認証ソリューションガイド

Size: px

Start display at page:

Download "認証ソリューションガイド"

としみかむら
5 years ago
Views:

AX シリーズ認証ソリューションガイド第 7 版 Copyright 2007-2009,

2 はじめに本ガイドは AX シリーズ (AX1200S / AX2400S / AX3600S) でサポートしている認証機能を用いたシステム構築のための技術情報をシステムエンジニアの方へ提供し安全安心な認証システムの構築と安定稼動を目的として書かれています RADIUS サーバの設定に関しては各種 RADIUS サーバ毎に用意した別冊の RADIUS サーバ設定ガイドを参照下さい関連資料 RADIUS サーバ設定ガイド Windows Server 2003 編 RADIUS サーバ設定ガイド Windows Server 2008 編 AXシリーズ製品マニュアル( 本ガイド使用上の注意事項本ガイドに記載の内容は弊社が特定の環境において基本動作や接続動作を確認したものでありすべての環境で機能性能信頼性を保証するものではありません弊社製品を用いたシステム構築の一助としていただくためのものとご理解いただけますようお願いいたします Windows 製品に関する詳細はマイクロソフト株式会社のドキュメント等を参照下さい本ガイド作成時の OS ソフトウエアバージョンは以下のようになっております AX1230S Ver1.4.B AX1240S Ver2.0 AX2400S / AX3600S Ver11.0 本ガイドの内容は改良のため予告なく変更する場合があります輸出時の注意本資料を輸出される場合には外国為替および外国貿易法ならびに米国の輸出管理関連法規などの規制をご確認の上必要な手続きをお取り下さい商標一覧アラクサラの名称およびロゴマークはアラクサラネットワークス株式会社の商標および商標登録です Ethernetは米国 Xerox Corp. の商品名称ですイーサネットは富士ゼロックス( 株 ) の商品名称です Microsoftは米国およびその他の国における米国 Microsoft Corp. の登録商標です Windowsは米国およびその他の国における米国 Microsoft Corp. の登録商標です Mac OS Xは米国およびその他の国におけるApple Inc. の登録商標ですそのほかの記載の会社名製品名はそれぞれの会社の商標もしくは登録商標です Copyright , ALAXALA Networks Corporation. All rights reserved. 2

3 使用機器一覧 AX1230S (Ver1.4.B) AX1240S (Ver2.0) AX2430S (Ver11.0) AX3630S (Ver11.0) Windows Server 2008 Standard Windows XP Professional (SP2) Windows XP Professional (SP3) Windows Vista Ultimate (SP1) Mac OS X v10.5 Leopard 使用ブラウザ一覧 Internet Explorer (Version6) Internet Explorer (Version7) Firefox ( ) Safari (3.1.1) 改訂履歴版数 rev. 日付変更内容変更箇所初版初版発行 - 第 2 版省略 - 第 3 版省略 - 第 4 版省略 - 第 5 版省略 - 第 6 版省略 - 第 7 版 AX1240S の追加はじめに使用機器一覧更新注意事項の追加はじめに 5.5 AX2400S,AX3600S (Ver10.8 機能追加 ) 対応はじめに使用機器一覧更新 Web 認証に強制認証追加 Mac 認証に強制認証追加 Web 認証のリダイレクト先 FQDN 指定はじめに (5) 3.3.2(5) Copyright , ALAXALA Networks Corporation. All rights reserved. 3

4 目次 1. ネットワーク認証概要ネットワーク認証とは認証方式の特徴およびシステム要素 IEEE802.1X 認証概要拡張認証プロトコル (EAP) EAP 認証シーケンス EAPOL フレームフォーマット Web 認証概要 Web 認証シーケンス MAC 認証概要 MAC 認証シーケンス RADIUS (Remote Authentication Dial-In User Services) RADIUS 概要 RADIUS アトリビュート CA(Certificate Authority) AXでサポートする認証モードの特徴固定 VLANモードの特徴 IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) 動的 VLANモードの特徴レガシーモードの特徴ネットワーク認証と検疫ネットワーク AXシリーズの認証機能サポート一覧認証方式ユーザ認証データベースログ出力機能 RADIUSアトリビュート IEEE802.1X 認証機能 Web 認証機能 MAC 認証機能収容条件認証ネットワークの構築...41 Copyright , ALAXALA Networks Corporation. All rights reserved. 4

5 3.1. 認証ネットワーク概要固定 VLANモード認証ネットワーク構成図構築ポイント AX1200Sのコンフィグレーション AX2400Sのコンフィグレーション AX3600Sのコンフィグレーション動的 VLANモード認証ネットワーク構成図構築ポイント AX1200Sのコンフィグレーション AX2400Sのコンフィグレーション AX3600Sのコンフィグレーション端末側の設定方法 IEEE802.1X 認証 Windows XPの設定方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 Windows XP(SP2) からIEEE802.1X 認証の接続を開始する方法 IEEE802.1X 認証 Windows Vistaの設定方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 IEEE802.1X 認証 Mac OS Xの設定方法証明書の確認方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 Web 認証の端末側設定方法 MAC 認証の端末側設定方法注意事項 IEEE802.1X 認証に関する注意事項 IEEE802.1X 端末検出機能に関する注意事項 IEEE802.1X 端末検出機能の注意事項詳細解説 WindowsのIEEE802.1Xサプリカント動作差分の解説 Windows XP(SP2) とWindows Vistaの混在環境における問題点 WindowsのIEEE802.1X 認証に関する注意事項 RADIUSサーバ冗長化に関する注意事項ログアウトに関する注意事項再認証機能に関する注意事項端末移動に関する注意事項 Copyright , ALAXALA Networks Corporation. All rights reserved. 5

6 認証中に接続不可となった場合強制認証機能に関する注意事項 Web 認証に関する注意事項 Web 認証前に通信許可する項目固定 VLANモードのWeb 認証のログアウト条件固定 VLANモードのWeb 認証の端末移動に関する注意事項動的 VLANモードのWeb 認証ネットワーク構築に関する注意事項動的 VLANモードのWeb 認証のログアウトに関する注意事項動的 VLANモードのWeb 認証の端末移動に関する注意事項動的 VLANモードのWeb 認証成功時のURL 移動に関する注意事項 AX2400S / AX3600SシリーズのVer10.7 新機能を使用する場合の注意事項 MAC 認証に関する注意事項固定 VLANモードのMAC 認証のログアウトに関する注意事項動的 VLANモードのMAC 認証のログアウトに関する注意事項非認証端末接続時のRADIUSへの負荷認証関連共通の注意事項動的 VLAN(MAC VLAN) における注意事項 AX1240S 使用時の注意事項フィルタのコンフィグレーションについて運用コマンド AX1200Sシリーズの運用コマンド認証状態表示コマンドログ確認コマンド認証状態初期化コマンド AX2400S/AX3600Sシリーズの運用コマンド認証状態表示コマンドログ確認コマンド認証状態初期化コマンド付録 A. コンフィグレーション A.1. 固定 VLANモードのコンフィグレーション例 A.1.1. AX1200Sのコンフィグレーション A.1.2. AX2400Sのコンフィグレーション A.1.3. AX3600Sのコンフィグレーション A.2. 動的 VLANモードのコンフィグレーション例 A.2.1. AX1200Sのコンフィグレーション A.2.2. AX2400Sのコンフィグレーション A.2.3. AX3600Sのコンフィグレーション Copyright , ALAXALA Networks Corporation. All rights reserved. 6

7 1. ネットワーク認証概要本章では AX シリーズを用いてネットワーク認証を行なうために必要な情報として 1.1 章ネットワーク認証の概要と 1.2 章で AX がサポートする認証方式 (IEEE802.1X 認証 Web 認証 MAC 認証 ) について説明し 1.3 章で AX における認証端末をどの通信インタフェース単位で認証させるか選択する認証モード ( ポート単位動的 VLAN 固定 VLAN) について説明し 1.4 章では検疫システムの概要を説明します図アラクサラのトリプル認証 Copyright , ALAXALA Networks Corporation. All rights reserved. 7

1.1. ネットワーク認証とは現在ネットワークは絶えず不正アクセスの脅威にさらされています従来は外部からのアクセスに対してファイアウォール等の装置にて不正アクセスを防いでいましたがそれでも機密情報の漏洩や個人情報の流出事件が多発しました最近では外部からのアクセスだけでなくむしろ内部からの不正アクセスが問題となっていますまた昨今叫ばれている企業の内部統制の必要性から IT

8 1.1. ネットワーク認証とは現在ネットワークは絶えず不正アクセスの脅威にさらされています従来は外部からのアクセスに対してファイアウォール等の装置にて不正アクセスを防いでいましたがそれでも機密情報の漏洩や個人情報の流出事件が多発しました最近では外部からのアクセスだけでなくむしろ内部からの不正アクセスが問題となっていますまた昨今叫ばれている企業の内部統制の必要性から IT による情報システムによって業務の管理記録を残すことも重要となってきていますそのためにネットワークにアクセスする際にアクセスする本人がシステムに登録された正規のユーザであるかを確認するネットワーク認証システムが必要とされていますネットワーク認証システムによって以下のことが実現できます 1) 不特定多数が同時に接続するネットワークにおいて許可されたユーザに対してのみネットワークサービスを提供することによりリソースの枯渇を防ぎます 2) 正規の権限を認められていない情報資源に対してネットワークアクセスを許可しないことによりネットワークおよび情報システムの安全性を確保します 3) 情報資源の有効活用および万が一情報漏洩が発生した場合の危機管理という観点からネットワークや情報資源の利用状況および利用者の把握を行います図ネットワーク認証概要 Copyright , ALAXALA Networks Corporation. All rights reserved. 8

9 1.2. 認証方式の特徴およびシステム要素 IEEE802.1X 認証概要 IEEE802.1X 認証はアクセス可能なポートからの不正な接続を規制する機能ですバックエンドに認証サーバ (Authentication Server, 一般的には RADIUS サーバ ) を設置し認証サーバによる端末 (Supplicant) の認証が成功した上でスイッチ (Authenticator) が通信を許可します端末 (Supplicant)-スイッチ(Authenticator) 間の認証処理に関わる通信は EAP Over LAN(EAPOL) で行いますスイッチ (Authenticator)- 認証サーバ (RADIUS サーバ ) 間は EAP Over RADIUS プロトコルを使って認証情報を交換します構成要素と動作概略を以下に示します表 IEEE802.1X 認証の構成要素項構成要素番 1 Authenticator ( スイッチ ) 動作概略 Supplicant のネットワークへのアクセスを制御します Supplicant と Authentication Server(RADIUS サーバ ) の仲介に位置し相互間の認証シーケンスをトランスペアレントに行います Supplicant に識別情報を要求しその情報を認証サーバで確認し Supplicant に応答をリレーします Authenticator は EAP フレームのカプセル化 / カプセル化解除および RADIUS サーバとの対話を処理します 2 Supplicant( 端末 ) IEEE802.1X の仕様ではクライアント ( 端末 ) は Supplicant といい IEEE802.1X に準拠するソフト又は OS(Windows XP 等 ) の搭載が必要です 3 Authentication Server (RADIUS サーバ ) Supplicant の認証を行います認証サーバは Supplicant の識別情報を確認し要求元の Supplicant にサービスへのアクセスを許可すべきかどうかを Authenticator に通知します端末 (Supplicant) スイッチ (Authenticator) RADIUS サーバ (Authentication Server) 図 IEEE802.1X 認証の構成要素 Copyright , ALAXALA Networks Corporation. All rights reserved. 9

10 拡張認証プロトコル (EAP) EAP(Extensible Authentication Protocol) は複数の認証方式が提案されています表 IEEE802.1X の EAP 認証方式項番認証方式特徴 1 EAP-MD5 この方式はユーザ ID とパスワードによるクライアント認証であり電子証明書を必要としないため実装が容易になるというメリットがありますただしクライアントのみを認証する片方向認証であることや暗号解読による漏洩には脆弱な面もありますまた Windows XP SP1 以降からは非対応 ( 削除 ) になりましたが EAP の実装では MD5 をサポートすることが義務付けられています 2 PEAP (Protected EAP)) クライアント側ではユーザ ID とパスワードによる認証認証サーバ側では電子証明書による認証が行われる方式 Cisco-PEAP と MS-PEAP があります Windows XP では MS-PEAP を標準で対応しています 3 EAP-TLS TLS は情報を暗号化して安全に送受信するプロトコルで電子証明書を利用してクライアントと認証サーバの相互認証を行います電子証明書を使うためセキュリティは高いですがクライアントと認証サーバの双方で電子証明書の管理が必要となり PKI 導入基盤が用意されていない場合は使い難いと言われていますなお Windows XP が標準で対応しています 4 EAP-TTLS MD5 と TLS 双方の利点を併せ持った方式トンネルを張り認証を行うことでセキュリティを確保しますクライアント側ではユーザ ID とパスワードによる認証を行うことで導入管理運用が TLS と比較して容易だといわれていますまた認証サーバ側では電子証明書が利用されるため高いセキュリティ性の確保が可能ですただし TTLS 対応の Supplicant と認証サーバが必要となります暗号強度や鍵生成配布のプロセスという観点からは EAP-TLS がもっとも信頼性の高い認証方式となりますが運用の負荷を考えると PEAP を選択するメリットもあります Copyright , ALAXALA Networks Corporation. All rights reserved. 10

11 EAP 認証シーケンス EAP のやり取りを以下に示します図 EAP 認証シーケンス 1. Supplicant からの EAP-Start または Authenticator からの EAP-Request/Identity によって EAP シーケンスを開始します認証は常に EAP-Start から始まらなければいけないというわけではなく Authenticator は常に EAP-Request/Identity を送信して認証を促すことができますまた Windows XP はデフォルトの設定では EAP-Start を送信しないため端末を検知するまでには EAP-Request/Identity の送信間隔を待たなければなりません 2. Supplicant はユーザ識別子を収集し Response/Identity メッセージにユーザ識別子を挿入し送信します 3. Authenticator は Response/Identity を Radius Access-Request に変換し Authentication Server ( 例では RADIUS Server) に転送します 4. Authentication Server からは認証チャレンジが発行されます認証チャレンジは Authenticator が EAP に変換して Supplicant に転送します 5. 認証チャレンジを受信した Supplicant は利用している認証方式と合致している場合は Response を返します認証方式が合致していなかった場合は Response/NAK を返します 6. Authenticator は認証方式が合致するまで方式を変えて認証チャレンジを再送します Copyright , ALAXALA Networks Corporation. All rights reserved. 11

12 7. Supplicant は認証方式が合致した場合 Response/( 認証タイプ ) を返信します 8. Authentication Server から Accept が返ってくると Authenticator はポートを開放し Success の通知を Supplicant に転送します EAPOL フレームフォーマット図 IEEE802.1X の EAPOL フレームフォーマット EAPOL の宛先 MAC アドレスは予約マルチキャストとなっていますこのアドレスは他の予約マルチキャストアドレスと同様に IEEE802.1D では中継しないことを推奨されているためスイッチによっては廃棄されてしまうことがありますのでご注意下さい (IEEE 802.1D Reserved address) Copyright , ALAXALA Networks Corporation. All rights reserved. 12

13 Web 認証概要 Web 認証は Firefox や Internet Explorer などの汎用の Web ブラウザを利用してユーザ ID およびパスワードを使った認証によりユーザを認証しユーザが使用する端末の MAC アドレスを使用して認証状態に移行させ認証後のネットワークへのアクセスを可能にする機能です本機能により端末側に特別なソフトウェアをインストールすることなく Web ブラウザのみで認証を行うことが可能となりますクライアントとスイッチ間のプロトコルは基本の http に加え認証情報を暗号化するための https をサポートしています Web 認証では 1.3 章にて説明する動的 VLAN モードと固定 VLAN モードを選択することができます動的 VLAN モードでは MACVLAN ポートで認証することにより同一ポート配下でユーザ毎に VLAN を切り替えることが可能です認証前は認証前 VLAN に接続され認証後に指定された VLAN に切り替えますまた認証前と認証後で VLAN( ネットワーク ) 切り替わるため固定 IP の端末は使用できません固定 VLAN モードではアクセスポートで認証する場合はポート単位で VLAN が固定となりますトランクポートでの認証もサポートしておりこの場合 Tag-VLAN で認証が可能です認証前と認証後の VLAN 切り替えが発生しないので固定 IP 端末の接続が可能となります固定 VLAN モードでは認証前には認証専用のアクセスリストに登録された宛先のみ通信可能です注 ) マニュアルでは動的 VLAN の事をダイナミック VLAN と表記している場合があります Copyright , ALAXALA Networks Corporation. All rights reserved. 13

1.2.2.2. Web 認証シーケンス以下に動的 VLAN モードにおける Web 認証の動作シーケンスについて示します図 1.

15 以下に固定 VLAN モードにおける Web 認証 (URL リダイレクト有効時 ) の動作シーケンスについて示しますクライアント PC 認証スイッチ内蔵 Web サーバ認証機能内蔵 Web 認証 DB 外部 DHCP サーバ RADIUS Server 認証 DB DHCP で IP アドレス要求認証前 IP アドレスの配布任意の Web アクセス自動的に Web 認証画面表示どちらの認証 DB DB をを使うか選択可能ユーザ ID パスワード入力認証結果表示認証要求表示指示結果 OK 認証後ユーザトラフィック業務サーバ等図固定 VLAN モードにおける Web 認証シーケンス固定 VLAN モードにおける Web 認証では IP アドレスは固定および DHCP での配布どちらでも利用可能ですただし DHCP で IP アドレスを配布する場合には認証前の PC からの DHCP のトラフィックを許可する設定が必要です固定 VLAN では URL リダイレクト機能をサポートしており認証前の PC から任意の Web アクセスがあった場合認証画面を自動的に表示することができます Copyright , ALAXALA Networks Corporation. All rights reserved. 15

1.2.3. MAC 認証 1.2.3.1. 概要ネットワークに繋がる端末は PC のみとは限りません近年では PC 以外にプリンタや IP 電話機ビデオカメラ等の端末もネットワークでの利用が前提となってきていますそれらの端末についてもネットワークの利用状況の管理や通信する部分を制限するために端末認証を行う必要があります上記の PC 以外の端末では Web ブラウザや IEEE802.

