認証ソリューションガイド

A

A

X

X

シ

シ

リ

リ

ー

ー

ズ

ズ

認

認

証

証

ソ

ソ

リ

リ

ュ

ュ

ー

ー

シ

シ

ョ

ョ

ン

ン

ガ

ガ

イ

イ

ド

ド

はじめに

本ガイドは、AX シリーズ（AX1200S / AX2400S / AX3600S）でサポートしている認証機能を用いた システム構築のための技術情報をシステムエンジニアの方へ提供し、安全・安心な認証システムの構築 と安定稼動を目的として書かれています。RADIUS サーバの設定に関しては、各種 RADIUS サーバ毎に 用意した別冊の「RADIUS サーバ設定ガイド」を参照下さい。

関連資料

・RADIUS サーバ設定ガイド Windows Server 2003 編 ・RADIUS サーバ設定ガイド Windows Server 2008 編

・AXシリーズ製品マニュアル（http://www.alaxala.com/jp/techinfo/manual/index.html） 本ガイド使用上の注意事項 本ガイドに記載の内容は、弊社が特定の環境において、基本動作や接続動作を確認したものであり、 すべての環境で機能・性能・信頼性を保証するものではありません。弊社製品を用いたシステム構築の 一助としていただくためのものとご理解いただけますようお願いいたします。 Windows 製品に関する詳細はマイクロソフト株式会社のドキュメント等を参照下さい。 本ガイド作成時の OS ソフトウエアバージョンは以下のようになっております。 AX1230S Ver1.4.B AX1240S Ver2.0 AX2400S / AX3600S Ver11.0

本ガイドの内容は、改良のため予告なく変更する場合があります。 輸出時の注意 本資料を輸出される場合には、外国為替および外国貿易法ならびに米国の輸出管理関連法規などの規 制をご確認の上、必要な手続きをお取り下さい。 商標一覧 ・アラクサラの名称およびロゴマークは、アラクサラネットワークス株式会社の商標および商標登録 です。 ・Ethernetは、米国Xerox Corp.の商品名称です。 ・イーサネットは、富士ゼロックス（株）の商品名称です。 ・Microsoftは、米国およびその他の国における米国Microsoft Corp.の登録商標です。 ・Windowsは、米国およびその他の国における米国Microsoft Corp. の登録商標です。 ・Mac OS Xは、米国およびその他の国におけるApple Inc.の登録商標です。

・そのほかの記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。

使用機器一覧

• AX1230S (Ver1.4.B) • AX1240S (Ver2.0) • AX2430S (Ver11.0) • AX3630S (Ver11.0)

• Windows Server 2008 Standard • Windows XP Professional (SP2) • Windows XP Professional (SP3) • Windows Vista Ultimate (SP1) • Mac OS X v10.5 Leopard

使用ブラウザ一覧

• Internet Explorer (Version6) • Internet Explorer (Version7) • Firefox (2.0.0.14) • Safari (3.1.1)

改訂履歴

版数 rev. 日付 変更内容 変更箇所 初版 － 2007.7.26. 初版発行 － 第 2 版 － 2007.9.28. 省略 － 第 3 版 － 2007.12.5. 省略 － 第 4 版 － 2008.3.21. 省略 － 第 5 版 － 2008.6.2. 省略 － 第 6 版 － 2008.9.24 省略 － 第 7 版 － 2009.1.30 AX1240S の追加 はじめに、使用機器一覧更新 注意事項の追加 はじめに 5.5 AX2400S,AX3600S (Ver10.8 機能追加)対応 はじめに、使用機器一覧更新 Web 認証に強制認証追加 Mac 認証に強制認証追加 Web 認証のリダイレクト先 FQDN 指定 はじめに 2.6 2.7 3.2.2（5） 3.3.2（5）

目次

1. ネットワーク認証概要 ...7 1.1. ネットワーク認証とは ...8 1.2. 認証方式の特徴およびシステム要素...9 1.2.1. IEEE802.1X認証 ...9 1.2.1.1. 概要...9 1.2.1.2. 拡張認証プロトコル(EAP) ...10 1.2.1.3. EAP認証シーケンス... 11 1.2.1.4. EAPOL フレームフォーマット ...12 1.2.2. Web認証 ...13 1.2.2.1. 概要...13 1.2.2.2. Web認証シーケンス ...14 1.2.3. MAC認証...16 1.2.3.1. 概要...16 1.2.3.2. MAC認証シーケンス...16

1.2.4. RADIUS (Remote Authentication Dial-In User Services) ...17

1.2.4.1. RADIUS概要 ...17 1.2.4.2. RADIUS アトリビュート ...18 1.2.5. CA(Certificate Authority) ...20 1.3. AXでサポートする認証モードの特徴...22 1.3.1. 固定VLANモードの特徴 ...23 1.3.1.1. IEEE802.1X認証（ポート単位） ...24 1.3.1.2. IEEE802.1X認証（VLAN単位） ...25 1.3.2. 動的VLANモードの特徴 ...26 1.3.3. レガシーモードの特徴 ...28 1.4. ネットワーク認証と検疫ネットワーク ...29 2. AXシリーズの認証機能サポート一覧 ...31 2.1. 認証方式...31 2.2. ユーザ認証データベース...35 2.3. ログ出力機能...35 2.4. RADIUSアトリビュート ...36 2.5. IEEE802.1X認証機能 ...37 2.6. Web認証機能 ...38 2.7. MAC認証機能...39 2.8. 収容条件...40 3. 認証ネットワークの構築...41

3.1. 認証ネットワーク概要 ...41 3.2. 固定VLANモード...42 3.2.1. 認証ネットワーク構成図...42 3.2.2. 構築ポイント ...44 3.2.3. AX1200Sのコンフィグレーション ...47 3.2.4. AX2400Sのコンフィグレーション ...51 3.2.5. AX3600Sのコンフィグレーション ...56 3.3. 動的VLANモード...59 3.3.1. 認証ネットワーク構成図...59 3.3.2. 構築ポイント ...61 3.3.3. AX1200Sのコンフィグレーション ...64 3.3.4. AX2400Sのコンフィグレーション ...68 3.3.5. AX3600Sのコンフィグレーション ...72 4. 端末側の設定方法 ...73 4.1. IEEE802.1X認証Windows XPの設定方法 ...73 4.1.1. EAP-TLS方式の設定方法 ...73 4.1.2. EAP-PEAP方式の設定方法 ...76 4.1.3. Windows XP(SP2)からIEEE802.1X認証の接続を開始する方法 ...78

4.2. IEEE802.1X認証 Windows Vistaの設定方法 ...80

4.2.1. EAP-TLS方式の設定方法 ...80 4.2.2. EAP-PEAP方式の設定方法 ...82 4.3. IEEE802.1X認証 Mac OS Xの設定方法 ...85 4.3.1. 証明書の確認方法 ...85 4.3.2. EAP-TLS方式の設定方法 ...86 4.3.3. EAP-PEAP方式の設定方法 ...89 4.4. Web認証の端末側設定方法...92 4.5. MAC認証の端末側設定方法 ...92 5. 注意事項...93 5.1. IEEE802.1X認証に関する注意事項...93 5.1.1. IEEE802.1X端末検出機能に関する注意事項 ...93 5.1.2. IEEE802.1X端末検出機能の注意事項詳細解説...94 5.1.2.1. WindowsのIEEE802.1Xサプリカント動作差分の解説...94

