主な目的 認証スイッチを集約したい 検疫ネットワークを構築したい 概要 マイクロソフト社 Windows Server 2008 による検疫ソリューション NAP (Network Access Protection) 対応ネットワークの構築例です NAP では クライアントの認証だけではなく 決められた条件を満たさない端末はたとえ認証に成功しても隔離し 通信を制限することができます アンチウィルスソフトを起動していない またはパターンファイルが更新されていない端末は隔離し ウィルス感染の拡大を防止したり 不正アクセスを防止する といった効果を得ることができます アライドテレシスは 2008 年よりマイクロソフト社の NAP パートナープログラムに参加し 幅広い NAP 対応機器ラインナップを整備 お客様の様々なご要望にお応えします 1
構築のポイント Solution No. 10-04-02 管理ネットワークを設置 SNMP と Syslog NTP を使用してネットワーク管理を行います SNMP Syslog NTP DHCP サーバー Windows Server 2008 (NAP and RADIUS) VLAN 210 VLAN 220 WSUS WSUS サーバーを設置し 隔離された端末を自動的に修復して 条件を満たすように変更します RADIUS サーバーで 802.1X 認証を行い さらに NAP サーバーで検疫を実施 条件を満たさない端末は隔離 VLAN として VLAN90 にアサインします x600- VCS で ACL を設定し WSUS サーバー以外との通信を制限します AR550S eth0 eth1 port1 port2 x600-vcs と上位ルーター間はリンクアグリゲーションで接続し 上位ルーターへ向けるデフォルトルートはシンプルな構成とするために Static Route として設定します また AR シリーズはリンクアグリゲーションに対応していないため VCS 側での障害発生時に上位ルーターとのの通信経路が切り替わるように ルーター上でトリガーを設定します x600-24ts_1 1.0.1 2.0.1 x600-24ts_2 1.0.3 2.0.3 x600-vcs 1.0.5 1.0.7 1.0.9 2.0.5 2.0.7 2.0.9 エッジスイッチでは 802.1X 認証が使用されるため EAP フレームを透過できるように設定します これ以外の設定は必要ありません x600-vcs をコアスイッチとし 802.1X 認証を各端末個別に行います 802.1X 認証に対応していない端末は MAC アドレス認証機能を使用してネットワークにアクセスできるようにしています また VCS を使用して端末に対するデフォルトゲートウェイの冗長性を与えています GS924M_1 GS924M_2 GS924M_3 VLAN 10 VLAN 20 VLAN 90 クライアントは認証と検疫の結果に応じて動的に VLAN が割り当てられ あわせて DHCP サーバーから IP アドレスを割り当てられます 隔離 VLAN に位置づけられる VLAN90 は WSUS サーバー以外との通信は行うことができないよう x600-vcs 上に ACL を設定して通信を制限します 2
x600-vcs 設定サンプルその 1 Solution No. 10-04-02 ホスト名の設定及び SNMP Syslog の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます また NTP で時刻を自動的に同期させるためにタイムゾーンを指定します NAP に使用する RADIUS サーバーを設定します radius-server host コマンドで使用する RAIDUS サーバーのリストに IP アドレスを登録し その後 aaa group server radius コマンドで認証用のサーバーグループを作成し サーバーリストに登録済みの IP アドレスからサーバーグループで使用する IP アドレスを追加します 本例では 802.1X 認証と MAC アドレス認証を使用しますが どちらも共有の RADIUS サーバーを使用するため サーバーグループ名を group radius としてサーバーリスト上のすべての IP アドレスを使用する設定としています hostname x600-vcs log host 192.168.210.253 log host 192.168.210.253 level debugging clock timezone JST plus 9:00 snmp-server enable trap auth nsm snmp-server community private rw snmp-server host 192.168.210.253 informs version 2c private radius-server host 192.168.210.254 key xxxx aaa authentication dot1x default group radius aaa authentication auth-mac default group radius VCS 設定を行います Ver5.3.3 から VCS グループメンバーが共通で使用するバーチャル MAC アドレスをサポートしました VCS の MAC アドレスが変更されず 周囲の機器が保持する FDB の書き換えが必要ありませんので スムーズな Failover を実現します なお バーチャル MAC アドレス設定は VCS グループの再起動後 有効になります stack virtual-mac stack virtual-chasiss-id 1 stack resiliencylink vlan2000 stack 1 priority 0 初期値では RSTP が有効です 本構成例では RSTP は使用していませんので 無効化します no spanning-tree rstp enable 注 VCS 構成時は VCS の制御パケットが送信キュー 7 を使うため その他のパケットを送信キュー 7 に割り当てないでください 具体的には mls qos map cos-queue, mls qos map mark-dscp, mls qos map policed-dscp, mls qos queue, set queue の各コマンドで送信キュー 7 を指定しないようにしてください 特に cos-queue マップの初期設定では CoS 値 7 が送信キュー 7 にマップされているので VCS 構成時は送信キュー 7 を使わないよう mls qos map cos-queue コマンドでマッピングを変更してください 3
x600-vcs 設定サンプルその 2 認証 検疫に失敗したクライアントが所属する VLAN90 から WSUS サーバー以外への通信を制限するため ACL を設定します access-list 3000 permit ip 192.168.90.0/24 192.168.220.0/24 access-list 3001 permit ip 192.168.220.0/24 192.168.90.0/24 access-list 3002 deny ip 192.168.90.0/24 any access-list 3003 deny ip any 192.168.90.0/24 必要な VLAN を作成します vlan database vlan 10,20,90,100 state enable 上位ルーターとの接続リンクを 2 ポートのリンクアグリゲーショングループで構成します VLAN100 のタグなしポートとしてアサインし staticchannel-group1 に指定します また LinkDown 時に SNMP トラップを送信するように link-status トラップをそれぞれのポートで設定します interface port1.0.1 mode access access vlan 100 static-channel-group 1 interface port2.0.1 mode access access vlan 100 static-channel-group 1 VCS のダブルマスター障害を回避するための監視ポートであるレジリエンシーリンクを指定します VCS メンバーそれぞれ 1 ポートを指定し VCS マスターからのヘルスチェックフレームをスレーブメンバーが受診できるようにします interface port1.0.3 resiliencylink interface port2.0.3 resiliencylink 4
