3. 認証ネットワークの構築
3.2. 固定VLANモード
3.2.4. AX2400Sのコンフィグレーション
AX2400Sの設定 アクセスリストの設定
(config)# ip access-list extended VRRPstop (config-ext-nacl)# deny vrrp any host 224.0.0.18 (config-ext-nacl)# permit ip any any
(config)# interface vlan 100
(config-if)# ip access-group VRRPstop in (config)# interface vlan 200
(config-if)# ip access-group VRRPstop in (config)# interface vlan 300
(config-if)# ip access-group VRRPstop in (config)# interface vlan 400
(config-if)# ip access-group VRRPstop in
以下のアクセスリストを作成します。
・「224.0.0.18」宛てのVRRP通信を拒否する。
・すべての通信を許可する。
クライアント用 VLAN100、200、300 および 400にアクセスリストを適用します。
構築ポイント(12)
デフォルトルートの設定
(config)# ip default-gateway 172.16.0.254 RADIUSサーバと通信を行うため、デフォルト ルートを設定します。
構築ポイント(8)
RADIUSサーバの設定
(config)# radius-server host 10.50.0.2 key alaxala (config)# radius-server host 10.50.0.1 key alaxala
RADIUS サーバのIPアドレスおよびキーを設
定します。本ガイドではキーを「alaxala」と しています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3 (config)# logging event-kind aut
syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定しま す。
Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 52
(2) IEEE802.1X認証の設定 AX2400Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
IEEE802.1X認証(ポート単位)の設定
(config)# interface range gigabitethernet 0/1-10 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x reauthentication
(config-if-range)# dot1x supplicant-detection disable
以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x timeout reauth-period 300 (config-if-range)# dot1x timeout tx-period 30
ポート0/1~0/10に対して、IEEE802.1X認証
(ポート単位)を有効にします。
認証サブモードを端末認証モードに設定しま す。
サプリカントの再認証を有効にします。
端 末 検 出 モ ー ド を disable に し て 、
EAP-Request/Identifyの送信を抑止します。
構築ポイント(9)
再認証を行う周期を300秒に設定します。
EAP-Request/Identityの送出間隔を30秒に設 定します。
IEEE802.1X認証(固定VLAN)の設定 (config)# dot1x vlan 100 reauthentication
(config)# dot1x vlan 100 supplicant-detection disable
(config)# dot1x vlan 100 enable
(config)# dot1x vlan 200 reauthentication
(config)# dot1x vlan 200 supplicant-detection disable (config)# dot1x vlan 200 enable
(config)# dot1x vlan 300 reauthentication
(config)# dot1x vlan 300 supplicant-detection disable (config)# dot1x vlan 300 enable
(config)# interface range gigabitethernet 0/47-48 (config-if-range)# dot1x force-authorized-port (config)# dot1x system-auth-control
以下の設定は、環境に合わせて行います。
(config)# dot1x vlan 100 timeout reauth-period 300 (config)# dot1x vlan 100 timeout tx-period 30 (config)# dot1x vlan 200 timeout reauth-period 300 (config)# dot1x vlan 200 timeout tx-period 30 (config)# dot1x vlan 300 timeout reauth-period 300 (config)# dot1x vlan 300 timeout tx-period 30
VLAN100 に対し、サプリカントの再認証を有
効にします。
端 末 検 出 モ ー ド を disable に し て 、
EAP-Request/Identifyの送信を抑止します。
構築ポイント(9)
IEEE802.1X認証(固定VLAN)を有効にします。
VLAN200および300に対しても同様に設定し
ます。
上位スイッチと通信を行うポート 0/47~0/48 は、認証対象外とします。
構築ポイント(2)
IEEE802.1X認証を有効にします。
再認証を行う周期を300秒に設定します。
EAP-Request/Identityの送出間隔を30秒に設 定します。
(3) Web認証の設定 AX2400Sの設定
Web認証用アクセスリストの設定
(config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host 10.50.0.2 eq domain
(config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNSサーバ「10.50.0.2」へのDNS通信を許 可する。
・DNSサーバ「10.50.0.1」へのDNS通信を許 可する。
構築ポイント(3)
物理ポートの設定
(config)# interface range gigabitethernet 0/11-30 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/11~0/30をWeb認証対象ポートとし
て設定します。
認証前の端末から送信される他宛て ARP パ ケットを認証対象外のポートへ出力させま す。
認証用アクセスリストを適用します。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
Web認証の設定
(config)# web-authentication ip address 10.10.10.10 fqdn login.example.com
(config)# web-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# web-authentication max-timer 60 (config)# web-authentication jump-url http://www.alaxala.com/
Web認証専用IPアドレスを設定します。本ガ イドでは「10.10.10.10」としています。
構築ポイント(4)
FQDNに証明書の発行先サイトを指定 構築ポイント(5)
Web認証を有効にします。
認証成功後の最大接続時間を60分に設定しま す。
認証成功後に表示するURLを設定します。本 ガイドでは「http://www.alaxala.com/」として います。
syslogサーバの設定
(config)# web-authentication logging enable Web認証の動作ログをsyslogサーバへ出力し ます。
Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 54
(4) MAC認証の設定 AX2400Sの設定 物理ポートの設定
(config)# interface range gigabitethernet 0/11-30 (config-if-range)# mac-authentication port
ポート0/11~0/30をMAC認証対象ポートと
して設定します。
RADIUSの設定
(config)# aaa authentication mac-authentication default group radius
RADIUS サーバでMAC認証を行うことを設
定します。
MAC認証の設定
(config)# mac-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# mac-authentication max-timer 60
(config)# mac-authentication password alaxala
MAC認証を有効にします。
認証成功後の最大接続時間を 60 分に設定し ます。
構築ポイント(11)
MAC 認証のパスワードを統一する場合に設 定します。本ガイドでは統一パスワードを
「alaxala」としています。
syslogサーバの設定
(config)# mac-authentication logging enable MAC認証の動作ログをsyslogサーバへ出力 します。
(5) スタティックMAC登録の設定 AX2400Sの設定
固定VLANモード認証を除外するスタティックMAC登録設定 (config)# mac-address-table static 0011.0022.0033 vlan 100 interface gigabitethernet 0/11
認証せずに通信を行う端末の MAC アドレス
を、VLAN100のポート0/11に対して設定しま
す。