作成日 | 2017/June/6 |
最終変更日 | Tuesday, 15-Oct-2019 15:21:42 JST |
WLX402内蔵RadiusサーバーをSWX2300ポート認証(IEEE802.1X)用として使用することで、WLX402に無線接続した端末だけでなく、SWX2300に有線接続した端末に対しても認証を行うことが可能になります。
PEAPによる認証方式(サーバー証明書なし)と、EAP-TLSによる認証 (サーバー証明書あり)のそれぞれの場合の設定例を紹介します。
インターネット | (GW) 192.168.100.1/24 | +------ [DHCP Server] | +------ [WLX402(Radius Server)] 192.168.100.240/24 | +------ [SWX2300-8G(Authenticator)] 192.168.100.10/24 (Port:1) |(Port:2-8) | [Windows7 PC(Supplicant)] 192.168.100.2(DHCP)
各機器のバージョンは次の通りです。
1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。
※IPアドレスがDHCPになっている場合は、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。
2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。
3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。
4. WLX402のCLIにアクセスし、以下のコマンドを実行します。
radiusd client auto auth off # RADIUSクライアントの自動設定をOFF(※1) radiusd client 192.168.100.10 abcde # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)
※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。
5. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。
radiusd configure refresh
1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。
L2SW(config)#aaa authentication dot1x
2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います
L2SW(config)#interface geN # N:2〜8の番号 L2SW(config-if)#dot1x port-control auto # IEEE 802.1X認証の動作モードをautoにする L2SW(config-if)#auth host-mode multi-host # ホストモードをマルチホストモードにする L2SW(config-if)#exit
3. RADIUSサーバーの設定を行います。
L2SW(config)#radius-server host 192.168.100.240 key abcde # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード
4. RADIUSサーバー設定情報を確認します。
L2SW#show radius-server Server Host: 192.168.100.240 Authentication Port : 1812 Secret Key : abcde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
1. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。
2. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。
1. PCのLANケーブルをSWX2300のポート7に接続します。
2. ユーザーIDとパスワードの入力を求めるポップアップが表示されるので以下を入力してください。
3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。
4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。
L2SW#show auth status [System information] 802.1X Port-Based Authentication : Enabled MAC-Based Authentication : Disabled RADIUS server address : 192.168.100.240 (port:1812) [Interface information] (中略) Interface ge7 (up) 802.1X Authentication : Auto (configured:auto) MAC Authentication : Disabled (configured:disable) Host mode : Multi-host Dynamic VLAN creation : Disabled Guest VLAN : Disabled Reauthentication : Disabled Reauthentication period : 3600 sec MAX request : 2 times Supplicant timeout : 30 sec Server timeout : 30 sec Quiet period : 60 sec Controlled directions : Both (configured:both) Protocol version : 2 Authentication status : Authorized ★ (中略) 【config】 ◎WLX402 login timer clear vlan-port-mode lan1:1 hybrid vlan-id 1 1 vlan-access lan1:1 1 ip vlan-id 1 address 192.168.100.240/24 airlink select module1 airlink mode 11b+g+n airlink channel auto bandwidth=40 primary=lower airlink enable module1 airlink select module2 airlink mode 11a+n+ac airlink channel auto bandwidth=80 primary=lower primary40=lower airlink enable module2 certificate generate ca "WLX402 RADIUS" radiusd use on radiusd client auto auth off radiusd client 192.168.100.10 abcde radiusd user device1 password1 auth=peap schedule at 1 startup * ntpdate ntp.nict.jp syslog httpd host any wlan-controller role controller-ap wlan-controller bind vlan auto wlan-controller select 1 airlink enable module1 airlink enable module2 wlan-controller select 1 1 wlan-controller member-ap 00:a0:de:c1:d0:80 ◎SWX2300 ! ip domain-lookup ! spanning-tree mode mstp aaa authentication dot1x ! radius-server host 192.168.100.240 key abcde ! spanning-tree mst configuration region Default ! interface ge1 switchport switchport mode access no shutdown ! interface ge2 switchport switchport mode access no shutdown dot1x port-control auto auth host-mode multi-host ! (中略:ge3〜ge8はge2と同様の設定) ! interface vlan0.1 no shutdown ip address 192.168.100.10/24 ! clock timezone JST ! service http-server http-server interface vlan0.1 service http-proxy ! service telnet-server telnet-server interface vlan0.1 ! line con 0 line vty 0 7 ! end
1. WLX402のGUIにアクセスし、[基本設定]-[コントローラー設定]から以下の設定を行います。
※IPアドレスがDHCPになっている場合、役割の変更ができません。
