9.1 コマンドガイド
9.1.3 ダイナミック VLAN モードのコンフィグレーション
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
Web 認証で使用する VLAN ID 10 に IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit udp any any eq domain
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から本装置内 DHCP サーバ向けの DHCP パケットと DNS サーバへのアクセスを許可 する認証専用 IPv4 アクセスリストを設定します。さらに,ARP パケットを本装置の外部に転送させる よう設定します。
(d) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 10.0.0.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。
図 9‒4 ダイナミック VLAN モードのローカル認証方式の基本構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode mac-vlan (config-if)# switchport mac native vlan 10 (config-if)# web-authentication port (config-if)# exit
認証を行う端末が接続されているポートに MAC VLAN と Web 認証を設定します。
2.(config)# interface range gigabitethernet 1/0/9-10 (config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 50 (config-if-range)# exit
認証後にアクセスするネットワークのポートを指定します。
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
認証前 VLAN および認証後 VLAN に IP アドレスを設定します。
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0 (config-if)# exit
認証前 VLAN と認証後 VLAN に各 IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から本装置内 DHCP サーバ向けの DHCP パケットと VLAN10 のデフォルトゲート ウェイ(IP アドレス 192.168.10.1)へのアクセスを許可する認証専用 IPv4 アクセスリストを設定し ます。さらに,ARP パケットを本装置の外部に転送させるよう設定します。
(d) VLAN 間の通信を禁止する
[設定のポイント]
認証前 VLAN と認証後 VLAN 間の通信を禁止する設定をします。
[コマンドによる設定]
1.(config)# ip access-list extended 110
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 10
(config-if)# ip access-group 110 in (config-if)# exit
2.(config)# ip access-list extended 150
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.50.100 eq bootps
(config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 50
(config-if)# ip access-group 150 in (config-if)# exit
認証前 VLAN と認証後 VLAN 間で通信させないように設定します。
(e) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# web-authentication system-auth-control Web 認証を起動します。
(2) RADIUS 認証方式の基本的な設定
RADIUS 認証方式を使用する際の基本的な設定を次の図に示します。なお,端末の IP アドレスは,認証前 は本装置内 DHCP サーバから配布し,認証後は外部 DHCP サーバから配布します。
さらに,認証前 VLAN と認証後 VLAN 間の通信を禁止するフィルタを設定します。
図 9‒5 ダイナミック VLAN モードの RADIUS 認証方式の基本構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode mac-vlan (config-if)# switchport mac native vlan 10 (config-if)# web-authentication port (config-if)# exit
認証を行う端末が接続されているポートに MAC VLAN と Web 認証を設定します。
2.(config)# interface range gigabitethernet 1/0/9-10 (config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 50 (config-if-range)# exit
認証後にアクセスするネットワークのポートを指定します。
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
認証前 VLAN および認証後 VLAN に IP アドレスを設定します。
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0 (config-if)# exit
認証前 VLAN と認証後 VLAN に各 IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から本装置内 DHCP サーバ向けの DHCP パケットと VLAN 10 のデフォルトゲート ウェイ(IP アドレス 192.168.10.1)へのアクセスを許可する認証専用 IPv4 アクセスリストを設定し ます。さらに,ARP パケットを本装置の外部に転送させるよう設定します。
(d) VLAN 間の通信を禁止する
[設定のポイント]
認証前 VLAN と認証後 VLAN 間の通信を禁止する設定をします。
[コマンドによる設定]
1.(config)# ip access-list extended 110
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 10
(config-if)# ip access-group 110 in (config-if)# exit
2.(config)# ip access-list extended 150
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.50.100 eq bootps
(config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 50
(config-if)# ip access-group 150 in (config-if)# exit
認証前 VLAN と認証後 VLAN 間で通信させないように設定します。
(e) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 192.168.10.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。
(3) RADIUS 認証方式+認証前に外部 DHCP サーバ使用時の設定
RADIUS 認証方式で認証前および認証後に,端末の IP アドレスをそれぞれの外部 DHCP サーバから配布 する際の構成を次に示します。
さらに,認証前 VLAN と認証後 VLAN 間の通信を禁止するフィルタを設定します。
図 9‒6 ダイナミック VLAN モードの RADIUS 認証方式+外部 DHCP サーバ使用時の構成
(a) 認証ポートの設定
[設定のポイント]
Web 認証で使用するポートを設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/4 (config-if)# switchport mode mac-vlan (config-if)# switchport mac native vlan 10 (config-if)# web-authentication port (config-if)# exit
認証を行う端末が接続されているポートに MAC VLAN と Web 認証を設定します。
2.(config)# interface range gigabitethernet 1/0/9-10 (config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 50 (config-if-range)# exit
認証後にアクセスするネットワークのポートを指定します。
(b) VLAN インタフェースに IP アドレスを設定
[設定のポイント]
認証前 VLAN および認証後 VLAN に IP アドレスを設定します。
1.(config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0 (config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0 (config-if)# exit
認証前 VLAN と認証後 VLAN に各 IP アドレスを設定します。
(c) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.100 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/4 (config-if)# authentication ip access-group 100 (config-if)# authentication arp-relay
(config-if)# exit
認証前の端末から外部 DHCP サーバ向けの DHCP パケットと VLAN 10 のデフォルトゲートウェイ
(IP アドレス 192.168.10.1)へのアクセスを許可する認証専用 IPv4 アクセスリストを設定します。さ らに,ARP パケットを本装置の外部に転送させるよう設定します。
(d) VLAN 間の通信を禁止する
[設定のポイント]
認証前 VLAN と認証後 VLAN 間の通信を禁止する設定をします。
[コマンドによる設定]
1.(config)# ip access-list extended 110
(config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit udp host 192.168.10.100 any eq bootpc
(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 10
(config-if)# ip access-group 110 in (config-if)# exit
2.(config)# ip access-list extended 150
(config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps (config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255 (config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit (config)# interface vlan 50
(config-if)# ip access-group 150 in (config-if)# exit
認証前 VLAN と認証後 VLAN 間で通信させないように設定します。
(e) Web 認証の設定
[設定のポイント]
Web 認証のコンフィグレーションコマンドを設定して Web 認証を有効にします。
[コマンドによる設定]
1.(config)# web-authentication ip address 10.10.10.1 Web 認証専用の IP アドレス(IPv4 アドレス)を設定します。
2.(config)# aaa authentication web-authentication default group radius (config)# radius-server host 192.168.10.200 key "webauth"
ユーザ認証を RADIUS サーバで行うための IP アドレスと RADIUS 鍵を設定します。
3.(config)# web-authentication system-auth-control Web 認証を起動します。