16 MAC 認証概要ネットワークに繋がる端末は PC のみとは限りません近年では PC 以外にプリンタや IP 電話機ビデオカメラ等の端末もネットワークでの利用が前提となってきていますそれらの端末についてもネットワークの利用状況の管理や通信する部分を制限するために端末認証を行う必要があります上記の PC 以外の端末では Web ブラウザや IEEE802.1X の Supplicant 機能を持たないものが多いため端末から送信されるパケットの送信元 MAC アドレスを使ってユーザを認証する MAC 認証がありますしかし一般的に MAC アドレスは偽装が簡単でフラッディングしているパケットをキャプチャできると容易に認証済み MAC アドレスを識別することができるため認証としての強度は高いものではありません使用するポートや VLAN スイッチについて注意が必要となります MAC 認証シーケンス以下に MAC 認証時の動作シーケンスを示します図 MAC 認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 16

17 RADIUS (Remote Authentication Dial-In User Services) RADIUS 概要 RADIUS( ラディウス ) はネットワーク資源の利用可否の判断 ( 認証 ) と利用の記録 ( アカウンティング ) のためのプロトコルですその名の示すとおり元来はダイヤルアップ接続のために開発された認証システムですが現在はダイヤルアップのみならず様々なサービスに対して認証とアカウンティングを実現するプロトコルとして幅広く利用されていますクライアントサーバモデルのプロトコルのためサーバがクライアントに対してサービス停止を行うことは基本的にできません RADIUS の基本的な特性は以下のとおりです認証 (Authentication) 承認(Authorization) アカウンティング(Accounting) 即ちAAA モデルをサポートしています Hop to Hop のセキュリティモデルを採用しています ( 信頼関係を持つ AAA サーバ間では要求の転送によって承認を得ることができます ) UDP ベースのプロトコルであり接続開始前にチャレンジ情報のやり取りを行います PAP 認証 CHAP 認証をサポートしています MD5 を利用したパスワード隠蔽の仕組みを備えています状態情報を持ちません RADIUS では認証基盤として自前のデータベースのみならず外部の Active Directory ドメインサーバなどの LDAP に対応したディレクトリサーバや NT サーバ SQL サーバ等と連携することが可能ですこれによりユーザの管理効率を大幅に向上させることも可能となります Copyright , ALAXALA Networks Corporation. All rights reserved. 17

18 RADIUS アトリビュート RADIUS には属性値ペア (AVP: Attribute Value Pair) と呼ばれる登録情報があります属性値ペアは属性番号と長さ属性からなり属性番号ごとに属性値ペアの値の意味が規定されています AX が使用する主な属性名を以下に示します表 AX が使用する RADIUS アトリビュート項 Type パケット属性名解説番値タイプ 1 User-Name 1 認証されるユーザ名 MAC 認証の場合は認証端末の送信元 MAC アドレスになります ( 小文字 ASCII, "-" 区切り ) Request 2 NAS-IP-Address 4 認証要求をしているスイッチの IP アドレス Request AX2400S AX3600S AX6300S AX6700S はローカルアドレスが設定されている場合はローカルアドレス設定されていない場合は送信インタフェースの IP アドレスになります AX1200S は VLAN ID の一番小さな VLAN インタフェースの IP アドレスになります 3 Service-Type 6 提供するサービスタイプ Framed(2) 固定 Request Accept 4 Session-Timeout 27 IEEE802.1X 認証の場合は Supplicant へ送信した EAP-Request に対する応答待ちタイムアウト値 AX2400S AX3600S AX6300S AX6700S は項番 5 の Termination-Action が RADIUS-Request(1) に設定されていた場合以下の値で再認証を行います 0: 再認証は無効 1~60:60 秒で再認証 61~65535: 設定された値で再認証 AX1200S はこの属性を参照せずコンフィグレーションに従います (5.1.6 章参照 ) 5 Termination-Action 29 再認証時の動作指定 AX2400S AX3600S AX6300S AX6700S はこの属性が RADIUS-Request(1) に設定されていると装置で再認証を設定していない場合でも強制的に再認証を行います AX1200S はこの属性を参照せずコンフィグレーションに従います (5.1.6 章参照 ) 6 Called-Station-Id 30 スイッチの MAC アドレス ( 小文字 ASCII "-" 区切り ) AX1200S では未サポート Challenge Accept Accept Request Copyright , ALAXALA Networks Corporation. All rights reserved. 18

19 項 Type 属性名番値解説 7 Calling-Station-Id 31 認証端末の MAC アドレス ( 小文字 ASCII "-" 区切り ) 8 NAS-Identifier 32 スイッチを識別する文字列 ( ホスト名の文字列 ) 9 NAS-Port-Type 61 スイッチがユーザ認証に使用している物理ポートのタイプ IEEE802.1X 認証では Ethernet(15) 固定 Web 認証および MAC 認証では Virtual(5) 固定 10 Tunnel-Type 64 トンネルタイプ IEEE802.1X 認証の動的 VLAN モードでのみ意味を持ちます VLAN(13) 固定 11 Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル IEEE802.1X 認証の動的 VLAN モードでのみ意味を持ちます IEEE802(6) 固定 12 Tunnel-Private-Group-ID 81 VLAN を識別する文字列 IEEE802.1X 認証の動的 VLAN モードでのみ意味を持ちます Accept 時は認証済みの端末に割り当てる VLAN ID になります次に示す文字列が対応します (1)VLAN ID を示す文字列 (2)"VLAN"+VLAN ID を示す文字列文字列にスペースを含んではいけません ( 含めた場合 VLAN 割り当ては失敗します ) ( 設定例 ) VLAN10 の場合 (1) の場合 "10" (2) の場合 "VLAN10" 13 NAS-Port-Id 87 Supplicant を認証する Authenticator のポートを識別するための文字列 IEEE802.1X 認証でのみ使用しますポート単位 : Port x/y ChGr x 固定 VLAN: VLAN x 動的 VLAN: DVLAN x (x y には数字が入る ) パケットタイプ Request Request Request Accept Accept Accept Request Copyright , ALAXALA Networks Corporation. All rights reserved. 19

20 CA(Certificate Authority) CA とは電子的な身分証明書を発行管理する機関のことであり認証局 CA 局または CA センターなどと呼ばれています CA にはパブリック CA とプライベート CA があり前者は第三者が発行する証明書により本人性を証明します後者は企業内などに閉じた範囲で企業ポリシーに基づいて運用されます CA ではユーザの公開鍵の管理や電子証明書を発行し証明書は発行者 (CA) のみが知る秘密鍵で暗号化された電子署名ユーザ識別子ユーザ公開鍵証明書有効期限等で構成されています証明書の発行に関しては適用する端末認証方式によって差異があります即ち EAP-TLS ではサーバ証明書およびクライアント証明書の双方をやり取りする必要がありますが EAP-PEAP EAP-TTLS ではクライアント証明書は必要ありません 1) パブリック CA 外部機関に委託することになるため信頼性が高く保守や運用の面でメリットがありますが証明書の発行にコストが必要となります特に EAP-TLS を採用する場合はクライアント数分の証明書発行コストがかかることになりますまた Web 認証にて HTTPS を行う場合でも証明書を機器台数分用意することになります 2) プライベート CA パブリック CA とは逆に証明書の発行コストはかかりませんが自営システムのため構築運用保守のコストがかかりますまたローカルな証明書になるため Web 認証で IE を使用した場合は以下の警告が表示されます図 Windows XP(IE6) セキュリティ警告画面 Copyright , ALAXALA Networks Corporation. All rights reserved. 20

図 1.2-8 Windows Vista および Windows XP(IE7) セキュリティ警告画面 Copyright

22 1.3. AX でサポートする認証モードの特徴 AX シリーズがサポートする各認証方式 (IEEE802.1X 認証 Web 認証 MAC 認証方式 ) では端末が認証後に所属する VLAN に応じて大きく 3 種類の認証モードが存在します固定 VLAN モード VLANを固定した認証モードです詳細は1.3.1 章を参照して下さい動的 VLAN モード VLAN を動的に切り替え且つ認証前通信を制御する新しい認証モードです詳細は1.3.2 章を参照下さいレガシーモード VLAN を動的に切り替える認証モードです AX2400S AX3600S Ver10.7 AX1200S Ver1.4 より前のバージョンの動的 VLAN モードです詳細は1.3.3 章を参照して下さい認証モードの表記については AX シリーズ毎に若干の違いがありますが本ガイド上ではシリーズ毎に依存しない表記を行っています本ガイドと製品マニュアルでの認証モード表記について以下の表に示します表本ガイドと製品マニュアルでの認証モード表記本ガイド上の表記固定 VLAN モード ( ポート単位 ) 章参照固定 VLAN モード (VLAN 単位 ) 章参照固定 VLAN モード章参照動的 VLAN モード章参照レガシーモード章参照認証方式 IEEE802.1X 認証ポート単位 IEEE802.1X 認証 VLAN 単位 AX1200S ポート単位認証 ( 静的 ) - 製品マニュアル上の表記 AX2400S AX3600S ポート単位認証 VLAN 単位認証 ( 静的 ) AX6300S AX6700S ポート単位認証 VLAN 単位認証 ( 静的 ) Web 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード MAC 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード IEEE802.1X 認証ポート単位認証 VLAN 単位認証 ( 動的 ) ( 動的 ) (*1) - Web 認証ダイナミックダイナミック VLAN モード VLAN モード - MAC 認証ダイナミックダイナミック VLAN モード VLAN モード - IEEE802.1X 認証 VLAN 単位認証 VLAN 単位認証 VLAN 単位認証 ( 動的 ) ( 動的 ) (*1) ( 動的 ) Web 認証レガシーモードレガシーモードダイナミック VLAN モード MAC 認証レガシーモード - - (*1) AX2400S AX3600S の IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) の動作については 2.1 章を参照して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 22

23 固定 VLAN モードの特徴固定 VLAN モードは, 認証要求端末の VLAN は認証前と認証後で VLAN が変わりません認証要求端末の所属する VLAN は, 端末の接続ポートが所属する VLAN となります図固定 VLAN モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 認証対象ユーザ ( 図内の PC) の接続ポートまたは VLAN ID により認証対象ユーザ ( 図内の PC) が所属する VLAN ID を特定します 3. ユーザ情報に特定した VLAN ID 情報を加えて RADIUS サーバへ認証要求することで, 収容可能な VLAN を制限することが可能となります 4. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 5. 認証済み PC は接続された VLAN のサーバに接続できるようになります Copyright , ALAXALA Networks Corporation. All rights reserved. 23

1.3.1.1. IEEE802.1X 認証 ( ポート単位 ) 認証の制御を物理ポートまたはリンクアグリゲーション単位に行いますこの認証モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことはできません IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを受信すると廃棄しますまた IEEE802.

24 IEEE802.1X 認証 ( ポート単位 ) 認証の制御を物理ポートまたはリンクアグリゲーション単位に行いますこの認証モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことはできません IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを受信すると廃棄しますまた IEEE802.1X 認証方式では認証サブモードとして以下の三つがあります 1. 一つの物理ポートを 1 台の端末で占有するシングルモード 2. 一つの物理ポートにて 1 台の端末が認証成功するとその後同一物理ポートでは全ての通信を非認証で通過させるマルチモード (AX1200S はサポートしていません ) 3. 一つの物理ポートにて端末毎に認証する端末認証モード図ポート単位認証モード Copyright , ALAXALA Networks Corporation. All rights reserved. 24

25 IEEE802.1X 認証 (VLAN 単位 ) 認証の制御を VLAN に対して行います本モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます端末と本装置の間に L2 スイッチを配置し L2 スイッチを用いて IEEE 802.1Q VLAN-Tag の付与を行う場合に使用します Tag の付与されていない EAPOL フレームについてはポートに設定されているネイティブ VLAN で受信したと認識します図固定 VLAN 認証モード Copyright , ALAXALA Networks Corporation. All rights reserved. 25

26 動的 VLAN モードの特徴動的 VLAN モードは認証後の VLAN 切り替えを MAC VLAN で実施し認証に成功した端末の MAC アドレスと VLAN ID を MAC VLAN と MAC アドレステーブルに登録します図動的 VLAN 認証モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 外部に設置された RADIUS サーバに従って認証を行います 3. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 4. RADIUS サーバから送られる VLAN ID 情報に従って認証済み PC を認証後の VLAN に収容してサーバに接続できるようになります Copyright , ALAXALA Networks Corporation. All rights reserved. 26

27 AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 以降において新しくサポートされた動的 VLAN モードの新機能を以下に示します表動的 VLAN モードで追加変更された機能項番エンハンス内容 1 新機能認証前に通信するための認証前フィルタの適用が可能 2 Web 認証において URL リダイレクトが使用可能 3 Web 認証専用 IP アドレスが利用可能 (AX1200S はレガシーモードでも可能 ) 4 変更仕様認証ポートにおけるネイティブVLANでの通信が不可 (*1), 5 設定上の変更点 MAC VLAN ポートに認証設定を行う (*1) AX2400S/AX3600S の IEEE802.1X 認証を単独で使用する場合ネイティブ VLAN での通信が可能です同一ポートで Web 認証または MAC 認証と併用した場合はネイティブ VLAN での通信が遮断されるため認証前フィルタの定義が必要になります Copyright , ALAXALA Networks Corporation. All rights reserved. 27

1.3.3. レガシーモードの特徴レガシーモードは MAC VLAN 機能を使用して認証要求端末ごとに認証検疫し動的に VLAN を割り当てることにより認証前のネットワークと認証後のネットワークを分離できます AX2400S AX3600S Ver10.7 AX1200S Ver1.4 より前のバージョンの動的 VLAN モードが該当します図 1.3-5 レガシーモード概要図 1.

