認証ソリューションガイド

(1)

A

X

シ

リ

ー

ズ

認

証

ソ

リ

ュ

ー

シ

ョ

ン

ガ

イ

ド

1 第 12 版

資料 No. NTS-07-R-015

(2)

はじめに

本ガイドは、AX シリーズ（AX1200S/AX2200S/AX2400S /AX2500S/ AX3600S/AX3800S）でサポートしているネットワーク認証機能を用いて、システム構築のための技術情報をシステムエンジニアの方へ提供し、セキュリティの高いシステムの構築と安定稼動を目的として書かれています。RADIUS サーバの設定に関しては、各種 RADIUS サーバ毎に用意した別冊の「RADIUS サーバ設定ガイド」を参照下さい。

AX3800S シリーズについては、AX3600S シリーズと機能差分は無いため本資料では、AX3600S を参照してください。物理ポート等のコンフィグ差分は製品マニュアルを参照ください。

関連資料

・RADIUS サーバ設定ガイド Windows Server 2003 編・RADIUS サーバ設定ガイド Windows Server 2008 編

・AX シリーズ認証ソリューションガイド（マルチステップ認証編）・AX シリーズ認証ソリューションガイド（RADIUS サーバグループ選択機能編）・AX シリーズ製品マニュアル（http://www.alaxala.com/jp/techinfo/manual/index.html）・別冊 Web 認証マニュアル SSL 証明書運用編 本ガイド使用上の注意事項 本ガイドに記載の内容は、弊社が特定の環境において、基本動作や接続動作を確認したものであり、すべての環境で機能・性能・信頼性を保証するものではありません。弊社製品を用いたシステム構築の一助としていただくためのものとご理解いただけますようお願いいたします。 Windows 製品に関する詳細はマイクロソフト株式会社のドキュメント等を参照下さい。本ガイド作成時の OS ソフトウエアバージョンは以下のようになっております。 AX1230S Ver1.4.K AX1240S /AX1250S/AX2200S Ver2.4.A AX2400S Ver11.7.F AX3600S Ver11.11 AX2500S Ver3.5 本ガイドの内容は、改良のため予告なく変更する場合があります。 輸出時の注意 本製品を輸出される場合には、外国為替及び外国貿易法の規制並びに米国輸出管理規制など外国の輸出関連法規をご確認の上、必要な手続きをおとりください。なお、不明な場合は、弊社担当営業にお問い合わせ下さい。 商標一覧 ・アラクサラの名称およびロゴマークは、アラクサラネットワークス株式会社の商標および登録商標です。

(3)

・イーサネット、Ethernetは、富士ゼロックス（株）の商品名称です。

・Microsoftは、米国およびその他の国における米国Microsoft Corp.の登録商標です。・Windowsは、米国およびその他の国における米国Microsoft Corp. の登録商標です。・Mac OS Xは、米国およびその他の国におけるApple Inc.の登録商標です。

・そのほかの記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。 使用機器一覧 • AX1230S (Ver1.4.K) • AX1240S (Ver2.4.A) • AX2430S (Ver11.7.F) • AX3630S (Ver11.11) • AX2530S (Ver3.5)

• Windows Server 2008 R2 Standard • Windows XP Professional (SP3) • Windows Vista Ultimate (SP2) • Windows 7 (SP2)

• Windows 8

• Mac OS X v10.5 Leopard

使用ブラウザ一覧

• Internet Explorer (Version8) • Internet Explorer (Version9) • Internet Explorer (Version10) • Firefox (20.0)

(4)

改訂履歴

版数 rev. 日付変更内容変更箇所初版－ 2007.7.26. 初版発行－第 2 版－ 2007.9.28. 省略－第 3 版－ 2007.12.5. 省略－第 4 版－ 2008.3.21. 省略－第 5 版－ 2008.6.2. 省略－第 6 版－ 2008.9.24 省略－第 7 版－ 2009.1.30 省略－第 8 版－ 2009.5.22 省略－第 9 版－ 2009.7.24 1.2.5 章に注意事項 6.2.10 章への参照追加 5 章構築ノウハウの章を追加 Web 認証で外部 Web サーバを使用するを追加 6章注意事項を追加 Web 認証で SSL を使用する場合の注意事項追加 1.2.5 5 5.1 6 6.2.10 第 10 版－ 2010.1.18 はじめに関連資料にマルチステップ編,RADIUS サーバグループ選択機能編を追加 AX のソフトウェアバージョン更新 1 章ネットワーク認証概要 RADIUS アトリビュートの解説を修正 AX-Networker’s-Utility(Web 認証画面入替えツール)を追加 2 章 AX シリーズの認証機能サポート一覧 RADIUS アトリビュートの解説を修正表 2.6-1 にポート単位の Web 認証画面選択を追加 RADIUS サーバグループ選択機能を追加 6 章注意事項 URL リダイレクトの負荷対策バージョンを追加 AX2400S/AX3600S 使用時の同一 VLAN 内の端末移動の変更端末移動後の VLAN が変わる場合の再認証の必要性を追加 7 章運用コマンド AX1240S 使用時の RADIUS サーバ状態表示コマンドに変更はじめに 1.2.4.2 1.5 2.4 2.6 2.9 6.2.2 6.2.4 6.2.7 7.1.1 第 10 版 1 2010.3.26 動的 VLAN(MACVLAN)使用時のレイヤ 2 ハードウェアテーブルの検索方式をオートに設定 3.3.2(1) 3.3.3(1) 3.3.4(1) 第 11 版－ 2011.1.7 はじめに AX2500S シリーズを追加、使用機器 Ver 更新 2 章 AX シリーズの認証機能サポート一覧 AX2500S シリーズを追加 AX6000S シリーズへダイナミック VLAN を追加 3 章 AX シリーズの認証機能サポート一覧 AX2500S 構築例の追加 6 章注意事項 AX2500S の注意事項を追加（AX1200S シリーズと共通） 7 章運用コマンド AX2500S の運用コマンド追加（AX1200S シリーズと共通）付録コンフィグレーション（AX2500S 追加）はじめに 2 章全般 2.1,2.6,2.7 3.3,3.5 6 章全般７章全般

(5)

第 12 版 2013.6.28 はじめに

AX2200S シリーズを追加、使用機器 Ver 更新、AX3800S について AX3600S を参照する記述を追加 1 章 AX2200S シリーズ追加ダイナミック ACL/QoS 認証について追加（AX2500S シリーズ） 2 章 AX2200S シリーズ追加

AX2500S エンハンス内容更新(Ver3.1～ Ver3.5) 3 章 AX2200S シリーズ追加（AX1200S シリーズを参照へ） AX2500S ダイナミック ACL およびトランクポートによる VLANTag 付き認証を追加 4 章 4.1.3 WindowsXP(SP2)から IEEE802.1X 接続を開始する方法を削除 Windows7 /Windows 8 の設定例の追加 5 章外部 Web サーバ連携において、AX2500S シリーズのエンハンス内容追加外部 Web サーバコンフィグ指定、外部 Web サーバポーリング、認証成功時に認証前にアクセスしていた URL を自動表示する機能追加 6 章 IEEE802.1X 注意事項見直し（Windows7/Windows8 追加など） AX2200S シリーズ追加 AX2500S ポートリンクダウン時の認証解除抑止追加およびその他見直しダイナミック VLAN において認証成功画面表示に関する注意事項追加７章 AX2200S 追加 AX2500S は差分がある事を追加 1 章全般 1.4 2 章全般 2.11 3.1 3.2 3.5 4.1 4.2 5 章全般 6 章全般 7 章全般

(6)

1. ネットワーク認証概要 ... 10 1.1. ネットワーク認証とは ...11 1.2. 認証方式の特徴およびシステム要素 ... 12 1.2.1. IEEE802.1X 認証 ... 12 1.2.1.1. 概要... 12 1.2.1.2. 拡張認証プロトコル(EAP) ... 13 1.2.1.3. EAP 認証シーケンス ... 14 1.2.1.4. EAPOL フレームフォーマット... 15 1.2.2. Web 認証 ... 16 1.2.2.1. 概要... 16 1.2.2.2. Web 認証シーケンス ... 17 1.2.3. MAC 認証 ... 19 1.2.3.1. 概要... 19 1.2.3.2. MAC 認証シーケンス ... 19

