3. 認証ネットワークの構築
3.3. 固定 VLAN モード(AX2500S シリーズ)
3.3.3. AX2500S のコンフィグレーション
AX2500Sの設定
スパニングツリーの設定 (config)# spanning-tree single
(config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,1000 (config)# interface range gigabitethernet 0/1-20 (config-if-range)# spanning-tree portfast (config)# interface range port-channel 1-2 (config-if-range)# spanning-tree portfast
シングルスパニングツリーを有効にします。
動作モードを高速STPに設定します。
VLAN100、200、300および1000をシングルスパニン グツリー対象にします。
認証用ポートであるポート 0/1~0/20およびリンクア グリゲーション(ポートチャネル1~2)に対して、ス パニングツリーのPortFast機能を適用し、スパニング ツリー対象外とします。
構築ポイント(10)
VLANインタフェースの設定 (config)# interface vlan 100
(config-if)# ip address 192.168.100.12 255.255.255.0 (config)# interface vlan 200
(config-if)# ip address 192.168.200.12 255.255.255.0 (config)# interface vlan 300
(config-if)# ip address 192.168.30.12 255.255.255.0 (config)# interface vlan 1000
(config-if)# ip address 172.16.0.12 255.255.255.0
クライアント用VLAN100、200および300にインタ フェースIPアドレスをそれぞれ設定します。
構築ポイント(2)
管理用VLAN1000にインタフェースIPアドレスを設 定します。
デフォルトルートの設定
(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.254 RADIUSサーバと通信を行うため、デフォルトルート を設定します。
構築ポイント(6)
RADIUSサーバの設定
(config)# RADIUS-server host 10.50.0.2 key alaxala
(config)# RADIUS-server host 10.50.0.1 key alaxala RADIUS サーバの IP アドレスおよびキーを設定しま す。本ガイドではキーを「alaxala」としています。
※設定した順に優先度が高くなります。
syslogサーバの設定
(config)# logging host 10.50.0.3
(config)# logging event-kind err,evt,aut syslogサーバのIPアドレスを設定します。
ログ情報のイベント種別を「aut」に設定します。
(err,evtも出力する設定例) SNMPの設定
(config)# snmp-server community ALAXALA
(config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication
(config)# snmp-server traps dot1x-trap all
web-authentication-trap all mac-authentication-trap all
SNMPコミュニティを設定します。本ガイドでは
「ALAXALA」としています。
SNMPマネージャを登録します。本ガイドでは、
IEEE802.1X認証・Web認証・MAC認証のトラップを 送信しています。
トラップの発行契機を設定します。本ガイドでは IEEE802.1X認証・Web認証・MAC認証それぞれの全 トラップを発行しています。
(2) IEEE802.1X認証の設定 AX2500Sの設定
RADIUSの設定
(config)# aaa authentication dot1x default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま す。
IEEE802.1X認証の設定(グローバル)
(config)# dot1x system-auth-control 以下の設定は、環境に合わせて行います。
(config)# no dot1x auto-logaut
IEEE802.1X認証を有効にします。
無通信時の自動ログアウトを無効にします。
IEEE802.1X認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-20 (config-if-range)# dot1x port-control auto (config-if-range)# dot1x multiple-authentication (config-if-range)# dot1x supplicant-detection auto 以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x reauthentication
(config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quiet-period 5
ポート0/1~0/20に対して、IEEE802.1X認証(ポート 単位)を有効にします。
認証サブモードを端末認証モードに設定します。
端末検出モードをautoに設定。構築ポイント(7)
サプリカントの再認証を有効にします。
(AX2500Sは無通信監視を行うため必須ではない。)
再認証を行う周期を3600秒に設定します。
失敗後再認証開始を5秒に設定します。
IEEE802.1X認証の設定(リンクアグリゲーションインタフェース)
(config)# interface range port-channel 1 (config-if)# dot1x port-control auto (config-if)# dot1x multiple-authentication (config-if)# dot1x reauthentication
(config-if)# dot1x supplicant-detection auto
以下の設定は、環境に合わせて行います。
(config-if-range)# dot1x timeout reauth-period 3600 (config-if-range)# dot1x timeout quit-period 5
チャネルグループ1に対して、IEEE802.1X認証(ポー ト単位)を有効にします。
認証サブモードを端末認証モードに設定します。
サプリカントの再認証を有効にします。
端末検出モードをautoに設定。構築ポイント(7)
再認証を行う周期を3600秒に設定します。
失敗後再認証開始を5秒に設定します。
(3) Web認証の設定 AX2500Sの設定
認証専用アクセスリストの設定
(config)# ip access-list extended web-auth (config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit udp any host 10.50.0.2 eq domain (config-ext-nacl)# permit udp any host 10.50.0.1 eq domain
