ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。
LAN接続時に使用する認証規格。
LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。
オーセンティケータに接続して認証を受ける機器またはソフトウェア。
オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。
PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。
EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。
EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。
ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。
サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。
EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。
動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。
| MAC認証 | IEEE 802.1X認証 | |
|---|---|---|
| 認証要素 | MACアドレス | ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP) |
| 認証対象(サプリカント) | 機器 | 機器またはユーザー |
| サプリカントに必要な機能 | なし | IEEE 802.1X認証機能 |
| 認証時の操作 | なし | ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP) |
本製品は、認証サーバーとしてRADIUSサーバーを想定します。
また本製品のポート認証機能には以下の制限がありますので、ご注意ください。
IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。
本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行うオーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。
本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。
| クライアント認証方法 | サーバー認証方法 | 導入しやすさ | 安全度 | |
|---|---|---|---|---|
| EAP-MD5 | ユーザー名、パスワード入力 | 認証しない | 簡単 | 低 |
| EAP-TLS | クライアント証明書 | サーバー証明書 | 複雑 | 高 |
| EAP-TTLS | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
| EAP-PEAP | ユーザー名、パスワード入力 | サーバー証明書 | 中 | 中 |
使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。
IEEE 802.1X認証の基本的な手順は以下の図のようになります。
サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。
認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、サプリカントのネットワークアクセスを許可します。
認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。
MAC認証の基本的な手順は以下の図のようになります。
本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスをユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。
認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
なお、MAC認証のスタティック登録の設定(auth-mac static コマンド)により、スタティックエントリーとして登録することができます。
認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)
RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを登録しておく必要があります。
本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。
本製品では、同一ポート上でIEEE 802.1X認証、MAC認証をそれぞれ併用することができます。
併用時の認証は、認証順序の設定(auth orderコマンド)にしたがって順番に行われ、デフォルト設定の場合はIEEE 802.1X認証が優先されます。
複数の認証方式が併用されている場合の基本動作は以下のようになります。
本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。
本製品では、ホストモードして以下を選択できます。
本製品のIEEE802.1X認証およびMAC認証でダイナミックVLANに対応します。
ダイナミックVLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。
上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの所属VLANは10として、VLAN 10上で通信を許可します。
RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。
ダイナミックVLANを利用する場合、各ホストモードで以下の動作となります。
本製品のIEEE802.1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを特定のVLANに割り当てることができます。
マルチサプリカントモードの場合は、サプリカント単位で指定することができます。
上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。
本製品では、RADIUSサーバー無応答時に、認証が成功したものとして動作させることができます。
RADIUSサーバー無応答時の認証の設定 (auth no-response-authorized コマンド) を有効にすることで、IEEE802.1X認証、MAC認証の各認証において、
RADIUSサーバーからの応答がなくタイムアウトした場合、それぞれの認証方式で認証が成功したものとして動作します。
なお、本機能を使用する場合は再認証の設定をしてください。再認証の間隔を適切に設定することで、一時的に認証許可された状態を限定的にすることができます。
EAPパススルーの有効/無効を切り替え、EAPOLフレームの転送可否を設定することができます。
802.1X認証機能が有効なインターフェースについては認証機能を優先し、EAPパススルーの設定は適用されません。
RADIUSサーバーに、NAS-Identifier属性値を通知することができます。
auth radius attribute nas-identifier コマンドで設定した文字列を、NAS-Identifier属性値としてRADIUSサーバーへ通知します。
関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。
| 操作項目 | 操作コマンド |
|---|---|
| システム全体でのIEEE 802.1X認証機能の設定 | aaa authentication dot1x |
| システム全体でのMAC認証機能の設定 | aaa authentication auth-mac |
| IEEE 802.1X認証機能の動作モード設定 | dot1x port-control |
| IEEE 802.1X認証の未認証ポートでの転送制御の設定 | dot1x control-direction |
| EAPOLパケットの送信間隔の設定 | dot1x timeout tx-period |
| EAPOLパケットの再送回数の設定 | dot1x max-auth-req |
| ホストモードの設定 | auth host-mode |
| MAC認証機能の設定 | auth-mac enable |
| MAC認証時のMACアドレス形式の設定 | auth-mac auth-user |
| MAC認証のスタティック登録の設定 | auth-mac static |
| ホストモードの設定 | auth host-mode |
| 認証順序の設定 | auth order |
| 再認証の設定 | auth reauthentication |
| ダイナミックVLANの設定 | auth dynamic-vlan-creation |
| ゲストVLANの設定 | auth guest-vlan |
| 認証失敗後の抑止期間の設定 | auth timeout quiet-period |
| 再認証間隔の設定 | auth timeout reauth-period |
| RADIUSサーバー全体の応答待ち時間の設定 | auth timeout server-timeout |
| サプリカント応答待ち時間の設定 | auth timeout supp-timeout |
| RADIUSサーバーホストの設定 | radius-server host |
| RADIUSサーバー1台あたりの応答待ち時間の設定 | radius-server timeout |
| RADIUSサーバーへの要求再送回数の設定 | radius-server retransmit |
| RADIUSサーバー共有パスワードの設定 | radius-server key |
| RADIUSサーバー使用抑制時間の設定 | radius-server deadtime |
| RADIUSサーバーに通知するNAS-Identifier属性の設定 | auth radius attribute nas-identifier |
| RADIUSサーバー無応答時の認証状態設定 | auth no-response-authorized |
| ポート認証情報の表示 | show auth status |
| RADIUSサーバー設定情報の表示 | show radius-server |
| サプリカント情報の表示 | show auth supplicant |
| 認証状態のクリア | clear auth state |
| 認証状態をクリアする時刻の設定(システム) | auth clear-state time |
| 認証状態をクリアする時刻の設定(インターフェース) | auth clear-state time |
| EAPパススルーの設定 | pass-through eap |
IEEE 802.1X認証を使用できるように設定します。
Yamaha(config)#aaa authentication dot1x
Yamaha(config)#interface port1.1 Yamaha(config-if)#dot1x port-control auto ... (IEEE 802.1X認証の動作モードをautoにする) Yamaha(config-if)#auth host-mode multi-supplicant ... (ホストモードをマルチサプリカントモードにする) Yamaha(config-if)#exit
Yamaha(config)#radius-server host 192.168.100.101 key test1
(ホストを192.168.100.101、共有パスワードを"test1"にする)Yamaha#show radius-server Server Host : 192.168.100.101 Authentication Port : 1812 Secret Key : test1 Timeout : 5 sec Retransmit Count : 3 Deadtime : 0 min
Yamaha#show auth status
[System information]
802.1X Port-Based Authentication : Enabled
MAC-Based Authentication : Enabled
Clear-state time : Not configured
No-response Authorized : Disabled
RADIUS server address :
192.168.100.101 (port:1812)
NAS-Identifier :
[Interface information]
Interface port1.1 (up)
802.1X Authentication : Auto (configured:auto)
MAC Authentication : Disabled (configured:disabled)
Host mode : Multi-supplicant
Authentication order : 802.1X -> MAC
Dynamic VLAN creation : Disabled
Guest VLAN : Disabled
Reauthentication : Disabled
Reauthentication period : 3600 sec
MAX request : 2 times
TX period : 30 sec
Supplicant timeout : 30 sec
Server timeout : 30 sec
Quiet period : 60 sec
Controlled directions : In (configured:both)
Protocol version : 1
Clear-state time : Not configured
本製品は、EAPOLバージョン1で動作します。