認証ソリューションガイド

Size: px

Start display at page:

Download "認証ソリューションガイド"

ようたはにうだ
9 years ago
Views:

1 AX シリーズ認証ソリューションガイド 1 第 12 版資料 No. NTS-07-R-015 アラクサラネットワークス株式会社

2 はじめに本ガイドは AX シリーズ (AX1200S/AX2200S/AX2400S /AX2500S/ AX3600S/AX3800S) でサポートしているネットワーク認証機能を用いてシステム構築のための技術情報をシステムエンジニアの方へ提供しセキュリティの高いシステムの構築と安定稼動を目的として書かれています RADIUS サーバの設定に関しては各種 RADIUS サーバ毎に用意した別冊の RADIUS サーバ設定ガイドを参照下さい AX3800S シリーズについては AX3600S シリーズと機能差分は無いため本資料では AX3600S を参照してください物理ポート等のコンフィグ差分は製品マニュアルを参照ください関連資料 RADIUS サーバ設定ガイド Windows Server 2003 編 RADIUS サーバ設定ガイド Windows Server 2008 編 AX シリーズ認証ソリューションガイド ( マルチステップ認証編 ) AX シリーズ認証ソリューションガイド (RADIUS サーバグループ選択機能編 ) AX シリーズ製品マニュアル ( 別冊 Web 認証マニュアル SSL 証明書運用編本ガイド使用上の注意事項本ガイドに記載の内容は弊社が特定の環境において基本動作や接続動作を確認したものでありすべての環境で機能性能信頼性を保証するものではありません弊社製品を用いたシステム構築の一助としていただくためのものとご理解いただけますようお願いいたします Windows 製品に関する詳細はマイクロソフト株式会社のドキュメント等を参照下さい本ガイド作成時の OS ソフトウエアバージョンは以下のようになっております AX1230S Ver1.4.K AX1240S /AX1250S/AX2200S Ver2.4.A AX2400S Ver11.7.F AX3600S Ver11.11 AX2500S Ver3.5 本ガイドの内容は改良のため予告なく変更する場合があります輸出時の注意本製品を輸出される場合には外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連法規をご確認の上必要な手続きをおとりくださいなお不明な場合は弊社担当営業にお問い合わせ下さい商標一覧アラクサラの名称およびロゴマークはアラクサラネットワークス株式会社の商標および登録商標です Copyright , ALAXALA Networks Corporation. All rights reserved. 2

3 イーサネット Ethernetは富士ゼロックス ( 株 ) の商品名称です Microsoftは米国およびその他の国における米国 Microsoft Corp. の登録商標です Windowsは米国およびその他の国における米国 Microsoft Corp. の登録商標です Mac OS Xは米国およびその他の国におけるApple Inc. の登録商標ですそのほかの記載の会社名製品名はそれぞれの会社の商標もしくは登録商標です使用機器一覧 AX1230S (Ver1.4.K) AX1240S (Ver2.4.A) AX2430S (Ver11.7.F) AX3630S (Ver11.11) AX2530S (Ver3.5) Windows Server 2008 R2 Standard Windows XP Professional (SP3) Windows Vista Ultimate (SP2) Windows 7 (SP2) Windows 8 Mac OS X v10.5 Leopard 使用ブラウザ一覧 Internet Explorer (Version8) Internet Explorer (Version9) Internet Explorer (Version10) Firefox (20.0) Safari (3.1.1) Copyright , ALAXALA Networks Corporation. All rights reserved. 3

4 改訂履歴版数 rev. 日付変更内容変更箇所初版初版発行 - 第 2 版省略 - 第 3 版省略 - 第 4 版省略 - 第 5 版省略 - 第 6 版省略 - 第 7 版省略 - 第 8 版省略第 9 版章に注意事項章への参照追加 5 章構築ノウハウの章を追加 Web 認証で外部 Web サーバを使用するを追加 6 章注意事項を追加 Web 認証で SSL を使用する場合の注意事項追加第 10 版はじめに関連資料にマルチステップ編,RADIUS サーバグループ選択機能編を追加 AX のソフトウェアバージョン更新 1 章ネットワーク認証概要 RADIUS アトリビュートの解説を修正 AX-Networker s-utility(web 認証画面入替えツール ) を追加 2 章 AX シリーズの認証機能サポート一覧 RADIUS アトリビュートの解説を修正表にポート単位の Web 認証画面選択を追加 RADIUS サーバグループ選択機能を追加 6 章注意事項 URL リダイレクトの負荷対策バージョンを追加 AX2400S/AX3600S 使用時の同一 VLAN 内の端末移動の変更端末移動後の VLAN が変わる場合の再認証の必要性を追加 7 章運用コマンド AX1240S 使用時の RADIUS サーバ状態表示コマンドに変更第 10 版動的 VLAN(MACVLAN) 使用時のレイヤ 2 ハードウェアテーブルの検索方式をオートに設定第 11 版はじめに AX2500S シリーズを追加使用機器 Ver 更新 2 章 AX シリーズの認証機能サポート一覧 AX2500S シリーズを追加 AX6000S シリーズへダイナミック VLAN を追加 3 章 AX シリーズの認証機能サポート一覧 AX2500S 構築例の追加 6 章注意事項 AX2500S の注意事項を追加 (AX1200S シリーズと共通 ) 7 章運用コマンド AX2500S の運用コマンド追加 (AX1200S シリーズと共通 ) 付録コンフィグレーション (AX2500S 追加 ) はじめに (1) 3.3.3(1) 3.3.4(1) はじめに 2 章全般 2.1,2.6, ,3.5 6 章全般 7 章全般 Copyright , ALAXALA Networks Corporation. All rights reserved. 4

5 第 12 版はじめに AX2200S シリーズを追加使用機器 Ver 更新 AX3800S について AX3600S を参照する記述を追加 1 章 AX2200S シリーズ追加ダイナミック ACL/QoS 認証について追加 (AX2500S シリーズ ) 2 章 AX2200S シリーズ追加 AX2500S エンハンス内容更新 (Ver3.1~ Ver3.5) 3 章 AX2200S シリーズ追加 (AX1200S シリーズを参照へ ) AX2500S ダイナミック ACL およびトランクポートによる VLANTag 付き認証を追加 4 章 WindowsXP(SP2) から IEEE802.1X 接続を開始する方法を削除 Windows7 /Windows 8 の設定例の追加 5 章外部 Web サーバ連携において AX2500S シリーズのエンハンス内容追加外部 Web サーバコンフィグ指定外部 Web サーバポーリング認証成功時に認証前にアクセスしていた URL を自動表示する機能追加 6 章 IEEE802.1X 注意事項見直し (Windows7/Windows8 追加など ) AX2200S シリーズ追加 AX2500S ポートリンクダウン時の認証解除抑止追加およびその他見直しダイナミック VLAN において認証成功画面表示に関する注意事項追加 7 章 AX2200S 追加 AX2500S は差分がある事を追加 1 章全般章全般章全般 6 章全般 7 章全般 Copyright , ALAXALA Networks Corporation. All rights reserved. 5

6 目次 1. ネットワーク認証概要ネットワーク認証とは認証方式の特徴およびシステム要素 IEEE802.1X 認証概要拡張認証プロトコル (EAP) EAP 認証シーケンス EAPOL フレームフォーマット Web 認証概要 Web 認証シーケンス MAC 認証概要 MAC 認証シーケンス RADIUS (Remote Authentication Dial-In User Services) RADIUS 概要 RADIUS アトリビュート CA(Certificate Authority) AX でサポートする認証モードの特徴固定 VLAN モードの特徴 IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) 動的 VLAN モードの特徴レガシーモードの特徴ダイナミック ACL/QoS 認証機能についてネットワーク認証と検疫ネットワーク AX-Networker s-utility(web 認証画面入替えツール ) AX シリーズの認証機能サポート一覧認証方式ユーザ認証データベースログ出力機能 RADIUS アトリビュート IEEE802.1X 認証機能 Web 認証機能 Copyright , ALAXALA Networks Corporation. All rights reserved. 6

7 2.7. MAC 認証機能収容条件 RADIUS サーバグループ選択機能リンクアグリゲーションポートでの認証機能ダイナミック ACL/QoS 機能認証ネットワークの構築認証ネットワーク概要固定 VLAN モード認証ネットワーク構成図構築ポイント AX1200S のコンフィグレーション AX2400S のコンフィグレーション AX3600S のコンフィグレーション固定 VLAN モード (AX2500S シリーズ ) 認証ネットワーク構成図構築ポイント AX2500S のコンフィグレーション動的 VLAN モード認証ネットワーク構成図構築ポイント AX1200S のコンフィグレーション AX2400S のコンフィグレーション AX3600S のコンフィグレーション動的 VLAN モード (AX2500S) 認証ネットワーク構成図構築ポイント AX2500S のコンフィグレーション端末側の設定方法 IEEE802.1X 認証 Windows XP の設定方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 IEEE802.1X 認証 Windows Vista/Windows7/Windows8 の設定方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 IEEE802.1X 認証 Mac OS X の設定方法証明書の確認方法 EAP-TLS 方式の設定方法 EAP-PEAP 方式の設定方法 Copyright , ALAXALA Networks Corporation. All rights reserved. 7

8 4.4. Web 認証の端末側設定方法 MAC 認証の端末側設定方法構築ノウハウ Web 認証で外部 Web サーバを使用する外部 Web サーバ構築の注意点 Web サーバ上の html ファイルの設定例注意事項 IEEE802.1X 認証に関する注意事項 IEEE802.1X 端末検出機能に関する注意事項 IEEE802.1X 端末検出機能の注意事項詳細解説 Windows の IEEE802.1X サプリカント動作差分の解説 Windows の IEEE802.1X 認証に関する注意事項 RADIUS サーバ冗長化に関する注意事項ログアウトに関する注意事項再認証機能に関する注意事項端末移動に関する注意事項認証中に接続不可となった場合強制認証機能に関する注意事項 Web 認証に関する注意事項 Web 認証前に通信許可する項目プロキシサーバ使用時の注意事項固定 VLAN モードの Web 認証のログアウト条件固定 VLAN モードの Web 認証の端末移動に関する注意事項動的 VLAN モードの Web 認証ネットワーク構築に関する注意事項動的 VLAN モードの Web 認証のログアウトに関する注意事項動的 VLAN モードの Web 認証の端末移動に関する注意事項動的 VLAN モードの Web 認証成功時の画面表示 URL 移動に関する注意事項 AX2400S / AX3600S シリーズの Ver10.7 新機能を使用する場合の注意事項 Web 認証で SSL を使用する場合の注意事項 MAC 認証に関する注意事項固定 VLAN モードの MAC 認証のログアウトに関する注意事項動的 VLAN モードの MAC 認証のログアウトに関する注意事項非認証端末接続時の RADIUS への負荷認証関連共通の注意事項動的 VLAN(MAC VLAN) における注意事項動的 VLAN モードにおける VLAN 自動アサイン機能について動的 VLAN と固定 VLAN 混在に関して RADIUS デッドインターバルタイマについて Copyright , ALAXALA Networks Corporation. All rights reserved. 8

9 6.5. AX1240S 使用時の注意事項フィルタのコンフィグレーションについて運用コマンド AX1200S/AX2200S/AX2500S シリーズの運用コマンド認証状態表示コマンドログ確認コマンド認証状態初期化コマンド AX2400S/AX3600S シリーズの運用コマンド認証状態表示コマンドログ確認コマンド認証状態初期化コマンド付録 A. コンフィグレーション付録 B. 外部 Web サーバ入替えファイル Copyright , ALAXALA Networks Corporation. All rights reserved. 9

10 1. ネットワーク認証概要本章では AX シリーズを用いてネットワーク認証を行なうために必要な情報として 1.1 章ネットワーク認証の概要と 1.2 章で AX がサポートする認証方式 (IEEE802.1X 認証 Web 認証 MAC 認証 ) について説明し 1.3 章で AX における認証端末をどの通信インタフェース単位で認証させるか選択する認証モード ( ポート単位動的 VLAN 固定 VLAN) について説明し 1.4 章では検疫システムの概要を説明します図アラクサラのトリプル認証 Copyright , ALAXALA Networks Corporation. All rights reserved. 10

11 1.1. ネットワーク認証とは現在ネットワークは絶えず不正アクセスの脅威にさらされています従来は外部からのアクセスに対してファイアウォール等の装置にて不正アクセスを防いでいましたがそれでも機密情報の漏洩や個人情報の流出事件が多発しました最近では外部からのアクセスだけでなくむしろ内部からの不正アクセスが問題となっていますまた昨今叫ばれている企業の内部統制の必要性から IT による情報システムによって業務の管理記録を残すことも重要となってきていますそのためにネットワークにアクセスする際にアクセスする本人がシステムに登録された正規のユーザであるかを確認するネットワーク認証システムが必要とされていますネットワーク認証システムによって以下のことが実現できます 1) 不特定多数が同時に接続するネットワークにおいて許可されたユーザに対してのみネットワークサービスを提供することによりリソースの枯渇を防ぎます 2) 正規の権限を認められていない情報資源に対してネットワークアクセスを許可しないことによりネットワークおよび情報システムの安全性を確保します 3) 情報資源の有効活用および万が一情報漏洩が発生した場合の危機管理という観点からネットワークや情報資源の利用状況および利用者の把握を行います図ネットワーク認証概要 Copyright , ALAXALA Networks Corporation. All rights reserved. 11

12 1.2. 認証方式の特徴およびシステム要素 IEEE802.1X 認証概要 IEEE802.1X 認証はアクセス可能なポートからの不正な接続を規制する機能ですバックエンドに認証サーバ (Authentication Server, 一般的には RADIUS サーバ ) を設置し認証サーバによる端末 (Supplicant) の認証が成功した上でスイッチ (Authenticator) が通信を許可します端末 (Supplicant)-スイッチ(Authenticator) 間の認証処理に関わる通信は EAP Over LAN(EAPOL) で行いますスイッチ (Authenticator)- 認証サーバ (RADIUS サーバ ) 間は EAP Over RADIUS プロトコルを使って認証情報を交換します構成要素と動作概略を以下に示します表 IEEE802.1X 認証の構成要素項構成要素番 1 Authenticator ( スイッチ ) 動作概略 Supplicant のネットワークへのアクセスを制御します Supplicant と Authentication Server(RADIUS サーバ ) の仲介に位置し相互間の認証シーケンスをトランスペアレントに行います Supplicant に識別情報を要求しその情報を認証サーバで確認し Supplicant に応答をリレーします Authenticator は EAP フレームのカプセル化 / カプセル化解除および RADIUS サーバとの対話を処理します 2 Supplicant( 端末 ) IEEE802.1X の仕様ではクライアント ( 端末 ) は Supplicant といい IEEE802.1X に準拠するソフト又は OS(Windows XP 等 ) の搭載が必要です 3 Authentication Server (RADIUS サーバ ) Supplicant の認証を行います認証サーバは Supplicant の識別情報を確認し要求元の Supplicant にサービスへのアクセスを許可すべきかどうかを Authenticator に通知します端末 (Supplicant) スイッチ (Authenticator) RADIUS サーバ (Authentication Server) 図 IEEE802.1X 認証の構成要素 Copyright , ALAXALA Networks Corporation. All rights reserved. 12

13 拡張認証プロトコル (EAP) EAP(Extensible Authentication Protocol) は複数の認証方式が提案されています表 IEEE802.1X の EAP 認証方式項番認証方式特徴 1 EAP-MD5 この方式はユーザ ID とパスワードによるクライアント認証であり電子証明書を必要としないため実装が容易になるというメリットがありますただしクライアントのみを認証する片方向認証であることや暗号解読による漏洩には脆弱な面もありますまた Windows XP SP1 以降からは非対応 ( 削除 ) になりましたが EAP の実装では MD5 をサポートすることが義務付けられています 2 PEAP (Protected EAP)) クライアント側ではユーザ ID とパスワードによる認証認証サーバ側では電子証明書による認証が行われる方式 Cisco-PEAP と MS-PEAP があります Windows では MS-PEAP を標準で対応しています 3 EAP-TLS TLS は情報を暗号化して安全に送受信するプロトコルで電子証明書を利用してクライアントと認証サーバの相互認証を行います電子証明書を使うためセキュリティは高いですがクライアントと認証サーバの双方で電子証明書の管理が必要となり PKI 導入基盤が用意されていない場合は使い難いと言われていますなお Windows が標準で対応しています 4 EAP-TTLS MD5 と TLS 双方の利点を併せ持った方式トンネルを張り認証を行うことでセキュリティを確保しますクライアント側ではユーザ ID とパスワードによる認証を行うことで導入管理運用が TLS と比較して容易だといわれていますまた認証サーバ側では電子証明書が利用されるため高いセキュリティ性の確保が可能ですただし TTLS 対応の Supplicant と認証サーバが必要となります暗号強度や鍵生成配布のプロセスという観点からは EAP-TLS がもっとも信頼性の高い認証方式となりますが運用の負荷を考えると PEAP を選択するメリットもあります Copyright , ALAXALA Networks Corporation. All rights reserved. 13

14 EAP 認証シーケンス EAP のやり取りを以下に示します図 EAP 認証シーケンス 1. Supplicant からの EAP-Start または Authenticator からの EAP-Request/Identity によって EAP シーケンスを開始します認証は常に EAP-Start から始まらなければいけないというわけではなく Authenticator は常に EAP-Request/Identity を送信して認証を促すことができますまた Windows XP はデフォルトの設定では EAP-Start を送信しないため端末を検知するまでには EAP-Request/Identity の送信間隔を待たなければなりません 2. Supplicant はユーザ識別子を収集し Response/Identity メッセージにユーザ識別子を挿入し送信します 3. Authenticator は Response/Identity を RADIUS Access-Request に変換し Authentication Server ( 例では RADIUS Server) に転送します 4. Authentication Server からは認証チャレンジが発行されます認証チャレンジは Authenticator が EAP に変換して Supplicant に転送します 5. 認証チャレンジを受信した Supplicant は利用している認証方式と合致している場合は Response を返します認証方式が合致していなかった場合は Response/NAK を返します 6. Authenticator は認証方式が合致するまで方式を変えて認証チャレンジを再送します Copyright , ALAXALA Networks Corporation. All rights reserved. 14

15 7. Supplicant は認証方式が合致した場合 Response/( 認証タイプ ) を返信します 8. Authentication Server から Accept が返ってくると Authenticator はポートを開放し Success の通知を Supplicant に転送します EAPOL フレームフォーマット図 IEEE802.1X の EAPOL フレームフォーマット EAPOL の宛先 MAC アドレスは予約マルチキャストとなっていますこのアドレスは他の予約マルチキャストアドレスと同様に IEEE802.1D では中継しないことを推奨されているためスイッチによっては廃棄されてしまうことがありますのでご注意下さい (IEEE 802.1D Reserved address) Copyright , ALAXALA Networks Corporation. All rights reserved. 15

16 Web 認証概要 Web 認証は Firefox や Internet Explorer などの汎用の Web ブラウザを利用してユーザ ID およびパスワードを使った認証によりユーザを認証しユーザが使用する端末の MAC アドレスを使用して認証状態に移行させ認証後のネットワークへのアクセスを可能にする機能です本機能により端末側に特別なソフトウェアをインストールすることなく Web ブラウザのみで認証を行うことが可能となりますクライアントとスイッチ間のプロトコルは基本の http に加え認証情報を暗号化するための https をサポートしています Web 認証では 1.3 章にて説明する動的 VLAN モードと固定 VLAN モードを選択することができます動的 VLAN モードでは MACVLAN ポートで認証することにより同一ポート配下でユーザ毎に VLAN を切り替えることが可能です認証前は認証前 VLAN に接続され認証後に指定された VLAN に切り替えますまた認証前と認証後で VLAN( ネットワーク ) 切り替わるため固定 IP の端末は使用できません固定 VLAN モードではアクセスポートで認証する場合はポート単位で VLAN が固定となりますトランクポートでの認証もサポートしておりこの場合 Tag-VLAN で認証が可能です認証前と認証後の VLAN 切り替えが発生しないので固定 IP 端末の接続が可能となります固定 VLAN モードでは認証前には認証専用のアクセスリストに登録された宛先のみ通信可能です注 ) マニュアルでは動的 VLAN の事をダイナミック VLAN と表記している場合があります Copyright , ALAXALA Networks Corporation. All rights reserved. 16

18 以下に固定 VLAN モードにおける Web 認証 (URL リダイレクト有効時 ) の動作シーケンスについて示します図固定 VLAN モードにおける Web 認証シーケンス固定 VLAN モードにおける Web 認証では IP アドレスは固定および DHCP での配布どちらでも利用可能ですただし DHCP で IP アドレスを配布する場合には認証前の PC からの DHCP のトラフィックを許可する設定が必要です固定 VLAN では URL リダイレクト機能をサポートしており認証前の PC から任意の Web アクセスがあった場合認証画面を自動的に表示することができます Copyright , ALAXALA Networks Corporation. All rights reserved. 18

19 MAC 認証概要ネットワークに繋がる端末は PC のみとは限りません近年では PC 以外にプリンタや IP 電話機ビデオカメラ等の端末もネットワークでの利用が前提となってきていますそれらの端末についてもネットワークの利用状況の管理や通信する部分を制限するために端末認証を行う必要があります上記の PC 以外の端末では Web ブラウザや IEEE802.1X の Supplicant 機能を持たないものが多いため端末から送信されるパケットの送信元 MAC アドレスを使ってユーザを認証する MAC 認証がありますしかし一般的に MAC アドレスは偽装が簡単でフラッディングしているパケットをキャプチャできると容易に認証済み MAC アドレスを識別することができるため認証としての強度は高いものではありません使用するポートや VLAN スイッチについて注意が必要となります MAC 認証シーケンス以下に MAC 認証時の動作シーケンスを示します図 MAC 認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 19

20 RADIUS (Remote Authentication Dial-In User Services) RADIUS 概要 RADIUS( ラディウス ) はネットワーク資源の利用可否の判断 ( 認証 ) と利用の記録 ( アカウンティング ) のためのプロトコルですその名の示すとおり元来はダイヤルアップ接続のために開発された認証システムですが現在はダイヤルアップのみならず様々なサービスに対して認証とアカウンティングを実現するプロトコルとして幅広く利用されていますクライアントサーバモデルのプロトコルのためサーバがクライアントに対してサービス停止を行うことは基本的にできません RADIUS の基本的な特性は以下のとおりです認証 (Authentication) 承認(Authorization) アカウンティング(Accounting) 即ち AAA モデルをサポートしています Hop to Hop のセキュリティモデルを採用しています ( 信頼関係を持つ AAA サーバ間では要求の転送によって承認を得ることができます ) UDP ベースのプロトコルであり接続開始前にチャレンジ情報のやり取りを行います PAP 認証 CHAP 認証をサポートしています MD5 を利用したパスワード隠蔽の仕組みを備えています状態情報を持ちません RADIUS では認証基盤として自前のデータベースのみならず外部の Active Directory ドメインサーバなどの LDAP に対応したディレクトリサーバや NT サーバ SQL サーバ等と連携することが可能ですこれによりユーザの管理効率を大幅に向上させることも可能となります Copyright , ALAXALA Networks Corporation. All rights reserved. 20

21 RADIUS アトリビュート RADIUS には属性値ペア (AVP: Attribute Value Pair) と呼ばれる登録情報があります属性値ペアは属性番号と長さ属性からなり属性番号ごとに属性値ペアの値の意味が規定されています AX が使用する主な属性名を以下に示します表 AX が使用する RADIUS アトリビュート項 Type パケット属性名解説番値タイプ 1 User-Name 1 認証されるユーザ名 Request MAC 認証の場合は認証端末の送信元 MAC アドレスになります ( 小文字 ASCII, "-" 区切り ) 2 NAS-IP-Address 4 認証要求をしているスイッチの IP アドレス Request AX2400S AX3600S AX6000S はローカルアドレスが設定されている場合はローカルアドレス設定されていない場合は送信インタフェースの IP アドレスになります AX1200S,AX2200S,AX2500S は VLAN ID の一番小さな VLAN インタフェースの IP アドレスになります 3 Service-Type 6 提供するサービスタイプ Framed(2) 固定 Request Accept 4 Session-Timeout 27 IEEE802.1X 認証の場合は Supplicant へ送信した EAP-Request に対する応答待ちタイムアウト値 AX2400S AX3600S AX6000S は項番 5 の Termination-Action が RADIUS-Request(1) に設定されていた場合以下の値で再認証を行います 0: 再認証は無効 1~60:60 秒で再認証 61~65535: 設定された値で再認証 Challenge Accept AX1200S,AX2200S,AX2500S はこの属性を参照せずコンフィグレーションに従います (6.1.6 章参照 ) 5 Termination-Action 29 再認証時の動作指定 AX2400S AX3600S AX6000S はこの属性が RADIUS-Request(1) に設定されていると装置で再認証を設定していない場合でも強制的に再認証を行います AX1200S,AX2200S,AX2500S はこの属性を参照せずコンフィグレーションに従います (6.1.6 章参照 ) Accept 6 Called-Station-Id 30 スイッチの MAC アドレス ( 小文字 ASCII "-" Request Copyright , ALAXALA Networks Corporation. All rights reserved. 21