1.2.4. RADIUS (Remote Authentication Dial-In User Services) ... 20

1.2.4.1. RADIUS 概要 ... 20 1.2.4.2. RADIUS アトリビュート ... 21 1.2.5. CA(Certificate Authority) ... 23 1.3. AX でサポートする認証モードの特徴 ... 25 1.3.1. 固定 VLAN モードの特徴... 26 1.3.1.1. IEEE802.1X 認証（ポート単位） ... 27 1.3.1.2. IEEE802.1X 認証（VLAN 単位） ... 28 1.3.2. 動的 VLAN モードの特徴... 29 1.3.3. レガシーモードの特徴... 31 1.4. ダイナミック ACL/QoS 認証機能について ... 32 1.5. ネットワーク認証と検疫ネットワーク ... 36 1.6. AX-Networker’s-Utility（Ｗｅｂ認証画面入替えツール）... 38 2. AX シリーズの認証機能サポート一覧 ... 39 2.1. 認証方式 ... 39 2.2. ユーザ認証データベース ... 43 2.3. ログ出力機能 ... 43 2.4. RADIUS アトリビュート ... 44 2.5. IEEE802.1X 認証機能 ... 45 2.6. Web 認証機能 ... 46

(7)

2.7. MAC 認証機能 ... 47 2.8. 収容条件 ... 47 2.9. RADIUS サーバグループ選択機能... 48 2.10. リンクアグリゲーションポートでの認証機能 ... 49 2.11. ダイナミック ACL/QoS 機能 ... 49 3. 認証ネットワークの構築... 50 3.1. 認証ネットワーク概要 ... 50 3.2. 固定 VLAN モード ... 51 3.2.1. 認証ネットワーク構成図 ... 51 3.2.2. 構築ポイント ... 53 3.2.3. AX1200S のコンフィグレーション ... 56 3.2.4. AX2400S のコンフィグレーション ... 60 3.2.5. AX3600S のコンフィグレーション ... 64 3.3. 固定 VLAN モード（AX2500S シリーズ）... 67 3.3.1. 認証ネットワーク構成図 ... 67 3.3.2. 構築ポイント ... 69 3.3.3. AX2500S のコンフィグレーション ... 72 3.4. 動的 VLAN モード ... 77 3.4.1. 認証ネットワーク構成図 ... 77 3.4.2. 構築ポイント ... 79 3.4.3. AX1200S のコンフィグレーション ... 82 3.4.4. AX2400S のコンフィグレーション ... 86 3.4.5. AX3600S のコンフィグレーション ... 90 3.5. 動的 VLAN モード(AX2500S) ... 91 3.5.1. 認証ネットワーク構成図 ... 91 3.5.2. 構築ポイント ... 93 3.5.3. AX2500S のコンフィグレーション ... 96 4. 端末側の設定方法 ... 100 4.1. IEEE802.1X 認証 Windows XP の設定方法... 100 4.1.1. EAP-TLS 方式の設定方法 ... 100 4.1.2. EAP-PEAP 方式の設定方法 ... 103

4.2. IEEE802.1X 認証 Windows Vista/Windows7/Windows8 の設定方法 ... 105

4.2.1. EAP-TLS 方式の設定方法 ... 105 4.2.2. EAP-PEAP 方式の設定方法 ... 108 4.3. IEEE802.1X 認証 Mac OS X の設定方法 ...113 4.3.1. 証明書の確認方法 ...113 4.3.2. EAP-TLS 方式の設定方法 ...114 4.3.3. EAP-PEAP 方式の設定方法 ...117

(8)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 8 4.4. Web 認証の端末側設定方法... 120 4.5. MAC 認証の端末側設定方法 ... 120 5. 構築ノウハウ ... 121 5.1. Web 認証で外部 Web サーバを使用する ... 121 5.1.1. 外部 Web サーバ構築の注意点 ... 123 5.1.2. Web サーバ上の html ファイルの設定例 ... 124 6. 注意事項 ... 126 6.1. IEEE802.1X 認証に関する注意事項 ... 126 6.1.1. IEEE802.1X 端末検出機能に関する注意事項 ... 126 6.1.2. IEEE802.1X 端末検出機能の注意事項詳細解説... 127 6.1.2.1. Windows の IEEE802.1X サプリカント動作差分の解説 ... 127 6.1.3. Windows の IEEE802.1X 認証に関する注意事項... 131 6.1.4. RADIUS サーバ冗長化に関する注意事項 ... 132 6.1.5. ログアウトに関する注意事項 ... 134 6.1.6. 再認証機能に関する注意事項 ... 134 6.1.7. 端末移動に関する注意事項 ... 135 6.1.8. 認証中に接続不可となった場合 ... 135 6.1.9. 強制認証機能に関する注意事項 ... 135 6.2. Web 認証に関する注意事項... 137 6.2.1. Web 認証前に通信許可する項目 ... 137 6.2.2. プロキシサーバ使用時の注意事項 ... 137 6.2.3. 固定 VLAN モードの Web 認証のログアウト条件 ... 138 6.2.4. 固定 VLAN モードの Web 認証の端末移動に関する注意事項 ... 138 6.2.5. 動的 VLAN モードの Web 認証ネットワーク構築に関する注意事項 ... 139 6.2.6. 動的 VLAN モードの Web 認証のログアウトに関する注意事項 ... 141 6.2.7. 動的 VLAN モードの Web 認証の端末移動に関する注意事項 ... 141

6.2.8. 動的 VLAN モードの Web 認証成功時の画面表示、URL 移動に関する注意事項 ... 142

6.2.9. AX2400S / AX3600S シリーズの Ver10.7 新機能を使用する場合の注意事項 ... 143

6.2.10. Web 認証で SSL を使用する場合の注意事項 ... 144 6.3. MAC 認証に関する注意事項 ... 145 6.3.1. 固定 VLAN モードの MAC 認証のログアウトに関する注意事項... 145 6.3.2. 動的 VLAN モードの MAC 認証のログアウトに関する注意事項... 146 6.3.3. 非認証端末接続時の RADIUS への負荷 ... 146 6.4. 認証関連共通の注意事項 ... 147 6.4.1. 動的 VLAN（MAC VLAN）における注意事項 ... 147 6.4.2. 動的 VLAN モードにおける VLAN 自動アサイン機能について ... 149 6.4.3. 動的 VLAN と固定 VLAN 混在に関して ... 149 6.4.4. RADIUS デッドインターバルタイマについて ... 150

(9)

6.5. AX1240S 使用時の注意事項 ... 150 6.5.1. フィルタのコンフィグレーションについて ... 150 7. 運用コマンド ... 151 7.1. AX1200S/AX2200S/AX2500S シリーズの運用コマンド ... 151 7.1.1. 認証状態表示コマンド... 151 7.1.2. ログ確認コマンド ... 154 7.1.3. 認証状態初期化コマンド ... 154 7.2. AX2400S/AX3600S シリーズの運用コマンド ... 155 7.2.1. 認証状態表示コマンド... 155 7.2.2. ログ確認コマンド ... 158 7.2.3. 認証状態初期化コマンド ... 158 付録 A. コンフィグレーション ... 159 付録 B. 外部Ｗｅｂサーバ入替えファイル ... 159

(10)

1. ネットワーク認証概要

本章では、AX シリーズを用いて、ネットワーク認証を行なうために必要な情報として、1.1 章ネットワーク認証の概要と、1.2 章で AX がサポートする認証方式（IEEE802.1X 認証、Web 認証、MAC 認証）について説明し、1.3 章で AX における認証端末をどの通信インタフェース単位で認証させるか選択する認証モード（ポート単位、動的 VLAN、固定 VLAN）について説明し、1.4 章では検疫システムの概要を説明します。

(11)

