検疫ソリューションガイド(QuOLA＠adapter編)

AX シリーズ 検 疫 ソリューションガイド (QuOLA@Adapter 編 ) 初 版 Copyright 2008, ALAXALA Networks Corporation. All rights reserved.

はじめに 本 ガイドは 日 立 電 線 ネットワークス 株 式 会 社 製 の QuOLA@Adapter と AX シリーズ(AX1230S / AX2430S / AX3630S / AX3640S)でサポートしている 認 証 機 能 を 用 いた 検 疫 ネットワークシステム 構 築 のための 技 術 情 報 をシステムエンジニアの 方 へ 提 供 し 安 全 安 心 な 検 疫 システムの 構 築 と 安 定 稼 動 を 目 的 として 書 かれています 関 連 資 料 AX シリーズ 認 証 ソリューションガイド AXシリーズ 製 品 マニュアル(http://www.alaxala.com/jp/support/manual/index.html) QuOLA@Adapter マニュアル 本 ガイド 使 用 上 の 注 意 事 項 本 ガイドに 記 載 の 内 容 は 弊 社 が 特 定 の 環 境 において 基 本 動 作 や 接 続 動 作 を 確 認 したものであり すべての 環 境 で 機 能 性 能 信 頼 性 を 保 証 するものではありません 弊 社 製 品 を 用 いたシステム 構 築 の 一 助 としていただくためのものとご 理 解 いただけますようお 願 いいたします Windows 製 品 に 関 する 詳 細 はマイクロソフト 株 式 会 社 のドキュメント 等 を 参 照 下 さい 本 ガイド 作 成 時 の OS ソフトウェアバージョンは 以 下 のようになっております AX1230S Ver1.3.F AX2430S / AX3630S / AX3640S Ver10.7.B 本 ガイドの 内 容 は 改 良 のため 予 告 なく 変 更 する 場 合 があります 輸 出 時 の 注 意 本 ガイドを 輸 出 される 場 合 には 外 国 為 替 および 外 国 貿 易 法 ならびに 米 国 の 輸 出 管 理 関 連 法 規 などの 規 制 をご 確 認 の 上 必 要 な 手 続 きをお 取 り 下 さい 商 標 一 覧 QuOLA@Adapterは 日 立 電 線 ネットワークス 株 式 会 社 の 登 録 商 標 です アラクサラの 名 称 およびロゴマークは アラクサラネットワークス 株 式 会 社 の 商 標 および 商 標 登 録 です Ethernetは 米 国 Xerox Corp.の 商 品 名 称 です イーサネットは 富 士 ゼロックス( 株 )の 商 品 名 称 です Microsoftは 米 国 およびその 他 の 国 における 米 国 Microsoft Corp.の 登 録 商 標 です Windowsは 米 国 およびその 他 の 国 における 米 国 Microsoft Corp. の 登 録 商 標 です そのほかの 記 載 の 会 社 名 製 品 名 は それぞれの 会 社 の 商 標 もしくは 登 録 商 標 です Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 2

使 用 機 器 一 覧 QuOLA@Adapter (Ver 1.05) AX1230S (Ver1.3.F) AX2430S (Ver10.7.B) AX3630S (Ver10.7.B) Windows XP (SP2) Windows Vista (SP1) Windows Server 2008 Standard Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 3

目 次 1. QuOLA@Adapter 検 疫 概 要...5 1.1. QuOLA@Adapter 検 疫 について...5 1.1.1. QuOLA@Adapterの 特 徴...5 1.1.2. 検 疫 動 作 概 要...5 1.1.3. QuOLA@Adapterのサポート 機 能...6 1.2. QuOLA@AdapterとAXの 連 携...7 1.2.1. QuOLA@AdapterとAXスイッチによる 検 疫 ソリューションの 特 徴...7 1.2.2. QuOLA@AdapterとAXスイッチの 検 疫 動 作 概 要...8 2. QuOLA@Adapter とAXシリーズの 連 携 機 能 と 収 容 条 件...9 3. 検 疫 ネットワークの 構 築...10 3.1. 概 要...10 3.2. 認 証 ネットワーク 構 成 図...12 3.3. 構 築 ポイント...13 3.4. AXの 設 定...15 3.4.1. AX1230Sのコンフィグレーション...15 3.4.2. AX2430Sのコンフィグレーション...17 3.4.3. AX3630Sのコンフィグレーション...19 3.5. 認 証 画 面 入 替 え...21 3.6. QuOLA@Adapterの 設 定...22 3.6.1. QuOLA@Adapterへのログイン...22 3.6.2. 認 証 スイッチの 設 定...22 3.6.3. 検 疫 項 目 の 設 定...25 4. ユーザの 検 疫 実 施 方 法...26 5. 注 意 事 項...29 5.1. 検 疫 除 外 端 末...29 5.2. ログアウトに 関 する 注 意 事 項...29 5.2.1. 固 定 VLANモードのWeb 認 証 のログアウト 条 件...29 5.2.2. 動 的 VLANモードのWeb 認 証 のログアウト 条 件...30 付 録 A. A.1. A.2. A.3. コンフィグレーション...31 AX3630Sのコンフィグレーション...31 AX2430Sのコンフィグレーション...31 AX1230Sのコンフィグレーション...31 Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 4