22 項番属性名 Type 値解説区切り ) AX1230S では未サポート 7 Calling-Station-Id 31 認証端末の MAC アドレス ( 小文字 ASCII "-" 区切り ) 8 NAS-Identifier 32 Web 認証 MAC 認証の場合固定 VLAN モード時に認証端末を収容しているVLAN ID を数字文字列で応答します例 :VLAN ID 100 の場合 100 ダイナミックVLAN モードおよびIEEE802.1X 認証では, コンフィグレーションコマンド hostname で指定された装置名を応答します 9 NAS-Port-Type 61 スイッチがユーザ認証に使用している物理ポートのタイプ IEEE802.1X 認証では Ethernet(15) 固定 Web 認証および MAC 認証では Virtual(5) 固定 10 Tunnel-Type 64 トンネルタイプ動的 VLAN モードでのみ意味を持ちます VLAN(13) 固定 11 Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル動的 VLAN モードでのみ意味を持ちます IEEE802(6) 固定 12 Tunnel-Private-Group-ID 81 VLAN を識別する文字列動的 VLAN モードでのみ意味を持ちます Accept 時は認証済みの端末に割り当てる VLAN ID になります次に示す文字列が対応します (1)VLAN ID を示す文字列 (2)"VLAN"+VLAN ID を示す文字列 (3) VLAN 名称による割り当て文字列にスペースを含んではいけません ( 含めた場合 VLAN 割り当ては失敗します ) ( 設定例 ) VLAN10 の場合 (1) の場合 "10" (2) の場合 "VLAN10" (3) の場合は VLAN に名称を設定することで VLAN 名による VLAN 配布が可能ですたとえば 2 台のスイッチにおいて同一ユーザで所属させたい VLAN 番号が異なる環境でも名称を一致させることで運用可能です 13 NAS-Port-Id 87 IEEE802.1X 認証でのみセットされます Supplicant を認証する Authenticator のポートを識別するための文字列ポート単位認証 : Port x/y 固定 VLAN 認証 : VLAN x 動的 VLAN 認証 : DVLAN x (x y には数字が入る ) ただし AX1230S では入りませんパケットタイプ Request Request Request Accept Accept Accept Request Copyright , ALAXALA Networks Corporation. All rights reserved. 22

23 CA(Certificate Authority) CA とは電子的な身分証明書を発行管理する機関のことであり認証局 CA 局または CA センターなどと呼ばれています CA にはパブリック CA とプライベート CA があり前者は第三者が発行する証明書によりサーバおよび本人性を証明します後者は企業内などに閉じた範囲で企業ポリシーに基づいて運用されます CA ではユーザの公開鍵の管理や電子証明書を発行し証明書は発行者 (CA) のみが知る秘密鍵で暗号化された電子署名ユーザ識別子ユーザ公開鍵証明書有効期限等で構成されています証明書の発行に関しては適用する端末認証方式によって差異があります即ち EAP-TLS ではサーバ証明書およびクライアント証明書の双方をやり取りする必要がありますが EAP-PEAP EAP-TTLS ではクライアント証明書は必要ありません 1) パブリック CA 外部機関に委託することになるため信頼性が高く保守や運用の面でメリットがありますが証明書の発行にコストが必要となります特に EAP-TLS を採用する場合はクライアント数分の証明書発行コストがかかることになりますまた Web 認証にて HTTPS を行う場合でも証明書を機器台数分用意することになります 2) プライベート CA パブリック CA とは逆に証明書の発行コストはかかりませんが自営システムのため構築運用保守のコストがかかりますまたローカルな証明書になるため Web 認証で IE を使用した場合は以下の警告が表示されます図 Windows の Internet Explorer(IE7 以降 IE8,IE9,IE10) セキュリティ警告画面 Copyright , ALAXALA Networks Corporation. All rights reserved. 23

24 AX シリーズでは Web 認証にて https を使用したセキュア認証を実現するため工場出荷時にプライベートの CA から発行されたサーバ証明書がインストールされています Web 認証で https で認証した場合には証明書エラーが表示されます回避手段は注意事項を参照してください Copyright , ALAXALA Networks Corporation. All rights reserved. 24

25 1.3. AX でサポートする認証モードの特徴 AX シリーズがサポートする各認証方式 (IEEE802.1X 認証 Web 認証 MAC 認証方式 ) では端末が認証後に所属する VLAN に応じて大きく 3 種類の認証モードが存在します固定 VLAN モード VLAN を固定した認証モードです詳細は1.3.1 章を参照して下さい動的 VLAN モード VLAN を動的に切り替え且つ認証前通信を制御する新しい認証モードです詳細は1.3.2 章を参照下さいレガシーモード VLAN を動的に切り替える認証モードです AX2400S AX3600S Ver10.7 AX1200S Ver1.4 より前のバージョンの動的 VLAN モードです詳細は1.3.3 章を参照して下さい認証モードの表記については AX シリーズ毎に若干の違いがありますが本ガイド上ではシリーズ毎に依存しない表記を行っています本ガイドと製品マニュアルでの認証モード表記について以下の表に示します表本ガイドと製品マニュアルでの認証モード表記本ガイド上の表記固定 VLAN モード ( ポート単位 ) 章参照固定 VLAN モード (VLAN 単位 ) 章参照固定 VLAN モード章参照動的 VLAN モード章参照レガシーモード章参照認証方式 IEEE802.1X 認証ポート単位 IEEE802.1X 認証 VLAN 単位 AX1200S AX2200S AX2500S ポート単位認証 ( 静的 ) - 製品マニュアル上の表記 AX2400S AX3600S ポート単位認証 VLAN 単位認証 ( 静的 ) AX6000S ポート単位認証 VLAN 単位認証 ( 静的 ) Web 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード MAC 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード IEEE802.1X 認証 Web 認証 MAC 認証 IEEE802.1X 認証 Web 認証 MAC 認証ポート単位認証 ( 動的 ) ダイナミック VLAN モードダイナミック VLAN モード VLAN 単位認証 ( 動的 ) AX2500S は未サポートレガシーモード AX2500S は未サポートレガシーモード (*1) AX2500S は未サポート VLAN 単位認証 VLAN 単位認証 ( 動的 ) (*1) ( 動的 ) (*1) ダイナミックダイナミック VLAN モード VLAN モードダイナミックダイナミック VLAN モード VLAN モード VLAN 単位認証 VLAN 単位認証 ( 動的 ) (*1) ( 動的 ) (*1) レガシーモード - レガシーモード - Copyright , ALAXALA Networks Corporation. All rights reserved. 25

26 (*1) AX2400S AX3600S の IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) の動作については 2.1 章を参照して下さい固定 VLAN モードの特徴固定 VLAN モードは, 認証要求端末の VLAN は認証前と認証後で VLAN が変わりません認証要求端末の所属する VLAN は, 端末の接続ポートが所属する VLAN となります図固定 VLAN モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 認証対象ユーザ ( 図内の PC) の接続ポートまたは VLAN ID により認証対象ユーザ ( 図内の PC) が所属する VLAN ID を特定します 3. ユーザ情報に特定した VLAN ID 情報を加えて RADIUS サーバへ認証要求することで, 収容可能な VLAN を制限することが可能となります 4. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 5. 認証済み PC は接続された VLAN のサーバに接続できるようになります Copyright , ALAXALA Networks Corporation. All rights reserved. 26

27 IEEE802.1X 認証 ( ポート単位 ) 認証の制御を物理ポートまたはリンクアグリゲーション単位に行いますこの認証モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことはできません IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを受信すると廃棄しますまた IEEE802.1X 認証方式では認証サブモードとして以下の三つがあります 1. 一つの物理ポートを 1 台の端末で占有するシングルモード 2. 一つの物理ポートにて 1 台の端末が認証成功するとその後同一物理ポートでは全ての通信を非認証で通過させるマルチモード ( AX1200S はサポートしていません ) 3. 一つの物理ポートにて端末毎に認証する端末認証モード 4. AX2500S ではポート単位認証でもトランクポートにおいての認証をサポートしており IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます図ポート単位認証モード Copyright , ALAXALA Networks Corporation. All rights reserved. 27

28 IEEE802.1X 認証 (VLAN 単位 ) 認証の制御を VLAN に対して行います本モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます端末と本装置の間に L2 スイッチを配置し L2 スイッチを用いて IEEE 802.1Q VLAN-Tag の付与を行う場合に使用します Tag の付与されていない EAPOL フレームについてはポートに設定されているネイティブ VLAN で受信したと認識します図固定 VLAN 認証モード Copyright , ALAXALA Networks Corporation. All rights reserved. 28

29 動的 VLAN モードの特徴動的 VLAN モードは認証後の VLAN 切り替えを MAC VLAN で実施し認証に成功した端末の MAC アドレスと VLAN ID を MAC VLAN と MAC アドレステーブルに登録します図動的 VLAN 認証モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 外部に設置された RADIUS サーバに従って認証を行います 3. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 4. RADIUS サーバから送られる VLAN ID 情報に従って認証済み PC を認証後の VLAN に収容してサーバに接続できるようになります Copyright , ALAXALA Networks Corporation. All rights reserved. 29

30 AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 以降および AX2200S/AX2500S において新しくサポートされた動的 VLAN モードの新機能を以下に示します表動的 VLAN モードで追加変更された機能項番エンハンス内容 1 新機能認証前に通信するための認証前フィルタの適用が可能 2 Web 認証において URL リダイレクトが使用可能 3 Web 認証専用 IP アドレスが利用可能 (AX1200S はレガシーモードでも可能 ) 4 変更仕様認証ポートにおけるネイティブ VLAN での通信が不可 (*1), 5 設定上の変更点 MAC VLAN ポートに認証設定を行う (*1) AX2400S/AX3600S/AX6300S/AX6600S/AX6700S の IEEE802.1X 認証を単独で使用する場合ネイティブ VLAN での通信が可能です同一ポートで Web 認証または MAC 認証と併用した場合はネイティブ VLAN での通信が遮断されるため認証前フィルタの定義が必要になります Copyright , ALAXALA Networks Corporation. All rights reserved. 30

31 レガシーモードの特徴レガシーモードは MAC VLAN 機能を使用して認証要求端末ごとに認証検疫し動的に VLAN を割り当てることにより認証前のネットワークと認証後のネットワークを分離できます AX2400S AX3600S Ver10.7 AX1200S Ver1.4 および AX6700S AX6600S AX6300S Ver11.4 より前のバージョンの動的 VLAN モードが該当します AX2500S からは未サポートとなりました認証のグローバルコンフィグで認証後に配布する VLAN 番号定義を行い MACVLAN ポート全てが認証対象となります図レガシーモード概要図 1. HUB 経由または直結された PC から本装置にアクセスします 2. 外部に設置された RADIUS サーバに従って認証を行います 3. 認証成功であれば認証成功画面を PC に表示します (Web 認証の場合 ) 4. RADIUS サーバから送られる VLAN ID 情報とコンフィグレーションで設定した認証後 VLAN 情報に従って認証済み PC を認証後の VLAN に収容してサーバに接続できるようになります AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 A 以降において動的 VLAN モードとレガシーモードを両方を併用する事ができますが ( 一部混在使用不可 ) 新しく認証ネットワークを構築する場合は動的 VLAN モードを使用することを推奨します AX2500S シリーズでは本機能は未サポートとなりました AX2200S シリーズは AX1240S と同等の認証機能のためレガシーモードを使用することも可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 31

32 1.4. ダイナミック ACL/QoS 認証機能について AX2500S シリーズで Ver3.5 より新たにネットワーク認証にダイナミック ACL( フィルタ )/QoS 機能を追加しましたダイナミック ACL/QoS 機能では認証時に RADIUS サーバによるクラス情報配布と付与されたクラス情報をを使用してネットワークアクセス制御を,ACL( フィルタ )/QoS 機能で実現します本機能は Web 認証 MAC 認証 IEEE802.1X 認証の全ての認証モード ( 固定 VLAN モードダイナミック VLAN モード ) において併用可能です下記概念図で示すようにフィルタを指定することで所属クラス別にアクセス可能なネットワークを限定したりすることが可能ですその他制限なしネット A ネット B ネット C AX2500S クラス =0 クラス =1 クラス =2 クラス =3 クラス指定なしフィルタ指定例 10 permit ip any ネット A class 1 20 permit ip any ネット A class 3 30 deny ip any ネット A 40 permit ip any ネット B class 2 50 permit ip any ネット B class 3 60 deny ip any ネット B 70 permit ip any ネット C class 3 80 deny ip any ネット C 90 permit ip any any 図ダイナミック ACL 概要図 Copyright , ALAXALA Networks Corporation. All rights reserved. 32

33 (1) 認証時のスイッチの動作概要と RADIUS の設定 RADIUS サーバ AX2500S シリーズ認証 (MAC,Web,IEEE802.1X) 認証成功時に当該端末の MAC アドレスと Class 番号を登録 RADIUS 認証成功時の応答で追加アトリビュート Filter-ID= /Class= 番号 (1-63) が付与された場合 RADIUS 認証時の動作 AX シリーズのダイナミック ACL はユーザ認証成功時にユーザ単位に RADIUS から追加アトリビュートの Filter-ID で Class= クラス番号を付与された場合に認証端末の MAC アドレス登録時に Class 番号を合わせて登録します (Class 番号が付与されない場合はクラス 0 として登録 ) Raius アトリビュートの設定クラス 25 所属ユーザの場合 Filter-ID(11)= /Class=25 注 RADIUS 認証で強制認証となった場合は, クラス= 0 として扱います (2) パケット転送時の動作とスイッチの設定認証後の通信において受信したパケットを転送する際に送信元 MAC アドレスが認証時に Class 設定されたパケットの場合検索キーとして Class 情報を加えて ACL/QoS リストを検索しますたとえば ACL/QoS フローリストがインタフェース (VLAN) に設定されていた場合送信元 MAC アドレス毎に記憶したダイナミック ACL/QoS 用に追加された所属クラス (class=1~63) を合わせて検索を行いパケット中継します下記に設定と動作を説明します Class 1 のみ /24 を許可 Class 1 と 3 は /24 を許可スイッチに設定する ACL 10 permit ip any class 1 (class1 ヒット ) 20 deny ip any (class1 以外廃棄 ) 30 permit ip any class 1 (class1 がヒット ) 40 permit ip any class 3 (class3 がヒット ) 50 deny ip any (class1,3 以外廃棄 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 33

34 Class 情報にはマスク機能もあり ( 省略時は全ての完全一致 ) 複数クラスを集約することもできます 30 permit ip any class 1 mask1 ( シーケンス番号 30,40を集約 ) mask を使用する場合クラスの追加作業や管理などで煩雑になる場合がありますので注意してください (3) マルチステップ認証とダイナミック ACL 併用する場合ダイナミック ACL/QoS では最終段階の認証が成功した場合にダイナミック ACL のクラス情報を反映しますダイナミック ACL/QoS を使用する場合は最終段階の認証でクラス情報の配布を行ってくださいたとえば MAC 認証 +Web 認証のマルチステップの場合 2 段階目の Web 認証が終了する前は認証前 ACL が適用され認証前 ACL ではダイナミック ACL は使用できませんので注意してくださいマルチステップ認証でゲスト端末も許可する場合に使用する permissive モードでは 2 段階目においてマルチステップ認証の Filter-ID 指定を行いますのでダイナミック ACL/QoS と併用する場合においては Filter-ID にマルチステップの指定と Class の指定の両方を併記する必要があります併記する場合には RADIUS サーバの追加アトリビュートの Filter-ID に /MAC-Auth/Class= クラス番号と指定しますダイナミック ACL/QoS は指定できませんので / 指定で設定してください 1マルチステップ permissive モード無し ( ゲスト端末無しの環境 ) 所属クラス 20 のユーザの場合 1 段階端末認証のアトリビュート Filter-ID(11)=/MultiStep 2 段階ユーザ認証のアトリビュート Filter-ID(11)=/Class=20 2マルチステップ permissive モード ( ゲスト端末ありの場合 ) で社員はクラス20でゲストはクラス1としたい場合 1 段階目の端末認証で登録端末のアトリビュート Filter-ID(11)=/MultiStep 2 段階目ユーザ認証においてマルチステップ対象のユーザの場合 Filter-ID(11)=/MAC-Auth/Class=20 2 段階目の認証でゲストユーザで Class 指定のみ配布したい場合 Filter-ID(11)=/Class=1 Copyright , ALAXALA Networks Corporation. All rights reserved. 34

35 (4) ダイナミック ACL/QoS で使用可能な ACL と QoS フローリスト以下にダイナミック ACL/QoS 機能でクラス指定が使用可能な ACL と QoS フローリストの種別を示します表ダイナミック ACL/QoS でクラス指定が使用できるリスト機能 ACL/QoS リスト種別クラス指定サポートの有無フィルタ (ACL) IPv4 アクセスリスト standard(permit/deny) extended(permit/deny) IPv6 アクセスリスト extended(permit/deny) MAC アクセスリスト extended(permit/deny) 認証専用 IPv4 アクセスリスト extended(permit/deny) ( クラス指定は無効 ) Qos IPv4 QoS フローリスト IPv6 QoS フローリスト MAC QoS フローリスト Copyright , ALAXALA Networks Corporation. All rights reserved. 35

36 1.5. ネットワーク認証と検疫ネットワーク一般的にウィルスワームに感染した持ち込み PC が情報漏洩の一因になっていることは数々の事件によって明らかになっていますしかしユーザ名とパスワードのみでは許可されたユーザによる持ち込み PC についてネットワークアクセスを禁止することができませんネットワークに接続するためにユーザ名やパスワード電子証明書のみではなくその端末のセキュリティ状態にまで着目して判断するのが検疫ネットワークです検疫ネットワークには以下の三つの要素があります 1. 検疫機能ネットワークに接続しようとしている端末についてのセキュリティ状態を検査する機能です検疫専用のクライアントソフトをインストールするエージェント型や ActiveX によってダウンロードさせるエージェントレス型が存在しますなお検疫はネットワーク認証の一部として行われる場合が多く検疫機能はネットワークへの接続条件の一つと見なされています 2. 隔離機能検疫によって不合格とされた端末について基幹のネットワークと分離させる機能ですこの隔離機能はあくまで幹線ネットワークからの隔離でありこの後の治療のためにネットワークへの接続性は維持させなければなりません隔離の方式としては VLAN を切り替える方式や ACL によってフィルタリングする方式 DHCP による IP サブネットを分ける方式があります 3. 治療機能不合格とされた端末については SUS(Software Update Services) サーバによってセキュリティ状態の更新が行われます治療された端末は再度検疫を行い合格と判断されれば基幹ネットワークへのアクセスが可能となります Copyright , ALAXALA Networks Corporation. All rights reserved. 36

38 1.6. AX-Networker s-utility(web 認証画面入替えツール ) AX-Networker's-Utility はネットワーク作業者の負荷を軽減する単機能ツールのパッケージ製品です AX-Networker's-Utility(Web 認証画面入替えツール ) を導入することで Web 認証画面を管理ツールから入替えることが可能です Web 認証画面の入れ替えをワンタッチでサポート認証画面をユーザーへのメッセージ配信手段として活用 Web 認証画面入替えツールの機能一覧 1. Web 認証画面の取得 ( バックアップ ) 2. Web 認証画面の配信 ( 手動個別配信 ) 3. Web 認証画面配信スケジュール機能 ( グループ別の自動配信 ) 4. Web 認証画面の簡易カスタマイズ機能ネットワーク Web 認証画面入替えツールを導入すると管理端末から登録された認証スイッチに対して Web 認証画面情報の配信およびバックアップがワンタッチで可能になりますまたスケジュール機能を用いると Web 認証画面の定期的な入れ替えや指定日の入れ替えができユーザへのメッセージ通知手段として使用する事ができますサポート機種 AX1200S Ver2.1 以降 AX2200S/AX2500S AX6700S/AX6300S/AX3600S /AX2400S Ver10.8 以降 AX6600S Ver11.1 以降 Web 認証画面入替えツールを利用するためには認証スイッチに本ツール用のログイン名とパスワードの設定が必要です Copyright , ALAXALA Networks Corporation. All rights reserved. 38

39 2. AX シリーズの認証機能サポート一覧本章で記載している認証モードは固定 VLAN モードと動的 VLAN モードですレガシーモードについては製品マニュアルをご確認下さいまた認証モードの詳細につきましては 1.3 AX でサポートする認証モードの特徴を参照して下さい 2.1. 認証方式 AX シリーズのサポートする認証方式一覧を以下に示します項番認証方式認証モード表認証方式 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証固定 VLAN ポート単位 2 モード VLAN 単位 3 動的 VLAN モード (*1) (*1) 4 Web 認証固定 VLAN モード 5 動的 VLAN モード 6 MAC 認証固定 VLAN モード 7 動的 VLAN モード ( 凡例 ) : サポート : 未サポート (*1) AX2400S AX3600S AX6000S の IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) は同一装置内で Web 認証または MAC 認証の動的 VLAN モードと併用した場合動的 VLAN モードとして動作しますまた装置で IEEE802.1X 認証 (VLAN 単位認証 ( 動的 )) を単独で用いた場合レガシーモードとして動作します Copyright , ALAXALA Networks Corporation. All rights reserved. 39

40 AX シリーズでは認証モードが混在した場合の設定可否が装置ごとに異なります認証モード混在時に設定できる認証方式を以下に示します (1) AX1200S/AX2200S/AX2500S シリーズ装置内での共存同一ポートでの共存が可能です表 AX1200S/AX2200S/AX2500S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 ( 凡例 ) : 設定可 : 設定不可 : 未サポート Copyright , ALAXALA Networks Corporation. All rights reserved. 40

41 (2) AX2400S / AX3600S シリーズ表 AX2400S / AX3600S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 (*1) (*1) (*1) (*1) IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 ( 凡例 ) : 設定可 : 設定不可 : 未サポート (*1) 端末認証モードのみサポート Copyright , ALAXALA Networks Corporation. All rights reserved. 41

42 (3) AX6300S / AX6600S / AX6700S シリーズ表 AX6300S / AX6600S / AX6700S シリーズ固定 VLAN モード IEEE802.1X 認証 ( ポート単位 ) IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証 ( ポート単位 ) 固定 VLAN モード IEEE802.1X 認証 (VLAN 単位 ) MAC 認証 Web 認証 IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 (*1) (*1) (*1) (*1) IEEE802.1X 認証動的 VLAN モード MAC 認証 Web 認証 ( 凡例 ) : 設定可 : 設定不可 : 未サポート (*1) 端末認証モードのみサポート Copyright , ALAXALA Networks Corporation. All rights reserved. 42

43 2.2. ユーザ認証データベースユーザ認証には装置に内蔵した認証用データベースを用いる方式と外部に設置した RADIUS サーバに問い合わせる方式がありますこれらのデータベースは認証モードによる差分はありません AX シリーズのサポートするユーザ認証データベースを以下に示します表ユーザ認証データベース項番認証方式ユーザ認証データベース AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証内蔵データベース 2 RADIUS サーバ 3 MAC 認証内蔵データベース 4 RADIUS サーバ 5 Web 認証内蔵データベース 6 RADIUS サーバ ( 凡例 ) : サポート : 未サポート 2.3. ログ出力機能ログ出力機能とは認証を許可した端末へのサービス開始やサービス停止認証失敗などのタイミングでユーザ情報を出力する機能ですこの機能を用いて利用状況追跡を行うことができます AX シリーズのサポートするログ出力機能を以下に示します表ログ出力機能項番認証方式ログ出力機能 AX1230S AX1240S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X show コマンドによる表示 2 認証 RADIUS accounting 機能 3 syslog サーバへの出力 4 SNMP/Trap 5 MAC 認証 show コマンドによる表示 6 RADIUS accounting 機能 7 syslog サーバへの出力 8 SNMP/Trap 9 Web 認証 show コマンドによる表示 10 RADIUS accounting 機能 11 syslog サーバへの出力 12 SNMP/Trap ( 凡例 ) : サポート : 未サポート Copyright , ALAXALA Networks Corporation. All rights reserved. 43

44 2.4. RADIUS アトリビュート RADIUS アトリビュート ( 章 ) について AX シリーズの動作差分一覧を以下に示します表 RADIUS アトリビュートに対する機種別動作属性属性名 ( パケットタイプ ) 1 NAS-IP-Address (Request) 2 Session-Timeout (Challenge,Accept ) AX1200S AX2200S AX2500S VLAN ID の一番小さな VLAN インタフェースの IP アドレス参照しない AX2400S AX3600S AX6300S AX6600S AX6700S ローカルアドレスが設定されている場合 : ローカルアドレス設定されていない場合 : 送信インタフェースの IP アドレス Termination-Action が RADIUS-Accecpt(1) に設定されていた場合以下の値で再認証を行う (IEEE802.1X 認証のみ ) 0: 再認証は無効 1~60:60 秒で再認証 61~65535: 設定された値で再認証 (6.1.6 章参照 ) 3 Termination-Action (Accept) 参照しない RADIUS-Accept(1) に設定されていると装置で再認証を設定していない場合でも強制的に再認証を行う (IEEE802.1X 認証のみ ) (6.1.6 章参照 ) 4 NAS-Port-Id (Request) IEEE802.1X 認証でのみセットされます Supplicant を認証する Authenticator のポートを識別するための文字列ポート単位認証 : Port x/y ( ポート番号 ) 固定 VLAN 認証 : VLAN x 動的 VLAN 認証 : DVLAN x (x y には数字が入る ) ただし AX1230S は未サポート Copyright , ALAXALA Networks Corporation. All rights reserved. 44

