ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。
LAN接続時に使用する認証規格。
LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。
オーセンティケータに接続して認証を受ける機器またはソフトウェア。
オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。
PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。
EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。
EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。
ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。
サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。
EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。
動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式、MAC認証方式、およびWeb認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。
MAC認証 | IEEE 802.1X認証 | Web認証 | |
---|---|---|---|
認証要素 | MACアドレス | ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP) | ユーザー名とパスワード |
認証対象(サプリカント) | 機器 | 機器またはユーザー | 機器またはユーザー |
サプリカントに必要な機能 | なし | IEEE 802.1X認証機能 | Web ブラウザ |
認証時の操作 | なし | ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP) | ユーザー名とパスワード入力 |
本製品は、認証サーバーとしてRADIUSサーバーを想定します。
また本製品のポート認証機能には以下の制限がありますので、ご注意ください。
IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。
本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行う
オーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。
本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。
クライアント認証方法 | サーバー認証方法 | 導入しやすさ | 安全度 | |
---|---|---|---|---|
EAP-MD5 | ユーザー名、パスワード入力 | 認証しない | 簡単 | 低 |
EAP-TLS | クライアント証明書 | サーバー証明書 | 複雑 | 高 |
EAP-TTLS | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
EAP-PEAP | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。
IEEE 802.1X認証の基本的な手順は以下の図のようになります。
サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。
認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、
サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。
MAC認証の基本的な手順は以下の図のようになります。
本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスを
ユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。
認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを
登録しておく必要があります。
本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。
Web認証は、サプリカントのWebブラウザからユーザー名とパスワードを入力することでユーザーを認証する機能です。
Webブラウザとスイッチ間の通信方式はHTTPに対応しています。
Web認証ではHTTPでの通信を使って認証を行う関係上、認証前であっても本製品とサプリカント間でIP通信ができる必要があります。
DHCPサーバーからIPアドレスをサプリカントに割り当てるか、サプリカント側で静的にIPアドレスを指定してください。
WEB認証はマルチサプリカントモードでのみ動作します。
またゲストVLANやダイナミックVLANとの併用はできません。
WEB認証の基本的な手順は以下の図のようになります。
本製品は、サプリカントのWebブラウザで入力されたユーザー名およびパスワードをRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。
認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
サプリカントのWebブラウザからIPv4 TCP80番ポート宛のアクセスが行われたとき、以下のような認証画面を表示します。
認証を受けるにはユーザー名とパスワードを入力して「ログイン」ボタンをクリックしてください。
FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
また認証に連続して3回失敗すると一時的に認証が制限されます。
Web認証画面の表示内容は編集したCSSファイルや画像ファイルを本製品にコピーすることで一定のカスタマイズが可能です。
以下ではWeb認証画面のカスタマイズ方法を説明します。
Web認証画面のカスタマイズに使うファイルは以下のとおりです。
style.cssはWebブラウザーを使ってスイッチから入手できます。
たとえば、スイッチのIPアドレスが192.168.100.240だった場合、Web認証が有効なポートに接続されたPCをから以下のURLで
ファイルにアクセスできるので、ブラウザーの「名前を付けて保存」などを使ってPCに保存してください。
保存の際には拡張子を「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
画像ファイルlogo.pngについては、PC上に任意の画像ファイルを用意してlogo.pngというファイル名でで保存してください。
PC上で前述のCSSファイルを適宜編集します。
CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。
各ファイルの準備ができたら、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置してください。
ファイル設置後は copy auth-web custom-file コマンド、または copy startup-config コマンドでスイッチに認証画面
カスタマイズ用のファイルをコピーしてください。
起動中のCONFIGが保存されているフォルダの配下に下記のファイルが存在する場合、これらを使ってWeb認証画面が生成されます。
起動中のCONFIG番号は show environment コマンドで確認することができます。