1. QuOLA@Adapter 検 疫 概 要 1.1. QuOLA@Adapter 検 疫 について 1.1.1. QuOLA@Adapter の 特 徴 検 疫 に 特 化 した 専 用 アプライアンス 化 で 導 入 が 容 易 Windowsセキュリティパッチリスト 自 動 配 布 サービスで 運 用 が 簡 単 クライアントPCに 事 前 の 検 疫 エージェント( 検 疫 ソフト)のインストール 不 要 1.1.2. 検 疫 動 作 概 要 INTERNET アカウント 管 理 RADIUS サーバ 検 疫 サーバ QuOLA@Adapter LAN 2ユーザ 認 証 3 通 信 可 能 1セキュリティチェック 認 証 スイッチ 図 1.1-1 検 疫 システム 概 要 QuOLA@Adapterは 検 疫 を 行 うアプライアンスサーバであり 図 1.1-1で 示 すように 認 証 スイッチと 連 携 する 事 で クライアントPCにソフトウエアインストール 不 要 で 検 疫 ネットワークを 構 築 する 事 ができます 検 疫 ~ 通 信 の 一 連 の 流 れを 以 下 にしめします 1 セキュリティチェックはQuOLA@Adapterから 検 疫 ソフトをダウンロードして 実 行 2 検 疫 成 功 後 ユーザIDとパスワードを 入 力 しユーザ 認 証 を 実 施 3 通 信 可 能 となります 検 疫 ソフトは 検 疫 サーバからダウンロード 時 に 保 存 することで 次 回 以 降 はQuOLA@Adapter へのWebアクセスを 省 略 できます また PCのスタートアップからの 実 行 する 事 ができます 検 疫 ソフトをWindows ドメイン 環 境 を 利 用 し ログオンスクリプトに 登 録 することでWindows ログオン 時 に 自 動 的 に 検 疫 する 事 も 可 能 です Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 5

1.1.3. QuOLA@Adapter のサポート 機 能 表 1.1-1 検 疫 機 能 機 能 名 Windows セキュリティパッチチェック ウイルス 対 策 ソフトチェック Windows Firewall チェック 資 産 管 理 台 帳 チェック 禁 止 ソフトチェック 機 能 詳 細 Windows セキュリティパッチが 適 用 されているかチェックする 機 能 ウイルス 対 策 ソフトがインストールされているかチェックする 機 能 パターンファイル 番 号 がセキュリティポリシー 以 上 かチェックする 機 能 < 対 応 アンチウイルスソフトベンダ> TrendMicro Symantec McAfee F-Secure 10 世 代 まで 遡 って 猶 予 期 間 を 設 定 可 能 Windows Firewall が 稼 動 しているかチェックする 機 能 * 他 ベンダー 製 は 対 象 外 端 末 が 資 産 管 理 台 帳 登 録 されているかチェックする 機 能 (IP アドレス MAC アドレス コンピュータ 名 ) 端 末 に 禁 止 ソフトがインストールされていないかチェックする 機 能 表 1.1-2 運 用 サポート 機 能 機 能 名 アンチウイルスソフトパターン 番 号 自 動 更 新 機 能 Windows セキュリティパッチリスト 自 動 取 得 機 能 機 能 詳 細 アンチウイルスソフトベンダから 最 新 パターンファイル 番 号 の 情 報 を 自 動 取 得 する 機 能 Ver2.0 より 日 立 電 線 ネットワーク( 株 )データセンタより 配 信 に 変 更 *) 無 償 日 立 電 線 ネットワーク( 株 )データセンタより Windows パッチ 情 報 を 取 得 する 機 能 *) 別 途 パッチリスト 自 動 配 布 契 約 ( 有 償 )を 締 結 する 必 要 があり ます 表 1.1-3 対 応 クライアント 環 境 項 目 機 能 詳 細 検 疫 可 能 クライアント OS Windwos2000 Professional SP4 以 降 Windwos XP Home Editon SP2 以 降 Windows XP Professional SP2 以 降 Windows Vista Home Basic Windows Vista Home Premium Windows Vista Business Windows Vista Ultimate Windows Vista Enterprise Web ブラウザ Internet Explorer6 (Windows 2000, XP) Internet Explorer7 (Windows XP, Vista) *) 検 疫 可 能 クライアントOSの 情 報 はVer2.0の 情 報 となります Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 6

1.2. QuOLA@Adapter と AX の 連 携 1.2.1. QuOLA@Adapter と AX スイッチによる 検 疫 ソリューションの 特 徴 (1) クライアント PC を 自 動 的 に 検 疫 実 行 画 面 に 誘 導 初 めてブラウザをアクセスした 時 に AX スイッチの URL リダイレクト 機 能 で 自 動 的 に 検 疫 サーバの 検 疫 実 行 画 面 ( 検 疫 ソフトダウンロード 画 面 )へ 誘 導 します (2) PC の 検 疫 とユーザ 認 証 ができる 検 疫 成 功 後 にユーザ ID とパスワードを 入 力 することで 検 疫 とユーザ 認 証 ができます または ユーザ 認 証 を 行 なわず 検 疫 可 否 のみでアクセス 制 御 する 事 も 可 能 です (ユーザ 認 証 方 式 の 選 択 ) (3) AX スイッチの Web 認 証 導 入 済 みユーザに 導 入 が 容 易 AX の Web 認 証 と 連 携 する 場 合 に 使 用 する RADIUS サーバ( 認 証 サーバ)は スイッチ 内 蔵 Web 認 証 データベースを 含 め AX の Web 認 証 と 連 携 可 能 であれば 使 用 可 能 です RADIUS サーバを 選 ばないため QuOLA@Adapter を AX の Web 認 証 システムに 増 設 するだ けで 簡 単 に 既 存 の Web 認 証 システムへの 検 疫 システムの 導 入 が 可 能 です Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 7