45 2.5. IEEE802.1X 認証機能 AX シリーズのサポートする IEEE802.1X 認証の主な機能について以下に示します項番機能表 IEEE802.1X 認証機能 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 EAPOL フォワーディング EAPOL フォワー機能ディング (*1) (*1) (*1) 2 端末認証モードオプション認証除外端末オプション 3 認証除外ポートオプション 4 認証端末数制限オプション 5 ログアウト機能再認証失敗 6 運用コマンド 7 無通信監視 8 リンクダウン 9 ポートリンクダウン時の認証解除抑止設定機能 10 RADIUS サーバとの関連機能サーバ無応答時の強制認証 11 端末検出動作切り替え機能 shortcut モード (*1) 12 disable モード 13 full モード auto (*2) ) 14 VLAN 自動アサイン VLAN 自動アサイン (*2) (*3) 15 同一ポートで固定動的 VLAN の混在 (MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証 ) (*2) 16 トランクポートにおける認証 (IEEE802.1Q VLAN Tag 付き EAPOL サポート ) 17 MAC VLAN ポートにおける (IEEE802.1Q VLAN Tag 付き EAPOL サポート ) ( 凡例 ) : サポート : 未サポート (*1) 装置単位の設定のみサポート (*2) AX1230S では未サポート AX1240S では Ver2.1 よりサポート (*3) Ver11.1 以降 Copyright , ALAXALA Networks Corporation. All rights reserved. 45

46 項番 2.6. Web 認証機能 AX シリーズのサポートする Web 認証機能の主な機能について以下に示します機能表 Web 認証機能 AX1200S AX2200S AX2500S 固定 VLAN モード動的 VLAN モード AX2400S AX3600S 固定 VLAN モード動的 VLAN モード AX6300S AX6600S AX6700S 固定 VLAN モード動的 VLAN モード 1 Web サーバ機能 http 2 https 3 ログイン画面入れ替え機能 4 URL リダイレクト機能 5 Web 認証専用 IP アドレス 6 ポート単位の Web 認証画面選択 (*1) (*1) 7 外部 Web サーバへのリダイ (*2) (*2) レクト先 Config 指定 8 認証成功後リダイレクト前 (*2) (*2) の URL にジャンプする機能 9 ログアウト機能運用コマンド 10 最大接続時間での監視 11 無通信監視機能 12 ログアウト画面からのログアウト 13 ARP ポーリング 14 特殊 ping パケットによるログアウト 15 ポートリンクダウン 16 ポートリンクダウン時の認証解除抑止設定機能 (*2) (*2) 17 RADIUS サーバとサーバ無応答時の強制認証の関連機能 18 VLAN 自動アサイVLAN 自動アサインン (*1) 19 DHCP サーバ機能設定可能なリースタイム値 10 秒 ~ 10 秒 ~ 10 秒 ~ 20 デフォルトゲートウェイの配布 21 DNS の配布 22 同一ポートで固定動的 VLAN の混在 (MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証 ) (*1) ( 凡例 ) : サポート : 未サポート (*1) AX1230S では未サポート, (*2) AX2500SVer3.5 以降のみサポート Copyright , ALAXALA Networks Corporation. All rights reserved. 46

47 2.7. MAC 認証機能 AX シリーズのサポートする MAC 認証機能の主な機能について以下に示します項番機能表 MAC 認証機能 AX1200S AX2200S AX2500S 固定 VLAN モード動的 VLAN モード AX2400S AX3600S 固定 VLAN モード動的 VLAN モード AX6300S AX6600S AX6700S 固定 VLAN モード動的 VLAN モード 1 認証解除機能最大接続時間での監視 2 エージング時間監視 3 ポートリンクダウン 4 ポートリンクダウン時の認証解除抑止設定機能 (*2) (*2) 5 RADIUS サーバとサーバ無応答時の強制認証 6 の関連機能定期的再認証要求 7 VLAN 自動アサイVLAN 自動アサインン (*1) 8 同一ポートで固定動的 VLAN 混在 (MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証 ) (*1) ( 凡例 ) : サポート : 未サポート (*1) AX1230S では未サポート, (*2) AX2500SVer3.5 以降のみサポート 2.8. 収容条件 AX シリーズのサポートする各認証モード毎の最大認証端末数を以下に示します認証モード固定 VLAN モード動的 VLAN モード認証方式 ( 凡例 ) : 未サポート表認証モード毎の最大認証端末数 AX1200S AX2200S AX2400S AX3600S IEEE802.1X 64/ ポート 64/ ポート認証 256/ 装置合計 256/VLAN 合計 256/VLAN MAC 認証 1024/ 装置 1024/ 装置 1024/ 装置 1024/ 装置 4096/ 装置 Web 認証 1024/ 装置 1024/ 装置 4096/ 装置 IEEE802.1X 256/ 装置 256/ 装置 4096/ 装置認証 (*1) 合計 MAC 認証合計 256/ 装置 256/ 装置 256/ 装置 4096/ 装置 256/ 装置 (*1) (*1) 256/ 装置 Web 認証 256/ 装置 4096/ 装置 (*1) (*1) AX3640S では 1024/ 装置となります AX6300S AX6600S AX6700S 256/ ポート合計 4096/ 装置合計 4096/ 装置 Copyright , ALAXALA Networks Corporation. All rights reserved. 47

48 表認証モード毎の最大認証端末数認証モード認証方式 AX2500S 固定 VLAN モード動的 VLAN モード IEEE802.1X 認証 MAC 認証 Web 認証 IEEE802.1X 認証 MAC 認証 Web 認証 1024/ 装置 1024/ 装置 1024/ 装置 1000/ 装置 1000/ 装置 1000/ 装置合計 1024/ 装置合計 1000/ 装置 2.9. RADIUS サーバグループ選択機能項番 AX シリーズのサポートする認証サーバを選択できる RADIUS サーバグループ選択機能一覧を以下に示します機能の詳細に関しては AX シリーズ認証ソリューションガイド (RADIUS サーバグループ選択機能編 ) を参照してください表 RADIUS サーバグループ選択機能一覧機能 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 ポート別 RADIUS サーバグループ選択機能 (*2) (*1) 2 ユーザ ID 別 RADIUS サーバグループ選択機能 (*3) ( 凡例 ) : サポート : 未サポート (*1)AX1230S は未サポート (*2) マニュアルではポート別認証方式と表記されています (*3) マニュアルではユーザ ID 別認証方式と表記されています (*1) Copyright , ALAXALA Networks Corporation. All rights reserved. 48

49 2.10. リンクアグリゲーションポートでの認証機能項番認証機能表リンクアグリゲーションポートでの認証機能一覧ポート種別 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証アクセスポートトランクポート MACVLAN ポート 2 Web 認証アクセスポートトランクポート MACVLAN ポート 3 MAC 認証アクセスポートトランクポート MACVLAN ポートダイナミック ACL/QoS 機能項番認証機能表ダイナミック ACL/QoS 認証機能サポート一覧ポート種別 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証アクセスポートトランクポート MACVLAN ポート 2 Web 認証アクセスポートトランクポート MACVLAN ポート 3 MAC 認証アクセスポートトランクポート MACVLAN ポート Copyright , ALAXALA Networks Corporation. All rights reserved. 49

50 3. 認証ネットワークの構築 3.1. 認証ネットワーク概要本章では AX シリーズを用いた認証ネットワークの構築例を示します本ガイドでは固定 VLAN モードと動的 VLAN モードの認証ネットワーク構成例を示しそれぞれの設定方法について解説します AX シリーズを用いた認証ネットワークの基本的な構成を以下のように定義しますコアスイッチマスター VRRP バックアップ OSPF AX3600S AX3600S AX3600S 認証スイッチ STP AX2400S AX1200S RADIUS サーバ DHCP サーバ syslog サーバ SNMP マネージャ AX1200S 端末プリンタ端末図 AX シリーズを用いた認証ネットワーク構成例本構築例ではコアスイッチには AX3600S を配置し VRRP を用いて装置を冗長化していますまた装置間はリンクアグリゲーションを用いて回線を冗長化した例で説明しています認証に用いる RADIUS サーバ端末に IP アドレスを配布する DHCP サーバログを収集する syslog サーバおよびネットワークを監視する SNMP マネージャはコアスイッチ配下に接続しますコアスイッチ同士の経路交換には OSPF 等のルーティングプロトコルを使用しています認証スイッチには AX2400S および AX1200S を配置しスパニングツリーを用いて冗長化します認証を行う端末やプリンタは認証スイッチに直接またはハブを介して接続しています AX2200S シリーズに関しては AX1240S と同じ認証機能を持っていますコンフィグレーションもインタフェース種別以外は共通のため AX1240S の構築例を参照してください Copyright , ALAXALA Networks Corporation. All rights reserved. 50

51 本ガイドでは使用可能な全ての認証方式を認証スイッチに設定していますここで示した各装置の全コンフィグレーションを付録に添付していますので実際に構築する環境に合わせてご利用下さい 3.2. 固定 VLAN モード認証ネットワーク構成図図の認証スイッチが固定 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF /24 0/ /24 0/24 0/23 VLAN15 Core#1 VLAN25 Core#2 VLAN25 VLAN15 Core# AX3600S / AX3600S AX3600S VLAN100,200,300,400, VLAN100,200,300,400,1000 VLAN50 0/1~0/2 0/3~0/4 0/3~0/4 0/1~0/2 0/1 0/2 0/ VRRP STP /47~0/48 VLAN100,200,300,400, VLAN400 0/1~0/10 VLAN100 0/11~0/20 仮想ルータクライアント用 VLAN クライアント用 VLAN クライアント用 VLAN クライアント用 VLAN 管理用 VLAN dist#1 0/25~0/26 VLAN100,200,300,1000 edge#1 AX2400S VLAN100,200,300 0/21~0/ VLAN100 0/1~0/10 AX1200S VLAN200,300 0/11~0/20 RADIUS サーバ #2 DHCP サーバ #2 DNS サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 DNS サーバ #1 syslog サーバ SNMP マネージャ 0/11 0/1 HUB#1 HUB#2 端末認証除外プリンタ MAC アドレス端末端末認証除外プリンタ MAC アドレス図認証ネットワーク構成図端末端末 IEEE802.1Q リンクここで認証スイッチのポートを以下のように設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 51

52 表認証スイッチのポート設定認証スイッチ AX2400S AX1200S 用途ポート番号ポート種別認証方式 VLAN ID 認証用上位スイッチとの通信用認証用上位スイッチとの通信用 0/1~0/10 アクセスポート IEEE802.1X 認証 ( ポート単位 ) 400 0/11~0/20 アクセスポート IEEE802.1X 認証 ( 固定 VLAN) 100 0/21~0/30 トランクポート MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 300 0/47~0/48 トランクポート 0/1~0/10 アクセスポート IEEE802.1X 認証 ( ポート単位 ) 100 MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 0/11~0/20 トランクポート MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) /25~0/26 トランクポート各 VLAN の定義を以下の表に示します表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) クライアント用 /24 端末が所属する VLAN VLAN1 クライアント用 /24 VLAN2 クライアント用 /24 VLAN3 クライアント用 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 52

53 構築ポイント固定 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示します必須項目 (1) 運用前にシステムファンクションリソースを設定する (AX1230S のみ ) 固定 VLAN モードを使用する場合運用前にシステムファンクションリソース配分を変更してフィルタ機能と拡張認証機能を有効にします設定変更後は装置の再起動が必要です (2) アップリンク側ポートに認証除外設定をする (AX2400S のみ ) IEEE802.1X 認証 ( 固定 VLAN) を行う場合上位スイッチとの通信を行うポートに認証除外の設定が必要です (3) Web 認証用ポートにフィルタを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します認証前に通信を行いたい場合は認証専用 IPv4 アクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (a) DHCP 通信を許可する (b) DNS サーバへの DNS 通信を許可する (c) DNS サーバへの DNS 通信を許可する (4) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますなお AX2400S で設定後は Web サーバの再起動が必要ですまたクライアント用 VLAN のインタフェース IP アドレス設定が必要です本ガイドではクライアント用 VLAN の IP アドレスをそれぞれ次のように設定していますクライアント用認証スイッチ VLAN ID AX2400S AX1200S (5) Web 認証で SSL を使用する場合は FQDN を設定をする Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 53

54 (6) Web 認証および MAC 認証時のポート移動後通信を許可する (AX1200S のみ ) ハブ経由で Web 認証または MAC 認証を実施する場合認証済み端末をリンクダウンせずにポート移動したときの通信許可 ( ローミング ) を設定します (7) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置するハブには EAPOL フォワーディング機能が必要です AX1200S には EAPOL フォワーディング機能が実装されています (8) デフォルトルートを設定する RADIUS サーバへ通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (9) IEEE802.1X 端末検出機能を auto に変更する認証スイッチの IEEE802.1X 端末検出機能 auto に変更します (6.1.1 章参照 ) ただし AX1230S の場合 auto 未サポートのため disable とします (10) MAC 認証の ID を統一する (AX1200S のみ ) AX2400S と AX1200S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX1200S のフォーマットを変更します (11) MAC 認証の最大接続時間を設定する MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定することを推奨します最大接続時間を設定すると再度認証を行う際にパケットロスが発生する事に注意して下さい (6.3.1 章参照 ) (12) 認証スイッチの認証用ポートはスパニングツリー対象外にするスパニングツリーを使用する場合リンクアップ後すぐ認証処理が開始されるようにするため認証用ポートはスパニングツリー対象外としますなお本ガイドではシングルスパニングツリーを使用していますが全認証スイッチが固定 VLAN モードのみで構成されている場合は PVST+ を使用することもできます (13) RADIUS タイマ値をチューニングする (AX2400S のみ ) RADIUS サーバを 2 台以上設置して IEEE802.1X 認証を行う場合は RADIUS サーバの応答待ち時間を短く設定する必要があります (6.1.4 章参照 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 54

55 認証以外の項目 (14) コアスイッチ間の回線にリンクアグリゲーションを設定するコアスイッチ間の回線を冗長化するためリンクアグリゲーションを設定します本ガイドではスタティックモードを用いています (15) VRRP のマスタ STP のルートブリッジを設定する本ガイドでは core#1 の仮想ルータ優先度を 200 core#2 の優先度を 100 として core#1 をマスタに設定していますまた core#1 のブリッジ優先度を 4096 core#2 のブリッジ優先度を 8192 として core#1 をルートブリッジに設定しています (16) DHCP の設定をする DHCP サーバから IP アドレスを取得する構成の場合コアスイッチに DHCP リレーエージェントによる転送先アドレスの設定をしますまた DHCP サーバ側の設定で配布するデフォルトゲートウェイを本構成では VRRP の仮想ルータアドレスに設定する必要がありますトランクポートの認証について AX1200S/AX2200S シリーズではトランクポートによる IEEE802.1X 認証はサポートされていません認証除外についてトランクポートに認証を設定した場合ネイティブ VLAN を含めて全ての VLAN で認証を行います除外したい場合は IPv4 パケットのみ認証専用 IPv4 アクセスリストにおいて VLAN 指定により通信許可することが可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 55

56 AX1200S のコンフィグレーション AX1200S の設定例を示します (1) 事前設定 AX1200S の設定システムファンクションリソース配分の設定 (config)# system function filter extended-authentication AX1230S の場合はフィルタ機能と固定 VLAN モードを使用するためシステムファンクションリソース配分を変更します AX1240S では必要ありません設定後は装置の再起動が必要です構築ポイント (1) (2) 共通の設定 AX1200S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,1000 (config)# interface range fastethernet 0/1-20 (config-if-range)# spanning-tree portfast 物理ポートの設定固定 VLAN 認証用 (config)# interface range fastethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface range fastethernet 0/11-20 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 200,300 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,1000 インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/20 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (12) ポート 0/1~0/10 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定しますポート 0/11~0/20 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定しますポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートにクライアント用 VLAN および管理用 VLAN1000 を設定しますクライアント用 VLAN および 300 にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) Copyright , ALAXALA Networks Corporation. All rights reserved. 56

57 AX1200S の設定 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address デフォルトルートの設定 (config)# ip route RADIUS サーバの設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala syslog サーバの設定 (config)# logging host SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all 管理用 VLAN1000 にインタフェース IP アドレスを設定します RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定します ( 認証ログと運用ログを指定サーバへ配信します ) SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています (3) IEEE802.1X 認証の設定 AX1200S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS IEEE802.1X 認証の設定 ( グローバル ) (config)# dot1x system-auth-control RADIUS サーバでユーザ認証を行うことを設定します IEEE802.1X 認証を有効にします以下の設定は環境に合わせて行います (config)# no dot1x auto-logout IEEE802.1X 認証の設定 ( 物理ポート ) (config)# interface range fastethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x supplicant-detection auto 以下の設定は環境に合わせて行います (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quiet-period 5 無通信時自動ログアウト機能を無効にします (AX1240S のみ,AX1230S は自動ログアウト機能はありません ) ポート 0/1~0/10 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定しますサプリカントの再認証を有効にします (AX1240S では無通信自動ログアウトがあるため必須ではない ) 端末検出モードを auto に設定 AX1230S の場合 disable とします構築ポイント (9) I 再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 57

58 (4) Web 認証の設定 AX1200S の設定 Web 認証の設定 ( グローバル ) (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication static-vlan roaming (config)# web-authentication system-auth-control Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) 認証済み端末のポート移動後通信を許可します構築ポイント (6) Web 認証を有効にします以下の設定は環境に合わせて行います (config)# web-authentication max-timer 1400 (config)# web-authentication jump-url (config)# web-authentication static-vlan roaming action trap 認証専用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp src dst eq bootps (config-ext-nacl)# permit udp src dst eq domain (config-ext-nacl)# permit udp src dst eq domain 認証成功後の最大接続時間を 1400 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています認証済み端末をポート移動したときにトラップを送信します以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) (AX1240S 新フォーマット ) (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain AX1240S は AX2400S シリーズと同等な新フォーマットに対応しましたが AX1230S の旧フォーマットでも受付けて自動的に変換します Web 認証の設定 ( 物理ポート ) (config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 58

59 (5) MAC 認証の設定 AX1200S の設定 MAC 認証の設定 ( グローバル ) (config)# mac-authentication id-format 1 (config)# mac-authentication static-vlan roaming (config)# mac-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 1400 (config)# mac-authentication auto-logout delaytime 1000 (config)# no mac-authentication auto-logout (config)# mac-authentication password alaxala (config)# mac-authentication static-vlan roaming action trap 物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (10) 認証済み端末のポート移動後通信を許可します構築ポイント (6) MAC 認証を有効にします認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 1400 分に設定します構築ポイント (11) 無通信時に自動ログアウトを 1000 秒に設定無通信時の自動ログアウトを無効にします MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています認証済み端末をポート移動したときにトラップを送信しますポート 0/1~0/20 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します (6) スタティック MAC 登録の設定 AX1200S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static vlan 100 認証せずに通信を行う端末の MAC アドレスを interface fastethernet 0/1 VLAN100 のポート 0/1 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 59

60 AX2400S のコンフィグレーション AX2400S の設定例を示します (1) 共通の設定 AX2400S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,400,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,400,1000 (config)# interface range gigabitethernet 0/1-30 (config-if-range)# spanning-tree portfast 物理ポートの設定固定 VLAN 認証用 (config)# interface range gigabitethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 400 (config)# interface range gigabitethernet 0/11-20 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface range gigabitethernet 0/21-30 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/47-48 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,400,1000 インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 400 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address デフォルトルートの設定 (config)# ip default-gateway VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/30 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (12) ポート 0/1~0/10 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN400 を設定しますポート 0/11~0/20 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定しますポート 0/21~0/30 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定しますポート 0/47~0/48 を上位スイッチと通信するトランクポートとして設定しますトランクポートにクライアント用 VLAN および管理用 VLAN1000 を設定しますクライアント用 VLAN および 400 にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) 管理用 VLAN1000 にインタフェース IP アドレスを設定します RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) Copyright , ALAXALA Networks Corporation. All rights reserved. 60

61 AX2400S の設定 RADIUS サーバの設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala syslog サーバの設定 (config)# logging host (config)# logging event-kind err,evt,aut (2) IEEE802.1X 認証の設定 AX2400S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS IEEE802.1X 認証 ( ポート単位 ) の設定 (config)# interface range gigabitethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x supplicant-detection auto 以下の設定は環境に合わせて行います (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quiet-period 5 IEEE802.1X 認証 ( 固定 VLAN) の設定 (config)# dot1x vlan 100 reauthentication (config)# dot1x vlan 100 supplicant-detection auto (config)# dot1x vlan 100 enable (config)# dot1x vlan 200 reauthentication (config)# dot1x vlan 200 supplicant-detection disable (config)# dot1x vlan 200 enable (config)# dot1x vlan 300 reauthentication (config)# dot1x vlan 300 supplicant-detection disable (config)# dot1x vlan 300 enable (config)# interface range gigabitethernet 0/47-48 (config-if-range)# dot1x force-authorized-port (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config)# dot1x vlan 100 timeout reauth-period 3600 (config)# dot1x vlan 100 timeout quiet-period 5 (config)# dot1x vlan 200 timeout reauth-period 3600 (config)# dot1x vlan 200 timeout quiet-period 5 (config)# dot1x vlan 300 timeout reauth-period 3600 (config)# dot1x vlan 300 timeout quiet-period 5 RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します (err,evt も出力する設定例 ) RADIUS サーバでユーザ認証を行うことを設定しますポート 0/1~0/10 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定しますサプリカントの再認証を有効にします端末検出モードを auto に設定します構築ポイント (9) 再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定します VLAN100 に対しサプリカントの再認証を有効にします端末検出モードを auto にします構築ポイント (9) IEEE802.1X 認証 ( 固定 VLAN) を有効にします VLAN200 および 300 に対しても同様に設定します上位スイッチと通信を行うポート 0/47~0/48 は認証対象外とします構築ポイント (2) IEEE802.1X 認証を有効にします再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 61

62 (3) Web 認証の設定 AX2400S の設定認証専用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain 物理ポートの設定 (config)# interface range gigabitethernet 0/11-30 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS Web 認証の設定 (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# web-authentication max-timer 1400 (config)# web-authentication jump-url (config)# no web-authentication auto-logout syslog サーバの設定 (config)# web-authentication logging enable 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) ポート 0/11~0/30 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) Web 認証を有効にします認証成功後の最大接続時間を 1400 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています無通信時の自動ログアウトを無降にします Web 認証の動作ログを syslog サーバへ出力します Copyright , ALAXALA Networks Corporation. All rights reserved. 62

63 (4) MAC 認証の設定 AX2400S の設定物理ポートの設定 (config)# interface range gigabitethernet 0/11-30 (config-if-range)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS MAC 認証の設定 (config)# mac-authentication system-auth-control ポート 0/11~0/30 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します MAC 認証を有効にします以下の設定は環境に合わせて行います (config)# mac-authentication max-timer 1400 (config)# mac-authentication password alaxala (config)# no mac-authentication auto-logout syslog サーバの設定 (config)# mac-authentication logging enable 認証成功後の最大接続時間を 1400 分に設定します構築ポイント (11) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています無通信時の自動ログアウトを無効にします MAC 認証の動作ログを syslog サーバへ出力します (5) スタティック MAC 登録の設定 AX2400S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static vlan 100 認証せずに通信を行う端末の MAC アドレスを interface gigabitethernet 0/11 VLAN100 のポート 0/11 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 63

64 AX3600S のコンフィグレーション AX3600S の設定例を示します (1) 共通の設定 AX3600S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,400,1000 (config-vlan)# state active スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,400,1000 (config)# spanning-tree single priority 4096 物理ポートの設定 (config)# interface range gigabitethernet 0/1-4 (config-if-range)# media-type rj45 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,400,1000 リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 100,200,300,400,1000 (config)# interface range gigabitethernet 0/3-4 (config-if-range)# channel-group 1 mode on インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 400 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN および 400 を管理用 VLAN として VLAN1000 を作成しますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にしますブリッジ優先度を設定します構築ポイント (15) ポート 0/1~0/4 を下位スイッチと通信するトランクポートとして設定しますメディアタイプを設定しますトランクポートに VLAN および 1000 を設定しますポートチャネルインタフェース 1 をトランクポートとして作成しトランクポートに VLAN および 1000 を設定しますポート 0/3~0/4 をスタティックモードのチャネルグループ 1 に設定します構築ポイント (14) VLAN および 1000 にインタフェース IP アドレスをそれぞれ設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 64

65 (2) VRRP の設定 AX3600S の設定 VRRP の設定 (config)# interface vlan 100 (config-if)# vrrp 100 ip (config-if)# vrrp 100 priority 200 (config-if)# no vrrp 100 preempt (config-if)# vrrp 100 accept (config)# interface vlan 200 (config-if)# vrrp 200 ip (config-if)# vrrp 200 priority 200 (config-if)# no vrrp 200 preempt (config-if)# vrrp 200 accept VLAN および 1000 に対して以下の設定を行います仮想ルータの IP アドレスを設定します仮想ルータの優先度を設定します自動切り戻しを抑止しますアクセプトモードを有効にします構築ポイント (15) (config)# interface vlan 300 (config-if)# vrrp 30 ip (config-if)# vrrp 30 priority 200 (config-if)# no vrrp 30 preempt (config-if)# vrrp 30 accept (config)# interface vlan 400 (config-if)# vrrp 40 ip (config-if)# vrrp 40 priority 200 (config-if)# no vrrp 40 preempt (config-if)# vrrp 40 accept (config)# interface vlan 1000 (config-if)# vrrp 1 ip (config-if)# vrrp 1 priority 200 (config-if)# no vrrp 1 preempt (config-if)# vrrp 1 accept (3) DHCP リレーの設定 AX3600S の設定 DHCP リレーの設定 (config)# interface vlan 100 (config-if)# ip helper-address (config)# interface vlan 200 (config-if)# ip helper-address VLAN および 400 に対して DHCP リレーエージェントによる転送先アドレスを設定します構築ポイント (16) (config)# interface vlan 300 (config-if)# ip helper-address (config)# interface vlan 400 (config-if)# ip helper-address Copyright , ALAXALA Networks Corporation. All rights reserved. 65

