ユーザーポリシーコントロールの構成例と設定例
ユーザーポリシーコントロールの構成例と設定例を示します。
特定のユーザーグループだけ認証後に優先度を上げる場合
特定のユーザーグループだけ認証後に優先度を上げる場合の構成例と設定例を示します。この例では、クラスID 105に分類されたトラフィックの優先度をCoS 5に変更しています。なお、この例では対象をIPv4パケットと想定して拡張エキスパートアクセスリストを使用します。
項目 | 設定 |
---|---|
RADIUS認証 | デフォルトのRADIUSサーバーグループ「radius」で使用 |
RADIUSサーバー |
|
認証クライアントの最大数 | 256 |
IEEE 802.1X認証有効ポート | ポート1/0/1からポート1/0/5 |
IEEE 802.1X認証のエージングログアウト時間 | 1時間 |
特定のユーザーグループだけ認証後に優先度を上げる場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、IEEE 802.1X認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication dot1x default group radius sw1(config)#
- RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でIEEE 802.1X認証を有効にします。また、エージングログアウト時間を[1時間]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 dot1x sw1(config-a-def)# logout aging-time 0 0 1 dot1x sw1(config-a-def)# exit sw1(config)#
- IEEE 802.1X認証を有効にします。
sw1(config)# dot1x enable sw1(config)#
- クラスマップ「CLASS-5」で使用する拡張エキスパートアクセスリスト[QOS-EX]を作成し、以下のルールを設定します。
ルール10(許可):クラスID[105]
sw1(config)# expert access-list extended QOS-EX sw1(config-exp-nacl)# 10 permit any any any any class 105 sw1(config-exp-nacl)# exit sw1(config)#
- クラスマップ[CLASS-5]を作成し、一致条件を[拡張エキスパートアクセスリスト:QOS-EX]に設定します。
sw1(config)# class-map CLASS-5 sw1(config-cmap)# match access-group name QOS-EX sw1(config-cmap)# exit sw1(config)#
- ポリシーマップ[TEST-POLICY]を作成します。クラスマップ[CLASS-5]を関連付け、[CLASS-5]に分類されたトラフィックに対してCoS値を5に変更するアクションを適用します。
sw1(config)# policy-map TEST-POLICY sw1(config-pmap)# class CLASS-5 sw1(config-pmap-c)# set cos 5 sw1(config-pmap-c)# exit sw1(config-pmap)# exit sw1(config)#
- 設定したポリシーマップを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# service-policy input TEST-POLICY sw1(config-if-port-range)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia aaa authentication dot1x default group radius # ACCESS-DEFENDER access-defender total-client 256 logout aging-time 0 0 1 dot1x # DOT1X access-defender authentication interface port 1/0/1-1/0/5 dot1x dot1x enable
- 実施後のポリシーマップ関連の設定を以下に抜粋します。
# ACL expert access-list extended QOS-EX 9999 10 permit any any any any class 105 # QOSPOLICY class-map match-any CLASS-5 match access-group name QOS-EX policy-map TEST-POLICY class CLASS-5 set cos 5 interface port 1/0/1 service-policy input TEST-POLICY interface port 1/0/2 service-policy input TEST-POLICY interface port 1/0/3 service-policy input TEST-POLICY interface port 1/0/4 service-policy input TEST-POLICY interface port 1/0/5 service-policy input TEST-POLICY
スタティック認証クライアントを複数ポートで通信可能にする場合
通常は、スタティック認証クライアントは接続インターフェースを指定して設定しますが、スタティック認証クライアントに関連付けたクラスIDを認証バイパスすることにより、スタティック認証クライアントを複数ポートで通信可能にする場合の構成例と設定例を示します。なお、この例では対象をIPv4パケットと想定して拡張エキスパートアクセスリストを使用します。
注 意
NP7000、NP5000、およびNP3000では、IPアクセスリストでクラスIDを使用できません。NP4000、NP2100、NP2000、およびNP2500では、IPアクセスリストでクラスIDを使用できます。
項目 | 設定 |
---|---|
RADIUS認証 | デフォルトのRADIUSサーバーグループ「radius」で使用 |
RADIUSサーバー |
|
認証クライアントの最大数 | 256 |
Web認証有効ポート | ポート1/0/1からポート1/0/5 |
認証用Webサーバー |
http://192.0.2.100:80/、またはhttps://192.0.2.100:443/ ※HTTPプロトコル(80)とHTTPSプロトコル(443)はデフォルト有効 |
Web認証のエージングログアウト時間 | 1時間 |
スタティック認証有効ポート | ポート1/0/1 |
スタティック認証端末 |
|
スタティック認証クライアントを複数ポートで通信可能にする場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決するとします。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、Web認証で使用する認証方式リスト[ID:1]を、デフォルトのRADIUSサーバーグループ「radius」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication web-auth 1 default group radius sw1(config)#
- RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でWeb認証を有効に、認証用WebサーバーのIPアドレスを[192.0.2.100]に設定します。装置の認証用Webサーバーでは、HTTPプロトコル(TCPポート番号80)とHTTPSプロトコル(TCPポート番号443)はデフォルト有効になっています。また、エージングログアウト時間を[1時間]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 web sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100 sw1(config-a-def)# logout aging-time 0 0 1 web sw1(config-a-def)# exit sw1(config)#
- Web認証を有効にします。
sw1(config)# web-authentication enable sw1(config)#
- ポート1/0/1でスタティック認証を有効に設定し、スタティックエントリー[ポート1/0/1、00:00:5e:00:53:11、クラスID
123][ポート1/0/1、00:00:5e:00:53:33、クラスID 123]を設定します。
sw1(config)# access-defender sw1(config-a-def)# authentication interface port 1/0/1 static sw1(config-a-def)# exit sw1(config)# access-defender static mac 0000.5e00.5311 class 123 interface port 1/0/1 sw1(config)# access-defender static mac 0000.5e00.5333 class 123 interface port 1/0/1 sw1(config)#
- 認証バイパス設定のために、拡張エキスパートアクセスリスト[EXPERT-ACL]を作成し、以下のルールを設定します。
ルール10(authentication-bypass):クラスID[123]
sw1(config)# expert access-list extended EXPERT-ACL sw1(config-exp-nacl)# 10 permit authentication-bypass any any any any class 123 sw1(config-exp-nacl)# exit sw1(config)#
- 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# expert access-group EXPERT-ACL in sw1(config-if-port-range)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia aaa authentication web-auth 1 default group radius # ACCESS-DEFENDER access-defender total-client 256 logout aging-time 0 0 1 web authentication interface port 1/0/1 static access-defender static mac 00-00-5E-00-53-11 class 123 interface port 1/0/1 access-defender static mac 00-00-5E-00-53-33 class 123 interface port 1/0/1 # WEB-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 web web-authentication http-ip ipv4 192.0.2.100 web-authentication enable
- 実施後のアクセスリスト関連の設定を以下に抜粋します。
# ACL expert access-list extended EXPERT-ACL 9999 10 permit authentication-bypass any any any any class 123 interface port 1/0/1 expert access-group EXPERT-ACL in interface port 1/0/2 expert access-group EXPERT-ACL in interface port 1/0/3 expert access-group EXPERT-ACL in interface port 1/0/4 expert access-group EXPERT-ACL in interface port 1/0/5 expert access-group EXPERT-ACL in