1.1. ネットワーク認証とは 現在、ネットワークは絶えず不正アクセスの脅威にさらされています。従来は外部からのアクセスに対して、ファイアウォール等の装置にて不正アクセスを防いでいましたが、それでも機密情報の漏洩や個人情報の流出事件が多発しました。最近では外部からのアクセスだけでなく、むしろ内部からの不正アクセスが問題となっています。また、昨今叫ばれている企業の内部統制の必要性から、IT による情報システムによって、業務の管理・記録を残すことも重要となってきています。そのために、ネットワークにアクセスする際に、アクセスする本人がシステムに登録された正規のユーザであるかを確認する、ネットワーク認証システムが必要とされています。ネットワーク認証システムによって、以下のことが実現できます。 1) 不特定多数が同時に接続するネットワークにおいて、許可されたユーザに対してのみネットワークサービスを提供することにより、リソースの枯渇を防ぎます。 2) 正規の権限を認められていない情報資源に対して、ネットワークアクセスを許可しないことにより、ネットワークおよび情報システムの安全性を確保します。 3) 情報資源の有効活用および万が一情報漏洩が発生した場合の危機管理という観点から、ネットワークや情報資源の利用状況および利用者の把握を行います。 図 1.1-1 ネットワーク認証概要

(12)

1.2. 認証方式の特徴およびシステム要素

1.2.1. IEEE802.1X 認証

1.2.1.1. 概要

IEEE802.1X 認証は、アクセス可能なポートからの不正な接続を規制する機能です。バックエンドに認証サーバ (Authentication Server,一般的には RADIUS サーバ)を設置し、認証サーバによる端末 (Supplicant)の認証が成功した上で、スイッチ(Authenticator)が通信を許可します。

端末(Supplicant)-スイッチ(Authenticator)間の認証処理に関わる通信は EAP Over LAN(EAPOL)で行います。スイッチ(Authenticator)－認証サーバ(RADIUS サーバ)間は EAP Over RADIUS プロトコルを使って認証情報を交換します。構成要素と動作概略を以下に示します。 表 1.2-1 IEEE802.1X 認証の構成要素 項番構成要素動作概略 1 Authenticator ( スイッチ) Supplicant のネットワークへのアクセスを制御します。 Supplicant と Authentication Server(RADIUS サーバ)の仲介に位置し、相互間の認証シーケンスをトランスペアレントに行います。Supplicant に識別情報を要求し、その情報を認証サーバで確認し、Supplicant に応答をリレーします。Authenticator は、EAP フレームのカプセル化/カプセル化解除、および RADIUS サーバとの対話を処理します。 2 Supplicant(端末) IEEE802.1X の仕様では、クライアント(端末)は Supplicant

といい、IEEE802.1X に準拠するソフト又は OS(Windows XP 等)の搭載が必要です。 3 Authentication Server (RADIUS サーバ) Supplicant の認証を行います。認証サーバは Supplicant の識別情報を確認し、要求元の Supplicant にサービスへのアクセスを許可すべきかどうかを Authenticator に通知します。 図 1.2-1 IEEE802.1X 認証の構成要素

(13)

1.2.1.2. 拡張認証プロトコル(EAP)

EAP(Extensible Authentication Protocol)は複数の認証方式が提案されています。

表 1.2-2 IEEE802.1X の EAP 認証方式 項番認証方式特徴 1 EAP-MD5 この方式は、ユーザ ID とパスワードによるクライアント認証であり、電子証明書を必要としないため実装が容易になるというメリットがあります。ただし、クライアントのみを認証する片方向認証であることや、暗号解読による漏洩には脆弱な面もあります。また、Windows XP SP1 以降からは非対応(削除)になりましたが、EAP の実装では MD5 をサポートすることが義務付けられています。 2 PEAP (Protected EAP)) クライアント側ではユーザ ID とパスワードによる認証、認証サーバ側では電子証明書による認証が行われる方式。 Cisco-PEAP と MS-PEAP があります。Windows では MS-PEAP を標準で対応しています。 3 EAP-TLS TLS は、情報を暗号化して安全に送受信するプロトコルで、電子証明書を利用してクライアントと認証サーバの相互認証を行います。電子証明書を使うためセキュリティは高いですが、クライアントと認証サーバの双方で電子証明書の管理が必要となり、PKI 導入基盤が用意されていない場合は使い難いと言われています。なお、Windows が標準で対応しています。 4 EAP-TTLS MD5 と TLS 双方の利点を併せ持った方式。トンネルを張り認証を行うことでセキュリティを確保します。クライアント側ではユーザ ID とパスワードによる認証を行うことで、導入・管理・運用が TLS と比較して容易だといわれています。また、認証サーバ側では電子証明書が利用されるため、高いセキュリティ性の確保が可能です。ただし、 TTLS 対応の Supplicant と認証サーバが必要となります。暗号強度や鍵生成・配布のプロセスという観点からは、EAP-TLS がもっとも信頼性の高い認証方式となりますが、運用の負荷を考えると PEAP を選択するメリットもあります。

(14)

1.2.1.3. EAP 認証シーケンス

EAP のやり取りを以下に示します。

図 1.2-2 EAP 認証シーケンス

1. Supplicant からの EAP-Start または Authenticator からの EAP-Request/Identity によって、EAP シーケンスを開始します。認証は常に EAP-Start から始まらなければいけないというわけではなく、Authenticator は常に EAP-Request/Identity を送信して認証を促すことができます。また、 Windows XP はデフォルトの設定では EAP-Start を送信しないため、端末を検知するまでには EAP-Request/Identity の送信間隔を待たなければなりません。 2. Supplicant はユーザ識別子を収集し、Response/Identity メッセージにユーザ識別子を挿入し送信します。

3. Authenticator は Response/Identity を RADIUS Access-Request に変換し、Authentication Server (例では RADIUS Server)に転送します。

4. Authentication Server からは認証チャレンジが発行されます。認証チャレンジは、Authenticator が EAP に変換して Supplicant に転送します。

5. 認証チャレンジを受信した Supplicant は、利用している認証方式と合致している場合は Response を返します。認証方式が合致していなかった場合は、Response/NAK を返します。 6. Authenticator は認証方式が合致するまで、方式を変えて認証チャレンジを再送します。

(15)

7. Supplicant は認証方式が合致した場合、Response/(認証タイプ)を返信します。

8. Authentication Server から Accept が返ってくると、Authenticator はポートを開放し、Success の通知を Supplicant に転送します。 1.2.1.4. EAPOL フレームフォーマット 図 1.2-3 IEEE802.1X の EAPOL フレームフォーマット EAPOL の宛先 MAC アドレスは予約マルチキャストとなっています。このアドレスは他の予約マルチキャストアドレスと同様に、IEEE802.1D では中継しないことを推奨されているため、スイッチによっては廃棄されてしまうことがありますのでご注意下さい。

(16)

1.2.2. Web 認証

1.2.2.1. 概要

Web 認証は、Firefox や Internet Explorer などの汎用の Web ブラウザを利用してユーザ ID およびパスワードを使った認証によりユーザを認証し、ユーザが使用する端末の MAC アドレスを使用して認証状態に移行させ、認証後のネットワークへのアクセスを可能にする機能です。本機能により、端末側に特別なソフトウェアをインストールすることなく、Web ブラウザのみで認証を行うことが可能となります。クライアントとスイッチ間のプロトコルは基本の http に加え、認証情報を暗号化するための https をサポートしています。

Web 認証では1.3章にて説明する動的 VLAN モードと固定 VLAN モードを選択することができます。

動的 VLAN モードでは、MACVLAN ポートで認証することにより、同一ポート配下でユーザ毎に VLAN を切り替えることが可能です。認証前は認証前 VLAN に接続され認証後に指定された VLAN に切り替えます。また認証前と認証後で VLAN(ネットワーク)切り替わるため、固定 IP の端末は使用できません。固定 VLAN モードでは、アクセスポートで認証する場合はポート単位で VLAN が固定となります。トランクポートでの認証もサポートしており、この場合 Tag-VLAN で認証が可能です。認証前と認証後の VLAN 切り替えが発生しないので固定 IP 端末の接続が可能となります。固定 VLAN モードでは、認証前には認証専用のアクセスリストに登録された宛先のみ通信可能です。注）マニュアルでは動的 VLAN の事をダイナミック VLAN と表記している場合があります。

