ポート認証機能は、LAN/SFPポート単位で機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。
LAN接続時に使用する認証規格。
LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。
オーセンティケータに接続して認証を受ける機器またはソフトウェア。
オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。
PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。
EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。
EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。
ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。
サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。
EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。
動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
ポート認証機能の動作仕様について以下に示します。
本L2スイッチは、ポート認証機能としてIEEE 802.1X認証方式とMAC認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。
MAC認証 | IEEE 802.1X認証 | |
---|---|---|
認証要素 | MACアドレス | ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP) 電子証明書 (EAP-TLS) |
認証対象(サプリカント) | 機器 | 機器またはユーザー |
サプリカントに必要な機能 | なし | IEEE 802.1X認証機能 |
認証時の操作 | なし | ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP) |
本L2スイッチは、認証サーバーとしてRADIUSサーバーを想定します。
また本L2スイッチのポート認証機能には以下の制限がありますので、ご注意ください。
IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。
本L2スイッチは、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行う
オーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。
本L2スイッチは、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。
クライアント認証方法 | サーバー認証方法 | 導入しやすさ | 安全度 | |
---|---|---|---|---|
EAP-MD5 | ユーザー名、パスワード入力 | 認証しない | 簡単 | 低 |
EAP-TLS | クライアント証明書 | サーバー証明書 | 複雑 | 高 |
EAP-TTLS | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
EAP-PEAP | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。
IEEE 802.1X認証の基本的な手順は以下の図のようになります。
サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。
認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、
サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。
MAC認証の基本的な手順は以下の図のようになります。
本L2スイッチは、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスを
ユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本L2スイッチとRADIUSサーバー間の認証方式は、EAP-MD5を使用します。
認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを
登録しておく必要があります。
本L2スイッチでは、auth-mac auth-userコマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。
本L2スイッチでは、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、特定のポートで複数のサプリカントの通信をどのように許可するかを示すものです。
本L2スイッチでは、ホストモードして以下を選択できます。
本L2スイッチのポート認証機能では、認証VLANに対応します。
認証VLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。
上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの
所属VLANは10として、VLAN 10上で通信を許可します。
RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。
認証VLANを利用する場合、各ホストモードで以下の動作となります。
本L2スイッチのポート認証機能では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを
特定のVLANに割り当てることができます。
上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
システム全体でのIEEE 802.1X認証機能の設定 | aaa authentication dot1x |
システム全体でのMAC認証機能の設定 | aaa authentication auth-mac |
IEEE 802.1X認証機能の動作モード設定 | dot1x port-control |
IEEE 802.1X認証の未認証ポートでの転送制御の設定 | dot1x control-direction |
EAPOLパケットの再送回数の設定 | dot1x max-auth-req |
MAC認証機能の設定 | auth-mac enable |
MAC認証時のMACアドレス形式の設定 | auth-mac auth-user |
ホストモードの設定 | auth host-mode |
再認証の設定 | auth reauthentication |
ダイナミックVLANの設定 | auth dynamic-vlan-creation |
ゲストVLANの設定 | auth guest-vlan |
認証失敗後の抑止期間の設定 | auth timeout quiet-period |
再認証間隔の設定 | auth timeout reauth-period |
RADIUSサーバー全体の応答待ち時間の設定 | auth timeout server-timeout |
サプリカント応答待ち時間の設定 | auth timeout supp-timeout |
RADIUSサーバーホストの設定 | radius-server host |
RADIUSサーバー1台あたりの応答待ち時間の設定 | radius-server timeout |
RADIUSサーバーへの要求再送回数の設定 | radius-server retransmit |
RADIUSサーバー共有パスワードの設定 | radius-server key |
RADIUSサーバー使用抑制時間の設定 | radius-server deadtime |
ポート認証情報の表示 | show auth status |
RADIUSサーバー設定情報の表示 | show radius-server |
IEEE 802.1X認証を使用できるように設定します。
L2SW(config)#vlan database L2SW(config-vlan)#vlan 10 ... (VLAN #10の定義) L2SW(config-vlan)#exit
L2SW(config)#aaa authentication dot1x
L2SW(config)#interface ge1 L2SW(config-if)#dot1x port-control auto ... (IEEE 802.1X認証の動作モードをautoにする) L2SW(config-if)#auth host-mode multi-host ... (ホストモードをマルチホストモードにする) L2SW(config-if)#auth guest-vlan 10 ... (ゲストVLANをVLAN #10にする) L2SW(config-if)#exit
L2SW(config)#radius-server host 192.168.100.100 key abcde ... (ホストを192.168.100.100 共有パスワードを"abcde"にする)
L2SW#show radius-server Server Host : 192.168.100.100 Authentication Port : 1812 Secret Key : abcde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
L2SW#show auth status
MAC認証を使用できるように設定します。
L2SW(config)#aaa authentication auth-mac
L2SW(config)#interface ge1 L2SW(config-if)#auth-mac enable ... (MAC認証を有効にする) L2SW(config-if)#auth host-mode multi-host ... (ホストモードをマルチホストモードにする) L2SW(config-if)#exit
L2SW(config)#radius-server host 192.168.100.101 auth-port 1645 key test1 (ホストを192.168.100.101、認証用UDPポートを1645、共有パスワードを"test1"にする)
L2SW#show radius-server Server Host : 192.168.100.101 Authentication Port : 1645 Secret Key : test1 Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
L2SW#show auth status
ポート認証機能は、Rev.2.00.13 から使用することができます。
本バージョンより古いバージョンでは使用できませんので、注意ください。