設定例(ApresiaLightGM200シリーズ)

ネットワーク認証

MACアドレス認証

基本構成図

MAC認証 基本構成図

L2認証スイッチのポート設定
ポート番号 ポート種別 接続装置 認証機能 固定VLAN ダイナミックVLAN
1 アクセス 端末-A
端末-B		 MAC認証 10
10		 なし
なし
2 アクセス 端末-C MAC認証 30 なし
3 アクセス 端末-D MAC認証 (10) 40
5 アクセス プリンター なし 50 なし
9-10 トランク L3スイッチ なし 10,20,30,40,50,100 なし

設定のポイント

L2認証スイッチ
  • 管理用VLAN~RADIUSサーバー間でIP通信が可能なこと。
    (セグメントを跨ぐIP通信には、デフォルトルートの設定が必要)
  • ダイナミックに割り当てるVLANを作成しておく。
    (作成したダイナミック用VLANをポートにアサインする必要なし)
  • 上位L3スイッチおよび認証不要プリンターの接続ポートには認証設定を有効にしない。
    (認証ポートの配下で特定端末のみ認証不要とする場合はスタティックにFDB登録する)
  • L2認証スイッチ~RADIUSサーバー間で共通の秘密鍵を設定する。
    ※RADIUSサーバーのclients.confファイルに登録する「secret」と同設定。(大文字、小文字の区別あり)
  • ユーザーのパスワードはMACアドレスになる。
RADIUSサーバー
  • clients.confファイルにL2認証スイッチで設定した共通の秘密鍵を登録する。
  • usersファイルに認証対象のMACアドレスを登録する。

登録するMACアドレスの英字は「小文字」とし、":", "-"で区切らない(デフォルト)。

  • ○良い例:000000000a10 Auth-Type := Local, User-Password == "000000000a10"
  • ×悪い例:000000000A10 Auth-Type := Local, User-Password == "000000000A10"
  • ×悪い例:00-00-00-00-0A-10 Auth-Type := Local, User-Password == "00-00-00-00-0A-10"

※ダイナミックVLANの認証属性はVLAN IDを登録する。

  • ○良い例:Tunnel-Private-Group-Id = 40
  • ×悪い例:Tunnel-Private-Group-Id = VLAN40

L2認証スイッチの設定例

VLANの設定
# configure terminal
(config)# vlan 10,20,30,40,50,100
(config-vlan)# exit
クライアント用にVLAN(10,20,30,40,50)を作成
管理用としてVLAN(100)を作成
ポートの設定
(config)# interface range port 1/0/1,1/0/3
(config-if-port-range)# switchport access vlan 10
(config-if-port-range)# exit		 VLAN(10)をuntagポート1、3に設定
(config)# interface port 1/0/2
(config-if-port)# switchport access vlan 30
(config-if-port)# exit		 VLAN(30)をuntagポート2に設定
(config)# interface port 1/0/5
(config-if-port)# switchport access vlan 50
(config-if-port)# exit		 VLAN(50)をuntagポート5に設定
(config)# interface range port 1/0/9-10
(config-if-port-range)# channel-group 1 mode on
(config-if-port-range)# exit		 ポート9、10をスタティックのLAGグループ1として登録
(config)# interface port-channel 1
(config-if-port-channel)# switchport mode trunk
(config-if-port-channel)# switchport trunk allowed vlan 10,20,30,40,50,100
(config-if-port-channel)# exit		 VLAN(10,20,30,40,50,100)をtagポート9、10に設定
管理用IPアドレスの設定
(config)# no interface vlan 1
(config)# interface vlan 100
(config-if-vlan)# ip address 192.168.100.1/24
(config-if-vlan)# exit
(config)# ip route default 192.168.100.254		 管理用VLAN100にIPアドレス設定
SYSLOGサーバーの設定
(config)# logging server 192.168.200.2 severity informational SYSLOG出力先の設定
ネットワーク監視装置の設定
(config)# snmp-server host 192.168.200.3 version 2c public
(config)# snmp-server enable traps
(config)# snmp-server		 SNMPトラップ出力先の設定
RADIUSサーバーの設定
(config)# aaa new-model
(config)# radius-server host 192.168.200.1 key APL-radius
(config)# aaa authentication mac-auth default group radius		 AAA 機能を有効
RADIUSサーバーを登録
MAC認証でRADIUSサーバーを利用
MAC認証の設定
(config)# access-defender
(config-a-def)# authentication interface port 1/0/1-3 mac
(config-a-def)# exit
(config)# mac-authentication enable
(config)#
ポート1-3のMAC認証を有効化

MAC認証の有効化

RADIUSサーバーの設定(Free RADIUS)

RADIUSサーバーの設定項目について簡単に説明します。
なお、認証方式やサーバー製品によって設定方法が異なる場合があります。
(詳細設定については、ご使用のサーバー製品マニュアルをご参照ください)

clients.confファイル登録

RADIUSクライアント(=認証スイッチ)となるIPアドレスや共通の秘密鍵を登録します。
「secret」はRADIUSサーバーと認証スイッチで同じにしておく必要があります。

<設定例>
client 192.168.100.0/24 {
              secret = APL-radius
              shortname = ApresiaLight
}
<usersファイル登録>

機器ごとのMACアドレスやパスワードを登録します。

・機器ごとに下記の属性を定義します。
属性名属性備考
User-Name MACアドレス 認証対象機器のMACアドレス
(例:000000000a10)
":","-"で区切らず、英字は小文字で指定
User-Password パスワード MACアドレスと同じ
(例:"000000000a10")
英字は小文字で指定
・ダイナミックVLANを使用するときは、前述の諸属性に加えて下記の3属性を追加します。
属性名属性備考
Tunnel-Type VLAN (13) 固定値
Tunnel-Medium-Type IEEE-802 (6) 固定値
Tunnel-Private-Group-ID VLAN ID 認証後に所属させるVLAN ID (例:40)
<設定例>
000000000a10 Auth-Type := Local, User-Password == "000000000a10"
000000000b20 Auth-Type := Local, User-Password == "000000000b20"
000000000c30 Auth-Type := Local, User-Password == "000000000c30"
000000000d40 Auth-Type := Local, User-Password == "000000000d40"
          Tunnel-Type = 13,
          Tunnel-Medium-Type = 6,
          Tunnel-Private-Group-Id = 40
確認コマンド
  • show access-defender client
  • show access-defender port-configuration
  • show radius statistics

設定例TOPへ戻る

関連情報