28 レガシーモードの特徴レガシーモードは MAC VLAN 機能を使用して認証要求端末ごとに認証検疫し動的に VLAN を割り当てることにより認証前のネットワークと認証後のネットワークを分離できます AX2400S AX3600S Ver10.7 AX1200S Ver1.4 より前のバージョンの動的 VLAN モードが該当します図レガシーモード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 外部に設置された RADIUS サーバに従って認証を行います 3. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 4. RADIUS サーバから送られる VLAN ID 情報とコンフィグレーションで設定した認証後 VLAN 情報に従って認証済み PC を認証後の VLAN に収容してサーバに接続できるようになります AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 以降において動的 VLAN モードとレガシーモードを両方を併用する事ができますが ( 一部混在使用不可 ) 新しく認証ネットワークを構築する場合は動的 VLAN モードを使用することを推奨します Copyright , ALAXALA Networks Corporation. All rights reserved. 28

29 1.4. ネットワーク認証と検疫ネットワーク一般的にウィルスワームに感染した持ち込み PC が情報漏洩の一因になっていることは数々の事件によって明らかになっていますしかしユーザ名とパスワードのみでは許可されたユーザによる持ち込み PC についてネットワークアクセスを禁止することができませんネットワークに接続するためにユーザ名やパスワード電子証明書のみではなくその端末のセキュリティ状態にまで着目して判断するのが検疫ネットワークです検疫ネットワークには以下の三つの要素があります 1. 検疫機能ネットワークに接続しようとしている端末についてのセキュリティ状態を検査する機能です検疫専用のクライアントソフトをインストールするエージェント型や ActiveX によってダウンロードさせるエージェントレス型が存在しますなお検疫はネットワーク認証の一部として行われる場合が多く検疫機能はネットワークへの接続条件の一つと見なされています 2. 隔離機能検疫によって不合格とされた端末について基幹のネットワークと分離させる機能ですこの隔離機能はあくまで幹線ネットワークからの隔離でありこの後の治療のためにネットワークへの接続性は維持させなければなりません隔離の方式としては VLAN を切り替える方式や ACL によってフィルタリングする方式 DHCP による IP サブネットを分ける方式があります 3. 治療機能不合格とされた端末については SUS(Software Update Services) サーバによってセキュリティ状態の更新が行われます治療された端末は再度検疫を行い合格と判断されれば基幹ネットワークへのアクセスが可能となります Copyright , ALAXALA Networks Corporation. All rights reserved. 29

図 1.4-1 認証と検疫ネットワーク Copyright 2007-2009,

31 2. AX シリーズの認証機能サポート一覧本章で記載している AX シリーズの OS ソフトウェアバージョンを以下に示します AX1200S AX2400S AX3600S AX6300S AX6700S 本章で記載している認証モードは固定 VLAN モードと動的 VLAN モードですレガシーモードについては製品マニュアルをご確認下さいまた認証モードの詳細につきましては 1.3 AX でサポートする認証モードの特徴を参照して下さい 2.1. 認証方式 AX シリーズのサポートする認証方式一覧を以下に示します表認証方式項認証方式認証モード AX1200S AX2400S AX6300S 番 AX3600S AX6700S 1 IEEE802.1X 認証固定 VLAN ポート単位 2 モード VLAN 単位 3 動的 VLAN モード (*1) 5 Web 認証固定 VLAN モード 6 動的 VLAN モード 8 MAC 認証固定 VLAN モード 9 動的 VLAN モード ( 凡例 ) : サポート : 未サポート (*1) AX2400S AX3600S の IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) は同一装置内で Web 認証または MAC 認証の動的 VLAN モードと併用した場合動的 VLAN モードとして動作しますまた装置で IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) を単独で用いた場合レガシーモードとして動作します Copyright , ALAXALA Networks Corporation. All rights reserved. 31

32 AX シリーズでは認証モードが混在した場合の設定可否が装置ごとに異なります認証モード混在時に設定できる認証方式を以下に示します (1) AX1200S シリーズ装置内での共存同一ポートでの共存が可能です表 AX1200S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 ( 凡例 ) : 設定可 : 設定不可 : 未サポート Copyright , ALAXALA Networks Corporation. All rights reserved. 32

33 (2) AX2400S / AX3600S シリーズ表 AX2400S / AX3600S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 (*1) (*1) (*1) (*1) IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 ( 凡例 ) : 設定可 : 設定不可 : 未サポート (*1) 端末認証モードのみサポート Copyright , ALAXALA Networks Corporation. All rights reserved. 33

34 (3) AX6300S / AX6700S シリーズ表 AX6300S / AX6700S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 (*1) (*1) (*1) Web 認証 (*1) ( 凡例 ) : 設定可 : 設定不可 : 未サポート (*1) 端末認証モードのみサポート Copyright , ALAXALA Networks Corporation. All rights reserved. 34

35 2.2. ユーザ認証データベースユーザ認証には装置に内蔵した認証用データベースを用いる方式と外部に設置した RADIUS サーバに問い合わせる方式がありますこれらのデータベースは認証モードによる差分はありません AX シリーズのサポートするユーザ認証データベースを以下に示します表ユーザ認証データベース項番認証方式ユーザ認証データベース AX1200S AX2400S AX3600S AX6300S AX6700S 1 IEEE802.1X 認証内蔵データベース 2 RADIUS サーバ 3 MAC 認証内蔵データベース 4 RADIUS サーバ 5 Web 認証内蔵データベース 6 RADIUS サーバ ( 凡例 ) : サポート : 未サポート 2.3. ログ出力機能ログ出力機能とは認証を許可した端末へのサービス開始やサービス停止認証失敗などのタイミングでユーザ情報を出力する機能ですこの機能を用いて利用状況追跡を行うことができます AX シリーズのサポートするログ出力機能を以下に示します表ログ出力機能項認証方式ログ出力機能 AX1200S AX2400S AX6300S 番 AX3600S AX6700S 1 IEEE802.1X 認証 show コマンドによる表示 2 RADIUS accounting 機能 3 syslog サーバへの出力 4 SNMP/Trap 5 MAC 認証 show コマンドによる表示 6 RADIUS accounting 機能 7 syslog サーバへの出力 8 SNMP/Trap 9 Web 認証 show コマンドによる表示 10 RADIUS accounting 機能 11 syslog サーバへの出力 12 SNMP/Trap ( 凡例 ) : サポート : 未サポート Copyright , ALAXALA Networks Corporation. All rights reserved. 35

36 2.4. RADIUS アトリビュート RADIUS アトリビュート ( 章 ) について AX シリーズの動作差分一覧を以下に示します表 RADIUS アトリビュートに対する機種別動作属性属性名 AX1200S 1 NAS-IP-Address VLAN ID の一番小さな VLAN インタフェースの IP アドレス AX2400S AX3600S AX6300S AX6700S ローカルアドレスが設定されている場合 : ローカルアドレス設定されていない場合 : 送信インタフェースの IP アドレス 2 Session-Timeout 参照しない Termination-Action が RADIUS-Request(1) に設定されていた場合以下の値で再認証を行う 0: 再認証は無効 1~60:60 秒で再認証 61~65535: 設定された値で再認証 (5.1.6 章参照 ) 3 Termination-Action 参照しない RADIUS-Request(1) に設定されていると装置で再認証を設定していない場合でも強制的に再認証を行う (5.1.6 章参照 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 36

37 2.5. IEEE802.1X 認証機能 AX シリーズのサポートする IEEE802.1X 認証の主な機能について以下に示します表 IEEE802.1X 認証機能項番機能 AX1200S AX2400S AX3600S AX6300S AX6700S 1 EAPOL フォワーディング EAPOL フォワーディング (*1) (*1) 機能 2 端末認証モードオプション認証除外端末オプション 3 認証除外ポートオプション 4 認証端末数制限オプション 5 RADIUS サーバとの関連機能サーバ無応答時の強制認証 6 端末検出動作切り替え機能 shortcut モード 7 disable モード 8 (*1) ( 凡例 ) : サポート : 未サポート装置単位の設定のみサポート full モード Copyright , ALAXALA Networks Corporation. All rights reserved. 37

38 2.6. Web 認証機能 AX シリーズのサポートする Web 認証機能の主な機能について以下に示します表 Web 認証機能項番機能固定 VLAN モード AX1200S 動的 VLAN モード AX2400S AX3600S 固定 VLAN モード動的 VLAN モード AX6300S AX6700S 固定 VLAN モード 1 Web サーバ機能 http 2 https 3 ログイン画面入れ替え機能 4 URL リダイレクト機能 5 Web 認証専用 IP アドレス 6 ログアウト機能最大接続時間での監視 7 無通信監視機能 8 ログアウト画面からのログアウト 9 ARP ポーリング 10 特殊 ping パケットによるログアウト 11 ポートリンクダウン 12 RADIUS サーバとサーバ無応答時の強制認証の関連機能 13 DHCP サーバ機能設定可能なリースタイム値 10 秒 ~ 10 秒 ~ 10 秒 ~ 14 デフォルトゲートウェイの配布 15 DNS の配布 ( 凡例 ) : サポート : 未サポート動的 VLAN モード Copyright , ALAXALA Networks Corporation. All rights reserved. 38

39 2.7. MAC 認証機能 AX シリーズのサポートする MAC 認証機能の主な機能について以下に示します表 MAC 認証機能項番機能固定 VLAN モード AX1200S 動的 VLAN モード AX2400S AX3600S 固定 VLAN モード動的 VLAN モード AX6300S AX6700S 固定 VLAN モード 1 認証解除機能最大接続時間での監視 2 エージング時間監視 3 ポートリンクダウン 4 RADIUS サーバとサーバ無応答時の強制認証 5 の関連機能定期的再認証要求 ( 凡例 ) : サポート : 未サポート動的 VLAN モード Copyright , ALAXALA Networks Corporation. All rights reserved. 39

40 2.8. 収容条件 AX シリーズのサポートする各認証モード毎の最大認証端末数を以下に示します表認証モード毎の最大認証端末数認証モード認証方式 AX1200S AX2400S AX6300S AX3600S AX6700S 固定 VLAN IEEE802.1X 64/ ポート 64/ ポート 256/ ポートモード認証 256/ 装置合計 256/VLAN 合計 256/VLAN 合計 MAC 認証 1024/ 装置 1024/ 装置 1024/ 装置 1024/ 装置 4096/ 装置 4096/ 装置 Web 認証 1024/ 装置 1024/ 装置 4096/ 装置動的 VLAN IEEE802.1X 256/ 装置合計 256/ 装置モード認証 (*1) 256/ 装置 MAC 認証合計 256/ 装置 (*1) 256/ 装置 256/ 装置 (*1) Web 認証 256/ 装置 256/ 装置 (*1) ( 凡例 ) : 未サポート (*1) AX3640S では 1024/ 装置となります Copyright , ALAXALA Networks Corporation. All rights reserved. 40

シリーズを用いた認証ネットワークの基本的な構成を以下のように定義しますコアスイッチマスター VRRP バックアップ OSPF AX3600S AX3600S AX3600S 認証スイッチ STP AX2400S AX1200S RADIUS サーバ DHCP

1-1 AX シリーズを用いた認証ネットワーク構成例コアスイッチには AX3600S を配置し VRRP を用いて装置を冗長化しますまた装置間はリンクアグリゲーションを用いて回線を冗長化します認証に用いる RADIUS サーバ端末に IP アドレスを配布する

41 3. 認証ネットワークの構築 3.1. 認証ネットワーク概要本章では AX シリーズを用いた認証ネットワークの構築例を示します本ガイドでは固定 VLAN モードと動的 VLAN モードの認証ネットワーク構成例を示しそれぞれの設定方法について解説します AX シリーズを用いた認証ネットワークの基本的な構成を以下のように定義しますコアスイッチマスター VRRP バックアップ OSPF AX3600S AX3600S AX3600S 認証スイッチ STP AX2400S AX1200S RADIUS サーバ DHCP サーバ syslog サーバ SNMP マネージャ AX1200S 端末プリンタ端末図 AX シリーズを用いた認証ネットワーク構成例コアスイッチには AX3600S を配置し VRRP を用いて装置を冗長化しますまた装置間はリンクアグリゲーションを用いて回線を冗長化します認証に用いる RADIUS サーバ端末に IP アドレスを配布する DHCP サーバログを収集する syslog サーバおよびネットワークを監視する SNMP マネージャはコアスイッチ配下に接続しますコアスイッチ同士の経路交換には OSPF 等のルーティングプロトコルを使用します認証スイッチには AX2400S および AX1200S を配置しスパニングツリーを用いて冗長化します認証を行う端末やプリンタは認証スイッチに直接またはハブを介して接続します本ガイドでは使用可能な全ての認証方式を認証スイッチに設定していますここで示した各装置の全コンフィグレーションを付録に添付していますので実際に構築する環境に合わせてご利用下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 41

42 3.2. 固定 VLAN モード認証ネットワーク構成図図の認証スイッチが固定 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF /24 0/ /24 0/24 0/23 VLAN15 Core#1 VLAN25 Core#2 VLAN25 VLAN15 Core# AX3600S / AX3600S AX3600S VLAN100,200,300,400, VLAN100,200,300,400,1000 VLAN50 0/1~0/2 0/3~0/4 0/3~0/4 0/1~0/2 0/1 0/2 0/ VRRP STP /47~0/48 VLAN100,200,300,400, VLAN400 0/1~0/10 VLAN100 0/11~0/20 仮想ルータクライアント用 VLAN クライアント用 VLAN クライアント用 VLAN クライアント用 VLAN 管理用 VLAN dist#1 AX2400S VLAN100,200,300 0/21~0/ /25~0/26 VLAN100,200,300, VLAN100 0/1~0/10 edge#1 AX1200S VLAN200,300 0/11~0/20 RADIUS サーバ #2 DHCP サーバ #2 DNS サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 DNS サーバ #1 syslog サーバ SNMP マネージャ 0/11 0/1 HUB#1 HUB#2 端末認証除外プリンタ MAC アドレス端末端末認証除外プリンタ MAC アドレス図認証ネットワーク構成図端末端末 IEEE802.1Q リンクここで認証スイッチのポートを以下のように設定します表認証スイッチのポート設定認証スイッチ AX2400S AX1200S 用途ポート番号ポート種別認証方式 VLAN ID 認証用上位スイッチとの通信用認証用上位スイッチとの通信用 0/1~0/10 アクセスポート IEEE802.1X 認証 ( ポート単位 ) 400 0/11~0/20 アクセスポート IEEE802.1X 認証 ( 固定 VLAN) 100 0/21~0/30 トランクポート MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 300 0/47~0/48 トランクポート 0/1~0/10 アクセスポート IEEE802.1X 認証 ( ポート単位 ) MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 100 0/11~0/20 トランクポート MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 0/25~0/26 トランクポート Copyright , ALAXALA Networks Corporation. All rights reserved. 42

43 各 VLAN の定義を以下の表に示します表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) クライアント用 /24 端末が所属する VLAN VLAN1 クライアント用 /24 VLAN2 クライアント用 /24 VLAN3 クライアント用 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 43

44 構築ポイント固定 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示します必須項目 (1) 運用前にシステムファンクションリソースを設定する (AX1200S のみ ) 固定 VLAN モードを使用する場合運用前にシステムファンクションリソース配分を変更してフィルタ機能と拡張認証機能を有効にします設定変更後は装置の再起動が必要です (2) アップリンク側ポートに認証除外設定をする (AX2400S のみ ) IEEE802.1X 認証 ( 固定 VLAN) を行う場合上位スイッチとの通信を行うポートに認証除外の設定が必要です (3) Web 認証用ポートにフィルタを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します認証前に通信を行いたい場合はアクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (a) DHCP 通信を許可する (b) DNS サーバへの DNS 通信を許可する (c) DNS サーバへの DNS 通信を許可する (4) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますなお AX2400S で設定後は Web サーバの再起動が必要ですまたクライアント用 VLAN のインタフェース IP アドレス設定が必要です本ガイドではクライアント用 VLAN の IP アドレスをそれぞれ次のように設定していますクライアント用認証スイッチ VLAN ID AX2400S AX1200S (5) Web 認証で SSL を使用する場合は FQDN を設定をする (AX2400S,AX3600S のみ ) Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 44

45 (6) Web 認証および MAC 認証時のポート移動後通信を許可する (AX1200S のみ ) ハブ経由で Web 認証または MAC 認証を実施する場合認証済み端末をリンクダウンせずにポート移動したときの通信許可 ( ローミング ) を設定します (7) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置するハブには EAPOL フォワーディング機能が必要です AX1200S には EAPOL フォワーディング機能が実装されています (8) デフォルトルートを設定する RADIUS サーバへ通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (9) IEEE802.1X 端末検出機能を停止する認証スイッチおよびネットワークの負荷を軽減するため認証スイッチのIEEE802.1X 端末検出機能を停止します (5.1.1 章参照 ) (10) MAC 認証の ID を統一する (AX1200S のみ ) AX2400S と AX1200S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX1200S のフォーマットを変更します (11) MAC 認証の最大接続時間を設定する MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定することを推奨します最大接続時間を設定すると再度認証を行う際にパケットロスが発生する事に注意して下さい (5.3.1 章参照 ) (12) 認証スイッチで VRRP をフィルタリングする VRRP を使用すると VLAN 毎に VRRP 制御パケットが端末まで送信されます VLAN 数が増加した場合ネットワークに負荷がかかるのを防ぐため本ガイドではアクセスリストを用いて認証スイッチにおける VRRP 制御パケットをフィルタリングしていますこれによりコアスイッチ間の回線に障害が起きた場合 VRRP がダブルマスタになる事に注意して下さい (13) コアスイッチ間の回線にリンクアグリゲーションを設定するコアスイッチ間の回線を冗長化するためリンクアグリゲーションを設定します本ガイドではスタティックモードを用いています Copyright , ALAXALA Networks Corporation. All rights reserved. 45

46 (14) 認証スイッチの認証用ポートはスパニングツリー対象外にするスパニングツリーを使用する場合リンクアップ後すぐ認証処理が開始されるようにするため認証用ポートはスパニングツリー対象外としますなお本ガイドではシングルスパニングツリーを使用していますが全認証スイッチが固定 VLAN モードのみで構成されている場合は PVST+ を使用することもできます (15) VRRP のマスタ STP のルートブリッジを設定する本ガイドでは core#1 の仮想ルータ優先度を 200 core#2 の優先度を 100 として core#1 をマスタに設定していますまた core#1 のブリッジ優先度を 4096 core#2 のブリッジ優先度を 8192 として core#1 をルートブリッジに設定しています (16) DHCP の設定をする DHCP サーバから IP アドレスを取得する構成の場合コアスイッチに DHCP リレーエージェントによる転送先アドレスの設定をしますまた DHCP サーバ側の設定で配布するデフォルトゲートウェイを VRRP の仮想ルータアドレスに設定する必要があります (17) RADIUS タイマ値をチューニングする (AX2400S のみ ) RADIUS サーバを 2 台以上設置して IEEE802.1X 認証を行う場合は RADIUS サーバの応答待ち時間を短く設定する必要があります (5.1.4 章参照 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 46