1.2.2. QuOLA@Adapter と AX スイッチの 検 疫 動 作 概 要 QuOLA@Adapter と AX スイッチの Web 認 証 機 能 を 連 携 することで 簡 単 に 検 疫 システムが 構 築 で きます AXスイッチには 認 証 前 ユーザが 検 疫 修 復 するために 検 疫 サーバと 修 復 サーバへの 認 証 前 アクセス リストと ユーザに 事 前 設 定 無 しでQuOLA@Adapter 検 疫 画 面 に 誘 導 するためにAXスイッチの 認 証 画 面 入 替 えおよびURLリダイレクトを 設 定 します ( 詳 細 は 3 章 を 参 照 ) 検 疫 前 のユーザは Web ブラウザ 使 用 時 に AX の URL リダイレクト 機 能 で QuOLA@Adapter の 検 疫 ソ フトのダウンロード 画 面 へ 自 動 的 に 誘 導 され 検 疫 ソフトをダウンロードし 実 行 する 事 で 検 疫 します 検 疫 成 功 後 ユーザ ID およびパスワードを 入 力 すると 検 疫 ソフトは AX へ 認 証 処 理 を 開 始 します 連 携 のシーケンスを 以 下 に 示 します Web 認 証 の 設 定 認 証 前 アクセスリスト 追 加 Web 認 証 画 面 入 替 URL リダイレクト 設 定 AX スイッチ QuOLA@Adapter Web アクセス URL リダイレクト 検 疫 画 面 表 示 検 疫 ソフト 起 動 ユーザ ID 入 力 検 疫 実 行 検 疫 ソフトのダウンロード 検 疫 ポリシー 読 み 込 み 資 産 管 理 情 報 などの 検 疫 を 実 施 結 果 通 知 ユーザ 認 証 実 行 検 疫 済 み 端 末 の 通 信 許 可 *)ユーザの 検 疫 ソフトのダウンロードは 初 回 のみで 次 回 より 省 略 可 能 図 1.2-1 QuOLA@Adapter と AX の 検 疫 連 携 のしくみ Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 8

2. QuOLA@Adapter と AX シリーズの 連 携 機 能 と 収 容 条 件 QuOLA@Adapter と AX シリーズで 連 携 可 能 な 認 証 方 式 と 収 容 条 件 を 示 します 本 ガイドで 解 説 している 方 式 を 赤 文 字 で 示 しています 表 2-1 連 携 可 能 なスイッチと 認 証 方 式 認 証 方 式 認 証 モード AX1200S AX2400S AX6300S AX3600S AX6700S IEEE802.1X 固 定 VLAN 認 証 動 的 VLAN MAC 認 証 固 定 VLAN 動 的 VLAN Web 認 証 固 定 VLAN 動 的 VLAN 表 2-2 認 証 方 式 毎 の 最 大 認 証 端 末 数 認 証 方 式 認 証 モード AX1200S AX2400S AX3600S Web 認 証 固 定 VLAN 1024/ 装 置 1024/ 装 置 動 的 VLAN 256/ 装 置 256/ 装 置 (*1) (*1) AX3640Sでは 1024/ 装 置 となります Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 9

3. 検 疫 ネットワークの 構 築 本 章 では QuOLA@Adapter 検 疫 サーバと AX シリーズを 用 いた 検 疫 ネットワークの 構 築 例 を 示 しま す QuOLA@Adapter 検 疫 と 連 携 可 能 な 認 証 方 式 は Web 認 証 方 式 で 本 例 では 固 定 VLAN モードとの 連 携 の 例 を 解 説 します 3.1. 概 要 検 疫 ネットワークの 基 本 的 な 構 成 を 以 下 のように 定 義 します コアスイッチ AX3630S エッジスイッチ QuOLA@Adapter AX2430S AX1230S 修 復 サーバ(WSUS 等 ) 業 務 サーバ DNSサーバ DHCPサーバ RADIUSサーバ クライアント 端 末 図 3.1-1 検 疫 ネットワークの 基 本 構 成 コアスイッチには AX3630S を 配 置 します QuOLA@Adapter および DNS サーバ RADIUS サーバ 検 疫 によりネットワークアクセスが 制 限 された 端 末 を 治 療 する 修 復 サーバ および 検 疫 後 にアクセス 可 能 な 業 務 サーバを コアスイッチ 配 下 に 接 続 します エッジスイッチには AX1230S,AX2430S を 配 置 し 検 疫 を 行 う 端 末 をエッジスイッチに 直 接 またはハ ブを 介 して 接 続 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 10

