![[基本設定]-[コントローラー設定]](./image/wlx402_controller_ap.png "[基本設定]-[コントローラー設定]")
| 作成日 | 2017/June/6 |
| 最終変更日 | Tuesday, 15-Oct-2019 15:21:42 JST |
WLX402内蔵RadiusサーバーをSWX2300ポート認証(IEEE802.1X)用として使用することで、WLX402に無線接続した端末だけでなく、SWX2300に有線接続した端末に対しても認証を行うことが可能になります。
PEAPによる認証方式(サーバー証明書なし)と、EAP-TLSによる認証 (サーバー証明書あり)のそれぞれの場合の設定例を紹介します。
インターネット
|
(GW) 192.168.100.1/24
|
+------ [DHCP Server]
|
+------ [WLX402(Radius Server)] 192.168.100.240/24
|
+------ [SWX2300-8G(Authenticator)] 192.168.100.10/24
(Port:1) |(Port:2-8)
|
[Windows7 PC(Supplicant)] 192.168.100.2(DHCP)
各機器のバージョンは次の通りです。
1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。
※IPアドレスがDHCPになっている場合は、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。
2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。
![[拡張機能]-[RADIUSサーバー]-[サーバー設定]](./image/wlx402_radius.png "[拡張機能]-[RADIUSサーバー]-[サーバー設定]")
3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。
![[拡張機能]-[RADIUSサーバー]-[ユーザー管理]](./image/wlx402_userinfo_peap.png "[拡張機能]-[RADIUSサーバー]-[ユーザー管理]")
4. WLX402のCLIにアクセスし、以下のコマンドを実行します。
radiusd client auto auth off # RADIUSクライアントの自動設定をOFF(※1) radiusd client 192.168.100.10 abcde # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)
※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。
5. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。
radiusd configure refresh
1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。
L2SW(config)#aaa authentication dot1x
2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います
L2SW(config)#interface geN # N:2〜8の番号 L2SW(config-if)#dot1x port-control auto # IEEE 802.1X認証の動作モードをautoにする L2SW(config-if)#auth host-mode multi-host # ホストモードをマルチホストモードにする L2SW(config-if)#exit
3. RADIUSサーバーの設定を行います。
L2SW(config)#radius-server host 192.168.100.240 key abcde # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード
4. RADIUSサーバー設定情報を確認します。
L2SW#show radius-server Server Host: 192.168.100.240 Authentication Port : 1812 Secret Key : abcde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
1. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。
2. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。
![[ローカルエリア接続のプロパティ]](./image/win_auth_peap.png "[ローカルエリア接続のプロパティ]")
![[保護されたEAPのプロパティ]](./image/win_eap.png "[保護されたEAPのプロパティ]")
![[EAP MSCHAPv2のプロパティ]](./image/win_eap_mschapv2.png "[EAP MSCHAPv2のプロパティ]")
![[詳細設定]](./image/win_detail.png "[詳細設定]")
1. PCのLANケーブルをSWX2300のポート7に接続します。
2. ユーザーIDとパスワードの入力を求めるポップアップが表示されるので以下を入力してください。
3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。
4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。
L2SW#show auth status
[System information]
802.1X Port-Based Authentication : Enabled
MAC-Based Authentication : Disabled
RADIUS server address :
192.168.100.240 (port:1812)
[Interface information]
(中略)
Interface ge7 (up)
802.1X Authentication : Auto (configured:auto)
MAC Authentication : Disabled (configured:disable)
Host mode : Multi-host
Dynamic VLAN creation : Disabled
Guest VLAN : Disabled
Reauthentication : Disabled
Reauthentication period : 3600 sec
MAX request : 2 times
Supplicant timeout : 30 sec
Server timeout : 30 sec
Quiet period : 60 sec
Controlled directions : Both (configured:both)
Protocol version : 2
Authentication status : Authorized ★
(中略)
【config】
◎WLX402
login timer clear
vlan-port-mode lan1:1 hybrid
vlan-id 1 1
vlan-access lan1:1 1
ip vlan-id 1 address 192.168.100.240/24
airlink select module1
airlink mode 11b+g+n
airlink channel auto bandwidth=40 primary=lower
airlink enable module1
airlink select module2
airlink mode 11a+n+ac
airlink channel auto bandwidth=80 primary=lower primary40=lower
airlink enable module2
certificate generate ca "WLX402 RADIUS"
radiusd use on
radiusd client auto auth off
radiusd client 192.168.100.10 abcde
radiusd user device1 password1 auth=peap
schedule at 1 startup * ntpdate ntp.nict.jp syslog
httpd host any
wlan-controller role controller-ap
wlan-controller bind vlan auto
wlan-controller select 1
airlink enable module1
airlink enable module2
wlan-controller select 1 1
wlan-controller member-ap 00:a0:de:c1:d0:80
◎SWX2300
!
ip domain-lookup
!
spanning-tree mode mstp
aaa authentication dot1x
!
radius-server host 192.168.100.240 key abcde
!
spanning-tree mst configuration
region Default
!
interface ge1
switchport
switchport mode access
no shutdown
!
interface ge2
switchport
switchport mode access
no shutdown
dot1x port-control auto
auth host-mode multi-host
!
