AX1200Sのコンフィグレーション

AX1200Sの設定 インタフェースの設定 (config)# interface vlan 10

(config-if)# ip address 192.168.10.12 255.255.255.0 (config)# interface vlan 100

(config-if)# ip address 192.168.100.12 255.255.255.0 (config)# interface vlan 200

(config-if)# ip address 192.168.200.12 255.255.255.0 (config)# interface vlan 1000

(config-if)# ip address 172.16.0.12 255.255.255.0

認証前VLAN10および認証後VLAN100、200

にインタフェースIPアドレスをそれぞれ設定 します。

構築ポイント（４）

管理用VLAN1000にインタフェースIPアドレ

スを設定します。

アクセスリストの設定

(config)# ip access-list extended VRRPstop (config-ext-nacl)# deny protocol vrrp src 0.0.0.0 255.255.255.255 dst 224.0.0.18 0.0.0.0

(config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 (config)# interface vlan 100

(config-if)# ip access-group VRRPstop in (config)# interface vlan 200

(config-if)# ip access-group VRRPstop in

以下のアクセスリストを作成します。

・「224.0.0.18」宛てのVRRP通信を拒否する。

・すべての通信を許可する。

認証後VLAN100および200にアクセスリスト

を適用します。

構築ポイント（１３）

デフォルトルートの設定

(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.254 デフォルトルートを設定します。

構築ポイント（８）

RADIUSサーバの設定

(config)# radius-server host 10.50.0.2 key alaxala (config)# radius-server host 10.50.0.1 key alaxala

RADIUSサーバのIPアドレスおよびキーを設

定します。本ガイドではキーを「alaxala」と しています。

※設定した順に優先度が高くなります。

syslogサーバの設定

(config)# logging host 10.50.0.3 syslogサーバのIPアドレスを設定します。

SNMPの設定

(config)# snmp-server community ALAXALA (config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication

(config)# snmp-server traps dot1x-trap all

web-authentication-trap all mac-authentication-trap all

SNMPコミュニティを設定します。本ガイドで は「ALAXALA」としています。

SNMPマネージャを登録します。本ガイドで は、IEEE802.1X認証・Web認証・MAC認証 のトラップを送信しています。

トラップの発行契機を設定します。本ガイドで

はIEEE802.1X認証・Web認証・MAC認証そ

れぞれの全トラップを発行しています。

（３） IEEE802.1X認証の設定 AX1200Sの設定

RADIUSの設定

(config)# aaa authentication dot1x default group radius

RADIUS サーバでユーザ認証を行うことを設

定します。

IEEE802.1X認証の設定

(config)# dot1x system-auth-control

(config)# interface range fastethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication

(config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x supplicant-detection disable

(config-if-range)# dot1x timeout quiet-period 5

IEEE802.1X認証を有効にします。

ポート0/1～0/20に対して、IEEE802.1X認証

(ポート単位動的)を有効にします。

認証サブモードを端末認証モードに設定しま す。

再認証を有効にします。

再認証を行う周期を300秒に設定します。

端 末 検 出 モ ー ド を disable に し て 、

EAP-Request/Identifyの送信を抑止します。

構築ポイント（９）

非認証状態保持時間を5秒に設定します。

構築ポイント（１０）

（４） Web認証の設定 AX1200Sの設定

認証前アクセスリストの設定

(config)# ip access-list extended web-auth (config-ext-nacl)# permit udp src 0.0.0.0

255.255.255.255 dst 0.0.0.0 255.255.255.255 eq bootps (config-ext-nacl)# permit udp src 0.0.0.0

255.255.255.255 dst 10.50.0.2 0.0.0.0 eq domain (config-ext-nacl)# permit udp src 0.0.0.0

255.255.255.255 dst 10.50.0.1 0.0.0.0 eq domain

以下のアクセスリストを作成します。

・DHCP通信を許可する。

・「10.50.0.2」「10.50.0.1」への DNS 通信を 許可する。

構築ポイント（３）

物理ポートの設定

(config)# interface range fastethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay

(config-if-range)# authentication ip access-group web-auth

ポート0/1～0/20をWeb認証対象ポートとし

て設定します。

認証前の端末から送信される他宛て ARP パ ケットを認証対象外のポートへ出力させま す。

認証ポートにアクセスリストを適用します。

構築ポイント（３）

RADIUSの設定

(config)# aaa authentication web-authentication default group radius

RADIUSサーバでユーザ認証を行うことを設

定します。

Web認証の設定

(config)# web-authentication ip address 10.10.10.10

(config)# web-authentication roaming

(config)# web-authentication system-auth-control 以下の設定は、環境に合わせて行います。

(config)# no web-authentication auto-logout (config)# web-authentication max-timer 60 (config)# web-authentication roaming action trap

Web認証専用IPアドレスを設定します。本ガ イドでは「10.10.10.10」としています。

構築ポイント（４）

認証済み端末のポート移動後通信を許可しま す。

Web認証を有効にします

自動認証ログアウトを無効にします。

認証成功後の最大接続時間を60分に設定しま す。

認証済み端末をポート移動したときに、トラ ップを送信します

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 66

AX1200Sの設定 DHCPサーバの設定

(config)# service dhcp vlan 10

(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.100

(config)#ip dhcp excluded-address 192.168.10.151 192.168.10.254

(config)# ip dhcp pool AUTH

(dhcp-config)# network 192.168.10.0/24 (dhcp-config)# lease 0 0 0 10

(dhcp-config)# dns-server 10.50.0.2 10.50.0.1 (dhcp-config)# default-router 192.168.10.254

VLAN10でDHCPサーバを有効にします。

DHCPアドレス配布対象から除外するIPアド レスを設定します。

DHCPアドレスプール情報を設定します。

配布するネットワークIPアドレスを設定しま す。

リース時間を10秒に設定します。

構築ポイント（６）

配布するDNS サーバのIPアドレスを設定す る

配布するデフォルトルートを設定します。

（５） MAC認証の設定 AX1200Sの設定

物理ポートの設定

(config)# interface range fastethernet 0/1-20 (config-if-range)# mac-authentication port

ポート0/1～0/20をMAC認証対象ポートとし て設定します。

RADIUSの設定

(config)# aaa authentication mac-authentication default group radius

RADIUSサーバでMAC認証を行うことを設定

します。

MAC認証の設定

(config)# mac-authentication id-format 1

(config)# mac-authentication password alaxala

(config)# mac-authentication system-auth-control (config)# mac-authentication roaming

以下の設定は、環境に合わせて行います。

(config)# mac-authentication timeout quiet-period 600

(config)# mac-authentication max-timer 60

(config)# mac-authentication roaming action trap

RADIUSサーバへ認証要求する際のMACアド

レス形式を設定します。

構築ポイント（１１）

MAC認証のパスワードを統一する場合に設定 し ま す 。 本 ガ イ ド で は 統 一 パ ス ワ ー ド を

「alaxala」としています。

MAC認証を有効にします。

認証済み端末をポート移動通信を許可しま す。

認証失敗時に再認証を行うまでの待ち時間を 600秒に設定します。

認証成功後の最大接続時間を60分に設定しま す。

構築ポイント（１２）

認証済み端末をポート移動したときに、トラ ップを送信します

（６） スタティックMAC登録の設定 AX1200Sの設定

動的VLANモードの認証を除外するスタティックMAC登録設定 (config)# vlan 100 mac-based

(config-vlan)# mac-address 0011.2233.4455

(config)# mac-address-table static 0011.2233.4455 vlan 100 interface fastethernet 0/1

認証せずに通信を行う端末の MAC アドレス を、MAC VLAN100に対して設定します。

認証せずに通信を行う端末の MAC アドレス を、VLAN100のポート0/1に対して設定しま す。

ドキュメント内 認証ソリューションガイド (ページ 64-68)