3. 認証ネットワークの構築
3.5. 動的 VLAN モード(AX2500S)
3.5.3. AX2500S のコンフィグレーション
AX2500Sの設定
(config)# RADIUS-server host 10.50.0.2 key alaxala
(config)# RADIUS-server host 10.50.0.1 key alaxala RADIUSサーバのIPアドレスおよびキーを設定しま す。本ガイドではキーを「alaxala」としています。
※設定した順に優先度が高くなります。
スパニングツリーの設定 (config)# spanning-tree single
(config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 10,1000
(config)# interface range gigabitethernet 0/1-20 (config-if-range)# spanning-tree portfast
(config)# interface range port-channel 1 (config-if)# spanning-tree portfast
シングルスパニングツリーを有効にします。
動作モードを、高速STPに設定します。
VLAN10および1000をシングルスパニングツリー対 象にします。(MACVLANは設定に関わらずシングルス パニングツリー対象となります。)
認証用ポートであるポート0/1~0/20とリンクアグリ ゲーション(チャネルグループ1)に対して、スパニ ングツリーのPortFast機能を適用し、スパニングツリ ー対象外とします。
構築ポイント(10)
syslogサーバの設定
(config)# logging host 10.50.0.3
(config)# logging event-kind err,evt,aut syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定します。
(err,evtも出力する設定例) SNMPの設定
(config)# snmp-server community ALAXALA
(config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication
(config)# snmp-server traps dot1x-trap all
web-authentication-trap all mac-authentication-trap all
SNMPコミュニティを設定します。本ガイドでは
「ALAXALA」としています。
SNMPマネージャを登録します。本ガイドでは、
IEEE802.1X認証・Web認証・MAC認証のトラップを 送信しています。
トラップの発行契機を設定します。本ガイドでは IEEE802.1X認証・Web認証・MAC認証それぞれの全 トラップを発行しています。
(9) IEEE802.1X認証の設定 AX2500Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま す。
IEEE802.1X認証(グローバル)
(config)# dot1x system-auth-control 以下の設定は、環境に合わせて行います。
(config)# dot1x auto-logout
IEEE802.1X認証を有効にします。
無通信時の自動ログアウトを有効にします。
IEEE802.1X認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication 以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x reauthentication
(config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x supplicant-detection auto
(config-if-range)# dot1x timeout quiet-period 5
ポート0/1~0/20に対して、IEEE802.1X認証(ポート 単位動的)を有効にします。
認証サブモードを端末認証モードに設定します。
再認証を有効にします。
再認証を行う周期を3600秒に設定します。
端末検出モードをautoに設定します。
構築ポイント(8)
非認証状態保持時間を5秒に設定します。
構築ポイント(9)
IEEE802.1X認証の設定(リンクアグリゲーションポート) (config)# interface port-channel 1
(config-if)# dot1x port-control auto ポート0/1~0/20に対して、IEEE802.1X認証(ポート 単位動的)を有効にします。
(config-if)# dot1x multiple-authentication
(config-if)# dot1x reauthentication
(config-if)# dot1x timeout reauth-period 3600 (config-if)# dot1x supplicant-detection auto
(config-if)# dot1x timeout quiet-period 5
認証サブモードを端末認証モードに設定します。
再認証を有効にします。
再認証を行う周期を3600秒に設定します。
端末検出モードをautoに設定します。
構築ポイント(8)
非認証状態保持時間を5秒に設定します。
構築ポイント(9)
(10) Web認証の設定 AX2500Sの設定
Web認証の設定(グローバル)
(config)# web-authentication ip address 10.10.10.10 fqdn login.example.com
(config)# web-authentication roaming
(config)# web-authentication system-auth-control 以下の設定は、環境に合わせて行います。
(config)# no web-authentication auto-logout (config)# web-authentication max-timer 1400 (config)# web-authentication roaming action trap
Web認証専用IPアドレスを設定します。本ガイドで は「10.10.10.10」としています。FQDNに証明書の 発行先サイトを指定
構築ポイント(4)(5)
認証済み端末のポート移動後通信を許可します。
Web認証を有効にします
自動認証ログアウトを無効にします。
認証成功後の最大接続時間を1400分に設定します。
認証済み端末をポート移動したときに、トラップを送 信します
認証専用IPv4アクセスリストの設定 (config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit udp any host 10.50.0.2 eq domain (config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・「10.50.0.2」「10.50.0.1」へのDNS通信を許可する。
構築ポイント(2)
Web認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/1~0/20をWeb認証対象ポートとして設定 します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証ポートにアクセスリストを適用します。
構築ポイント(2)
Web認証の設定(リンクアグリゲーションポート)
(config)# interface port-channel 1 (config-if)# web-authentication port (config-if)# authentication arp-relay
(config-if)# authentication ip access-group web-auth
リンクアグリゲーション チャネルグループ 1 を Web認証対象ポートとして設定します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証ポートにアクセスリストを適用します。
構築ポイント(2)
RADIUSの設定
(config)# aaa authentication web-authentication
default group RADIUS RADIUSサーバでユーザ認証を行うことを設定しま
す。
AX2500Sの設定
(dhcp-config)# dns-server 10.50.0.2 10.50.0.1 (dhcp-config)# default-router 192.168.10.254
構築ポイント(5)
配布するDNSサーバのIPアドレスを設定する 配布するデフォルトルートを設定します。
(11) MAC認証の設定 AX2500Sの設定
MAC認証の設定
(config)# mac-authentication id-format 1
(config)# mac-authentication password alaxala
(config)# mac-authentication system-auth-control (config)# mac-authentication roaming
以下の設定は、環境に合わせて行います。
(config)# no authentication auto-logout
(config)# mac-authentication timeout quiet-period 600
(config)# mac-authentication max-timer 1400
(config)# mac-authentication roaming action trap
RADIUSサーバへ認証要求する際のMACアドレス形 式を設定します。
構築ポイント(10)
MAC 認証のパスワードを統一する場合に設定しま す。本ガイドでは統一パスワードを「alaxala」として います。
MAC認証を有効にします。
認証済み端末をポート移動通信を許可します。
無通信時の自動ログアウトを無効にします。
認証失敗時に再認証を行うまでの待ち時間を 600 秒 に設定します。
認証成功後の最大接続時間を1400分に設定します。
構築ポイント(11)
認証済み端末をポート移動したときに、トラップを送 信します
MAC認証の設定
(config)# interface range gigabitethernet 0/1-20
(config-if-range)# mac-authentication port ポート0/1~0/20をMAC認証対象ポートとして設定 します。
MAC認証の設定(リンクアグリゲーションポート)
(config)# interface port-channel 1
(config-if)# mac-authentication port リンクアグリゲーション チャネルグループ 1 を
MAC認証対象ポートとして設定します。
RADIUSの設定
(config)# aaa authentication mac-authentication
default group RADIUS RADIUS サーバで MAC 認証を行うことを設定しま
す。
(12) スタティックMAC登録の設定 AX2500Sの設定
動的VLANモードの認証を除外するスタティックMAC登録設定 (config)# vlan 100 mac-based
(config-vlan)# mac-address 0011.0022.0033
(config)# mac-address-table static 0011.0022.0033 vlan 100 interface gigabitethernet 0/11
認証せずに通信を行う端末のMACアドレスを、MAC VLAN100に対して設定します。
認証せ ずに通信を行う端 末の MAC ア ドレスを、
VLAN100のポート0/11に対して設定します。