3. 認証ネットワークの構築
3.2. 固定VLANモード
3.2.3. AX1200Sのコンフィグレーション
AX1200Sの設定
(config)# interface vlan 300
(config-if)# ip address 192.168.30.12 255.255.255.0 (config)# interface vlan 1000
(config-if)# ip address 172.16.0.12 255.255.255.0
管理用VLAN1000にインタフェースIPアドレ
スを設定します。
アクセスリストの設定
(config)# ip access-list extended VRRPstop (config-ext-nacl)# deny protocol vrrp src 0.0.0.0 255.255.255.255 dst 224.0.0.18 0.0.0.0
(config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 (config)# interface vlan 100
(config-if)# ip access-group VRRPstop in (config)# interface vlan 200
(config-if)# ip access-group VRRPstop in (config)# interface vlan 300
(config-if)# ip access-group VRRPstop in
以下のアクセスリストを作成します。
・「224.0.0.18」宛てのVRRP通信を拒否する。
・すべての通信を許可する。
クライアント用VLAN100、200および300に アクセスリストを適用します。
構築ポイント(12)
デフォルトルートの設定
(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.254 RADIUSサーバと通信を行うため、デフォルト ルートを設定します。
構築ポイント(8)
RADIUSサーバの設定
(config)# radius-server host 10.50.0.2 key alaxala (config)# radius-server host 10.50.0.1 key alaxala
RADIUS サーバのIPアドレスおよびキーを設
定します。本ガイドではキーを「alaxala」と しています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3 syslogサーバのIPアドレスを設定します。
SNMPの設定
(config)# snmp-server community ALAXALA
(config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication
(config)# snmp-server traps dot1x-trap all
web-authentication-trap all mac-authentication-trap all
SNMPコミュニティを設定します。本ガイドで は「ALAXALA」としています。
SNMPマネージャを登録します。本ガイドで は、IEEE802.1X認証・Web認証・MAC認証 のトラップを送信しています。
トラップの発行契機を設定します。本ガイドで
はIEEE802.1X認証・Web認証・MAC認証そ
れぞれの全トラップを発行しています。
Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 48
(3) IEEE802.1X認証の設定 AX1200Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
IEEE802.1X認証の設定
(config)# interface range fastethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication
(config-if-range)# dot1x supplicant-detection disable
(config)# dot1x system-auth-control 以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x timeout tx-period 30
ポート0/1~0/10に対して、IEEE802.1X認証
(ポート単位)を有効にします。
認証サブモードを端末認証モードに設定しま す。
サプリカントの再認証を有効にします。
端 末 検 出 モ ー ド を disable に し て 、
EAP-Request/Identifyの送信を抑止します。
構築ポイント(9)
IEEE802.1X認証を有効にします。
再認証を行う周期を300秒に設定します。
EAP-Request/Identityの送出間隔を30秒に設 定します。
(4) Web認証の設定 AX1200Sの設定
Web認証用アクセスリストの設定
(config)# ip access-list extended web-auth
(config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 eq bootps (config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 10.50.0.2 0.0.0.0 eq domain
(config-ext-nacl)# permit udp src 0.0.0.0 255.255.255.255 dst 10.50.0.1 0.0.0.0 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNSサーバ「10.50.0.2」へのDNS通信を許 可する。
・DNSサーバ「10.50.0.1」へのDNS通信を許 可する。
構築ポイント(3)
物理ポートの設定
(config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/1~0/20をWeb認証対象ポートとし
て設定します。
認証前の端末から送信される他宛て ARP パ ケットを認証対象外のポートへ出力させま す。
認証用アクセスリストを適用します。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
Web認証の設定
(config)# web-authentication ip address 10.10.10.10
(config)# web-authentication static-vlan roaming
(config)# web-authentication system-auth-control
Web認証専用IPアドレスを設定します。本ガ イドでは「10.10.10.10」としています。
構築ポイント(4)
認証済み端末のポート移動後通信を許可しま す。
構築ポイント(6)
Web認証を有効にします。
AX1200Sの設定
以下の設定は、環境に合わせて行います。
(config)# web-authentication max-timer 60 (config)# web-authentication jump-url http://www.alaxala.com/
(config)# web-authentication static-vlan roaming action trap
認証成功後の最大接続時間を60分に設定しま す。
認証成功後に表示するURLを設定します。本 ガイドでは「http://www.alaxala.com/」として います。
認証済み端末をポート移動したときに、トラ ップを送信します。
(5) MAC認証の設定 AX1200Sの設定
物理ポートの設定
(config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port
ポート0/1~0/20をMAC認証対象ポートとし
て設定します。
RADIUSの設定
(config)# aaa authentication mac-authentication default group radius
RADIUSサーバでMAC認証を行うことを設定
します。
MAC認証の設定
(config)# mac-authentication id-format 1
(config)# mac-authentication static-vlan roaming
(config)# mac-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# mac-authentication timeout quiet-period 600
(config)# mac-authentication max-timer 60
(config)# mac-authentication password alaxala
(config)# mac-authentication static-vlan roaming action trap
RADIUSサーバへ認証要求する際のMACアド
レス形式を設定します。
構築ポイント(10)
認証済み端末のポート移動後通信を許可しま す。
構築ポイント(6)
MAC認証を有効にします。
認証失敗時に再認証を行うまでの待ち時間を 600秒に設定します。
認証成功後の最大接続時間を60分に設定しま す。
構築ポイント(11)
MAC認証のパスワードを統一する場合に設定 し ま す 。 本 ガ イ ド で は 統 一 パ ス ワ ー ド を
「alaxala」としています。
認証済み端末をポート移動したときに、トラ ップを送信します。
(6) スタティックMAC登録の設定 AX1200Sの設定
固定VLANモード認証を除外するスタティックMAC登録設定 (config)# mac-address-table static 0011.2233.4455 vlan 100 interface fastethernet 0/1
認証せずに通信を行う端末の MAC アドレス を、VLAN100のポート0/1に対して設定しま す。
Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 50