本 ガイドで 使 用 したサーバとクライアント 端 末 を 以 下 に 示 します 表 3.1-1 サーバとクライアント 一 覧 サーバ 端 末 など 詳 細 アクセス 制 御 など IP アドレス 検 疫 サーバ QuOLA@Adapter 検 疫 サーバのため 常 に 通 信 許 可 とします 192.168.1.102 RADIUS サーバ AX スイッチと 接 続 可 能 な RADIUS サーバ 192.168.1.10 であれば 連 携 可 能 DNS サーバ 名 前 解 決 するため DNS の 通 信 を 許 可 しま 192.168.1.11 す DHCP サーバ DHCP で IP アドレス 配 布 を 行 います 192.168.1.12 修 復 サーバ ウイルス 対 策 ソフト 等 のダウンロード 用 サ 192.168.1.103 ーバであり 常 に 通 信 可 能 とします 業 務 サーバ ファイル 共 有 サーバ 等 192.168.200.1 クライアント 端 末 Windows XP Windows Vista DHCP Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 11

3.2. 認 証 ネットワーク 構 成 図 基 本 的 な 検 疫 ネットワーク 構 成 例 を 以 下 に 示 します core#1 172.16.0.1 VLAN10,20,1000 0/1~0/2 VLAN 100 0/3~0/6 AX3630S VLAN 200 0/7 Web 認 証 用 IP アドレス 10.10.10.1 1.1.1.1 0 QuOLA@ Adapter 修 復 サーバ DNS/ DHCP サーバ RADIUS サーバ 業 務 サーバ 0/48 VLAN10,1000 edge#1 0/25 VLAN20,1000 edge#2 172.16.0.2 AX2430S VLAN10 0/1~0/20 172.16.0.3 AX1230S VLAN20 0/1~0/20 HUB HUB IEEE802.1Qリンク 検 疫 除 外 プリンタ MAC アドレス:0011.0022.0033 クライアント 端 末 図 3.2-1 検 疫 ネットワーク 構 成 図 各 VLAN の 定 義 および 端 末 とサーバ 間 通 信 の 可 否 を 以 下 の 表 に 示 します 表 3.2-1 VLAN の 定 義 VLAN 名 VLAN ネットワーク ID IP アドレス 用 途 ネットワーク 管 理 サーバ 用 VLAN (ネットワーク 管 理 ) 100 192.168.1.0/24 ネットワーク 管 理 用 のサーバと して 検 疫 サーバ 等 を 配 置 する VLAN 業 務 用 サーバ VLAN 200 192.168.200.0/24 業 務 用 のサーバを 配 置 する VLAN ユーザが 所 属 する VLAN1(AX2430S) 10 192.168.10.0/24 AX2430S 配 下 の 端 末 が 所 属 する VLAN ユーザが 所 属 する VLAN2(AX1230S) 20 192.168.20.0/24 AX1230S 配 下 の 端 末 が 所 属 する VLAN 管 理 用 VLAN 1000 172.16.0.0/24 各 装 置 を 管 理 するための VLAN Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 12

表 3.2-2 端 末 -サーバ 間 通 信 の 可 否 業 務 サーバ DNS サーバ 修 復 サーバ 検 疫 サーバ 検 疫 成 功 検 疫 失 敗 3.3. 構 築 ポイント QuOLA@Adapter 検 疫 と AX の Web 認 証 方 式 ( 固 定 VLAN モード)との 連 携 において 構 築 のポイ ントを 以 下 に 示 します (1) Web 認 証 用 の 画 面 を 入 れ 替 える AX スイッチの Web 認 証 画 面 (login.html)ファイルを 入 れ 替 え 直 接 クライアント 端 末 から スイッチへの Web 認 証 操 作 をできないようにします スイッチへの 認 証 は QuOLA@Adapter の 検 疫 ソフトが 検 疫 チェックで 成 功 した 場 合 に 自 動 的 に 実 行 されユーザは 意 識 しません 画 面 入 れ 替 えに 関 しては ( 画 面 入 替 え 詳 細 は3.5 章 参 照 ) (2) URL リダイレクト 機 能 を 有 効 にする (1)で 示 す 画 面 入 れ 替 えと URL リダイレクト 機 能 を 併 用 する 事 で 検 疫 前 のクライアントが http アクセスを 実 行 した 場 合 自 動 的 に 下 記 に 示 す QuOLA@Adapter の 検 疫 ソフトのダウンロ ード 画 面 へジャンプするようにします デフォルトの https モードでは 証 明 書 エラーが 出 ますので リダイレクトモードを http に 変 更 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 13

