構築ポイント

動的VLANモードの認証ネットワーク構成図について、構築のポイントを以下に示します。

必須項目

（１） 運用前の事前設定を行う。

･AX1230Sのみ

運用前にシステムファンクションリソース配分を変更してフィルタ機能と拡張認証機能を有効 にします。設定変更後は装置の再起動が必要です。

･AX1200S/AX2200S

MACVLANを使用する認証スイッチにレイヤ2ハードウェアテーブルの検索方式をオートに設

定します。設定変更後は装置の再起動が必要です。

･AX2400S

MACVLANを使用する認証スイッチにレイヤ2ハードウェアテーブルの検索方式をオートに設

定します。設定変更後はVLANプログラムの再起動が必要です。

（２） Web 認証のURLリダイレクト機能を使用する場合、認証前VLANをアップリンク側のポー トに追加する。

認証前 VLAN から DNSサーバへ通信を行うため、認証前 VLAN をアップリンク側のポートに 追加します。

（３） Web認証用ポートにフィルタを設定する。

ポートにWeb認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。URL リダイレクトや検疫などで認証前に通信を行いたい場合は、認証専用 IPv4 アクセスリストを作 成してポートに適用する必要があります。また、ARPリレーの設定も必要です。

本ガイドでは、次のアクセスリストを作成して、Web認証ポートに適用しています。

(a) DHCP通信を許可する

(b) DNSサーバ「10.50.0.2」へのDNS通信を許可する

(c) DNSサーバ「10.50.0.1」へのDNS通信を許可する

（４） Web認証専用IPアドレスを設定する。

Web認証用のIPアドレスを設定します。このIPアドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。なお、AX2400S で設定後は Webサーバの再起動が必要です。

また、認証スイッチでarp解決を行うため、認証後VLANのインタフェースIPアドレス設定が 必要です。本ガイドでは、認証後VLANのIPアドレスをそれぞれ次のように設定しています。

認証後VLAN ID 認証スイッチ

AX2400S AX1200S

100 192.168.100.11 192.168.100.12 200 192.168.200.11 192.168.200.12

（５） Web認証でSSLを使用する場合はFQDNを設定をする。

Web認証でSSL通信(https)する場合に証明書の発行先サイトとURL名が一致しないとURLリ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名をFQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途DNSサーバに設定したサイト名をWeb認証専用IPで応答させる必 要があります。

（６） 認証前VLANにDHCPでIPアドレスを配布する。

動的VLANモードでは、認証前と認証後でIPアドレスが切り替わるため、認証前VLANと認証 後 VLAN に対して、それぞれ DHCP サーバが必要です。本ガイドでは、認証スイッチの DHCP サーバ機能を用いて認証前VLANにIPアドレスを配布しています。

認証後にIPアドレスを速やかに切り替えるため、リース時間は短い値に設定して下さい。本ガ イドでは10秒に設定しています。また、URLリダイレクト機能を使用する場合は、DNSサーバ 情報も配布して下さい。

認証ネットワーク内の各認証スイッチで同一サブネットIPアドレスを配布すると、IPアドレス が重複してしまう場合があります。このため、本ガイドではIPアドレス配布対象除外コマンドを 用いて重複しないようにしています。詳細は注意事項6.2.5を参照して下さい。

（７） 認証スイッチと端末との間にハブを設置する場合、EAPOLフォワーディング機能のあるハブ を用いる。

IEEE802.1X認証を行う場合、認証スイッチと端末との間に設置するハブにはEAPOLフォワー

ディング機能（EAPOL透過）が必要です。

（８） デフォルトルートを設定する。

RADIUSサーバと通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（９） IEEE802.1X端末検出機能をautoに設定する。

認証スイッチのIEEE802.1X端末検出機能autoに変更します。(6.1.1章参照)

ただしAX1230Sの場合auto未サポートのためdisableとします。

（１０） 認証スイッチの非認証状態保持時間を調整する。

IEEE802.1X認証機能を有効に設定したWindows端末は、起動時にコンピュータのIEEE802.1X

（１１） MAC認証のIDを統一する。(AX1200Sのみ)

AX2400SとAX1200SのMAC認証フォーマットはデフォルトで異なっています。認証スイッ

チが混在している環境では、AX1200Sのフォーマットを変更します。

（１２） MAC認証の最大接続時間を設定する。

MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること を推奨します。

（１３） コアスイッチ間の回線にリンクアグリゲーションを設定する。

コアスイッチ間の回線を冗長化するため、リンクアグリゲーションを設定します。本ガイドで は、スタティックモードを用いています。

（１４） シングルスパニングツリーを使用する。

AXシリーズではデフォルトでPVST+が動作していますが、MAC VLANではPVST+を使用す ることができないため、シングルスパニングツリーを使用します。シングルスパニングツリーを 有効にしても、ポートVLANではPVST+が動作しているので、ポートVLAN毎に PVST+を止め る必要があります。また、認証スイッチの認証用ポートおよびコアスイッチのOSPF通信用ポー トはスパニングツリー対象外とします。

（１５） VRRPのマスタ、STPのルートブリッジを設定する。

本ガイドでは、core#1の仮想ルータ優先度を「200」、core#2の優先度を「100」として、core#1 をマスタに設定しています。また、core#1のブリッジ優先度を「4096」、core#2のブリッジ優先 度を「8192」として、core#1をルートブリッジに設定しています。

（１６） 認証後のDHCPの設定をする。

認証後、DHCPサーバからIPアドレスを取得するため、コアスイッチにDHCPリレーエージ ェントによる転送先アドレスの設定をします。また、DHCP サーバ側の設定で、配布するデフォ ルトゲートウェイをVRRPの仮想ルータアドレスに設定する必要があります。

（１７） RADIUSタイマ値をチューニングする。(AX2400Sのみ)

RADIUSサーバを2台以上設置してIEEE802.1X認証を行う場合は、RADIUSサーバの応答待

ち時間を短く設定する必要があります。（6.1.4章参照）