Web認証に関する注意事項

5.2.1. Web認証前に通信許可する項目

Web認証を行う場合、認証前に通信許可すべき項目^(*1)を以下に示します。

（１） ARPリレーの設定

Web認証を行う場合は、必ずARPリレーの設定をして下さい。設定方法は3章を参照して下さい。

（２） DHCP通信の許可

Web認証端末にDHCPでIPアドレスを配布する場合は、認証専用アクセスリストでDHCP（BOOTPパ

ケット）の通信を許可するアクセスリストを設定して下さい。設定方法は3章を参照して下さい。

（３） DNSサーバへの通信許可

Web認証のURLリダイレクト機能を使用する場合は、認証前にDNSサーバでの名前解決が必要となり ます。認証専用アクセスリストでDNSサーバへの通信を許可するアクセスリストを設定して下さい。設 定方法は3章を参照して下さい。

（４） 認証前に検疫等を実施する場合

検疫ネットワークなど、認証前に通信を行う必要のあるサーバが存在する場合は、認証専用アクセス リストで該当サーバへの通信を許可するアクセスリストを設定して下さい。

(*1) AX1200Sシリーズの動的VLANモードを除く。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 106

5.2.2. 固定VLANモードのWeb認証のログアウト条件

固定VLANモードでWeb認証した端末は、以下のいずれかの条件に一致した場合、ログアウト（通 信非許可状態）します。

条件１：ログアウト画面からログアウトした場合。

条件２：最大接続時間を超えた場合。（デフォルト3600秒）

コンフィグレーションによって時間と機能の有効無効化ができます。

条件３：接続監視機能（ARPポーリング）によるログアウト。

条件４：認証ポートのリンクダウン

条件５：強制ログアウトコマンドによるログアウト 条件６：特殊pingによるログアウト

（認証用IPアドレス宛て、コンフィグレーションで指定したTOS、TTL値のping）

条件７：無通信監視機能によるログアウト（AX1200Sのみ）

5.2.3. 固定VLANモードのWeb認証の端末移動に関する注意事項

（１）AX1200Sの場合

認証済み端末のポート移動許可設定（コンフィグレーションコマンド web-authentication static-vlan

roaming）を行った場合、同一VLAN間を再認証せずに移動することが可能です。設定を行っていない

場合や別VLAN間を移動する場合は再度認証を行う必要があります。

（２）AX2400S / AX3600Sの場合

同一VLAN間、別VLAN間ともに移動後、再度認証を行う必要があります。

5.2.4. 動的VLANモードのWeb認証ネットワーク構築に関する注意事項

（１） DHCPサーバの設置

動的VLANモードのWeb認証では、認証のためにWebブラウザへのIP通信を用いたアクセスが必 要なため、認証前後両方のVLAN上にDHCPサーバを設置してIPアドレスを配布して下さい。

下図に示すように、認証前は認証スイッチからIPアドレスを配布し、認証後は認証後VLAN からア クセスできるVLAN上のサーバからIPアドレスを配布する構成を推奨します。

図 5.2-1 DHCPサーバの設置例

AXシリーズのDHCPサーバ機能はWeb認証用にカスタマイズされており、IPアドレスのリース時 間を最短で10秒に設定することができます。このため、認証前VLANから認証後VLANへ切り替わっ た時に、スムーズに認証後VLANのIPアドレスに切り替える事ができます。

リース時間を10秒とした場合のクライアント最大接続数は200以下となるようにして下さい。同様 に、20秒とした場合400以下、30秒の場合は600以下となるように同時接続数を調整して下さい。

端末

認証前VLAN

認証後VLAN

RADIUSサーバ

ネットワーク管理用VLAN

業務用サーバ

AX3600S

AX1200S

認証後用 DHCPサーバ

認証前のIP アドレスのみ認証 スイッチのDHCPから配布 DHCPリレーを設定

（２） VLANインタフェースIPアドレスの設定

動的VLANモードでWeb認証を行なう場合は、認証前および認証後のVLANにIPアドレスを設定し て下さい。認証後のVLANの定義は忘れがちですが、ログアウト時に必要となります。

（３） 端末側の設定

動的VLANモードでWeb認証を使用する場合、端末側では必ずDHCPによるIPアドレス取得の設 定を行って下さい。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 108

（４） 認証スイッチが複数台存在する場合

下図のように、認証スイッチが複数台存在するネットワークを構築する場合、認証前VLANに配布する IPアドレスを各認証スイッチ毎に同一サブネットとして設定すると、IPアドレスが重複してしまう場合 があります。このため、各認証スイッチ毎にDHCPのIPアドレス配布対象除外コマンドを用いて、表 5.2-1のようにIPアドレスが重複しないように設定して下さい。もしくは、認証前VLANを認証スイッチ 毎に分けて設定して下さい。

