ポート認証機能

• 1 機能概要
• 2 用語の定義
  • IEEE 802.1X
  • オーセンティケータ
  • サプリカント
  • 認証サーバー
  • EAP (Extended authentication protocol)
  • EAP over LAN (EAPOL)
  • EAP over Radius
  • EAP-MD5 (Message digest algorithm 5)
  • EAP-TLS (Transport Layer Security)
  • EAP-TTLS (Tunneled TLS)
  • EAP-PEAP (Protected EAP)
• 3 機能詳細
  • 3.1 IEEE 802.1X認証
  • 3.2 MAC認証
  • 3.3 ホストモード
  • 3.4 認証VLAN
  • 3.5 未認証・認証失敗ポートのVLAN
• 4 関連コマンド
• 5 コマンド実行例
  • 5.1 IEEE 802.1X認証の設定
  • 5.2 MAC認証の設定
• 6 注意事項
• 7 関連文書

1 機能概要

ポート認証機能は、LAN/SFPポート単位で機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。

2 用語の定義

IEEE 802.1X

LAN接続時に使用する認証規格。

オーセンティケータ

LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

サプリカント

オーセンティケータに接続して認証を受ける機器またはソフトウェア。

認証サーバー

オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。

EAP (Extended authentication protocol)

PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。

EAP over LAN (EAPOL)

EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。

EAP over Radius

EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。

EAP-MD5 (Message digest algorithm 5)

ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。

EAP-TLS (Transport Layer Security)

サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。

EAP-TTLS (Tunneled TLS)

EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。

EAP-PEAP (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。

3 機能詳細

ポート認証機能の動作仕様について以下に示します。
本L2スイッチは、ポート認証機能としてIEEE 802.1X認証方式とMAC認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。

• ポート認証方式の特徴

  	MAC認証	IEEE 802.1X認証
  認証要素	MACアドレス	ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP) 電子証明書 (EAP-TLS)
  認証対象(サプリカント)	機器	機器またはユーザー
  サプリカントに必要な機能	なし	IEEE 802.1X認証機能
  認証時の操作	なし	ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP)

本L2スイッチは、認証サーバーとしてRADIUSサーバーを想定します。

また本L2スイッチのポート認証機能には以下の制限がありますので、ご注意ください。

• IEEE 802.1X認証方式とMAC認証方式は併用で動作させることはできません。
• 論理インターフェース(スタティック、LACP)上で使用することはできません。
• トランクポート上で使用することはできません。
• プライベートVLANポート上で使用することはできません。
• ポート認証機能が有効な場合、認証結果に応じてスパニングツリーのトポロジーチェンジが発生します。
  これを回避したい場合、サプリカントを接続する認証ポートでspanning-tree edgeportを設定してください。

3.1 IEEE 802.1X認証

IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。

本L2スイッチは、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行う
オーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。

本L2スイッチは、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。

• 各認証方式の特徴

  	クライアント認証方法	サーバー認証方法	導入しやすさ	安全度
  EAP-MD5	ユーザー名、パスワード入力	認証しない	簡単	低
  EAP-TLS	クライアント証明書	サーバー証明書	複雑	高
  EAP-TTLS	ユーザー名、パスワード入力	サーバー証明書	中	中
  EAP-PEAP	ユーザー名、パスワード入力	サーバー証明書	中	中

使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。

IEEE 802.1X認証の基本的な手順は以下の図のようになります。

• IEEE 802.1X認証の基本的な手順

サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。

認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、
サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

3.2 MAC認証

MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。

MAC認証の基本的な手順は以下の図のようになります。

本L2スイッチは、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスを
ユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本L2スイッチとRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを
登録しておく必要があります。

• XX-XX-XX-XX-XX-XX (ハイフン区切り)
• XX:XX:XX:XX:XX:XX (コロン区切り)
• XXXXXXXXXXXX (区切りなし)

本L2スイッチでは、auth-mac auth-userコマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。

3.3 ホストモード

本L2スイッチでは、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、特定のポートで複数のサプリカントの通信をどのように許可するかを示すものです。

本L2スイッチでは、ホストモードして以下を選択できます。

• シングルホストモード
  1つのLAN/SFPポートにつき、1サプリカントのみ通信を許可するモード。
  最初に認証成功したサプリカントのみ、通信を許可します。

• マルチホストモード
  1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
  あるサプリカントが認証に成功して通信が許可されると、同じLAN/SFPポートに接続している他のサプリカントも同様に、
  認証に成功したサプリカントと同じVLAN上で通信を許可します。

3.4 認証VLAN

本L2スイッチのポート認証機能では、認証VLANに対応します。
認証VLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。

上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの
所属VLANは10として、VLAN 10上で通信を許可します。

RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。

• Tunnel-Type = VLAN (13)
• Tunnel-Medium-Type = IEEE-802 (6)
• Tunnel-Private-Group-ID = VLAN ID

認証VLANを利用する場合、各ホストモードで以下の動作となります。

• シングルホストモード
  認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。

• マルチホストモード
  認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
  同じポートに接続されたその他のサプリカントも同じVLAN上で通信を許可します。

