構築ポイント

固定VLANモードの認証ネットワーク構成図について、構築のポイントを以下に示します。

必須項目

（１） 運用前にシステムファンクションリソースを設定する。(AX1200Sのみ)

固定VLANモードを使用する場合、運用前にシステムファンクションリソース配分を変更して フィルタ機能と拡張認証機能を有効にします。設定変更後は装置の再起動が必要です。

（２） アップリンク側ポートに認証除外設定をする。(AX2400Sのみ)

IEEE802.1X認証(固定VLAN)を行う場合、上位スイッチとの通信を行うポートに認証除外の設

定が必要です。

（３） Web認証用ポートにフィルタを設定する。

ポートに Web 認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。認 証前に通信を行いたい場合は、アクセスリストを作成してポートに適用する必要があります。ま た、ARPリレーの設定も必要です。

本ガイドでは、次のアクセスリストを作成して、Web認証ポートに適用しています。

(a) DHCP通信を許可する

(b) DNSサーバ「10.50.0.2」へのDNS通信を許可する

(c) DNSサーバ「10.50.0.1」へのDNS通信を許可する

（４） Web認証専用IPアドレスを設定する。

Web認証用のIPアドレスを設定します。このIPアドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。なお、AX2400S で設定後は Webサーバの再起動が必要です。

また、クライアント用VLANのインタフェースIPアドレス設定が必要です。本ガイドでは、ク ライアント用VLANのIPアドレスをそれぞれ次のように設定しています。

認証スイッチ クライアント用

VLAN ID AX2400S AX1200S

100 192.168.100.11 192.168.100.12

200 192.168.200.11 192.168.200.12

300 192.168.30.11 192.168.30.12

400 192.168.40.11 －

（５） Web認証でSSLを使用する場合はFQDNを設定をする。（AX2400S,AX3600Sのみ）

Web認証でSSL通信(https)する場合に証明書の発行先サイトとURL名が一致しないとURLリ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名をFQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途DNSサーバに設定したサイト名をWeb認証専用IPで応答させる必 要があります。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 44

（６） Web認証およびMAC認証時のポート移動後通信を許可する。（AX1200Sのみ）

ハブ経由でWeb 認証または MAC 認証を実施する場合、認証済み端末をリンクダウンせずに ポート移動したときの通信許可（ローミング）を設定します。

（７） 認証スイッチと端末との間にハブを設置する場合、EAPOLフォワーディング機能のあるハブ を用いる。

IEEE802.1X認証を行う場合、認証スイッチと端末との間に設置するハブにはEAPOLフォワー

ディング機能が必要です。AX1200SにはEAPOLフォワーディング機能が実装されています。

（８） デフォルトルートを設定する。

RADIUSサーバへ通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（９） IEEE802.1X端末検出機能を停止する。

認証スイッチおよびネットワークの負荷を軽減するため、認証スイッチのIEEE802.1X端末検 出機能を停止します。(5.1.1章参照)

（１０） MAC認証のIDを統一する。(AX1200Sのみ)

AX2400SとAX1200SのMAC認証フォーマットはデフォルトで異なっています。認証スイッ

チが混在している環境では、AX1200Sのフォーマットを変更します。

（１１） MAC認証の最大接続時間を設定する。

MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること を推奨します。最大接続時間を設定すると、再度認証を行う際にパケットロスが発生する事に注 意して下さい。（5.3.1章参照）

（１２） 認証スイッチでVRRPをフィルタリングする。

VRRPを使用すると、VLAN毎にVRRP制御パケットが端末まで送信されます。VLAN数が増 加した場合、ネットワークに負荷がかかるのを防ぐため、本ガイドでは、アクセスリストを用い て認証スイッチにおけるVRRP制御パケットをフィルタリングしています。これにより、コアス イッチ間の回線に障害が起きた場合、VRRPがダブルマスタになる事に注意して下さい。

（１３） コアスイッチ間の回線にリンクアグリゲーションを設定する。

コアスイッチ間の回線を冗長化するため、リンクアグリゲーションを設定します。本ガイドで は、スタティックモードを用いています。

（１４） 認証スイッチの認証用ポートはスパニングツリー対象外にする。

スパニングツリーを使用する場合、リンクアップ後すぐ認証処理が開始されるようにするため、

認証用ポートはスパニングツリー対象外とします。

なお、本ガイドではシングルスパニングツリーを使用していますが、全認証スイッチが固定 VLANモードのみで構成されている場合は、PVST+を使用することもできます。

（１５） VRRPのマスタ、STPのルートブリッジを設定する。

本ガイドでは、core#1の仮想ルータ優先度を「200」、core#2の優先度を「100」として、core#1 をマスタに設定しています。また、core#1のブリッジ優先度を「4096」、core#2のブリッジ優先 度を「8192」として、core#1をルートブリッジに設定しています。

（１６） DHCPの設定をする。

DHCPサーバからIPアドレスを取得する構成の場合、コアスイッチにDHCPリレーエージェ ントによる転送先アドレスの設定をします。また、DHCPサーバ側の設定で、配布するデフォル トゲートウェイをVRRPの仮想ルータアドレスに設定する必要があります。

（１７） RADIUSタイマ値をチューニングする。(AX2400Sのみ)

RADIUSサーバを2台以上設置してIEEE802.1X認証を行う場合は、RADIUSサーバの応答待ち

時間を短く設定する必要があります。（5.1.4章参照）

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 46