5.1.2.2. Windows XP(SP2)とWindows Vistaの混在環境における問題点...99

5.1.3. WindowsのIEEE802.1X認証に関する注意事項...100

5.1.4. RADIUSサーバ冗長化に関する注意事項 ...101

5.1.5. ログアウトに関する注意事項 ...103

5.1.6. 再認証機能に関する注意事項 ...103

5.1.8. 認証中に接続不可となった場合...104 5.1.9. 強制認証機能に関する注意事項...104 5.2. Web認証に関する注意事項...106 5.2.1. Web認証前に通信許可する項目...106 5.2.2. 固定VLANモードのWeb認証のログアウト条件 ...107 5.2.3. 固定VLANモードのWeb認証の端末移動に関する注意事項 ...107 5.2.4. 動的VLANモードのWeb認証ネットワーク構築に関する注意事項 ...108 5.2.5. 動的VLANモードのWeb認証のログアウトに関する注意事項...110 5.2.6. 動的VLANモードのWeb認証の端末移動に関する注意事項 ...110 5.2.7. 動的VLANモードのWeb認証成功時のURL移動に関する注意事項 ... 111 5.2.8. AX2400S / AX3600SシリーズのVer10.7 新機能を使用する場合の注意事項 ... 112 5.3. MAC認証に関する注意事項 ...113 5.3.1. 固定VLANモードのMAC認証のログアウトに関する注意事項 ...113 5.3.2. 動的VLANモードのMAC認証のログアウトに関する注意事項 ...114 5.3.3. 非認証端末接続時のRADIUSへの負荷...114 5.4. 認証関連共通の注意事項...115 5.4.1. 動的VLAN（MAC VLAN）における注意事項 ...115 5.5. AX1240S使用時の注意事項 ...117 5.5.1. フィルタのコンフィグレーションについて ...117 6. 運用コマンド...118 6.1. AX1200Sシリーズの運用コマンド...118 6.1.1. 認証状態表示コマンド ...118 6.1.2. ログ確認コマンド ...121 6.1.3. 認証状態初期化コマンド...121 6.2. AX2400S/AX3600Sシリーズの運用コマンド ...122 6.2.1. 認証状態表示コマンド ...122 6.2.2. ログ確認コマンド ...125 6.2.3. 認証状態初期化コマンド...125 付録A. コンフィグレーション...126 A.1. 固定VLANモードのコンフィグレーション例...126 A.1.1. AX1200Sのコンフィグレーション ...126 A.1.2. AX2400Sのコンフィグレーション ...126 A.1.3. AX3600Sのコンフィグレーション ...126 A.2. 動的VLANモードのコンフィグレーション例...127 A.2.1. AX1200Sのコンフィグレーション ...127 A.2.2. AX2400Sのコンフィグレーション ...127 A.2.3. AX3600Sのコンフィグレーション ...127

1. ネットワーク認証概要

本章では、AX シリーズを用いて、ネットワーク認証を行なうために必要な情報として、1.1 章ネ ットワーク認証の概要と、1.2 章で AX がサポートする認証方式（IEEE802.1X 認証、Web 認証、MAC 認証）について説明し、1.3 章で AX における認証端末をどの通信インタフェース単位で認証させる か選択する認証モード（ポート単位、動的 VLAN、固定 VLAN）について説明し、1.4 章では検疫シ ステムの概要を説明します。

1.1. ネットワーク認証とは 現在、ネットワークは絶えず不正アクセスの脅威にさらされています。従来は外部からのアクセスに 対して、ファイアウォール等の装置にて不正アクセスを防いでいましたが、それでも機密情報の漏洩や 個人情報の流出事件が多発しました。最近では外部からのアクセスだけでなく、むしろ内部からの不正 アクセスが問題となっています。 また、昨今叫ばれている企業の内部統制の必要性から、IT による情報システムによって、業務の管理・ 記録を残すことも重要となってきています。 そのために、ネットワークにアクセスする際に、アクセスする本人がシステムに登録された正規のユ ーザであるかを確認する、ネットワーク認証システムが必要とされています。 ネットワーク認証システムによって、以下のことが実現できます。 1) 不特定多数が同時に接続するネットワークにおいて、許可されたユーザに対してのみネットワー クサービスを提供することにより、リソースの枯渇を防ぎます。 2) 正規の権限を認められていない情報資源に対して、ネットワークアクセスを許可しないことによ り、ネットワークおよび情報システムの安全性を確保します。 3) 情報資源の有効活用および万が一情報漏洩が発生した場合の危機管理という観点から、ネットワ ークや情報資源の利用状況および利用者の把握を行います。 図 1.1-1 ネットワーク認証概要

1.2. 認証方式の特徴およびシステム要素

1.2.1. IEEE802.1X 認証

1.2.1.1. 概要

IEEE802.1X 認証は、アクセス可能なポートからの不正な接続を規制する機能です。バックエンドに 認証サーバ(Authentication Server,一般的には RADIUS サーバ)を設置し、認証サーバによる端末 (Supplicant)の認証が成功した上で、スイッチ(Authenticator)が通信を許可します。

端末(Supplicant)-スイッチ(Authenticator)間の認証処理に関わる通信は EAP Over LAN(EAPOL)で行 います。スイッチ(Authenticator)－認証サーバ(RADIUS サーバ)間は EAP Over RADIUS プロトコルを使 って認証情報を交換します。 構成要素と動作概略を以下に示します。 表 1.2-1 IEEE802.1X 認証の構成要素 項 番 構成要素 動作概略 1 Authenticator ( ス イ ッ チ) Supplicant のネットワークへのアクセスを制御します。 Supplicant と Authentication Server(RADIUS サーバ)の仲 介に位置し、相互間の認証シーケンスをトランスペアレン トに行います。Supplicant に識別情報を要求し、その情報 を認証サーバで確認し、Supplicant に応答をリレーしま す。Authenticator は、EAP フレームのカプセル化/カプセ ル化解除、および RADIUS サーバとの対話を処理します。 2 Supplicant(端末) IEEE802.1X の仕様では、クライアント(端末)は Supplicant

といい、IEEE802.1X に準拠するソフト又は OS(Windows XP 等)の搭載が必要です。 3 Authentication Server (RADIUS サーバ) Supplicant の認証を行います。認証サーバは Supplicant の識別情報を確認し、要求元の Supplicant にサービスへ のアクセスを許可すべきかどうかを Authenticator に通知 します。

RADIUS サーバ(Authentication Server) スイッチ(Authenticator)

端末(Supplicant)

1.2.1.2. 拡張認証プロトコル(EAP)

EAP(Extensible Authentication Protocol)は複数の認証方式が提案されています。

表 1.2-2 IEEE802.1X の EAP 認証方式 項 番 認証方式 特徴 1 EAP-MD5 この方式は、ユーザ ID とパスワードによるクライアント 認証であり、電子証明書を必要としないため実装が容易に なるというメリットがあります。ただし、クライアントの みを認証する片方向認証であることや、暗号解読による漏 洩には脆弱な面もあります。また、Windows XP SP1 以 降からは非対応(削除)になりましたが、EAP の実装では MD5 をサポートすることが義務付けられています。 2 PEAP (Protected EAP)) クライアント側ではユーザ ID とパスワードによる認証、 認証サーバ側では電子証明書による認証が行われる方式。 Cisco-PEAP と MS-PEAP があります。Windows XP では MS-PEAP を標準で対応しています。 3 EAP-TLS TLS は、情報を暗号化して安全に送受信するプロトコル で、電子証明書を利用してクライアントと認証サーバの相 互認証を行います。電子証明書を使うためセキュリティは 高いですが、クライアントと認証サーバの双方で電子証明 書の管理が必要となり、PKI 導入基盤が用意されていない 場合は使い難いと言われています。なお、Windows XP が 標準で対応しています。 4 EAP-TTLS MD5 と TLS 双方の利点を併せ持った方式。トンネルを張 り認証を行うことでセキュリティを確保します。クライア ント側ではユーザ ID とパスワードによる認証を行うこと で、導入・管理・運用が TLS と比較して容易だといわれ ています。また、認証サーバ側では電子証明書が利用され るため、高いセキュリティ性の確保が可能です。ただし、 TTLS 対応の Supplicant と認証サーバが必要となります。 暗号強度や鍵生成・配布のプロセスという観点からは、EAP-TLS がもっとも信頼性の高い認証方式と なりますが、運用の負荷を考えると PEAP を選択するメリットもあります。

