3. Web インターフェース
3.5 ユーザ認証
3.5.5 ポートセキュリティの設定
Security Status
ポートセキュリティの有効/無効 初期設定:無効(Disabled) Max MAC Count
ポートが学習可能なMACアドレス数(設定範囲:0-20、0は学習の無効)
Trunk
ポートがトランクされている場合のトランク番号
設定方法
[Security]→[Port Security]をクリックします。ポートのセキュリティを有効にするには、
設定を行うポート番号のActionを選択し、Security Statusチェックボックスをオンにし、
最大MACアドレス数を設定し、[Apply]をクリックします。
3.5.6 802.1x ポート認証
スイッチは、クライアントPCから容易にネットワークリソースにアクセスすることができま す。しかし、それによりは好ましくないアクセスを許容し、ネットワーク上の機密のデータへの アクセスが行える可能性もあります。
IEEE802.1x(dot1x)規格では、ユーザID及びパスワードにより認証を行うことにより無許可のア
クセスを防ぐポートベースのアクセスコントロールを提供します。
ネットワーク中のすべてのポートへ のアクセスはセントラルサーバによ る認証を行うことで、どのポートか らでも1つの認証用のユーザID及び パスワードによりユーザの認証が行 えます。
本機ではExtensible Authentication Protocol over LAN (EAPOL)によりク ライアントの認証プロトコルメッ セージの交換を行います。RADIUS サーバによりユーザIDとアクセス権 の確認を行います。
クライアント(サプリカント)がポートに接続されると、本機ではEAPOLのIDのリクエスト を返します。クライアントはIDをスイッチに送信し、RADIUSサーバに転送されます。
RADIUSサーバはクライアントのIDを確認し、クライアントに対してaccess challenge backを
送ります。
RADIUSサーバからのEAPパケットにはChallenge及び認証モードが含まれます。クライアン
トソフト及びRADIUSサーバの設定によっては、クライアントは認証モードを拒否し、他の認 証モードを要求することができます。認証モードには、MD5, TLS (Transport Layer
Security),TTLS (Tunneled Transport Layer Security)等があります。
クライアントは、パスワードや証明書などと共に、適切な方法により応答します。
RADIUSサーバはクライアントの証明書を確認し、許可または不許可のパケットを返します。認
証が成功した場合、クライアントに対してネットワークへのアクセスを許可します。そうでない 場合は、アクセスは否定され、ポートはブロックされます。
IEEE802.1x認証を使用するには本機に以下の設定を行います。
スイッチのIPアドレスの設定を行います。
RADIUS認証を有効にし、RADIUSサーバのIPアドレスを設定します。
認証を行う各ポートでdot1x"Auto"モードに設定します。
接続されるクライアント側にdot1xクライアントソフトがインストールされ、適切 な設定を行います。
RADIUSサーバ及びIEEE802.1xクライアントはEAPをサポートする必要がありま
す(本機ではEAPパケットをサーバからクライアントにパスするためのEAPOL のみをサポートしています)
RADIUSサーバとクライアントはMD5、TLS、TTLS、PEAP等の同じEAP認証タイ
プをサポートしている必要があります(一部はWindowsでサポートされています
Web Telnet
RADIUS/
TACACS+
server
console
1.ࠢࠗࠕࡦ࠻߇ࠬࠗ࠶࠴߳ߩࠕࠢࠬࠍ⹜ߺ߹ߔޕ ࠬࠗ࠶࠴ߪࠢࠗࠕࡦ࠻߳ KFGPVKV[ ࠢࠛࠬ࠻ࠍㅍࠅ߹ߔޕ ࠢࠗࠕࡦ࠻ߪ KFGPVKV[ ᖱႎࠍㅍࠅߒ߹ߔޕ
ࠬࠗ࠶࠴ߪߎߩᖱႎࠍ⸽ࠨࡃ߳ォㅍߒ߹ߔޕ ⸽ࠨࡃߪࠢࠗࠕࡦ࠻߳ %JCNNGPIG ࠍㅍࠅ߹ߔޕ ࠢࠗࠕࡦ࠻ߪ⸽ᦠࠍㅍࠅߒ߹ߔޕ
⸽ࠨࡃ߇ࠕࠢࠬࠍᛚߒ߹ߔޕ ࠬࠗ࠶࠴߇ࠢࠗࠕࡦ࠻߳ࠕࠢࠬࠍ⸵นߒ߹ߔޕ
802.1x グローバルセッティングの表示
802.1Xプロトコルはクライアントの認証を可能にします。
設定・表示項目
802.1X System Authentication Control スイッチに対する802.1Xの設定
設定方法
[Security]→[802.1x Information]をクリックします。
802.1x グローバルセッティングの設定
