ポート認証機能


1 機能概要

ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。


2 用語の定義

IEEE 802.1X

LAN接続時に使用する認証規格。

オーセンティケータ

LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

サプリカント

オーセンティケータに接続して認証を受ける機器またはソフトウェア。

認証サーバー

オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。

EAP (Extended authentication protocol)

PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。

EAP over LAN (EAPOL)

EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。

EAP over Radius

EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。

EAP-MD5 (Message digest algorithm 5)

ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。

EAP-TLS (Transport Layer Security)

サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。

EAP-TTLS (Tunneled TLS)

EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。

EAP-PEAP (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。


3 機能詳細

ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式、MAC認証方式、およびWeb認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。

本製品は、認証サーバーとしてRADIUSサーバーを想定します。

また本製品のポート認証機能には以下の制限がありますので、ご注意ください。

3.1 IEEE 802.1X認証

IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。

本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行うオーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。

本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。

使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。

IEEE 802.1X認証の基本的な手順は以下の図のようになります。

サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。

認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

3.2 MAC認証

MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。

MAC認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスをユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを登録しておく必要があります。

本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。

3.3 Web認証

Web認証は、サプリカントのWebブラウザからユーザー名とパスワードを入力することでユーザーを認証する機能です。

Webブラウザとスイッチ間の通信方式はHTTPに対応しています。
Web認証ではHTTPでの通信を使って認証を行う関係上、認証前であっても本製品とサプリカント間でIP通信ができる必要があります。
DHCPサーバーからIPアドレスをサプリカントに割り当てるか、サプリカント側で静的にIPアドレスを指定してください。

WEB認証はマルチサプリカントモードでのみ動作します。
また、ゲストVLANとの併用はできません。

WEB認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントのWebブラウザで入力されたユーザー名およびパスワードをRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。

3.3.1 サプリカント側の操作

サプリカントのWebブラウザからIPv4 TCP80番ポート宛のアクセスが行われたとき、以下のような認証画面を表示します。

認証を受けるにはユーザー名とパスワードを入力して「ログイン」ボタンをクリックしてください。

FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
また認証に連続して3回失敗すると一時的に認証が制限されます。

3.3.2 認証画面のカスタマイズ

Web認証画面の表示内容は編集したHTMLファイル、CSSファイル、および画像ファイルを本製品にコピーすることで下記部分をカスタマイズすることができます。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外です。

  1. ヘッダー
    ヘッダー部分は、header.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。
  2. 画像ファイル
    用意した画像ファイルを本製品にコピーすることで画像ファイルの変更が可能です。
  3. 入力フォーム
    入力フォームの見た目はstyle.cssによって決定されます。文字列などの変更はできませんが、style.cssを編集して本製品にコピーすることで入力フォームのデザインを変更できます。
  4. フッター
    フッター部分は、footer.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。

以下ではWeb認証画面の変更方法について説明します。

3.3.2.1 認証画面カスタマイズ用ファイルの準備

Web認証画面のカスタマイズに使うファイルは以下のとおりです。

header.html、footer.html、およびstyle.cssはWebブラウザーを使ってスイッチから入手できます。
たとえば、スイッチのIPアドレスが192.168.100.240だった場合、Web認証が有効なポートに接続されたPCをから以下のURLでファイルにアクセスできるので、ブラウザーの「名前を付けて保存」などを使ってPCに保存してください。

保存の際には拡張子を「.html」または「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
画像ファイルlogo.pngについては、PC上に任意の画像ファイルを用意してlogo.pngというファイル名でで保存してください。
ファイルサイズの上限は1MBです。

3.3.2.2 認証画面カスタマイズ用ファイルの編集

PC上で前述のHTMLファイルとCSSファイルを適宜編集します。
各ファイルはHTML、CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。

3.3.2.3 認証画面カスタマイズ用ファイルの設置

各ファイルの準備ができたら、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置してください。
ファイル設置後は copy auth-web custom-file コマンド、または copy startup-config コマンドでスイッチに認証画面カスタマイズ用のファイルをコピーしてください。

起動中のCONFIGが保存されているフォルダの配下に下記のファイルが存在する場合、これらを使ってWeb認証画面が生成されます。
起動中のCONFIG番号は show environment コマンドで確認することができます。
また、SDカード内のCONFIGを使って起動している場合でも、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置することでWeb認証画面のカスタマイズが可能です。

編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスして表示を確認してください。
さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。

3.3.2.4 カスタマイズのとりやめ

認証画面のカスタマイズをやめたい場合は、起動中のCONFIGが保存されているフォルダからカスタマイズ用のファイルを削除してください。オリジナルの認証画面に戻ります。
ファイルの削除は erase auth-web custom-file コマンド、または erase startup-config コマンドで行うことができます。
ただし、 erase startup-config コマンドではconfig.txt等も削除されるため、コマンド実施前にconfig.txt等をSDカード等にコピーしてバックアップをとるようにしてください。

3.4 認証機能の併用

本製品では同一ポート上でIEEE802.1X認証、MAC認証、Web認証をそれぞれ併用することができます。
併用時の認証はIEEE 802.1X認証が優先して行われます。
Web認証は併用中の認証方式がRADIUSサーバーとの通信中でなければいつでも認証にトライすることができます。