(3) Web 認 証 用 ポートにフィルタを 設 定 する ポートに Web 認 証 の 設 定 を 行 うと そのポートでは 認 証 前 のすべての 通 信 を 遮 断 します 認 証 ( 検 疫 ) 前 に 通 信 を 行 いたい 場 合 は アクセスリストを 作 成 してポートに 適 用 する 必 要 があり ます また ARP リレーの 設 定 も 必 要 です 本 ガイドでは 次 のアクセスリストを 作 成 して Web 認 証 ポートに 適 用 しています (a) DHCP 通 信 を 許 可 する (b) DNS サーバ 192.168.1.11 への DNS 通 信 を 許 可 する (c) 検 疫 サーバ(QuOLA@Adapter) 192.168.1.102 への 通 信 を 許 可 する (d) 修 復 サーバ 192.168.1.103 への 通 信 を 許 可 する (4) Web 認 証 専 用 IP アドレスを 設 定 する Web 認 証 用 の IP アドレスを 設 定 します この IP アドレスは 同 一 の 検 疫 サーバ (QuOLA@Adapter) 配 下 で 動 作 する AX 全 認 証 スイッチで 共 通 の IP アドレスを 設 定 して 下 さ い この 例 では 1.1.1.1 としています また クライアント 用 VLAN のインタフェース IP アドレス 設 定 が 必 要 です この 例 では クラ イアント 用 VLAN の IP アドレスをそれぞれ 以 下 のように 設 定 しています VLAN10:192.168.10.3 (AX2430S) VLAN20:192.168.20.3 (AX1230S) (5) 検 疫 未 対 応 端 末 への 対 応 QuOLA@Adapter で 検 疫 できない 端 末 例 えばプリンタや Linux 端 末 等 を 接 続 する 場 合 は MAC 認 証 を 設 定 するかスイッチに 端 末 の MAC アドレスを 登 録 してください (6) デフォルトルートを 設 定 する 認 証 スイッチが RADIUS サーバ 等 と 通 信 できるようにするためにデフォルトルートを 設 定 しま す (7) RADIUS サーバを 設 定 する 認 証 スイッチが 使 用 する RADIUS サーバを 設 定 します 複 数 指 定 で RADIUS サーバを 冗 長 化 す る 事 も 可 能 です 複 数 指 定 した 場 合 は 設 定 順 に 優 先 されます QuOLA@Adapter の 検 疫 との 連 動 では 内 蔵 データベースでも 可 能 ですが 本 例 では RADIUS を 用 います (8) 最 大 接 続 時 間 を 設 定 する Web 認 証 の 最 大 接 続 時 間 はデフォルト 1 時 間 となっていますので 通 信 中 であっても 最 大 接 続 時 間 経 過 後 に 認 証 が 解 除 されてしまいますので 変 更 が 必 要 です 少 なくともユーザに 1 日 1 回 は 検 疫 を 実 行 するポリシーとするため 最 大 接 続 時 間 を 1 日 (1440 分 )に 変 更 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 14

3.4. AX の 設 定 3.4.1. AX1230S のコンフィグレーション AX1230S の 設 定 例 を 示 します (1) 事 前 設 定 AX1230S の 設 定 システムファンクションリソース 配 分 の 設 定 (config)# system function filter extended-authentication フィルタ 機 能 と 固 定 VLAN モードを 使 用 する ため システムファンクションリソース 配 分 を 変 更 します 設 定 後 は 装 置 の 再 起 動 が 必 要 です (2) 基 本 設 定 AX1230S の 設 定 ポート VLAN の 設 定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 20,1000 (config-vlan)# state active スパニングツリーの 設 定 (config)# spanning-tree disable 物 理 ポートの 設 定 クライアント 側 (config)# interface range fastethernet 0/1-20 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 20 上 位 スイッチとの 通 信 用 (config)# interface gigabitethernet 0/25 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 20,1000 インタフェースの 設 定 (config)# interface vlan 20 (config-if)# ip address 192.168.20.3 255.255.255.0 (config)# interface vlan 1000 (config-if)# ip address 172.16.0.3 255.255.255.0 デフォルトルートの 設 定 (config)# ip route 0.0.0.0 0.0.0.0 172.16.0.1 RADIUS サーバの 設 定 (config)# radius-server host 192.168.1.10 key alaxala VLAN1 は 使 用 しないため 無 効 にします クライアント 用 VLAN として VLAN20 を 管 理 用 VLAN として VLAN1000 を 作 成 します スパニングツリーを 無 効 にします ポート 0/1~0/20 を アクセスポートとして 設 定 します アクセスポートに VLAN20 を 設 定 します ポート 0/25 を 上 位 スイッチと 通 信 するトラ ンクポートとして 設 定 します トランクポートに VLAN20 および 1000 を 設 定 します VLAN20 および 1000 にインタフェース IP ア ドレスを 設 定 します 検 疫 用 VLAN と 通 信 を 行 うため デフォルト ルートを 設 定 します 構 築 ポイント(6) RADIUS サーバの IP アドレスおよびキーを 設 定 します この 例 ではキーを alaxala とし ています Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 15

(3) Web 認 証 の 設 定 AX1230S の 設 定 Web 認 証 用 アクセスリストの 設 定 (config)# ip access-list extended web-auth (config-ext-nacl)#permit udp src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 eq bootps (config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 192.168.1.11 0.0.0.0 eq domain (config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 192.168.1.102 0.0.0.0 (config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 192.168.1.103 0.0.0.0 物 理 ポートの 設 定 (config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の 設 定 (config)# aaa authentication web-authentication default group radius Web 認 証 ( 固 定 VLAN)の 設 定 (config)# web-authentication ip address 1.1.1.1 (config)# web-authentication redirect-mode http (config)# web-authentication system-auth-control (config)# web-authentication max-timer 1440 以 下 のアクセスリストを 作 成 します DHCP 通 信 を 許 可 する DNSサーバ 192.168.1.11 へのDNS 通 信 を 許 可 する 検 疫 サーバ 192.168.1.102 との 通 信 を 許 可 する 修 復 サーバ 192.168.1.103 との 通 信 を 許 可 する 構 築 ポイント(3) ポート 0/1~0/20 を Web 認 証 対 象 ポートとし て 設 定 します 認 証 前 の 端 末 から 送 信 される 他 宛 て ARP パ ケットを 認 証 対 象 外 のポートへ 出 力 させます 認 証 用 アクセスリストを 適 用 します 構 築 ポイント(3) RADIUS サーバでユーザ 認 証 を 行 うことを 設 定 します Web 認 証 専 用 IP アドレスを 設 定 します 本 ガ イドでは 1.1.1.1 としています 構 築 ポイント(4) リダイレクトモードを http に 指 定 します 構 築 ポイント(2) Web 認 証 を 有 効 にします 認 証 成 功 後 の 最 大 接 続 時 間 を 1440 分 (1 日 )に 設 定 します 構 築 ポイント(8) Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 16