(中略:ge3〜ge8はge2と同様の設定)
!
interface vlan0.1
no shutdown
ip address 192.168.100.10/24
!
clock timezone JST
!
service http-server
http-server interface vlan0.1
service http-proxy
!
service telnet-server
telnet-server interface vlan0.1
!
line con 0
line vty 0 7
!
end
1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。
※IPアドレスがDHCPになっている場合、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。
2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。
3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。
![[拡張機能]-[RADIUSサーバー]-[ユーザー管理]](./image/wlx402_userinfo_eap_tls.png "[拡張機能]-[RADIUSサーバー]-[ユーザー管理]")
4. 「ユーザー情報」の一覧に追加したエントリーが表示されるので、そのエントリーのチェックボックスにチェックを入れ、「証明書発行」ボタンをクリックします。
5. 証明書発行後、エントリー横の「証明書」ボタンをクリックします。
6. 証明書の一覧の「ダウンロード」ボタンをクリックし、証明書をPC上にダウンロードします。
ZIPファイルにはパスワードがかかっているため、手順4.で設定したパスワードで展開します。
※発行済み証明書の一括ダウンロードも可能です。
![[拡張機能]-[RADIUSサーバー]-[ユーザー管理]](./image/wlx402_cert.png "[拡張機能]-[RADIUSサーバー]-[ユーザー管理]")
7. WLX402のCLIにアクセスし、以下のコマンドを実行します。
radiusd client auto auth off # RADIUSクライアントの自動設定をOFF(※1) radiusd client 192.168.100.10 abcde # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)
※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。
8. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。
radiusd configure refresh
9. 証明書の検証時にWLX402の本体の時計が現在時刻と合っている必要があるため、ntpdateコマンドで時刻を補正してください。
1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。
L2SW(config)#aaa authentication dot1x
2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います
L2SW(config)#interface geN # N:2〜8の番号 L2SW(config-if)#dot1x port-control auto # IEEE 802.1X認証の動作モードをautoにする L2SW(config-if)#auth host-mode multi-host # ホストモードをマルチホストモードにする L2SW(config-if)#exit
3. RADIUSサーバーの設定を行います。
L2SW(config)#radius-server host 192.168.100.240 key abcde # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード
4. RADIUSサーバー設定情報を確認します。
L2SW#show radius-server Server Host: 192.168.100.240 Authentication Port : 1812 Secret Key : abcde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
1. WLX402の手順7.でダウンロードした証明書をダブルクリックし、証明書をPC上にインストールします。
途中で求められるパスワードには、ユーザー情報のパスワード「password1」を入力します。
2. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。
3. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。
![[ローカルエリア接続のプロパティ]](./image/win_auth_cert.png "[ローカルエリア接続のプロパティ]")
![[スマートカードまたはその他の証明書のプロパティ]](./image/win_auth_cert_prop.png "[スマートカードまたはその他の証明書のプロパティ]")
1. PCのLANケーブルをSWX2300のポート7に接続します。
2. 証明書の選択画面が出るので、証明書のユーザー名に「device1」を選択してください。
![[証明書の選択]](./image/win_cert_select.png "[証明書の選択]")
3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。
4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。
L2SW#show auth status
[System information]
802.1X Port-Based Authentication : Enabled
MAC-Based Authentication : Disabled
RADIUS server address :
192.168.100.240 (port:1812)
[Interface information]
(中略)
Interface ge7 (up)
802.1X Authentication : Auto (configured:auto)
MAC Authentication : Disabled (configured:disable)
Host mode : Multi-host
Dynamic VLAN creation : Disabled
Guest VLAN : Disabled
Reauthentication : Disabled
Reauthentication period : 3600 sec
MAX request : 2 times
Supplicant timeout : 30 sec
Server timeout : 30 sec
Quiet period : 60 sec
Controlled directions : Both (configured:both)
Protocol version : 2
Authentication status : Authorized ★
(中略)
【config】
◎WLX402
login timer clear
ip route default gateway (GWのIPアドレス)
vlan-port-mode lan1:1 hybrid
vlan-id 1 1
vlan-access lan1:1 1
ip vlan-id 1 address 192.168.100.240/24
airlink select module1
airlink mode 11b+g+n
airlink channel auto bandwidth=40 primary=lower
airlink enable module1
airlink select module2
airlink mode 11a+n+ac
airlink channel auto bandwidth=80 primary=lower primary40=lower
airlink enable module2
dns server (DNSサーバー or GW のIPアドレス)
certificate generate ca "WLX402 RADIUS"
radiusd use on
radiusd client auto auth off
radiusd client 192.168.100.10 abcde
radiusd user device1 password1 auth=eap-tls
schedule at 1 startup * ntpdate ntp.nict.jp syslog
httpd host any
wlan-controller role controller-ap
wlan-controller bind vlan auto
wlan-controller select 1
airlink enable module1
airlink enable module2
wlan-controller select 1 1
wlan-controller member-ap 00:a0:de:c1:d0:80
◎SWX2300
!
ip domain-lookup
!
spanning-tree mode mstp
aaa authentication dot1x
!
radius-server host 192.168.100.240 key abcde
!
spanning-tree mst configuration
region Default
!
interface ge1
switchport
switchport mode access
no shutdown
!
interface ge2
switchport
switchport mode access
no shutdown
dot1x port-control auto
auth host-mode multi-host
!
(中略:ge3〜ge8はge2と同様の設定)
!
interface vlan0.1
no shutdown
ip address 192.168.100.10/24
!
clock timezone JST
!
service http-server
http-server interface vlan0.1
service http-proxy
!
service telnet-server
telnet-server interface vlan0.1
!
line con 0
line vty 0 7
!
end