複数の認証方式が併用されている場合の動作は以下のようになります


note

3.5 ホストモード

本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。

本製品では、ホストモードして以下を選択できます。

3.6 認証VLAN

本製品のIEEE802.1X認証、MAC認証、および、WEB認証で、認証VLANに対応します。
認証VLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。

上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの所属VLANは10として、VLAN 10上で通信を許可します。

RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。

認証VLANを利用する場合、各ホストモードで以下の動作となります。

3.7 未認証・認証失敗ポートのVLAN

本製品のIEEE802,1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを特定のVLANに割り当てることができます。
マルチサプリカントモードの場合は、サプリカント単位で指定することができます。

上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。

3.8 EAPパススルー機能

EAPパススルーの有効/無効を切り替え、EAPOLフレームの転送可否を設定することができます。
802.1X認証機能が有効なインターフェースについては認証機能を優先し、EAPパススルーの設定は適用されません。

3.9 RADIUSサーバーに通知する属性値

RADIUSサーバーに、NAS-Identifier属性値を通知することができます。
auth radius attribute nas-identifier コマンドで設定した文字列を、NAS-Identifier属性値としてRADIUSサーバーへ通知します。


4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。


5 コマンド実行例

5.1 IEEE 802.1X認証の設定

IEEE 802.1X認証を使用できるように設定します。

  1. ゲストVLAN用にVLAN #10 を定義します。
    Yamaha(config)#vlan database
    Yamaha(config-vlan)#vlan 10               ... (VLAN #10の定義)
    Yamaha(config-vlan)#exit
    
  2. システム全体で、IEEE 802.1X認証機能を有効にします。
    Yamaha(config)#aaa authentication dot1x
    
  3. LANポート #1 で、IEEE 802.1X認証の設定を行います。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#dot1x port-control auto         ... (IEEE 802.1X認証の動作モードをautoにする)
    Yamaha(config-if)#auth host-mode multi-supplicant ... (ホストモードをマルチサプリカントモードにする)
    Yamaha(config-if)#auth guest-vlan 10              ... (ゲストVLANをVLAN #10にする)
    Yamaha(config-if)#exit
    
  4. RADIUSサーバーの設定を行います。
    Yamaha(config)#radius-server host 192.168.100.101 key test1
                         (ホストを192.168.100.101、共有パスワードを"test1"にする)
  5. RADIUSサーバー設定情報を確認します。
    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
    
  6. ポート認証情報を確認します。
    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Enabled
      MAC-Based Authentication         : Disabled
      WEB-Based Authentication         : Disabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:auto)
        MAC Authentication      : Disabled (configured:disable)
        WEB Authentication      : Enabled (configured:disable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Enabled (VLAN ID:10)
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured
    

5.2 MAC認証の設定

MAC認証を使用できるように設定します。

  1. システム全体で、MAC認証機能を有効にします。
    Yamaha(config)#aaa authentication auth-mac
    
  2. LANポート #1 で、MAC認証の設定を行います。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#auth-mac enable                  ... (MAC認証を有効にする)
    Yamaha(config-if)#auth host-mode multi-supplicant  ... (ホストモードをマルチサプリカントモードにする)
    Yamaha(config-if)#exit
    
  3. RADIUSサーバーの設定を行います。
    Yamaha(config)#radius-server host 192.168.100.101 key test1
                         (ホストを192.168.100.101、共有パスワードを"test1"にする)
    
  4. RADIUSサーバー設定情報を確認します。
    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
    
  5. ポート認証情報を確認します。
    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Disabled
      MAC-Based Authentication         : Enabled
      WEB-Based Authentication         : Disabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:-)
        MAC Authentication      : Enabled (configured:enable)
        WEB Authentication      : Disabled (configured:disable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Disabled
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured
        Authentication status   : Unauthorized
    

5.3 Web認証の設定

Web認証を使用できるように設定します。

  1. IP通信を行うためオーセンティケータにIPアドレスを設定します。
    Yamaha(config)#interface valn1
    Yamaha(config-if)#ip address 192.168.100.240/24
    Yamaha(config-if)#exit
    
  2. システム全体でWeb認証機能を有効にします。
    Yamaha(config)#aaa authentication auth-web
    
  3. LANポート #1 で、Web認証の設定を行います。
    Yamaha(config)#interface port1.1
    Yamaha(config-if)#auth host-mode multi-supplicant     ... (ホストモードをマルチサプリカントモードにする)
    Yamaha(config-if)#auth-web enable                     ... (Web認証を有効にする)
    Yamaha(config-if)#exit
    
  4. RADIUSサーバーの設定を行います。
    Yamaha(config)#radius-server host 192.168.100.101 key test1
                         (ホストを192.168.100.101、共有パスワードを"test1"にする)
    
  5. RADIUSサーバー設定情報を確認します。
    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
    
  6. ポート認証情報を確認します。
    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Disabled
      MAC-Based Authentication         : Disabled
      WEB-Based Authentication         : Enabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:-)
        MAC Authentication      : Disabled (configured:disable)
        WEB Authentication      : Enabled (configured:enable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Disabled
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured
    

6 注意事項

マルチサプリカントモードでダイナミックVLANを使用する場合、内部リソースを消費します。
このリソースは、ACL機能やQoS機能でも使用しており、設定によっては不足する場合があります。
リソースが不足している場合は、認証自体に成功しても通信可能にならないため注意が必要です。


7 関連文書

トップへ戻る