Microsoft NAP 主な目的 検疫ネットワークを構築したい 802.1X ユーザー認証をシングルサインオンで行ないたい 概要 Microsoft NAP はActive Directory 環境下での利用を前提としています しかし Active Directory のドメイン認証と IEEE 802.1X 認証 ( および NAP の検疫 ) は同期していません したがって 802.1X 認証の前にドメイン認証が行なわれた場合 ポートが開いていないためにドメイン認証に失敗するという問題があります また 新しいコンピュータをドメインネットワークに参加させる場合にはまずドメイン認証が必要となるため あらかじめポートを開放する必要があります この問題は L3 モードエンハンストゲスト VLAN とシングルサインオン機能を用いることで解消することが出来ます L3 モードエンハンストゲスト VLAN を使用すると これまでのように Web 認証の使用や 一時的に 802.1X 認証機能を無効にする といった設定変更を行う必要無くドメインネットワークへの参加が可能になります またシングルサインオン機能を利用することにより ユーザーログオンの直前に 802.1X 認証を行うことが可能になり ポートが開いていないためにドメイン認証に失敗するという問題が解消されます 1
構築のポイント VLAN 200 VLAN 250 Mediation Server Windows Server 2008 ( Active Directory Domain Controller & Active Directory Certificate Service & Network Policy Server & DNS Server & DHCP Server ) 802.1X DHCP Relay Multiple Dynamic VLAN L3 VLAN L3 VLAN Web 802.1X 1.0.13 1.0.1 1.0.23 1.0.24 1192-x600 L3 VLAN ACL Guest VLAN Windows Server 2008 Quarantine VLAN Business VLAN ACL VLAN 100 Syslog NTP 1.0.1 GS916M VLAN 210 VLAN 200 VLAN210 802.1X OK VLAN200 VLAN 10 VLAN 20 802.1X OK VLAN10 VLAN20 VLAN10 : Business VLAN ( VLAN : ) VLAN20 : Business VLAN ( VLAN : ) VLAN100 : Business VLAN ( VLAN : ) VLAN200 : Quarantine VLAN ( VLAN) VLAN210 : Guest-vlan ( VLAN) VLAN250 : Management VLAN ( VLAN) 2
x600-48ts 設定サンプルその 1 x600 を Authenticator とする場合のコンフィグです CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります Syslog タイムゾーン設定を行います タイムゾーンは NTP を使用して時刻を自動的に調整するために必要なパラメータです RADIUS Server の設定と 802.1X 認証を使用する設定を行います hostname 1192-x600 log host 192.168.100.254 log host 192.168.100.100 level debugging clock timezone JST plus 9:00 radius-server host 192.168.250.254 key atkk aaa authentication dot1x default group radius 初期値では RSTP が有効です 本構成例では RSTP は使用しませんので 無効にする設定を行います no service dhcp-server spanning-tree mode rstp no spanning-tree rstp enable サプリカントからのトラフィックを制御するためのアクセスリストを作成します ここでは ゲスト LAN 用と Quarantine VLAN( 検疫 VLAN) 用のアクセスリストの設定を行います ゲスト VLAN 用アクセスリスト 3010 番と 3110 番で ゲスト VLAN 内からは Windows Server 2008 宛の通信のみ許可するように設定します 検疫 VLAN 用アクセスリスト 3020 番と 3021 番 および 3120 番で 検疫 VLAN 内からは検疫 VLAN 内と Windows Server 2008 宛のみ許可するように設定します * L3 モードエンハンストゲスト VLAN は 通常のゲスト VLAN と異なり アクセスリストによるトラフィックの制御が必要です access-list 3000 permit udp any eq 68 any eq 67 access-list 3010 permit ip 192.168.210.0/24 192.168.250.254/32 access-list 3020 permit ip 192.168.200.0/24 192.168.200.0/24 access-list 3021 permit ip 192.168.200.0/24 192.168.250.254/32 access-list 3110 deny ip 192.168.210.0/24 any access-list 3120 deny ip 192.168.200.0/24 any switch 1 provision x600-48 vlan database vlan 10,20,100,200,210,250 state enable 3
x600-48ts 設定サンプルその 2 作成したアクセスリストのスイッチポートへの適用設定を行います アクセスリストは作成後 スイッチポートへ適用する必要があります 802.1X 認証関連の設定を行います L3 モードエンハンストゲスト VLAN を使用する際は auth guest-vlan コマンドで routing パラメーターを指定します また 802.1X 方式の NAP を使用するためには Dynamic VLAN の設定が必要です 本構成ではホストモードを Multi- Supplicant としているため Multiple Dynamic VLAN を使用します Mediation Server( 修復サーバ ) を接続するインターフェースの設定を行います Windows Server 2008(Active Directory Domain Controller) を接続するインターフェースの設定を行います Syslog NTP サーバを接続するインターフェースの設定を行います interface port1.0.1 access-group 3000 access-group 3010 access-group 3110 access-group 3020 access-group 3021 access-group 3120 dot1x port-control auto dot1x control-direction in auth reauthentication auth host-mode multi-supplicant auth guest-vlan 210 routing auth dynamic-vlan-creation type multi interface port1.0.2-1.0.12 interface port1.0.13 access vlan 200 interface port1.0.14-1.0.22 interface port1.0.23 access vlan 250 interface port1.0.24 access vlan 100 interface port1.0.25-1.0.48 4
x600-48ts 設定サンプルその 3 各 VLAN インターフェースにおいて DHCP パケットをリレーする設定を行います VLAN100 には Syslog NTP サーバが VLAN250 は Active Directory Domain Controller が接続します これらの各サーバには IP アドレスが静的に設定されているため DHCP による IP アドレスの供給を必要としません よって VLAN100 と VLAN250 には DHCP リレーの設定は必要ありません NTP サーバーの IP アドレス指定し 自動的に時刻が補正されるように設定を行います interface vlan10 ip address 192.168.10.20/24 interface vlan20 ip address 192.168.20.20/24 interface vlan100 ip address 192.168.100.10/24 interface vlan200 ip address 192.168.200.20/24 interface vlan210 ip address 192.168.210.20/24 interface vlan250 ip address 192.168.250.10/24 ntp server 192.168.100.254 line con 0 exec-timeout 0 0 length 0 line vty 0 4 end 5
GS916M 設定サンプルその 1 CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります SYSTEM configuration set system name=1192-gs916m EAP 透過機能を有効に設定します デフォルトでは EAP 透過機能は無効です 本環境においては EAP 透過機能の設定以外は特に必要ではありません SWITCH configuration enable switch eapforwarding 6
0120-860442 http://www.allied-telesis.co.jp/ info@allied-telesis.co.jp support@allied-telesis.co.jp www.allied-telesis.co.jp