1.2.1.3. EAP 認証シーケンス

EAP のやり取りを以下に示します。

図 1.2-2 EAP 認証シーケンス

1. Supplicant からの EAP-Start または Authenticator からの EAP-Request/Identity によって、EAP シーケンスを開始します。認証は常に EAP-Start から始まらなければいけないというわけでは なく、Authenticator は常に EAP-Request/Identity を送信して認証を促すことができます。また、 Windows XP はデフォルトの設定では EAP-Start を送信しないため、端末を検知するまでには EAP-Request/Identity の送信間隔を待たなければなりません。 2. Supplicant はユーザ識別子を収集し、Response/Identity メッセージにユーザ識別子を挿入し送 信します。

3. Authenticator は Response/Identity を Radius Access-Request に変換し、Authentication Server (例では RADIUS Server)に転送します。

4. Authentication Server からは認証チャレンジが発行されます。認証チャレンジは、Authenticator が EAP に変換して Supplicant に転送します。

5. 認証チャレンジを受信した Supplicant は、利用している認証方式と合致している場合は Response を返します。認証方式が合致していなかった場合は、Response/NAK を返します。

7. Supplicant は認証方式が合致した場合、Response/(認証タイプ)を返信します。

8. Authentication Server から Accept が返ってくると、Authenticator はポートを開放し、Success の通知を Supplicant に転送します。 1.2.1.4. EAPOL フレームフォーマット 図 1.2-3 IEEE802.1X の EAPOL フレームフォーマット EAPOL の宛先 MAC アドレスは予約マルチキャストとなっています。このアドレスは他の予約マルチ キャストアドレスと同様に、IEEE802.1D では中継しないことを推奨されているため、スイッチによっ ては廃棄されてしまうことがありますのでご注意下さい。

(IEEE 802.1D-2004 7.12.6 Reserved address)

1.2.2. Web 認証

1.2.2.1. 概要

Web 認証は、Firefox や Internet Explorer などの汎用の Web ブラウザを利用してユーザ ID およびパ スワードを使った認証によりユーザを認証し、ユーザが使用する端末の MAC アドレスを使用して認証 状態に移行させ、認証後のネットワークへのアクセスを可能にする機能です。 本機能により、端末側に特別なソフトウェアをインストールすることなく、Web ブラウザのみで認証 を行うことが可能となります。 クライアントとスイッチ間のプロトコルは基本の http に加え、認証情報を暗号化するための https を サポートしています。 Web 認証では1.3章にて説明する動的VLANモードと固定VLANモードを選択することができます。

動的 VLAN モードでは、MACVLAN ポートで認証することにより、同一ポート配下でユーザ毎に VLAN を切り替えることが可能です。認証前は認証前 VLAN に接続され認証後に指定された VLAN に切り替え ます。また認証前と認証後で VLAN(ネットワーク)切り替わるため、固定 IP の端末は使用できません。 固定 VLAN モードでは、アクセスポートで認証する場合はポート単位で VLAN が固定となります。ト ランクポートでの認証もサポートしており、この場合 Tag-VLAN で認証が可能です。認証前と認証後の VLAN 切り替えが発生しないので固定 IP 端末の接続が可能となります。固定 VLAN モードでは、認証 前には認証専用のアクセスリストに登録された宛先のみ通信可能です。 注）マニュアルでは動的 VLAN の事をダイナミック VLAN と表記している場合があります。

1.2.2.2. Web 認証シーケンス

以下に動的 VLAN モードにおける Web 認証の動作シーケンスについて示します。

図 1.2-4 動的 VLAN モードにおける Web 認証シーケンス

以下に固定 VLAN モードにおける Web 認証（URL リダイレクト有効時）の動作シーケンスについて示 します。 任意の Web アクセス 自動的に Web 認証画面表示 認証スイッチ 内蔵 Webサーバ 外部 DHCP サーバ DHCP で IP アドレス要求 IP アドレスの配布 認証 機能 内蔵 Web 認証 DB ユーザ ID、パスワード入力 RADIUS Server 認証 DB 認証要求 どちらの認証 DB を使うか選択可能 認証結果表示 どちらの認証 DB を 使うか選択可能 表示指示 結果 OK 認証前 クライアント PC 認証後 ユーザトラフィック 業務サーバ等 図 1.2-5 固定 VLAN モードにおける Web 認証シーケンス

固定 VLAN モードにおける Web 認証では、IP アドレスは固定および DHCP での配布どちらでも利用 可能です。ただし DHCP で IP アドレスを配布する場合には、認証前の PC からの DHCP のトラフィッ クを許可する設定が必要です。

固定 VLAN では URL リダイレクト機能をサポートしており、認証前の PC から任意の Web アクセス があった場合、認証画面を自動的に表示することができます。

1.2.3. MAC 認証

1.2.3.1. 概要

ネットワークに繋がる端末は、PC のみとは限りません。近年では PC 以外にプリンタや IP 電話機、 ビデオカメラ等の端末もネットワークでの利用が前提となってきています。それらの端末についても、 ネットワークの利用状況の管理や、通信する部分を制限するために、端末認証を行う必要があります。

上記の PC 以外の端末では、Web ブラウザや IEEE802.1X の Supplicant 機能を持たないものが多い ため、端末から送信されるパケットの送信元 MAC アドレスを使ってユーザを認証する、MAC 認証 があります。 しかし、一般的に MAC アドレスは偽装が簡単で、フラッディングしているパケットをキャプチャ できると、容易に認証済み MAC アドレスを識別することができるため、認証としての強度は高いも のではありません。使用するポートや VLAN、スイッチについて注意が必要となります。 1.2.3.2. MAC 認証シーケンス 以下に MAC 認証時の動作シーケンスを示します。 図 1.2-6 MAC 認証シーケンス

1.2.4. RADIUS (Remote Authentication Dial-In User Services) 1.2.4.1. RADIUS 概要 RADIUS(ラディウス)は、ネットワーク資源の利用可否の判断(認証)と、利用の記録(アカウンティン グ)のためのプロトコルです。その名の示すとおり、元来はダイヤルアップ接続のために開発された認証 システムですが、現在はダイヤルアップのみならず、様々なサービスに対して認証とアカウンティング を実現するプロトコルとして幅広く利用されています。クライアントサーバモデルのプロトコルのため、 サーバがクライアントに対してサービス停止を行うことは基本的にできません。 RADIUS の基本的な特性は以下のとおりです。 ・ 認証(Authentication)、承認(Authorization)、アカウンティング(Accounting) 即ち AAA モデ ルをサポートしています。

・ Hop to Hop のセキュリティモデルを採用しています。(信頼関係を持つ AAA サーバ間では 要求の転送によって承認を得ることができます。)

・ UDP ベースのプロトコルであり、接続開始前にチャレンジ情報のやり取りを行います。 ・ PAP 認証、CHAP 認証をサポートしています。

・ MD5 を利用したパスワード隠蔽の仕組みを備えています。 ・ 状態情報を持ちません。

RADIUS では認証基盤として自前のデータベースのみならず、外部の Active Directory ドメインサー バなどの LDAP に対応したディレクトリサーバや、NT サーバ、SQL サーバ等と連携することが可能で す。これにより、ユーザの管理効率を大幅に向上させることも可能となります。

1.2.4.2. RADIUS アトリビュート

RADIUS には属性値ペア(AVP: Attribute Value Pair)と呼ばれる登録情報があります。属性値ペアは、 属性番号と長さ、属性からなり、属性番号ごとに属性値ペアの値の意味が規定されています。 AX が使用する主な属性名を以下に示します。 表 1.2-3 AX が使用する RADIUS アトリビュート 項 番 属性名 Type 値 解説 パケット タイプ 1 User-Name 1 認証されるユーザ名。 MAC 認証の場合は認証端末の送信元 MAC ア ドレスになります。(小文字 ASCII, "-"区切り) Request 2 NAS-IP-Address 4 認証要求をしているスイッチの IP アドレス。 AX2400S、AX3600S、AX6300S、AX6700S は、ローカルアドレスが設定されている場合 はローカルアドレス、設定されていない場合 は送信インタフェースの IP アドレスになり ます。