47 AX1200S のコンフィグレーション AX1200S の設定例を示します (1) 事前設定 AX1200S の設定システムファンクションリソース配分の設定 (config)# system function filter extended-authentication フィルタ機能と固定 VLAN モードを使用するためシステムファンクションリソース配分を変更します設定後は装置の再起動が必要です構築ポイント (1) (2) 共通の設定 AX1200S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,1000 (config)# interface range fastethernet 0/1-20 (config-if-range)# spanning-tree portfast 物理ポートの設定固定 VLAN 認証用 (config)# interface range fastethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface range fastethernet 0/11-20 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 200,300 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,1000 インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/20 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (14) ポート 0/1~0/10 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定しますポート 0/11~0/20 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定しますポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートにクライアント用 VLAN および管理用 VLAN1000 を設定しますクライアント用 VLAN および 300 にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) Copyright , ALAXALA Networks Corporation. All rights reserved. 47

48 AX1200S の設定 (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address アクセスリストの設定 (config)# ip access-list extended VRRPstop (config-ext-nacl)# deny protocol vrrp src dst (config-ext-nacl)# permit protocol ip src dst (config)# interface vlan 100 (config-if)# ip access-group VRRPstop in (config)# interface vlan 200 (config-if)# ip access-group VRRPstop in (config)# interface vlan 300 (config-if)# ip access-group VRRPstop in デフォルトルートの設定 (config)# ip route RADIUS サーバの設定 (config)# radius-server host key alaxala (config)# radius-server host key alaxala syslog サーバの設定 (config)# logging host 管理用 VLAN1000 にインタフェース IP アドレスを設定します以下のアクセスリストを作成します宛ての VRRP 通信を拒否するすべての通信を許可するクライアント用 VLAN および 300 にアクセスリストを適用します構築ポイント (12) RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定します SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています Copyright , ALAXALA Networks Corporation. All rights reserved. 48

49 (3) IEEE802.1X 認証の設定 AX1200S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group radius IEEE802.1X 認証の設定 (config)# interface range fastethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x supplicant-detection disable (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x timeout tx-period 30 RADIUS サーバでユーザ認証を行うことを設定しますポート 0/1~0/10 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定しますサプリカントの再認証を有効にします端末検出モードを disable にして EAP-Request/Identify の送信を抑止します構築ポイント (9) IEEE802.1X 認証を有効にします再認証を行う周期を 300 秒に設定します EAP-Request/Identity の送出間隔を 30 秒に設定します (4) Web 認証の設定 AX1200S の設定 Web 認証用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp src dst eq bootps (config-ext-nacl)# permit udp src dst eq domain (config-ext-nacl)# permit udp src dst eq domain 物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group radius Web 認証の設定 (config)# web-authentication ip address (config)# web-authentication static-vlan roaming (config)# web-authentication system-auth-control 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) 認証済み端末のポート移動後通信を許可します構築ポイント (6) Web 認証を有効にします Copyright , ALAXALA Networks Corporation. All rights reserved. 49

50 AX1200S の設定以下の設定は環境に合わせて行います (config)# web-authentication max-timer 60 (config)# web-authentication jump-url (config)# web-authentication static-vlan roaming action trap 認証成功後の最大接続時間を 60 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています認証済み端末をポート移動したときにトラップを送信します (5) MAC 認証の設定 AX1200S の設定物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group radius MAC 認証の設定 (config)# mac-authentication id-format 1 (config)# mac-authentication static-vlan roaming (config)# mac-authentication system-auth-control ポート 0/1~0/20 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (10) 認証済み端末のポート移動後通信を許可します構築ポイント (6) MAC 認証を有効にします以下の設定は環境に合わせて行います (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 60 (config)# mac-authentication password alaxala (config)# mac-authentication static-vlan roaming action trap 認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 60 分に設定します構築ポイント (11) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています認証済み端末をポート移動したときにトラップを送信します (6) スタティック MAC 登録の設定 AX1200S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static 認証せずに通信を行う端末の MAC アドレス vlan 100 interface fastethernet 0/1 を VLAN100 のポート 0/1 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 50

51 AX2400S のコンフィグレーション AX2400S の設定例を示します (1) 共通の設定 AX2400S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,400,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,400,1000 (config)# interface range gigabitethernet 0/1-30 (config-if-range)# spanning-tree portfast 物理ポートの設定固定 VLAN 認証用 (config)# interface range gigabitethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 400 (config)# interface range gigabitethernet 0/11-20 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface range gigabitethernet 0/21-30 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/47-48 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,400,1000 インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 400 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/30 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (14) ポート 0/1~0/10 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN400 を設定しますポート 0/11~0/20 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定しますポート 0/21~0/30 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定しますポート 0/47~0/48 を上位スイッチと通信するトランクポートとして設定しますトランクポートにクライアント用 VLAN および管理用 VLAN1000 を設定しますクライアント用 VLAN および 400 にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) 管理用 VLAN1000 にインタフェース IP アドレスを設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 51

52 AX2400S の設定アクセスリストの設定 (config)# ip access-list extended VRRPstop (config-ext-nacl)# deny vrrp any host (config-ext-nacl)# permit ip any any (config)# interface vlan 100 (config-if)# ip access-group VRRPstop in (config)# interface vlan 200 (config-if)# ip access-group VRRPstop in (config)# interface vlan 300 (config-if)# ip access-group VRRPstop in (config)# interface vlan 400 (config-if)# ip access-group VRRPstop in デフォルトルートの設定 (config)# ip default-gateway RADIUS サーバの設定 (config)# radius-server host key alaxala (config)# radius-server host key alaxala syslog サーバの設定 (config)# logging host (config)# logging event-kind aut 以下のアクセスリストを作成します宛ての VRRP 通信を拒否するすべての通信を許可するクライアント用 VLAN および 400 にアクセスリストを適用します構築ポイント (12) RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 52

53 (2) IEEE802.1X 認証の設定 AX2400S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group radius IEEE802.1X 認証 ( ポート単位 ) の設定 (config)# interface range gigabitethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x supplicant-detection disable 以下の設定は環境に合わせて行います (config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x timeout tx-period 30 IEEE802.1X 認証 ( 固定 VLAN) の設定 (config)# dot1x vlan 100 reauthentication (config)# dot1x vlan 100 supplicant-detection disable (config)# dot1x vlan 100 enable (config)# dot1x vlan 200 reauthentication (config)# dot1x vlan 200 supplicant-detection disable (config)# dot1x vlan 200 enable (config)# dot1x vlan 300 reauthentication (config)# dot1x vlan 300 supplicant-detection disable (config)# dot1x vlan 300 enable (config)# interface range gigabitethernet 0/47-48 (config-if-range)# dot1x force-authorized-port (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config)# dot1x vlan 100 timeout reauth-period 300 (config)# dot1x vlan 100 timeout tx-period 30 (config)# dot1x vlan 200 timeout reauth-period 300 (config)# dot1x vlan 200 timeout tx-period 30 (config)# dot1x vlan 300 timeout reauth-period 300 (config)# dot1x vlan 300 timeout tx-period 30 RADIUS サーバでユーザ認証を行うことを設定しますポート 0/1~0/10 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定しますサプリカントの再認証を有効にします端末検出モードを disable にして EAP-Request/Identify の送信を抑止します構築ポイント (9) 再認証を行う周期を 300 秒に設定します EAP-Request/Identity の送出間隔を 30 秒に設定します VLAN100 に対しサプリカントの再認証を有効にします端末検出モードを disable にして EAP-Request/Identify の送信を抑止します構築ポイント (9) IEEE802.1X 認証 ( 固定 VLAN) を有効にします VLAN200 および 300 に対しても同様に設定します上位スイッチと通信を行うポート 0/47~0/48 は認証対象外とします構築ポイント (2) IEEE802.1X 認証を有効にします再認証を行う周期を 300 秒に設定します EAP-Request/Identity の送出間隔を 30 秒に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 53

54 (3) Web 認証の設定 AX2400S の設定 Web 認証用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain 物理ポートの設定 (config)# interface range gigabitethernet 0/11-30 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group radius Web 認証の設定 (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication system-auth-control 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) ポート 0/11~0/30 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) Web 認証を有効にします以下の設定は環境に合わせて行います (config)# web-authentication max-timer 60 (config)# web-authentication jump-url syslog サーバの設定 (config)# web-authentication logging enable 認証成功後の最大接続時間を 60 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています Web 認証の動作ログを syslog サーバへ出力します Copyright , ALAXALA Networks Corporation. All rights reserved. 54

55 (4) MAC 認証の設定 AX2400S の設定物理ポートの設定 (config)# interface range gigabitethernet 0/11-30 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group radius MAC 認証の設定 (config)# mac-authentication system-auth-control ポート 0/11~0/30 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します MAC 認証を有効にします以下の設定は環境に合わせて行います (config)# mac-authentication max-timer 60 (config)# mac-authentication password alaxala syslog サーバの設定 (config)# mac-authentication logging enable 認証成功後の最大接続時間を 60 分に設定します構築ポイント (11) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています MAC 認証の動作ログを syslog サーバへ出力します (5) スタティック MAC 登録の設定 AX2400S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static 認証せずに通信を行う端末の MAC アドレス vlan 100 interface gigabitethernet 0/11 を VLAN100 のポート 0/11 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 55

56 AX3600S のコンフィグレーション AX3600S の設定例を示します (1) 共通の設定 AX3600S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,400,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,400,1000 (config)# spanning-tree single priority 4096 物理ポートの設定 (config)# interface range gigabitethernet 0/1-4 (config-if-range)# media-type rj45 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,400,1000 リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 100,200,300,400,1000 (config)# interface range gigabitethernet 0/3-4 (config-if-range)# channel-group 1 mode on インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 400 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN および 400 を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にしますブリッジ優先度を設定します構築ポイント (15) ポート 0/1~0/4 を下位スイッチと通信するトランクポートとして設定しますメディアタイプを設定しますトランクポートに VLAN および 1000 を設定しますポートチャネルインタフェース 1 をトランクポートとして作成しトランクポートに VLAN および 1000 を設定しますポート 0/3~0/4 をスタティックモードのチャネルグループ 1 に設定します構築ポイント (13) VLAN および 1000 にインタフェース IP アドレスをそれぞれ設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 56

57 (2) VRRP の設定 AX3600S の設定 VRRP の設定 (config)# interface vlan 100 (config-if)# vrrp 100 ip (config-if)# vrrp 100 priority 200 (config-if)# no vrrp 100 preempt (config-if)# vrrp 100 accept (config)# interface vlan 200 (config-if)# vrrp 200 ip (config-if)# vrrp 200 priority 200 (config-if)# no vrrp 200 preempt (config-if)# vrrp 200 accept VLAN および 1000 に対して以下の設定を行います仮想ルータの IP アドレスを設定します仮想ルータの優先度を設定します自動切り戻しを抑止しますアクセプトモードを有効にします構築ポイント (15) (config)# interface vlan 300 (config-if)# vrrp 30 ip (config-if)# vrrp 30 priority 200 (config-if)# no vrrp 30 preempt (config-if)# vrrp 30 accept (config)# interface vlan 400 (config-if)# vrrp 40 ip (config-if)# vrrp 40 priority 200 (config-if)# no vrrp 40 preempt (config-if)# vrrp 40 accept (config)# interface vlan 1000 (config-if)# vrrp 1 ip (config-if)# vrrp 1 priority 200 (config-if)# no vrrp 1 preempt (config-if)# vrrp 1 accept (3) DHCP リレーの設定 AX3600S の設定 DHCP リレーの設定 (config)# interface vlan 100 (config-if)# ip helper-address (config)# interface vlan 200 (config-if)# ip helper-address VLAN および 400 に対して DHCP リレーエージェントによる転送先アドレスを設定します構築ポイント (16) (config)# interface vlan 300 (config-if)# ip helper-address (config)# interface vlan 400 (config-if)# ip helper-address Copyright , ALAXALA Networks Corporation. All rights reserved. 57

58 (4) OSPF の設定 AX3600S の設定ポート VLAN の設定 (config)# vlan 5,15 (config-vlan)# state active 物理ポートの設定 (config)# interface gigabitethernet 0/24 (config-if)# switchport mode access (config-if)# switchport access vlan 15 (config-if)# spanning-tree portfast リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport trunk allowed vlan add 5 インタフェースの設定 (config)# interface vlan 5 (config-if)# ip address (config)# interface vlan 15 (config-if)# ip address OSPF の設定 (config)# router ospf 1 (config-router)# router-id (config-router)# network area 0 (config-router)# network area 0 (config-router)# redistribute connected OSPF 通信用にポート VLAN5 および 15 を作成しますポート 0/24 をアクセスポートとして設定しますアクセスポートに VLAN15 を設定しますスパニングツリーの PortFast 機能を適用しスパニングツリー対象外としますポートチャネルインタフェース 1 に VLAN5 を追加します VLAN5 および 15 に IP アドレスを設定します OSPF を起動しますルータ ID を設定します OSPF が動作するネットワークを設定します connected 経路を再配送します Copyright , ALAXALA Networks Corporation. All rights reserved. 58

3.3. 動的 VLAN モード 3.3.1. 認証ネットワーク構成図図 3.1-1 の認証スイッチが動的 VLAN モードである場合の認証ネットワーク構成図を以下に示します 10.15.0.0/24 OSPF.1 0/24 VLAN15 172.16.0.1 AX3600S 10.5.0.0/ 24 172.16.0.2 AX3600S AX3600S VLAN10,100,200,1000.

168.10.254 認証後 VLAN1 192.168.100.254 認証後 VLAN2 192.168.200.254 管理用 VLAN 172.16.0.254 edge#1 RADIUS サーバ #2 DHCP サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 syslog サーバ 172.16.0.11 MAC VLAN100,200 Native VLAN10 0/1~0/40 AX2400S 172.

3-1 認証ネットワーク構成図ここで認証スイッチのポートを以下のように設定します表 3.3-1 認証スイッチのポート設定認証スイッチ AX2400S AX1200S 用途ポート番号ポート種別認証方式認証用 0/1~0/40 MAC VLAN ポート上位スイッチとの通信用 IEEE802.

