第6編
AccessDefender

ユーザーポリシーコントロールの構成例と設定例

ユーザーポリシーコントロールの構成例と設定例を示します。

特定のユーザーグループだけ認証後に優先度を上げる場合

特定のユーザーグループだけ認証後に優先度を上げる場合の構成例と設定例を示します。この例では、クラスID 105に分類されたトラフィックの優先度をCoS 5に変更しています。なお、この例では対象をIPv4パケットと想定して拡張エキスパートアクセスリストを使用します。

特定のユーザーグループだけ認証後に優先度を上げる場合の設定例
項目設定
RADIUS認証 デフォルトのRADIUSサーバーグループ「radius」で使用
RADIUSサーバー
  • IPアドレス:172.16.1.101
  • 共有鍵:apresia
認証クライアントの最大数 256
IEEE 802.1X認証有効ポート ポート1/0/1からポート1/0/5
IEEE 802.1X認証のエージングログアウト時間 1時間

特定のユーザーグループだけ認証後に優先度を上げる場合の構成例

  • VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
    sw1# configure terminal 
    sw1(config)# vlan 10,100
    sw1(config-vlan)# exit
    sw1(config)# 
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# switchport mode access 
    sw1(config-if-port-range)# switchport access vlan 10
    sw1(config-if-port-range)# exit
    sw1(config)# 
    sw1(config)# interface port 1/0/49
    sw1(config-if-port)# switchport mode trunk 
    sw1(config-if-port)# switchport trunk allowed vlan 10,100
    sw1(config-if-port)# exit
    sw1(config)#
  • VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
    sw1(config)# interface vlan 100
    sw1(config-if-vlan)# ip address 192.168.100.100/24
    sw1(config-if-vlan)# exit
    sw1(config)# ip route 0.0.0.0/0 192.168.100.254
    sw1(config)#
  • 装置のAAAを有効化します。また、IEEE 802.1X認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に指定します。
    sw1(config)# aaa new-model
    sw1(config)# aaa authentication dot1x default group radius 
    sw1(config)#
  • RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
    sw1(config)# radius-server host 172.16.1.101 key apresia
    sw1(config)#
  • AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
    sw1(config)# access-defender
    sw1(config-a-def)# total-client 256
    sw1(config-a-def)#
  • ポート1/0/1からポート1/0/5でIEEE 802.1X認証を有効にします。また、エージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# authentication interface port 1/0/1-5 dot1x
    sw1(config-a-def)# logout aging-time 0 0 1 dot1x 
    sw1(config-a-def)# exit
    sw1(config)#
  • IEEE 802.1X認証を有効にします。
    sw1(config)# dot1x enable 
    sw1(config)#
  • クラスマップ「CLASS-5」で使用する拡張エキスパートアクセスリスト[QOS-EX]を作成し、以下のルールを設定します。

    ルール10(許可):クラスID[105]

    sw1(config)# expert access-list extended QOS-EX
    sw1(config-exp-nacl)# 10 permit any any any any class 105
    sw1(config-exp-nacl)# exit
    sw1(config)#
  • クラスマップ[CLASS-5]を作成し、一致条件を[拡張エキスパートアクセスリスト:QOS-EX]に設定します。
    sw1(config)# class-map CLASS-5
    sw1(config-cmap)# match access-group name QOS-EX
    sw1(config-cmap)# exit
    sw1(config)#
  • ポリシーマップ[TEST-POLICY]を作成します。クラスマップ[CLASS-5]を関連付け、[CLASS-5]に分類されたトラフィックに対してCoS値を5に変更するアクションを適用します。
    sw1(config)# policy-map TEST-POLICY
    sw1(config-pmap)# class CLASS-5
    sw1(config-pmap-c)# set cos 5
    sw1(config-pmap-c)# exit
    sw1(config-pmap)# exit
    sw1(config)#
  • 設定したポリシーマップを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# service-policy input TEST-POLICY
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のAccessDefender関連の設定を以下に抜粋します。
    # AAA
    
    aaa new-model
    radius-server host 172.16.1.101 key apresia
    aaa authentication dot1x default group radius
    
    # ACCESS-DEFENDER
    
    access-defender
     total-client 256
     logout aging-time 0 0 1 dot1x
    
    # DOT1X
    
    access-defender
     authentication interface port 1/0/1-1/0/5 dot1x
    dot1x enable
  • 実施後のポリシーマップ関連の設定を以下に抜粋します。
    # ACL
    
    expert access-list extended QOS-EX 9999
     10 permit any any any any class 105
    
    # QOSPOLICY
    
    class-map match-any CLASS-5
     match access-group name QOS-EX
    policy-map TEST-POLICY
     class CLASS-5
     set cos 5
    interface port 1/0/1
     service-policy input TEST-POLICY
    interface port 1/0/2
     service-policy input TEST-POLICY
    interface port 1/0/3
     service-policy input TEST-POLICY
    interface port 1/0/4
     service-policy input TEST-POLICY
    interface port 1/0/5
     service-policy input TEST-POLICY

スタティック認証クライアントを複数ポートで通信可能にする場合

通常は、スタティック認証クライアントは接続インターフェースを指定して設定しますが、スタティック認証クライアントに関連付けたクラスIDを認証バイパスすることにより、スタティック認証クライアントを複数ポートで通信可能にする場合の構成例と設定例を示します。なお、この例では対象をIPv4パケットと想定して拡張エキスパートアクセスリストを使用します。

注 意

NP7000、NP5000、およびNP3000では、IPアクセスリストでクラスIDを使用できません。NP4000、NP2100、NP2000、およびNP2500では、IPアクセスリストでクラスIDを使用できます。