DHCPになっている場合は、[基本設定]-[LANポート設定]からIPアドレスを固定IPアドレス(本設定例では 192.168.100.240)に変更してください。
2. [拡張機能]-[RADIUSサーバー]から以下の設定を行います。
3. 同ページの「ユーザー情報管理」ボタンをクリックし、「ユーザー情報管理」の「追加」ボタンをクリックします。
ユーザー情報として以下の設定を行います。
4. 「ユーザー情報」の一覧に追加したエントリーが表示されるので、そのエントリーのチェックボックスにチェックを入れ、「証明書発行」ボタンをクリックします。
5. 証明書発行後、エントリー横の「証明書」ボタンをクリックします。
6. 証明書の一覧の「ダウンロード」ボタンをクリックし、証明書をPC上にダウンロードします。
ZIPファイルにはパスワードがかかっているため、手順4.で設定したパスワードで展開します。
※発行済み証明書の一括ダウンロードも可能です。
7. WLX402のCLIにアクセスし、以下のコマンドを実行します。
radiusd client auto auth off # RADIUSクライアントの自動設定をOFF(※1) radiusd client 192.168.100.10 abcde # RADIUSサーバーへの接続を許可するクライアントの登録(パスワードは任意、例としてabcdeと入力)
※1: auth offにすることにより、Member-APをradiusd clientコマンドにより手動登録する必要がありますが、その他のController-Member連携機能に影響ありません。
また、radiusd clientコマンドの最大登録件数は100件であり、Member-APの最大台数50台と比較して十分に余裕があるため、登録件数に関する問題もありません。
8. 設定変更後、以下のコマンドを実行してRADIUSサーバーの設定変更を反映させます。
radiusd configure refresh
9. 証明書の検証時にWLX402の本体の時計が現在時刻と合っている必要があるため、ntpdateコマンドで時刻を補正してください。
1. SWX2300のCLIにアクセスして、以下のコマンドを実行します。
L2SW(config)#aaa authentication dot1x
2. アップリンク以外のLANポート#2〜8で、IEEE 802.1X認証の設定を行います
L2SW(config)#interface geN # N:2〜8の番号 L2SW(config-if)#dot1x port-control auto # IEEE 802.1X認証の動作モードをautoにする L2SW(config-if)#auth host-mode multi-host # ホストモードをマルチホストモードにする L2SW(config-if)#exit
3. RADIUSサーバーの設定を行います。
L2SW(config)#radius-server host 192.168.100.240 key abcde # WLX402のIPアドレスとradiusd clientコマンドで登録したパスワード
4. RADIUSサーバー設定情報を確認します。
L2SW#show radius-server Server Host: 192.168.100.240 Authentication Port : 1812 Secret Key : abcde Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
1. WLX402の手順7.でダウンロードした証明書をダブルクリックし、証明書をPC上にインストールします。
途中で求められるパスワードには、ユーザー情報のパスワード「password1」を入力します。
2. Windows7標準のサプリカントの設定を有効にします。
[プログラムとファイルの検索]から「services.msc」を検索し、サービスの管理ツールを起動します。
[Wired AutoConfig]を右クリックして、[開始]します。
3. ネットワークと共有センターから[ローカルエリア接続のプロパティ]を開くと[認証]タブが追加されています。
[認証]タブで以下の設定を行います。
1. PCのLANケーブルをSWX2300のポート7に接続します。
2. 証明書の選択画面が出るので、証明書のユーザー名に「device1」を選択してください。
3. ネットワークと共有センターでローカルエリア接続が確立していることを確認してください。
※認証に失敗した場合は、ローカルエリア接続の状態に「認証失敗」と表示される。
4. SWX2300のCLIで以下のコマンドを実行することにより認証状態を確認できます。
L2SW#show auth status [System information] 802.1X Port-Based Authentication : Enabled MAC-Based Authentication : Disabled RADIUS server address : 192.168.100.240 (port:1812) [Interface information] (中略) Interface ge7 (up) 802.1X Authentication : Auto (configured:auto) MAC Authentication : Disabled (configured:disable) Host mode : Multi-host Dynamic VLAN creation : Disabled Guest VLAN : Disabled Reauthentication : Disabled Reauthentication period : 3600 sec MAX request : 2 times Supplicant timeout : 30 sec Server timeout : 30 sec Quiet period : 60 sec Controlled directions : Both (configured:both) Protocol version : 2 Authentication status : Authorized ★ (中略) 【config】 ◎WLX402 login timer clear ip route default gateway (GWのIPアドレス) vlan-port-mode lan1:1 hybrid vlan-id 1 1 vlan-access lan1:1 1 ip vlan-id 1 address 192.168.100.240/24 airlink select module1 airlink mode 11b+g+n airlink channel auto bandwidth=40 primary=lower airlink enable module1 airlink select module2 airlink mode 11a+n+ac airlink channel auto bandwidth=80 primary=lower primary40=lower airlink enable module2 dns server (DNSサーバー or GW のIPアドレス) certificate generate ca "WLX402 RADIUS" radiusd use on radiusd client auto auth off radiusd client 192.168.100.10 abcde radiusd user device1 password1 auth=eap-tls schedule at 1 startup * ntpdate ntp.nict.jp syslog httpd host any wlan-controller role controller-ap wlan-controller bind vlan auto wlan-controller select 1 airlink enable module1 airlink enable module2 wlan-controller select 1 1 wlan-controller member-ap 00:a0:de:c1:d0:80 ◎SWX2300 ! ip domain-lookup ! spanning-tree mode mstp aaa authentication dot1x ! radius-server host 192.168.100.240 key abcde ! spanning-tree mst configuration region Default ! interface ge1 switchport switchport mode access no shutdown ! interface ge2 switchport switchport mode access no shutdown dot1x port-control auto auth host-mode multi-host ! (中略:ge3〜ge8はge2と同様の設定) ! interface vlan0.1 no shutdown ip address 192.168.100.10/24 ! clock timezone JST ! service http-server http-server interface vlan0.1 service http-proxy ! service telnet-server telnet-server interface vlan0.1 ! line con 0 line vty 0 7 ! end