3.5 未認証・認証失敗ポートのVLAN

本L2スイッチのポート認証機能では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを
特定のVLANに割り当てることができます。

上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。

4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

• 関連コマンド一覧

  操作項目	操作コマンド
  システム全体でのIEEE 802.1X認証機能の設定	aaa authentication dot1x
  システム全体でのMAC認証機能の設定	aaa authentication auth-mac
  IEEE 802.1X認証機能の動作モード設定	dot1x port-control
  IEEE 802.1X認証の未認証ポートでの転送制御の設定	dot1x control-direction
  EAPOLパケットの再送回数の設定	dot1x max-auth-req
  MAC認証機能の設定	auth-mac enable
  MAC認証時のMACアドレス形式の設定	auth-mac auth-user
  ホストモードの設定	auth host-mode
  再認証の設定	auth reauthentication
  ダイナミックVLANの設定	auth dynamic-vlan-creation
  ゲストVLANの設定	auth guest-vlan
  認証失敗後の抑止期間の設定	auth timeout quiet-period
  再認証間隔の設定	auth timeout reauth-period
  RADIUSサーバー全体の応答待ち時間の設定	auth timeout server-timeout
  サプリカント応答待ち時間の設定	auth timeout supp-timeout
  RADIUSサーバーホストの設定	radius-server host
  RADIUSサーバー1台あたりの応答待ち時間の設定	radius-server timeout
  RADIUSサーバーへの要求再送回数の設定	radius-server retransmit
  RADIUSサーバー共有パスワードの設定	radius-server key
  RADIUSサーバー使用抑制時間の設定	radius-server deadtime
  ポート認証情報の表示	show auth status
  RADIUSサーバー設定情報の表示	show radius-server

5 コマンド実行例

5.1 IEEE 802.1X認証の設定

IEEE 802.1X認証を使用できるように設定します。

• LANポート #1 は、サプリカントを接続する認証ポートとします。
• ホストモード は マルチホストモード とします。
• ゲストVLAN をVLAN #10 とします。
• 接続するRADIUSサーバーは 192.168.100.100 とします。

1. ゲストVLAN用にVLAN #10 を定義します。
   

   L2SW(config)#vlan database
   L2SW(config-vlan)#vlan 10               ... (VLAN #10の定義)
   L2SW(config-vlan)#exit
   

2. システム全体で、IEEE 802.1X認証機能を有効にします。
   

   L2SW(config)#aaa authentication dot1x
   

3. LANポート #1 で、IEEE 802.1X認証の設定を行います。
   

   L2SW(config)#interface ge1
   L2SW(config-if)#dot1x port-control auto    ... (IEEE 802.1X認証の動作モードをautoにする)
   L2SW(config-if)#auth host-mode multi-host  ... (ホストモードをマルチホストモードにする)
   L2SW(config-if)#auth guest-vlan 10         ... (ゲストVLANをVLAN #10にする)
   L2SW(config-if)#exit
   

4. RADIUSサーバーの設定を行います。
   

   L2SW(config)#radius-server host 192.168.100.100 key abcde  ... (ホストを192.168.100.100 共有パスワードを"abcde"にする)
   

5. RADIUSサーバー設定情報を確認します。
   

   L2SW#show radius-server
   Server Host : 192.168.100.100
     Authentication Port : 1812
     Secret Key          : abcde
     Timeout             : 5 sec
     Retransmit Count    : 3
     Deadtime            : 0 min
   

6. ポート認証情報を確認します。
   

   L2SW#show auth status
   

5.2 MAC認証の設定

MAC認証を使用できるように設定します。

• LANポート #1 は、サプリカントを接続する認証ポートとします。
• ホストモード は マルチホストモード とします。
• 接続するRADIUSサーバーは 192.168.100.101 とします。

1. システム全体で、MAC認証機能を有効にします。
   

   L2SW(config)#aaa authentication auth-mac
   

2. LANポート #1 で、MAC認証の設定を行います。
   

   L2SW(config)#interface ge1
   L2SW(config-if)#auth-mac enable                  ... (MAC認証を有効にする)
   L2SW(config-if)#auth host-mode multi-host        ... (ホストモードをマルチホストモードにする)
   L2SW(config-if)#exit
   

3. RADIUSサーバーの設定を行います。
   

   L2SW(config)#radius-server host 192.168.100.101 auth-port 1645 key test1
                        (ホストを192.168.100.101、認証用UDPポートを1645、共有パスワードを"test1"にする)
   

4. RADIUSサーバー設定情報を確認します。
   

   L2SW#show radius-server
   Server Host : 192.168.100.101
     Authentication Port : 1645
     Secret Key          : test1
     Timeout             : 5 sec
     Retransmit Count    : 3
     Deadtime            : 0 min
   

5. ポート認証情報を確認します。
   

   L2SW#show auth status
   

6 注意事項

ポート認証機能は、Rev.2.00.13 から使用することができます。
本バージョンより古いバージョンでは使用できませんので、注意ください。

7 関連文書

• L2スイッチング機能 : VLAN