3.4.2. AX2430S のコンフィグレーション AX2430S の 設 定 例 を 示 します (1) 基 本 設 定 AX2430S の 設 定 ポート VLAN の 設 定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,1000 (config-vlan)# state active スパニングツリーの 設 定 (config)# spanning-tree disable 物 理 ポートの 設 定 クライアント 側 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 10 上 位 スイッチとの 通 信 用 (config)# interface gigabitethernet 0/48 (config-if)# switchport mode trunk (config-if)# switchport trunk allowed vlan 10,1000 インタフェースの 設 定 (config)# interface vlan 10 (config-if)# ip address 192.168.10.3 255.255.255.0 (config)# interface vlan 1000 (config-if)# ip address 172.16.0.2 255.255.255.0 デフォルトルートの 設 定 (config)# ip default-gateway 172.16.0.1 RADIUS サーバの 設 定 (config)# radius-server host 192.168.1.10 key alaxala VLAN1 は 使 用 しないため 無 効 にします クライアント 用 VLAN として VLAN10 を 管 理 用 VLAN として VLAN1000 を 作 成 します スパニングツリーを 無 効 にします ポート 0/1~0/20 を アクセスポートとして 設 定 します アクセスポートに VLAN10 を 設 定 します ポート 0/48 を 上 位 スイッチと 通 信 するトラ ンクポートとして 設 定 します トランクポートに VLAN10 および 1000 を 設 定 します VLAN10 および 1000 にインタフェース IP ア ドレスを 設 定 します 検 疫 用 VLAN と 通 信 を 行 うため デフォルト ルートを 設 定 します 構 築 ポイント(6) RADIUS サーバの IP アドレスおよびキーを 設 定 します この 例 ではキーを alaxala とし ています Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 17

(2) Web 認 証 の 設 定 AX2430S の 設 定 Web 認 証 用 アクセスリストの 設 定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host 192.168.1.11 eq domain (config-ext-nacl)# permit ip any host 192.168.1.102 (config-ext-nacl)# permit ip any host 192.168.1.103 物 理 ポートの 設 定 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay (config-if-range)# authentication ip access-group web-auth RADIUS の 設 定 (config)# aaa authentication web-authentication default group radius Web 認 証 ( 固 定 VLAN)の 設 定 (config)# web-authentication ip address 1.1.1.1 (config)# web-authentication redirect-mode http (config)# web-authentication system-auth-control (config)# web-authentication max-timer 1440 以 下 のアクセスリストを 作 成 します DHCP 通 信 を 許 可 する DNSサーバ 192.168.1.11 へのDNS 通 信 を 許 可 する 検 疫 サーバ 192.168.1.102 への 通 信 を 許 可 する 修 復 サーバ 192.168.1.103 への 通 信 を 許 可 する 構 築 ポイント(3) ポート 0/1~0/20 を Web 認 証 対 象 ポートとし て 設 定 します 認 証 前 の 端 末 から 送 信 される 他 宛 て ARP パ ケットを 認 証 対 象 外 のポートへ 出 力 させます 認 証 用 アクセスリストを 適 用 します 構 築 ポイント(3) RADIUS サーバでユーザ 認 証 を 行 うことを 設 定 します Web 認 証 専 用 IP アドレスを 設 定 します 本 ガ イドでは 1.1.1.1 としています 構 築 ポイント(4) リダイレクトモードを http に 指 定 します 構 築 ポイント(2) Web 認 証 を 有 効 にします 認 証 成 功 後 の 最 大 接 続 時 間 を 1440 分 (1 日 )に 設 定 します 構 築 ポイント(8) Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 18