(17)

1.2.2.2. Web 認証シーケンス

以下に動的 VLAN モードにおける Web 認証の動作シーケンスについて示します。

(18)

します。

図 1.2-5 固定 VLAN モードにおける Web 認証シーケンス

固定 VLAN モードにおける Web 認証では、IP アドレスは固定および DHCP での配布どちらでも利用可能です。ただし DHCP で IP アドレスを配布する場合には、認証前の PC からの DHCP のトラフィックを許可する設定が必要です。

固定 VLAN では URL リダイレクト機能をサポートしており、認証前の PC から任意の Web アクセスがあった場合、認証画面を自動的に表示することができます。

(19)

1.2.3. MAC 認証

1.2.3.1. 概要

ネットワークに繋がる端末は、PC のみとは限りません。近年では PC 以外にプリンタや IP 電話機、ビデオカメラ等の端末もネットワークでの利用が前提となってきています。それらの端末についても、ネットワークの利用状況の管理や、通信する部分を制限するために、端末認証を行う必要があります。

上記の PC 以外の端末では、Web ブラウザや IEEE802.1X の Supplicant 機能を持たないものが多いため、端末から送信されるパケットの送信元 MAC アドレスを使ってユーザを認証する、MAC 認証があります。しかし、一般的に MAC アドレスは偽装が簡単で、フラッディングしているパケットをキャプチャできると、容易に認証済み MAC アドレスを識別することができるため、認証としての強度は高いものではありません。使用するポートや VLAN、スイッチについて注意が必要となります。 1.2.3.2. MAC 認証シーケンス 以下に MAC 認証時の動作シーケンスを示します。 図 1.2-6 MAC 認証シーケンス

(20)

1.2.4. RADIUS (Remote Authentication Dial-In User Services)

1.2.4.1. RADIUS 概要 RADIUS(ラディウス)は、ネットワーク資源の利用可否の判断(認証)と、利用の記録(アカウンティング)のためのプロトコルです。その名の示すとおり、元来はダイヤルアップ接続のために開発された認証システムですが、現在はダイヤルアップのみならず、様々なサービスに対して認証とアカウンティングを実現するプロトコルとして幅広く利用されています。クライアントサーバモデルのプロトコルのため、サーバがクライアントに対してサービス停止を行うことは基本的にできません。 RADIUS の基本的な特性は以下のとおりです。・認証(Authentication)、承認(Authorization)、アカウンティング(Accounting) 即ち AAA モデルをサポートしています。

・ Hop to Hop のセキュリティモデルを採用しています。(信頼関係を持つ AAA サーバ間では要求の転送によって承認を得ることができます。)

・ UDP ベースのプロトコルであり、接続開始前にチャレンジ情報のやり取りを行います。・ PAP 認証、CHAP 認証をサポートしています。

・ MD5 を利用したパスワード隠蔽の仕組みを備えています。・状態情報を持ちません。

RADIUS では認証基盤として自前のデータベースのみならず、外部の Active Directory ドメインサーバなどの LDAP に対応したディレクトリサーバや、NT サーバ、SQL サーバ等と連携することが可能です。これにより、ユーザの管理効率を大幅に向上させることも可能となります。

(21)

1.2.4.2. RADIUS アトリビュート

RADIUS には属性値ペア(AVP: Attribute Value Pair)と呼ばれる登録情報があります。属性値ペアは、属性番号と長さ、属性からなり、属性番号ごとに属性値ペアの値の意味が規定されています。 AX が使用する主な属性名を以下に示します。 表 1.2-3 AX が使用する RADIUS アトリビュート 項番属性名 Type 値解説パケットタイプ 1 User-Name 1 認証されるユーザ名。 MAC 認証の場合は認証端末の送信元 MAC アドレスになります。(小文字 ASCII, "-"区切り) Request 2 NAS-IP-Address 4 認証要求をしているスイッチの IP アドレス。 AX2400S、AX3600S、AX6000S は、ローカルアドレスが設定されている場合はローカルアドレス、設定されていない場合は送信インタフェースの IP アドレスになります。 AX1200S,AX2200S,AX2500S は、VLAN ID の一番小さな VLAN インタフェースの IP アドレスになります。 Request

3 Service-Type 6 提供するサービスタイプ。Framed(2)固定。 Request Accept 4 Session-Timeout 27 IEEE802.1X 認証の場合は、Supplicant へ送

信した EAP-Request に対する応答待ちタイムアウト値。 AX2400S、AX3600S、AX6000S は、項番 5 の Termination-Action が RADIUS-Request(1)に設定されていた場合、以下の値で再認証を行います。 0：再認証は無効 1～60：60 秒で再認証 61～65535：設定された値で再認証 AX1200S,AX2200S,AX2500S はこの属性を参照せず、コンフィグレーションに従います。（6.1.6章参照） Challenge Accept 5 Termination-Action 29 再認証時の動作指定。 AX2400S、AX3600S、AX6000S は、この属性が RADIUS-Request(1)に設定されていると、装置で再認証を設定していない場合でも強制的に再認証を行います。 AX1200S,AX2200S,AX2500S はこの属性を参照せず、コンフィグレーションに従います。（6.1.6章参照） Accept

(22)

7 Calling-Station-Id 31 認証端末の MAC アドレス（小文字 ASCII、"-" 区切り）。 Request 8 NAS-Identifier 32 Web認証・MAC認証の場合固定VLAN モード時に認証端末を収容しているVLAN ID を数字文字列で応答します。例：VLAN ID 100 の場合 100 ダイナミックVLAN モードおよびIEEE802.1X 認証では，コンフィグレーションコマンド hostname で指定された装置名を応答します。 Request 9 NAS-Port-Type 61 スイッチがユーザ認証に使用している物理ポートのタイプ。 IEEE802.1X 認証では Ethernet(15)固定。 Web 認証および MAC 認証では Virtual(5)固定。 Request 10 Tunnel-Type 64 トンネル・タイプ。動的 VLAN モードでのみ意味を持ちます。 VLAN(13)固定。 Accept 11 Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル。動的 VLAN モードでのみ意味を持ちます。 IEEE802(6)固定。 Accept 12 Tunnel-Private-Group-ID 81 VLAN を識別する文字列。動的 VLAN モードでのみ意味を持ちます。 Accept 時は、認証済みの端末に割り当てる VLAN ID になります。次に示す文字列が対応します。 (1)VLAN ID を示す文字列 (2)"VLAN"+VLAN ID を示す文字列 (3)”VLAN 名称による割り当て文字列にスペースを含んではいけません（含めた場合 VLAN 割り当ては失敗します）。（設定例） VLAN10 の場合 (1)の場合 "10" (2)の場合 "VLAN10" (3)の場合は VLAN に名称を設定することで VLAN 名による VLAN 配布が可能です、たとえば 2 台のスイッチにおいて同一ユーザで所属させたい VLAN 番号が異なる環境でも名称を一致させることで運用可能です。 Accept 13 NAS-Port-Id 87 IEEE802.1X 認証でのみセットされます Supplicant を認証する Authenticator のポートを識別するための文字列。ポート単位認証：“Port x/y” 固定 VLAN 認証：“VLAN x” 動的 VLAN 認証：“DVLAN x” （x、y には数字が入る）ただし AX1230S では入りません Request

(23)