66 (4) OSPF の設定 AX3600S の設定ポート VLAN の設定 (config)# vlan 5,15 (config-vlan)# state active 物理ポートの設定 (config)# interface gigabitethernet 0/24 (config-if)# switchport mode access (config-if)# switchport access vlan 15 (config-if)# spanning-tree portfast リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport trunk allowed vlan add 5 インタフェースの設定 (config)# interface vlan 5 (config-if)# ip address (config)# interface vlan 15 (config-if)# ip address OSPF の設定 (config)# router ospf 1 (config-router)# router-id (config-router)# network area 0 (config-router)# network area 0 (config-router)# redistribute connected OSPF 通信用にポート VLAN5 および 15 を作成しますポート 0/24 をアクセスポートとして設定しますアクセスポートに VLAN15 を設定しますスパニングツリーの PortFast 機能を適用しスパニングツリー対象外としますポートチャネルインタフェース 1 に VLAN5 を追加します VLAN5 および 15 に IP アドレスを設定します OSPF を起動しますルータ ID を設定します OSPF が動作するネットワークを設定します connected 経路を再配送します Copyright , ALAXALA Networks Corporation. All rights reserved. 66

67 3.3. 固定 VLAN モード (AX2500S シリーズ ) AX2500S は AX1240S でサポートしている全ての認証機能をサポートしていますまたインタフェース種別以外のコマンドも共通となっていますさらに AX1240S では未サポートであったリンクアグリゲーションポートでの認証を新たにサポートしています本章では新しくサポートされたリンクアグリゲーションでの認証を中心に解説します認証ネットワーク構成図図の認証スイッチが固定 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF /24 0/ /24 0/24 0/23 VLAN15 Core#1 VLAN25 Core#2 VLAN25 VLAN15 Core# AX3600S / AX3600S AX3600S VLAN100,200,300,400, VLAN100,200,300,400,1000 VLAN50 0/1~0/2 0/3~0/4 0/3~0/4 0/1~0/2 0/1 0/2 0/ VRRP STP /47~0/48 VLAN100,200,300, VLAN100 0/1~0/10 VLAN200,300 0/11~0/20 仮想ルータクライアント用 VLAN クライアント用 VLAN クライアント用 VLAN クライアント用 VLAN4 192, 管理用 VLAN VLAN100 0/21~0/22(ch-grp1) dist#2 AX2500S VLAN,200,300 0/23~0/24(ch-grp2) RADIUS サーバ #2 DHCP サーバ #2 DNS サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 DNS サーバ #1 syslog サーバ SNMP マネージャ 0/11 IEEE802.1Q リンク端末認証除外プリンタ MAC アドレス L2 スイッチ L2 スイッチリンクアグリゲーション端末端末端末端末図認証ネットワーク構成図コアスイッチの設定は図と同様になりますただし AX2530S では VLAN400 未使用です Copyright , ALAXALA Networks Corporation. All rights reserved. 67

68 ここで認証スイッチのポートを以下のように設定します表認証スイッチのポート設定認証スイッチ AX2500S 用途認証用上位スイッチとの通信用ポート番号ポート種別認証方式 VLAN ID 0/1~0/10 アクセスポート IEEE802.1X 認証 ( ポート 100 単位 ) MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 0/11~0/20 トランクポート MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) IEEE802.1X 認証 ( ポート単位 ) 0/21~0/22 リンクアグリゲーショ IEEE802.1X 認証 ( ポート 100 ン + アクセス単位 ) MAC 認証 ( 固定 VLAN) Web 認証 ( 固定 VLAN) 0/23~0/24 リングアグリゲーショ MAC 認証 ( 固定 VLAN) ン+トランクポート Web 認証 ( 固定 VLAN) 0/25~0/26 トランクポート各 VLAN の定義を以下の表に示します表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) クライアント用 /24 端末が所属する VLAN VLAN1 クライアント用 /24 VLAN2 クライアント用 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 68

69 構築ポイント固定 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示しますなおコアスイッチ側の設定は 3.2 章と共通なため省略しています必須項目 (1) Web 認証用ポートに認証専用アクセスリストを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します認証前に通信を行いたい場合は認証専用 IPv4 アクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (a) DHCP 通信を許可する (b) DNS サーバへの DNS 通信を許可する (c) DNS サーバへの DNS 通信を許可する (2) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますなお AX2400S で設定後は Web サーバの再起動が必要ですまたクライアント用 VLAN のインタフェース IP アドレス設定が必要です本ガイドではクライアント用 VLAN の IP アドレスをそれぞれ次のように設定していますクライアント用 VLAN ID 認証スイッチ AX2400S (3) Web 認証で SSL を使用する場合は FQDN を設定をする Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります (4) Web 認証および MAC 認証時のポート移動後通信を許可するハブ経由で Web 認証または MAC 認証を実施する場合認証済み端末をリンクダウンせずにポート移動したときの通信許可 ( ローミング ) を設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 69

70 (5) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置するハブには EAPOL フォワーディング機能が必要です AX1200S には EAPOL フォワーディング機能が実装されています (6) デフォルトルートを設定する RADIUS サーバへ通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (7) IEEE802.1X 端末検出機能を auto に変更する認証スイッチの IEEE802.1X 端末検出機能 auto に変更します (6.1.1 章参照 ) (8) MAC 認証の ID を統一する AX2400S と AX2500S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX2500S のフォーマットを変更します (9) MAC 認証の最大接続時間を設定する MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定することを推奨します最大接続時間を設定すると再度認証を行う際にパケットロスが発生する事に注意して下さい (6.3.1 章参照 ) (10) 認証スイッチの認証用ポートはスパニングツリー対象外にするスパニングツリーを使用する場合リンクアップ後すぐ認証処理が開始されるようにするため認証用ポートはスパニングツリー対象外としますなお本ガイドではシングルスパニングツリーを使用していますが全認証スイッチが固定 VLAN モードのみで構成されている場合は PVST+ を使用することもできますトランクポートにおける IEEE802.1X 認証について AX2500S Ver3.4 以降でトランクポートによる IEEE802.1X 認証がサポートされトリプル認証が利用できるようになりましたトランクポートで VLAN を認証除外して通信許可したい場合 : トランクポートに認証を設定した場合ネイティブ VLAN を含めて全ての VLAN で認証を行います認証専用 IPv4 アクセスリストに, 当該 VLAN 番号を VLAN 条件に指定することで, 認証を除外して通信許可とすることが可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 70

71 ダイナミック ACL の設定 (AX2500S シリーズのみ利用可能 ) (1) ACL を作成する下記に示すアクセス制御用のフィルタエントリを作成します ACL は指定したパケットの廃棄または通過の指定を書きます検索順はシーケンス番号の小さいものから順に検索していき一致した場合に制御に従い premt( 通過 ) deny( 廃棄 ) で制御し最後までヒットしない場合は暗黙の廃棄となります本例では通過させたいあて先ネットワークアドレスをクラス指定で追加しクラス指定無しの場合当該ネットワークアドレスを廃棄とするような例で説明します下記に示す例はクラス毎に保護したいネットワークを指定する例です ACL 指定の無いネットワークへは許可とする場合の設定例のためシーケンス番号で最後のところにヒットしない場合 any 指定で IP パケットの通過と指定しています表ダイナミック ACL でアクセス制御するネットワークネットワーク通信可能なクラスネット A ネット B ネット C その他 ( /24) ( /24) ( /24) (Any) 1 1,2 1,3 全クラス ACL シーケンス番号アクセス制御表 ACL 設定例あて先ネットワーク IP アドレスクラス 10 permit /24 1 クラス 1 通過 20 deny /24 - 全クラス廃棄 30 permit /24 1 クラス 1 通過 40 permit /24 2 クラス 2 通過 50 deny /24 - 全クラス廃棄 60 permit /24 1 クラス 1 通過 70 permit /24 3 クラス 3 通過 80 deny /24 - 全クラス廃棄 90 permit Any - ヒットしない場合通過とします備考 Copyright , ALAXALA Networks Corporation. All rights reserved. 71

72 AX2500S のコンフィグレーション AX2500S の設定例を示します AX2500S は AX1200S シリーズの認証コンフィグレーションと共通でリンクアグリゲーションの設定が追加されていますまた物理インタフェースが gigabitethernet となっています (1) 共通の設定 AX2500S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 100,200,300,1000 (config-vlan)# state active 物理ポートの設定固定 VLAN 認証用 (config)# interface range gigabitethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface range gigabitethernet 0/11-20 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 200,300 固定 VLAN 認証用 ( リンクアグリゲーションポート ) (config)# interface range gigabitethernet 0/21-22 (config-if-range)# channel-group 1 mode on (config)# interface range gigabitethernet 0/23-24 (config-if-range)# channel-group 2 mode on VLAN1 は使用しないため無効にしますクライアント用 VLAN として VLAN を管理用 VLAN として VLAN1000 を作成しますポート 0/1~0/10 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定しますポート 0/11~0/20 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定しますポート 0/21~22 をスタティックリンクアグリゲーションとして設定しますポート 0/31~32 をスタティックリンクアグリゲーションとして設定します ( 物理ポートで未使用なチャネルグループ番号を先に指定します逆の場合物理ポートの情報を合わせないとグループに加えられませんので注意してください ) 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 100,200,300,1000 リンクアグリゲーションインタフェースの設定 (config)# interface port-channel 1 (config-if)# switchport mode access (config-if)# switchport access vlan 100 ポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートにクライアント用 VLAN および管理用 VLAN1000 を設定しますチャネルグループ 1 をアクセスポートとして設定しますアクセスポートにクライアント用 VLAN100 を設定します (config)# interface port-channel 2 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 200,300 チャネルグループ 2 をトランクポートとして設定しますトランクポートにクライアント用 VLAN を設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 72

73 AX2500S の設定スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,1000 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# spanning-tree portfast (config)# interface range port-channel 1-2 (config-if-range)# spanning-tree portfast VLAN インタフェースの設定 (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 300 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address デフォルトルートの設定 (config)# ip route RADIUS サーバの設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala syslog サーバの設定 (config)# logging host (config)# logging event-kind err,evt,aut SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all シングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/20 およびリンクアグリゲーション ( ポートチャネル 1~2) に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (10) クライアント用 VLAN および 300 にインタフェース IP アドレスをそれぞれ設定します構築ポイント (2) 管理用 VLAN1000 にインタフェース IP アドレスを設定します RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (6) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します (err,evt も出力する設定例 ) SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています Copyright , ALAXALA Networks Corporation. All rights reserved. 73

74 (2) IEEE802.1X 認証の設定 AX2500S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS IEEE802.1X 認証の設定 ( グローバル ) (config)# dot1x system-auth-control RADIUS サーバでユーザ認証を行うことを設定します IEEE802.1X 認証を有効にします以下の設定は環境に合わせて行います (config)# no dot1x auto-logaut IEEE802.1X 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x supplicant-detection auto 以下の設定は環境に合わせて行います (config-if-range)# dot1x reauthentication (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quiet-period 5 IEEE802.1X 認証の設定 ( リンクアグリゲーションインタフェース ) (config)# interface range port-channel 1 (config-if)# dot1x port-control auto (config-if)# dot1x multiple-authentication (config-if)# dot1x reauthentication (config-if)# dot1x supplicant-detection auto 無通信時の自動ログアウトを無効にしますポート 0/1~0/20 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定します端末検出モードを auto に設定構築ポイント (7) サプリカントの再認証を有効にします (AX2500S は無通信監視を行うため必須ではない ) 再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定しますチャネルグループ 1 に対して IEEE802.1X 認証 ( ポート単位 ) を有効にします認証サブモードを端末認証モードに設定しますサプリカントの再認証を有効にします端末検出モードを auto に設定構築ポイント (7) 以下の設定は環境に合わせて行います (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quit-period 5 再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定します (3) Web 認証の設定 AX2500S の設定認証専用アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS Web 認証の設定 ( グローバル ) (config)# web-authentication system-auth-control (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication static-vlan roaming 以下の設定は環境に合わせて行います (config)# web-authentication max-timer 1400 (config)# web-authentication jump-url (config)# web-authentication static-vlan roaming action trap 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (1) RADIUS サーバでユーザ認証を行うことを設定します Web 認証を有効にします Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (2) 認証済み端末のポート移動後通信を許可します構築ポイント (3) 認証成功後の最大接続時間を 1400 分に設定します認証成功後に表示する URL を設定します本ガイドではとしています認証済み端末をポート移動したときにトラップを送信します Copyright , ALAXALA Networks Corporation. All rights reserved. 74

75 AX2500S の設定 Web 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (1) Web 認証の設定 ( リンクアグリゲーションインタフェース ) (config)# interface range port-channel 1-2 チャネルグループ 1~2 をWeb 認証対象ポートとして (config-if-range)# web-authentication port 設定します (config-if-range)# authentication arp-relay 認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます (config-if-range)# authentication ip access-group web-auth 認証用アクセスリストを適用します構築ポイント (1) (4) MAC 認証の設定 AX2500S の設定 RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS MAC 認証の設定 ( グローバル ) (config)# mac-authentication id-format 1 (config)# mac-authentication static-vlan roaming (config)# mac-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 1400 (config)# mac-authentication auto-logout delaytime 1000 (config)# mac-authentication password alaxala (config)# mac-authentication static-vlan roaming action trap 物理ポートの設定 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# mac-authentication port 物理ポートの設定 (config)# interface range port-channel 1-2 (config-if-range)# mac-authentication port RADIUS サーバで MAC 認証を行うことを設定します RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (8) 認証済み端末のポート移動後通信を許可します構築ポイント (4) MAC 認証を有効にします認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 1400 分に設定します構築ポイント (9) 1000 秒通信がない場合認証を解除します MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています認証済み端末をポート移動したときにトラップを送信しますポート 0/1~0/20 を MAC 認証対象ポートとして設定しますチャネルグループ 1~2 を MAC 認証対象ポートとして設定します (5) スタティック MAC 登録の設定 AX2500S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static vlan 100 認証せずに通信を行う端末の MAC アドレスを interface gigabitethernet 0/1 VLAN100 のポート 0/1 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 75

76 (6) スタティック MAC 登録の設定 AX2500S の設定固定 VLAN モード認証を除外するスタティック MAC 登録設定 (config)# mac-address-table static vlan 100 認証せずに通信を行う端末の MAC アドレスを interface gigabitethernet 0/1 VLAN100 のポート 0/1 に対して設定します (7) ダイナミック ACL の設定 AX2500S の設定ダイナミック ACL 設定 (config)# ip access-list extended DinamicACL1 (config-ext-nacl)# 10 permit ip any class 1 (config-ext-nacl)# 20 deny ip any (config-ext-nacl)# 30 permit ip any class 1 (config-ext-nacl)# 40 permit ip any class 2 (config-ext-nacl)# 50 deny ip any (config-ext-nacl)# 60 permit ip any class 1 (config-ext-nacl)# 70 permit ip any class 3 (config-ext-nacl)# 80 deny ip any (config-ext-nacl)# 90 permit ip any any 表を元に IPV4 の ACL を作成します (config)# interface vlan 100 (config-if)# ip access-group DinamicACL1 in (config)# interface vlan 200 (config-if)# ip access-group DinamicACL1 in VLAN インタフェースに作成した ACL を適用します Copyright , ALAXALA Networks Corporation. All rights reserved. 76

77 3.4. 動的 VLAN モード認証ネットワーク構成図図の認証スイッチが動的 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF /24 0/24 0/24 0/24 0/23 VLAN15 core#1 VLAN25 core#2 VLAN25 VLAN15 core# AX3600S / AX3600S AX3600S VLAN10,100,200, VLAN10,100,200,1000 VLAN50 0/1~0/2 0/3~0/4 0/3~0/4 0/1~0/2 0/1 0/2 0/3.1.1 VRRP 仮想ルータ認証前 VLAN 認証後 VLAN 認証後 VLAN STP 管理用 VLAN RADIUS RADIUS サーバ #2 サーバ #1 0/47~0/48 0/25~0/26 VLAN10,100,200,1000 dist#1 VLAN10,100,200,1000 edge#1 DHCP DHCP syslog サーバ #2 サーバ #1 サーバ MAC VLAN100,200 Native VLAN10 0/1~0/40 AX2400S MAC VLAN100,200 Native VLAN10 0/1~0/20 AX1200S DNS サーバ #2 DNS サーバ #1 SNMP マネージャ 0/1 0/1 HUB 認証除外プリンタ MAC アドレス端末端末認証除外プリンタ MAC アドレス端末 IEEE802.1Q リンク図認証ネットワーク構成図 Copyright , ALAXALA Networks Corporation. All rights reserved. 77

78 認証スイッチ AX2400S AX1200S ここで認証スイッチのポートを以下のように設定します表認証スイッチのポート設定用途ポート番号ポート種別認証方式認証用 0/1~0/40 MAC VLAN ポート上位スイッチとの通信用 IEEE802.1X 認証 ( 動的 VLAN) MAC 認証 ( 動的 VLAN) Web 認証 ( 動的 VLAN) 認証前 VLAN 認証後 VLAN ,200 0/47~0/48 トランクポート認証用 0/1~0/20 MAC VLAN ポート上位スイッチとの通信用各 VLAN の定義を以下の表に示します IEEE802.1X 認証 ( 動的 VLAN) MAC 認証 ( 動的 VLAN) Web 認証 ( 動的 VLAN) ,200 0/25~0/26 トランクポート表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) 認証前 VLAN /24 端末が認証を行う前に所属する VLAN 認証後 VLAN /24 認証が成功した端末が所属する VLAN 認証後 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 78

79 構築ポイント動的 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示します必須項目 (1) 運用前の事前設定を行う AX1230S のみ運用前にシステムファンクションリソース配分を変更してフィルタ機能と拡張認証機能を有効にします設定変更後は装置の再起動が必要です AX1200S/AX2200S MACVLAN を使用する認証スイッチにレイヤ 2 ハードウェアテーブルの検索方式をオートに設定します設定変更後は装置の再起動が必要です AX2400S MACVLAN を使用する認証スイッチにレイヤ 2 ハードウェアテーブルの検索方式をオートに設定します設定変更後は VLAN プログラムの再起動が必要です (2) Web 認証の URL リダイレクト機能を使用する場合認証前 VLAN をアップリンク側のポートに追加する認証前 VLAN から DNS サーバへ通信を行うため認証前 VLAN をアップリンク側のポートに追加します (3) Web 認証用ポートにフィルタを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します URL リダイレクトや検疫などで認証前に通信を行いたい場合は認証専用 IPv4 アクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (a) DHCP 通信を許可する (b) DNS サーバへの DNS 通信を許可する (c) DNS サーバへの DNS 通信を許可する (4) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますなお AX2400S で設定後は Web サーバの再起動が必要ですまた認証スイッチで arp 解決を行うため認証後 VLAN のインタフェース IP アドレス設定が必要です本ガイドでは認証後 VLAN の IP アドレスをそれぞれ次のように設定しています認証後 VLAN ID 認証スイッチ AX2400S AX1200S Copyright , ALAXALA Networks Corporation. All rights reserved. 79

80 (5) Web 認証で SSL を使用する場合は FQDN を設定をする Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります (6) 認証前 VLAN に DHCP で IP アドレスを配布する動的 VLAN モードでは認証前と認証後で IP アドレスが切り替わるため認証前 VLAN と認証後 VLAN に対してそれぞれ DHCP サーバが必要です本ガイドでは認証スイッチの DHCP サーバ機能を用いて認証前 VLAN に IP アドレスを配布しています認証後に IP アドレスを速やかに切り替えるためリース時間は短い値に設定して下さい本ガイドでは 10 秒に設定していますまた URL リダイレクト機能を使用する場合は DNS サーバ情報も配布して下さい認証ネットワーク内の各認証スイッチで同一サブネット IP アドレスを配布すると IP アドレスが重複してしまう場合がありますこのため本ガイドでは IP アドレス配布対象除外コマンドを用いて重複しないようにしています詳細は注意事項 6.2.5を参照して下さい (7) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置するハブには EAPOL フォワーディング機能 (EAPOL 透過 ) が必要です (8) デフォルトルートを設定する RADIUS サーバと通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (9) IEEE802.1X 端末検出機能を auto に設定する認証スイッチの IEEE802.1X 端末検出機能 auto に変更します (6.1.1 章参照 ) ただし AX1230S の場合 auto 未サポートのため disable とします (10) 認証スイッチの非認証状態保持時間を調整する IEEE802.1X 認証機能を有効に設定した Windows 端末は起動時にコンピュータの IEEE802.1X 認証を行いユーザログオン時にユーザの IEEE802.1X 認証を行います本ガイドの認証ネットワーク構成ではコンピュータの認証が失敗するため次のユーザ認証が行えるようになるまで非認証状態保持時間かかりますこの時間はデフォルト値で 60 秒なので認証処理を早く行いたい場合は短い値に設定して下さい ( 詳細は注意事項 6.1.3を参照 ) 本ガイドでは非認証状態保持時間を 5 秒に設定しています Copyright , ALAXALA Networks Corporation. All rights reserved. 80

81 (11) MAC 認証の ID を統一する (AX1200S のみ ) AX2400S と AX1200S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX1200S のフォーマットを変更します (12) MAC 認証の最大接続時間を設定する MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定することを推奨します (13) コアスイッチ間の回線にリンクアグリゲーションを設定するコアスイッチ間の回線を冗長化するためリンクアグリゲーションを設定します本ガイドではスタティックモードを用いています (14) シングルスパニングツリーを使用する AX シリーズではデフォルトで PVST+ が動作していますが MAC VLAN では PVST+ を使用することができないためシングルスパニングツリーを使用しますシングルスパニングツリーを有効にしてもポート VLAN では PVST+ が動作しているのでポート VLAN 毎に PVST+ を止める必要がありますまた認証スイッチの認証用ポートおよびコアスイッチの OSPF 通信用ポートはスパニングツリー対象外とします (15) VRRP のマスタ STP のルートブリッジを設定する本ガイドでは core#1 の仮想ルータ優先度を 200 core#2 の優先度を 100 として core#1 をマスタに設定していますまた core#1 のブリッジ優先度を 4096 core#2 のブリッジ優先度を 8192 として core#1 をルートブリッジに設定しています (16) 認証後の DHCP の設定をする認証後 DHCP サーバから IP アドレスを取得するためコアスイッチに DHCP リレーエージェントによる転送先アドレスの設定をしますまた DHCP サーバ側の設定で配布するデフォルトゲートウェイを VRRP の仮想ルータアドレスに設定する必要があります (17) RADIUS タイマ値をチューニングする (AX2400S のみ ) RADIUS サーバを 2 台以上設置して IEEE802.1X 認証を行う場合は RADIUS サーバの応答待ち時間を短く設定する必要があります (6.1.4 章参照 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 81

82 AX1200S のコンフィグレーション AX1200S の設定例を示します (1) 事前設定 AX1230S の設定システムファンクションリソース配分の設定 (config)# system function filter extended-authentication AX1200S シリーズの設定レイヤ 2 ハードウェアテーブルの設定 (config)# system l2-table mode auto AX1230S の場合はフィルタ機能と Web 認証専用 IP アドレスを使用するためシステムファンクションリソース配分を変更します AX1240S では必要ありません設定後は装置の再起動が必要です構築ポイント (1) レイヤ 2 ハードウェアテーブルの検索方式をオートに設定します設定後は装置の再起動が必要です構築ポイント (1) (2) 共通の設定 AX1200S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active MAC VLAN の設定 (config)# vlan 100,200 mac-based (config-vlan)# state active VLAN1 は使用しないため無効にします認証前 VLAN として VLAN10 を管理用 VLAN として VLAN1000 を作成します認証後 VLAN として MAC VLAN100 および 200 を作成しますスパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000 (config)# interface range fastethernet 0/1-20 (config-if-range)# spanning-tree portfast シングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN10 および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/20 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (14) 物理ポートの設定動的 VLAN 認証用 (config)# interface range fastethernet 0/1-20 (config-if-range)# switchport mode mac-vlan (config-if-range)# switchport mac vlan 100,200 (config-if-range)# switchport mac native vlan 10 ポート 0/1~0/20 を MAC VLAN ポートとして設定します MAC VLAN ポートに認証後 VLAN100 と 200 を Native VLAN として認証前 VLAN10 を設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 82

83 AX1200S の設定上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,100,200,1000 ポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートに認証後 VLAN および管理用 VLAN1000 を設定しますインタフェースの設定 (config)# interface vlan 10 (config-if)# ip address (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address 認証前 VLAN10 および認証後 VLAN にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) 管理用 VLAN1000 にインタフェース IP アドレスを設定しますデフォルトルートの設定 (config)# ip route RADIUS サーバの設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala syslog サーバの設定 (config)# logging host デフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定します SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています Copyright , ALAXALA Networks Corporation. All rights reserved. 83

