3. 認証ネットワークの構築
3.4. 動的 VLAN モード
3.4.4. AX2400S のコンフィグレーション
AX2400Sの設定
(config-if)# ip address 172.16.0.11 255.255.255.0 管理用VLAN1000にインタフェースIPアドレスを設 定します。
デフォルトルートの設定
(config)# ip default-gateway 172.16.0.254 RADIUSサーバと通信を行うため、デフォルトルート を設定します。
構築ポイント(8)
RADIUSサーバの設定
(config)# RADIUS-server host 10.50.0.2 key alaxala
(config)# RADIUS-server host 10.50.0.1 key alaxala RADIUS サーバの IP アドレスおよびキーを設定しま す。本ガイドではキーを「alaxala」としています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3
(config)# logging event-kind aut syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定します。
(3) IEEE802.1X認証の設定 AX2400Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group RADIUS
(config)# aaa authorization network default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま す。
RADIUSサーバでIEEE802.1X認証(動的VLAN)を行う ことを設定します。
IEEE802.1X認証の設定
(config)# dot1x vlan dynamic RADIUS-vlan 100,200 (config)# dot1x vlan dynamic enable
(config)# dot1x vlan dynamic reauthentication
(config)# dot1x vlan dynamic supplicant-detection auto
(config)# dot1x vlan dynamic timeout quiet-period 5 (config)# dot1x system-auth-control
以下の設定は、環境に合わせて行います。
(config)# dot1x vlan dynamic timeout reauth-period 3600 (config)# dot1x vlan dynamic timeout quiet-period 5
認証後VLANを、VLAN100および200とします。
IEEE802.1X認証(動的VLAN)を有効にします。
サプリカントの再認証を有効にします。
端末検出モードをautoに設定します。
構築ポイント(9)
非認証状態保持時間を5秒に設定します。
構築ポイント(10)
IEEE802.1X認証を有効にします。
再認証を行う周期を3600秒に設定します。
失敗後再認証開始を5秒に設定します。
(4) Web認証の設定 AX2400Sの設定
認証専用Ipv4アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit udp any host 10.50.0.2 eq domain (config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNSサーバ「10.50.0.2」へのDNS通信を許可する。
・DNSサーバ「10.50.0.1」へのDNS通信を許可する。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication
default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま
す。
Web認証の設定(グローバル)
(config)# web-authentication ip address 10.10.10.10 fqdn login.example.com
(config)# web-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# no web-authentication auto-logout (config)# web-authentication max-timer 1400
(config)# web-authentication jump-url http://testweb.net/
Web認証専用IPアドレスを設定します。本ガイドで は「10.10.10.10」としています。
構築ポイント(4)
FQDNに証明書の発行先サイトを指定
構築ポイント(5)
Web認証を有効にします。
自動認証ログアウトを無効にします。
認証成功後の最大接続時間を1400分に設定します。
認証成功後に表示するURLを設定します。本ガイド では「http://testweb.net/」としています。
Web認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-40 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-grpup web-auth
ポート0/1~0/40をWeb認証対象ポートとして設定 します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証用アクセスリストを適用します。
構築ポイント(3)
DHCPサーバの設定
(config)# service dhcp vlan 10
(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.150
(config)#ip dhcp excluded-address 192.168.10.201 192.168.10.254
(config)# ip dhcp pool AUTH
(dhcp-config)# network 192.168.10.0/24 (dhcp-config)# lease 0 0 0 10
(dhcp-config)# default-router 192.168.10.254 (dhcp-config)# dns-server 10.50.0.2 10.50.0.1
認証前VLAN10でDHCPサーバを有効にします。
DHCPアドレス配布対象から除外する IPアドレスを 設定します。
構築ポイント(6)
DHCPアドレスプール情報を設定します。
配布するネットワークIPアドレスを設定します。
リース時間を10秒に設定します。
構築ポイント(6)
配布するデフォルトルートを設定します。
配布するDNSサーバを設定します。
構築ポイント(6)
syslogサーバの設定
(config)# web-authentication logging enable Web認証の動作ログをsyslogサーバへ出力します。
(5) MAC認証の設定 AX2400Sの設定
MAC認証の設定(グローバル)
(config)# mac-authentication system-auth-control MAC認証を有効にします。
AX2400Sの設定 RADIUSの設定
(config)# aaa authentication mac-authentication
default group RADIUS RADIUS サーバで MAC 認証を行うことを設定しま
す。
MAC認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-40
(config-if-range)# mac-authentication port ポート0/1~0/40をMAC認証対象ポートとして設定 します。
syslogサーバの設定
(config)# mac-authentication logging enable MAC認証の動作ログをsyslogサーバへ出力します。
(6) スタティックMAC登録の設定 AX2400Sの設定
動的VLAN認証を除外するスタティックMAC登録設定 (config)# vlan 100 mac-based
(config-vlan)# mac-address 0011.0022.0033
(config)# mac-address-table static 0011.0022.0033 vlan 100 interface gigabitethernet 0/1
認証せずに通信を行う端末のMACアドレスを、MAC VLAN100に対して設定します。
認証せずに通信を行う端末のMACアドレスを、MAC アドレステーブルに対して設定します。