AX1200S は、VLAN ID の一番小さな VLAN インタフェースの IP アドレスになります。

Request

3 Service-Type 6 提供するサービスタイプ。Framed(2)固定。 Request Accept 4 Session-Timeout 27 IEEE802.1X 認証の場合は、Supplicant へ送

信した EAP-Request に対する応答待ちタイ ムアウト値。 AX2400S、AX3600S、AX6300S、AX6700S は、項番 5 の Termination-Action が RADIUS-Request(1)に設定されていた場合、 以下の値で再認証を行います。 0：再認証は無効 1～60：60 秒で再認証 61～65535：設定された値で再認証 AX1200S はこの属性を参照せず、コンフィグ レーションに従います。 （5.1.6章参照） Challenge Accept 5 Termination-Action 29 再認証時の動作指定。 AX2400S、AX3600S、AX6300S、AX6700S は、この属性が RADIUS-Request(1)に設定さ れていると、装置で再認証を設定していない 場合でも強制的に再認証を行います。 AX1200S はこの属性を参照せず、コンフィグ レーションに従います。 （5.1.6章参照） Accept

6 Called-Station-Id 30 スイッチの MAC アドレス（小文字 ASCII、"-" 区切り）。AX1200S では未サポート。

Request

項 番 属性名 Type 値 解説 パケット タイプ 7 Calling-Station-Id 31 認証端末の MAC アドレス（小文字 ASCII、"-"

区切り）。 Request 8 NAS-Identifier 32 スイッチを識別する文字列（ホスト名の文字 列）。 Request 9 NAS-Port-Type 61 スイッチがユーザ認証に使用している物理 ポートのタイプ。 IEEE802.1X 認証では Ethernet(15)固定。 Web 認証および MAC 認証では Virtual(5)固 定。 Request 10 Tunnel-Type 64 トンネル・タイプ。 IEEE802.1X 認証の動的 VLAN モードでのみ 意味を持ちます。VLAN(13)固定。 Accept 11 Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル。 IEEE802.1X 認証の動的 VLAN モードでのみ 意味を持ちます。IEEE802(6)固定。 Accept 12 Tunnel-Private-Group-ID 81 VLAN を識別する文字列。 IEEE802.1X 認証の動的 VLAN モードでのみ 意味を持ちます。Accept 時は、認証済みの端 末に割り当てる VLAN ID になります。 次に示す文字列が対応します。 (1)VLAN ID を示す文字列 (2)"VLAN"+VLAN ID を示す文字列 文字列にスペースを含んではいけません（含 めた場合 VLAN 割り当ては失敗します）。 （設定例） VLAN10 の場合 (1)の場合 "10" (2)の場合 "VLAN10" Accept

13 NAS-Port-Id 87 Supplicant を認証する Authenticator のポート を識別するための文字列。 IEEE802.1X 認証でのみ使用します。 ポート単位：“Port x/y”、“ChGr x” 固定 VLAN：“VLAN x” 動的 VLAN：“DVLAN x” （x、y には数字が入る） Request

1.2.5. CA(Certificate Authority) CA とは電子的な身分証明書を発行・管理する機関のことであり、認証局、CA 局または CA センター などと呼ばれています。CA にはパブリック CA とプライベート CA があり、前者は第三者が発行する 証明書により本人性を証明します。後者は企業内などに閉じた範囲で、企業ポリシーに基づいて運用さ れます。 CA ではユーザの公開鍵の管理や電子証明書を発行し、証明書は、発行者(CA)のみが知る秘密鍵で暗 号化された電子署名、ユーザ識別子、ユーザ公開鍵、証明書有効期限等で構成されています。 証明書の発行に関しては、適用する端末認証方式によって差異があります。即ち EAP-TLS ではサー バ証明書およびクライアント証明書の双方をやり取りする必要がありますが、EAP-PEAP、EAP-TTLS ではクライアント証明書は必要ありません。 1) パブリック CA 外部機関に委託することになるため、信頼性が高く、保守や運用の面でメリットがありますが、 証明書の発行にコストが必要となります。特に EAP-TLS を採用する場合はクライアント数分の証 明書発行コストがかかることになります。 また、Web 認証にて HTTPS を行う場合でも、証明書を機器台数分用意することになります。 2) プライベート CA パブリック CA とは逆に、証明書の発行コストはかかりませんが、自営システムのため構築・運 用・保守のコストがかかります。また、ローカルな証明書になるため、Web 認証で IE を使用し た場合は、以下の警告が表示されます。 図 1.2-7 Windows XP（IE6）セキュリティ警告画面

1.3. AX でサポートする認証モードの特徴

AX シリーズがサポートする各認証方式（IEEE802.1X 認証、Web 認証、MAC 認証方式）では端末が 認証後に所属する VLAN に応じて大きく 3 種類の認証モードが存在します。 ･固定 VLAN モード VLANを固定した認証モードです。詳細は1.3.1章を参照して下さい。 ･動的 VLAN モード VLAN を動的に切り替え且つ認証前通信を制御する新しい認証モードです。 詳細は1.3.2章を参照下さい。 ･レガシーモード VLAN を動的に切り替える認証モードです。

AX2400S、AX3600S Ver10.7、AX1200S Ver1.4 より前のバージョンの動的 VLAN モードです。

詳細は1.3.3章を参照して下さい。 認証モードの表記については AX シリーズ毎に若干の違いがありますが本ガイド上ではシリーズ毎に 依存しない表記を行っています。 本ガイドと製品マニュアルでの認証モード表記について以下の表に示します。 表 1.3-1 本ガイドと製品マニュアルでの認証モード表記 製品マニュアル上の表記 本ガイド上の表記 認証方式 AX1200S AX2400S AX3600S AX6300S AX6700S 固定 VLAN モード (ポート単位) 1.3.1.1章参照 IEEE802.1X 認証 ポート単位 ポート単位認証 (静的) ポート単位認証 ポート単位認証 固定 VLAN モード (VLAN 単位) 1.3.1.2章参照 IEEE802.1X 認証 VLAN 単位 － VLAN 単位認証 (静的) VLAN 単位認証 (静的) Web 認証 固定 VLAN モード 固定 VLAN モード 固定 VLAN モード 固定 VLAN モード

1.3.1章参照

MAC 認証 固定 VLAN モード 固定 VLAN モード 固定 VLAN モード IEEE802.1X 認証 ポート単位認証 (動的) VLAN 単位認証 （動的）(*1) － Web 認証 ダイナミック VLAN モード ダイナミック VLAN モード － 動的 VLAN モード 1.3.2章参照 MAC 認証 ダイナミック VLAN モード ダイナミック VLAN モード － IEEE802.1X 認証 VLAN 単位認証 （動的） VLAN 単位認証 （動的）(*1) VLAN 単位認証 （動的） Web 認証 レガシーモード レガシーモード ダイナミック VLAN モード レガシーモード 1.3.3章参照 MAC 認証 レガシーモード － － (*1) AX2400S、AX3600SのIEEE802.1X認証（VLAN単位認証（動的））の動作については2.1章を参照し て下さい。

1.3.1. 固定 VLAN モードの特徴

固定VLAN モードは，認証要求端末の VLAN は認証前と認証後で VLAN が変わりません。認証要 求端末の所属するVLAN は，端末の接続ポートが所属する VLAN となります。 図 1.3-1 固定 VLAN モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします。 2. 認証対象ユーザ（図内の PC）の接続ポートまたは VLAN ID により、認証対象ユーザ（図内の PC） が所属するVLAN ID を特定します。 3. ユーザ情報に特定した VLAN ID 情報を加えて RADIUS サーバへ認証要求することで，収容可能な VLAN を制限することが可能となります。 4. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合） 5. 認証済み PC は、接続された VLAN のサーバに接続できるようになります。

1.3.1.1. IEEE802.1X 認証（ポート単位）

認証の制御を物理ポートまたはリンクアグリゲーション単位に行います。この認証モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことはできません。IEEE 802.1Q VLAN-Tag の 付与された EAPOL フレームを受信すると廃棄します。 また、IEEE802.1X 認証方式では、認証サブモードとして以下の三つがあります。 1. 一つの物理ポートを 1 台の端末で占有するシングルモード。 2. 一つの物理ポートにて 1 台の端末が認証成功すると、その後同一物理ポートでは全ての通信を 非認証で通過させるマルチモード。（AX1200S はサポートしていません。） 3. 一つの物理ポートにて、端末毎に認証する端末認証モード。 図 1.3-2 ポート単位認証モード