59 3.3. 動的 VLAN モード認証ネットワーク構成図図の認証スイッチが動的 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF.1 0/24 VLAN AX3600S / AX3600S AX3600S VLAN10,100,200, VLAN10,100,200,1000 VLAN50 0/1~0/2 0/3~0/4 0/3~0/4 0/1~0/2 0/1 0/2 0/ VRRP STP core# /47~0/48 0/25~0/26 VLAN10,100,200,1000 dist#1 VLAN10,100,200, /24 0/24 0/24 0/23 VLAN25 core#2 VLAN25 VLAN15 core#3 仮想ルータ認証前 VLAN 認証後 VLAN 認証後 VLAN 管理用 VLAN edge#1 RADIUS サーバ #2 DHCP サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 syslog サーバ MAC VLAN100,200 Native VLAN10 0/1~0/40 AX2400S MAC VLAN100,200 Native VLAN10 0/1~0/20 AX1200S DNS サーバ #2 DNS サーバ #1 SNMP マネージャ 0/1 HUB 0/1 認証除外プリンタ MAC アドレス端末端末認証除外プリンタ MAC アドレス端末 IEEE802.1Q リンク図認証ネットワーク構成図ここで認証スイッチのポートを以下のように設定します表認証スイッチのポート設定認証スイッチ AX2400S AX1200S 用途ポート番号ポート種別認証方式認証用 0/1~0/40 MAC VLAN ポート上位スイッチとの通信用 IEEE802.1X 認証 ( 動的 VLAN) MAC 認証 ( 動的 VLAN) Web 認証 ( 動的 VLAN) 認証前 VLAN 認証後 VLAN ,200 0/47~0/48 トランクポート認証用 0/1~0/20 MAC VLAN ポート上位スイッチとの通信用 IEEE802.1X 認証 ( 動的 VLAN) MAC 認証 ( 動的 VLAN) Web 認証 ( 動的 VLAN) ,200 0/25~0/26 トランクポート Copyright , ALAXALA Networks Corporation. All rights reserved. 59

60 各 VLAN の定義を以下の表に示します表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) 認証前 VLAN /24 端末が認証を行う前に所属する VLAN 認証後 VLAN /24 認証が成功した端末が所属する VLAN 認証後 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 60

61 構築ポイント動的 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示します必須項目 (1) 運用前にシステムファンクションリソースを設定する (AX1200S のみ ) Web 認証専用 IP アドレスを使用する場合運用前にシステムファンクションリソース配分を変更してフィルタ機能と拡張認証機能を有効にします設定変更後は装置の再起動が必要です (2) Web 認証の URL リダイレクト機能を使用する場合認証前 VLAN をアップリンク側のポートに追加する認証前 VLAN から DNS サーバへ通信を行うため認証前 VLAN をアップリンク側のポートに追加します (3) Web 認証用ポートにフィルタを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します URL リダイレクトや検疫などで認証前に通信を行いたい場合はアクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (a) DHCP 通信を許可する (b) DNS サーバへの DNS 通信を許可する (c) DNS サーバへの DNS 通信を許可する (4) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますなお AX2400S で設定後は Web サーバの再起動が必要ですまた認証スイッチで arp 解決を行うため認証後 VLAN のインタフェース IP アドレス設定が必要です本ガイドでは認証後 VLAN の IP アドレスをそれぞれ次のように設定しています認証後 VLAN ID 認証スイッチ AX2400S AX1200S (5) Web 認証で SSL を使用する場合は FQDN を設定をする (AX2400S,AX3600S のみ ) Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 61

62 (6) 認証前 VLAN に DHCP で IP アドレスを配布する動的 VLAN モードでは認証前と認証後で IP アドレスが切り替わるため認証前 VLAN と認証後 VLAN に対してそれぞれ DHCP サーバが必要です本ガイドでは認証スイッチの DHCP サーバ機能を用いて認証前 VLAN に IP アドレスを配布しています認証後に IP アドレスを速やかに切り替えるためリース時間は短い値に設定して下さい本ガイドでは 10 秒に設定していますまた URL リダイレクト機能を使用する場合は DNS サーバ情報も配布して下さい認証ネットワーク内の各認証スイッチで同一サブネットIPアドレスを配布すると IPアドレスが重複してしまう場合がありますこのため本ガイドではIPアドレス配布対象除外コマンドを用いて重複しないようにしています詳細は注意事項 5.2.4を参照して下さい (7) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置するハブには EAPOL フォワーディング機能が必要です AX1200S には EAPOL フォワーディング機能が実装されています (8) デフォルトルートを設定する RADIUS サーバと通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (9) IEEE802.1X 端末検出機能を停止する認証スイッチおよびネットワークの負荷を軽減するため認証スイッチのIEEE802.1X 端末検出機能を停止します (5.1.1 章参照 ) (10) 認証スイッチの非認証状態保持時間を調整する IEEE802.1X 認証機能を有効に設定したWindows 端末は起動時にコンピュータのIEEE802.1X 認証を行いユーザログオン時にユーザのIEEE802.1X 認証を行います本ガイドの認証ネットワーク構成ではコンピュータの認証が失敗するため次のユーザ認証が行えるようになるまで非認証状態保持時間かかりますこの時間はデフォルト値で 60 秒なので認証処理を早く行いたい場合は短い値に設定して下さい ( 詳細は注意事項 5.1.3を参照 ) 本ガイドでは非認証状態保持時間を 5 秒に設定しています (11) MAC 認証の ID を統一する (AX1200S のみ ) AX2400S と AX1200S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX1200S のフォーマットを変更します (12) MAC 認証の最大接続時間を設定する (AX2400S のみ ) MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定すること Copyright , ALAXALA Networks Corporation. All rights reserved. 62

63 を推奨します (13) 認証スイッチで VRRP をフィルタリングする VRRP を使用すると VLAN 毎に VRRP 制御パケットが端末まで送信されます VLAN 数が増加した場合ネットワークに負荷がかかるのを防ぐため本ガイドではアクセスリストを用いて認証スイッチにおける VRRP 制御パケットをフィルタリングしていますこれによりコアスイッチ間の回線に障害が起きた場合 VRRP がダブルマスタになる事に注意して下さい (14) コアスイッチ間の回線にリンクアグリゲーションを設定するコアスイッチ間の回線を冗長化するためリンクアグリゲーションを設定します本ガイドではスタティックモードを用いています (15) シングルスパニングツリーを使用する AX シリーズではデフォルトで PVST+ が動作していますが MAC VLAN では PVST+ を使用することができないためシングルスパニングツリーを使用しますシングルスパニングツリーを有効にしてもポート VLAN では PVST+ が動作しているのでポート VLAN 毎に PVST+ を止める必要がありますまた認証スイッチの認証用ポートおよびコアスイッチの OSPF 通信用ポートはスパニングツリー対象外とします (16) VRRP のマスタ STP のルートブリッジを設定する本ガイドでは core#1 の仮想ルータ優先度を 200 core#2 の優先度を 100 として core#1 をマスタに設定していますまた core#1 のブリッジ優先度を 4096 core#2 のブリッジ優先度を 8192 として core#1 をルートブリッジに設定しています (17) 認証後の DHCP の設定をする認証後 DHCP サーバから IP アドレスを取得するためコアスイッチに DHCP リレーエージェントによる転送先アドレスの設定をしますまた DHCP サーバ側の設定で配布するデフォルトゲートウェイを VRRP の仮想ルータアドレスに設定する必要があります (18) RADIUS タイマ値をチューニングする (AX2400S のみ ) RADIUSサーバを 2 台以上設置してIEEE802.1X 認証を行う場合は RADIUSサーバの応答待ち時間を短く設定する必要があります (5.1.4 章参照 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 63

64 AX1200S のコンフィグレーション AX1200S の設定例を示します (1) 事前設定 AX1200S の設定システムファンクションリソース配分の設定 (config)# system function filter extended-authentication フィルタ機能と Web 認証専用 IP アドレスを使用するためシステムファンクションリソース配分を変更します設定後は装置の再起動が必要です構築ポイント (1) (2) 共通の設定 AX1200S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active MAC VLAN の設定 (config)# vlan 100,200 mac-based (config-vlan)# state active VLAN1 は使用しないため無効にします認証前 VLAN として VLAN10 を管理用 VLAN として VLAN1000 を作成します認証後 VLAN として MAC VLAN100 および 200 を作成しますスパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000 (config)# interface range fastethernet 0/1-20 (config-if-range)# spanning-tree portfast 物理ポートの設定動的 VLAN 認証用 (config)# interface range fastethernet 0/1-20 (config-if-range)# switchport mode mac-vlan (config-if-range)# switchport mac vlan 100,200 (config-if-range)# switchport mac native vlan 10 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,100,200,1000 シングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN10 および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/20 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (15) ポート 0/1~0/20 を MAC VLAN ポートとして設定します MAC VLAN ポートに認証後 VLAN100 と 200 を Native VLAN として認証前 VLAN10 を設定しますポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートに認証後 VLAN および管理用 VLAN1000 を設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 64

65 AX1200S の設定インタフェースの設定 (config)# interface vlan 10 (config-if)# ip address (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address 認証前 VLAN10 および認証後 VLAN にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) 管理用 VLAN1000 にインタフェース IP アドレスを設定しますアクセスリストの設定 (config)# ip access-list extended VRRPstop (config-ext-nacl)# deny protocol vrrp src dst (config-ext-nacl)# permit protocol ip src dst (config)# interface vlan 100 (config-if)# ip access-group VRRPstop in (config)# interface vlan 200 (config-if)# ip access-group VRRPstop in デフォルトルートの設定 (config)# ip route RADIUS サーバの設定 (config)# radius-server host key alaxala (config)# radius-server host key alaxala syslog サーバの設定 (config)# logging host 以下のアクセスリストを作成します宛ての VRRP 通信を拒否するすべての通信を許可する認証後 VLAN100 および 200 にアクセスリストを適用します構築ポイント (13) デフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定します SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています Copyright , ALAXALA Networks Corporation. All rights reserved. 65

66 (3) IEEE802.1X 認証の設定 AX1200S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group radius IEEE802.1X 認証の設定 (config)# dot1x system-auth-control (config)# interface range fastethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x supplicant-detection disable (config-if-range)# dot1x timeout quiet-period 5 RADIUS サーバでユーザ認証を行うことを設定します IEEE802.1X 認証を有効にしますポート 0/1~0/20 に対して IEEE802.1X 認証 ( ポート単位動的 ) を有効にします認証サブモードを端末認証モードに設定します再認証を有効にします再認証を行う周期を 300 秒に設定します端末検出モードを disable にして EAP-Request/Identify の送信を抑止します構築ポイント (9) 非認証状態保持時間を 5 秒に設定します構築ポイント (10) (4) Web 認証の設定 AX1200S の設定認証前アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp src dst eq bootps (config-ext-nacl)# permit udp src dst eq domain (config-ext-nacl)# permit udp src dst eq domain 物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group radius Web 認証の設定 (config)# web-authentication ip address (config)# web-authentication roaming (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# no web-authentication auto-logout (config)# web-authentication max-timer 60 (config)# web-authentication roaming action trap 以下のアクセスリストを作成します DHCP 通信を許可するへの DNS 通信を許可する構築ポイント (3) ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証ポートにアクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) 認証済み端末のポート移動後通信を許可します Web 認証を有効にします自動認証ログアウトを無効にします認証成功後の最大接続時間を 60 分に設定します認証済み端末をポート移動したときにトラップを送信します Copyright , ALAXALA Networks Corporation. All rights reserved. 66

67 AX1200S の設定 DHCP サーバの設定 (config)# service dhcp vlan 10 (config)#ip dhcp excluded-address (config)#ip dhcp excluded-address (config)# ip dhcp pool AUTH (dhcp-config)# network /24 (dhcp-config)# lease (dhcp-config)# dns-server (dhcp-config)# default-router VLAN10 で DHCP サーバを有効にします DHCP アドレス配布対象から除外する IP アドレスを設定します DHCP アドレスプール情報を設定します配布するネットワーク IP アドレスを設定しますリース時間を 10 秒に設定します構築ポイント (6) 配布する DNS サーバの IP アドレスを設定する配布するデフォルトルートを設定します (5) MAC 認証の設定 AX1200S の設定物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group radius MAC 認証の設定 (config)# mac-authentication id-format 1 (config)# mac-authentication password alaxala (config)# mac-authentication system-auth-control (config)# mac-authentication roaming 以下の設定は環境に合わせて行います (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 60 (config)# mac-authentication roaming action trap ポート 0/1~0/20 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (11) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています MAC 認証を有効にします認証済み端末をポート移動通信を許可します認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 60 分に設定します構築ポイント (12) 認証済み端末をポート移動したときにトラップを送信します (6) スタティック MAC 登録の設定 AX1200S の設定動的 VLAN モードの認証を除外するスタティック MAC 登録設定 (config)# vlan 100 mac-based 認証せずに通信を行う端末の MAC アドレス (config-vlan)# mac-address を MAC VLAN100 に対して設定します (config)# mac-address-table static vlan 100 interface fastethernet 0/1 認証せずに通信を行う端末の MAC アドレスを VLAN100 のポート 0/1 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 67

68 AX2400S のコンフィグレーション AX2400S の設定例を示します (1) 共通の設定 AX2400S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active MAC VLAN の設定 (config)# vlan 100,200 mac-based (config-vlan)# state active VLAN1 は使用しないため無効にします認証前 VLAN として VLAN10 を管理用 VLAN として VLAN1000 を作成します認証後 VLAN として MAC VLAN100 および 200 を作成しますスパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# spanning-tree portfast 物理ポートの設定動的 VLAN 認証用 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# switchport mode mac-vlan (config-if-range)# switchport mac vlan 100,200 (config-if-range)# switchport mac native vlan 10 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/47-48 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,100,200,1000 シングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN10 および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/40 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (15) ポート 0/1~0/40 を MAC VLAN ポートとして設定します MAC VLAN ポートに認証後 VLAN を Native VLAN として認証前 VLAN10 を設定しますポート 0/47~0/48 を上位スイッチと通信するトランクポートとして設定しますトランクポートに認証前 VLAN10 認証後 VLAN および管理用 VLAN1000 を設定しますインタフェースの設定 (config)# interface vlan 10 (config-if)# ip address (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address 認証前 VLAN10 にインタフェース IP アドレスを設定します認証後 VLAN にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) 管理用 VLAN1000 にインタフェース IP アドレスを設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 68

69 AX2400S の設定アクセスリストの設定 (config)# ip access-list extended VRRPstop (config-ext-nacl)# deny vrrp any host (config-ext-nacl)# permit ip any any (config)# interface vlan 10 (config-if)# ip access-group VRRPstop in (config)# interface vlan 100 (config-if)# ip access-group VRRPstop in (config)# interface vlan 200 (config-if)# ip access-group VRRPstop in デフォルトルートの設定 (config)# ip default-gateway RADIUS サーバの設定 (config)# radius-server host key alaxala (config)# radius-server host key alaxala syslog サーバの設定 (config)# logging host (config)# logging event-kind aut 以下のアクセスリストを作成します宛ての VRRP 通信を拒否するすべての通信を許可する認証前 VLAN10 認証後 VLAN100 および 200 にアクセスリストを適用します構築ポイント (13) RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します (2) IEEE802.1X 認証の設定 AX2400S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group radius (config)# aaa authorization network default group radius IEEE802.1X 認証の設定 (config)# dot1x vlan dynamic radius-vlan 100,200 (config)# dot1x vlan dynamic enable (config)# dot1x vlan dynamic reauthentication (config)# dot1x vlan dynamic supplicant-detection disable (config)# dot1x vlan dynamic timeout quiet-period 5 (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config)# dot1x vlan dynamic timeout reauth-period 300 (config)# dot1x vlan dynamic timeout tx-period 30 RADIUS サーバでユーザ認証を行うことを設定します RADIUS サーバで IEEE802.1X 認証 ( 動的 VLAN) を行うことを設定します認証後 VLAN を VLAN100 および 200 とします IEEE802.1X 認証 ( 動的 VLAN) を有効にしますサプリカントの再認証を有効にします端末検出モードを disable にして EAP-Request/Identify の送信を抑止します構築ポイント (9) 非認証状態保持時間を 5 秒に設定します構築ポイント (10) IEEE802.1X 認証を有効にします再認証を行う周期を 300 秒に設定します EAP-Request/Identity の送出間隔を 30 秒に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 69

70 (3) Web 認証の設定 AX2400S の設定 Web 認証用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain 物理ポートの設定 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-grpup web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group radius Web 認証の設定 (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# no web-authentication auto-logout (config)# web-authentication max-timer 60 (config)# web-authentication jump-url DHCP サーバの設定 (config)# service dhcp vlan 10 (config)#ip dhcp excluded-address (config)#ip dhcp excluded-address (config)# ip dhcp pool AUTH (dhcp-config)# network /24 (dhcp-config)# lease (dhcp-config)# default-router (dhcp-config)# dns-server 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) ポート 0/1~0/40 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) Web 認証を有効にします自動認証ログアウトを無効にします認証成功後の最大接続時間を 60 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています認証前 VLAN10 で DHCP サーバを有効にします DHCP アドレス配布対象から除外する IP アドレスを設定します構築ポイント (6) DHCP アドレスプール情報を設定します配布するネットワーク IP アドレスを設定しますリース時間を 10 秒に設定します構築ポイント (6) 配布するデフォルトルートを設定します配布する DNS サーバを設定します構築ポイント (6) Copyright , ALAXALA Networks Corporation. All rights reserved. 70

71 syslog サーバの設定 (config)# web-authentication logging enable Web 認証の動作ログを syslog サーバへ出力します (4) MAC 認証の設定 AX2400S の設定物理ポートの設定 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group radius MAC 認証の設定 (config)# mac-authentication system-auth-control ポート 0/1~0/40 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します MAC 認証を有効にします以下の設定は環境に合わせて行います (config)# mac-authentication max-timer 60 (config)# mac-authentication password alaxala syslog サーバの設定 (config)# mac-authentication logging enable 認証成功後の最大接続時間を 60 分に設定します構築ポイント (12) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています MAC 認証の動作ログを syslog サーバへ出力します (5) スタティック MAC 登録の設定 AX2400S の設定動的 VLAN 認証を除外するスタティック MAC 登録設定 (config)# vlan 100 mac-based (config-vlan)# mac-address 認証せずに通信を行う端末の MAC アドレスを MAC VLAN100 に対して設定します (config)# mac-address-table static vlan 100 interface gigabitethernet 0/1 認証せずに通信を行う端末の MAC アドレスを MAC アドレステーブルに対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 71

72 AX3600S のコンフィグレーション AX3600S の設定例を示しますここではの固定 VLAN モードの場合に追加する分のみ示します AX3600S の設定ポート VLAN の設定 (config)# vlan 10 (config-vlan)# state active スパニングツリーの設定 (config)# no spanning-tree vlan 10 物理ポートの設定 (config)# interface range gigabitethernet 0/1-2 (config-if-range)# switchport trunk allowed vlan add 10 リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport trunk allowed vlan add 10 インタフェースの設定 (config)# interface vlan 10 (config-if)# ip address VRRP の設定 (config)# interface vlan 10 (config-if)# vrrp 10 ip (config-if)# vrrp 10 priority 200 (config-if)# no vrrp 10 preempt (config-if)# vrrp 10 accept 認証前 VLAN として VLAN10 を作成します VLAN10 をシングルスパニングツリー対象にします下位スイッチとの通信用ポート 0/1~0/2 に VLAN10 を追加しますポートチャネルインタフェース 1 で VLAN10 を追加します構築ポイント (14) VLAN10 のインタフェース IP アドレスを設定します VLAN10 に対して以下の設定を行います仮想ルータの IP アドレスを設定します仮想ルータの優先度を設定します自動切り戻しを抑止しますアクセプトモードを有効にします構築ポイント (16) Copyright , ALAXALA Networks Corporation. All rights reserved. 72

4. 端末側の設定方法 4.1. IEEE802.1X 認証 Windows XP の設定方法 4.1.1. EAP-TLS 方式の設定方法 IEEE802.

あらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています (1) 証明書の確認方法まず証明書がインストールされているかどうかを確認します各証明書の確認方法を以下に示します 1 CA 証明書の確認方法スタートコントロールパネル

73 4. 端末側の設定方法 4.1. IEEE802.1X 認証 Windows XP の設定方法 EAP-TLS 方式の設定方法 IEEE802.1X 認証の EAP-TLS 方式ではユーザ証明書およびサーバ証明書によって認証を行ないます証明書を用いる認証は端末を認証ネットワークに接続する前に証明書をインストールする必要があります証明書の取得方法は CA 局のサーバにより異なります以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています (1) 証明書の確認方法まず証明書がインストールされているかどうかを確認します各証明書の確認方法を以下に示します 1 CA 証明書の確認方法スタートコントロールパネルインターネットオプションでコンテンツタブを開き証明書をクリックする次に信頼されたルート証明機関タブをクリックして発行者が example-dc-ca である証明書を確認する 2 ユーザ証明書の確認方法スタートコントロールパネルインターネットオプションでコンテンツタブを開き証明書をクリックする次に個人タブをクリックして発行者が example-dc-ca で発行先が user01 である証明書を確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 73

(2) EAP-TLS 方式の設定手順 Windows XP の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネルネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開きこのネットワークでIEEE802.

74 (2) EAP-TLS 方式の設定手順 Windows XP の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネルネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開きこのネットワークでIEEE802.1X 認証を有効にするをチェックし EAPの種類にスマートカードまたはその他の証明書を選択する最後にプロパティをクリックする ( 認証タブが表示されない場合は4.1.1(3) 参照 ) 2 スマートカードまたはほかの証明書のプロパティ画面にて接続のための認証方法にこのコンピュータの証明書を使うを選択する次にサーバーの証明書を有効化するをチェックし信頼されたルート証明機関から example-dc-ca をチェックする最後に OK をクリックして画面を閉じる Copyright , ALAXALA Networks Corporation. All rights reserved. 74

(3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1.1の設定画面で認証タブが表示されていない場合次の操作を実行して下さいスタートコントロールパネル管理ツールサービスで Wireless Zero Configuration を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックする 2.

75 (3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1.1の設定画面で認証タブが表示されていない場合次の操作を実行して下さいスタートコントロールパネル管理ツールサービスで Wireless Zero Configuration を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックする 2.2のサーバーの証明書を有効化するのチェックを外すとユーザ証明書のみでの認証を実施することができますただしセキュリティのレベルは低くなります 3. 端末にユーザ証明書が複数インストールされている場合は認証ネットワーク接続時に選択画面が表示されますのでそこでユーザ証明書を選択して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 75

SSO(Single Sign-On) を構成する事ができます以下の解説ではサーバ証明書の検証に必要な CA 証明書が発行者 example-dc-ca としてあらかじめ端末にインストールされている事を前提としています (1) EAP-PEAP 方式の設定手順 Windows XP の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.

76 EAP-PEAP 方式の設定方法 EAP-PEAP 方式とはクライアント側はユーザ ID とパスワードによる認証サーバ側は電子証明書によって認証を行う方式です本ガイドでは PEAP-MSCHAPv2 にてサプリカントの Windows ログオン名とパスワード及びドメイン名を自動的に使うオプションを使用しますこれによりユーザがユーザ ID およびパスワードを入力する必要の無い SSO(Single Sign-On) を構成する事ができます以下の解説ではサーバ証明書の検証に必要な CA 証明書が発行者 example-dc-ca としてあらかじめ端末にインストールされている事を前提としています (1) EAP-PEAP 方式の設定手順 Windows XP の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネルネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開きこのネットワークでIEEE802.1X 認証を有効にするをチェックし EAPの種類に保護されたEAP(PEAP) を選択する最後にプロパティをクリックする ( 認証タブが表示されない場合は4.1.1(3) 参照 ) 2 保護された EAP のプロパティ画面にてサーバーの証明書を検証するをチェックし信頼されたルート証明機関の中から example-dc-ca をチェックする次に認証方法からセキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択し構成をクリックする Copyright , ALAXALA Networks Corporation. All rights reserved. 76

3 EAP MSCHAPv2 のプロパティ画面にて Windows ログオン名とパスワード ( およびドメインがある場合はドメイン ) を自動的に使うをチェックする OK をクリックして画面を閉じる (2) 注意事項 EAP-PEAP 方式の設定における注意事項を以下に示します 1.

77 3 EAP MSCHAPv2 のプロパティ画面にて Windows ログオン名とパスワード ( およびドメインがある場合はドメイン ) を自動的に使うをチェックする OK をクリックして画面を閉じる (2) 注意事項 EAP-PEAP 方式の設定における注意事項を以下に示します 1. 証明書を端末にインストールしなくても認証を実施する事ができますその場合は 2 のサーバーの証明書を検証するチェックを外して下さいただしサーバ証明書を検証せずに認証を行うためセキュリティのレベルは低くなります 2.IEEE802.1X 認証のIDおよびパスワードとWindowsログオンのIDおよびパスワードが異なる場合または端末のログインユーザ名およびパスワードをそのまま使用しない場合は 3のチェックを外して下さい 3.EAP-PEAP 方式では認証ネットワーク接続時にユーザ名パスワードおよびアカウントの入力が要求されます Windows ドメイン参加していない場合アカウントの入力は省略できます 4. 認証が成功した場合はユーザ名およびパスワードはキャッシュされ次回からの接続では入力不用となります 5. ユーザ名およびパスワードがキャッシュされると EAP-PEAP 方式で認証失敗しない限り再び入力画面は現れませんユーザ名およびパスワードがキャッシュされた後に接続ユーザを変更したい場合は 3のチェックをした状態で端末のパスワードを変更するなどして一度認証に失敗させて下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 77

4.1.3. Windows XP(SP2) から IEEE802.1X 認証の接続を開始する方法 Windows XP(SP2) は自発的にIEEE802.1X 認証を開始しません Windows XP(SP3) では自発的に認証処理を開始します Windowsサプリカントの動作の詳細は5.1.2 章を参照して下さい

コマンドプロンプトにて regedit と入力する 2 レジストリエディタ画面の左側のツリーで下記ディレクトリに移動する HKEY_LOCAL_MACHINE SOFTWARE Microsoft EAPOL Parameters General Global 3 パラメータを追加する Global を右クリックし新規

78 Windows XP(SP2) から IEEE802.1X 認証の接続を開始する方法 Windows XP(SP2) は自発的にIEEE802.1X 認証を開始しません Windows XP(SP3) では自発的に認証処理を開始します Windowsサプリカントの動作の詳細は5.1.2 章を参照して下さい Windows XP(SP2) から認証開始させるには Windows XP(SP2) のレジストリを編集して自発的に EAPOL-Start を送信するよう変更します以下にその方法を示します (1) Windows XP(SP2) のレジストリ変更手順管理者ユーザで以下を実行して下さい 1 レジストリエディタを起動するコマンドプロンプトにて regedit と入力する 2 レジストリエディタ画面の左側のツリーで下記ディレクトリに移動する HKEY_LOCAL_MACHINE SOFTWARE Microsoft EAPOL Parameters General Global 3 パラメータを追加する Global を右クリックし新規 DWORD 値で SupplicantMode を追加する値のデータに 3 を入力する 4 SupplicantMode が正しく設定されている事を確認する 5 機能を有効化するため PC を再起動する Copyright , ALAXALA Networks Corporation. All rights reserved. 78

Windows XP(SP2) の認証動作を元に戻す場合はレジストリエディタで SupplicantMode を削除し端末を再起動して下さい (2) レジストリパッチファイルを用いたレジストリ変更手順 Windows XP(SP2) のレジストリに対し不適切な変更を行うとシステムを破壊する恐れがあるためレジストリ編集作業を各ユーザに任せるのは非常に危険ですこの問題を回避する一例として

79 Windows XP(SP2) の認証動作を元に戻す場合はレジストリエディタで SupplicantMode を削除し端末を再起動して下さい (2) レジストリパッチファイルを用いたレジストリ変更手順 Windows XP(SP2) のレジストリに対し不適切な変更を行うとシステムを破壊する恐れがあるためレジストリ編集作業を各ユーザに任せるのは非常に危険ですこの問題を回避する一例としてシステム管理者がレジストリパッチファイルを作成しそれを各ユーザに配布するという方法があります以下にレジストリパッチファイルの作成方法およびその使用方法を紹介しますシステム管理者は管理者ユーザで以下を実行して下さい 1 レジストリエディタを起動するコマンドプロンプトにて regedit と入力する 2 レジストリエディタ画面の左側のツリーで下記ディレクトリに移動する HKEY_LOCAL_MACHINE SOFTWARE Microsoft EAPOL Parameters General Global 3 SupplicantMode を選択してファイルエクスポートで任意のファイル名をつけて保存する 4 エクスポートしたレジストリパッチファイルを各ユーザに配布する各ユーザは以下を実行して下さい 1 レジストリパッチファイルのアイコンをダブルクリックする 2 機能を有効化するため端末を再起動する Copyright , ALAXALA Networks Corporation. All rights reserved. 79

80 4.2. IEEE802.1X 認証 Windows Vista の設定方法 EAP-TLS 方式の設定方法 IEEE802.1X 認証の EAP-TLS 方式ではユーザ証明書およびサーバ証明書によって認証を行ないます証明書を用いる認証は端末を認証ネットワークに接続する前に証明書をインストールする必要があります証明書の取得方法は CA 局のサーバにより異なります以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています (1) 証明書の確認方法まず証明書がインストールされているかどうかを確認します各証明書の確認方法は 4.1.1(1) で示すWindows XPの場合と同様です (2) EAP-TLS 方式の設定手順 Windows Vista の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネル管理ツールサービスで Wired AutoConfig を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックする Copyright , ALAXALA Networks Corporation. All rights reserved. 80

サーバーの証明書を検証するにチェックし信頼されたルート証明機関から example-dc-ca をチェックする最後に OK をクリックして画面を閉じる (3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1.

81 2 スタート設定ネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開き IEEE802.1X 認証を有効にするをチェックしネットワーク認証方法にスマートカードまたはその他の証明書を選択する最後に設定をクリックする 3 スマートカードまたはその他の証明書のプロパティ画面にて接続のための認証方法にこのコンピュータの証明書を使うを選択する次にサーバーの証明書を検証するにチェックし信頼されたルート証明機関から example-dc-ca をチェックする最後に OK をクリックして画面を閉じる (3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1.3のサーバーの証明書を検証するのチェックを外すとユーザ証明書のみでの認証を実施することができますただしセキュリティレベルは低くなります 2. 端末にユーザ証明書が複数インストールされている場合は認証ネットワーク接続時に選択画面が表示されますのでそこでユーザ証明書を選択して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 81

4.2.2. EAP-PEAP 方式の設定方法 Windows Vista の EAP-PEAP 方式の設定方法は Windows XP とほぼ同様となっています本ガイドでは PEAP-MSCHAPv2 にてサプリカントの Windows ログオン名とパスワード及びドメイン名を自動的に使用するオプションを構成しますこれによりユーザがユーザ ID およびパスワードを入力する必要の無い

82 EAP-PEAP 方式の設定方法 Windows Vista の EAP-PEAP 方式の設定方法は Windows XP とほぼ同様となっています本ガイドでは PEAP-MSCHAPv2 にてサプリカントの Windows ログオン名とパスワード及びドメイン名を自動的に使用するオプションを構成しますこれによりユーザがユーザ ID およびパスワードを入力する必要の無い SSO(Single Sign-On) を構成する事ができます以下の解説ではサーバ証明書の検証に必要な CA 証明書が発行者 example-dc-ca としてあらかじめクライアント端末にインストールされている事を前提としています (1) EAP-PEAP 方式の設定手順 Windows Vista の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネル管理ツールサービスで Wired AutoConfig を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックする 2 スタート設定ネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開き IEEE802.1X 認証を有効にするをチェックしネットワーク認証方法に保護された EAP(PEAP) を選択する最後に設定をクリックする Copyright , ALAXALA Networks Corporation. All rights reserved. 82

3 保護された EAP のプロパティ画面にてサーバーの証明書を検証するをチェックし信頼されたルート証明機関の中から example-dc-ca をチェックする次に認証方法からセキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択し構成をクリックする 4 EAP MSCHAPv2 のプロパティ画面にて Windows のログオン名とパスワード (

証明書を端末にインストールしなくても認証を実施する事ができますその場合は 3 のサーバーの証明書を検証するチェックを外して下さいただしサーバの証明書を検証せずに認証を行うためセキュリティのレベルは低くなります 2.IEEE802.

83 3 保護された EAP のプロパティ画面にてサーバーの証明書を検証するをチェックし信頼されたルート証明機関の中から example-dc-ca をチェックする次に認証方法からセキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択し構成をクリックする 4 EAP MSCHAPv2 のプロパティ画面にて Windows のログオン名とパスワード ( およびドメインがある場合はドメイン ) を自動的に使うをチェックする OK をクリックして画面を閉じる (2) 注意事項 EAP-PEAP 方式の設定における注意事項を以下に示します 1. 証明書を端末にインストールしなくても認証を実施する事ができますその場合は 3 のサーバーの証明書を検証するチェックを外して下さいただしサーバの証明書を検証せずに認証を行うためセキュリティのレベルは低くなります 2.IEEE802.1X 認証のIDおよびパスワードと WindowsログオンのIDおよびパスワードが異なる場合または端末のログインユーザ名およびパスワードをそのまま使用しない場合は 4のチェックを外して下さいデフォルトではチェックされていますので注意して下さい 3.EAP-PEAP 方式では認証ネットワーク接続時にユーザ名パスワードおよびアカウントの入力が要求されます Windows ドメイン参加していない場合アカウントの入力は省略できます 4.2の画面においてこのネットワークへの次回接続時のためにユーザー情報をキャッシュするをチェックした場合ユーザ名およびパスワードはキャッシュされ次回からの接続では Copyright , ALAXALA Networks Corporation. All rights reserved. 83

4.3. IEEE802.1X 認証 Mac OS X の設定方法 Mac OS X における IEEE802.1X 認証の設定方法を示します以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています 4.

85 4.3. IEEE802.1X 認証 Mac OS X の設定方法 Mac OS X における IEEE802.1X 認証の設定方法を示します以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています証明書の確認方法 IEEE802.1X 認証に必要な証明書がインストールされているか確認する方法を以下に示します 1 Macintosh HD アプリケーションユーティリティキーチェーンアクセスをクリックするキーチェーンアクセス画面にて CA 証明書 ( この例では example-dc-ca ) がインストールされていることを確認する 2 キーチェーンアクセス画面にて左下の分類自分の証明書の中にユーザ証明書 ( この例では user01 ) がインストールされていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 85

4.3.2. EAP-TLS 方式の設定方法 Mac OS X の通信インタフェースに EAP-TLS 方式を用いた IEEE802.

Ethernet 接続が選択されていることを確認し右画面の詳細をクリックする 2 画面上部の 802.1X をクリックし IEEE802.

86 EAP-TLS 方式の設定方法 Mac OS X の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します (1) EAP-TLS 方式の設定手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて左画面の中の Ethernet 接続が選択されていることを確認し右画面の詳細をクリックする 2 画面上部の 802.1X をクリックし IEEE802.1X 設定画面を表示する 3 ドメインにユーザを選択し設定画面が変更されたことを確認する画面左下の + をクリックし構成に新しい設定を追加する ( この例では EAP-TLS ) Copyright , ALAXALA Networks Corporation. All rights reserved. 86

4 画面右下の認証項目にて TLS のみチェックし構成をクリックする 5 固有名を選択画面にて該当ユーザの証明書を選択する ( この例では user01 の証明書 ) 6 802.