dot1Xプロトコルはポート認証を可能にします。ポートをアクティブに設定する前に、ス
イッチに対し802.1Xプロトコルを有効に設定する必要があります。
設定・表示項目
802.1X System Authentication Control
802.1Xの設定(初期設定:無効)
設定方法
[Security]→[802.1X]→[Configuration]をクリックします。スイッチに対する802.1Xを有 効に設定し、[Apply]をクリックします。
802.1X 認証ポート設定に関する設定
802.1Xを有効にした場合、クライアントとスイッチ間及びスイッチと認証サーバ間のクラ
イアント認証プロセスに関するパラメータを設定する必要があります。これらのパラメータ について解説します。
設定・表示項目
Port ポート番号 Status
ポートの認証の有効/無効 Operation Mode
1台又は複数のクライアントがIEEE802.1x認証ポートにアクセスすることを設定します
(設定範囲:Single-Host、Multi-Host、初期設定:Single-Host)
Max Count
Multi-Host設定時の最大接続可能クライアント数(設定範囲:1-1024、初期設定:5)
Mode
認証モードを以下のオプションの中から設定します。
−Auto ― dot1x対応クライアントに対してRADIUSサーバによる認証を要求します。dot1x 非対応クライアントからのアクセスは許可しません。
−Force-Authorized ― dot1x対応クライアントを含めたすべてのクライアントのアクセス を許可します。
−Force-Unauthorized ― dot1x対応クライアントを含めたすべてのクライアントのアクセ スを禁止します。
Re-authen
Re-authentication Periodで設定した期間経過後にクライアントを再認証するかどうか。再
認証により、新たな機器がスイッチポートに接続されていないかを検出できます(初期設 定:無効)
Max-Req
認証セッションがタイムアウトになる前に、EAPリクエストパケットをスイッチポートか らクライアントへ再送信する場合の最大回数(範囲:1-10回、初期設定:2回)
Quiet Period
EAPリクエストパケットの最大送信回数を過ぎた後、新しいクライアントの接続待機状態 に移行するまでの時間(範囲:1-65535秒、初期設定:60秒)
Re-authen Period
接続済みのクライアントの再認証を行う間隔(範囲:1-65535秒、初期設定:3600秒)
TX Period
認証時にEAPパケットの再送信を行う間隔(範囲:1-65535秒、初期設定:30秒)
Authorized
−Yes ― 接続されたクライアントは認証されています。
−No ―接続されたクライアントは認証されていません。
−Blank ― IEEE802.1xがポートで無効化されている場合は空欄となります。
Supplicant
接続されたクライアントのMACアドレス Trunk
トランク設定がされている場合に表示
設定方法
[Security]→[802.1x]→[Port Configuration]をクリックします。必要に応じてパラメータを 変更し、[Apply]をクリックします。
IEEE802.1x 統計情報の表示
dot1xプロトコルの各ポートの統計情報を表示します。
設定方法
[Security]→[802.1x statistics]をクリックします。ポートを選択し、[Query]をクリックしま す。[Refresh]をクリックすると最新の情報に更新されます。
機能解説
パラメータ 解説
Rx EXPOL Start EAPOLスタートフレームの受信数
Rx EAPOL Logoff EAPOLログオフフレームの受信数
Rx EAPOL Invalid 全EAPOLフレームの受信数
Rx EAPOL Total 有効なEAPOLフレームの受信数
Rx EAP Resp/Id EAP Resp/Idフレームの受信数
Rx EAP Resp/Oth Resp/Id frames以外の有効なEAP応答フ
レームの受信数
Rx EAP LenError パケット長が不正な無効EAPOLフレームの
受信数
Rx Last EAPOLVer 直近の受信EAPOLフレームのプロトコル
バージョン
Rx Last EAPOLSrc 直近の受信EAPOLフレームのソースMAC
アドレス
Tx EAPOL Total 全EAPOLフレームの送信数
Tx EAP Req/Id EAP Resp/Idフレームの送信数
Tx EAP Req/Oth Resp/Id frames以外の有効なEAP応答フ
レームの送信数