1.2.5. CA(Certificate Authority) CA とは電子的な身分証明書を発行・管理する機関のことであり、認証局、CA 局または CA センターなどと呼ばれています。CA にはパブリック CA とプライベート CA があり、前者は第三者が発行する証明書によりサーバおよび本人性を証明します。後者は企業内などに閉じた範囲で、企業ポリシーに基づいて運用されます。 CA ではユーザの公開鍵の管理や電子証明書を発行し、証明書は、発行者(CA)のみが知る秘密鍵で暗号化された電子署名、ユーザ識別子、ユーザ公開鍵、証明書有効期限等で構成されています。証明書の発行に関しては、適用する端末認証方式によって差異があります。即ち EAP-TLS ではサーバ証明書およびクライアント証明書の双方をやり取りする必要がありますが、EAP-PEAP、EAP-TTLS ではクライアント証明書は必要ありません。 1) パブリック CA 外部機関に委託することになるため、信頼性が高く、保守や運用の面でメリットがありますが、証明書の発行にコストが必要となります。特に EAP-TLS を採用する場合はクライアント数分の証明書発行コストがかかることになります。また、Web 認証にて HTTPS を行う場合でも、証明書を機器台数分用意することになります。 2) プライベート CA パブリック CA とは逆に、証明書の発行コストはかかりませんが、自営システムのため構築・運用・保守のコストがかかります。また、ローカルな証明書になるため、Web 認証で IE を使用した場合は、以下の警告が表示されます。

(24)

ートの CA から発行されたサーバ証明書がインストールされています。Web 認証で https で認証した場合には証明書エラーが表示されます。回避手段は注意事項6.2.10を参照してください。

(25)

1.3. AX でサポートする認証モードの特徴

AX シリーズがサポートする各認証方式（IEEE802.1X 認証、Web 認証、MAC 認証方式）では端末が

認証後に所属する VLAN に応じて大きく 3 種類の認証モードが存在します。･固定 VLAN モード VLAN を固定した認証モードです。詳細は1.3.1章を参照して下さい。･動的 VLAN モード VLAN を動的に切り替え且つ認証前通信を制御する新しい認証モードです。詳細は1.3.2章を参照下さい。･レガシーモード VLAN を動的に切り替える認証モードです。

AX2400S、AX3600S Ver10.7、AX1200S Ver1.4 より前のバージョンの動的 VLAN モードです。

詳細は1.3.3章を参照して下さい。認証モードの表記については AX シリーズ毎に若干の違いがありますが本ガイド上ではシリーズ毎に依存しない表記を行っています。本ガイドと製品マニュアルでの認証モード表記について以下の表に示します。 表 1.3-1 本ガイドと製品マニュアルでの認証モード表記 本ガイド上の表記認証方式製品マニュアル上の表記 AX1200S AX2200S AX2500S AX2400S AX3600S AX6000S 固定 VLAN モード (ポート単位) 1.3.1.1章参照 IEEE802.1X 認証ポート単位ポート単位認証 (静的) ポート単位認証ポート単位認証固定 VLAN モード (VLAN 単位) 1.3.1.2章参照 IEEE802.1X 認証 VLAN 単位－ VLAN 単位認証 (静的) VLAN 単位認証 (静的) 固定 VLAN モード 1.3.1章参照

Web 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード MAC 認証固定 VLAN モード固定 VLAN モード固定 VLAN モード

動的 VLAN モード 1.3.2章参照 IEEE802.1X 認証ポート単位認証 (動的) VLAN 単位認証（動的）(*1) VLAN 単位認証（動的）(*1) Web 認証ダイナミック VLAN モードダイナミック VLAN モードダイナミック VLAN モード MAC 認証ダイナミック VLAN モードダイナミック VLAN モードダイナミック VLAN モードレガシーモード 1.3.3章参照 IEEE802.1X 認証 VLAN 単位認証（動的） AX2500Sは未サポート VLAN 単位認証（動的）(*1) VLAN 単位認証（動的）(*1) Web 認証レガシーモードAX2500Sは未サポートレガシーモードレガシーモード MAC 認証レガシーモード (*1) AX2500Sは未サポート－－

(26)

AX2400S、AX3600S の IEEE802.1X 認証（VLAN 単位認証（動的））の動作については2.1章を参照して下さい。

1.3.1. 固定 VLAN モードの特徴

固定VLAN モードは，認証要求端末の VLAN は認証前と認証後で VLAN が変わりません。認証要求端末の所属するVLAN は，端末の接続ポートが所属する VLAN となります。 図 1.3-1 固定 VLAN モード概要図 1. HUB 経由または直結された PC から本装置にアクセスします。 2. 認証対象ユーザ（図内の PC）の接続ポートまたは VLAN ID により、認証対象ユーザ（図内の PC）が所属するVLAN ID を特定します。 3. ユーザ情報に特定した VLAN ID 情報を加えて RADIUS サーバへ認証要求することで，収容可能な VLAN を制限することが可能となります。 4. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合） 5. 認証済み PC は、接続された VLAN のサーバに接続できるようになります。

(27)

1.3.1.1. IEEE802.1X 認証（ポート単位）

認証の制御を物理ポートまたはリンクアグリゲーション単位に行います。この認証モードでは IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことはできません。IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを受信すると廃棄します。また、IEEE802.1X 認証方式では、認証サブモードとして以下の三つがあります。 1. 一つの物理ポートを 1 台の端末で占有するシングルモード。 2. 一つの物理ポートにて 1 台の端末が認証成功すると、その後同一物理ポートでは全ての通信を非認証で通過させるマルチモード。（AX1200S はサポートしていません。） 3. 一つの物理ポートにて、端末毎に認証する端末認証モード。 4. AX2500S ではポート単位認証でもトランクポートにおいての認証をサポートしており、IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます。 図 1.3-2 ポート単位認証モード

(28)

1.3.1.2. IEEE802.1X 認証（VLAN 単位）

認証の制御を VLAN に対して行います。本モードでは、IEEE 802.1Q VLAN-Tag の付与された EAPOL フレームを扱うことができます。端末と本装置の間に L2 スイッチを配置し、L2 スイッチを用いて IEEE 802.1Q VLAN-Tag の付与を行う場合に使用します。Tag の付与されていない EAPOL フレームについては、ポートに設定されているネイティブ VLAN で受信したと認識します。

(29)

1.3.2. 動的 VLAN モードの特徴

動的VLAN モードは、認証後の VLAN 切り替えを MAC VLAN で実施し、認証に成功した端末の MAC アドレスと VLAN ID を MAC VLAN と MAC アドレステーブルに登録します。

図 1.3-4 動的 VLAN 認証モード概要図

1. HUB 経由または直結された PC から本装置にアクセスします。 2. 外部に設置された RADIUS サーバに従って認証を行います。

3. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合）

4. RADIUS サーバから送られる VLAN ID 情報に従って、認証済み PC を認証後の VLAN に収容して、サーバに接続できるようになります。

(30)

AX2200S/AX2500S において新しくサポートされた動的 VLAN モードの新機能を以下に示します。 表 1.3-2 動的 VLAN モードで追加・変更された機能 項番エンハンス内容 1 新機能認証前に通信するための認証前フィルタの適用が可能 2 Web 認証において URL リダイレクトが使用可能 3 Web 認証専用 IP アドレスが利用可能（AX1200S はレガシーモードでも可能） 4 変更仕様認証ポートにおけるネイティブ VLAN での通信が不可 (*1) , 5 設定上の変更点 MAC VLAN ポートに認証設定を行う (*1) AX2400S/AX3600S/AX6300S/AX6600S/AX6700S の IEEE802.1X 認証を単独で使用する場合、ネイティブ VLAN での通信が可能です。

同一ポートで Web 認証または MAC 認証と併用した場合は、ネイティブ VLAN での通信が遮断されるため、認証前フィルタの定義が必要になります。

(31)

1.3.3. レガシーモードの特徴

レガシーモードは、MAC VLAN 機能を使用して認証要求端末ごとに認証・検疫し、動的に VLAN を割り当てることにより、認証前のネットワークと認証後のネットワークを分離できます。

AX2400S、AX3600S Ver10.7、AX1200S Ver1.4 および AX6700S、AX6600S、AX6300S Ver11.4 より前の

バージョンの動的VLAN モードが該当します。AX2500S からは未サポートとなりました。認証のグローバルコンフィグで認証後に配布する VLAN 番号定義を行い MACVLAN ポート全てが認証対象となります。 図 1.3-5 レガシーモード概要図 1. HUB 経由または直結された PC から本装置にアクセスします。 2. 外部に設置された RADIUS サーバに従って認証を行います。 3. 認証成功であれば、認証成功画面を PC に表示します。（Web 認証の場合）

