9.1 コマンドガイド
9.1.2 固定 VLAN モードのコンフィグレーション
(1) ローカル認証方式の基本的な設定
ローカル認証方式を使用する上での基本的な設定を次の図に示します。
図 9‒1 固定 VLAN モードのローカル認証方式の基本構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# vlan 10
(config-vlan)# state active (config-vlan)# exit
2.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode access (config-if)# switchport access vlan 10
(config-if)# exit
認証を行う端末が接続されているポートに VLAN ID と Web 認証を設定します。
3.(config)# interface gigabitethernet 1/0/11 (config-if)# switchport mode access (config-if)# switchport access vlan 10 (config-if)# exit
認証後にアクセスするネットワークの L3 スイッチを接続するポートを指定します。
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
Web 認証で使用する VLAN に IP アドレスを設定します。
[コマンドによる設定]
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
Web 認証で使用する VLAN ID 10 に IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any any eq domain (config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から DHCP パケットと DNS サーバへのアクセスを許可する認証専用 IPv4 アクセスリ ストを設定します。さらに,ARP パケットを本装置の外部に転送させるように設定します。
(d) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# web-authentication system-auth-control Web 認証を起動します。
(2) RADIUS 認証方式の基本的な設定
RADIUS 認証方式を使用する上での基本的な設定を次の図に示します 図 9‒2 固定 VLAN モードの RADIUS 認証方式の基本構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# vlan 10
(config-vlan)# state active (config-vlan)# exit
2.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode access (config-if)# switchport access vlan 10 (config-if)# web-authentication port (config-if)# exit
認証を行う端末が接続されているポートに VLAN ID と Web 認証を設定します。
3.(config)# interface gigabitethernet 1/0/11 (config-if)# switchport mode access (config-if)# switchport access vlan 10
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
Web 認証で使用する VLAN に IP アドレスを設定します。
[コマンドによる設定]
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
Web 認証で使用する VLAN ID 10 に IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any any eq domain (config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から DHCP パケットと DNS サーバへのアクセスを許可する認証専用 IPv4 アクセスリ ストを設定します。さらに,ARP パケットを本装置の外部に転送させるように設定します。
(d) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 10.0.0.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。
(3) RADIUS 認証方式+内蔵 DHCP サーバ使用時の設定
RADIUS 認証方式と本装置内 DHCP サーバを使用する上での基本的な構成を次の図に示します。
図 9‒3 固定 VLAN モードの RADIUS 認証方式+内蔵 DHCP サーバの基本構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode access (config-if)# switchport access vlan 10 (config-if)# web-authentication port (config-if)# exit
認証を行う端末が接続されているポートに VLAN ID と Web 認証を設定します。
2.(config)# interface gigabitethernet 1/0/11 (config-if)# switchport mode access (config-if)# switchport access vlan 10 (config-if)# exit
認証後にアクセスするネットワークの L3 スイッチを接続するポートを指定します。
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
Web 認証で使用する VLAN に IP アドレスを設定します。
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
Web 認証で使用する VLAN ID 10 に IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit udp any any eq domain
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から本装置内 DHCP サーバ向けの DHCP パケットと DNS サーバへのアクセスを許可 する認証専用 IPv4 アクセスリストを設定します。さらに,ARP パケットを本装置の外部に転送させる よう設定します。
(d) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 10.0.0.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。