3. 認証ネットワークの構築
3.4. 動的 VLAN モード
3.4.3. AX1200S のコンフィグレーション
AX1200Sの設定
●上位スイッチとの通信用
(config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk
(config-if-range)# switchport trunk allowed vlan 10,100,200,1000
ポート0/25~0/26を、上位スイッチと通信するトラン クポートとして設定します。
トランクポートに認証後VLAN10、100、200および管 理用VLAN1000を設定します。
インタフェースの設定 (config)# interface vlan 10
(config-if)# ip address 192.168.10.12 255.255.255.0 (config)# interface vlan 100
(config-if)# ip address 192.168.100.12 255.255.255.0 (config)# interface vlan 200
(config-if)# ip address 192.168.200.12 255.255.255.0 (config)# interface vlan 1000
(config-if)# ip address 172.16.0.12 255.255.255.0
認証前VLAN10および認証後VLAN100、200にイン タフェースIPアドレスをそれぞれ設定します。
構築ポイント(4)
管理用VLAN1000にインタフェースIPアドレスを設 定します。
デフォルトルートの設定
(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.254 デフォルトルートを設定します。
構築ポイント(8)
RADIUSサーバの設定
(config)# RADIUS-server host 10.50.0.2 key alaxala
(config)# RADIUS-server host 10.50.0.1 key alaxala RADIUSサーバのIPアドレスおよびキーを設定しま す。本ガイドではキーを「alaxala」としています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3 syslogサーバのIPアドレスを設定します。
SNMPの設定
(config)# snmp-server community ALAXALA
(config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication
(config)# snmp-server traps dot1x-trap all
web-authentication-trap all mac-authentication-trap all
SNMPコミュニティを設定します。本ガイドでは
「ALAXALA」としています。
SNMPマネージャを登録します。本ガイドでは、
IEEE802.1X認証・Web認証・MAC認証のトラップを 送信しています。
トラップの発行契機を設定します。本ガイドでは IEEE802.1X認証・Web認証・MAC認証それぞれの全 トラップを発行しています。
(3) IEEE802.1X認証の設定 AX1200Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま す。
IEEE802.1X認証の設定
(config)# dot1x system-auth-control
(config)# interface range fastethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication
(config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x supplicant-detection auto
(config-if-range)# dot1x timeout quiet-period 5
IEEE802.1X認証を有効にします。
ポート0/1~0/10に対して、IEEE802.1X認証(ポート 単位動的)を有効にします。
認証サブモードを端末認証モードに設定します。
再認証を有効にします。
再認証を行う周期を3600秒に設定します。
端末検出モードをautoに設定します。
AX1230Sの場合disableに設定してください。
構築ポイント(9)
非認証状態保持時間を5秒に設定します。
構築ポイント(10)
(4) Web認証の設定 AX1200Sの設定
認証専用IPv4アクセスリストの設定 (config)# ip access-list extended web-auth
(config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 eq bootps
(config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 10.50.0.2 0.0.0.0 eq domain
(config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 10.50.0.1 0.0.0.0 eq domain
---(AX1240S新フォーマット)
(config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit udp any host 10.50.0.2 eq domain (config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・「10.50.0.2」「10.50.0.1」へのDNS通信を許可する。
構築ポイント(3)
AX1240SはAX2400Sシリーズと同等な新フォーマ ットに対応しましたが、AX1230Sの旧フォーマット でも受付けて自動的に変換します。
物理ポートの設定
(config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/1~0/20をWeb認証対象ポートとして設定 します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証ポートにアクセスリストを適用します。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication
default group RADIUS RADIUSサーバでユーザ認証を行うことを設定しま
す。
Web認証の設定
(config)# web-authentication ip address 10.10.10.10 fqdn
login.example.com Web認証専用IPアドレスを設定します。本ガイドで
は「10.10.10.10」としています。
AX1200Sの設定
(config)# web-authentication roaming action trap 認証済み端末をポート移動したときに、トラップを送 信します
DHCPサーバの設定
(config)# service dhcp vlan 10
(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.100 (config)#ip dhcp excluded-address 192.168.10.151
192.168.10.254
(config)# ip dhcp pool AUTH
(dhcp-config)# network 192.168.10.0/24 (dhcp-config)# lease 0 0 0 10
(dhcp-config)# dns-server 10.50.0.2 10.50.0.1 (dhcp-config)# default-router 192.168.10.254
VLAN10でDHCPサーバを有効にします。
DHCPアドレス配布対象から除外する IPアドレスを 設定します。
DHCPアドレスプール情報を設定します。
配布するネットワークIPアドレスを設定します。
リース時間を10秒に設定します。
構築ポイント(6)
配布するDNSサーバのIPアドレスを設定する 配布するデフォルトルートを設定します。
(5) MAC認証の設定 AX1200Sの設定
RADIUSの設定
(config)# aaa authentication mac-authentication
default group RADIUS RADIUS サーバで MAC 認証を行うことを設定しま
す。
MAC認証の設定(グローバル)
(config)# mac-authentication id-format 1
(config)# mac-authentication password alaxala
(config)# mac-authentication system-auth-control (config)# mac-authentication roaming
以下の設定は、環境に合わせて行います。
(config)# mac-authentication timeout quiet-period 600
(config)# mac-authentication max-timer 1400
(config)# no mac-authentication auto-logout (config)# mac-authentication roaming action trap
RADIUSサーバへ認証要求する際のMACアドレス形 式を設定します。
構築ポイント(11)
MAC 認証のパスワードを統一する場合に設定しま す。本ガイドでは統一パスワードを「alaxala」として います。
MAC認証を有効にします。
認証済み端末をポート移動通信を許可します。
認証失敗時に再認証を行うまでの待ち時間を 600 秒 に設定します。
認証成功後の最大接続時間を1400分に設定します。
構築ポイント(12)
無通信時のログアウトを無効にします。
認証済み端末をポート移動したときに、トラップを送 信します。
MAC認証の設定(物理ポート)
(config)# interface range fastethernet 0/1-20
(config-if-range)# mac-authentication port ポート0/1~0/20をMAC認証対象ポートとして設定 します。
(6) スタティックMAC登録の設定 AX1200Sの設定
動的VLANモードの認証を除外するスタティックMAC登録設定 (config)# vlan 100 mac-based
(config-vlan)# mac-address 0011.2233.4455
(config)# mac-address-table static 0011.2233.4455 vlan 100 interface fastethernet 0/1
認証せずに通信を行う端末の MAC アドレスを、MAC VLAN100に対して設定します。
認 証 せ ず に 通 信 を 行 う 端 末 の MAC ア ド レ ス を 、 VLAN100のポート0/1に対して設定します。