4. RADIUS サーバから送られる VLAN ID 情報とコンフィグレーションで設定した認証後 VLAN 情報に従って、認証済みPC を認証後の VLAN に収容して、サーバに接続できるようになります。

AX2400S/AX3600S シリーズ Ver10.7 および AX1200S シリーズ Ver1.4 A 以降において、動的 VLAN モードとレガシーモードを両方を併用する事ができますが（一部混在使用不可）、新しく認証ネットワークを構築する場合は動的 VLAN モードを使用することを推奨します。

※AX2500S シリーズでは本機能は未サポートとなりました。

(32)

1.4. ダイナミック ACL/QoS 認証機能について

AX2500S シリーズで Ver3.5 より新たにネットワーク認証にダイナミック ACL（フィルタ）/QoS 機能を追加しました。

ダイナミック ACL/QoS 機能では認証時に RADIUS サーバによるクラス情報配布と、付与されたクラス情報をを使用してネットワークアクセス制御を，ACL（フィルタ）/QoS 機能で実現します。

本機能は Web 認証、MAC 認証、IEEE802.1X 認証の全ての認証モード（固定 VLAN モード、ダイナミック VLAN モード）において併用可能です。

下記概念図で示すようにフィルタを指定することで所属クラス別にアクセス可能なネットワークを限定したりすることが可能です。

フィルタ指定例

10 permit ip any ネット A class 1 20 permit ip any ネット A class 3

30 deny ip any ネット A

40 permit ip any ネット B class 2 50 permit ip any ネット B class 3 60 deny ip any ネット B

70 permit ip any ネット C class 3 80 deny ip any ネット C

90 permit ip any any

図1.3-1 ダイナミック ACL 概要図 AX2500S クラス＝0 クラス指定なしクラス＝１クラス＝2 その他制限なしネット A ネット B ネット C クラス＝3

(33)

（１）認証時のスイッチの動作概要と RADIUS の設定

1.3-2 RADIUS 認証時の動作

AX シリーズのダイナミック ACL はユーザ認証成功時にユーザ単位に RADIUS から追加アトリビュートの Filter-ID で”Class=クラス番号”を付与された場合に認証端末の MAC アドレス登録時に Class 番号を合わせて登録します。（Class 番号が付与されない場合はクラス 0 として登録） Raius アトリビュートの設定クラス 25 所属ユーザの場合 Filter-ID（１１）＝ “/Class=25” 注※ RADIUS 認証で強制認証となった場合は，クラス＝ 0 として扱います。 （２）パケット転送時の動作とスイッチの設定 認証後の通信において受信したパケットを転送する際に、送信元 MAC アドレスが認証時に Class 設定されたパケットの場合、検索キーとして Class 情報を加えて ACL/QoS リストを検索します。

たとえば ACL/QoS フローリストがインタフェース（VLAN）に設定されていた場合、送信元 MAC アドレス毎に記憶したダイナミック ACL/QoS 用に追加された所属クラス（class=1～63）を合わせて検索を行いパケット中継します。下記に設定と動作を説明します

Class 1 のみ 192.168.100.0/24 を許可 Class 1 と 3 は 192.168.200.0/24 を許可

スイッチに設定する ACL

10 permit ip any 192.168.100.0 0.0.0.255 class 1 （class1 ヒット） 20 deny ip any 192.168.100.0 0.0.0.255 （class1 以外廃棄） 30 permit ip any 192.168.200.0 0.0.0.255 class 1 （class1 がヒット）

40 permit ip any 192.168.200.0 0.0.0.255 class 3 （class3 がヒット） 50 deny ip any 192.168.200.0 0.0.0.255 （class1,3 以外廃棄）

RADIUS サーバ RADIUS 認証成功時の応答で追加アトリビュート Filter-ID＝”/Class=番号(1-63) が付与された場合認証（MAC,Web,IEEE802.1X）認証成功時に当該端末の MAC アドレスと Class 番号を登録 AX2500S シリーズ

(34)

きます。

30 permit ip any 192.168.200.0 0.0.0.255 class 1 mask1 （シーケンス番号３０，４０を集約） mask を使用する場合、クラスの追加作業や管理などで煩雑になる場合がありますので、注意してください。 （３）マルチステップ認証とダイナミック ACL 併用する場合 ダイナミック ACL/QoS では最終段階の認証が成功した場合にダイナミック ACL のクラス情報を反映します。ダイナミック ACL/QoS を使用する場合は最終段階の認証でクラス情報の配布を行ってください。

たとえば MAC 認証＋Web 認証のマルチステップの場合 2 段階目の Web 認証が終了する前は認証前 ACL が適用され、認証前 ACL ではダイナミック ACL は使用できませんので注意してください。

マルチステップ認証で、ゲスト端末も許可する場合に使用する permissive モードでは 2 段階目においてマルチステップ認証の Filter-ID 指定を行いますので、ダイナミック ACL/QoS と併用する場合においては Filter-ID にマルチステップの指定と Class の指定の両方を併記する必要があります。併記する場合 には RADIUS サーバの追加アトリビュートの Filter-ID に/MAC-Auth/Class=クラス番号と指定します。 ダイナミック ACL/QoS 併用の設定の場合＠＠は指定できませんので/指定で設定してください。 ①マルチステップ permissive モード無し（ゲスト端末無しの環境）所属クラス 20 のユーザの場合 1 段階端末認証のアトリビュート Filter-ID(11)=/MultiStep 2 段階ユーザ認証のアトリビュート Filter-ID(11)=/Class=20 ②マルチステップ permissive モード（ゲスト端末ありの場合）で社員はクラス２０でゲストはクラス１としたい場合 1 段階目の端末認証で登録端末のアトリビュート Filter-ID(11)=/MultiStep 2 段階目ユーザ認証においてマルチステップ対象のユーザの場合。 Filter-ID(11)=/MAC-Auth/Class=20 2 段階目の認証でゲストユーザで Class 指定のみ配布したい場合 Filter-ID(11)=/Class=1

(35)

（４）ダイナミック ACL/QoS で使用可能な ACL と QoS フローリスト

以下にダイナミック ACL/QoS 機能でクラス指定が使用可能な ACL と QoS フローリストの種別を示します。

表 1.3-1 ダイナミック ACL/QoS でクラス指定が使用できるリスト

機能 ACL/QoS リスト種別クラス指定

サポートの有無フィルタ（ACL） IPv4 アクセスリスト standard(permit/deny) ×

extended(permit/deny) ○ IPv6 アクセスリスト extended(permit/deny) ○ MAC アクセスリスト extended(permit/deny) ○ 認証専用 IPv4 アクセスリスト extended(permit/deny) × （クラス指定は無効）

Qos IPv4 QoS フローリスト ○

IPv6 QoS フローリスト ○

(36)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 36 1.5. ネットワーク認証と検疫ネットワーク 一般的に、ウィルス、ワームに感染した持ち込み PC が、情報漏洩の一因になっていることは、数々の事件によって明らかになっています。しかし、ユーザ名とパスワードのみでは、許可されたユーザによる持ち込み PC について、ネットワークアクセスを禁止することができません。ネットワークに接続するために、ユーザ名やパスワード、電子証明書のみではなく、その端末のセキュリティ状態にまで着目して判断するのが、検疫ネットワークです。検疫ネットワークには、以下の三つの要素があります。 1. 検疫機能ネットワークに接続しようとしている端末についてのセキュリティ状態を検査する機能です。検疫専用のクライアントソフトをインストールするエージェント型や、ActiveX によってダウンロードさせるエージェントレス型が存在します。なお、検疫はネットワーク認証の一部として行われる場合が多く、検疫機能はネットワークへの接続条件の一つと見なされています。 2. 隔離機能検疫によって不合格とされた端末について、基幹のネットワークと分離させる機能です。この隔離機能は、あくまで幹線ネットワークからの隔離であり、この後の治療のために、ネットワークへの接続性は維持させなければなりません。隔離の方式としては、VLAN を切り替える方式や、 ACL によってフィルタリングする方式、DHCP による IP サブネットを分ける方式があります。 3. 治療機能