3.4.3. AX3630S のコンフィグレーション AX3630S の 設 定 例 を 示 します (1) 基 本 設 定 AX3630S の 設 定 ポート VLAN の 設 定 (config)# vlan 1 (config-vlan)# state suspend (config)# vlan 10,20,1000 (config-vlan)# state active (config)# vlan 100,200 (config-vlan)# state active スパニングツリーの 設 定 (config)# spanning-tree disable 物 理 ポートの 設 定 (config)# interface range gigabitethernet 0/1-2 (config-if-range)# switchport mode trunk (config-if-range)# switchport trunk allowed vlan 10,20,1000 (config)# interface range gigabitethernet 0/3-6 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100 (config)# interface gigabitethernet 0/7 (config-if)# switchport mode access (config-if)# switchport access vlan 200 (config)# interface range gigabitethernet 0/1-4 (config-if-range)# media-type rj45 インタフェースの 設 定 (config)# interface vlan 10 (config-if)# ip address 192.168.10.254 255.255.255.0 (config)# interface vlan 20 (config-if)# ip address 192.168.20.254 255.255.255.0 VLAN1 は 使 用 しないため 無 効 にします クライアント 用 VLAN として VLAN10 および 20 を 管 理 用 VLAN として VLAN1000 を 作 成 します サーバ 用 VLAN として VLAN100 および 200 を 作 成 します スパニングツリーを 無 効 にします ポート 0/1~0/2 を 下 位 スイッチと 通 信 する トランクポートとして 設 定 します トランクポートに VLAN10 20 および 1000 を 設 定 します ポート 0/3~0/6 を アクセスポートとして 設 定 します アクセスポートに VLAN100 を 設 定 します ポート 0/7 を アクセスポートとして 設 定 しま す アクセスポートに VLAN200 を 設 定 します ポート 0/1~0/4 にメディアタイプを 設 定 しま す 各 VLAN にインタフェース IP アドレスをそれ ぞれ 設 定 します (config)# interface vlan 100 (config-if)# ip address 192.168.1.254 255.255.255.0 (config)# interface vlan 200 (config-if)# ip address 192.168.200.254 255.255.255.0 (config)# interface vlan 1000 (config-if)# ip address 172.16.0.1 255.255.255.0 Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 19

(2) DHCP リレーの 設 定 AX3630S の 設 定 DHCP リレーの 設 定 (config)# interface vlan 10 (config-if)# ip helper-address 192.168.1.12 (config)# interface vlan 20 (config-if)# ip helper-address 192.168.1.12 VLAN10 および 20 に 対 して DHCP リレーエ ージェントによる 転 送 先 アドレスを 設 定 しま す Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 20

3.5. 認 証 画 面 入 替 え QuOLA@Adapter と 連 携 する 場 合 は AX スイッチの 認 証 画 面 (login.html)を 入 替 えます 認 証 用 の HTML ファイルには QuOLA@Adapter の 検 疫 画 面 へのリダイレクトするように 設 定 した HTML ファイルをスイッチの login.html ファイルと 入 替 えます login.html 添 付 のファイルはクリップマークを 右 クリックして 埋 め 込 みファイルをディスクに 保 存 し て 編 集 してください 編 集 個 所 は 添 付 ファイルの xx.xx.xx.xx と 書 いてある 部 分 をエディタ 等 で 検 疫 サーバの IP アドレスに 書 換 えて SD または FTP でスイッチへファイル 転 送 後 に 以 下 のコマンドで 適 用 して 下 さい set web-authentication html-files <directory> -f ただし 本 コマンドはディレクトリ 指 定 のため 下 記 コマンドでディレクトリ 作 成 してファイル 移 動 後 に set コマンドを 実 行 してください AX2400S AX3600S mkdir <directory name> AX1200S mkdir ramdisk <directory name> Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 21

3.6. QuOLA@Adapter の 設 定 3.6.1. QuOLA@Adapter へのログイン QuOLA@Adapter へログインする 場 合 は http://quola@adapter の IP 又 は HOST 名 /con/login.html にアクセスします 3.6.2. 認 証 スイッチの 設 定 QuOLA@Adapter と 連 携 するスイッチの 設 定 をします Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 22

(1) ユーザ 認 証 方 式 の 選 択 認 証 スイッチの 共 通 設 定 共 通 ID : QuOLA@Adapter の 検 疫 のみでネットワークアクセス 制 御 する 場 合 に 選 択 します システムとする 場 合 スイッチに 共 通 ID で 認 証 します 共 通 ID 選 択 時 は 共 通 ユーザ 名 及 びパスワードを 設 定 します 個 別 ID : QuOLA@Adapter の 検 疫 とユーザ 認 証 を 組 み 合 わせて 実 施 したい 場 合 は 個 別 ID を 選 択 します 検 疫 成 功 後 にユーザ ID パスワード 入 力 を 求 めます (2) 使 用 スイッチの 設 定 使 用 スイッチに AlaxalA を 選 択 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 23

(3) AX スイッチの 設 定 AX スイッチの 認 証 の 設 定 は 以 下 を 設 定 します 認 証 解 除 URL: http:/1.1.1.1/cgi-bin/login.cgi ( 認 証 IP が 1.1.1.1 の 場 合 ) 認 証 成 功 文 字 列 : Login success 認 証 失 敗 文 字 列 : Authentication reject Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 24

3.6.3. 検 疫 項 目 の 設 定 検 疫 ポリシーからセキュリティポリシーを 選 択 し 検 疫 対 象 とする 項 目 をチェックします その 他 に 資 産 登 録 禁 止 ソフトの 登 録 ウイルス 対 策 ソフトの 設 定 OS セキュリティパッチ 登 録 することができます 詳 細 は QuOLA@Adapter のマニュアルで 確 認 して 下 さい Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 25

4. ユーザの 検 疫 実 施 方 法 (1) 検 疫 実 行 URL にアクセスする URL : http://quola@adapter 検 疫 サーバ 名 または IP アドレス/sec/download.cgi * AX スイッチで URL リダイレクトを 設 定 している 場 合 は 検 疫 前 のユーザを 自 動 的 に QuOLA@Adapter の 検 疫 URL へ 誘 導 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 26