84 (3) IEEE802.1X 認証の設定 AX1200S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS IEEE802.1X 認証の設定 (config)# dot1x system-auth-control (config)# interface range fastethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x supplicant-detection auto (config-if-range)# dot1x timeout quiet-period 5 RADIUS サーバでユーザ認証を行うことを設定します IEEE802.1X 認証を有効にしますポート 0/1~0/10 に対して IEEE802.1X 認証 ( ポート単位動的 ) を有効にします認証サブモードを端末認証モードに設定します再認証を有効にします再認証を行う周期を 3600 秒に設定します端末検出モードを auto に設定します AX1230S の場合 disable に設定してください構築ポイント (9) 非認証状態保持時間を 5 秒に設定します構築ポイント (10) (4) Web 認証の設定 AX1200S の設定認証専用 IPv4 アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp src dst eq bootps (config-ext-nacl)# permit udp src dst eq domain (config-ext-nacl)# permit udp src dst eq domain 以下のアクセスリストを作成します DHCP 通信を許可するへの DNS 通信を許可する構築ポイント (3) (AX1240S 新フォーマット ) (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain AX1240S は AX2400S シリーズと同等な新フォーマットに対応しましたが AX1230S の旧フォーマットでも受付けて自動的に変換します物理ポートの設定 (config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS Web 認証の設定 (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication roaming (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# no web-authentication auto-logout (config)# web-authentication max-timer 1400 ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証ポートにアクセスリストを適用します構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) 認証済み端末のポート移動後通信を許可します Web 認証を有効にします自動認証ログアウトを無効にします認証成功後の最大接続時間を 1400 分に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 84

85 AX1200S の設定 (config)# web-authentication roaming action trap DHCP サーバの設定 (config)# service dhcp vlan 10 (config)#ip dhcp excluded-address (config)#ip dhcp excluded-address (config)# ip dhcp pool AUTH (dhcp-config)# network /24 (dhcp-config)# lease (dhcp-config)# dns-server (dhcp-config)# default-router 認証済み端末をポート移動したときにトラップを送信します VLAN10 で DHCP サーバを有効にします DHCP アドレス配布対象から除外する IP アドレスを設定します DHCP アドレスプール情報を設定します配布するネットワーク IP アドレスを設定しますリース時間を 10 秒に設定します構築ポイント (6) 配布する DNS サーバの IP アドレスを設定する配布するデフォルトルートを設定します (5) MAC 認証の設定 AX1200S の設定 RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS MAC 認証の設定 ( グローバル ) (config)# mac-authentication id-format 1 (config)# mac-authentication password alaxala (config)# mac-authentication system-auth-control (config)# mac-authentication roaming 以下の設定は環境に合わせて行います (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 1400 (config)# no mac-authentication auto-logout (config)# mac-authentication roaming action trap MAC 認証の設定 ( 物理ポート ) (config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port RADIUS サーバで MAC 認証を行うことを設定します RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (11) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています MAC 認証を有効にします認証済み端末をポート移動通信を許可します認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 1400 分に設定します構築ポイント (12) 無通信時のログアウトを無効にします認証済み端末をポート移動したときにトラップを送信しますポート 0/1~0/20 を MAC 認証対象ポートとして設定します (6) スタティック MAC 登録の設定 AX1200S の設定動的 VLAN モードの認証を除外するスタティック MAC 登録設定 (config)# vlan 100 mac-based 認証せずに通信を行う端末の MAC アドレスを MAC (config-vlan)# mac-address VLAN100 に対して設定します (config)# mac-address-table static vlan 100 interface fastethernet 0/1 認証せずに通信を行う端末の MAC アドレスを VLAN100 のポート 0/1 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 85

86 AX2400S のコンフィグレーション AX2400S の設定例を示します (1) 事前設定 AX2400S の設定レイヤ 2 ハードウェアテーブルの設定 (config)# system l2-table mode auto (2) 共通の設定 AX2400S の設定ポート VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active MAC VLAN の設定 (config)# vlan 100,200 mac-based (config-vlan)# state active レイヤ 2 ハードウェアテーブルを検索方式をオートに設定します設定後は VLAN プログラムの再起動が必要です構築ポイント (1) VLAN1 は使用しないため無効にします認証前 VLAN として VLAN10 を管理用 VLAN として VLAN1000 を作成します認証後 VLAN として MAC VLAN100 および 200 を作成しますスパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# spanning-tree portfast 物理ポートの設定動的 VLAN 認証用 (config)# interface range gigabitethernet 0/1-40 (config-if-range)# switchport mode mac-vlan (config-if-range)# switchport mac vlan 100,200 (config-if-range)# switchport mac native vlan 10 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/47-48 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,100,200,1000 シングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN10 および 1000 をシングルスパニングツリー対象にします認証用ポートであるポート 0/1~0/40 に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (14) ポート 0/1~0/40 を MAC VLAN ポートとして設定します MAC VLAN ポートに認証後 VLAN を Native VLAN として認証前 VLAN10 を設定しますポート 0/47~0/48 を上位スイッチと通信するトランクポートとして設定しますトランクポートに認証前 VLAN10 認証後 VLAN および管理用 VLAN1000 を設定します VLAN インタフェースの設定 (config)# interface vlan 10 (config-if)# ip address (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 1000 認証前 VLAN10 にインタフェース IP アドレスを設定します認証後 VLAN にインタフェース IP アドレスをそれぞれ設定します構築ポイント (4) Copyright , ALAXALA Networks Corporation. All rights reserved. 86

87 AX2400S の設定 (config-if)# ip address デフォルトルートの設定 (config)# ip default-gateway RADIUS サーバの設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala syslog サーバの設定 (config)# logging host (config)# logging event-kind aut 管理用 VLAN1000 にインタフェース IP アドレスを設定します RADIUS サーバと通信を行うためデフォルトルートを設定します構築ポイント (8) RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなります syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します (3) IEEE802.1X 認証の設定 AX2400S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS (config)# aaa authorization network default group RADIUS IEEE802.1X 認証の設定 (config)# dot1x vlan dynamic RADIUS-vlan 100,200 (config)# dot1x vlan dynamic enable (config)# dot1x vlan dynamic reauthentication (config)# dot1x vlan dynamic supplicant-detection auto (config)# dot1x vlan dynamic timeout quiet-period 5 (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config)# dot1x vlan dynamic timeout reauth-period 3600 (config)# dot1x vlan dynamic timeout quiet-period 5 RADIUS サーバでユーザ認証を行うことを設定します RADIUS サーバで IEEE802.1X 認証 ( 動的 VLAN) を行うことを設定します認証後 VLAN を VLAN100 および 200 とします IEEE802.1X 認証 ( 動的 VLAN) を有効にしますサプリカントの再認証を有効にします端末検出モードを auto に設定します構築ポイント (9) 非認証状態保持時間を 5 秒に設定します構築ポイント (10) IEEE802.1X 認証を有効にします再認証を行う周期を 3600 秒に設定します失敗後再認証開始を 5 秒に設定します (4) Web 認証の設定 AX2400S の設定認証専用 Ipv4 アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS 以下のアクセスリストを作成します DHCP 通信を許可する DNS サーバへの DNS 通信を許可する DNS サーバへの DNS 通信を許可する構築ポイント (3) RADIUS サーバでユーザ認証を行うことを設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 87

88 Web 認証の設定 ( グローバル ) (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# no web-authentication auto-logout (config)# web-authentication max-timer 1400 (config)# web-authentication jump-url Web 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-40 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-grpup web-auth DHCP サーバの設定 (config)# service dhcp vlan 10 (config)#ip dhcp excluded-address (config)#ip dhcp excluded-address (config)# ip dhcp pool AUTH (dhcp-config)# network /24 (dhcp-config)# lease (dhcp-config)# default-router (dhcp-config)# dns-server Web 認証専用 IP アドレスを設定します本ガイドではとしています構築ポイント (4) FQDN に証明書の発行先サイトを指定構築ポイント (5) Web 認証を有効にします自動認証ログアウトを無効にします認証成功後の最大接続時間を 1400 分に設定します認証成功後に表示する URL を設定します本ガイドではとしていますポート 0/1~0/40 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証用アクセスリストを適用します構築ポイント (3) 認証前 VLAN10 で DHCP サーバを有効にします DHCP アドレス配布対象から除外する IP アドレスを設定します構築ポイント (6) DHCP アドレスプール情報を設定します配布するネットワーク IP アドレスを設定しますリース時間を 10 秒に設定します構築ポイント (6) 配布するデフォルトルートを設定します配布する DNS サーバを設定します構築ポイント (6) syslog サーバの設定 (config)# web-authentication logging enable Web 認証の動作ログを syslog サーバへ出力します (5) MAC 認証の設定 AX2400S の設定 MAC 認証の設定 ( グローバル ) (config)# mac-authentication system-auth-control MAC 認証を有効にします以下の設定は環境に合わせて行います (config)# no mac-authentication auto-logout (config)# mac-authentication max-timer 1400 (config)# mac-authentication password alaxala 無通信時の自動ログアウトを無効にします認証成功後の最大接続時間を 1400 分に設定します構築ポイント (12) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています Copyright , ALAXALA Networks Corporation. All rights reserved. 88

89 AX2400S の設定 RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS MAC 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-40 (config-if-range)# mac-authentication port syslog サーバの設定 (config)# mac-authentication logging enable RADIUS サーバで MAC 認証を行うことを設定しますポート 0/1~0/40 を MAC 認証対象ポートとして設定します MAC 認証の動作ログを syslog サーバへ出力します (6) スタティック MAC 登録の設定 AX2400S の設定動的 VLAN 認証を除外するスタティック MAC 登録設定 (config)# vlan 100 mac-based (config-vlan)# mac-address (config)# mac-address-table static vlan 100 interface gigabitethernet 0/1 認証せずに通信を行う端末の MAC アドレスを MAC VLAN100 に対して設定します認証せずに通信を行う端末の MAC アドレスを MAC アドレステーブルに対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 89

90 AX3600S のコンフィグレーション AX3600S の設定例を示しますここではの固定 VLAN モードの場合に追加する分のみ示します AX3600S の設定 VLAN の設定 (config)# vlan 10 (config-vlan)# state active スパニングツリーの設定 (config)# no spanning-tree vlan 10 認証前 VLAN として VLAN10 を作成します VLAN10 をシングルスパニングツリー対象にします物理ポートの設定 (config)# interface range gigabitethernet 0/1-2 (config-if-range)# switchport trunk allowed vlan add 10 リンクアグリゲーションの設定 (config)# interface port-channel 1 (config-if)# switchport trunk allowed vlan add 10 インタフェースの設定 (config)# interface vlan 10 (config-if)# ip address VRRP の設定 (config)# interface vlan 10 (config-if)# vrrp 10 ip (config-if)# vrrp 10 priority 200 (config-if)# no vrrp 10 preempt (config-if)# vrrp 10 accept 下位スイッチとの通信用ポート 0/1~0/2 に VLAN10 を追加しますポートチャネルインタフェース 1 で VLAN10 を追加します構築ポイント (14) VLAN10 のインタフェース IP アドレスを設定します VLAN10 に対して以下の設定を行います仮想ルータの IP アドレスを設定します仮想ルータの優先度を設定します自動切り戻しを抑止しますアクセプトモードを有効にします構築ポイント (16) Copyright , ALAXALA Networks Corporation. All rights reserved. 90

91 3.5. 動的 VLAN モード (AX2500S) AX2500S は AX1240S と同等な認証機能をすべてサポートしていますなお設定に関しても共通のコマンド仕様になっていますまた AX2500S は AX1240S では未サポートであったリンクアグリゲーションポートでの認証を新たにサポートしましたなおコアスイッチ側の設定は 3.4 章と共通なため省略しています認証ネットワーク構成図図の認証スイッチが動的 VLAN モードである場合の認証ネットワーク構成図を以下に示します /24 OSPF /24 0/24 0/24 0/24 0/23 VLAN15 core#1 VLAN25 core#2 VLAN25 VLAN15 core# VRRP AX3600S / AX3600S AX3600S VLAN10,100,200,1000 VLAN10,100,200, VLAN /1~0/2 0/3~0/4 0/3~0/4 仮想ルータ 0/1~0/2 0/1 0/2 0/3 認証前 VLAN 認証後 VLAN 認証後 VLAN STP 管理用 VLAN /47~0/48 VLAN10,100,200,1000 dist#2 RADIUS サーバ #2 DHCP サーバ #2 RADIUS サーバ #1 DHCP サーバ #1 syslog サーバ MAC VLAN100,200 Native VLAN10 0/1~0/20 AX2500S MAC VLAN100,200 Native VLAN10 0/21~0/22(channel-group 1) DNS サーバ #2 DNS サーバ #1 SNMP マネージャ 0/1 HUB L2 スイッチ IEEE802.1Q リンク認証除外プリンタ MAC アドレス端末端末端末リンクアグリゲーション図認証ネットワーク構成図 Copyright , ALAXALA Networks Corporation. All rights reserved. 91

92 ここで認証スイッチのポートを以下のように設定します表認証スイッチのポート設定認証スイッチ用途ポート番号ポート種別認証方式認証前 VLAN 認証後 VLAN AX2500S 認証用上位スイッチとの通信用各 VLAN の定義を以下の表に示します 0/1~0/20 MAC VLAN ポート IEEE802.1X 認証 ( 動的 VLAN) MAC 認証 ( 動的 VLAN) channel-group の 0/21-0/22 Web 認証 ( 動的 VLAN) MACVLAN ポート ,200 0/47~0/48 トランクポート表 VLAN の定義 VLAN 名 VLAN ネットワーク ID IP アドレス用途サーバ用 VLAN /24 認証後に通信可能なサーバが所属する VLAN ( 社内ネットワーク ) 認証前 VLAN /24 端末が認証を行う前に所属する VLAN 認証後 VLAN /24 認証が成功した端末が所属する VLAN 認証後 VLAN /24 管理用 VLAN /24 各装置を管理するための VLAN Copyright , ALAXALA Networks Corporation. All rights reserved. 92

93 構築ポイント動的 VLAN モードの認証ネットワーク構成図について構築のポイントを以下に示しますコアスイッチ側の設定は 3.4 章と同様のため省略しています必須項目 (1) Web 認証の URL リダイレクト機能を使用する場合認証前 VLAN をアップリンク側のポートに追加する認証前 VLAN から DNS サーバへ通信を行うため認証前 VLAN をアップリンク側のポートに追加します (2) Web 認証用ポートにフィルタを設定するポートに Web 認証の設定を行うとそのポートでは認証前のすべての通信を遮断します URL リダイレクトや検疫などで認証前に通信を行いたい場合はアクセスリストを作成してポートに適用する必要がありますまた ARP リレーの設定も必要です本ガイドでは次のアクセスリストを作成して Web 認証ポートに適用しています (d) DHCP 通信を許可する (e) DNS サーバへの DNS 通信を許可する (f) DNS サーバへの DNS 通信を許可する (3) Web 認証専用 IP アドレスを設定する Web 認証用の IP アドレスを設定しますこの IP アドレスは全認証スイッチに共通して設定することができます本ガイドではとしていますまた認証スイッチで arp 解決を行うため認証後 VLAN のインタフェース IP アドレス設定が必要です本ガイドでは認証後 VLAN の IP アドレスをそれぞれ次のように設定しています認証スイッチ認証後 VLAN ID AX2500S (4) Web 認証で SSL を使用する場合は FQDN を設定をする Web 認証で SSL 通信 (https) する場合に証明書の発行先サイトと URL 名が一致しないと URL リダイレクト時にサイト名不一致の証明書エラーがブラウザに表示されますエラー回避するために証明書の発行先サーバ名を FQDN( 完全修飾ドメイン名 ) で指定する事で回避できますただしこの設定をする場合は別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必要があります (5) 認証前 VLAN に DHCP で IP アドレスを配布する動的 VLAN モードでは認証前と認証後で IP アドレスが切り替わるため認証前 VLAN と認証後 VLAN に対してそれぞれ DHCP サーバが必要です本ガイドでは認証スイッチの DHCP Copyright , ALAXALA Networks Corporation. All rights reserved. 93

94 サーバ機能を用いて認証前 VLAN に IP アドレスを配布しています認証後に IP アドレスを速やかに切り替えるためリース時間は短い値に設定して下さい本ガイドでは 10 秒に設定していますまた URL リダイレクト機能を使用する場合は DNS サーバ情報も配布して下さい認証ネットワーク内の各認証スイッチで同一サブネット IP アドレスを配布すると IP アドレスが重複してしまう場合がありますこのため本ガイドでは IP アドレス配布対象除外コマンドを用いて重複しないようにしています詳細は注意事項 6.2.5を参照して下さい (6) 認証スイッチと端末との間にハブを設置する場合 EAPOL フォワーディング機能のあるハブを用いる IEEE802.1X 認証を行う場合認証スイッチと端末との間に設置する L2 スイッチハブには EAPOL フォワーディング機能が必要です (7) デフォルトルートを設定する RADIUS サーバと通信を行うため認証スイッチにデフォルトルートを設定します推奨項目 (8) IEEE802.1X 端末検出機能を auto に設定する認証スイッチの IEEE802.1X 端末検出機能 auto に変更します (6.1.1 章参照 ) (9) 認証スイッチの非認証状態保持時間を調整する IEEE802.1X 認証機能を有効に設定した Windows 端末は起動時にコンピュータの IEEE802.1X 認証を行いユーザログオン時にユーザの IEEE802.1X 認証を行います本ガイドの認証ネットワーク構成ではコンピュータの認証が失敗するため次のユーザ認証が行えるようになるまで非認証状態保持時間かかりますこの時間はデフォルト値で 60 秒なので認証処理を早く行いたい場合は短い値に設定して下さい ( 詳細は注意事項 6.1.3を参照 ) 本ガイドでは非認証状態保持時間を 5 秒に設定しています (10) MAC 認証の ID を統一する AX2400S と AX2500S の MAC 認証フォーマットはデフォルトで異なっています認証スイッチが混在している環境では AX2500S のフォーマットを変更します (11) MAC 認証の最大接続時間を設定する MAC 認証の最大接続時間はデフォルトで無制限となっていますがセキュリティ上設定することを推奨します Copyright , ALAXALA Networks Corporation. All rights reserved. 94

95 ダイナミック ACL の設定 (AX2500S のみ ) ダイナミック ACL は動的 VLAN モードでも併用可能ですが設定方法は固定 VLAN と共通のため固定 VLAN モードの設定を参照してください MAC VLAN ポートにおける Tag 付き VLAN の認証 AX2500S Ver3.4 より MACVLAN ポートで IEEE802.1q VLAN の認証が可能となりました詳細はコンフィグレーションガイド Vol MAC ポートで Tagged フレームを認証する設定コンフィグレーションガイド Vol MAC VLAN の解説を参照してください本コンフィグ例では設定例は省略します設定する場合は MACVLAN ポートに以下のコマンドを追加してください (config-if)# switchport mac dot1q vlan <VLAN 番号リスト > MACVLAN ポートで Tag 付き VLAN を認証除外して通信許可したい場合 : 認証専用 IPv4 アクセスリストに, 当該 VLAN 番号を VLAN 条件に指定することで, 認証を除外して通信許可とすることが可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 95

96 AX2500S のコンフィグレーション AX2500S の設定例を示します (8) 共通の設定 AX2500S の設定 VLAN の設定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active MAC VLAN の設定 (config)# vlan 100,200 mac-based (config-vlan)# state active VLAN1 は使用しないため無効にします認証前 VLAN として VLAN10 を管理用 VLAN として VLAN1000 を作成します認証後 VLAN として MAC VLAN100 および 200 を作成します物理ポートの設定動的 VLAN 認証用 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# switchport mode mac-vlan (config-if-range)# switchport mac vlan 100,200 (config-if-range)# switchport mac native vlan 10 動的 VLAN 認証用 ( リンクアグリゲーションポート ) (config)# interface range figabitethernet 0/21-22 (config-if-range)# channel-group 1 mode on 上位スイッチとの通信用 (config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,100,200,1000 ポート 0/1~0/20 を MAC VLAN ポートとして設定します MAC VLAN ポートに認証後 VLAN100 と 200 を Native VLAN として認証前 VLAN10 を設定しますポート 0/21~0/22 をリンクアグリゲーションポートチャネルグループ 1 として設定します ( スタティックリンクアグリゲーションを設定 ) ポート 0/25~0/26 を上位スイッチと通信するトランクポートとして設定しますトランクポートに認証後 VLAN および管理用 VLAN1000 を設定しますインタフェースの設定 (config)# interface vlan 10 (config-if)# ip address (config)# interface vlan 100 (config-if)# ip address (config)# interface vlan 200 (config-if)# ip address (config)# interface vlan 1000 (config-if)# ip address 認証前 VLAN10 および認証後 VLAN にインタフェース IP アドレスをそれぞれ設定します構築ポイント (3) 管理用 VLAN1000 にインタフェース IP アドレスを設定しますリンクアグリゲーションインタフェースの設定 (config)# interface port-channel 1 (config-if)# switchport mode mac-vlan (config-if)# switchport mac vlan 100,200 (config-if)# switchport mac native vlan 10 デフォルトルートの設定 (config)# ip route RADIUS サーバの設定チャネルグループ 1 を MACVLAN として設定します MAC VLAN ポートに認証後 VLAN100 と 200 を Native VLAN として認証前 VLAN10 を設定しますデフォルトルートを設定します構築ポイント (7) Copyright , ALAXALA Networks Corporation. All rights reserved. 96

97 AX2500S の設定 (config)# RADIUS-server host key alaxala (config)# RADIUS-server host key alaxala スパニングツリーの設定 (config)# spanning-tree single (config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# spanning-tree portfast (config)# interface range port-channel 1 (config-if)# spanning-tree portfast syslog サーバの設定 (config)# logging host (config)# logging event-kind err,evt,aut SNMP の設定 (config)# snmp-server community ALAXALA (config)# snmp-server host traps ALAXALA dot1x web-authentication mac-authentication (config)# snmp-server traps dot1x-trap all web-authentication-trap all mac-authentication-trap all RADIUS サーバの IP アドレスおよびキーを設定します本ガイドではキーを alaxala としています設定した順に優先度が高くなりますシングルスパニングツリーを有効にします動作モードを高速 STP に設定します VLAN10 および 1000 をシングルスパニングツリー対象にします (MACVLAN は設定に関わらずシングルスパニングツリー対象となります ) 認証用ポートであるポート 0/1~0/20 とリンクアグリゲーション ( チャネルグループ 1) に対してスパニングツリーの PortFast 機能を適用しスパニングツリー対象外とします構築ポイント (10) syslog サーバの IP アドレスを設定しますログ情報のイベント種別を aut に設定します (err,evt も出力する設定例 ) SNMP コミュニティを設定します本ガイドでは ALAXALA としています SNMP マネージャを登録します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証のトラップを送信していますトラップの発行契機を設定します本ガイドでは IEEE802.1X 認証 Web 認証 MAC 認証それぞれの全トラップを発行しています (9) IEEE802.1X 認証の設定 AX2500S の設定 RADIUS の設定 (config)# aaa authentication dot1x default group RADIUS IEEE802.1X 認証 ( グローバル ) (config)# dot1x system-auth-control 以下の設定は環境に合わせて行います (config)# dot1x auto-logout IEEE802.1X 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication 以下の設定は環境に合わせて行います (config-if-range)# dot1x reauthentication (config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x supplicant-detection auto (config-if-range)# dot1x timeout quiet-period 5 RADIUS サーバでユーザ認証を行うことを設定します IEEE802.1X 認証を有効にします無通信時の自動ログアウトを有効にしますポート 0/1~0/20 に対して IEEE802.1X 認証 ( ポート単位動的 ) を有効にします認証サブモードを端末認証モードに設定します再認証を有効にします再認証を行う周期を 3600 秒に設定します端末検出モードを auto に設定します構築ポイント (8) 非認証状態保持時間を 5 秒に設定します構築ポイント (9) IEEE802.1X 認証の設定 ( リンクアグリゲーションポート ) (config)# interface port-channel 1 ポート 0/1~0/20 に対して IEEE802.1X 認証 ( ポート (config-if)# dot1x port-control auto 単位動的 ) を有効にします Copyright , ALAXALA Networks Corporation. All rights reserved. 97

98 (config-if)# dot1x multiple-authentication (config-if)# dot1x reauthentication (config-if)# dot1x timeout reauth-period 3600 (config-if)# dot1x supplicant-detection auto (config-if)# dot1x timeout quiet-period 5 認証サブモードを端末認証モードに設定します再認証を有効にします再認証を行う周期を 3600 秒に設定します端末検出モードを auto に設定します構築ポイント (8) 非認証状態保持時間を 5 秒に設定します構築ポイント (9) (10) Web 認証の設定 AX2500S の設定 Web 認証の設定 ( グローバル ) (config)# web-authentication ip address fqdn login.example.com (config)# web-authentication roaming (config)# web-authentication system-auth-control 以下の設定は環境に合わせて行います (config)# no web-authentication auto-logout (config)# web-authentication max-timer 1400 (config)# web-authentication roaming action trap 認証専用 IPv4 アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host eq domain (config-ext-nacl)# permit udp any host eq domain Web 認証専用 IP アドレスを設定します本ガイドではとしています FQDN に証明書の発行先サイトを指定構築ポイント (4)(5) 認証済み端末のポート移動後通信を許可します Web 認証を有効にします自動認証ログアウトを無効にします認証成功後の最大接続時間を 1400 分に設定します認証済み端末をポート移動したときにトラップを送信します以下のアクセスリストを作成します DHCP 通信を許可するへの DNS 通信を許可する構築ポイント (2) Web 認証の設定 ( 物理ポート ) (config)# interface range gigabitethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth Web 認証の設定 ( リンクアグリゲーションポート ) (config)# interface port-channel 1 (config-if)# web-authentication port (config-if)# authentication arp-relay (config-if)# authentication ip access-group web-auth RADIUS の設定 (config)# aaa authentication web-authentication default group RADIUS DHCP サーバの設定 (config)# service dhcp vlan 10 (config)#ip dhcp excluded-address (config)#ip dhcp excluded-address (config)# ip dhcp pool AUTH (dhcp-config)# network /24 (dhcp-config)# lease ポート 0/1~0/20 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証ポートにアクセスリストを適用します構築ポイント (2) リンクアグリゲーションチャネルグループ 1 を Web 認証対象ポートとして設定します認証前の端末から送信される他宛て ARP パケットを認証対象外のポートへ出力させます認証ポートにアクセスリストを適用します構築ポイント (2) RADIUS サーバでユーザ認証を行うことを設定します VLAN10 で DHCP サーバを有効にします DHCP アドレス配布対象から除外する IP アドレスを設定します DHCP アドレスプール情報を設定します配布するネットワーク IP アドレスを設定しますリース時間を 10 秒に設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 98