1.3.1.2. IEEE802.1X 認証（VLAN 単位）

認証の制御を VLAN に対して行います。本モードでは、IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます。端末と本装置の間に L2 スイッチを配置し、L2 スイッチを用いて IEEE 802.1Q VLAN-Tag の付与を行う場合に使用します。Tag の付与されていない EAPOL フレームについて は、ポートに設定されているネイティブ VLAN で受信したと認識します。

1.3.2. 動的 VLAN モードの特徴

動的VLAN モードは、認証後の VLAN 切り替えを MAC VLAN で実施し、認証に成功した端末の MAC アドレスと VLAN ID を MAC VLAN と MAC アドレステーブルに登録します。

図 1.3-4 動的 VLAN 認証モード概要図

1. HUB 経由または直結された PC から本装置にアクセスします。 2. 外部に設置された RADIUS サーバに従って認証を行います。

3. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合）

4. RADIUS サーバから送られる VLAN ID 情報に従って、認証済み PC を認証後の VLAN に収容し て、サーバに接続できるようになります。

AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 以降において新しくサポート された動的 VLAN モードの新機能を以下に示します。 表 1.3-2 動的 VLAN モードで追加・変更された機能 項番 エンハンス内容 1 認証前に通信するための認証前フィルタの適用が可能 2 Web 認証において URL リダイレクトが使用可能 3 新機能 Web 認証専用 IP アドレスが利用可能（AX1200S はレガシーモードでも可能） 4 変更仕様 認証ポートにおけるネイティブVLANでの通信が不可 (*1) , 5 設定上の変更点 MAC VLAN ポートに認証設定を行う (*1) AX2400S/AX3600SのIEEE802.1X認証を単独で使用する場合、ネイティブ VLANでの通信が可能です。 同一ポートで Web 認証または MAC 認証と併用した場合は、ネイティブ VLAN での通信が遮断されるため、 認証前フィルタの定義が必要になります。

1.3.3. レガシーモードの特徴

レガシーモードは、MAC VLAN 機能を使用して認証要求端末ごとに認証・検疫し、動的に VLAN を 割り当てることにより、認証前のネットワークと認証後のネットワークを分離できます。

AX2400S、AX3600S Ver10.7、AX1200S Ver1.4 より前のバージョンの動的VLAN モードが該当します。

図 1.3-5 レガシーモード概要図

1. HUB 経由または直結された PC から本装置にアクセスします。 2. 外部に設置された RADIUS サーバに従って認証を行います。

3. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合）

4. RADIUS サーバから送られる VLAN ID 情報とコンフィグレーションで設定した認証後 VLAN 情 報に従って、認証済みPC を認証後の VLAN に収容して、サーバに接続できるようになります。

AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 以降において、動的 VLAN モードとレガシーモードを両方を併用する事ができますが（一部混在使用不可）、新しく認証ネット ワークを構築する場合は動的 VLAN モードを使用することを推奨します。

1.4. ネットワーク認証と検疫ネットワーク 一般的に、ウィルス、ワームに感染した持ち込み PC が、情報漏洩の一因になっていることは、数々 の事件によって明らかになっています。しかし、ユーザ名とパスワードのみでは、許可されたユーザに よる持ち込み PC について、ネットワークアクセスを禁止することができません。 ネットワークに接続するために、ユーザ名やパスワード、電子証明書のみではなく、その端末のセキ ュリティ状態にまで着目して判断するのが、検疫ネットワークです。 検疫ネットワークには、以下の三つの要素があります。 1. 検疫機能 ネットワークに接続しようとしている端末についてのセキュリティ状態を検査する機能です。検 疫専用のクライアントソフトをインストールするエージェント型や、ActiveX によってダウンロ ードさせるエージェントレス型が存在します。なお、検疫はネットワーク認証の一部として行わ れる場合が多く、検疫機能はネットワークへの接続条件の一つと見なされています。 2. 隔離機能 検疫によって不合格とされた端末について、基幹のネットワークと分離させる機能です。この隔 離機能は、あくまで幹線ネットワークからの隔離であり、この後の治療のために、ネットワーク への接続性は維持させなければなりません。隔離の方式としては、VLAN を切り替える方式や、 ACL によってフィルタリングする方式、DHCP による IP サブネットを分ける方式があります。 3. 治療機能

不合格とされた端末については、SUS(Software Update Services)サーバによってセキュリティ状 態の更新が行われます。治療された端末は再度検疫を行い、合格と判断されれば基幹ネットワー クへのアクセスが可能となります。

図 1.4-1 認証と検疫ネットワーク

2. AX シリーズの認証機能サポート一覧

本章で記載している AX シリーズの OS ソフトウェアバージョンを以下に示します。 AX1200S AX2400S、AX3600S AX6300S、AX6700S

1.4 11.0 11.0 本章で記載している認証モードは固定VLANモードと動的VLANモードです。レガシーモードについては 製品マニュアルをご確認下さい。また認証モードの詳細につきましては1.3 AXでサポートする認証モー ドの特徴を参照して下さい。 2.1. 認証方式 AX シリーズのサポートする認証方式一覧を以下に示します。 表 2.1-1 認証方式 項 番 認証方式 認証モード AX1200S AX2400S AX3600S AX6300S AX6700S 1 ポート単位 ○ ○ ○ 2 固定 VLAN モード VLAN 単位 × ○ ○ 3 IEEE802.1X 認証 動的 VLAN モード ○ ○(*1) × 5 固定 VLAN モード ○ ○ ○ 6 Web 認証 動的 VLAN モード ○ ○ × 8 固定 VLAN モード ○ ○ ○ 9 MAC 認証 動的 VLAN モード ○ ○ × (凡例) ○：サポート、×：未サポート

(*1) AX2400S、AX3600S の IEEE802.1X 認証（VLAN 単位認証（動的））は同一装置内で Web 認証また は MAC 認証の動的 VLAN モードと併用した場合動的 VLAN モードとして動作します。

また装置で IEEE802.1X 認証（VLAN 単位認証（動的））を単独で用いた場合レガシーモードとして動作 します。

AX シリーズでは、認証モードが混在した場合の設定可否が装置ごとに異なります。 認証モード混在時に設定できる認証方式を以下に示します。 （１） AX1200S シリーズ 装置内での共存、同一ポートでの共存が可能です。 表 2.1-2 AX1200S シリーズ 固定 VLAN モード 動的 VLAN モード IEEE802.1X 認証（ポート 単位） IEEE802.1X 認証（VLAN 単位）

MAC 認証 Web 認証 IEEE802.1X _認証 MAC 認証 Web 認証 IEEE802.1X 認証（ポート 単位） ― ○ ○ ○ ○ ○ IEEE802.1X 認証（VLAN 単位） ― ― ― ― ― ― MAC 認証 ○ ― ○ ○ ○ ○ 固定 VLAN モード Web 認証 ○ ― ○ ○ ○ ○ IEEE802.1X 認証 ○ ― ○ ○ ○ ○ MAC 認証 ○ ― ○ ○ ○ ○ 動的 VLAN モード Web 認証 ○ ― ○ ○ ○ ○ (凡例) ○：設定可、×：設定不可、―：未サポート

（２） AX2400S / AX3600S シリーズ 表 2.1-3 AX2400S / AX3600S シリーズ 固定 VLAN モード 動的 VLAN モード IEEE802.1X 認証（ポート 単位） IEEE802.1X 認証（VLAN 単位）

MAC 認証 Web 認証 IEEE802.1X _認証 MAC 認証 Web 認証 IEEE802.1X 認証(ポート 単位） ○ ○(*1) _○(*1) _{○ ○ ○} IEEE802.1X 認証(VLAN 単位） ○ ○ ○ ○ ○ ○ MAC 認証 ○(*1) _{○ ○ ○ × ×} 固定 VLAN モード Web 認証 ○(*1) _{○ ○ ○ × ×} IEEE802.1X 認証 ○ ○ ○ ○ ○ ○ MAC 認証 ○ ○ × × ○ ○ 動的 VLAN モード Web 認証 ○ ○ × × ○ ○ (凡例) ○：設定可、×：設定不可、―：未サポート (*1) 端末認証モードのみサポート

