AND認証の構成例と設定例

AND認証の構成例と設定例を示します。

Web/MAC認証（AND）の設定例

Web/MAC認証（AND）の構成例と設定例を示します。この例では以下のように設定しています。

Web/MAC認証（AND）の構成例

• VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。

  sw1# configure terminal 
  sw1(config)# vlan 10,100
  sw1(config-vlan)# exit
  sw1(config)# 
  sw1(config)# interface range port 1/0/1-5
  sw1(config-if-port-range)# switchport mode access 
  sw1(config-if-port-range)# switchport access vlan 10
  sw1(config-if-port-range)# exit
  sw1(config)# 
  sw1(config)# interface port 1/0/49
  sw1(config-if-port)# switchport mode trunk 
  sw1(config-if-port)# switchport trunk allowed vlan 10,100
  sw1(config-if-port)# exit
  sw1(config)#

• VLAN 100インターフェースに管理用IPアドレス［192.168.100.100/24］を設定します。また、本設定例ではデフォルトスタティックルートを［192.168.100.254］宛てに設定して、経路を解決しています。

  sw1(config)# interface vlan 100
  sw1(config-if-vlan)# ip address 192.168.100.100/24
  sw1(config-if-vlan)# exit
  sw1(config)# ip route 0.0.0.0/0 192.168.100.254
  sw1(config)#

• 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に、Web認証で使用する認証方式リスト［ID：1］を、デフォルトのRADIUSサーバーグループ「radius」に指定します。

  sw1(config)# aaa new-model 
  sw1(config)# aaa authentication mac-auth default group radius 
  sw1(config)# aaa authentication web-auth 1 default group radius 
  sw1(config)#

• RADIUSサーバーを、IPアドレス［172.16.1.101］、共有鍵［apresia］で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。

  sw1(config)# radius-server host 172.16.1.101 key apresia
  sw1(config)#

• AccessDefender設定モードに遷移し、認証クライアントの最大数を［256］に設定します。

  sw1(config)# access-defender
  sw1(config-a-def)# total-client 256
  sw1(config-a-def)#

• ポート1/0/1からポート1/0/5でWeb/MAC認証（AND）を有効に設定します。

  sw1(config-a-def)# authentication interface port 1/0/1-5 web-mac
  sw1(config-a-def)#

• Web/MAC認証（AND）の、MAC認証用パスワードを［apresia-mac］に設定します。

  sw1(config-a-def)# mac-authentication password apresia-mac web-mac
  sw1(config-a-def)#

• 認証用WebサーバーのIPアドレスを［192.0.2.100］に設定します。装置の認証用Webサーバーでは、HTTPプロトコル（TCPポート番号80）とHTTPSプロトコル（TCPポート番号443）はデフォルト有効になっています。

  sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100
  sw1(config-a-def)#

• Web/MAC認証（AND）用のエージングログアウト時間を［1時間］に設定します。Web/MAC認証（AND）の場合はwebパラメーターを指定して設定します。

  sw1(config-a-def)# logout aging-time 0 0 1 web
  sw1(config-a-def)# exit
  sw1(config)#

• MAC認証とWeb認証を有効にします。

  sw1(config)# mac-authentication enable 
  sw1(config)# web-authentication enable 
  sw1(config)# end
  sw1#

• 実施後のAccessDefender関連の設定を以下に抜粋します。

  # AAA
  
  aaa new-model
  radius-server host 172.16.1.101 key apresia
  aaa authentication mac-auth default group radius
  aaa authentication web-auth 1 default group radius
  
  # ACCESS-DEFENDER
  
  access-defender
   total-client 256
   logout aging-time 0 0 1 web
   authentication interface port 1/0/1-1/0/5 web-mac
  
  # WEB-AUTHENTICATION
  
  access-defender
   web-authentication http-ip ipv4 192.0.2.100
  web-authentication enable
  