99 AX2500S の設定 (dhcp-config)# dns-server (dhcp-config)# default-router 構築ポイント (5) 配布する DNS サーバの IP アドレスを設定する配布するデフォルトルートを設定します (11) MAC 認証の設定 AX2500S の設定 MAC 認証の設定 (config)# mac-authentication id-format 1 (config)# mac-authentication password alaxala (config)# mac-authentication system-auth-control (config)# mac-authentication roaming 以下の設定は環境に合わせて行います (config)# no authentication auto-logout (config)# mac-authentication timeout quiet-period 600 (config)# mac-authentication max-timer 1400 (config)# mac-authentication roaming action trap MAC 認証の設定 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# mac-authentication port MAC 認証の設定 ( リンクアグリゲーションポート ) (config)# interface port-channel 1 (config-if)# mac-authentication port RADIUS の設定 (config)# aaa authentication mac-authentication default group RADIUS RADIUS サーバへ認証要求する際の MAC アドレス形式を設定します構築ポイント (10) MAC 認証のパスワードを統一する場合に設定します本ガイドでは統一パスワードを alaxala としています MAC 認証を有効にします認証済み端末をポート移動通信を許可します無通信時の自動ログアウトを無効にします認証失敗時に再認証を行うまでの待ち時間を 600 秒に設定します認証成功後の最大接続時間を 1400 分に設定します構築ポイント (11) 認証済み端末をポート移動したときにトラップを送信しますポート 0/1~0/20 を MAC 認証対象ポートとして設定しますリンクアグリゲーションチャネルグループ 1 を MAC 認証対象ポートとして設定します RADIUS サーバで MAC 認証を行うことを設定します (12) スタティック MAC 登録の設定 AX2500S の設定動的 VLAN モードの認証を除外するスタティック MAC 登録設定 (config)# vlan 100 mac-based 認証せずに通信を行う端末の MAC アドレスを MAC (config-vlan)# mac-address VLAN100 に対して設定します (config)# mac-address-table static vlan 100 interface gigabitethernet 0/11 認証せずに通信を行う端末の MAC アドレスを VLAN100 のポート 0/11 に対して設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 99

100 4. 端末側の設定方法 4.1. IEEE802.1X 認証 Windows XP の設定方法 (1) 有線での IEEE802.1X 認証の有効化 IEEE802.1X 認証の有効化方法を以下に示します 1 スタートコントロールパネル管理ツールサービスで Wired AutoConfig を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックするネットワーク接続で認証タブが出ていない場合は有効化してください EAP-TLS 方式の設定方法 IEEE802.1X 認証の EAP-TLS 方式ではユーザ証明書およびサーバ証明書によって認証を行ないます証明書を用いる認証は端末を認証ネットワークに接続する前に証明書をインストールする必要があります証明書の取得方法は CA 局のサーバにより異なります以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています (1) 証明書の確認方法まず証明書がインストールされているかどうかを確認します各証明書の確認方法を以下に示します 1 CA 証明書の確認方法スタートコントロールパネルインターネットオプションでコンテンツタブを開き証明書をクリックする次に信頼されたルート証明機関タブをクリックして発行者が example-dc-ca である証明書を確認する 2 ユーザ証明書の確認方法 Copyright , ALAXALA Networks Corporation. All rights reserved. 100

101 スタートコントロールパネルインターネットオプションでコンテンツタブを開き証明書をクリックする次に個人タブをクリックして発行者が example-dc-ca で発行先が user01 である証明書を確認する (2) EAP-TLS 方式の設定手順 Windows XP の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネルネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開きこのネットワークで IEEE802.1X 認証を有効にするをチェックし EAP の種類にスマートカードまたはその他の証明書を選択する最後にプロパティをクリックする ( 認証タブが表示されない場合は 4.1.1(3) 参照 ) 2 スマートカードまたはほかの証明書のプロパティ画面にて接続のための認証方法にこのコンピュータの証明書を使うを選択する次にサーバーの証明書を有効化するをチェックし信頼されたルート証明機関から example-dc-ca をチェックする最後に OK をクリックして画面を閉じる Copyright , ALAXALA Networks Corporation. All rights reserved. 101

102 (3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1. 1の設定画面で認証タブが表示されていない場合次の操作を実行して下さいスタートコントロールパネル管理ツールサービスで Wireless Zero Configuration を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックする 2. 2のサーバーの証明書を有効化するのチェックを外すとユーザ証明書のみでの認証を実施することができますただしセキュリティのレベルは低くなります 3. 端末にユーザ証明書が複数インストールされている場合は認証ネットワーク接続時に選択画面が表示されますのでそこでユーザ証明書を選択して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 102

103 EAP-PEAP 方式の設定方法 EAP-PEAP 方式とはクライアント側はユーザ ID とパスワードによる認証サーバ側は電子証明書によって認証を行う方式です本ガイドでは PEAP-MSCHAPv2 にてサプリカントの Windows ログオン名とパスワード及びドメイン名を自動的に使うオプションを使用しますこれによりユーザがユーザ ID およびパスワードを入力する必要の無い SSO(Single Sign-On) を構成する事ができます以下の解説ではサーバ証明書の検証に必要な CA 証明書が発行者 example-dc-ca としてあらかじめ端末にインストールされている事を前提としています (1) EAP-PEAP 方式の設定手順 Windows XP の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 スタートコントロールパネルネットワーク接続で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開きこのネットワークで IEEE802.1X 認証を有効にするをチェックし EAP の種類に保護された EAP(PEAP) を選択する最後にプロパティをクリックする ( 認証タブが表示されない場合は 4.1.1(3) 参照 ) 2 保護された EAP のプロパティ画面にてサーバーの証明書を検証するをチェックし信頼されたルート証明機関の中から example-dc-ca をチェックする次に認証方法からセキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択し構成をクリックする 3 EAP MSCHAPv2 のプロパティ画面にて Windows ログオン名とパスワード ( およびドメインが Copyright , ALAXALA Networks Corporation. All rights reserved. 103

104 ある場合はドメイン ) を自動的に使うをチェックする OK をクリックして画面を閉じる (2) 注意事項 EAP-PEAP 方式の設定における注意事項を以下に示します 1. 証明書を端末にインストールしなくても認証を実施する事ができますその場合は2のサーバーの証明書を検証するチェックを外して下さいただしサーバ証明書を検証せずに認証を行うためセキュリティのレベルは低くなります 2.IEEE802.1X 認証の ID およびパスワードと Windows ログオンの ID およびパスワードが異なる場合または端末のログインユーザ名およびパスワードをそのまま使用しない場合は 3のチェックを外して下さい 3.EAP-PEAP 方式では認証ネットワーク接続時にユーザ名パスワードおよびアカウントの入力が要求されます Windows ドメイン参加していない場合アカウントの入力は省略できます 4. 認証が成功した場合はユーザ名およびパスワードはキャッシュされ次回からの接続では入力不用となります 5. ユーザ名およびパスワードがキャッシュされると EAP-PEAP 方式で認証失敗しない限り再び入力画面は現れませんユーザ名およびパスワードがキャッシュされた後に接続ユーザを変更したい場合は 3のチェックをした状態で端末のパスワードを変更するなどして一度認証に失敗させて下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 104

105 4.2. IEEE802.1X 認証 Windows Vista/Windows7/Windows8 の設定方法 windows 8 ではコントロールパネルの開き方が異なりますがそれ以外はほぼ同様となっています Windows 8 は画面左下へマウスを持っていくとスタート表示され右クリックコントロールパネルで開きます ( その他いくつかの方法がありますがここでは省略します ) 以下説明ではコントロールパネルからの説明で統一します (1) 有線での IEEE802.1X 認証の有効化 IEEE802.1X 認証の有効化方法を以下に示します 1 スタートコントロールパネル管理ツールサービスで Wired AutoConfig を右クリックしプロパティを選択する次にスタートアップの種類を自動にしてサービスの開始ボタンをクリックするネットワーク接続で認証タブが出ていない場合は有効化してください EAP-TLS 方式の設定方法 IEEE802.1X 認証の EAP-TLS 方式ではユーザ証明書およびサーバ証明書によって認証を行ないます証明書を用いる認証は端末を認証ネットワークに接続する前に証明書をインストールする必要があります証明書の取得方法は CA 局のサーバにより異なります以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています (1) 証明書の確認方法まず証明書がインストールされているかどうかを確認します各証明書の確認方法は 4.1.1(1) で示す Windows XP の場合と同様です Copyright , ALAXALA Networks Corporation. All rights reserved. 105

106 (2) EAP-TLS 方式の設定手順 Windows vista の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 コントロールパネルネットワークとインターネットネットワークと共有センターネットワーク接続の管理 (Vista) アダプターの設定変更 (Windows 7,Windows 8) で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開き IEEE802.1X 認証を有効にするをチェックしネットワーク認証方法にスマートカードまたはその他の証明書を選択する最後に設定をクリックする Windows Vista Windows 7 Windows 8 Copyright , ALAXALA Networks Corporation. All rights reserved. 106

107 2 スマートカードまたはその他の証明書のプロパティ画面にて接続のための認証方法にこのコンピュータの証明書を使うを選択する次にサーバーの証明書を検証するにチェックし信頼されたルート証明機関から example-dc-ca をチェックする最後に OK をクリックして画面を閉じる Windows Vista Windows 7 Windows 8 Copyright , ALAXALA Networks Corporation. All rights reserved. 107

108 (3) 注意事項 EAP-TLS 方式の設定における注意事項を以下に示します 1. 3 のサーバーの証明書を検証するのチェックを外すとユーザ証明書のみでの認証を実施することができますただしセキュリティレベルは低くなります 2. 端末にユーザ証明書が複数インストールされている場合は認証ネットワーク接続時に選択画面が表示されますのでそこでユーザ証明書を選択して下さい EAP-PEAP 方式の設定方法 Windows Vista の EAP-PEAP 方式の設定方法は Windows XP とほぼ同様となっています本ガイドでは PEAP-MSCHAPv2 にてサプリカントの Windows ログオン名とパスワード及びドメイン名を自動的に使用するオプションを構成しますこれによりユーザがユーザ ID およびパスワードを入力する必要の無い SSO(Single Sign-On) を構成する事ができます Windows 7/Windows 8 では SSO 構成以外の場合にユーザ ID とパスワードをネットワーク接続単位にあらかじめ設定することも可能となりました以下の解説ではサーバ証明書の検証に必要な CA 証明書が発行者 example-dc-ca としてあらかじめクライアント端末にインストールされている事を前提としています (1) EAP-PEAP 方式の設定手順 Windows Vista の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します 1 コントロールパネルネットワークとインターネットネットワークと共有センターネットワーク接続の管理 (Vista) アダプターの設定変更 (Windows 7,Windows 8) で該当のローカルエリア接続を右クリックしプロパティを選択する次に認証タブを開き IEEE802.1X 認証を有効にするをチェックしネットワーク認証方法に保護された EAP(PEAP) を選択する最後に設定をクリックする Copyright , ALAXALA Networks Corporation. All rights reserved. 108

109 Windows Vista Windows 7 Windows 8 Windows 7/Windows 8 追加の設定 Windows ログオンと IEEE802.1X 認証の ID が同じシングルサインオン環境では設定する必要はありませんが Windows7 以降では3で説明するシングルサインオン指定のチェックを外した上で追加設定から認証モードをユーザ認証を選択して資格情報の保存からユーザ ID パスワードをインタフェース単位にあらかじめ設定することが出来ますユーザ ID パスワード指定を行ったポートはシングルサインオン環境ではなくても PC 起動時にログインする前に指定したユーザ ID パスワードで認証を実施することが出来ます Windows Vista 以前の OS は3のシングルサインオンではない場合は PC ログオン後に認証開始と同時にデスクトップにポップアップされた資格情報の入力を行う必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 109

110 2 保護された EAP のプロパティ画面にてサーバーの証明書を検証するをチェックし信頼されたルート証明機関の中から example-dc-ca をチェックする次に認証方法からセキュリティで保護されたパスワード (EAP-MSCHAPv2) を選択し構成をクリックする Windows Vista Windows 7 Windows 8 Copyright , ALAXALA Networks Corporation. All rights reserved. 110

111 3 EAP MSCHAPv2 のプロパティ画面にて Windows のログオン名とパスワード ( およびドメインがある場合はドメイン ) を自動的に使うをチェックする OK をクリックして画面を閉じる本設定はシングルサインオンの設定です外した場合は別途ユーザ ID とパスワードの入力を PC ログオン時に実施する必要があります (Windows7 以降は1の追加情報指定から事前に ID/ パスワード設定が可能です (2) 注意事項 EAP-PEAP 方式の設定における注意事項を以下に示します 1. 証明書を端末にインストールしなくても認証を実施する事ができますその場合は3のサーバーの証明書を検証するチェックを外して下さいただしサーバの証明書を検証せずに認証を行うためセキュリティのレベルは低くなります 2.IEEE802.1X 認証の ID およびパスワードと Windows ログオンの ID およびパスワードが異なる場合または端末のログインユーザ名およびパスワードをそのまま使用しない場合は 4のチェックを外して下さいデフォルトではチェックされていますので注意して下さい 3.EAP-PEAP 方式では認証ネットワーク接続時にユーザ名パスワードおよびアカウントの入力が要求されます Windows ドメイン参加していない場合ドメインの入力が聞かれますが省略した場合 RADIUS サーバの所属するドメインに認証されます 4.2の画面においてこのネットワークへの次回接続時のためにユーザー情報をキャッシュするをチェックした場合ユーザ名およびパスワードはキャッシュされ次回からの接続では入力不用となります 5. 接続ユーザを変更したい場合は 2のこのネットワークへの次回接続時のためにユーザー情報をキャッシュするのチェックを一旦外して再入力を行って下さい (Windows7 以降は EAP-PEAP 方式の設定手順 (1)1の追加情報指定から事前に ID/ パスワード設定が可能です ) Copyright , ALAXALA Networks Corporation. All rights reserved. 111

113 4.3. IEEE802.1X 認証 Mac OS X の設定方法 Mac OS X における IEEE802.1X 認証の設定方法を示します以下の解説ではユーザ証明書とサーバ証明書の検証に必要な CA 証明書があらかじめ端末にインストールされている事を前提としています本ガイドではユーザ証明書と CA 証明書を発行先 user01 発行者 example-dc-ca としています証明書の確認方法 IEEE802.1X 認証に必要な証明書がインストールされているか確認する方法を以下に示します 1 Macintosh HD アプリケーションユーティリティキーチェーンアクセスをクリックするキーチェーンアクセス画面にて CA 証明書 ( この例では example-dc-ca ) がインストールされていることを確認する 2 キーチェーンアクセス画面にて左下の分類自分の証明書の中にユーザ証明書 ( この例では user01 ) がインストールされていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 113

114 EAP-TLS 方式の設定方法 Mac OS X の通信インタフェースに EAP-TLS 方式を用いた IEEE802.1X 認証の設定方法を以下に示します (1) EAP-TLS 方式の設定手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて左画面の中の Ethernet 接続が選択されていることを確認し右画面の詳細をクリックする 2 画面上部の 802.1X をクリックし IEEE802.1X 設定画面を表示する 3 ドメインにユーザを選択し設定画面が変更されたことを確認する画面左下の + をクリックし構成に新しい設定を追加する ( この例では EAP-TLS ) Copyright , ALAXALA Networks Corporation. All rights reserved. 114

115 4 画面右下の認証項目にて TLS のみチェックし構成をクリックする 5 固有名を選択画面にて該当ユーザの証明書を選択する ( この例では user01 の証明書 ) X 設定画面を OK で閉じネットワーク画面内に 802.1X:EAP-TLS が追加されていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 115

116 (2) 認証の実施手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて 802.1X:EAP-TLS の横にある接続をクリックすると IEEE802.1X 認証が開始される 2 しばらくするとサーバ証明書の検証に対してアクセス可否を問われるので許可をクリックする 3 認証に成功した場合ネットワーク画面内の状況に認証済みのメッセージと接続時間が表示される Copyright , ALAXALA Networks Corporation. All rights reserved. 116

117 EAP-PEAP 方式の設定方法 Mac OS X の通信インタフェースに EAP-PEAP 方式を用いた IEEE802.1X 認証の設定方法を以下に示します (1) EAP-PEAP 方式の設定手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて左画面の中の Ethernet 接続が選択されていることを確認し右画面の詳細をクリックする 2 画面上部の 802.1X をクリックし IEEE802.1X 設定画面を表示する 3 ドメインにユーザを選択し設定画面が変更されたことを確認する画面左下の + をクリックし構成に新しい設定を追加する ( この例では EAP-PEAP ) Copyright , ALAXALA Networks Corporation. All rights reserved. 117

118 4 画面右ユーザ名とパスワードに 8021.X 認証に使用するユーザの ID とそのパスワードを入力する ( この例ではユーザ名に user01 使用 ) 画面右下認証の項目で PEAP のみにチェックする X 設定画面を OK で閉じネットワーク画面内に 802.1X:EAP-PEAP が追加されていることを確認する Copyright , ALAXALA Networks Corporation. All rights reserved. 118

119 (2) 認証の実施手順 1 アップルメニューシステム環境設定ネットワークをクリックするネットワーク画面にて 802.1X:EAP-PEAP の横にある接続ボタンをクリックし IEEE802.1X 認証を実施する 2 しばらくするとサーバ証明書の検証に対してアクセス可否を問われるので許可をクリックする 3 認証に成功した場合ネットワーク画面内の状況に認証済みのメッセージと接続時間が表示される Copyright , ALAXALA Networks Corporation. All rights reserved. 119

120 4.4. Web 認証の端末側設定方法動的 VLAN モードの Web 認証を利用する場合は認証前後で IP アドレスが動的に変更出来る必要があるため IP アドレスを自動的に取得する設定にして下さい固定 VLAN モードの Web 認証を利用する場合は固定 IP および IP アドレスを自動的に取得どちらでも利用可能です 4.5. MAC 認証の端末側設定方法端末側の設定は特に必要ありません認証ポートに通信が実行された時点で MAC アドレスの認証を実施します Copyright , ALAXALA Networks Corporation. All rights reserved. 120

121 5. 構築ノウハウ 5.1. Web 認証で外部 Web サーバを使用する本章では Web 認証に外部サーバを利用し外部 Web サーバ上に認証画面を構築する方法を紹介します 3 章で紹介した Web 認証の設定に加えて以下に示す1~5を実施してくださいスイッチへの認証は SSL を使用する事を前提で解説しています認証スイッチに 5 実施を実施ブラウザ起動し任意サイトへのアクセス端末認証前任意サイトへの DNS 要求要求した IP アドレス応答任意サイトへの http アクセス URL リダイレクトによりスイッチのの login.html を応答スイッチの login.html は外部 Web サーバへのジャンプのため外部 Web サーバを読み込む認証スイッチ 1 外部 Web サーバ DNSサーバ Web サーバへのジャンプを記述した html ファイルを応答する 5ログイン画面を表示認証スイッチへのログイン情報を POST するように設定した画面を応答ユーザ ID パスワードの入力外部 Web サーバ認証画面の応答認証専用アドレスの名前解決認証専用 IP アドレス応答スイッチにログイン情報を POST ログイン結果を応答図外部 Web サーバを用いた Web 認証シーケンス AX2500S Ver3.5 では URL リダイレクト先をコンフィグレーション指定可能となりましたコンフィグレーション指定時はスイッチの login.html ではなく直接外部 Web サーバへリダイレクトします Copyright , ALAXALA Networks Corporation. All rights reserved. 121

122 1 認証スイッチの login.htm の入替認証前のユーザは認証スイッチの login.html へリダイレクトされるため login.html を書換え外部 Webサーバへ転送するように設定します付録 Bの login.html ファイルの???? 部分に外部 Web サーバの URL を設定し装置へ転送して下記コマンドにて適用します set web-authentication html-files <directory> -f (AX2500S の場合 ) AX2500S Ver3.5 以降ではコンフィグレーションコマンド指定により直接外部 Web サーバへ URL リダイレクトが可能になりました AX2500SVer3.5 以降を使用する場合は以下のコンフィグコマンドを設定してください (config)# web-authentication redirect target <url> <url> には http または https でリダイレクト先 URL を指定してください外部 Web サーバリダイレクトオプション機能 (config)#web-authentication redirect polling tcp [interval <seconds>] [dead-count <count>] [alive-count<count>] 本コマンド指定時に外部 Web サーバのポーリングを行うことが可能です詳細な設定コンフィグレーションコマンドリファレンスとコンフィグレーションガイド Vol2 で上記コマンドを検索し参照してください (config)web-authentication redirect queries[switch-hostname] [switch-mac] [switch-ip] [client-mac][client-vlan] [client-ip] [port] [original-url] 本コマンドを指定することでリダイレクト時に外部 Web サーバに情報を付加することも可能です引継ぎ情報等詳細はコンフィグレーションコマンドリファレンスとコンフィグレーションガイド Vol2 で上記コマンドを検索し参照してください 2 リダイレクトモードの変更外部 Web サーバへのジャンプを記述した login.html を応答するのみなので不要な負荷を避けるため https から http へ変更します (config)# web-authentication redirect-mode http 3 認証スイッチに認証専用 IP アドレスを設定する複数の認証スイッチを使用する場合は認証専用 IP アドレスを同じ IP アドレスに設定します Copyright , ALAXALA Networks Corporation. All rights reserved. 122

123 4 認証専用アクセスリストの追加認証前に外部 Web サーバと通信するため認証専用アクセスリストに下記を追加してください (config)# ip access-list extended web-auth (config-ext-nacl)# permit ip any host < 外部 Web サーバ IP> 5 外部 Web サーバの html に認証スイッチへのログイン <form> を設定する章を参照し外部 Web サーバ上に認証スイッチへのログイン情報を通知するように設定してくださいなお3 章の構築ポイント (5) に示すように DNS サーバに認証専用 IP をサーバ証明書のサイト名で応答するように設定済である必要があります SSL 使用上の注意事項に関しましては Web 認証で SSL を使用する場合の注意事項を参照してください外部 Web サーバ構築の注意点 (1) プロキシサーバについてプロキシサーバを使用する場合には端末側のプロキシ設定にプロキシ除外アドレスとして外部 Web サーバの IP またはホスト名および認証専用 IP アドレスまたはホスト名を登録してください (2) スイッチへの認証画面も残したい場合認証スイッチの認証画面 (login.html) を外部サーバへのジャンプするファイルに置き換えたことにより外部 Web サーバを経由せずに認証画面を表示することができませんそのため外部 Web サーバの障害等に備え認証スイッチ内に認証画面を残す場合は別ファイル名 ( 例 :login2.htm) として残してください (AX2500S で外部 Web サーバのポーリング指定を設定した場合は障害時はスイッチへの login.html にリダイレクトを行います ) Copyright , ALAXALA Networks Corporation. All rights reserved. 123

124 Web サーバ上の html ファイルの設定例外部 Web サーバ上のログイン html ファイルの設定例を以下に示します認証画面の編集の詳細はマニュアルコンフィグレーションガイド Web 認証画面設定手引きを参照して下さい ( デザインについてはスイッチの初期値の認証画面の例で示していますユーザで任意のデザインに変更してください ) (1) ログイン設定 <br> スイッチの認証 IP のホスト名を指定 Please enter your ID and password.<br> <br> <form name="login" method="post" action=" host 名 /cgi-bin/login.cgi"> <table><tbody><tr> <td>user ID</td> <td><input name="uid" size="40" maxlength="128" autocomplete="off" type="text"></td></tr> <tr> <td>password</td> <td><input name="pwd" size="40" maxlength="32" autocomplete="off" type="password"></td></tr> </tbody></table> <br> <input value="login" type="submit"> </form> <br> (2) ログアウト設定スイッチの認証 IP のホスト名を指定 <form name="logout" action=" host 名 /cgi-bin/logout.cgi" method="post"> <table width="100%"> <tbody> <tr> <td align="center" bgcolor="#2b1872"><font color="#ffffff"><b>logout</b></font> </td></tr> </tbody> </table> <br>please push the following button.<br><br> Copyright , ALAXALA Networks Corporation. All rights reserved. 124

