WLX402内蔵RadiusサーバーをSWX2300ポート認証(IEEE802.1X)用として使用するための設定例

作成日2017/June/6
最終変更日Tuesday, 06-Nov-2018 20:15:42 JST

概要

WLX402内蔵RadiusサーバーをSWX2300ポート認証(IEEE802.1X)用として使用することで、WLX402に無線接続した端末だけでなく、SWX2300に有線接続した端末に対しても認証を行うことが可能になります。
PEAPによる認証方式(サーバー証明書なし)と、EAP-TLSによる認証 (サーバー証明書あり)のそれぞれの場合の設定例を紹介します。

構成

インターネット
      |
     (GW) 192.168.100.1/24
      |
      +------  [DHCP Server]
      |
      +------  [WLX402(Radius Server)] 192.168.100.240/24
      |
      +------  [SWX2300-8G(Authenticator)] 192.168.100.10/24
      (Port:1)        |(Port:2-8)
                      |
                [Windows7 PC(Supplicant)] 192.168.100.2(DHCP)

各機器のバージョンは次の通りです。

PEAPによる認証 (サーバー証明書なし)

WLX402(Radius Server)設定

1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。

※IPアドレスがDHCPになっている場合は、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。

[基本設定]-[コントローラー設定]

2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。

[拡張機能]-[RADIUSサーバー]-[サーバー設定]

3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。

※(省略可)の項目は全て空。

[拡張機能]-[RADIUSサーバー]-[ユーザー管理]

4. WLX402のCLIにアクセスし、以下のコマンドを実行します。

  radiusd client auto auth off          # RADIUSクライアントの自動設定をOFF(※1)
  radiusd client 192.168.100.10 abcde   # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)

※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。

5. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。

  radiusd configure refresh

SWX2300(Authenticator)設定

1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。

  L2SW(config)#aaa authentication dot1x

2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います

  L2SW(config)#interface geN                 # N:2〜8の番号
  L2SW(config-if)#dot1x port-control auto    # IEEE 802.1X認証の動作モードをautoにする
  L2SW(config-if)#auth host-mode multi-host  # ホストモードをマルチホストモードにする
  L2SW(config-if)#exit

3. RADIUSサーバーの設定を行います。

  L2SW(config)#radius-server host 192.168.100.240 key abcde  # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード

4. RADIUSサーバー設定情報を確認します。

  L2SW#show radius-server
  Server Host: 192.168.100.240
  Authentication Port : 1812
  Secret Key          : abcde
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

Windows7 PC(Supplicant)設定

1. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。

2. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。

[ローカルエリア接続のプロパティ]

検証

1. PCのLANケーブルをSWX2300のポート7に接続します。

2. ユーザーIDとパスワードの入力を求めるポップアップが表示されるので以下を入力してください。

3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。

4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。

L2SW#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Disabled

  RADIUS server address :
    192.168.100.240 (port:1812)

[Interface information]
(中略)
  Interface ge7 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Disabled (configured:disable)
    Host mode               : Multi-host
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : Both (configured:both)
    Protocol version        : 2
    Authentication status   : Authorized ★
(中略)

【config】
◎WLX402

login timer clear
vlan-port-mode lan1:1 hybrid
vlan-id 1 1
vlan-access lan1:1 1
ip vlan-id 1 address 192.168.100.240/24
airlink select module1
 airlink mode 11b+g+n
 airlink channel auto bandwidth=40 primary=lower
airlink enable module1
airlink select module2
 airlink mode 11a+n+ac
 airlink channel auto bandwidth=80 primary=lower primary40=lower
airlink enable module2
certificate generate ca "WLX402 RADIUS"
radiusd use on
radiusd client auto auth off
radiusd client 192.168.100.10 abcde
radiusd user device1 password1 auth=peap
schedule at 1 startup * ntpdate ntp.nict.jp syslog
httpd host any
wlan-controller role controller-ap
wlan-controller bind vlan auto
wlan-controller select 1
 airlink enable module1
 airlink enable module2
wlan-controller select 1 1
 wlan-controller member-ap 00:a0:de:c1:d0:80


◎SWX2300
!
ip domain-lookup
!
spanning-tree mode mstp
aaa authentication dot1x
!
radius-server host 192.168.100.240 key abcde
!
spanning-tree mst configuration
  region Default
!
interface ge1
 switchport
 switchport mode access
 no shutdown
!
interface ge2
 switchport
 switchport mode access
 no shutdown
 dot1x port-control auto
 auth host-mode multi-host
!
(中略:ge3〜ge8はge2と同様の設定)
!
interface vlan0.1
 no shutdown
 ip address 192.168.100.10/24
!
clock timezone JST
!
service http-server
http-server interface vlan0.1
service http-proxy
!
service telnet-server
telnet-server interface vlan0.1
!
line con 0
line vty 0 7
!
end