87 4 画面右下の認証項目にて TLS のみチェックし構成をクリックする 5 固有名を選択画面にて該当ユーザの証明書を選択する ( この例では user01 の証明書 ) X 設定画面を OK で閉じネットワーク画面内に 802.1X:EAP-TLS が追加されていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 87

88 (2) 認証の実施手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて 802.1X:EAP-TLS の横にある接続をクリックすると IEEE802.1X 認証が開始される 2 しばらくするとサーバ証明書の検証に対してアクセス可否を問われるので許可をクリックする 3 認証に成功した場合ネットワーク画面内の状況に認証済みのメッセージと接続時間が表示される Copyright , ALAXALA Networks Corporation. All rights reserved. 88

4.3.3. EAP-PEAP 方式の設定方法 Mac OS X の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.

89 EAP-PEAP 方式の設定方法 Mac OS X の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します (1) EAP-PEAP 方式の設定手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて左画面の中の Ethernet 接続が選択されていることを確認し右画面の詳細をクリックする 2 画面上部の 802.1X をクリックし IEEE802.1X 設定画面を表示する 3 ドメインにユーザを選択し設定画面が変更されたことを確認する画面左下の + をクリックし構成に新しい設定を追加する ( この例では EAP-PEAP ) Copyright , ALAXALA Networks Corporation. All rights reserved. 89

4 画面右ユーザ名とパスワードに 8021.X 認証に使用するユーザの ID とそのパスワードを入力する ( この例ではユーザ名に user01 使用 ) 画面右下認証の項目で PEAP のみにチェックする 5 802.

90 4 画面右ユーザ名とパスワードに 8021.X 認証に使用するユーザの ID とそのパスワードを入力する ( この例ではユーザ名に user01 使用 ) 画面右下認証の項目で PEAP のみにチェックする X 設定画面を OK で閉じネットワーク画面内に 802.1X:EAP-PEAP が追加されていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 90

91 (2) 認証の実施手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて 802.1X:EAP-PEAP の横にある接続ボタンをクリックし IEEE802.1X 認証を実施する 2 しばらくするとサーバ証明書の検証に対してアクセス可否を問われるので許可をクリックする 3 認証に成功した場合ネットワーク画面内の状況に認証済みのメッセージと接続時間が表示される Copyright , ALAXALA Networks Corporation. All rights reserved. 91

92 4.4. Web 認証の端末側設定方法動的 VLAN モードの Web 認証を利用する場合は認証前後で IP アドレスが動的に変更出来る必要があるため IP アドレスを自動的に取得する設定にして下さい固定 VLAN モードの Web 認証を利用する場合は固定 IP および IP アドレスを自動的に取得どちらでも利用可能です 4.5. MAC 認証の端末側設定方法端末側の設定は特に必要ありません認証ポートに通信が実行された時点で MAC アドレスの認証を実施します Copyright , ALAXALA Networks Corporation. All rights reserved. 92

93 5. 注意事項本章では AX シリーズを用いた認証ネットワークの構築における注意点と運用上の注意点について IEEE802.1X 認証 Web 認証 MAC 認証それぞれの認証機能別に解説します 5.1. IEEE802.1X 認証に関する注意事項 IEEE802.1X 端末検出機能に関する注意事項同一物理ポート配下で複数の IEEE802.1X 端末を認証させる場合は端末検出機能を disable にして下さい AX シリーズでは端末側から IEEE802.1X 認証開始を行わない端末を検出するため EAP-Request/Identity パケットを周期的にマルチキャスト送信しています複数の端末を接続した場合 EAP-Request/Identity を受信した端末から一斉に再認証が開始され認証スイッチや RADIUS サーバへの負荷が高くなりますまた端末認証中のシーケンスに端末検出パケットが非同期に衝突することにより端末の認証再認証が失敗する場合があります端末検出機能を disable に設定すると IEEE802.1X 端末が Windows XP(SP2) である場合自発的に認証開始を行わないため IEEE802.1X 認証ができなくなってしまいますこのため認証スイッチと Windows XP(SP2) 端末について以下 2 つの変更を行って下さい (1) 認証スイッチで以下のコンフィグレーションコマンドを実行し端末検出機能を停止しますポート単位認証の場合 dot1x supplicant-detection disable 固定 VLAN 認証の場合 dot1x vlan supplicant-detection disable 動的 VLAN 認証の場合 dot1x vlan dymanic supplicant-detection disable (2) Windows XP(SP2) 端末のレジストリを変更して端末側からIEEE802.1X 認証を開始させます変更方法は4.1.3 章を参照して下さい本注意事項の詳細については章を参照して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 93

94 IEEE802.1X 端末検出機能の注意事項詳細解説 Windows XP(SP2) Windows XP(SP3) および Windows Vista の IEEE802.1X サプリカントの動作仕様の違いによる構築上の注意点について詳細に説明しますまず OS の動作差分を解説します Windows の IEEE802.1X サプリカント動作差分の解説 Windows の IEEE802.1X サプリカントの動作について以下に示す違いがあります表 Windows の IEEE802.1X サプリカントの動作差分項番サプリカント動作 Windows XP(SP2) 1 認証開始動作認証スイッチ側から送信される EAP-Request/Identity パケット受信時に IEEE802.1X 認証を開始します ( 注 1) Windows Vista Windows XP(SP3) 通信回線のリンクアップまたはログオン時に EAPOL-Start を自ら送信し IEEE802.1X 認証を開始します 2 端末検出モード shortcut 設定時における動作 (EAP-Request を受信した時の挙動 ) 端末検出モード shortcut 設定時の認証シーケンスを完了した後 EAPOL-Start を送信する事はありません ( 注 1) 端末検出モード shortcut 設定時の認証シーケンスを完了した後自発的に EAPOL-Start を送信しますこのため RADIUS サーバへの問い合わせが周期毎に実施されます ( 注 1) レジストリを変更する事により Windows Vista と同様の動作に変更することが可能です設定方法は章を参照して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 94

95 (1) 認証開始動作の違い Windows XP(SP2) の場合以下のシーケンス図に示すように IEEE802.1X 認証機能を有効化しても Windows XP(SP2) は認証を開始しません認証スイッチ側から端末検出用に送信されている EAP-Request/Identity を受信した時点で認証を開始します Windows XP(SP2) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAP-Request/Identity EAP-Response / Identity 自分から認証開始しない IEEE802.1X 認証端末に対して認証開始を促すため EAP-Request/Identity をマルチキャスト送信する IEEE802.1X の各ユーザ認証を RADIUS サーバへ問い合わせを実施し認証成功したらスイッチ側で通信許可を実施する EAP-Success 図 Windows XP(SP2) 認証開始シーケンスただしレジストリ設定でIEEE802.1Xサプリカントモードを変更する事で Windows XP(SP2) 側から接続開始をさせる事が可能です変更方法は章を参照下さい Windows XP(SP2) からの接続開始を有効化した場合端末検出パケットの受信を待たずに即座にネットワーク利用が可能となります Copyright , ALAXALA Networks Corporation. All rights reserved. 95

96 Windows Vista / Windows XP(SP3) の場合以下のシーケンス図に示すように Windows Vista / Windows XP(SP3) はネットワークに接続した時点で EAPOL-Start を自ら送信し認証を開始します Windows Vista Windows XP(SP3) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAPOL-Start EAP-Request/Identity EAP-Response / Identity EAPOL-Start を受信すると送信してきた端末に対し EAP-Request/Identity をユニキャスト送信する事で認証動作を開始する IEEE802.1X 認証を RADIUS サーバへ問い合わせて認証成功したらスイッチ側で通信許可を実施する EAP-Success 図 Windows Vista / Windows XP(SP3) 認証開始シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 96

97 (2) 端末検出モード shortcut 設定時における動作の違い IEEE802.1X 認証のサプリカントには自ら EAPOL-Start を送信して接続開始を実行しないものがあります端末検出機能とは周期的に EAP-Request/Identity をマルチキャスト送信することでそのような自発的に認証開始を行わない端末の認証開始を誘発する機能です AX シリーズではデフォルトで EAP-Request/Identity を一定間隔で送信し続けます端末検出モードには full shortcut disable の 3 つのモードがあります shortcut モードは認証済み端末からの応答には認証シーケンスを一部省略する機能ですこれにより認証単位当たりの端末数が増えた場合 EAP-Request/Identity に応答した端末の認証処理における装置の負荷を低減します端末検出モードshortcut 設定時におけるWindows XP(SP2) の動作端末が Windows XP(SP2) の場合の認証シーケンスを以下に示しますこのように Windows XP(SP2) は認証後に RADIUS サーバへ毎回問い合わせを実施しません Windows XP(SP2) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAP-Request/Identity デフォルト 30 秒周期 EAP-Response / Identity すでに認証済み端末に対しては TLS などの RADIUS サーバとのシーケンスを省略し EAP-Success を返す EAP-Success EAP-Response / Identity EAP-Request/Identity EAP-Success 図端末が Windows XP(SP2) で既に認証済みである場合の認証シーケンスただしレジストリを変更する事により Windows Vista と同様の動作に変更することが可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 97

98 端末検出モードshortcut 設定時におけるWindows Vista / Windows XP(SP3) の動作端末が Windows Vista / Widows XP(SP3) の場合の認証シーケンスを以下に示します Windows Vista / Windows XP(SP3) は端末検出用の EAP-Request/Identity を受信した場合 shortcut 設定時の認証シーケンスが完了して EAP-Success を受信しても EAPOL-Start を送信して RADIUS との全認証シーケンスを完結しようとしますこのため端末検出モードが shortcut 設定であっても RADIUS サーバへ毎回問い合わせを実施する事になります Windows Vista Windows XP(SP3) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAP-Request/Identity 18 秒 EAP-Response / Identity すでに認証済み端末に対しては TLS などの RADIUS サーバとのシーケンスを省略し成功 EAP-Success を返す EAP-Success EAPOL-Start EAP-Request/Identity EAP-Response / Identity Windows Vista / Windows XP(SP3) は EAP-Success を受信したにも関わらず EAPOL-Start を送信する EAPOL-Start を受信すると認証済みの端末であっても IEEE802.1X 認証の全シーケンスを RADIUS サーバと端末間で実施する EAP-Success 図端末が Windows Vista / Windows XP(SP3) で既に認証済みである場合の認証シーケンスなお端末検出時間 tx-period を 18 秒以下に設定した場合 Windows Vista / Windows XP(SP3) は EAPOL-Start を送信する事ができなくなり 1 分後に認証動作を停止しますこのため端末検出時間 tx-period は 18 秒以下に設定しないで下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 98

99 Windows XP(SP2) と Windows Vista の混在環境における問題点 AX シリーズの IEEE802.1X 認証における端末検出モードのデフォルト設定は shortcut です (2) で述べたように認証スイッチ配下の端末がWindows XP(SP2) である場合は一度認証が完了すると以降はRADIUSサーバへ問い合わせを実施することなく認証シーケンスを完了しますしかし認証スイッチ配下の端末がWindows Vistaである場合は周期的にマルチキャスト送信される EAP-Request/Identityを受信する度にEAPOL-Startを送信してRADIUSサーバと全認証シーケンスを完了しようとしますこのため認証スイッチ配下の全 Windows Vista 端末が同時に認証動作を開始してしまいます端末数が少ない場合は問題ありませんが数十台 ~ 数百台の Windows Vista 端末が認証スイッチ配下で IEEE802.1X 認証した場合は認証スイッチおよび RADIUS サーバへの負荷が集中しますこれにより Windows Vista 端末の再認証失敗や他の端末の認証パケットロスを誘発して認証失敗のリスクが高くなりますまた認証中に端末検出パケットが非同期で衝突すると稀に認証シーケンスのリトライとなり認証が失敗する場合がります認証スイッチ配下の Windows Vista 端末は同時刻に一斉に RADIUS サーバへ接続開始 RADIUS サーバするためアクセスの集中により認証失敗する可能性大 IEEE802.1X 認証スイッチ (AX) 認証パケットロスの発生確率が UP Windows Vista 図 Windows Vista と Windows XP(SP2) の混在環境における問題点 Copyright , ALAXALA Networks Corporation. All rights reserved. 99

100 Windows の IEEE802.1X 認証に関する注意事項 IEEE802.1X 認証機能を有効に設定した Windows 端末は起動時にコンピュータ名でコンピュータの IEEE802.1X 認証を行いユーザログオン時にユーザ ID およびパスワードでユーザの IEEE802.1X 認証を行いますコンピュータの IEEE802.1X 認証が失敗すると AX スイッチの該当 VLAN インタフェースは非認証状態となりますこの状態は非認証状態保持時間 ( デフォルト値は 60 秒 ) 続きその間は認証処理を行いません認証処理を早く行いたい場合は AX スイッチのコンフィグレーションコマンドを用いて非認証状態保持時間を短く設定して下さい一般的にコンピュータの IEEE802.1X 認証失敗からユーザ認証を開始するまで数秒 ~ 数十秒程度となるため本ガイドでは非認証状態保持時間を 5 秒に設定しています Windows 端末 IEEE802.1X 認証スイッチ (AX) RADIUS サーバ Windows OS を起動 EAP over LAN EAP over RADIUS 1 コンピュータ認証 EAPOL Start EAP Request EAP Response EAP(Response,Request) RADIUS Request RADIUS (Request,Challenge) コンピュータ認証失敗 EAP Failure RADIUS Reject 2 ユーザ認証ログオン画面にてユーザ ID パスワードを入力 EAPOL Start EAPOL Start EAP Response EAP Request 非認証状態保持時間 RADIUS Request ユーザ認証成功 EAP(Response,Request) EAP Success RADIUS (Request,Challenge) RADIUS Accept 図 Windows の IEEE802.1X 認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 100

101 RADIUS サーバ冗長化に関する注意事項 RADIUS サーバを冗長化する場合は接続する RADIUS サーバ数を考慮して応答待ち時間を短く設定して下さい RADIUS サーバを 2 台以上設定するとコンフィグレーションに設定された順に RADIUS サーバにアクセスします 1 台目の RADIUS サーバから応答待ち時間を過ぎても反応がない場合その RADIUS サーバはダウンしていると判断して 2 台目の RADIUS サーバへアクセス開始します RADIUS サーバの応答待ち時間は以下の式から算出されます RADIUS サーバの応答待ち時間 = サーバからの応答タイムアウト時間サーバに認証要求を再送信する回数この式よりデフォルトの応答待ち時間は約 20 秒となります (1) IEEE802.1X 端末が Windows Vista である場合 RADIUS サーバを 2 台設定して 1 台目の RADIUS サーバがダウンした場合の認証シーケンスを以下に示します Windows Vista IEEE802.1X 認証スイッチ (AX) RAD IUS サーバ#1 RADIUS サーバ #2 EAPOL-Start 18 秒 20 秒 EAPOL-Start EAPOL-Start を受信すると最初から認証処理を開始する EAP-Success 1 分以内に認証処理が完了しないと認証を停止する図台目の RADIUS サーバがダウンしている場合の認証シーケンス (Windows Vista) Copyright , ALAXALA Networks Corporation. All rights reserved. 101

102 IEEE802.1X 認証においてサプリカントが Windows Vista である場合 EAPOL-Start を 18 秒周期で 3 回送信して 1 分以内に認証シーケンスが完了しないとき Windows Vista は認証を停止します従ってデフォルトのまま使用すると 1 台目の RADIUS サーバがダウンしていると判断する前に EAPOL-Start を受信し最初から認証処理がやり直されてしまいます RADIUS サーバを 2 台設置する場合は RADIUS サーバ応答待ち時間を 18 秒以内に設定して下さい (2) IEEE802.1X 端末が Windows XP(SP2) である場合 RADIUS サーバを 3 台設定して 1 台目と 2 台目の RADIUS サーバがダウンした場合の認証シーケンスを以下に示します Windows XP(SP2) IEEE802.1X 認証スイッチ (AX) RAD IUS サーバ#1 RAD IUS サーバ #2 RADIUS サーバ #3 EAP-Request/Identity EAP-Request/Identity 20 秒 40 秒 40 秒間応答がないと認証を最初からやり直す EAP-Request/Identity 図台目と 2 台目の RADIUS サーバがダウンしている場合の認証シーケンス (Windows XP SP2) IEEE802.1X 認証においてサプリカントが Windows XP(SP2) である場合認証処理を開始して 40 秒間応答がないとき Windows XP(SP2) は認証処理を最初からやり直します従ってデフォルトのまま使用すると RADIUS サーバ 3 台目を探索する前に認証処理がやり直しとなってしまう場合があります RADIUS サーバを 3 台設置する場合は RADIUS サーバ応答待ち時間を 20 秒より短くなるように設定して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 102