以下のアクセスリストを作成します。
・DHCP通信を許可する。
・DNSサーバ「10.50.0.2」へのDNS通信を許可する。
・DNSサーバ「10.50.0.1」へのDNS通信を許可する。
構築ポイント(1)
RADIUSの設定
(config)# aaa authentication web-authentication
default group RADIUS RADIUS サーバでユーザ認証を行うことを設定しま
す。
Web認証の設定(グローバル)
(config)# web-authentication system-auth-control
(config)# web-authentication ip address 10.10.10.10 fqdn
Web認証を有効にします。
Web認証専用IPアドレスを設定します。本ガイドで
AX2500Sの設定
Web認証の設定(物理ポート)
(config)# interface range gigabitethernet 0/1-20 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
ポート0/1~0/20をWeb認証対象ポートとして設定 します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証用アクセスリストを適用します。
構築ポイント(1)
Web認証の設定(リンクアグリゲーションインタフェース)
(config)# interface range port-channel 1-2 (config-if-range)# web-authentication port (config-if-range)# authentication arp-relay
(config-if-range)# authentication ip access-group web-auth
チャネルグループ1~2をWeb認証対象ポートとして 設定します。
認証前の端末から送信される他宛てARP パケットを 認証対象外のポートへ出力させます。
認証用アクセスリストを適用します。
構築ポイント(1)
(4) MAC認証の設定 AX2500Sの設定
RADIUSの設定
(config)# aaa authentication mac-authentication
default group RADIUS RADIUS サーバで MAC 認証を行うことを設定しま
す。
MAC認証の設定(グローバル)
(config)# mac-authentication id-format 1
(config)# mac-authentication static-vlan roaming
(config)# mac-authentication system-auth-control 以下の設定は、環境に合わせて行います。
(config)# mac-authentication timeout quiet-period 600
(config)# mac-authentication max-timer 1400
(config)# mac-authentication auto-logout delaytime 1000
(config)# mac-authentication password alaxala
(config)# mac-authentication static-vlan roaming action trap
RADIUSサーバへ認証要求する際のMACアドレス形 式を設定します。
構築ポイント(8)
認証済み端末のポート移動後通信を許可します。
構築ポイント(4)
MAC認証を有効にします。
認証失敗時に再認証を行うまでの待ち時間を 600 秒 に設定します。
認証成功後の最大接続時間を1400分に設定します。
構築ポイント(9)
1000秒通信がない場合認証を解除します。
MAC 認証のパスワードを統一する場合に設定しま す。本ガイドでは統一パスワードを「alaxala」として います。
認証済み端末をポート移動したときに、トラップを送 信します。
物理ポートの設定
(config)# interface range gigabitethernet 0/1-20
(config-if-range)# mac-authentication port ポート0/1~0/20をMAC認証対象ポートとして設定 します。
物理ポートの設定
(config)# interface range port-channel 1-2
(config-if-range)# mac-authentication port チャネルグループ1~2をMAC認証対象ポートとし て設定します。
(5) スタティックMAC登録の設定 AX2500Sの設定
固定VLANモード認証を除外するスタティックMAC登録設定 (config)# mac-address-table static 0011.2233.4455 vlan 100
interface gigabitethernet 0/1 認証せ ずに通信を行う端 末の MAC ア ドレスを、
VLAN100のポート0/1に対して設定します。
(6) スタティックMAC登録の設定 AX2500Sの設定
固定VLANモード認証を除外するスタティックMAC登録設定 (config)# mac-address-table static 0011.2233.4455 vlan 100
interface gigabitethernet 0/1 認証せ ずに通信を行う端 末の MAC ア ドレスを、
VLAN100のポート0/1に対して設定します。
(7) ダイナミックACLの設定 AX2500Sの設定
ダイナミックACL設定
(config)# ip access-list extended DinamicACL1
(config-ext-nacl)# 10 permit ip any 192.168.40.0 0.0.0.255 class 1 (config-ext-nacl)# 20 deny ip any 192.168.40.0 0.0.0.255
(config-ext-nacl)# 30 permit ip any 192.168.50.0 0.0.0.255 class 1 (config-ext-nacl)# 40 permit ip any 192.168.50.0 0.0.0.255 class 2 (config-ext-nacl)# 50 deny ip any 192.168.50.0 0.0.0.255
(config-ext-nacl)# 60 permit ip any 192.168.60.0 0.0.0.255 class 1 (config-ext-nacl)# 70 permit ip any 192.168.60.0 0.0.0.255 class 3 (config-ext-nacl)# 80 deny ip any 192.168.60.0 0.0.0.255
(config-ext-nacl)# 90 permit ip any any
(config)# interface vlan 100
(config-if)# ip access-group DinamicACL1 in (config)# interface vlan 200
(config-if)# ip access-group DinamicACL1 in
表3.3-4を元にIPV4のACLを作 成します
VLAN インタフェースに作成した ACLを適用します。