構築ポイント

固定VLANモードの認証ネットワーク構成図について、構築のポイントを以下に示します。なおコア スイッチ側の設定は3.2章と共通なため省略しています。

必須項目

（１） Web認証用ポートに認証専用アクセスリストを設定する。

ポートに Web 認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。認 証前に通信を行いたい場合は、認証専用 IPv4 アクセスリストを作成してポートに適用する必要 があります。また、ARPリレーの設定も必要です。

本ガイドでは、次のアクセスリストを作成して、Web認証ポートに適用しています。

(a) DHCP通信を許可する

(b) DNSサーバ「10.50.0.2」へのDNS通信を許可する

(c) DNSサーバ「10.50.0.1」へのDNS通信を許可する

（２） Web認証専用IPアドレスを設定する。

Web認証用のIPアドレスを設定します。このIPアドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。なお、AX2400S で設定後は Webサーバの再起動が必要です。

また、クライアント用VLANのインタフェースIPアドレス設定が必要です。本ガイドでは、ク ライアント用VLANのIPアドレスをそれぞれ次のように設定しています。

クライアント用 VLAN ID

認証スイッチ AX2400S

100 192.168.100.13

200 192.168.200.13

300 192.168.30.13

（３） Web認証でSSLを使用する場合はFQDNを設定をする。

Web認証でSSL通信(https)する場合に証明書の発行先サイトとURL名が一致しないとURLリ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名をFQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途DNSサーバに設定したサイト名をWeb認証専用IPで応答させる必 要があります。

（４） Web認証およびMAC認証時のポート移動後通信を許可する。

ハブ経由でWeb認証または MAC 認証を実施する場合、認証済み端末をリンクダウンせずに ポート移動したときの通信許可（ローミング）を設定します。

（５） 認証スイッチと端末との間にハブを設置する場合、EAPOLフォワーディング機能のあるハブ を用いる。

IEEE802.1X認証を行う場合、認証スイッチと端末との間に設置するハブにはEAPOLフォワー

ディング機能が必要です。AX1200SにはEAPOLフォワーディング機能が実装されています。

（６） デフォルトルートを設定する。

RADIUSサーバへ通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（７） IEEE802.1X端末検出機能をautoに変更する。

認証スイッチのIEEE802.1X端末検出機能autoに変更します。(6.1.1章参照)

（８） MAC認証のIDを統一する。

AX2400SとAX2500SのMAC認証フォーマットはデフォルトで異なっています。認証スイッ

チが混在している環境では、AX2500Sのフォーマットを変更します。

（９） MAC認証の最大接続時間を設定する。

MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること を推奨します。最大接続時間を設定すると、再度認証を行う際にパケットロスが発生する事に注 意して下さい。（6.3.1章参照）

（１０） 認証スイッチの認証用ポートはスパニングツリー対象外にする。

スパニングツリーを使用する場合、リンクアップ後すぐ認証処理が開始されるようにするため、

認証用ポートはスパニングツリー対象外とします。

なお、本ガイドではシングルスパニングツリーを使用していますが、全認証スイッチが固定 VLANモードのみで構成されている場合は、PVST+を使用することもできます。

トランクポートにおけるIEEE802.1X認証について

AX2500S Ver3.4以降でトランクポートによるIEEE802.1X認証がサポートされ、トリプル認証が利

用できるようになりました。

※トランクポートでVLANを認証除外して通信許可したい場合：

ダイナミックACLの設定（AX2500Sシリーズのみ利用可能）

（１） ACLを作成する。

下記に示すアクセス制御用のフィルタエントリを作成します

ACLは指定したパケットの廃棄または通過の指定を書きます。検索順はシーケンス番号の小さいもの から順に検索していき、一致した場合に制御に従いpremt(通過)、deny(廃棄）で制御し、最後までヒッ トしない場合は暗黙の廃棄となります。

本例では通過させたいあて先ネットワークアドレスをクラス指定で追加し、クラス指定無しの場合当 該ネットワークアドレスを廃棄とするような例で説明します。

下記に示す例はクラス毎に保護したいネットワークを指定する例です、ACL指定の無いネットワーク へは許可とする場合の設定例のため、シーケンス番号で最後のところにヒットしない場合any指定でIP パケットの通過と指定しています。

表 3.5-3 ダイナミックACLでアクセス制御するネットワーク

ネットワーク ネットA

(192.168.40.0/24)

ネットB

(192.168.50.0/24)

ネットC

(192.168.60.0/24)

その他

（Any）

通信可能な クラス

1 1,2 1,3 全クラス

表 3.5-4 ACL設定例 ACL

シーケンス 番号

アクセス制御 あて先ネットワーク

IPアドレス クラス 備考

10 permit 192.168.40.0/24 1 クラス1通過

20 deny 192.168.40.0/24 - 全クラス廃棄

30 permit 192.168.50.0/24 1 クラス1通過

40 permit 192.168.50.0/24 2 クラス2通過

50 deny 192.168.50.0/24 - 全クラス廃棄

60 permit 192.168.60.0/24 1 クラス1通過

70 permit 192.168.60.0/24 3 クラス3通過

80 deny 192.168.60.0/24 - 全クラス廃棄

90 permit Any - ヒ ッ ト し な い 場

合通過とします。