図 5.2-2 認証スイッチが複数台存在するネットワーク構成

・RADIUSサーバ

・DNSサーバ

・DHCPサーバ

（認証後用）

AX3600S AX3600S AX3600S

192.168.10.0/24 を配布

AX2400S#1 AX2400S#2

192.168.10.0/24

を配布 192.168.10.0/24

を配布

AX2400S#3

端末 端末

認証前VLAN

192.168.10.51 192.168.10.51 192.168.10.52

配布されたIPアドレスが重複する場合がある

端末

表 5.2-1 認証スイッチのDHCP設定例

認証スイッチ 配布対象サブネット 配布対象除外アドレス 実際に配布されるアドレス

AX2400S#1 192.168.10.1～50

192.168.10.101～254

192.168.10.51～100

AX2400S#2 192.168.10.1～100

192.168.10.151～254

192.168.10.101～150 192.168.10.0/24

AX2400S#3 192.168.10.1～150

192.168.10.201～254

192.168.10.151～200

5.2.5. 動的VLANモードのWeb認証のログアウトに関する注意事項

（１） ログアウト条件

動的VLANモードでWeb認証した端末は、以下のいずれかの条件に一致した場合、ログアウト（通 信非許可状態）します。

条件１：ログアウト画面からログアウトした場合。

条件２：最大接続時間を超えた場合。

ログインしてから強制ログアウトされる時間のデフォルト値は3600秒です。

本機能はコンフィグレーションコマンドにて無効にすることができます。

条件３：強制ログアウトコマンドによるログアウト 条件４：無通信監視機能によるログアウト

（２） ログアウト後再ログインする時の注意点

動的VLANモードでWeb認証した端末は、ログアウト時にIPアドレスの解放を行わず、DHCPサー バから通知されたリース時間に従ってIPアドレスの解放を行います。

再ログイン時にWeb認証画面へのアクセスができない場合は、以下のいずれかを実施し端末のIPア ドレスを解放した後認証を行なって下さい。

（１） 通信インタフェースのリンクダウン・アップ

（２） 通信インタフェースの無効化・有効化

（３） IPアドレスの再取得（Windows XP / Windows Vistaの場合）

コマンドプロンプトで以下の2つのコマンドを実行します。

ipconfig /release ipconfig /renew

（４） 端末の再起動

5.2.6. 動的VLANモードのWeb認証の端末移動に関する注意事項

Web認証済み端末を同一認証スイッチの他の認証ポート（同一認証モード）へ移動した場合、再認証 無しでそのまま通信可能となります。ただし、すでに自動ログアウトしていた場合は再認証して下さい。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 110

5.2.7. 動的VLANモードのWeb認証成功時のURL移動に関する注意事項

動的VLANモードでWeb認証成功後にアクセスするURL を指定する場合は、Web認証画面入れ替 え機能を用いてログイン成功画面を変更して下さい。

Web認証のコンフィグレーションコマンドweb-authentication jump-urlを用いてWeb認証成功後に アクセスするURLを指定した場合、認証成功画面が表示された5秒後に指定されたURLへアクセスを 試みます。このとき、端末はまだ認証後VLANのIPアドレスに切り替わっていないためアクセスが失 敗してしまいます。このシーケンスを以下に示します。

図 5.2-3 動的VLANモードにおけるWeb認証成功後の指定URL移動シーケンス 内蔵

DHCPサーバ

認証スイッチ

認証前のIPアドレス取得

認証成功画面表示

×

IP アドレスがまだ切り替 わっていないためアクセ スできない

認証前 VLAN

指定URLへジャンプ

認証後のIPアドレス取得

ユーザID、パスワード入力

5秒

指定Webサーバ

DHCPサーバ

端末

認証後 VLAN

認証成功画面が表示されてから指定 URL へジャンプするまでにかかる時間を変更するには、ログイ ン成功画面を変更します。以下にその方法を示します。

（１） ログイン成功画面（ファイル名：loginOK.html）に別ページへの自動ジャンプを行う記述を追 加します。ジャンプまでにかかる時間は、認証前IPアドレスのリース時間より長い時間を指 定して下さい。ここでは15秒後に指定URLへジャンプする例を示します。

<meta http-equiv="Refresh" content="15;URL=http://hogehoge.com/">

（２） 運用コマンドset web-authentication html-filesを用いて、Web認証画面を入れ替えます。

5.2.8. AX2400S / AX3600SシリーズのVer10.7新機能を使用する場合の注意事項

AX2400S / AX3600SシリーズにおけるVer10.6までのWeb認証の動的VLANモードは、Ver10.7か

ら「レガシーモード」となります。

動的VLANモードのWeb認証を使用している環境において、Ver10.6からVer10.7へバージョンアッ プを行った場合、Ver10.7よりサポートしている「Web認証専用IPアドレス」および「URLリダイレ クト機能」を使用するときは、レガシーモードから新しい動的VLANモードへ設定を変更する必要があ ります。ただし、Ver10.7新機能を使用しない場合は、設定変更の必要はありません。

レガシーモードから動的VLANモードへ変更する手順を以下に示します。

１．コンフィグレーションからweb-authentication vlanの設定を削除する。

２．認証ポートにweb-authentication portの設定を行う。

認証前に通信を行いたい場合は、authentication ip access-groupおよびauthentication arp-relayを 設定する。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 112

ドキュメント内 認証ソリューションガイド (ページ 106-113)