  # MAC-AUTHENTICATION
  
  access-defender
   mac-authentication password apresia-mac web-mac
  mac-authentication enable

Web/IEEE 802.1X認証（AND）の設定例

Web/IEEE 802.1X認証（AND）の構成例と設定例を示します。この例では以下のように設定しています。

Web/IEEE 802.1X認証（AND）の構成例

• VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。

  sw1# configure terminal 
  sw1(config)# vlan 10,100
  sw1(config-vlan)# exit
  sw1(config)# 
  sw1(config)# interface range port 1/0/1-5
  sw1(config-if-port-range)# switchport mode access 
  sw1(config-if-port-range)# switchport access vlan 10
  sw1(config-if-port-range)# exit
  sw1(config)# 
  sw1(config)# interface port 1/0/49
  sw1(config-if-port)# switchport mode trunk 
  sw1(config-if-port)# switchport trunk allowed vlan 10,100
  sw1(config-if-port)# exit
  sw1(config)#

• VLAN 100インターフェースに管理用IPアドレス［192.168.100.100/24］を設定します。また、本設定例ではデフォルトスタティックルートを［192.168.100.254］宛てに設定して、経路を解決しています。

  sw1(config)# interface vlan 100
  sw1(config-if-vlan)# ip address 192.168.100.100/24
  sw1(config-if-vlan)# exit
  sw1(config)# ip route 0.0.0.0/0 192.168.100.254
  sw1(config)#

• 装置のAAAを有効化します。また、IEEE 802.1X認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に、Web認証で使用する認証方式リスト［ID：1］を、デフォルトのRADIUSサーバーグループ「radius」に指定します。

  sw1(config)# aaa new-model 
  sw1(config)# aaa authentication dot1x default group radius 
  sw1(config)# aaa authentication web-auth 1 default group radius 
  sw1(config)#

• RADIUSサーバーを、IPアドレス［172.16.1.101］、共有鍵［apresia］で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。

  sw1(config)# radius-server host 172.16.1.101 key apresia
  sw1(config)#

• AccessDefender設定モードに遷移し、認証クライアントの最大数を［256］に設定します。

  sw1(config)# access-defender
  sw1(config-a-def)# total-client 256
  sw1(config-a-def)#

• ポート1/0/1からポート1/0/5でWeb/IEEE 802.1X認証（AND）を有効に設定します。

  sw1(config-a-def)# authentication interface port 1/0/1-5 web-dot1x
  sw1(config-a-def)#

• 認証用WebサーバーのIPアドレスを［192.0.2.100］に設定します。装置の認証用Webサーバーでは、HTTPプロトコル（TCPポート番号80）とHTTPSプロトコル（TCPポート番号443）はデフォルト有効になっています。

  sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100
  sw1(config-a-def)#

• Web/IEEE 802.1X認証（AND）用のエージングログアウト時間を［1時間］に設定します。Web/IEEE 802.1X認証（AND）の場合はwebパラメーターを指定して設定します。

  sw1(config-a-def)# logout aging-time 0 0 1 web
  sw1(config-a-def)# exit
  sw1(config)#

• IEEE 802.1X認証とWeb認証を有効にします。

  sw1(config)# dot1x enable 
  sw1(config)# web-authentication enable 
  sw1(config)# end
  sw1#

• 実施後のAccessDefender関連の設定を以下に抜粋します。

  # AAA
  
  aaa new-model
  radius-server host 172.16.1.101 key apresia
  aaa authentication dot1x default group radius
  aaa authentication web-auth 1 default group radius
  
  # ACCESS-DEFENDER
  
  access-defender
   total-client 256
   logout aging-time 0 0 1 web
   authentication interface port 1/0/1-1/0/5 web-dot1x
  
  # DOT1X
  
  dot1x enable
  
  # WEB-AUTHENTICATION
  
  access-defender
   web-authentication http-ip ipv4 192.0.2.100
  web-authentication enable