不合格とされた端末については、SUS(Software Update Services)サーバによってセキュリティ状態の更新が行われます。治療された端末は再度検疫を行い、合格と判断されれば基幹ネットワークへのアクセスが可能となります。

(37)

図 1.4-1 認証と検疫ネットワーク

(38)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 38 1.6. AX-Networker’s-Utility（Ｗｅｂ認証画面入替えツール） AX-Networker's-Utility は、ネットワーク作業者の負荷を軽減する単機能ツールのパッケージ製品です。 AX-Networker's-Utility(Web 認証画面入替えツール) を導入することで Web 認証画面を管理ツールから入替えることが可能です。 Web 認証画面入替えツールの機能一覧 Web 認証画面入替えツールを導入すると、管理端末から登録された認証スイッチに対して Web 認証画面情報の配信およびバックアップがワンタッチで可能になります。またスケジュール機能を用いると、 Web 認証画面の定期的な入れ替えや指定日の入れ替えができ、ユーザへのメッセージ通知手段として使用する事ができます。

サポート機種 AX1200S Ver2.1 以降 AX2200S/AX2500S

AX6700S/AX6300S/AX3600S /AX2400S Ver10.8 以降 AX6600S Ver11.1 以降 Web 認証画面入替えツールを利用するためには、認証スイッチに本ツール用のログイン名とパスワードの設定が必要です

Web認証画面の入れ替えをワンタッチでサポート

認証画面をユーザーへのメッセージ配信手段として活用

ネットワーク 1. Web 認証画面の取得（バックアップ） 2. Web 認証画面の配信（手動個別配信） 3. Web 認証画面配信スケジュール機能 (グループ別の自動配信) 4. Web 認証画面の簡易カスタマイズ機能

(39)

2. AX

シリーズの認証機能サポート一覧

本章で記載している認証モードは固定 VLAN モードと動的 VLAN モードです。レガシーモードについては製品マニュアルをご確認下さい。また認証モードの詳細につきましては1.3 AX でサポートする認証モードの特徴を参照して下さい。 2.1. 認証方式 AX シリーズのサポートする認証方式一覧を以下に示します。 表 2.1-1 認証方式 項番認証方式認証モード AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証固定 VLAN モードポート単位 ○ ○ ○ 2 VLAN 単位 × ○ ○ 3 動的 VLAN モード ○ ○(*1) ○(*1) 4 Web 認証固定 VLAN モード ○ ○ ○ 5 動的 VLAN モード ○ ○ ○ 6 MAC 認証固定 VLAN モード ○ ○ ○ 7 動的 VLAN モード ○ ○ ○ (凡例) ○：サポート、×：未サポート

(*1) AX2400S、AX3600S、AX6000S の IEEE802.1X 認証（VLAN 単位認証（動的））は同一装置内で Web 認証または MAC 認証の動的 VLAN モードと併用した場合、動的 VLAN モードとして動作します。また装置で IEEE802.1X 認証（VLAN 単位認証（動的））を単独で用いた場合、レガシーモードとして動作します。

(40)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 40 AX シリーズでは、認証モードが混在した場合の設定可否が装置ごとに異なります。認証モード混在時に設定できる認証方式を以下に示します。 （１） AX1200S/AX2200S/AX2500S シリーズ 装置内での共存、同一ポートでの共存が可能です。 表 2.1-2 AX1200S/AX2200S/AX2500S シリーズ 固定 VLAN モード動的 VLAN モード IEEE802.1X 認証（ポート単位） IEEE802.1X 認証（VLAN 単位）

MAC 認証 Web 認証 IEEE802.1X

認証 MAC 認証 Web 認証固定 VLAN モード IEEE802.1X 認証（ポート単位） ― ○ ○ ○ ○ ○ IEEE802.1X 認証（VLAN 単位） ― ― ― ― ― ― MAC 認証 ○ ― ○ ○ ○ ○ Web 認証 ○ ― ○ ○ ○ ○ 動的 VLAN モード IEEE802.1X 認証 ○ ― ○ ○ ○ ○ MAC 認証 ○ ― ○ ○ ○ ○ Web 認証 ○ ― ○ ○ ○ ○ (凡例) ○：設定可、×：設定不可、―：未サポート

(41)

（２） AX2400S / AX3600S シリーズ 表 2.1-3 AX2400S / AX3600S シリーズ 固定 VLAN モード動的 VLAN モード IEEE802.1X 認証（ポート単位） IEEE802.1X 認証（VLAN 単位）

認証 MAC 認証 Web 認証固定 VLAN モード IEEE802.1X 認証(ポート単位） ○ ○(*1) ○(*1) ○ ○ ○ IEEE802.1X 認証(VLAN 単位） ○ ○ ○ ○ ○ ○ MAC 認証 ○(*1) ○ ○ ○ ○ ○ Web 認証 ○(*1) _○ _○ _○ _○ _× 動的 VLAN モード IEEE802.1X 認証 ○ ○ ○ ○ ○ ○ MAC 認証 ○ ○ ○ ○ ○ ○ Web 認証 ○ ○ ○ × ○ ○ (凡例) ○：設定可、×：設定不可、―：未サポート (*1) 端末認証モードのみサポート

(42)

表 2.1-4 AX6300S / AX6600S / AX6700S シリーズ

固定 VLAN モード動的 VLAN モード IEEE802.1X 認証（ポート単位） IEEE802.1X 認証（VLAN 単位）

認証 MAC 認証 Web 認証固定 VLAN モード IEEE802.1X 認証(ポート単位） ○ ○(*1) ○(*1) ○ ○ ○ IEEE802.1X 認証(VLAN 単位） ○ ○ ○ ○ ○ ○ MAC 認証 ○(*1) ○ ○ ○ ○ ○ Web 認証 ○(*1) _○ _○ _○ _○ _× 動的 VLAN モード IEEE802.1X 認証 ○ ○ ○ ○ ○ ○ MAC 認証 ○ ○ ○ ○ ○ ○ Web 認証 ○ ○ ○ × ○ ○ (凡例) ○：設定可、×：設定不可、―：未サポート (*1) 端末認証モードのみサポート

(43)

2.2. ユーザ認証データベース ユーザ認証には、装置に内蔵した認証用データベースを用いる方式と、外部に設置した RADIUS サーバに問い合わせる方式があります。これらのデータベースは、認証モードによる差分はありません。 AX シリーズのサポートするユーザ認証データベースを以下に示します。 表 2.2-1 ユーザ認証データベース 項番認証方式ユーザ認証データベース AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証内蔵データベース × × × 2 RADIUS サーバ ○ ○ ○ 3 MAC 認証内蔵データベース ○ ○ ○ 4 RADIUS サーバ ○ ○ ○ 5 Web 認証内蔵データベース ○ ○ ○ 6 RADIUS サーバ ○ ○ ○ (凡例) ○：サポート、×：未サポート 2.3. ログ出力機能 ログ出力機能とは、認証を許可した端末へのサービス開始やサービス停止、認証失敗などのタイミングでユーザ情報を出力する機能です。この機能を用いて、利用状況追跡を行うことができます。 AX シリーズのサポートするログ出力機能を以下に示します。 表 2.3-1 ログ出力機能 項番認証方式ログ出力機能 AX1230S AX1240S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 IEEE802.1X 認証 show コマンドによる表示 ○ ○ ○ ○ 2 RADIUS accounting 機能 × ○ ○ ○ 3 syslog サーバへの出力 ○ ○ ○ ○ 4 SNMP/Trap ○ ○ × × 5 MAC 認証 show コマンドによる表示 ○ ○ ○ ○ 6 RADIUS accounting 機能 × ○ ○ ○ 7 syslog サーバへの出力 ○ ○ ○ ○ 8 SNMP/Trap ○ ○ × × 9 Web 認証 show コマンドによる表示 ○ ○ ○ ○ 10 RADIUS accounting 機能 × ○ ○ ○ 11 syslog サーバへの出力 ○ ○ ○ ○ 12 SNMP/Trap ○ ○ × × (凡例) ○：サポート、×：未サポート

