構築ポイント

動的VLANモードの認証ネットワーク構成図について、構築のポイントを以下に示します。

コアスイッチ側の設定は3.4章と同様のため省略しています。

必須項目

（１） Web 認証のURLリダイレクト機能を使用する場合、認証前VLANをアップリンク側のポー トに追加する。

認証前 VLAN から DNSサーバへ通信を行うため、認証前 VLAN をアップリンク側のポートに 追加します。

（２） Web認証用ポートにフィルタを設定する。

ポートにWeb認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。URL リダイレクトや検疫などで認証前に通信を行いたい場合は、アクセスリストを作成してポートに 適用する必要があります。また、ARPリレーの設定も必要です。

本ガイドでは、次のアクセスリストを作成して、Web認証ポートに適用しています。

(d) DHCP通信を許可する

(e) DNSサーバ「10.50.0.2」へのDNS通信を許可する

(f) DNSサーバ「10.50.0.1」へのDNS通信を許可する

（３） Web認証専用IPアドレスを設定する。

Web認証用のIPアドレスを設定します。このIPアドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。

また、認証スイッチでarp解決を行うため、認証後VLANのインタフェースIPアドレス設定が 必要です。本ガイドでは、認証後VLANのIPアドレスをそれぞれ次のように設定しています。

認証後VLAN ID 認証スイッチ

AX2500S

100 192.168.100.13

200 192.168.200.13

（４） Web認証でSSLを使用する場合はFQDNを設定をする。

Web認証でSSL通信(https)する場合に証明書の発行先サイトとURL名が一致しないとURLリ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名をFQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途DNSサーバに設定したサイト名をWeb認証専用IPで応答させる必 要があります。

（５） 認証前VLANにDHCPでIPアドレスを配布する。

動的VLANモードでは、認証前と認証後でIPアドレスが切り替わるため、認証前VLANと認証 後 VLAN に対して、それぞれ DHCP サーバが必要です。本ガイドでは、認証スイッチの DHCP

サーバ機能を用いて認証前VLANにIPアドレスを配布しています。

認証後にIPアドレスを速やかに切り替えるため、リース時間は短い値に設定して下さい。本ガ イドでは10秒に設定しています。また、URLリダイレクト機能を使用する場合は、DNSサーバ 情報も配布して下さい。

認証ネットワーク内の各認証スイッチで同一サブネットIPアドレスを配布すると、IPアドレス が重複してしまう場合があります。このため、本ガイドではIPアドレス配布対象除外コマンドを 用いて重複しないようにしています。詳細は注意事項6.2.5を参照して下さい。

（６） 認証スイッチと端末との間にハブを設置する場合、EAPOLフォワーディング機能のあるハブ を用いる。

IEEE802.1X 認証を行う場合、認証スイッチと端末との間に設置する L2 スイッチ、ハブには

EAPOLフォワーディング機能が必要です。

（７） デフォルトルートを設定する。

RADIUSサーバと通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（８） IEEE802.1X端末検出機能をautoに設定する。

認証スイッチのIEEE802.1X端末検出機能autoに変更します。(6.1.1章参照)

（９） 認証スイッチの非認証状態保持時間を調整する。

IEEE802.1X認証機能を有効に設定したWindows端末は、起動時にコンピュータのIEEE802.1X

認証を行い、ユーザログオン時にユーザの IEEE802.1X 認証を行います。本ガイドの認証ネット ワーク構成ではコンピュータの認証が失敗するため、次のユーザ認証が行えるようになるまで非 認証状態保持時間かかります。この時間はデフォルト値で60秒なので、認証処理を早く行いたい 場合は短い値に設定して下さい。（詳細は注意事項6.1.3を参照）

本ガイドでは、非認証状態保持時間を5秒に設定しています。

（１０） MAC認証のIDを統一する。

AX2400SとAX2500SのMAC認証フォーマットはデフォルトで異なっています。認証スイッ

チが混在している環境では、AX2500Sのフォーマットを変更します。

（１１） MAC認証の最大接続時間を設定する。

MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること

ダイナミックACLの設定（AX2500Sのみ）

ダイナミックACLは動的VLANモードでも併用可能ですが、設定方法は固定VLANと共通のため 固定VLANモードの設定を参照してください。。

MAC VLANポートにおけるTag付きVLANの認証

AX2500S Ver3.4よりMACVLANポートでIEEE802.1q VLANの認証が可能となりました。

詳細は

コンフィグレーションガイドVol2「 5.8.1 MAC ポートでTagged フレームを認証する設定」

コンフィグレーションガイドVol1「18.7 MAC VLAN の解説」を参照してください 本コンフィグ例では設定例は省略します。

設定する場合はMACVLANポートに以下のコマンドを追加してください (config-if)# switchport mac dot1q vlan <VLAN番号リスト>

※ MACVLANポートでTag付きVLANを認証除外して通信許可したい場合：

認証専用IPv4 アクセスリストに，当該VLAN番号をVLAN条件に指定することで，

認証を除外して通信許可とすることが可能です。