（３） AX6300S / AX6700S シリーズ 表 2.1-4 AX6300S / AX6700S シリーズ 固定 VLAN モード IEEE802.1X 認証（ポート 単位） IEEE802.1X 認証（VLAN 単位） MAC 認証 Web 認証 IEEE802.1X 認証（ポート 単位） ○ ○(*1) _○(*1) IEEE802.1X 認証（VLAN 単位） ○ ○ ○ MAC 認証 ○(*1) _{○ ○} 固定 VLAN モード Web 認証 ○(*1) _{○ ○} (凡例) ○：設定可、×：設定不可、―：未サポート (*1) 端末認証モードのみサポート

2.2. ユーザ認証データベース ユーザ認証には、装置に内蔵した認証用データベースを用いる方式と、外部に設置した RADIUS サー バに問い合わせる方式があります。これらのデータベースは、認証モードによる差分はありません。 AX シリーズのサポートするユーザ認証データベースを以下に示します。 表 2.2-1 ユーザ認証データベース 項 番 認証方式 ユーザ認証データベース AX1200S AX2400S AX3600S AX6300S AX6700S 1 内蔵データベース × × × 2 IEEE802.1X 認証 RADIUS サーバ ○ ○ ○ 3 内蔵データベース ○ ○ ○ 4 MAC 認証 RADIUS サーバ ○ ○ ○ 5 内蔵データベース ○ ○ ○ 6 Web 認証 RADIUS サーバ ○ ○ ○ (凡例) ○：サポート、×：未サポート 2.3. ログ出力機能 ログ出力機能とは、認証を許可した端末へのサービス開始やサービス停止、認証失敗などのタイミン グでユーザ情報を出力する機能です。この機能を用いて、利用状況追跡を行うことができます。 AX シリーズのサポートするログ出力機能を以下に示します。 表 2.3-1 ログ出力機能 項 番 認証方式 ログ出力機能 AX1200S AX2400S AX3600S AX6300S AX6700S 1 show コマンドによる表示 ○ ○ ○ 2 RADIUS accounting 機能 × ○ ○ 3 syslog サーバへの出力 ○ × × 4 IEEE802.1X 認証 SNMP/Trap ○ × × 5 show コマンドによる表示 ○ ○ ○ 6 RADIUS accounting 機能 × ○ ○ 7 syslog サーバへの出力 ○ ○ ○ 8 MAC 認証 SNMP/Trap ○ × × 9 show コマンドによる表示 ○ ○ ○ 10 RADIUS accounting 機能 × ○ ○ 11 syslog サーバへの出力 ○ ○ ○ 12 Web 認証 SNMP/Trap ○ × × (凡例) ○：サポート、×：未サポート

2.4. RADIUS アトリビュート RADIUSアトリビュート（1.2.4.2章）について、AXシリーズの動作差分一覧を以下に示します。 表 2.4-1 RADIUS アトリビュートに対する機種別動作 属 性 属性名 AX1200S AX2400S AX3600S AX6300S AX6700S 1 NAS-IP-Address VLAN ID の一番小さな VLAN インタフェース の IP アドレス ローカルアドレスが設定されている場合： ローカルアドレス 設定されていない場合： 送信インタフェースの IP アドレス 2 Session-Timeout 参照しない Termination-Action が RADIUS-Request(1)に設定されていた場合、以 下の値で再認証を行う 0：再認証は無効 1～60：60 秒で再認証 61～65535：設定された値で再認証 （5.1.6章参照） 3 Termination-Action 参照しない RADIUS-Request(1)に設定されていると、装置 で再認証を設定していない場合でも強制的に再 認証を行う （5.1.6章参照）

2.5. IEEE802.1X 認証機能 AX シリーズのサポートする IEEE802.1X 認証の主な機能について以下に示します。 表 2.5-1 IEEE802.1X 認証機能 項 番 機能 AX1200S AX2400S AX3600S AX6300S AX6700S 1 EAPOL フォワーディング 機能 EAPOL フォワーディング ○(*1) _○(*1) _○ 2 認証除外端末オプション ○ ○ ○ 3 認証除外ポートオプション _{× ○ ○} 4 端末認証モードオプション 認証端末数制限オプション × ○ ○ 5 RADIUS サーバとの関連機能 サーバ無応答時の強制認証 ○ × × 6 _{shortcut モード} ○ ○ ○ 7 _{disable モード} ○ ○ ○ 8 端末検出動作切り替え機能 full モード × ○ × (凡例) ○：サポート、×：未サポート (*1) _{装置単位の設定のみサポート}

2.6. Web 認証機能 AX シリーズのサポートする Web 認証機能の主な機能について以下に示します。 表 2.6-1 Web 認証機能 AX1200S AX2400S AX3600S AX6300S AX6700S 項 番 機能 固定 VLAN モード 動的 VLAN モード 固定 VLAN モード 動的 VLAN モード 固定 VLAN モード 動的 VLAN モード 1 http ○ ○ ○ ○ ○ 2 https ○ ○ ○ ○ ○ 3 ログイン画面入れ替え機能 ○ ○ ○ ○ ○ 4 URL リダイレクト機能 ○ ○ ○ ○ × 5 Web サーバ機能 Web 認証専用 IP アドレス ○ ○ ○ ○ ○ 6 最大接続時間での監視 ○ ○ ○ ○ ○ 7 無通信監視機能 ○ ○ × ○ × 8 ログアウト画面からのログ アウト ○ ○ ○ ○ ○ 9 ARP ポーリング ○ × ○ × ○ 10 特殊 ping パケットによるロ グアウト ○ ○ ○ × ○ 11 ログアウト機能 ポートリンクダウン ○ ○ ○ × ○ 12 RADIUS サーバと の関連機能 サーバ無応答時の強制認証 ○ ○ ○ ○ × 13 設定可能なリースタイム値 10 秒～ 10 秒～ 10 秒～ 14 デフォルトゲートウェイの 配布 ○ ○ ○ 15 DHCP サーバ機能 DNS の配布 ○ ○ ○ (凡例) ○：サポート、×：未サポート

2.7. MAC 認証機能 AX シリーズのサポートする MAC 認証機能の主な機能について以下に示します。 表 2.7-1 MAC 認証機能 AX1200S AX2400S AX3600S AX6300S AX6700S 項 番 機能 固定 VLAN モード 動的 VLAN モード 固定 VLAN モード 動的 VLAN モード 固定 VLAN モード 動的 VLAN モード 1 最大接続時間での監視 ○ ○ ○ ○ ○ 2 エージング時間監視 ○ ○ ○ ○ × 3 認証解除機能 ポートリンクダウン ○ ○ ○ ○ ○ 4 サーバ無応答時の強制認証 ○ ○ ○ ○ × 5 RADIUS サーバと の関連機能 定期的再認証要求 × ○ × × × (凡例) ○：サポート、×：未サポート

2.8. 収容条件 AX シリーズのサポートする各認証モード毎の最大認証端末数を以下に示します。 表 2.8-1 認証モード毎の最大認証端末数 認証モード 認証方式 AX1200S AX2400S AX3600S AX6300S AX6700S 64/ポート 64/ポート 256/ポート IEEE802.1X 認証 _{256/装置 256/VLAN 256/VLAN} MAC 認証 1024/装置 1024/装置 4096/装置 固定 VLAN モード Web 認証 1024/装置 合計 1024/装置 1024/装置 合計 1024/装置 4096/装置 合計 4096/装置 IEEE802.1X 認証 256/装置 256/装置 (*1) MAC 認証 256/装置 256/装置 (*1) 動的 VLAN モード Web 認証 256/装置 合計 256/装置 256/装置 (*1) 合計 256/装置 (*1) (凡例) ×：未サポート (*1) AX3640S では 1024/装置となります。

