ダイナミック ACL/QoS 認証機能について

AX2500Sシリーズで Ver3.5より新たにネットワーク認証にダイナミックACL（フィルタ）/QoS機

能を追加しました。

ダイナミックACL/QoS機能では認証時にRADIUS サーバによるクラス情報配布と、付与されたクラ ス情報をを使用してネットワークアクセス制御を，ACL（フィルタ）/QoS 機能で実現します。

本機能はWeb認証、MAC認証、IEEE802.1X認証の全ての認証モード（固定VLANモード、ダイナ ミックVLANモード）において併用可能です。

下記概念図で示すようにフィルタを指定することで所属クラス別にアクセス可能なネットワークを 限定したりすることが可能です。

フィルタ指定例

10 permit ip any ネットA class 1 20 permit ip any ネットA class 3

30 deny ip anyネット A

40 permit ip anyネット B class 2 50 permit ip anyネット B class 3

AX2500S

クラス＝0 クラス指定なし

クラス＝１ クラス＝2

その他制限なし ネットA ネットB ネットC

クラス＝3

（１）認証時のスイッチの動作概要とRADIUSの設定

1.3-2 RADIUS認証時の動作

AXシリーズのダイナミックACLはユーザ認証成功時にユーザ単位にRADIUSから追加アトリビュー

トの Filter-IDで”Class=クラス番号”を付与された場合に認証端末の MACアドレス登録時に Class番号

を合わせて登録します。（Class番号が付与されない場合はクラス0として登録）

Raiusアトリビュートの設定 クラス25所属ユーザの場合

Filter-ID（１１）＝ “/Class=25”

注※

RADIUS 認証で強制認証となった場合は，クラス＝ 0 として扱います。

（２）パケット転送時の動作とスイッチの設定

認証後の通信において受信したパケットを転送する際に、送信元 MACアドレスが認証時にClass設 定されたパケットの場合、検索キーとしてClass情報を加えてACL/QoSリストを検索します。

たとえばACL/QoSフローリストがインタフェース（VLAN）に設定されていた場合、送信元MACア

ドレス毎に記憶したダイナミックACL/QoS用に追加された所属クラス（class=1～63）を合わせて検索 を行いパケット中継します。 下記に設定と動作を説明します

Class 1のみ 192.168.100.0/24 を許可 Class 1と3は192.168.200.0/24を許可

スイッチに設定するACL

10 permit ip any 192.168.100.0 0.0.0.255 class 1 （class1ヒット）

20 deny ip any 192.168.100.0 0.0.0.255 （class1以外廃棄）

30 permit ip any 192.168.200.0 0.0.0.255 class 1 （class1がヒット）

40 permit ip any 192.168.200.0 0.0.0.255 class 3 （class3がヒット）

50 deny ip any 192.168.200.0 0.0.0.255 （class1,3以外廃棄）

RADIUSサーバ

RADIUS認証成功時の応答で

追加アトリビュート

Filter-ID＝”/Class=番号(1-63) が付与された場合

認証

（MAC,Web,IEEE802.1X） 認証成功時に当該端末の MAC アドレスとClass番号を登録 AX2500Sシリーズ

Class情報にはマスク機能もあり（省略時は全て”111111”の完全一致）複数クラスを集約することもで きます。

30 permit ip any 192.168.200.0 0.0.0.255 class 1 mask1 （シーケンス番号３０，４０を集約）

mask を使用する場合、クラスの追加作業や管理などで煩雑になる場合がありますので、注意してくだ さい。

（３）マルチステップ認証とダイナミックACL併用する場合

ダイナミックACL/QoSでは最終段階の認証が成功した場合にダイナミックACLのクラス情報を反映 します。ダイナミック ACL/QoSを使用する場合は最終段階の認証でクラス情報の配布を行ってくださ い。

たとえばMAC認証＋Web認証のマルチステップの場合2段階目のWeb認証が終了する前は認証前 ACLが適用され、認証前ACLではダイナミックACLは使用できませんので注意してください。

マルチステップ認証で、ゲスト端末も許可する場合に使用するpermissiveモードでは2段階目におい てマルチステップ認証のFilter-ID指定を行いますので、ダイナミックACL/QoSと併用する場合におい

てはFilter-IDにマルチステップの指定とClassの指定の両方を併記する必要があります。併記する場合

にはRADIUSサーバの追加アトリビュートのFilter-IDに/MAC-Auth/Class=クラス番号と指定します。

ダイナミックACL/QoS併用の設定の場合＠＠は指定できませんので/指定で設定してください。

①マルチステップ permissiveモード無し（ゲスト端末無しの環境）所属クラス20のユーザの場合 1段階端末認証のアトリビュート

Filter-ID(11)=/MultiStep 2段階 ユーザ認証のアトリビュート Filter-ID(11)=/Class=20

②マルチステップ permissiveモード（ゲスト端末ありの場合）で社員はクラス２０でゲストは クラス１としたい場合

1段階目の端末認証で登録端末のアトリビュート

Filter-ID(11)=/MultiStep

2段階目ユーザ認証においてマルチステップ対象のユーザの場合。

Filter-ID(11)=/MAC-Auth/Class=20

2段階目の認証でゲストユーザでClass指定のみ配布したい場合

（４）ダイナミックACL/QoSで使用可能なACLとQoSフローリスト

以下にダイナミックACL/QoS機能でクラス指定が使用可能なACLとQoSフローリストの種別を 示します。

表 1.3-1 ダイナミックACL/QoSでクラス指定が使用できるリスト

機能 ACL/QoSリスト種別 クラス指定

サポートの有無 フィルタ（ACL） IPv4アクセスリスト standard(permit/deny) ×

extended(permit/deny) ○

IPv6アクセスリスト extended(permit/deny) ○ MACアクセスリスト extended(permit/deny) ○ 認証専用IPv4アクセス

リスト

extended(permit/deny) ×

（クラス指定は無効）

Qos IPv4 QoSフローリスト ○

IPv6 QoSフローリスト ○

MAC QoSフローリスト ○