125 (3) 認証前にアクセスしていた URL へ認証成功時に自動表示する場合 (AX2500S のみ ) AX2500S では認証前にアクセスしようとしていた URL へ認証成功時に直接ジャンプする機能を追加しまた外部 Web サーバに Web 認証ページをおく場合には以下の設定を行ってください 1 URL リダイレクト時リダイレクト前の URL を外部 Web サーバへ渡す設定をコンフィグレーションコマンドで投入します (config)#web-authentication redirect queries original-url 本設定でリダイレクト時にジャンプ先のサーバへ引数として以下を渡します original-url= リダイレクト前 URL 2 認証成功後リダイレクト前 URL へジャンプする設定をコンフィグレーションコマンドで設定します (config)#web-authentication jump-url original 本設定により認証時のPOSTでoriginal-url 引数に渡されたURLへ認証成功時にジャンプします 3 外部 Webサーバのログインページに認証時のスイッチへのPOSTでoriginal-url 引数に1で渡されたリダイレクト前 URL 情報を代入してPOSTしてください ( 詳細 ) 下記に示す例のように, 認証端末から本装置へのPOST データにoriginal_url=xxx が含まれるようにしてください POST データにoriginal_url=xxx を含むための設定例外部 Web サーバが認証端末に送信するログイン画面の <form> 内に,<input type=hidded name="original_url" value=xxx > と記述します注 xxx の値は, 自動付加クエリのoriginal-url からPHPなどのスクリプトなどを用いて POST 時の "original_url" のvalueに設定してくださいなお,URLリダイレクトで表示された場合ではなく直接本装置のWeb 認証専用 IP アドレスや本装置のIP アドレスを直接指定して認証を開始した場合は, 認証成功後にログイン成功画面だけ表示します外部 Web サーバではなく本装置を認証画面とする場合には3の POST 部分の設定が異なります <form> 内に Web 認証固有タグ  を記載してください本装置の初期のログインページには  が追加されています詳細についてはコンフィグレーションガイド Vol2 を参照してください Copyright , ALAXALA Networks Corporation. All rights reserved. 125

126 6. 注意事項本章では AX シリーズを用いた認証ネットワークの構築における注意点と運用上の注意点について IEEE802.1X 認証 Web 認証 MAC 認証それぞれの認証機能別に解説します 6.1. IEEE802.1X 認証に関する注意事項 IEEE802.1X 端末検出機能に関する注意事項同一物理ポート配下で複数の IEEE802.1X 端末を認証させる場合は端末検出機能を auto にして下さい AX シリーズでは端末側から IEEE802.1X 認証開始を行わない端末を検出するため初期値では EAP-Request/Identity パケットを周期的にマルチキャスト送信しています複数の端末を接続した場合 EAP-Request/Identity を受信した端末から一斉に再認証が開始され認証スイッチや RADIUS サーバへの負荷が高くなりますまた端末認証中のシーケンスに端末検出パケットが非同期に衝突することにより端末の認証再認証が失敗する場合があります AX1240S(Ver2.1)/AX2200S/AX2400S(Ver11.1)/AX3600S(Ver11.1) AX2500S から端末からの通信を自動で検出して EAP-Request/Identity パケットをユニキャストにて送信する機能 auto をサポートしましたサポート以前の OS または AX1230S では未サポートのため disable で運用してください (1) 認証スイッチで以下のコンフィグレーションコマンドを実行し端末検出機能を auto または disable に変更しますポート単位認証の場合 dot1x supplicant-detection auto 固定 VLAN 認証の場合 (AX2400S,AX3600S の場合 ) dot1x vlan supplicant-detection auto 動的 VLAN 認証の場合 (AX2400S,AX3600S の場合 ) dot1x vlan dymanic supplicant-detection auto Copyright , ALAXALA Networks Corporation. All rights reserved. 126

127 IEEE802.1X 端末検出機能の注意事項詳細解説 Windows の Ver 違いにより IEEE802.1X サプリカントの動作仕様の違いによる構築上の注意点について詳細に説明しますまず OS の動作差分を解説します Windows の IEEE802.1X サプリカント動作差分の解説 Windows の IEEE802.1X サプリカントの動作について以下に示す違いがあります表 Windows の IEEE802.1X サプリカントの動作差分項番サプリカント動作 Windows XP(SP2) 1 認証開始動作認証スイッチ側から送信される EAP-Request/Identity パケット受信時に IEEE802.1X 認証を開始します ( 注 1) Windows 8 Windows 7 Windows Vista Windows XP(SP3) 通信回線のリンクアップまたはログオン時に EAPOL-Start を自ら送信し IEEE802.1X 認証を開始します 2 端末検出モード shortcut 設定時における動作 (EAP-Request を受信した時の挙動 ) 端末検出モード shortcut 設定時の認証シーケンスを完了した後 EAPOL-Start を送信する事はありません ( 注 1) 端末検出モード shortcut 設定時の認証シーケンスを完了した後自発的に EAPOL-Start を送信しますこのため RADIUS サーバへの問い合わせが周期毎に実施されます ( 注 1) Windows XP(SP2) の場合は Windows XP(SP2) へのバージョンアップを行ってください Copyright , ALAXALA Networks Corporation. All rights reserved. 127

128 (1) 認証開始動作の違い Windows XP(SP2) の場合以下のシーケンス図に示すように IEEE802.1X 認証機能を有効化しても Windows XP(SP2) は認証を開始しません認証スイッチ側から端末検出用に送信されている EAP-Request/Identity を受信した時点で認証を開始します Windows XP(SP2) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAP-Request/Identity EAP-Response / Identity 自分から認証開始しない IEEE802.1X 認証端末に対して認証開始を促すため初期値の場合 EAP-Request/Identity をマルチキャスト送信する IEEE802.1X の各ユーザ認証を RADIUS サーバへ問い合わせを実施し認証成功したらスイッチ側で通信許可を実施する EAP-Success 図 Windows XP(SP2) 認証開始シーケンスただしレジストリ設定で IEEE802.1X サプリカントモードを変更する事で Windows XP(SP2) 側から接続開始をさせる事が可能です変更方法は章を参照下さい Windows XP(SP2) からの接続開始を有効化した場合端末検出パケットの受信を待たずに即座にネットワーク利用が可能となります端末検出モードを auto で使用した場合は端末の接続を検出後に EAP-Request/Identity はユニキャストで送信します Copyright , ALAXALA Networks Corporation. All rights reserved. 128

129 Windows Vista 以降 / Windows XP(SP3) の場合以下のシーケンス図に示すように Windows Vista 以降 / Windows XP(SP3) はネットワークに接続した時点で EAPOL-Start を自ら送信し認証を開始します Windows Vista 以降 Windows XP(SP3) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAPOL-Start EAP-Request/Identity EAP-Response / Identity EAPOL-Start を受信すると送信してきた端末に対し EAP-Request/Identity をユニキャスト送信する事で認証動作を開始する IEEE802.1X 認証を RADIUS サーバへ問い合わせて認証成功したらスイッチ側で通信許可を実施する EAP-Success 図 Windows Vista / Windows XP(SP3) 認証開始シーケンス (2) 端末検出モード shortcut 設定時における動作の違い IEEE802.1X 認証のサプリカントには自ら EAPOL-Start を送信して接続開始を実行しないものがあります端末検出機能とは周期的に EAP-Request/Identity をマルチキャスト送信することでそのような自発的に認証開始を行わない端末の認証開始を誘発する機能です AX シリーズではデフォルトで EAP-Request/Identity を一定間隔で送信し続けます端末検出モードには full shortcut disable auto の 4 つのモードがあります shortcut モードは認証済み端末からの応答には認証シーケンスを一部省略する機能ですこれにより認証単位当たりの端末数が増えた場合 EAP-Request/Identity に応答した端末の認証処理における装置の負荷を低減しますしかし Windows は下記のように OS によっては shortcut では負荷を回避できません端末検出モード shortcut 設定時における Windows の動作端末が Windows の場合の認証シーケンスを以下に示します Windows Vista 以降 / Windows XP(SP3) は端末検出用の EAP-Request/Identity を受信した場合 shortcut 設定時の認証シーケンスが完了して EAP-Success を受信しても EAPOL-Start を送信して RADIUS との全認証シーケンスを完結しようとしますこのため端末検出モードが shortcut 設定であっても RADIUS サーバへ毎回問い合わせを実施する事 Copyright , ALAXALA Networks Corporation. All rights reserved. 129

130 になります Windows Vista 以降 Windows XP(SP3) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ EAP-Request/Identity 18 秒 EAP-Response / Identity すでに認証済み端末に対しては TLS などの RADIUS サーバとのシーケンスを省略し成功 EAP-Success を返す EAP-Success EAPOL-Start EAP-Request/Identity EAP-Response / Identity Windows Vista / Windows XP(SP3) は EAP-Success を受信したにも関わらず EAPOL-Start を送信する EAPOL-Start を受信すると認証済みの端末であっても IEEE802.1X 認証の全シーケンスを RADIUS サーバと端末間で実施する EAP-Success 図端末が Windows Vista / Windows XP(SP3) で既に認証済みである場合の認証シーケンス端末検出時間 tx-period を 18 秒以下に設定した場合 Windows Vista 以降 / Windows XP(SP3) は EAPOL-Start を送信する事ができなくなり 1 分後に認証動作を停止しますこのため端末検出時間 tx-period は 18 秒以下に設定しないで下さいマルチキャストによる端末検出動作による負荷を回避するために端末検出モード auto がサポートされていますデフォルト値は shortcut ですが auto で運用することでマルチキャストによる端末検出を行わず認証前の端末の MAC アドレス単位にユニキャストで EAP-Request/Identity を送信する動作となるため端末検出動作時に配下端末が一斉に認証を開始する事を回避すると同時に無通信監視などによる認証解除でも再度認証を開始できるため端末検出モードは auto で運用してください端末検出モード auto 未サポートの機種 AX1230S AX6000S シリーズでは disable で運用してください Copyright , ALAXALA Networks Corporation. All rights reserved. 130

131 Windows の IEEE802.1X 認証に関する注意事項 IEEE802.1X 認証機能を有効に設定した Windows 端末は起動時にコンピュータ名でコンピュータの IEEE802.1X 認証を行いユーザログオン時にユーザ ID およびパスワードでユーザの IEEE802.1X 認証を行いますコンピュータの IEEE802.1X 認証が失敗すると AX スイッチの該当 VLAN インタフェースは非認証状態となりますこの状態は非認証状態保持時間 ( デフォルト値は 60 秒 ) 続きその間は認証処理を行いません認証処理を早く行いたい場合は AX スイッチのコンフィグレーションコマンドを用いて非認証状態保持時間を短く設定して下さい一般的にコンピュータの IEEE802.1X 認証失敗からユーザ認証を開始するまで数秒 ~ 数十秒程度となるため本ガイドでは非認証状態保持時間を 5 秒に設定しています最小の0でもかまいません Windows 端末 IEEE802.1X 認証スイッチ (AX) RADIUS サーバ Windows OS を起動 EAP over LAN EAP over RADIUS 1 コンピュータ認証 EAPOL Start EAP Request EAP Response EAP(Response,Request) RADIUS Request RADIUS (Request,Challenge) コンピュータ認証失敗 EAP Failure RADIUS Reject 2 ユーザ認証ログオン画面にてユーザ ID パスワードを入力 EAPOL Start EAPOL Start EAP Response EAP Request 非認証状態保持時間 RADIUS Request ユーザ認証成功 EAP(Response,Request) EAP Success RADIUS (Request,Challenge) RADIUS Accept 図 Windows の IEEE802.1X 認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 131

132 RADIUS サーバ冗長化に関する注意事項 RADIUS サーバを冗長化する場合は接続する RADIUS サーバ数を考慮して応答待ち時間を短く設定して下さい RADIUS サーバを 2 台以上設定するとコンフィグレーションに設定された順に RADIUS サーバにアクセスします 1 台目の RADIUS サーバから応答待ち時間を過ぎても反応がない場合その RADIUS サーバはダウンしていると判断して 2 台目の RADIUS サーバへアクセス開始します RADIUS サーバの応答待ち時間は以下の式から算出されます RADIUS サーバの応答待ち時間 =サーバからの応答タイムアウト時間サーバに認証要求を再送信する回数この式よりデフォルトの応答待ち時間は約 20 秒となります (1) IEEE802.1X 端末が Windows Vista 以降である場合 RADIUS サーバを 2 台設定して 1 台目の RADIUS サーバがダウンした場合の認証シーケンスを以下に示します Windows Vista IEEE802.1X 認証スイッチ (AX) EAPOL-Start RADIUS サーバ #1 RADIUS サーバ #2 18 秒 20 秒 EAPOL-Start EAPOL-Start を受信すると最初から認証処理を開始する EAP-Success 1 分以内に認証処理が完了しないと認証を停止する図台目の RADIUS サーバがダウンしている場合の認証シーケンス (Windows Vista 以降 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 132

133 IEEE802.1X 認証においてサプリカントが Windows Vista 以降である場合 EAPOL-Start を 18 秒周期で 3 回送信して 1 分以内に認証シーケンスが完了しないとき Windows Vista は認証を停止します従ってデフォルトのまま使用すると 1 台目の RADIUS サーバがダウンしていると判断する前に EAPOL-Start を受信し最初から認証処理がやり直されてしまいます RADIUS サーバを 2 台設置する場合は RADIUS サーバ応答待ち時間を 18 秒以内に設定して下さい (2) IEEE802.1X 端末が Windows XP である場合 RADIUS サーバを 3 台設定して 1 台目と 2 台目の RADIUS サーバがダウンした場合の認証シーケンスを以下に示します Windows XP(SP2) IEEE802.1X 認証スイッチ (AX) RADIUS サーバ #1 RADIUS サーバ #2 RADIUS サーバ #3 EAP-Request/Identity EAP-Request/Identity 20 秒 40 秒 40 秒間応答がないと認証を最初からやり直す EAP-Request/Identity 図台目と 2 台目の RADIUS サーバがダウンしている場合の認証シーケンス (Windows XP ) IEEE802.1X 認証においてサプリカントが Windows XP である場合認証処理を開始して 40 秒間応答がないとき Windows XP は認証処理を最初からやり直します従ってデフォルトのまま使用すると RADIUS サーバ 3 台目を探索する前に認証処理がやり直しとなってしまう場合があります RADIUS サーバを 3 台設置する場合は RADIUS サーバ応答待ち時間を 20 秒より短くなるように設定して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 133

134 ログアウトに関する注意事項 IEEE802.1X 認証した端末は下記いずれかの条件に一致した場合自動的にログアウト ( 通信非許可状態 ) します条件 1: 当該端末の認証ポートのリンクダウン (AX2500S ではコンフィグによりポートリンクダウンでの認証解除を抑止することが出来ます ) 条件 2: 再認証の失敗条件 3: 無通信監視 (AX2200S/AX2500S および AX1240S Ver2.1 以降 ) 約 10 分間認証端末からの通信が無い場合 no dot1x auto-logout 設定で無通信監視機能を OFF にできます条件 4: 別ポートで認証済み端末の通信を検出した場合 (AX1240S V2.1 以降 /AX2200S/AX2500S) ただし条件 2の再認証機能はデフォルトでは無効となっています再認証機能を有効に設定しない場合 HUB 経由で接続した端末の電源を OFF にしてもリンクダウンを検出できない為認証されたままとなりますセキュリティ的には許可済み MAC アドレス詐称などの不正進入を防止するため無通信監視しない AX1240S/AX2200S/AX2530S 以外では再認証機能は必ず有効に設定して下さい再認証機能を有効に設定した場合端末の再認証周期時間のデフォルト値は 3600 秒ですセキュリティ上再認証間隔は短い方が好ましいですが短すぎる場合は RADIUS サーバ側への負荷となりますので適正な値を設定して下さい ( 設定方法は3 章を参照 ) 再認証機能に関する注意事項 IEEE802.1X 認証のみ認証成功時に RADIUS サーバから送信される RADIUS アトリビュートについて再認証の指示および再認証時間の通知があった場合は再認証機能に関して機種ごとに仕様差分があります RADIUS アトリビュートの内容は章を確認下さい表再認証機能の機種別差分装置 AX1200S AX2200S AX2500S AX2400S AX3600S AX6000S 仕様コンフィグレーションに従って動作します IEEE802.1X 認証のみ RADIUS アトリビュートの内容を優先します RADIUS サーバから再認証指示が無い場合はコンフィグレーションに従って動作します Copyright , ALAXALA Networks Corporation. All rights reserved. 134

135 端末移動に関する注意事項 IEEE802.1X 認証済み端末を認証スイッチ配下の他のポートへ移動した場合即座に再認証され通信に影響する事はありません認証中に接続不可となった場合 AX シリーズではネットワーク障害や過負荷等により IEEE802.1X 認証が失敗した場合認証端末に対して EAP-Failure を送信しますその後端末検出用の EAP-Request/Identity を送信して再認証を促しますがタイミングや一時的通信障害等により端末側の認証動作が停止してしまう事があります Windows 端末で再認証失敗により認証動作が停止した場合以下に示すいずれかの操作を実施して再認証を試みて下さい (1) 通信インタフェースのリンクダウンアップ (2) 通信インタフェースの無効化有効化 (3) 通信インタフェースの設定変更 (4) ユーザのログオンログオフ (5) 端末の再起動強制認証機能に関する注意事項 IEEE802.1X 認証の強制認証機能を使用し且つ再認証を設定している場合接続するサプリカントによっては強制認証成功後の再認証に無応答のため失敗しその後通信が出来なくなります再認証に成功し通信が途切れないサプリカント Windows XP SP2( サプリカントモードを 3 に変更済み ( 詳細は4.1.3を参照 )) の標準サプリカント再認証に失敗し通信断が発生するサプリカント Windows XP SP3 の標準サプリカント Windows Vista の標準サプリカント下図強制認証失敗シーケンスを参照 Windows Vista 若しくは Windows XP SP3 にて IEEE802.1X 認証の強制認証機能を使用する場合は再認証間隔を長めに設定する事を推奨しますデフォルト 1 時間を目安に環境に合わせて調整してください端末で再認証に失敗し通信断が発生した場合は6.1.8 章記載の手順により一時的 ( 再認証間隔の時間 ) に通信復旧させる事が可能です Copyright , ALAXALA Networks Corporation. All rights reserved. 135

136 Windows Vista(SP1) Windows XP(SP3) 強制認証有効 RADIUS サーバ標準サプリカント AX1200S 機能停止中 EAPOL-Start EAP-Request/Identity 18 秒後 EAPOL 再送 EAP-Response/Identit RADIUS-Request RADIUS-Request RADIUS-Request EAPOL-Start RADIUS-Request EAP-Request/Identity EAP-Response/Identit EAP-Success を受信してもサプリカントは認証失敗のまま EAP-Success EAP-Success RADIUS-Request RADIUS-Request RADIUS-Request RADIUS-Request 再認証時間経過後再認証の開始再認証に応答しない EAP-Request/Identity EAP-Request/Identity EAP-Request/Identity EAP-Failure 強制認証成功再認証失敗図 Vista 強制認証シーケンス Copyright , ALAXALA Networks Corporation. All rights reserved. 136

137 6.2. Web 認証に関する注意事項 Web 認証前に通信許可する項目 Web 認証を行う場合認証前に通信許可すべき項目 (*1) を以下に示します (1) ARP リレーの設定 Web 認証を行う場合は必ず ARP リレーの設定をして下さい設定方法は 3 章を参照して下さい (2) DHCP 通信の許可 Web 認証端末に DHCP で IP アドレスを配布する場合は認証専用アクセスリストで DHCP(BOOTP パケット ) の通信を許可するアクセスリストを設定して下さい設定方法は 3 章を参照して下さい (3) DNS サーバへの通信許可 Web 認証の URL リダイレクト機能を使用する場合は認証前に DNS サーバでの名前解決が必要となります認証専用アクセスリストで DNS サーバへの通信を許可するアクセスリストを設定して下さい設定方法は3 章を参照して下さい (4) 認証前に検疫等を実施する場合検疫ネットワークなど認証前に通信を行う必要のあるサーバが存在する場合は認証専用アクセスリストで該当サーバへの通信を許可するアクセスリストを設定して下さい (*1) レガシーモードを除くプロキシサーバ使用時の注意事項 Web 認証を http プロキシ環境で使用する場合は URL リダイレクト用のポート番号にプロキシサーバで使用するポート番号を追加しますまた PC 側のプロキシ設定において認証専用 IP アドレス ( 認証専用 IP を FQDN 指定した場合は認証専用 IP のドメイン名でも可能 ) をプロキシ除外アドレスに登録してくださいプロキシ除外設定をしない場合は認証スイッチがリダイレクトする認証専用 IP アドレスに対して再び http プロキシサーバ経由でアクセスしようとするため認証画面が出力されず URL リダイレクト処理がループし通信負荷となります (AX2400S/AX3600S) URL リダイレクトの負荷の対策は AX2400S/AX3600S Ver11.2 において対策されています Copyright , ALAXALA Networks Corporation. All rights reserved. 137

138 固定 VLAN モードの Web 認証のログアウト条件固定 VLAN モードで Web 認証した端末は以下のいずれかの条件に一致した場合ログアウト ( 通信非許可状態 ) します条件 1: ログアウト画面からログアウトした場合条件 2: 最大接続時間を超えた場合 ( デフォルト 3600 秒 ) コンフィグレーションによって時間と機能の有効無効化ができます条件 3: 接続監視機能 (ARP ポーリング ) によるログアウト条件 4: 認証ポートのリンクダウン (AX2500S ではコンフィグによりポートリンクダウンでの認証解除を抑止することが出来ます ) 条件 5: 強制ログアウトコマンドによるログアウト条件 6: 特殊 ping によるログアウト ( 認証用 IP アドレス宛てコンフィグレーションで指定した TOS TTL 値の ping) 条件 7: 無通信監視機能によるログアウト固定 VLAN モードの Web 認証の端末移動に関する注意事項 (1)AX1200S/AX2200S/AX2500S の場合認証済み端末のポート移動許可設定 ( コンフィグレーションコマンド web-authentication static-vlan roaming) を行った場合同一 VLAN 間を再認証せずに移動することが可能です設定を行っていない場合や別 VLAN 間を移動する場合は再度認証を行う必要があります (2)AX2400S / AX3600S の場合同一 VLAN 間は移動可能別 VLAN 間は移動後に再度認証を行う必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 138

139 動的 VLAN モードの Web 認証ネットワーク構築に関する注意事項 (1) DHCP サーバの設置動的 VLAN モードの Web 認証では認証のために Web ブラウザへの IP 通信を用いたアクセスが必要なため認証前後両方の VLAN 上に DHCP サーバを設置して IP アドレスを配布して下さい下図に示すように認証前は認証スイッチから IP アドレスを配布し認証後は認証後 VLAN からアクセスできる VLAN 上のサーバから IP アドレスを配布する構成を推奨します DHCP リレーを設定認証後 VLAN ネットワーク管理用 VLAN AX3600S 業務用サーバ RADIUS サーバ AX1200S 認証後用 DHCP サーバ端末認証前の IP アドレスのみ認証認証前 VLAN スイッチの DHCP から配布図 DHCP サーバの設置例 AX シリーズの DHCP サーバ機能は Web 認証用にカスタマイズされており IP アドレスのリース時間を最短で 10 秒に設定することができますこのため認証前 VLAN から認証後 VLAN へ切り替わった時にスムーズに認証後 VLAN の IP アドレスに切り替える事ができますリース時間を 10 秒とした場合のクライアント最大接続数は 200 以下となるようにして下さい同様に 20 秒とした場合 400 以下 30 秒の場合は 600 以下となるように同時接続数を調整して下さい (2) VLAN インタフェース IP アドレスの設定動的 VLAN モードで Web 認証を行なう場合は認証前および認証後の VLAN に IP アドレスを設定して下さい認証後の VLAN の定義は忘れがちですがログアウト時に必要となります (3) 端末側の設定動的 VLAN モードで Web 認証を使用する場合端末側では必ず DHCP による IP アドレス取得の設定を行って下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 139

140 (4) 認証スイッチが複数台存在する場合下図のように認証スイッチが複数台存在するネットワークを構築する場合認証前 VLAN に配布する IP アドレスを各認証スイッチ毎に同一サブネットとして設定すると IP アドレスが重複してしまう場合がありますこのため各認証スイッチ毎に DHCP の IP アドレス配布対象除外コマンドを用いて表 6.2-1のように IP アドレスが重複しないように設定して下さいもしくは認証前 VLAN を認証スイッチ毎に分けて設定して下さい AX3600S AX3600S AX3600S /24 を配布 /24 を配布 /24 を配布 AX2400S#1 AX2400S#2 AX2400S#3 RADIUS サーバ DNS サーバ DHCP サーバ ( 認証後用 ) 端末端末端末配布された IP アドレスが重複する場合がある認証前 VLAN 図認証スイッチが複数台存在するネットワーク構成表認証スイッチの DHCP 設定例認証スイッチ配布対象サブネット配布対象除外アドレス実際に配布されるアドレス AX2400S# ~ ~ ~100 AX2400S# ~ ~ / ~254 AX2400S# ~ ~ ~200 Copyright , ALAXALA Networks Corporation. All rights reserved. 140