EAP-TLSによる認証 (サーバー証明書あり)

WLX402(Radius Server)設定

1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。

※IPアドレスがDHCPになっている場合、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。

[基本設定]-[コントローラー設定]

2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。

[拡張機能]-[RADIUSサーバー]-[サーバー設定]

3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。

※(省略可)の項目は全て空。

[拡張機能]-[RADIUSサーバー]-[ユーザー管理]

4. 「ユーザー情報」の一覧に追加したエントリーが表示されるので、そのエントリーのチェックボックスにチェックを入れ、「証明書発行」ボタンをクリックします。

5. 証明書発行後、エントリー横の「証明書」ボタンをクリックします。

6. 証明書の一覧の「ダウンロード」ボタンをクリックし、証明書をPC上にダウンロードします。
ZIPファイルにはパスワードがかかっているため、手順4.で設定したパスワードで展開します。
※発行済み証明書の一括ダウンロードも可能です。

[拡張機能]-[RADIUSサーバー]-[ユーザー管理]

7. WLX402のCLIにアクセスし、以下のコマンドを実行します。

  radiusd client auto auth off          # RADIUSクライアントの自動設定をOFF(※1)
  radiusd client 192.168.100.10 abcde   # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)

※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。

8. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。

  radiusd configure refresh

9. 証明書の検証時にWLX402の本体の時計が現在時刻と合っている必要があるため、ntpdateコマンドで時刻を補正してください。

SWX2300(Authenticator)設定

1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。

  L2SW(config)#aaa authentication dot1x

2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います

  L2SW(config)#interface geN                 # N:2〜8の番号
  L2SW(config-if)#dot1x port-control auto    # IEEE 802.1X認証の動作モードをautoにする
  L2SW(config-if)#auth host-mode multi-host  # ホストモードをマルチホストモードにする
  L2SW(config-if)#exit

3. RADIUSサーバーの設定を行います。

  L2SW(config)#radius-server host 192.168.100.240 key abcde  # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード

4. RADIUSサーバー設定情報を確認します。

  L2SW#show radius-server
  Server Host: 192.168.100.240
  Authentication Port : 1812
  Secret Key          : abcde
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

Windows7 PC(Supplicant)設定

1. WLX402の手順7.でダウンロードした証明書をダブルクリックし、証明書をPC上にインストールします。
途中で求められるパスワードには、ユーザー情報のパスワード「password1」を入力します。

2. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。

3. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。

[ローカルエリア接続のプロパティ]

検証

1. PCのLANケーブルをSWX2300のポート7に接続します。

2. 証明書の選択画面が出るので、証明書のユーザー名に「device1」を選択してください。

[証明書の選択]

3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。

4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。

L2SW#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Disabled

  RADIUS server address :
    192.168.100.240 (port:1812)

[Interface information]
(中略)
  Interface ge7 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Disabled (configured:disable)
    Host mode               : Multi-host
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : Both (configured:both)
    Protocol version        : 2
    Authentication status   : Authorized ★
(中略)

【config】
◎WLX402

login timer clear
ip route default gateway (GWのIPアドレス)
vlan-port-mode lan1:1 hybrid
vlan-id 1 1
vlan-access lan1:1 1
ip vlan-id 1 address 192.168.100.240/24
airlink select module1
 airlink mode 11b+g+n
 airlink channel auto bandwidth=40 primary=lower
airlink enable module1
airlink select module2
 airlink mode 11a+n+ac
 airlink channel auto bandwidth=80 primary=lower primary40=lower
airlink enable module2
dns server (DNSサーバー or GW のIPアドレス)
certificate generate ca "WLX402 RADIUS"
radiusd use on
radiusd client auto auth off
radiusd client 192.168.100.10 abcde
radiusd user device1 password1 auth=eap-tls
schedule at 1 startup * ntpdate ntp.nict.jp syslog
httpd host any
wlan-controller role controller-ap
wlan-controller bind vlan auto
wlan-controller select 1
 airlink enable module1
 airlink enable module2
wlan-controller select 1 1
 wlan-controller member-ap 00:a0:de:c1:d0:80


◎SWX2300
!
ip domain-lookup
!
spanning-tree mode mstp
aaa authentication dot1x
!
radius-server host 192.168.100.240 key abcde
!
spanning-tree mst configuration
  region Default
!
interface ge1
 switchport
 switchport mode access
 no shutdown
!
interface ge2
 switchport
 switchport mode access
 no shutdown
 dot1x port-control auto
 auth host-mode multi-host
!
(中略:ge3〜ge8はge2と同様の設定)
!
interface vlan0.1
 no shutdown
 ip address 192.168.100.10/24
!
clock timezone JST
!
service http-server
http-server interface vlan0.1
service http-proxy
!
service telnet-server
telnet-server interface vlan0.1
!
line con 0
line vty 0 7
!
end

関連文書