構築ポイント

固定VLANモードの認証ネットワーク構成図について、構築のポイントを以下に示します。

必須項目

（１） 運用前にシステムファンクションリソースを設定する。(AX1230Sのみ)

固定 VLANモードを使用する場合、運用前にシステムファンクションリソース配分を変更して フィルタ機能と拡張認証機能を有効にします。設定変更後は装置の再起動が必要です。

（２） アップリンク側ポートに認証除外設定をする。(AX2400Sのみ)

IEEE802.1X認証(固定VLAN)を行う場合、上位スイッチとの通信を行うポートに認証除外の設

定が必要です。

（３） Web認証用ポートにフィルタを設定する。

ポートに Web 認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。認 証前に通信を行いたい場合は、認証専用 IPv4 アクセスリストを作成してポートに適用する必要 があります。また、ARPリレーの設定も必要です。

本ガイドでは、次のアクセスリストを作成して、Web認証ポートに適用しています。

(a) DHCP通信を許可する

(b) DNSサーバ「10.50.0.2」へのDNS通信を許可する

(c) DNSサーバ「10.50.0.1」へのDNS通信を許可する

（４） Web認証専用IPアドレスを設定する。

Web認証用のIPアドレスを設定します。このIPアドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。なお、AX2400S で設定後は Webサーバの再起動が必要です。

また、クライアント用VLANのインタフェースIPアドレス設定が必要です。本ガイドでは、ク ライアント用VLANのIPアドレスをそれぞれ次のように設定しています。

クライアント用 VLAN ID

認証スイッチ

AX2400S AX1200S

100 192.168.100.11 192.168.100.12 200 192.168.200.11 192.168.200.12 300 192.168.30.11 192.168.30.12

400 192.168.40.11 －

（５） Web認証でSSLを使用する場合はFQDNを設定をする。

Web認証でSSL通信(https)する場合に証明書の発行先サイトとURL名が一致しないとURLリ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名をFQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途DNSサーバに設定したサイト名をWeb認証専用IPで応答させる必 要があります。

（６） Web認証およびMAC認証時のポート移動後通信を許可する。（AX1200Sのみ）

ハブ経由でWeb認証または MAC 認証を実施する場合、認証済み端末をリンクダウンせずに ポート移動したときの通信許可（ローミング）を設定します。

（７） 認証スイッチと端末との間にハブを設置する場合、EAPOLフォワーディング機能のあるハブ を用いる。

IEEE802.1X認証を行う場合、認証スイッチと端末との間に設置するハブにはEAPOLフォワー

ディング機能が必要です。AX1200SにはEAPOLフォワーディング機能が実装されています。

（８） デフォルトルートを設定する。

RADIUSサーバへ通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（９） IEEE802.1X端末検出機能をautoに変更する。

認証スイッチのIEEE802.1X端末検出機能autoに変更します。(6.1.1章参照)

ただしAX1230Sの場合auto未サポートのためdisableとします。

（１０） MAC認証のIDを統一する。(AX1200Sのみ)

AX2400SとAX1200SのMAC認証フォーマットはデフォルトで異なっています。認証スイッ

チが混在している環境では、AX1200Sのフォーマットを変更します。

（１１） MAC認証の最大接続時間を設定する。

MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること を推奨します。最大接続時間を設定すると、再度認証を行う際にパケットロスが発生する事に注 意して下さい。（6.3.1章参照）

（１２） 認証スイッチの認証用ポートはスパニングツリー対象外にする。

スパニングツリーを使用する場合、リンクアップ後すぐ認証処理が開始されるようにするため、

認証用ポートはスパニングツリー対象外とします。

なお、本ガイドではシングルスパニングツリーを使用していますが、全認証スイッチが固定 VLANモードのみで構成されている場合は、PVST+を使用することもできます。

認証以外の項目

（１４） コアスイッチ間の回線にリンクアグリゲーションを設定する。

コアスイッチ間の回線を冗長化するため、リンクアグリゲーションを設定します。本ガイドで は、スタティックモードを用いています。

（１５） VRRPのマスタ、STPのルートブリッジを設定する。

本ガイドでは、core#1の仮想ルータ優先度を「200」、core#2の優先度を「100」として、core#1 をマスタに設定しています。また、core#1のブリッジ優先度を「4096」、core#2のブリッジ優先 度を「8192」として、core#1をルートブリッジに設定しています。

（１６） DHCPの設定をする。

DHCPサーバから IPアドレスを取得する構成の場合、コアスイッチに DHCPリレーエージェ ントによる転送先アドレスの設定をします。また、DHCP サーバ側の設定で、配布するデフォル トゲートウェイを本構成ではVRRPの仮想ルータアドレスに設定する必要があります。

トランクポートの認証について

AX1200S/AX2200SシリーズではトランクポートによるIEEE802.1X認証はサポートされていません

※認証除外についてトランクポートに認証を設定した場合、ネイティブVLANを含めて全てのVLAN で認証を行います、除外したい場合は、IPv4パケットのみ認証専用IPv4アクセスリストにおいてVLAN 指定により通信許可することが可能です