(44)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 44 2.4. RADIUS アトリビュート RADIUS アトリビュート（1.2.4.2章）について、AX シリーズの動作差分一覧を以下に示します。 表 2.4-1 RADIUS アトリビュートに対する機種別動作 属性 _{（パケットタイプ）}属性名 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 NAS-IP-Address （Request） VLAN ID の一番小さな VLAN インタフェースの IP アドレスローカルアドレスが設定されている場合：ローカルアドレス設定されていない場合：送信インタフェースの IP アドレス 2 Session-Timeout （Challenge,Accept ）参照しない Termination-Action が RADIUS-Accecpt(1)に設定されていた場合、以下の値で再認証を行う（IEEE802.1X 認証のみ） 0：再認証は無効 1～60：60 秒で再認証 61～65535：設定された値で再認証（6.1.6章参照） 3 Termination-Action （Accept）参照しない RADIUS-Accept(1)に設定されていると、装置で再認証を設定していない場合でも強制的に再認証を行う（IEEE802.1X 認証のみ）（6.1.6章参照） 4 NAS-Port-Id (Request） IEEE802.1X 認証でのみセットされます Supplicant を認証する Authenticator のポートを識別するための文字列。ポート単位認証：“Port x/y” （ポート番号）固定 VLAN 認証：“VLAN x” 動的 VLAN 認証：“DVLAN x” （x、y には数字が入る）ただし AX1230S は未サポート

(45)

2.5. IEEE802.1X 認証機能 AX シリーズのサポートする IEEE802.1X 認証の主な機能について以下に示します。 表 2.5-1 IEEE802.1X 認証機能 項番機能 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 1 EAPOL フォワーディング機能 EAPOL フォワーディング ○ (*1) _○(*1) _○(*1) _○ 2 端末認証モードオプション認証除外端末オプション ○ ○ ○ ○ 3 認証除外ポートオプション × × ○ ○ 4 認証端末数制限オプション × × ○ ○ 5 ログアウト機能再認証失敗 _○ _○ ○ ○ 6 運用コマンド ○ ○ ○ ○ 7 無通信監視 ○ ○ × × 8 リンクダウン ○ ○ ○ ○ 9 ポートリンクダウン時の認証解除抑止設定機能 × ○ × × 10 RADIUS サーバとの関連機能サーバ無応答時の強制認証 ○ ○ × × 11 端末検出動作切り替え機能 shortcut モード ○(*1) ○ ○ ○ 12 _{disable モード} _○ _○ _○ _○ 13 _{full モード} _× _× _○ _× auto ○(*2) ○) ○ × 14 VLAN 自動アサイン _{VLAN 自動アサ} イン ○ (*2) _○ _○(*3) _× 15 同一ポートで固定・動的 VLAN の混在

（MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証）

○(*2) _○ _× _×

16 トランクポートにおける認証

（IEEE802.1Q VLAN Tag 付き EAPOL サポート） × ○ ○ ○

17 _{MAC VLAN ポートにおける}

（IEEE802.1Q VLAN Tag 付き EAPOL サポート） × ○ ○ × (凡例) ○：サポート、×：未サポート

(*1)

装置単位の設定のみサポート

(*2)

AX1230S では未サポート、AX1240S では Ver2.1 よりサポート

(*3)

(46)

Copyright © 2007-2013, ALAXALA Networks Corporation. All rights reserved. 46 2.6. Web 認証機能 AX シリーズのサポートする Web 認証機能の主な機能について以下に示します。 表 2.6-1 Web 認証機能 項番機能 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 固定 VLAN モード動的 VLAN モード固定 VLAN モード動的 VLAN モード固定 VLAN モード動的 VLAN モード 1 Web サーバ機能 http ○ ○ ○ ○ ○ ○ 2 https ○ ○ ○ ○ ○ ○ 3 ログイン画面入れ替え機能 ○ ○ ○ ○ ○ ○ 4 URL リダイレクト機能 ○ ○ ○ ○ × ○ 5 Web 認証専用 IP アドレス ○ ○ ○ ○ ○ ○ 6 ポート単位の Web 認証画面選択 ○ (*1) _○(*1) _× _× _× _× 7 外部 Web サーバへのリダイレクト先 Config 指定 ○(*2) ○(*2) × × × × 8 認証成功後リダイレクト前の URL にジャンプする機能 ○(*2) ○(*2) × × × × 9 ログアウト機能運用コマンド ○ ○ ○ ○ ○ ○ 10 最大接続時間での監視 ○ ○ ○ ○ ○ ○ 11 無通信監視機能 ○ ○ × ○ × × 12 ログアウト画面からのログアウト ○ ○ ○ ○ ○ ○ 13 ARP ポーリング ○ × ○ × ○ × 14 特殊 ping パケットによるログアウト ○ ○ ○ × ○ × 15 ポートリンクダウン ○ ○ ○ × ○ × 16 ポートリンクダウン時の認証解除抑止設定機能 ○ (*2) _○(*2) _× _× _× _× 17 RADIUS サーバとの関連機能サーバ無応答時の強制認証 ○ ○ ○ ○ × × 18 VLAN 自動アサイン VLAN 自動アサイン × ○(*1) _× _○ _× _× 19 DHCP サーバ機能設定可能なリースタイム値 10 秒～ 10 秒～ 10 秒～ 20 デフォルトゲートウェイの配布 ○ ○ ○ 21 DNS の配布 ○ ○ ○ 22 同一ポートで固定・動的 VLAN の混在

（MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証）

○(*1) _○ _×

(凡例) ○：サポート、×：未サポート

(*1)

(47)

2.7. MAC 認証機能 AX シリーズのサポートする MAC 認証機能の主な機能について以下に示します。 表 2.7-1 MAC 認証機能 項番機能 AX1200S AX2200S AX2500S AX2400S AX3600S AX6300S AX6600S AX6700S 固定 VLAN モード動的 VLAN モード固定 VLAN モード動的 VLAN モード固定 VLAN モード動的 VLAN モード 1 認証解除機能最大接続時間での監視 ○ ○ ○ ○ ○ ○ 2 エージング時間監視 ○ ○ ○ ○ × ○ 3 ポートリンクダウン ○ ○ ○ × ○ × 4 ポートリンクダウン時の認証解除抑止設定機能 ○ (*2) _○(*2) _× _× _× _× 5 RADIUS サーバとの関連機能サーバ無応答時の強制認証 ○ ○ ○ ○ × × 6 定期的再認証要求 ○ ○ × × × × 7 VLAN 自動アサイン VLAN 自動アサイン × ○(*1) _× _○ _× _× 8 同一ポートで固定・動的 VLAN 混在

（MACVLAN ポートで RADIUS より VLAN 配布が無い場合ネイティブ VLAN で認証） ○(*1) _○ _× _× (凡例) ○：サポート、×：未サポート (*1) AX1230S では未サポート,(*2) AX2500SVer3.5 以降のみサポート 2.8. 収容条件 AX シリーズのサポートする各認証モード毎の最大認証端末数を以下に示します。 表 2.8-1 認証モード毎の最大認証端末数 認証モード認証方式 AX1200S AX2200S AX2400S AX3600S AX6300S AX6600S AX6700S 固定 VLAN モード IEEE802.1X 認証 64/ポート合計 1024/装置 64/ポート合計 1024/装置 256/ポート合計 4096/装置 256/装置 256/VLAN 256/VLAN MAC 認証 1024/装置 1024/装置 4096/装置 Web 認証 1024/装置 1024/装置 4096/装置動的 VLAN モード IEEE802.1X 認証 256/装置合計 256/装置 256/装置 (*1) 合計 256/装置 (*1) 4096/装置合計 4096/装置 MAC 認証 256/装置 256/装置 (*1) 4096/装置 Web 認証 256/装置 256/装置 (*1) 4096/装置 (凡例) ×：未サポート (*1) AX3640S では 1024/装置となります。