スタティック認証クライアントを複数ポートで通信可能にする場合の設定例
項目設定
RADIUS認証 デフォルトのRADIUSサーバーグループ「radius」で使用
RADIUSサーバー
  • IPアドレス:172.16.1.101
  • 共有鍵:apresia
認証クライアントの最大数 256
Web認証有効ポート ポート1/0/1からポート1/0/5
認証用Webサーバー http://192.0.2.100:80/、またはhttps://192.0.2.100:443/
※HTTPプロトコル(80)とHTTPSプロトコル(443)はデフォルト有効
Web認証のエージングログアウト時間 1時間
スタティック認証有効ポート ポート1/0/1
スタティック認証端末
  • ポート1/0/1、00:00:5e:00:53:11、クラスID 123
  • ポート1/0/1、00:00:5e:00:53:33、クラスID 123

スタティック認証クライアントを複数ポートで通信可能にする場合の構成例

  • VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
    sw1# configure terminal 
    sw1(config)# vlan 10,100
    sw1(config-vlan)# exit
    sw1(config)# 
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# switchport mode access 
    sw1(config-if-port-range)# switchport access vlan 10
    sw1(config-if-port-range)# exit
    sw1(config)# 
    sw1(config)# interface port 1/0/49
    sw1(config-if-port)# switchport mode trunk 
    sw1(config-if-port)# switchport trunk allowed vlan 10,100
    sw1(config-if-port)# exit
    sw1(config)#
  • VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決するとします。
    sw1(config)# interface vlan 100
    sw1(config-if-vlan)# ip address 192.168.100.100/24
    sw1(config-if-vlan)# exit
    sw1(config)# ip route 0.0.0.0/0 192.168.100.254
    sw1(config)#
  • 装置のAAAを有効化します。また、Web認証で使用する認証方式リスト[ID:1]を、デフォルトのRADIUSサーバーグループ「radius」に指定します。
    sw1(config)# aaa new-model
    sw1(config)# aaa authentication web-auth 1 default group radius 
    sw1(config)#
  • RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
    sw1(config)# radius-server host 172.16.1.101 key apresia
    sw1(config)#
  • AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
    sw1(config)# access-defender
    sw1(config-a-def)# total-client 256
    sw1(config-a-def)#
  • ポート1/0/1からポート1/0/5でWeb認証を有効に、認証用WebサーバーのIPアドレスを[192.0.2.100]に設定します。装置の認証用Webサーバーでは、HTTPプロトコル(TCPポート番号80)とHTTPSプロトコル(TCPポート番号443)はデフォルト有効になっています。また、エージングログアウト時間を[1時間]に設定します。
    sw1(config-a-def)# authentication interface port 1/0/1-5 web
    sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100
    sw1(config-a-def)# logout aging-time 0 0 1 web
    sw1(config-a-def)# exit
    sw1(config)#
  • Web認証を有効にします。
    sw1(config)# web-authentication enable 
    sw1(config)#
  • ポート1/0/1でスタティック認証を有効に設定し、スタティックエントリー[ポート1/0/1、00:00:5e:00:53:11、クラスID 123][ポート1/0/1、00:00:5e:00:53:33、クラスID 123]を設定します。
    sw1(config)# access-defender 
    sw1(config-a-def)# authentication interface port 1/0/1 static
    sw1(config-a-def)# exit
    sw1(config)# access-defender static mac 0000.5e00.5311 class 123 interface port 1/0/1
    sw1(config)# access-defender static mac 0000.5e00.5333 class 123 interface port 1/0/1
    sw1(config)#
  • 認証バイパス設定のために、拡張エキスパートアクセスリスト[EXPERT-ACL]を作成し、以下のルールを設定します。

    ルール10(authentication-bypass):クラスID[123]

    sw1(config)# expert access-list extended EXPERT-ACL
    sw1(config-exp-nacl)# 10 permit authentication-bypass any any any any class 123
    sw1(config-exp-nacl)# exit
    sw1(config)#
  • 設定したアクセスリストを認証ポート(ポート1/0/1からポート1/0/5)に適用します。
    sw1(config)# interface range port 1/0/1-5
    sw1(config-if-port-range)# expert access-group EXPERT-ACL in
    sw1(config-if-port-range)# end
    sw1#
  • 実施後のAccessDefender関連の設定を以下に抜粋します。
    # AAA
    
    aaa new-model
    radius-server host 172.16.1.101 key apresia
    aaa authentication web-auth 1 default group radius
    
    # ACCESS-DEFENDER
    
    access-defender
     total-client 256
     logout aging-time 0 0 1 web
     authentication interface port 1/0/1 static
    access-defender static mac 00-00-5E-00-53-11 class 123 interface port 1/0/1
    access-defender static mac 00-00-5E-00-53-33 class 123 interface port 1/0/1
    
    # WEB-AUTHENTICATION
    
    access-defender
     authentication interface port 1/0/1-1/0/5 web
     web-authentication http-ip ipv4 192.0.2.100
    web-authentication enable
  • 実施後のアクセスリスト関連の設定を以下に抜粋します。
    # ACL
    
    expert access-list extended EXPERT-ACL 9999
     10 permit authentication-bypass any any any any class 123 
    interface port 1/0/1
     expert access-group EXPERT-ACL in 
    interface port 1/0/2
     expert access-group EXPERT-ACL in 
    interface port 1/0/3
     expert access-group EXPERT-ACL in 
    interface port 1/0/4
     expert access-group EXPERT-ACL in 
    interface port 1/0/5
     expert access-group EXPERT-ACL in

ページトップへ