x600-24vcs 設定サンプルその 3 エッジスイッチと接続される認証ポートです それぞれのポートで 802.1X 認証と MAC アドレス認証を有効化し 複数の端末を個別に認証 VLAN を割り当てられるように設定します interface port1.0.5 mode access static-channel-group 2 interface port2.0.5 mode access static-channel-group 2 interface port1.0.7 mode access static-channel-group 3 interface port2.0.7 mode access static-channel-group 3 5
x600-24vcs 設定サンプルその 4 エッジスイッチと接続される認証ポートです それぞれのポートで 802.1X 認証と MAC アドレス認証を有効化し 複数の端末を個別に認証 VLAN を割り当てられるように設定します sa インターフェースは Static-channelgroup を設定すると自動的に作成されます 認証ポートである sa2-4 インターフェースでは 事前に設定した ACL を適用し VLAN90 からの通信を WSUS サーバーだけに限定させます interface port1.0.9 mode access static-channel-group 4 interface port2.0.9 mode access static-channel-group 4 interface sa1 mode access access vlan 100 interface sa2-4 mode access ip access-group 3000 ip access-group 3001 ip access-group 3002 ip access-group 3003 6
x600-24vcs 設定サンプルその 5 各 VLAN に IP アドレスを設定します VLAN10/20/90 では DHCP サーバーを使用してクライアントに IP アドレスを割り当てるため DHCP Relay を使用します interface vlan10 ip address 192.168.10.1/24 ip dhcp-relay server-address 192.168.210.252 interface vlan20 ip address 192.168.20.1/24 ip dhcp-relay server-address 192.168.210.252 interface vlan90 ip address 192.168.90.1/24 ip dhcp-relay server-address 192.168.210.252 interface vlan100 ip address 192.168.100.1/24 上位ルーターに向けてデフォルトルートを設定します ip route 0.0.0.0/0 192.168.100.2 NTP サーバーの IP アドレスを指定し 機器内部で保持する時刻情報が自動的に同期するようにしています ntp server 192.168.210.253 end 7
AR550S 設定サンプルその 1 ホスト名を設定します set system name="ar550s" 必要な VLAN を作成します create vlan="vlan100" vid=100 add vlan="100" port=1-2 各インターフェースに IP アドレスを設定します また クライアントが認証後に DHCP サーバーから割り当てられるネットワークへの経路を x600-vcs に向けて設定します enable ip add ip int=eth0 ip=192.168.210.10 add ip int=eth1 ip=192.168.220.10 add ip int=vlan100 ip=192.168.100.2 add ip route=192.168.10.0 int=vlan100 next=192.168.100.1 add ip route=192.168.20.0 int=vlan100 next=192.168.100.1 add ip route=192.168.90.0 int=vlan100 next=192.168.100.1 SNMP の設定を行います SNMP を使用する事で ネットワークの効率的な管理が可能となり 安定した IT インフラの実現に役立ちます enable snmp create snmp community=private access=write enable snmp community=private trap add snmp community=private manager=192.168.210.253 add snmp community=private v2ctraphost=192.168.210.253 enable int=eth0 linktrap enable int=eth1 linktrap enable int=port1 linktrap enable int=port2 linktrap 認証クライアントが IP アドレスを自動的に割り当てられるように DHCP Relay 設定を行います NTP 及び Syslog の設定を行います enable bootp relay add bootp relay=192.168.210.252 enable ntp set ntp utc=+09:00:00 add ntp peer=192.168.210.253 create log output=1 destination=syslog server=192.168.200.254 secure=no add log output=1 filter=1 all 8
AR550S 設定サンプルその 2 起動時に VCS マスターとならない x600 に接続されるスイッチポートの機能を無効にし VCS マスターと接続されるポートを用いて通信がおこなわれるようにします disable switch port=2 link=disable VCS マスターが障害によって Down し Fail-over が発生した時 新しい VCS マスターとの接続ポートに通信経路が切り替わるよう down トリガーを設定します 同様に Fail-over からの復旧時に元の VCS マスター側に通信経路が切り替わるよう up トリガーを設定します enable trigger create trigger=1 module=switch event=linkdown port=1 script=down.scp create trigger=2 module=switch event=linkup port=1 script=up.scp down スクリプトを定義します このスクリプトファイルでは VCS Failover 時に従来の VCS マスターから新しい VCS マスターへと通信経路が切り替わるように 無効化していた port2 を有効化させています =============== down.scp ============== enable switch port=2 up スクリプトを定義します このスクリプトファイルでは VCS Fail-over 時からの復旧時に従来の VCS マスターへと通信経路が切り戻るように port2 を無効化し ARP テーブル更新のために x600-vcs の IP アドレスに対して Ping を送信させています =============== up.scp =============== disable switch port=2 link=disable ping 192.168.100.1 num=1 ======================================= 9
0120-860442 http://www.allied-telesis.co.jp/ info@allied-telesis.co.jp support@allied-telesis.co.jp www.allied-telesis.co.jp