3. 認証ネットワークの構築
3.2. 固定 VLAN モード
3.2.4. AX2400S のコンフィグレーション
AX2400Sの設定 RADIUSサーバの設定
(config)# RADIUS-server host 10.50.0.2 key alaxala
(config)# RADIUS-server host 10.50.0.1 key alaxala RADIUS サーバの IP アドレスおよびキーを設定しま す。本ガイドではキーを「alaxala」としています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3
(config)# logging event-kind err,evt,aut syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定します。
(err,evtも出力する設定例)
(2) IEEE802.1X認証の設定 AX2400Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま す。
IEEE802.1X認証(ポート単位)の設定
(config)# interface range gigabitethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication
(config-if-range)# dot1x supplicant-detection auto
以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quiet-period 5
ポート0/1~0/10に対して、IEEE802.1X認証(ポート 単位)を有効にします。
認証サブモードを端末認証モードに設定します。
サプリカントの再認証を有効にします。
端末検出モードをautoに設定します。
構築ポイント(9)
再認証を行う周期を3600秒に設定します。
失敗後再認証開始を5秒に設定します。
IEEE802.1X認証(固定VLAN)の設定 (config)# dot1x vlan 100 reauthentication
(config)# dot1x vlan 100 supplicant-detection auto
(config)# dot1x vlan 100 enable
(config)# dot1x vlan 200 reauthentication
(config)# dot1x vlan 200 supplicant-detection disable (config)# dot1x vlan 200 enable
(config)# dot1x vlan 300 reauthentication
(config)# dot1x vlan 300 supplicant-detection disable (config)# dot1x vlan 300 enable
(config)# interface range gigabitethernet 0/47-48 (config-if-range)# dot1x force-authorized-port (config)# dot1x system-auth-control
以下の設定は、環境に合わせて行います。
(config)# dot1x vlan 100 timeout reauth-period 3600 (config)# dot1x vlan 100 timeout quiet-period 5 (config)# dot1x vlan 200 timeout reauth-period 3600 (config)# dot1x vlan 200 timeout quiet-period 5 (config)# dot1x vlan 300 timeout reauth-period 3600 (config)# dot1x vlan 300 timeout quiet-period 5
VLAN100に対し、サプリカントの再認証を有効にしま
す。
端末検出モードをautoにします。
構築ポイント(9)
IEEE802.1X認証(固定VLAN)を有効にします。
VLAN200および300に対しても同様に設定します。
上位スイッチと通信を行うポート0/47~0/48は、認証 対象外とします。
構築ポイント(2)
IEEE802.1X認証を有効にします。
再認証を行う周期を3600秒に設定します。
失敗後再認証開始を5秒に設定します。
(3) Web認証の設定 AX2400Sの設定
認証専用アクセスリストの設定
(config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit udp any host 10.50.0.2 eq domain (config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNSサーバ「10.50.0.2」へのDNS通信を許可する。
・DNSサーバ「10.50.0.1」へのDNS通信を許可する。
構築ポイント(3)
物理ポートの設定
(config)# interface range gigabitethernet 0/11-30 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/11~0/30をWeb認証対象ポートとして設定 します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証用アクセスリストを適用します。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication
default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま
す。
Web認証の設定
(config)# web-authentication ip address 10.10.10.10 fqdn login.example.com
(config)# web-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# web-authentication max-timer 1400 (config)# web-authentication jump-url http://www.alaxala.com/
(config)# no web-authentication auto-logout
Web認証専用IPアドレスを設定します。本ガイドで は「10.10.10.10」としています。
構築ポイント(4)
FQDNに証明書の発行先サイトを指定
構築ポイント(5)
Web認証を有効にします。
認証成功後の最大接続時間を1400分に設定します。
認証成功後に表示する URLを設定します。本ガイド では「http://www.alaxala.com/」としています。
無通信時の自動ログアウトを無降にします。
syslogサーバの設定
(config)# web-authentication logging enable Web認証の動作ログをsyslogサーバへ出力します。
(4) MAC認証の設定 AX2400Sの設定
物理ポートの設定
(config)# interface range gigabitethernet 0/11-30
(config-if-range)# mac-authentication port ポート0/11~0/30をMAC認証対象ポートとして設 定します。
RADIUSの設定
(config)# aaa authentication mac-authentication
default group RADIUS RADIUS サーバで MAC 認証を行うことを設定しま
す。
MAC認証の設定
(config)# mac-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# mac-authentication max-timer 1400
(config)# mac-authentication password alaxala
(config)# no mac-authentication auto-logout
MAC認証を有効にします。
認証成功後の最大接続時間を1400分に設定します。
構築ポイント(11)
MAC 認証のパスワードを統一する場合に設定しま す。本ガイドでは統一パスワードを「alaxala」とし ています。
無通信時の自動ログアウトを無効にします。
syslogサーバの設定
(config)# mac-authentication logging enable MAC認証の動作ログをsyslogサーバへ出力します。
(5) スタティックMAC登録の設定 AX2400Sの設定
固定VLANモード認証を除外するスタティックMAC登録設定 (config)# mac-address-table static 0011.0022.0033 vlan 100
interface gigabitethernet 0/11 認証せ ずに通信を行う端 末の MAC ア ドレスを、
VLAN100のポート0/11に対して設定します。