(2) 検 疫 ソフトのダウンロード 開 始 をクリックするとアプリケーションのダウンロード 又 は 実 行 を 聞 いてきます 実 行 するか 保 存 して 実 行 してください *1) 保 存 する を 選 択 した 場 合 ファイル 名 の 変 更 はしないで 下 さい 変 更 した 場 合 検 疫 サーバへ 接 続 できなくなります *2) 保 存 を 選 んだ 場 合 ダウンロードは 毎 回 実 施 する 必 要 はありません (3) 検 疫 実 行 ダウンロードした 検 疫 アプリケーションを 実 行 します Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 27

(4) 検 疫 実 行 ダウンロードしたファイルを 実 行 すると 検 疫 実 行 中 の 表 示 後 検 疫 が 合 格 すると 個 別 ID で ユーザ 認 証 する 場 合 にはユーザ 名 パスワードを 求 めてきます 入 力 後 AX スイッチへ 認 証 が 実 行 されネットワークが 使 用 可 能 となります ( 共 通 ID で 認 証 する 場 合 はユーザ 名 と 入 力 は 省 略 されネットワーク 使 用 可 能 となります) (5) 検 疫 失 敗 検 疫 失 敗 時 の 例 を 下 記 に 示 します セキュリティ 違 反 時 は 対 策 後 検 疫 アプリケーションを 再 起 動 してください Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 28

5. 注 意 事 項 5.1. 検 疫 除 外 端 末 検 疫 サポート 外 の 機 器 を 接 続 する 場 合 には AX スイッチの 検 疫 実 施 ポートに MAC 認 証 を 設 定 するか コンフィグレーションで MAC アドレスを 登 録 して 通 信 許 可 してください 5.2. ログアウトに 関 する 注 意 事 項 認 証 モードによりログアウト 条 件 が 異 なるため 注 意 下 さい 5.2.1. 固 定 VLAN モードの Web 認 証 のログアウト 条 件 固 定 VLAN モードで Web 認 証 した 端 末 は 以 下 のいずれかの 条 件 に 一 致 した 場 合 ログアウト( 通 信 非 許 可 状 態 )します 条 件 1:ログイン 画 面 からログアウトした 場 合 (QuOLA@Adapter 連 携 では 使 用 不 可 ) 条 件 2: 最 大 接 続 時 間 を 超 えた 場 合 (デフォルト 3600 秒 ) コンフィグレーションによって 時 間 と 機 能 の 有 効 無 効 化 ができます 条 件 3: 認 証 済 み 端 末 の 接 続 監 視 機 能 によるログアウト ARP パケットを 用 いて ARP 返 答 パケットを 受 信 することにより 接 続 監 視 を 行 ないます コンフィグレーションによって 監 視 時 間 の 設 定 変 更 が 可 能 です 監 視 時 間 の 初 期 値 は 5 分 ごとに 監 視 を 行 い 無 応 答 の 場 合 1 秒 3 回 リトライし 無 応 答 の 場 合 切 断 します 条 件 4: 認 証 ポートのリンクダウン 条 件 5: 強 制 ログアウトコマンドによるログアウト 条 件 6: 特 殊 ping によるログアウト ( 認 証 用 IP アドレス 宛 て コンフィグレーションで 指 定 した TOS TTL 値 の ping) Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 29

5.2.2. 動 的 VLAN モードの Web 認 証 のログアウト 条 件 動 的 VLAN モードで Web 認 証 した 端 末 は 以 下 のいずれかの 条 件 に 一 致 した 場 合 ログアウト( 通 信 非 許 可 状 態 )します 条 件 1:ログイン 画 面 からログアウトした 場 合 (QuOLA@Adapter 連 携 では 使 用 不 可 ) 条 件 2: 端 末 の MAC アドレスが MAC アドレステーブルから 削 除 されて 約 10 分 経 過 した 場 合 (コンフィグレーションで 監 視 機 能 を 無 効 にする 事 が 可 能 ) MAC アドレステーブルクリア 条 件 1.MAC アドレステーブルのエージング 時 間 (デフォルト 300 秒 )にパケット 通 信 が 無 い 時 2. 学 習 インタフェースのリンクダウン 時 3.スパニングツリーやリングのトポロジーチェンジ 時 条 件 3: 最 大 接 続 時 間 を 超 えた 場 合 ログインしてから 強 制 ログアウトされる 時 間 のデフォルト 値 は 3600 秒 です 本 機 能 はコンフィグレーションコマンドにて 無 効 にすることができます 条 件 4: 強 制 ログアウトコマンドによるログアウト Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 30

付 録 A. コンフィグレーション 3.2のネットワーク 構 成 図 における 各 装 置 の 全 コンフィグレーションを テキスト 形 式 の 添 付 ファイル で 示 します 各 コンフィグレーションを 参 照 する 場 合 は 以 下 に 示 すファイル 名 と 同 じ 名 前 の 添 付 ファ イルを 開 いてください A.1. AX3630S のコンフィグレーション core1-ax3630s.txt A.2. AX2430S のコンフィグレーション edge1-ax2430s.txt A.3. AX1230S のコンフィグレーション edge2-ax1230s.txt Copyright (c) 2008, ALAXALA Networks Corporation. All rights reserved. 31

2008 年 9 月 3 日 初 版 発 行 アラクサラネットワークス 株 式 会 社 ネットワークテクニカルサポート 212-0058 川 崎 市 幸 区 鹿 島 田 890 番 地 新 川 崎 三 井 ビル 西 棟 http://www.alaxala.com/