3. 認証ネットワークの構築
3.3. 動的VLANモード
3.3.4. AX2400Sのコンフィグレーション
AX2400Sの設定 アクセスリストの設定
(config)# ip access-list extended VRRPstop (config-ext-nacl)# deny vrrp any host 224.0.0.18 (config-ext-nacl)# permit ip any any
(config)# interface vlan 10
(config-if)# ip access-group VRRPstop in (config)# interface vlan 100
(config-if)# ip access-group VRRPstop in (config)# interface vlan 200
(config-if)# ip access-group VRRPstop in
以下のアクセスリストを作成します。
・「224.0.0.18」宛てのVRRP通信を拒否する。
・すべての通信を許可する。
認証前VLAN10、認証後VLAN100および200
にアクセスリストを適用します。
構築ポイント(13)
デフォルトルートの設定
(config)# ip default-gateway 172.16.0.254 RADIUSサーバと通信を行うため、デフォルト ルートを設定します。
構築ポイント(8)
RADIUSサーバの設定
(config)# radius-server host 10.50.0.2 key alaxala (config)# radius-server host 10.50.0.1 key alaxala
RADIUSサーバのIPアドレスおよびキーを設
定します。本ガイドではキーを「alaxala」と しています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3 (config)# logging event-kind aut
syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定しま す。
(2) IEEE802.1X認証の設定 AX2400Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group radius
(config)# aaa authorization network default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
RADIUS サ ー バ で IEEE802.1X 認 証(動 的 VLAN)を行うことを設定します。
IEEE802.1X認証の設定
(config)# dot1x vlan dynamic radius-vlan 100,200 (config)# dot1x vlan dynamic enable
(config)# dot1x vlan dynamic reauthentication (config)# dot1x vlan dynamic supplicant-detection disable
(config)# dot1x vlan dynamic timeout quiet-period 5
(config)# dot1x system-auth-control 以下の設定は、環境に合わせて行います。
(config)# dot1x vlan dynamic timeout reauth-period 300
(config)# dot1x vlan dynamic timeout tx-period 30
認証後VLANを、VLAN100および200としま
す。
IEEE802.1X認証(動的VLAN)を有効にします。
サプリカントの再認証を有効にします。
端 末 検 出 モ ー ド を disable に し て 、
EAP-Request/Identifyの送信を抑止します。
構築ポイント(9)
非認証状態保持時間を5秒に設定します。
構築ポイント(10)
IEEE802.1X認証を有効にします。
再認証を行う周期を300秒に設定します。
EAP-Request/Identityの送出間隔を30 秒に設 定します。
(3) Web認証の設定 AX2400Sの設定
Web認証用アクセスリストの設定
(config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit udp any host 10.50.0.2 eq domain
(config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNS サーバ「10.50.0.2」への DNS 通信を
許可する。
・DNS サーバ「10.50.0.1」への DNS 通信を
許可する。
構築ポイント(3)
物理ポートの設定
(config)# interface range gigabitethernet 0/1-40 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-grpup web-auth
ポート0/1~0/40をWeb認証対象ポートとし て設定します。
認証前の端末から送信される他宛て ARP パ ケットを認証対象外のポートへ出力させま す。
認証用アクセスリストを適用します。
構築ポイント(3)
RADIUSの設定
(config)# aaa authentication web-authentication default group radius
RADIUS サーバでユーザ認証を行うことを設
定します。
Web認証の設定
(config)# web-authentication ip address 10.10.10.10 fqdn login.example.com
(config)# web-authentication system-auth-control 以下の設定は、環境に合わせて行います。
(config)# no web-authentication auto-logout (config)# web-authentication max-timer 60 (config)# web-authentication jump-url http://testweb.net/
Web認証専用IPアドレスを設定します。本ガ イドでは「10.10.10.10」としています。
構築ポイント(4)
FQDNに証明書の発行先サイトを指定 構築ポイント(5)
Web認証を有効にします。
自動認証ログアウトを無効にします。
認証成功後の最大接続時間を60分に設定しま す。
認証成功後に表示するURLを設定します。本 ガイドでは「http://testweb.net/」としています。
DHCPサーバの設定
(config)# service dhcp vlan 10
(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.150
(config)#ip dhcp excluded-address 192.168.10.201 192.168.10.254
(config)# ip dhcp pool AUTH
(dhcp-config)# network 192.168.10.0/24 (dhcp-config)# lease 0 0 0 10
(dhcp-config)# default-router 192.168.10.254 (dhcp-config)# dns-server 10.50.0.2 10.50.0.1
認証前VLAN10でDHCPサーバを有効にしま
す。
DHCPアドレス配布対象から除外するIPアド レスを設定します。
構築ポイント(6)
DHCPアドレスプール情報を設定します。
配布するネットワークIPアドレスを設定しま す。
リース時間を10秒に設定します。
構築ポイント(6)
配布するデフォルトルートを設定します。
配布するDNSサーバを設定します。
構築ポイント(6)
Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 70
syslogサーバの設定
(config)# web-authentication logging enable Web認証の動作ログをsyslogサーバへ出力し ます。
(4) MAC認証の設定 AX2400Sの設定
物理ポートの設定
(config)# interface range gigabitethernet 0/1-40 (config-if-range)# mac-authentication port
ポート0/1~0/40をMAC認証対象ポートとし
て設定します。
RADIUSの設定
(config)# aaa authentication mac-authentication default group radius
RADIUSサーバでMAC認証を行うことを設定
します。
MAC認証の設定
(config)# mac-authentication system-auth-control
以下の設定は、環境に合わせて行います。
(config)# mac-authentication max-timer 60
(config)# mac-authentication password alaxala
MAC認証を有効にします。
認証成功後の最大接続時間を60分に設定しま す。
構築ポイント(12)
MAC認証のパスワードを統一する場合に設定 し ま す 。 本 ガ イ ド で は 統 一 パ ス ワ ー ド を
「alaxala」としています。
syslogサーバの設定
(config)# mac-authentication logging enable MAC 認証の動作ログを syslog サーバへ出力 します。
(5) スタティックMAC登録の設定 AX2400Sの設定
動的VLAN認証を除外するスタティックMAC登録設定 (config)# vlan 100 mac-based
(config-vlan)# mac-address 0011.0022.0033
(config)# mac-address-table static 0011.0022.0033 vlan 100 interface gigabitethernet 0/1
認証せずに通信を行う端末の MAC アドレス を、MAC VLAN100に対して設定します。
認証せずに通信を行う端末の MAC アドレス を、MACアドレステーブルに対して設定しま す。