141 動的 VLAN モードの Web 認証のログアウトに関する注意事項 (1) ログアウト条件動的 VLAN モードで Web 認証した端末は以下のいずれかの条件に一致した場合ログアウト ( 通信非許可状態 ) します条件 1: ログアウト画面からログアウトした場合条件 2: 最大接続時間を超えた場合ログインしてから強制ログアウトされる時間のデフォルト値は 3600 秒です本機能はコンフィグレーションコマンドにて無効にすることができます条件 3: 強制ログアウトコマンドによるログアウト条件 4: 無通信監視機能によるログアウト条件 5: 認証ポートのリンクダウン (AX1200S,AX2200S,AX2500S のみ ) (AX2500S ではコンフィグによりポートリンクダウンでの認証解除を抑止することが出来ます ) (2) ログアウト後再ログインする時の注意点動的 VLAN モードで Web 認証した端末はログアウト時に IP アドレスの解放を行わず DHCP サーバから通知されたリース時間に従って IP アドレスの解放を行います再ログイン時に Web 認証画面へのアクセスができない場合は以下のいずれかを実施し端末の IP アドレスを解放した後認証を行なって下さい (1) 通信インタフェースのリンクダウンアップ (2) 通信インタフェースの無効化有効化 (3) IP アドレスの再取得 (Windows XP / Windows Vista の場合 ) コマンドプロンプトで以下の 2 つのコマンドを実行します ipconfig /release ipconfig /renew (4) 端末の再起動動的 VLAN モードの Web 認証の端末移動に関する注意事項 Web 認証済み端末を同一認証スイッチの他の認証ポート ( 同一認証モード ) へ移動した場合再認証無しでそのまま通信可能となりますただし VLAN 自動アサインで構築し移動先の VLAN に当該 VLAN のアサインがされていない場合は再認証が必要ですまたすでに自動ログアウトしていた場合は再認証が必要です Copyright , ALAXALA Networks Corporation. All rights reserved. 141

142 動的 VLAN モードの Web 認証成功時の画面表示 URL 移動に関する注意事項動的 VLAN モードで Web 認証成功後にアクセスする URL を指定する場合は Web 認証画面入れ替え機能を用いてログイン成功画面を変更して下さい Web 認証のコンフィグレーションコマンド web-authentication jump-url を用いて Web 認証成功後にアクセスする URL を指定した場合認証成功画面が表示された 5 秒後に指定された URL へアクセスを試みますこのとき端末はまだ認証後 VLAN の IP アドレスに切り替わっていないためアクセスが失敗してしまいますこのシーケンスを以下に示します端末内蔵認証スイッチ DHCP サーバ DHCP サーバ指定 Web サーバ認証前の IP アドレス取得認証前 VLAN ユーザ ID パスワード入力認証成功画面表示指定 URL へジャンプ認証後 VLAN 認証後の IP アドレス取得 5 秒 IP アドレスがまだ切り替わっていないためアクセスできない図動的 VLAN モードにおける Web 認証成功後の指定 URL 移動シーケンス認証成功画面が表示されてから指定 URL へジャンプするまでにかかる時間を変更するにはログイン成功画面を変更します以下にその方法を示します (1) ログイン成功画面 ( ファイル名 :loginok.html) に別ページへの自動ジャンプを行う記述を追加しますジャンプまでにかかる時間は認証前 IP アドレスのリース時間より長い時間を指定して下さいここでは 15 秒後に指定 URL へジャンプする例を示します <meta http-equiv="refresh" content="15;url= (2) 運用コマンド set web-authentication html-files を用いて Web 認証画面を入れ替えます Copyright , ALAXALA Networks Corporation. All rights reserved. 142

143 ダイナミック VLAN モードまたはレガシーモードにおいて,loginOK.html ファイルに, ほかのファイルを関連付けしたとき, ログイン成功画面が正常に表示されない場合があります AX2400S / AX3600S シリーズの Ver10.7 新機能を使用する場合の注意事項 AX2400S / AX3600S シリーズにおける Ver10.6 までの Web 認証の動的 VLAN モードは Ver10.7 からレガシーモードとなります動的 VLAN モードの Web 認証を使用している環境において Ver10.6 から Ver10.7 へバージョンアップを行った場合 Ver10.7 よりサポートしている Web 認証専用 IP アドレスおよび URL リダイレクト機能を使用するときはレガシーモードから新しい動的 VLAN モードへ設定を変更する必要がありますただし Ver10.7 新機能を使用しない場合は設定変更の必要はありませんレガシーモードから動的 VLAN モードへ変更する手順を以下に示します 1. コンフィグレーションから web-authentication vlan の設定を削除する 2. 認証ポートに web-authentication port の設定を行う認証前に通信を行いたい場合は authentication ip access-group および authentication arp-relay を設定する Copyright , ALAXALA Networks Corporation. All rights reserved. 143

144 Web 認証で SSL を使用する場合の注意事項 Web 認証で ID, パスワードを保護するため SSL を使用する場合認証スイッチの工場出荷時の証明書はローカルな証明書のためブラウザで証明書関連の警告が発生します証明書の警告を回避するために (1)(2) を実施してください (1) 正規証明書を取得しスイッチへ適用する証明書の発行要求 (CSR ファイルの作成 ) 機能はスイッチには実装していませんので openssl などを利用して別途準備して取得してください取得した証明書ファイルおよび鍵ファイルをスイッチに登録しますまた中間証明機関で発行された場合は中間証明書と合わせて登録します ( 登録できる形式は PEM 形式です ) ローカルな証明書を利用する場合はブラウザ毎に手順は異なりますが IE の場合は手動で信頼されたルート証明機関に登録することで回避できます (2) サイト名不一致の警告を回避する URL リダイレクト機能を使用する場合初期値では認証専用 IP アドレスでリダイレクトするため証明書のサイト名不一致の警告メッセージが出力しますので下記手順で回避してくださいサーバ証明書の発行先サーバ名 (CN に記載されたホスト名 FQDN ) とスイッチの認証専用 IP アドレスを下記 1 2を実行して関連付けます 1DNS サーバにサーバ証明書の発行先サーバ名で認証専用 IP アドレスを応答させる 2スイッチの config で認証専用 IP の定義と同時に fqdn 指定を実行する (config)web-authentication ip address 認証専用 IP アドレス fqdn サーバ証明書の発行先サーバ名 SSL に関する詳細な設定情報は別冊 Web 認証マニュアル SSL 証明書運用編を参照してください Copyright , ALAXALA Networks Corporation. All rights reserved. 144

145 6.3. MAC 認証に関する注意事項固定 VLAN モードの MAC 認証のログアウトに関する注意事項固定 VLAN モードの MAC 認証のログアウト条件は以下の 4 つがあります条件 1: 認証ポートがリンクダウンした場合 (AX2500S ではコンフィグによりポートリンクダウンでの認証解除を抑止することが出来ます ) 条件 2: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 3: 認証済み端末の無通信監視による認証解除条件 4: 強制ログアウトコマンドによるログアウト条件 5: 再認証に失敗した場合 (AX2500S/AX2200S および AX1240S V2.1 より ) 条件 2についてコンフィグレーションコマンドで最大接続時間を設定した場合最大接続時間経過後に一度認証情報を削除して再度認証を行いますこのため再接続されるまでパケットロスが発生します再接続までの時間は実測値で約 150ms です ( 計測端末数は 1 台で計測 ) Copyright , ALAXALA Networks Corporation. All rights reserved. 145

146 動的 VLAN モードの MAC 認証のログアウトに関する注意事項動的 VLAN モードの MAC 認証のログアウト条件を以下に示します (1) AX1200S/AX2200S/AX2500S の場合条件 1: 再認証に失敗した場合 ( 再認証周期のデフォルト値は1 時間 ) 条件 2: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 3: 認証済み端末の無通信監視による認証解除条件 4: 強制ログアウトコマンドによるログアウト条件 5: 認証ポートがリンクダウンした場合 (AX2500S ではコンフィグによりポートリンクダウンでの認証解除を抑止することが出来ます ) (2) AX2400S / AX3600S の場合条件 1: 最大接続時間を超えた場合 ( デフォルトでは最大接続時間監視を行わない ) 条件 2: 認証済み端末の MAC アドレスが MAC アドレステーブルから削除されて約 10 分経過した場合条件 3: 強制ログアウトコマンドによるログアウト非認証端末接続時の RADIUS への負荷 MAC 認証設定したポートに MAC 認証非許可端末が接続された場合その他の認証機能 (Web 認証 IEEE802.1X 認証 ) にも許可されていなければ RADIUS への問い合わせが周期的に実行されます AX シリーズではこの認証失敗時の再認証開始待ち時間はデフォルト値 3600 秒となっていますタイマ値の変更は可能ですが非許可端末が接続された事による RADIUS サーバやネットワークへの負荷を抑えるため 3600 秒以下には設定しないことを推奨します Copyright , ALAXALA Networks Corporation. All rights reserved. 146

147 6.4. 認証関連共通の注意事項動的 VLAN(MAC VLAN) における注意事項 (1) MAC VLAN のフラッディング動作について MAC VLAN ではフレームを送信元 MAC アドレスで識別して VLAN を割り当て同一 VLAN に所属するポートへ送信します動的 VLAN 認証を使用する場合認証後 VLAN と認証前 VLAN は同一ポートに割り当てられているためブロードキャスト等のフラッディングするフレームは認証後の端末と認証前の端末の双方へ届きます HUB 図 MAC VLAN における注意事項 (1) Copyright , ALAXALA Networks Corporation. All rights reserved. 147

148 (2) MAC VLAN での VLAN 間通信について動的 VLAN 認証を使用する場合は一度認証に成功した端末がログアウト等の動作により認証前の VLAN に移動した場合フラッディングしながら認証前の端末と通信を継続してしまう場合がありますこの状況を防ぐため認証前 VLAN にはフィルタを設定し認証前の送信元 IP のみを通過できるようにして下さい HUB 図 MAC VLAN における注意事項 (2) Copyright , ALAXALA Networks Corporation. All rights reserved. 148

149 動的 VLAN モードにおける VLAN 自動アサイン機能について AX2500S/AX2200S/AX1240S(Ver2.1) および AX2400S(V11.1) AX3600S(V11.1) 以降からダイナミックモードにおいて MACVLAN ポートのコンフィグにあらかじめ VLAN を定義しない場合認証後 RADIUS からの VLAN 通知により当該ポートに VLAN を自動でアサインする機能が使用できるようになりました本機能によりポートに認証後 VLAN を定義していない場合は端末が VLAN に参加するまで認証後ネットワークのパケットがフラッディングされなくなります認証前にパケット受信が必要な場合はあらかじめ MACVLAN ポートに VLAN を追加してください AX2400S,AX3600S の場合コンフィグで VLAN を指定した場合は指定外の VLAN を RADIUS から配布した場合にエラー扱いしますので注意が必要です AX2400S,AX3600S では IEEE802.1X 認証では MACVLAN ポートの自動アサイン機能が使用できませんので従来どうり MACVLAN ポートに認証後に切替える VLAN の定義が必要になります AX2400S,AX3600S ではダイナミック VLAN のポート移動時に VLAN 番号をあらかじめ指定していないポート移動した場合は当該 VLAN に参加者が 1 人もいないポートへ移動した場合は移動前の VLAN で認証状態がログアウトされるまで認証できません動的 VLAN と固定 VLAN 混在に関して AX2500S/AX2200SAX1240S(Ver2.1) および AX2400S(V11.1) AX3600S(V11.1) 以降から MACVLAN ポートにおいて動的 VLAN と固定 VLAN の混在が可能となりました従来は動的 VLAN のポートにおいて RADIUS サーバより VLAN の配布がない場合はエラーとしていましたが RADIUS サーバから VLAN がない場合は MACVLAN ポートの naitive VLAN で認証するように機能追加されましたただし AX2400S.AX3600S の IEEE802.1X 認証の場合は動的 VLAN と固定 VLAN の混在は不可となりますので注意して下さい Copyright , ALAXALA Networks Corporation. All rights reserved. 149

150 RADIUS デッドインターバルタイマについて RADIUS サーバへの認証がタイムアウトした場合 2 台目以降に設定された RADIUS サーバへ切替え全て失敗した場合は認証エラーにしますまた強制認証が設定されている場合は認証を許可します再び 1 台目へ認証するためにはデッドインターバルタイマの初期値 10 分後に再び1 台目から認証するように動作します強制認証を使用しない場合は一度認証リトライタイムアウトが発生すると 10 分間認証に失敗してしまいますサーバ復旧時に即座に RADIUS サーバへの認証を再開したい場合は RADISU デッドインターバルタイマーを短く設定してくださいコマンド authentication RADIUS-server dead-interval <minutes> AX1200S/AX2200S/AX2500S は 0~1440 AX2400S AX3600S 1~1440 注 :AX2400S,AX3600S シリーズの IEEE802.1X 認証では強制認証機能および RADIUS デッドインターバルタイマは動作しませんので常に 1 台目から認証します 6.5. AX1240S 使用時の注意事項フィルタのコンフィグレーションについて AX1240S は AX1230S の機能を踏襲した上位シリーズですがコンフィグレーションコマンドでアクセスリストの入力形式は AX2400S/AX3600S シリーズと同じ入力形式に変更しています AX1230S の入力形式で設定した場合自動的に新入力形式に変換しますので AX1230S で使用していた構成定義を AX1240S にコピーして使用することができますなお AX1240S 用に変換された構成定義ファイルを AX1230S では使用できません例 AX1230S のフィルタコマンド permit udp src dst eq bootps AX1240S の新しい形式へ変換後 permit udp any any eq bootps Copyright , ALAXALA Networks Corporation. All rights reserved. 150

151 7. 運用コマンド本章では AX シリーズを用いた認証ネットワークの運用時に使用するコマンドについて解説します各コマンドの詳細情報は各装置の運用コマンドレファレンスを参照して下さい 7.1. AX1200S/AX2200S/AX2500S シリーズの運用コマンド認証状態表示コマンド (1) show dot1x detail IEEE802.1X 認証の認証状態表示コマンドです IEEE802.1X ポート単位認証におけるポートごとの状態情報の表示 (detail 表示 ) が確認できますまた端末毎に認証成功時間再認証成功回数などが確認できます # show dot1x detail Date 2008/09/17 18:50:03 JST System 802.1X : Enable AAA Authentication Dot1x : Enable Authorization Network : Disable Port 0/1 (Dynamic) AccessControl : Multiple-Auth PortControl : Auto Status : --- Last EAPOL : 0019.b97d.4bfa Supplicants : 1 / 1 / 64 ReAuthMode : Enable TxTimer : 30 ReAuthTimer : 600 ReAuthSuccess : 35 ReAuthFail : 3 SuppDetection : Disable Supplicants MAC F Status AuthState BackEndState ReAuthSuccess SessionTime(s) Date/Time 0019.b97d.4bfa Authorized Authenticated Idle /09/17 14:47:11 (*)7.1.1 章の表示例は AX1240S です AX2500S では認証済み端末にダイナミック ACL/QoS に使用する Class 情報リンクダウン時の認証解除抑止の設定などの情報追加された情報があります詳細は運用コマンドリファレンスを参照してください Copyright , ALAXALA Networks Corporation. All rights reserved. 151

152 (2) show web-authentication login select-option detail Web 認証の認証状態表示コマンドです認証モード単位 ( 動的 VLAN 固定 VLAN) で認証済みユーザの一覧が確認できますまたユーザ毎に認証端末の MAC アドレスログイン時間ログイン残時間などが確認できます # show web-authentication login select-option detail Date 2013/5/07 16:11:57 JST Dynamic VLAN mode total login counts(login/max): 1 / 3 Port roaming : Enable No User Name Port VLAN Login time Limit 1 web1000 0/ /05/07 16:02:35 07:50:37 - MAC address: a5.42b1 Static VLAN mode total login counts(login/max): 2 / 3 Port roaming : Enable No F User Name Port VLAN Login time Limit 1 web10 0/ /05/07 16:00:52 07:48:54 - MAC address: a5.429c - IP address : web200 0/ /05/07 16:03:05 07:51:08 - MAC address: 001b ffd - IP address : Copyright , ALAXALA Networks Corporation. All rights reserved. 152

153 (3) show mac-authentication login select-option detail MAC 認証の認証状態表示コマンドです認証モード単位 ( 動的 VLAN 固定 VLAN) で認証済み端末の一覧が確認できます認証中および認証保留中の端末の一覧も確認できますまた端末毎に認証成功時間認証残時間再認証残時間などが確認できます # show mac-authentication login select-option detail Date 2013/5/10 20:19:50 JST Dynamic VLAN mode total client counts(login/max): 1 / 250 Authenticating client counts : 1 Hold down client counts : 2 Port roaming : Enable No F MAC address Port VLAN Login time Limit Reauth a5.42b1 0/ /05/10 20:19:41 00:14: Authenticating client list MAC address Port Status 0012.e /33 Authenticating Hold down client list MAC address Port Status Remaining 00ee.f /35 Failed (refused) 00:00: e /33 Failed (refused) 00:00:59 Static VLAN mode total client counts(login/max): 1 / 1000 Authenticating client counts : 1 Hold down client counts : 1 Port roaming : Enable No F MAC address Port VLAN Login time Limit 1 * 001b ffd 0/ /05/10 20:19:41 00:14:51 Authenticating client list MAC address Port VLAN Status 0012.e d 0/ Authenticating Hold down client list MAC address Port VLAN Status Remaining 0012.e / Failed (refused) 00:00:59 (4) show RADIUS-server RADIUS サーバの状態表示コマンドです各 RADIUS サーバの情報と現在参照中のサーバが確認できます本コマンドは AX1230S シリーズではサポートしていません show RADIUS-server summary コマンドで確認してください Copyright , ALAXALA Networks Corporation. All rights reserved. 153

154 # show RADIUS-server Date 2010/01/13 20:27:07 UTC <common> [Authentication] IP address Port Timeout Retry Remain * [Accounting] IP address Port Timeout Retry Remain * ログ確認コマンド各認証方式毎に収集しているログを表示する場合に使用します (1) show dot1x logging IEEE802.1X 認証のログ表示コマンドです (2) show web-authentication logging Web 認証のログ表示コマンドです (3) show mac-authentication logging MAC 認証のログ表示コマンドです認証状態初期化コマンド認証中の端末およびユーザを強制的にログアウトさせる場合に使用します (1) clear dot1x auth-state IEEE802.1X 認証のクリアコマンドです IEEE802.1X 認証状態を初期化します (2) clear web-authentication auth-state Web 認証のクリアコマンドです認証済みユーザを強制ログアウトします (3) clear mac-authentication auth-state MAC 認証のクリアコマンドです認証済み端末を強制的に認証解除します注意 IEEE802.1X 認証のクリアコマンドを実行すると AX1200S は認証情報のみクリアします端末検出機能を停止している場合端末側から再認証を行う必要があります Copyright , ALAXALA Networks Corporation. All rights reserved. 154

155 7.2. AX2400S/AX3600S シリーズの運用コマンド認証状態表示コマンド (1) show dot1x detail IEEE802.1X 認証の認証状態表示コマンドです認証モード単位 ( ポート単位固定 VLAN 動的 VLAN) で認証済み端末の一覧が確認できますまた端末毎に認証成功時間再認証タイマなどが確認できます # show dot1x detail Date 2007/06/22 19:10:44 JST System 802.1X : Enable AAA Authentication Dot1x : Enable Authorization Network : Enable Accounting Dot1x : Disable ( ポート単位 ) Port 0/40 AccessControl : --- PortControl : Auto Status : Authorized Last EAPOL : Supplicants : 1 / 1 ReAuthMode : Enable TxTimer(s) : --- / 30 ReAuthTimer(s): 386 / 3600 ReAuthSuccess : 93 ReAuthFail : 0 KeepUnauth(s) : --- / 3600 Supplicants MAC Status AuthState BackEndState ReAuthSuccess SessionTime(s) Date/Time Authorized Authenticating Request /06/22 17:10: ( 固定 VLAN) VLAN 300 AccessControl : Multiple-Auth PortControl : Auto Status : --- Last EAPOL : 0017.a4ce.27b4 Supplicants : 2 / 2 / 256 ReAuthMode : Enable TxTimer(s) : 4 / 30 ReAuthTimer(s): 3334 / 3600 ReAuthSuccess : 41 ReAuthFail : 0 SuppDetection : Shortcut Port(s): 0/1-16,41-48 Force-Authorized Port(s): 0/1-16 Supplicants MAC Status AuthState BackEndState ReAuthSuccess SessionTime(s) Date/Time [Port 0/44] 0017.a4ce.27b4 Authorized Authenticated Idle /06/22 19:06: Authorized Authenticated Idle /06/22 19:06: ( 動的 VLAN) VLAN(Dynamic) AccessControl : Multiple-Auth PortControl : Auto Status : --- Last EAPOL : 0012.e238.8c99 Supplicants : 1 / 1 / 256 ReAuthMode : Enable TxTimer(s) : 11 / 30 ReAuthTimer(s): 3401 / 3600 Copyright , ALAXALA Networks Corporation. All rights reserved. 155

156 ReAuthSuccess : 5 ReAuthFail : 0 SuppDetection : Shortcut VLAN(s): 100,200 Supplicants MAC Status AuthState BackEndState ReAuthSuccess SessionTime(s) Date/Time [VLAN 100] VLAN(Dynamic) Supplicants : Authorized Authenticated Idle /06/22 19:07:20 (2) show web-authentication login Web 認証の認証状態表示コマンドです認証済みユーザの一覧が確認できますまたユーザ毎に認証端末の MAC アドレスログイン時間ログアウトまでの残り時間などが確認できます認証モードが動的 VLAN モードの場合 # show web-authentication login Date 2007/11/15 10:52:49 UTC Total user counts:2 username VLAN MAC address Login time Limit time e2e /11/15 09:58:04 UTC 00:10:20 USER e /11/15 10:10:23 UTC 00:20:35 認証モードが固定 VLAN モードの場合 # show web-authentication login Date 2007/11/15 10:52:49 UTC Total user counts:2 username VLAN MAC address Port IP address Login time Limit time e2e / /11/15 09:58:04 UTC 00:10:20 USER e / /11/15 10:10:23 UTC 00:20:35 Copyright , ALAXALA Networks Corporation. All rights reserved. 156

157 (3) show mac-authentication login MAC 認証の認証状態表示コマンドです認証済み端末の一覧が確認できますまた端末毎に MAC アドレスログイン時間ログアウトまでの残り時間などが確認できます # show mac-authentication login Date 2007/12/01 10:52:49 UTC Total client counts:2 MAC address port VLAN Login time Limit time 0012.e / /12/01 09:58:04 UTC 00:10: e / /12/01 10:10:23 UTC 00:20:35 Copyright , ALAXALA Networks Corporation. All rights reserved. 157

158 ログ確認コマンド各認証方式毎に収集しているログを表示する場合に使用します (1) show dot1x logging IEEE802.1X 認証のログ表示コマンドです (2) show web-authentication logging Web 認証のログ表示コマンドです (3) show mac-authentication logging MAC 認証のログ表示コマンドです認証状態初期化コマンド認証中の端末およびユーザを強制的にログアウトさせる場合に使用します (1) clear dot1x auth-state IEEE802.1X 認証のクリアコマンドです IEEE802.1X 認証状態を初期化します (2) clear web-authentication auth-state Web 認証のクリアコマンドです認証済みユーザを強制ログアウトします (3) clear mac-authentication auth-state MAC 認証のクリアコマンドです認証済み端末を強制的に認証解除します注意 IEEE802.1X 認証のクリアコマンドを実行すると認証情報をクリアと同時に端末に対して EAP-Failure を発行し EAP-Request を送信しますサプリカントによっては EAP-Failure 受信と同時に認証動作を停止する場合があります Copyright , ALAXALA Networks Corporation. All rights reserved. 158

159 付録 A. コンフィグレーション本ガイドにて紹介した構成のコンフィグレーション例です 3.2 章固定 VLAN モードと 3.3 章動的 VLAN モードのネットワーク構成における各装置のコンフィグレーションをテキスト形式のファイルとして本ガイドに添付しております ( 添付ファイルを抽出するには Adobe Acrobat 5.0 以降もしくは Adobe Reader 6.0 以降が必要です ) 各コンフィグレーションについては以下に示すファイル名と同じ名前の添付ファイルを参照下さい構築例対象機器装置名対象ファイル認証スイッチ edge#1(ax1230s) A1_edge1_1230S_config.txt edge#1(ax1240s) A1_edge1_1240S_config.txt dist#1(ax2430s) A1_dist1_config.txt 固定 dist#2(ax2530s) A1_dist2_config.txt VLAN L3 スイッチ core#1(ax3630s) A1_core1_config.txt L3 スイッチ core#2(ax3630s) A1_core2_config.txt L3 スイッチ core#3(ax3630s) A1_core3_config.txt 認証スイッチ edge#1(ax1230s) A2_edge1_1230S_config.txt edge#1(ax1240s) A2_edge1_1240S_config.txt 動的 VLAN dist#1(ax2430s) A2_dist1_config.txt dist#2(ax2530s) A2_dist2_config.txt L3 スイッチ core#1(ax3630s) A2_core1_config.txt L3 スイッチ core#2(ax3630s) A2_core2_config.txt L3 スイッチ core#3(ax3630s) A2_core3_config.txt 付録 B. 外部 Web サーバ入替えファイル 5.1 章で紹介した外部 Web サーバへジャンプさせるための入替え用ファイルですファイルを保存して??? 部分を外部 Web サーバの認証画面の URL に書換えてください目的外部 Web サーバ認証用ファイル名 login.html Copyright , ALAXALA Networks Corporation. All rights reserved. 159

160 2013 年 6 月 28 日第 12 版発行資料 No. NTS-07-R-015 アラクサラネットワークス株式会社ネットワークテクニカルサポート川崎市幸区鹿島田 1 丁目 1 番 2 号新川崎三井ビル西棟

すべて見る

認証ソリューションガイド

1 AX シリーズ認証ソリューションガイド第 12 版資料 No. NTS-07-R-015 アラクサラネットワークス株式会社はじめに本ガイドは AX シリーズ (AX1200S/AX2200S/AX2400S /AX2500S/ AX3600S/AX3800S) でサポートしているネットワーク認証機能を用いてシステム構築のための技術情報をシステムエンジニアの方へ提供しセキュリティの高いシステムの構築と安定稼動を目的として書かれています