3. 認証ネットワークの構築

3.1. 認証ネットワーク概要 本章では、AX シリーズを用いた認証ネットワークの構築例を示します。 本ガイドでは、固定 VLAN モードと動的 VLAN モードの認証ネットワーク構成例を示し、それぞれの設 定方法について解説します。 AX シリーズを用いた認証ネットワークの基本的な構成を、以下のように定義します。 図 3.1-1 AX シリーズを用いた認証ネットワーク構成例 コアスイッチには AX3600S を配置し、VRRP を用いて装置を冗長化します。また、装置間はリンク アグリゲーションを用いて回線を冗長化します。 認証に用いる RADIUS サーバ、端末に IP アドレスを配布する DHCP サーバ、ログを収集する syslog サーバ、およびネットワークを監視する SNMP マネージャはコアスイッチ配下に接続します。 コアスイッチ同士の経路交換には、OSPF 等のルーティングプロトコルを使用します。 認証スイッチには AX2400S および AX1200S を配置し、スパニングツリーを用いて冗長化します。 認証を行う端末やプリンタは、認証スイッチに直接またはハブを介して接続します。 本ガイドでは、使用可能な全ての認証方式を認証スイッチに設定しています。ここで示した各装置の 全コンフィグレーションを付録に添付していますので、実際に構築する環境に合わせてご利用下さい。 ・RADIUSサーバ ・DHCPサーバ ・syslogサーバ ・SNMPマネージャ

OSPF

AX3600S AX3600S AX3600S

VRRP

コアスイッチ マスター バックアップ 認証スイッチ

STP

AX2400S AX1200S AX1200S 端末 端末 プリンタ

3.2. 固定 VLAN モード 3.2.1. 認証ネットワーク構成図 図 3.1-1の認証スイッチが固定VLANモードである場合の認証ネットワーク構成図を以下に示します。 図 3.2-1 認証ネットワーク構成図 ここで、認証スイッチのポートを以下のように設定します。 表 3.2-1 認証スイッチのポート設定 認証 スイッチ 用途 ポート番号 ポート種別 認証方式 VLAN ID 0/1～0/10 アクセスポート IEEE802.1X 認証(ポート単位) 400 0/11～0/20 アクセスポート 100 認証用 0/21～0/30 トランクポート IEEE802.1X 認証(固定 VLAN) MAC 認証(固定 VLAN) Web 認証(固定 VLAN) 100、200、₃₀₀ AX2400S 上位スイッチ との通信用 0/47～0/48 トランクポート ― ― 0/1～0/10 アクセスポート IEEE802.1X 認証(ポート単位) MAC 認証(固定 VLAN) Web 認証(固定 VLAN) 100 認証用 0/11～0/20 トランクポート MAC 認証(固定 VLAN) Web 認証(固定 VLAN) 200、300 AX1200S 上位スイッチ との通信用 0/25～0/26 トランクポート ― ― 認証除外プリンタ MAC アドレス 0011.0022.0033 DNS サーバ#1 SNMP マネージャ OSPF 10.15.0.0/24 .1 .2 _10.25.0.0/24 .3 .3 DHCP サーバ#1 syslog サーバ IEEE802.1Qリンク STP VRRP RADIUS サーバ#1 認証除外プリンタ 端末 _{端末 端末} MAC アドレス 0011.2233.4455 10.5.0.0/24 .1 .2 .11 .11 .1 .2 .254 .254 .254 .1 .2 .3 端末 Core#1 0/1～0/2 VLAN100,200,300,400,1000 AX3600S 0/24 VLAN15 172.16.0.1 0/3～0/4 0/3～0/4 VLAN100,200,300,400,1000 AX3600S 0/1 0/23 0/24 Core#3 0/24 VLAN25 VLAN15 Core#2 VLAN25 172.16.0.2 0/1～0/2 0/2 0/3 VLAN50 AX3600S .1 .2 HUB#2 edge#1 0/25～0/26 VLAN100,200,300,1000 AX1200S 172.16.0.12 VLAN100 VLAN200,300 0/11～0/20 0/1～0/10 .12 .12 仮想ルータ 192.168.100.254 クライアント用 VLAN１ 192.168.200.254 クライアント用 VLAN２ DHCP サーバ#2 RADIUS サーバ#2 DNS サーバ#2 192.168.30.254 クライアント用 VLAN３ クライアント用 VLAN４ 192.168.40.254 172.16.0.254 管理用 VLAN 端末 HUB#1 dist#1 0/47～0/48 VLAN100,200,300,400,1000 AX2400S 1 172.16.0.1 0/21～0/30 VLAN400 0/1～0/10 0/11～0/20 VLAN100 VLAN100,200,300 0/11 0/1

各 VLAN の定義を以下の表に示します。 表 3.2-2 VLAN の定義 VLAN 名 VLAN ID ネットワーク IP アドレス 用途 サーバ用 VLAN 50 10.50.0.0/24 認証後に通信可能なサーバが所属する VLAN。(社内ネットワーク) クライアント用 VLAN1 100 192.168.100.0/24 クライアント用 VLAN2 200 192.168.200.0/24 クライアント用 VLAN3 300 192.168.30.0/24 クライアント用 VLAN4 400 192.168.40.0/24 端末が所属する VLAN。 管理用 VLAN 1000 172.16.0.0/24 各装置を管理するための VLAN。

3.2.2. 構築ポイント 固定 VLAN モードの認証ネットワーク構成図について、構築のポイントを以下に示します。

必須項目

（１） 運用前にシステムファンクションリソースを設定する。(AX1200S のみ) 固定 VLAN モードを使用する場合、運用前にシステムファンクションリソース配分を変更して フィルタ機能と拡張認証機能を有効にします。設定変更後は装置の再起動が必要です。 （２） アップリンク側ポートに認証除外設定をする。(AX2400S のみ) IEEE802.1X 認証(固定 VLAN)を行う場合、上位スイッチとの通信を行うポートに認証除外の設 定が必要です。 （３） Web 認証用ポートにフィルタを設定する。 ポートに Web 認証の設定を行うと、そのポートでは認証前のすべての通信を遮断します。認 証前に通信を行いたい場合は、アクセスリストを作成してポートに適用する必要があります。ま た、ARP リレーの設定も必要です。 本ガイドでは、次のアクセスリストを作成して、Web 認証ポートに適用しています。 (a) DHCP 通信を許可する (b) DNS サーバ「10.50.0.2」への DNS 通信を許可する (c) DNS サーバ「10.50.0.1」への DNS 通信を許可する （４） Web 認証専用 IP アドレスを設定する。 Web 認証用の IP アドレスを設定します。この IP アドレスは全認証スイッチに共通して設定す ることができます。本ガイドでは、「10.10.10.10」としています。なお、AX2400S で設定後は Web サーバの再起動が必要です。 また、クライアント用 VLAN のインタフェース IP アドレス設定が必要です。本ガイドでは、ク ライアント用 VLAN の IP アドレスをそれぞれ次のように設定しています。 認証スイッチ クライアント用

VLAN ID AX2400S AX1200S

100 192.168.100.11 192.168.100.12 200 192.168.200.11 192.168.200.12 300 192.168.30.11 192.168.30.12 400 192.168.40.11 － （５） Web 認証で SSL を使用する場合は FQDN を設定をする。（AX2400S,AX3600S のみ） Web 認証で SSL 通信(https)する場合に証明書の発行先サイトと URL 名が一致しないと URL リ

ダイレクト時に、サイト名不一致の証明書エラーがブラウザに表示されます。エラー回避するため に証明書の発行先サーバ名を FQDN（完全修飾ドメイン名）で指定する事で回避できます。ただし この設定をする場合は、別途 DNS サーバに設定したサイト名を Web 認証専用 IP で応答させる必 要があります。

（６） Web 認証および MAC 認証時のポート移動後通信を許可する。（AX1200S のみ） ハブ経由で Web 認証または MAC 認証を実施する場合、認証済み端末をリンクダウンせずに ポート移動したときの通信許可（ローミング）を設定します。 （７） 認証スイッチと端末との間にハブを設置する場合、EAPOL フォワーディング機能のあるハブ を用いる。 IEEE802.1X 認証を行う場合、認証スイッチと端末との間に設置するハブには EAPOL フォワー ディング機能が必要です。AX1200S には EAPOL フォワーディング機能が実装されています。 （８） デフォルトルートを設定する。 RADIUS サーバへ通信を行うため、認証スイッチにデフォルトルートを設定します。