また、SDカード内のCONFIGを使って起動している場合でも、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを
設置することでWeb認証画面のカスタマイズが可能です。
編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスして表示を確認してください。
さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。
認証画面のカスタマイズをやめたい場合は、起動中のCONFIGが保存されているフォルダからカスタマイズ用のファイルを削除
してください。オリジナルの認証画面に戻ります。
ファイルの削除は erase auth-web custom-file コマンド、または erase startup-config コマンドで行うことができます。
ただし、 erase startup-config コマンドではconfig.txt等も削除されるため、コマンド実施前にconfig.txt等をSDカード等にコピー
してバックアップをとるようにしてください。
本製品では同一ポート上でIEEE802.1X認証、MAC認証、Web認証をそれぞれ併用することができます。
併用時の認証はIEEE 802.1X認証が優先して行われます。
Web認証は併用中の認証方式がRADIUSサーバーとの通信中でなければいつでも認証にトライすることができます。
複数の認証方式が併用されている場合の動作は以下のようになります
本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。
本製品では、ホストモードして以下を選択できます。
本製品のIEEE802.1X認証とMAC認証では、認証VLANに対応します。
認証VLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。
上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの
所属VLANは10として、VLAN 10上で通信を許可します。
RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。
認証VLANを利用する場合、各ホストモードで以下の動作となります。
本製品のIEEE802,1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを
特定のVLANに割り当てることができます。
上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
操作項目 | 操作コマンド |
---|---|
システム全体でのIEEE 802.1X認証機能の設定 | aaa authentication dot1x |
システム全体でのMAC認証機能の設定 | aaa authentication auth-mac |
システム全体でのWeb認証機能の設定 | aaa authentication auth-web |
IEEE 802.1X認証機能の動作モード設定 | dot1x port-control |
IEEE 802.1X認証の未認証ポートでの転送制御の設定 | dot1x control-direction |
EAPOLパケットの再送回数の設定 | dot1x max-auth-req |
MAC認証機能の設定 | auth-mac enable |
MAC認証時のMACアドレス形式の設定 | auth-mac auth-user |
Web認証機能の設定 | auth-web enable |
Web認証成功後のリダイレクト先URLの設定 | auth-web redirect-url |
Web認証画面カスタマイズ用ファイルのコピー | copy auth-web custom-file |
Web認証画面カスタマイズ用ファイルの削除 | erase auth-web custom-file |
ホストモードの設定 | auth host-mode |
再認証の設定 | auth reauthentication |
ダイナミックVLANの設定 | auth dynamic-vlan-creation |
ゲストVLANの設定 | auth guest-vlan |
認証失敗後の抑止期間の設定 | auth timeout quiet-period |
再認証間隔の設定 | auth timeout reauth-period |
RADIUSサーバー全体の応答待ち時間の設定 | auth timeout server-timeout |
サプリカント応答待ち時間の設定 | auth timeout supp-timeout |
RADIUSサーバーホストの設定 | radius-server host |
RADIUSサーバー1台あたりの応答待ち時間の設定 | radius-server timeout |
RADIUSサーバーへの要求再送回数の設定 | radius-server retransmit |
RADIUSサーバー共有パスワードの設定 | radius-server key |
RADIUSサーバー使用抑制時間の設定 | radius-server deadtime |
ポート認証情報の表示 | show auth status |
RADIUSサーバー設定情報の表示 | show radius-server |
サプリカント情報の表示 | show auth supplicant |
統計情報の表示 | show auth statistics |
統計情報のクリア | clear auth statistics |
認証状態のクリア | clear auth state |
認証状態をクリアする時刻の設定(システム) | auth clear-state time |
認証状態をクリアする時刻の設定(インターフェース) | auth clear-state time |
IEEE 802.1X認証を使用できるように設定します。
Yamaha(config)#vlan database Yamaha(config-vlan)#vlan 10 ... (VLAN #10の定義) Yamaha(config-vlan)#exit
Yamaha(config)#aaa authentication dot1x
Yamaha(config)#interface port1.1 Yamaha(config-if)#dot1x port-control auto ... (IEEE 802.1X認証の動作モードをautoにする) Yamaha(config-if)#auth host-mode multi-host ... (ホストモードをマルチホストモードにする) Yamaha(config-if)#auth guest-vlan 10 ... (ゲストVLANをVLAN #10にする) Yamaha(config-if)#exit
Yamaha(config)#radius-server host 192.168.100.101 auth-port 1645 key test1 (ホストを192.168.100.101、認証用UDPポートを1645、共有パスワードを"test1"にする)
Yamaha#show radius-server Server Host : 192.168.100.101 Authentication Port : 1645 Secret Key : test1 Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