103 ログアウトに関する注意事項 IEEE802.1X 認証した端末は下記いずれかの条件に一致した場合自動的にログアウト ( 通信非許可状態 ) します条件 1: 当該端末の認証ポートのリンクダウン条件 2: 再認証の失敗ただし条件 2の再認証機能はデフォルトでは無効となっています再認証機能を有効に設定しない場合 HUB 経由で接続した端末の電源を OFF にしてもリンクダウンを検出できない為認証されたままとなりますセキュリティ的には許可済み MAC アドレス詐称などの不正進入を防止するため再認証機能は必ず有効に設定して下さい再認証機能を有効に設定した場合端末の再認証周期時間のデフォルト値は 3600 秒ですセキュリティ上再認証間隔は短い方が好ましいですが短すぎる場合は RADIUS サーバ側への負荷となりますので適正な値を設定して下さい ( 設定方法は 3 章を参照 ) 再認証機能に関する注意事項認証成功時に RADIUS サーバから送信される RADIUS アトリビュートについて再認証の指示および再認証時間の通知があった場合は再認証機能に関して機種ごとに仕様差分があります RADIUSアトリビュートの内容は章を確認下さい表再認証機能の機種別差分装置 AX1200S AX2400S AX3600S AX6300S AX6700S 仕様コンフィグレーションに従って動作します RADIUS アトリビュートの内容を優先します RADIUS サーバから再認証指示が無い場合はコンフィグレーションに従って動作します端末移動に関する注意事項 IEEE802.1X 認証済み端末を認証スイッチ配下の他のポートへ移動した場合即座に再認証され通信に影響する事はありません Copyright , ALAXALA Networks Corporation. All rights reserved. 103

104 認証中に接続不可となった場合 AX シリーズではネットワーク障害や過負荷等により IEEE802.1X 認証が失敗した場合認証端末に対して EAP-Failure を送信しますその後端末検出用の EAP-Request/Identity を送信して再認証を促しますがタイミングや一時的通信障害等により端末側の認証動作が停止してしまう事があります Windows 端末で再認証失敗により認証動作が停止した場合以下に示す操作を実施して再認証を試みて下さい (1) 通信インタフェースのリンクダウンアップ (2) 通信インタフェースの無効化有効化 (3) 通信インタフェースの設定変更 (4) ユーザのログオンログオフ (5) 端末の再起動強制認証機能に関する注意事項 IEEE802.1X 認証の強制認証機能を使用し且つ再認証を設定している場合接続するサプリカントによっては強制認証成功後の再認証に無応答のため失敗しその後通信が出来なくなります再認証に成功し通信が途切れないサプリカント Windows XP SP2( サプリカントモードを 3 に変更済み ( 詳細はを参照 )) の標準サプリカント再認証に失敗し通信断が発生するサプリカント Windows XP SP3 の標準サプリカント Windows Vista の標準サプリカント下図強制認証失敗シーケンスを参照 Windows Vista 若しくは Windows XP SP3 にて IEEE802.1X 認証の強制認証機能を使用する場合は再認証間隔を長めに設定する事を推奨しますデフォルト 1 時間を目安に環境に合わせて調整してください端末で再認証に失敗し通信断が発生した場合は章記載の手順により一時的 ( 再認証間隔の時間 ) に通信復旧させる事が可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 104

105 18 秒後 EAPOL 再送 EAP-Success を受信してもサプリカントは認証失敗のまま Windows Vista(SP1) Windows XP(SP3) 標準サプリカント強制認証有効 AX1200S EAPOL-Start EAP-Request/Identity EAP-Response/Identit EAPOL-Start EAP-Request/Identity EAP-Response/Identit EAP-Success EAP-Success RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request RADIUS サーバ機能停止中再認証時間経過後再認証の開始再認証に応答しない EAP-Request/Identity EAP-Request/Identity EAP-Request/Identity EAP-Failure 強制認証成功再認証失敗図 Vista 強制認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 105

106 5.2. Web 認証に関する注意事項 Web 認証前に通信許可する項目 Web 認証を行う場合認証前に通信許可すべき項目 (*1) を以下に示します (1) ARP リレーの設定 Web 認証を行う場合は必ず ARP リレーの設定をして下さい設定方法は 3 章を参照して下さい (2) DHCP 通信の許可 Web 認証端末に DHCP で IP アドレスを配布する場合は認証専用アクセスリストで DHCP(BOOTP パケット ) の通信を許可するアクセスリストを設定して下さい設定方法は 3 章を参照して下さい (3) DNS サーバへの通信許可 Web 認証のURLリダイレクト機能を使用する場合は認証前にDNSサーバでの名前解決が必要となります認証専用アクセスリストでDNSサーバへの通信を許可するアクセスリストを設定して下さい設定方法は3 章を参照して下さい (4) 認証前に検疫等を実施する場合検疫ネットワークなど認証前に通信を行う必要のあるサーバが存在する場合は認証専用アクセスリストで該当サーバへの通信を許可するアクセスリストを設定して下さい (*1) AX1200S シリーズの動的 VLAN モードを除く Copyright , ALAXALA Networks Corporation. All rights reserved. 106

107 固定 VLAN モードの Web 認証のログアウト条件固定 VLAN モードで Web 認証した端末は以下のいずれかの条件に一致した場合ログアウト ( 通信非許可状態 ) します条件 1: ログアウト画面からログアウトした場合条件 2: 最大接続時間を超えた場合 ( デフォルト 3600 秒 ) コンフィグレーションによって時間と機能の有効無効化ができます条件 3: 接続監視機能 (ARP ポーリング ) によるログアウト条件 4: 認証ポートのリンクダウン条件 5: 強制ログアウトコマンドによるログアウト条件 6: 特殊 ping によるログアウト ( 認証用 IP アドレス宛てコンフィグレーションで指定した TOS TTL 値の ping) 条件 7: 無通信監視機能によるログアウト (AX1200S のみ ) 固定 VLAN モードの Web 認証の端末移動に関する注意事項 (1)AX1200S の場合認証済み端末のポート移動許可設定 ( コンフィグレーションコマンド web-authentication static-vlan roaming) を行った場合同一 VLAN 間を再認証せずに移動することが可能です設定を行っていない場合や別 VLAN 間を移動する場合は再度認証を行う必要があります (2)AX2400S / AX3600S の場合同一 VLAN 間別 VLAN 間ともに移動後再度認証を行う必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 107

108 動的 VLAN モードの Web 認証ネットワーク構築に関する注意事項 (1) DHCP サーバの設置動的 VLAN モードの Web 認証では認証のために Web ブラウザへの IP 通信を用いたアクセスが必要なため認証前後両方の VLAN 上に DHCP サーバを設置して IP アドレスを配布して下さい下図に示すように認証前は認証スイッチから IP アドレスを配布し認証後は認証後 VLAN からアクセスできる VLAN 上のサーバから IP アドレスを配布する構成を推奨します DHCP リレーを設定認証後 VLAN ネットワーク管理用 VLAN AX3600S 業務用サーバ RADIUS サーバ AX1200S 認証後用 DHCP サーバ端末認証前の IP アドレスのみ認証認証前 VLAN スイッチの DHCP から配布図 DHCP サーバの設置例 AX シリーズの DHCP サーバ機能は Web 認証用にカスタマイズされており IP アドレスのリース時間を最短で 10 秒に設定することができますこのため認証前 VLAN から認証後 VLAN へ切り替わった時にスムーズに認証後 VLAN の IP アドレスに切り替える事ができますリース時間を 10 秒とした場合のクライアント最大接続数は 200 以下となるようにして下さい同様に 20 秒とした場合 400 以下 30 秒の場合は 600 以下となるように同時接続数を調整して下さい (2) VLAN インタフェース IP アドレスの設定動的 VLAN モードで Web 認証を行なう場合は認証前および認証後の VLAN に IP アドレスを設定して下さい認証後の VLAN の定義は忘れがちですがログアウト時に必要となります (3) 端末側の設定動的 VLAN モードで Web 認証を使用する場合端末側では必ず DHCP による IP アドレス取得の設定を行って下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 108

109 (4) 認証スイッチが複数台存在する場合下図のように認証スイッチが複数台存在するネットワークを構築する場合認証前 VLANに配布する IPアドレスを各認証スイッチ毎に同一サブネットとして設定すると IPアドレスが重複してしまう場合がありますこのため各認証スイッチ毎にDHCPのIPアドレス配布対象除外コマンドを用いて表 5.2-1のようにIPアドレスが重複しないように設定して下さいもしくは認証前 VLANを認証スイッチ毎に分けて設定して下さい AX3600S AX3600S AX3600S /24 を配布 AX2400S# /24 を配布 AX2400S# /24 を配布 AX2400S#3 RADIUS サーバ DNS サーバ DHCP サーバ ( 認証後用 ) 端末端末端末配布された IP アドレスが重複する場合がある認証前 VLAN 図認証スイッチが複数台存在するネットワーク構成表認証スイッチの DHCP 設定例認証スイッチ配布対象サブネット配布対象除外アドレス実際に配布されるアドレス AX2400S# ~ ~ ~100 AX2400S# ~ ~ / ~254 AX2400S# ~ ~ ~200 Copyright , ALAXALA Networks Corporation. All rights reserved. 109

110 動的 VLAN モードの Web 認証のログアウトに関する注意事項 (1) ログアウト条件動的 VLAN モードで Web 認証した端末は以下のいずれかの条件に一致した場合ログアウト ( 通信非許可状態 ) します条件 1: ログアウト画面からログアウトした場合条件 2: 最大接続時間を超えた場合ログインしてから強制ログアウトされる時間のデフォルト値は 3600 秒です本機能はコンフィグレーションコマンドにて無効にすることができます条件 3: 強制ログアウトコマンドによるログアウト条件 4: 無通信監視機能によるログアウト (2) ログアウト後再ログインする時の注意点動的 VLAN モードで Web 認証した端末はログアウト時に IP アドレスの解放を行わず DHCP サーバから通知されたリース時間に従って IP アドレスの解放を行います再ログイン時に Web 認証画面へのアクセスができない場合は以下のいずれかを実施し端末の IP アドレスを解放した後認証を行なって下さい (1) 通信インタフェースのリンクダウンアップ (2) 通信インタフェースの無効化有効化 (3) IP アドレスの再取得 (Windows XP / Windows Vista の場合 ) コマンドプロンプトで以下の 2 つのコマンドを実行します ipconfig /release ipconfig /renew (4) 端末の再起動動的 VLAN モードの Web 認証の端末移動に関する注意事項 Web 認証済み端末を同一認証スイッチの他の認証ポート ( 同一認証モード ) へ移動した場合再認証無しでそのまま通信可能となりますただしすでに自動ログアウトしていた場合は再認証して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 110

111 動的 VLAN モードの Web 認証成功時の URL 移動に関する注意事項動的 VLAN モードで Web 認証成功後にアクセスする URL を指定する場合は Web 認証画面入れ替え機能を用いてログイン成功画面を変更して下さい Web 認証のコンフィグレーションコマンド web-authentication jump-url を用いて Web 認証成功後にアクセスする URL を指定した場合認証成功画面が表示された 5 秒後に指定された URL へアクセスを試みますこのとき端末はまだ認証後 VLAN の IP アドレスに切り替わっていないためアクセスが失敗してしまいますこのシーケンスを以下に示します端末内蔵認証スイッチ DHCP サーバ DHCP サーバ指定 Web サーバ認証前の IP アドレス取得認証前 VLAN ユーザ ID パスワード入力認証後 VLAN 認証成功画面表示指定 URL へジャンプ 5 秒 IP アドレスがまだ切り替わっていないためアクセスできない認証後の IP アドレス取得図動的 VLAN モードにおける Web 認証成功後の指定 URL 移動シーケンス認証成功画面が表示されてから指定 URL へジャンプするまでにかかる時間を変更するにはログイン成功画面を変更します以下にその方法を示します (1) ログイン成功画面 ( ファイル名 :loginok.html) に別ページへの自動ジャンプを行う記述を追加しますジャンプまでにかかる時間は認証前 IP アドレスのリース時間より長い時間を指定して下さいここでは 15 秒後に指定 URL へジャンプする例を示します <meta http-equiv="refresh" content="15;url= (2) 運用コマンド set web-authentication html-files を用いて Web 認証画面を入れ替えます Copyright , ALAXALA Networks Corporation. All rights reserved. 111

112 AX2400S / AX3600S シリーズの Ver10.7 新機能を使用する場合の注意事項 AX2400S / AX3600S シリーズにおける Ver10.6 までの Web 認証の動的 VLAN モードは Ver10.7 からレガシーモードとなります動的 VLAN モードの Web 認証を使用している環境において Ver10.6 から Ver10.7 へバージョンアップを行った場合 Ver10.7 よりサポートしている Web 認証専用 IP アドレスおよび URL リダイレクト機能を使用するときはレガシーモードから新しい動的 VLAN モードへ設定を変更する必要がありますただし Ver10.7 新機能を使用しない場合は設定変更の必要はありませんレガシーモードから動的 VLAN モードへ変更する手順を以下に示します 1. コンフィグレーションから web-authentication vlan の設定を削除する 2. 認証ポートに web-authentication port の設定を行う認証前に通信を行いたい場合は authentication ip access-group および authentication arp-relay を設定する Copyright , ALAXALA Networks Corporation. All rights reserved. 112

113 5.3. MAC 認証に関する注意事項固定 VLAN モードの MAC 認証のログアウトに関する注意事項固定 VLAN モードの MAC 認証のログアウト条件は以下の 4 つがあります条件 1: 認証ポートがリンクダウンした場合条件 2: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 3: 認証済み端末の無通信監視による認証解除 (AX1200S のみ ) 条件 4: 強制ログアウトコマンドによるログアウト条件 2についてコンフィグレーションコマンドで最大接続時間を設定した場合最大接続時間経過後に一度認証情報を削除して再度認証を行いますこのため再接続されるまでパケットロスが発生します再接続までの時間は実測値で約 150ms です ( 計測端末数は 1 台で計測 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 113

114 動的 VLAN モードの MAC 認証のログアウトに関する注意事項動的 VLAN モードの MAC 認証のログアウト条件を以下に示します (1) AX1200S の場合条件 1: 再認証に失敗した場合 ( 再認証周期のデフォルト値は1 時間 ) 条件 2: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 3: 認証済み端末の無通信監視による認証解除条件 4: 強制ログアウトコマンドによるログアウト (2) AX2400S / AX3600S の場合条件 1: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 2: 認証済み端末の MAC アドレスが MAC アドレステーブルから削除されて約 10 分経過した場合条件 3: 強制ログアウトコマンドによるログアウト非認証端末接続時の RADIUS への負荷 MAC 認証設定したポートに MAC 認証非許可端末が接続された場合その他の認証機能 (Web 認証 IEEE802.1X 認証 ) にも許可されていなければ RADIUS への問い合わせが周期的に実行されます AX シリーズではこの認証失敗時の再認証開始待ち時間はデフォルト値 300 秒となっていますタイマ値の変更は可能ですが非許可端末が接続された事による RADIUS サーバやネットワークへの負荷を抑えるため 300 秒以下には設定しないで下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 114

115 5.4. 認証関連共通の注意事項動的 VLAN(MAC VLAN) における注意事項 (1) MAC VLAN のフラッディング動作について MAC VLAN ではフレームを送信元 MAC アドレスで識別して VLAN を割り当て同一 VLAN に所属するポートへ送信します動的 VLAN 認証を使用する場合認証後 VLAN と認証前 VLAN は同一ポートに割り当てられているためブロードキャスト等のフラッディングするフレームは認証後の端末と認証前の端末の双方へ届きます HUB 図 MAC VLAN における注意事項 (1) Copyright , ALAXALA Networks Corporation. All rights reserved. 115

(2) MAC VLAN での VLAN 間通信について動的 VLAN 認証を使用する場合は一度認証に成功した端末がログアウト等の動作により認証前の VLAN に移動した場合フラッディングしながら認証前の端末と通信を継続してしまう場合がありますこの状況を防ぐため認証前 VLAN

116 (2) MAC VLAN での VLAN 間通信について動的 VLAN 認証を使用する場合は一度認証に成功した端末がログアウト等の動作により認証前の VLAN に移動した場合フラッディングしながら認証前の端末と通信を継続してしまう場合がありますこの状況を防ぐため認証前 VLAN にはフィルタを設定し認証前の送信元 IP のみを通過できるようにして下さい HUB 図 MAC VLAN における注意事項 (2) Copyright , ALAXALA Networks Corporation. All rights reserved. 116

すべて見る

認証ソリューションガイド

1 AX シリーズ認証ソリューションガイド第 12 版資料 No. NTS-07-R-015 アラクサラネットワークス株式会社はじめに本ガイドは AX シリーズ (AX1200S/AX2200S/AX2400S /AX2500S/ AX3600S/AX3800S) でサポートしているネットワーク認証機能を用いてシステム構築のための技術情報をシステムエンジニアの方へ提供しセキュリティの高いシステムの構築と安定稼動を目的として書かれています