推奨項目

（９） IEEE802.1X 端末検出機能を停止する。 認証スイッチおよびネットワークの負荷を軽減するため、認証スイッチのIEEE802.1X端末検 出機能を停止します。(5.1.1章参照) （１０） MAC 認証の ID を統一する。(AX1200S のみ)

AX2400S と AX1200S の MAC 認証フォーマットはデフォルトで異なっています。認証スイッ チが混在している環境では、AX1200S のフォーマットを変更します。 （１１） MAC 認証の最大接続時間を設定する。 MAC認証の最大接続時間はデフォルトで無制限となっていますが、セキュリティ上設定すること を推奨します。最大接続時間を設定すると、再度認証を行う際にパケットロスが発生する事に注 意して下さい。（5.3.1章参照） （１２） 認証スイッチで VRRP をフィルタリングする。 VRRP を使用すると、VLAN 毎に VRRP 制御パケットが端末まで送信されます。VLAN 数が増 加した場合、ネットワークに負荷がかかるのを防ぐため、本ガイドでは、アクセスリストを用い て認証スイッチにおける VRRP 制御パケットをフィルタリングしています。これにより、コアス イッチ間の回線に障害が起きた場合、VRRP がダブルマスタになる事に注意して下さい。 （１３） コアスイッチ間の回線にリンクアグリゲーションを設定する。 コアスイッチ間の回線を冗長化するため、リンクアグリゲーションを設定します。本ガイドで は、スタティックモードを用いています。

（１４） 認証スイッチの認証用ポートはスパニングツリー対象外にする。 スパニングツリーを使用する場合、リンクアップ後すぐ認証処理が開始されるようにするため、 認証用ポートはスパニングツリー対象外とします。 なお、本ガイドではシングルスパニングツリーを使用していますが、全認証スイッチが固定 VLAN モードのみで構成されている場合は、PVST+を使用することもできます。 （１５） VRRP のマスタ、STP のルートブリッジを設定する。

本ガイドでは、core#1 の仮想ルータ優先度を「200」、core#2 の優先度を「100」として、core#1 をマスタに設定しています。また、core#1 のブリッジ優先度を「4096」、core#2 のブリッジ優先 度を「8192」として、core#1 をルートブリッジに設定しています。 （１６） DHCP の設定をする。 DHCP サーバから IP アドレスを取得する構成の場合、コアスイッチに DHCP リレーエージェ ントによる転送先アドレスの設定をします。また、DHCP サーバ側の設定で、配布するデフォル トゲートウェイを VRRP の仮想ルータアドレスに設定する必要があります。 （１７） RADIUS タイマ値をチューニングする。(AX2400S のみ) RADIUSサーバを 2 台以上設置してIEEE802.1X認証を行う場合は、RADIUSサーバの応答待ち 時間を短く設定する必要があります。（5.1.4章参照）

3.2.3. AX1200S のコンフィグレーション AX1200S の設定例を示します。

（１） 事前設定 AX1200S の設定

システムファンクションリソース配分の設定

(config)# system function filter extended-authentication フィルタ機能と固定 VLAN モードを使用する ため、システムファンクションリソース配分を 変更します。 ※設定後は、装置の再起動が必要です。 構築ポイント（１） （２） 共通の設定 AX1200S の設定 ポート VLAN の設定 (config)# vlan 1

(config-vlan)# state suspend (config)# vlan 100,200,300,1000 (config-vlan)# state active

VLAN1 は使用しないため、無効にします。 クライアント用 VLAN として VLAN100、200、 300 を、管理用 VLAN として VLAN1000 を作 成します。

スパニングツリーの設定

(config)# spanning-tree single

(config)# spanning-tree single mode rapid-stp (config)# no spanning-tree vlan 100,200,300,1000 (config)# interface range fastethernet 0/1-20 (config-if-range)# spanning-tree portfast

シングルスパニングツリーを有効にします。 動作モードを高速 STP に設定します。 VLAN100、200、300 および 1000 をシングル スパニングツリー対象にします。 認証用ポートであるポート 0/1～0/20 に対し て、スパニングツリーの PortFast 機能を適用 し、スパニングツリー対象外とします。 構築ポイント（１４） 物理ポートの設定 ●固定 VLAN 認証用

(config)# interface range fastethernet 0/1-10 (config-if-range)# switchport mode access (config-if-range)# switchport access vlan 100

ポート 0/1～0/10 を、アクセスポートとして設 定します。

アクセスポートにクライアント用 VLAN100 を 設定します。

(config)# interface range fastethernet 0/11-20 (config-if-range)# switchport mode trunk

(config-if-range)# switchport trunk allowed vlan 200,300 ポート 0/11～0/20 を、トランクポートとして 設定します。 トランクポートにクライアント用 VLAN200、 300 を設定します。 ●上位スイッチとの通信用

(config)# interface range gigabitethernet 0/25-26 (config-if-range)# switchport mode trunk

(config-if-range)# switchport trunk allowed vlan 100,200,300,1000 ポート 0/25～0/26 を、上位スイッチと通信す るトランクポートとして設定します。 トランクポートにクライアント用 VLAN100、 200、300 および管理用 VLAN1000 を設定しま す。 インタフェースの設定

(config)# interface vlan 100

(config-if)# ip address 192.168.100.12 255.255.255.0 (config)# interface vlan 200

(config-if)# ip address 192.168.200.12 255.255.255.0

クライアント用 VLAN100、200 および 300 に インタフェース IP アドレスをそれぞれ設定し ます。

AX1200S の設定

(config)# interface vlan 300

(config-if)# ip address 192.168.30.12 255.255.255.0 (config)# interface vlan 1000

(config-if)# ip address 172.16.0.12 255.255.255.0

管理用 VLAN1000 にインタフェース IP アドレ スを設定します。

アクセスリストの設定

(config)# ip access-list extended VRRPstop (config-ext-nacl)# deny protocol vrrp src 0.0.0.0 255.255.255.255 dst 224.0.0.18 0.0.0.0

(config-ext-nacl)# permit protocol ip src 0.0.0.0 255.255.255.255 dst 0.0.0.0 255.255.255.255 (config)# interface vlan 100

(config-if)# ip access-group VRRPstop in (config)# interface vlan 200

(config-if)# ip access-group VRRPstop in (config)# interface vlan 300

(config-if)# ip access-group VRRPstop in

以下のアクセスリストを作成します。 ・「224.0.0.18」宛ての VRRP 通信を拒否する。 ・すべての通信を許可する。 クライアント用 VLAN100、200 および 300 に アクセスリストを適用します。 構築ポイント（１２） デフォルトルートの設定

(config)# ip route 0.0.0.0 0.0.0.0 172.16.0.254 RADIUS サーバと通信を行うため、デフォルト ルートを設定します。

構築ポイント（８） RADIUS サーバの設定

(config)# radius-server host 10.50.0.2 key alaxala (config)# radius-server host 10.50.0.1 key alaxala

RADIUS サーバの IP アドレスおよびキーを設 定します。本ガイドではキーを「alaxala」と しています。

※設定した順に優先度が高くなります。 syslog サーバの設定

(config)# logging host 10.50.0.3 syslog サーバの IP アドレスを設定します。

SNMP の設定

(config)# snmp-server community ALAXALA

(config)# snmp-server host 10.50.0.3 traps ALAXALA dot1x web-authentication mac-authentication

(config)# snmp-server traps dot1x-trap all

web-authentication-trap all mac-authentication-trap all

SNMP コミュニティを設定します。本ガイドで は「ALAXALA」としています。

SNMP マネージャを登録します。本ガイドで は、IEEE802.1X 認証・Web 認証・MAC 認証 のトラップを送信しています。

トラップの発行契機を設定します。本ガイドで は IEEE802.1X 認証・Web 認証・MAC 認証そ れぞれの全トラップを発行しています。