1(config-if-port-range)# switchport access vlan 10
sw1(config-if-port-range)# exit
sw1(config)# 
sw1(config)# interface port 1/0/49
sw1(config-if-port)# switchport mode trunk 
sw1(config-if-port)# switchport trunk allowed vlan 10,100
sw1(config-if-port)# exit
sw1(config)#
  • VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
    sw1(config)# interface vlan 100
sw1(config-if-vlan)# ip address 192.168.100.100/24
sw1(config-if-vlan)# exit
sw1(config)# ip route 0.0.0.0/0 192.168.100.254
sw1(config)#
  • 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に、Web認証で使用する認証方式リスト[ID:1]を、デフォルトのRADIUSサーバーグループ「radius」に指定します。
    sw1(config)# aaa new-model 
sw1(config)# aaa authentication mac-auth default group radius 
sw1(config)# aaa authentication web-auth 1 default group radius 
sw1(config)#
  • RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
    sw1(config)# radius-server host 172.16.1.101 key apresia
sw1(config)#
  • AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
    sw1(config)# access-defender
sw1(config-a-def)# total-client 256
sw1(config-a-def)#
  • ポート1/0/1からポート1/0/5でMAC認証とWeb認証を有効に設定します。
    sw1(config-a-def)# authentication interface port 1/0/1-5 mac
sw1(config-a-def)# authentication interface port 1/0/1-5 web
sw1(config-a-def)#
  • MAC認証用パスワードを[apresia-mac]に設定します。また、MAC認証用のエージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# mac-authentication password apresia-mac mac
sw1(config-a-def)# logout aging-time 0 0 1 mac
sw1(config-a-def)#
  • 認証用WebサーバーのIPアドレスを[192.0.2.100]に設定します。装置の認証用Webサーバーでは、HTTPプロトコル(TCPポート番号80)とHTTPSプロトコル(TCPポート番号443)はデフォルト有効になっています。また、Web認証用のエージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100
sw1(config-a-def)# logout aging-time 0 0 1 web
sw1(config-a-def)# exit
sw1(config)#
  • MAC認証とWeb認証を有効にします。
    sw1(config)# mac-authentication enable 
sw1(config)# web-authentication enable 
sw1(config)# end
sw1#
  • 実施後のAccessDefender関連の設定を以下に抜粋します。
    # AAA

aaa new-model
radius-server host 172.16.1.101 key apresia
aaa authentication mac-auth default group radius
aaa authentication web-auth 1 default group radius

# ACCESS-DEFENDER

access-defender
 total-client 256
 logout aging-time 0 0 1 mac
 logout aging-time 0 0 1 web

# WEB-AUTHENTICATION

access-defender
 authentication interface port 1/0/1-1/0/5 web
 web-authentication http-ip ipv4 192.0.2.100
web-authentication enable

# MAC-AUTHENTICATION

access-defender
 authentication interface port 1/0/1-1/0/5 mac
 mac-authentication password apresia-mac mac
mac-authentication enable

同一ポートでMAC認証とIEEE 802.1X認証を使用する場合

同一ポートでMAC認証とIEEE 802.1X認証を使用する場合の構成例と設定例を示します。この例ではMAC認証とIEEE 802.1X認証は以下のように設定しています。

同一ポートでMAC認証とIEEE 802.1X認証を使用する場合の設定例
項目設定
RADIUS認証 デフォルトのRADIUSサーバーグループ「radius」で使用
RADIUSサーバー
  • IPアドレス:172.16.1.101
  • 共有鍵:apresia
※この設定例では、MAC認証もIEEE 802.1X認証も、同じRADIUSサーバーを使用
認証クライアントの最大数 256
MAC認証有効ポート ポート1/0/1からポート1/0/5
MAC認証用パスワード apresia-mac
MAC認証用エージングログアウト時間 1時間
IEEE 802.1X認証有効ポート ポート1/0/1からポート1/0/5
IEEE 802.1X認証用エージングログアウト時間 1時間

同一ポートでMAC認証とIEEE 802.1X認証を使用する場合の構成例

  • VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
    sw1# configure terminal 
sw1(config)# vlan 10,100
sw1(config-vlan)# exit
sw1(config)# 
sw1(config)# interface range port 1/0/1-5
sw1(config-if-port-range)# switchport mode access 
sw1(config-if-port-range)# switchport access vlan 10
sw1(config-if-port-range)# exit
sw1(config)# 
sw1(config)# interface port 1/0/49
sw1(config-if-port)# switchport mode trunk 
sw1(config-if-port)# switchport trunk allowed vlan 10,100
sw1(config-if-port)# exit
sw1(config)#
  • VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
    sw1(config)# interface vlan 100
sw1(config-if-vlan)# ip address 192.168.100.100/24
sw1(config-if-vlan)# exit
sw1(config)# ip route 0.0.0.0/0 192.168.100.254
sw1(config)#
  • 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に、IEEE 802.1X認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に指定します。
    sw1(config)# aaa new-model 
sw1(config)# aaa authentication mac-auth default group radius 
sw1(config)# aaa authentication dot1x default group radius 
sw1(config)#
  • RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
    sw1(config)# radius-server host 172.16.1.101 key apresia
sw1(config)#
  • AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
    sw1(config)# access-defender
sw1(config-a-def)# total-client 256
sw1(config-a-def)#
  • ポート1/0/1からポート1/0/5でMAC認証とIEEE 802.1X認証を有効に設定します。
    sw1(config-a-def)# authentication interface port 1/0/1-5 mac
sw1(config-a-def)# authentication interface port 1/0/1-5 dot1x
sw1(config-a-def)#
  • MAC認証用パスワードを[apresia-mac]に設定します。また、MAC認証用のエージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# mac-authentication password apresia-mac mac
sw1(config-a-def)# logout aging-time 0 0 1 mac
sw1(config-a-def)#
  • IEEE 802.1X認証用のエージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# logout aging-time 0 0 1 dot1x 
sw1(config-a-def)# exit
sw1(config)#
  • MAC認証とIEEE 802.1X認証を有効にします。
    sw1(config)# mac-authentication enable 
sw1(config)# dot1x enable 
sw1(config)# end
sw1#
  • 実施後のAccessDefender関連の設定を以下に抜粋します。
    # AAA

aaa new-model
radius-server host 172.16.1.101 key apresia
aaa authentication dot1x default group radius
aaa authentication mac-auth default group radius

# ACCESS-DEFENDER

access-defender
 total-client 256
 logout aging-time 0 0 1 mac
 logout aging-time 0 0 1 dot1x

# DOT1X

access-defender
 authentication interface port 1/0/1-1/0/5 dot1x
dot1x enable

# MAC-AUTHENTICATION

access-defender
 authentication interface port 1/0/1-1/0/5 mac
 mac-authentication password apresia-mac mac
mac-authentication enable

ページトップへ