Yamaha#show auth status [System information] 802.1X Port-Based Authentication : Enabled MAC-Based Authentication : Disabled WEB-Based Authentication : Disabled Clear-state time : Not configured Redirect URL : Not configured RADIUS server address : 192.168.100.101 (port:1645) [Interface information] Interface port1.1 (up) 802.1X Authentication : Force Authorized (configured:auto) MAC Authentication : Disabled (configured:disable) WEB Authentication : Enabled (configured:disable) Host mode : Multi-host Dynamic VLAN creation : Disabled Guest VLAN : Enabled (VLAN ID:10) Reauthentication : Disabled Reauthentication period : 3600 sec MAX request : 2 times Supplicant timeout : 30 sec Server timeout : 30 sec Quiet period : 60 sec Controlled directions : In (configured:both) Protocol version : 2 Clear-state time : Not configured
MAC認証を使用できるように設定します。
Yamaha(config)#aaa authentication auth-mac
Yamaha(config)#interface port1.1 Yamaha(config-if)#auth-mac enable ... (MAC認証を有効にする) Yamaha(config-if)#auth host-mode multi-host ... (ホストモードをマルチホストモードにする) Yamaha(config-if)#exit
Yamaha(config)#radius-server host 192.168.100.101 auth-port 1645 key test1 (ホストを192.168.100.101、認証用UDPポートを1645、共有パスワードを"test1"にする)
Yamaha#show radius-server Server Host : 192.168.100.101 Authentication Port : 1645 Secret Key : test1 Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
Yamaha#show auth status [System information] 802.1X Port-Based Authentication : Disabled MAC-Based Authentication : Enabled WEB-Based Authentication : Disabled Clear-state time : Not configured Redirect URL : Not configured RADIUS server address : 192.168.100.101 (port:1645) [Interface information] Interface port1.1 (up) 802.1X Authentication : Force Authorized (configured:-) MAC Authentication : Enabled (configured:enable) WEB Authentication : Disabled (configured:disable) Host mode : Multi-host Dynamic VLAN creation : Disabled Guest VLAN : Disabled Reauthentication : Disabled Reauthentication period : 3600 sec MAX request : 2 times Supplicant timeout : 30 sec Server timeout : 30 sec Quiet period : 60 sec Controlled directions : In (configured:both) Protocol version : 2 Clear-state time : Not configured Authentication status : Unauthorized
Web認証を使用できるように設定します。
Yamaha(config)#interface valn1 Yamaha(config-if)#ip address 192.168.100.240/24 Yamaha(config-if)#exit
Yamaha(config)#aaa authentication auth-web
Yamaha(config)#interface port1.1 Yamaha(config-if)#auth host-mode multi-supplicant ... (ホストモードをマルチサプリカントモードにする) Yamaha(config-if)#auth-web enable ... (Web認証を有効にする) Yamaha(config-if)#exit
Yamaha(config)#radius-server host 192.168.100.101 auth-port 1645 key test1 (ホストを192.168.100.101、認証用UDPポートを1645、共有パスワードを"test1"にする)
Yamaha#show radius-server Server Host : 192.168.100.101 Authentication Port : 1645 Secret Key : absde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
Yamaha#show auth status [System information] 802.1X Port-Based Authentication : Disabled MAC-Based Authentication : Disabled WEB-Based Authentication : Enabled Clear-state time : Not configured Redirect URL : Not configured RADIUS server address : 192.168.100.101 (port:1645) [Interface information] Interface port1.1 (up) 802.1X Authentication : Force Authorized (configured:-) MAC Authentication : Disabled (configured:disable) WEB Authentication : Enabled (configured:enable) Host mode : Multi-supplicant Dynamic VLAN creation : Disabled Guest VLAN : Disabled Reauthentication : Disabled Reauthentication period : 3600 sec MAX request : 2 times Supplicant timeout : 30 sec Server timeout : 30 sec Quiet period : 60 sec Controlled directions : In (configured:both) Protocol version : 2 Clear-state time : Not configured
特になし