ポート認証機能

• 1 機能概要
• 2 用語の定義
  • IEEE 802.1X
  • オーセンティケータ
  • サプリカント
  • 認証サーバー
  • EAP (Extended authentication protocol)
  • EAP over LAN (EAPOL)
  • EAP over Radius
  • EAP-MD5 (Message digest algorithm 5)
  • EAP-TLS (Transport Layer Security)
  • EAP-TTLS (Tunneled TLS)
  • EAP-PEAP (Protected EAP)
• 3 機能詳細
  • 3.1 IEEE 802.1X認証
  • 3.2 MAC認証
  • 3.3 Web認証
    • 3.3.1 サプリカント側の操作
    • 3.3.2 認証画面のカスタマイズ
  • 3.4 認証機能の併用
  • 3.5 ホストモード
  • 3.5 認証VLAN
  • 3.6 未認証・認証失敗ポートのVLAN
  • 3.7 EAPパススルー機能
• 4 関連コマンド
• 5 コマンド実行例
  • 5.1 IEEE 802.1X認証の設定
  • 5.2 MAC認証の設定
  • 5.3 Web認証の設定
• 6 注意事項
• 7 関連文書

1 機能概要

ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。

2 用語の定義

IEEE 802.1X

LAN接続時に使用する認証規格。

オーセンティケータ

LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

サプリカント

オーセンティケータに接続して認証を受ける機器またはソフトウェア。

認証サーバー

オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。

EAP (Extended authentication protocol)

PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。

EAP over LAN (EAPOL)

EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。

EAP over Radius

EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。

EAP-MD5 (Message digest algorithm 5)

ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。

EAP-TLS (Transport Layer Security)

サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。

EAP-TTLS (Tunneled TLS)

EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。

EAP-PEAP (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。

3 機能詳細

ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式、MAC認証方式、およびWeb認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。

• ポート認証方式の特徴

  	MAC認証	IEEE 802.1X認証	Web認証
  認証要素	MACアドレス	ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP)	ユーザー名とパスワード
  認証対象(サプリカント)	機器	機器またはユーザー	機器またはユーザー
  サプリカントに必要な機能	なし	IEEE 802.1X認証機能	Web ブラウザ
  認証時の操作	なし	ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP)	ユーザー名とパスワード入力

本製品は、認証サーバーとしてRADIUSサーバーを想定します。

また本製品のポート認証機能には以下の制限がありますので、ご注意ください。

• プライベートVLANポート上で使用することはできません。
• ボイスVLANポート上で使用することはできません。
• ポート認証機能が有効な場合、認証結果に応じてスパニングツリーのトポロジーチェンジが発生します。
  これを回避したい場合、サプリカントを接続する認証ポートでspanning-tree edgeportを設定してください。
• 認証可能なサプリカント数は、シングルホストモード／マルチホストモードは各ポートで1つ、マルチサプリカントモードはシステム全体で512までとなります。
• Web認証はマルチサプリカントモードでのみ利用できます。
• Web認証はゲストVLANと併用できません。
• スタック機能を利用しているとき、Web認証画面カスタマイズ用ファイルは、マスタースイッチに保存されているファイルが参照されます。
• スタック機能を利用しているとき、メンバースイッチが追加されると、論理インターフェースに接続されていたサプリカントの認証情報はクリアされます。
• スタック機能を利用しているとき、マスタースイッチ同士を接続すると、スレーブに降格するスイッチに接続されていたサプリカントの認証情報はクリアされます。
• トランクポートはマルチサプリカントモードでのみ利用できます。
• トランクポートでネイティブVLANをなしに設定した場合は、L2MS機能を使用することができません。
• トランクポートでゲストVLANを使用することはできません。
• 認証VLANによって以下のサプリカントのVLANを変更した場合、認証機能が正しく動作しないことがあります。
• DHCPサーバー
• L2MS対応機器
• OSPF対応機器

3.1 IEEE 802.1X認証

IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。

本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行うオーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。

本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。

• 各認証方式の特徴

  	クライアント認証方法	サーバー認証方法	導入しやすさ	安全度
  EAP-MD5	ユーザー名、パスワード入力	認証しない	簡単	低
  EAP-TLS	クライアント証明書	サーバー証明書	複雑	高
  EAP-TTLS	ユーザー名、パスワード入力	サーバー証明書	中	中
  EAP-PEAP	ユーザー名、パスワード入力	サーバー証明書	中	中

使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。

IEEE 802.1X認証の基本的な手順は以下の図のようになります。

• IEEE 802.1X認証の基本的な手順

サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。

認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、
サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

3.2 MAC認証

MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。

MAC認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスを
ユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを
登録しておく必要があります。

• XX-XX-XX-XX-XX-XX (ハイフン区切り)
• XX:XX:XX:XX:XX:XX (コロン区切り)
• XXXXXXXXXXXX (区切りなし)

本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。

3.3 Web認証

Web認証は、サプリカントのWebブラウザからユーザー名とパスワードを入力することでユーザーを認証する機能です。

Webブラウザとスイッチ間の通信方式はHTTPに対応しています。
Web認証ではHTTPでの通信を使って認証を行う関係上、認証前であっても本製品とサプリカント間でIP通信ができる必要があります。
DHCPサーバーからIPアドレスをサプリカントに割り当てるか、サプリカント側で静的にIPアドレスを指定してください。

WEB認証はマルチサプリカントモードでのみ動作します。
また、ゲストVLANとの併用はできません。

WEB認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントのWebブラウザで入力されたユーザー名およびパスワードをRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。

3.3.1 サプリカント側の操作

サプリカントのWebブラウザからIPv4 TCP80番ポート宛のアクセスが行われたとき、以下のような認証画面を表示します。

認証を受けるにはユーザー名とパスワードを入力して「ログイン」ボタンをクリックしてください。

FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
また認証に連続して3回失敗すると一時的に認証が制限されます。

3.3.2 認証画面のカスタマイズ

Web認証画面の表示内容は編集したHTMLファイル、CSSファイル、および画像ファイルを本製品にコピーすることで下記部分をカスタマイズすることができます。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外です。

1. ヘッダー
   ヘッダー部分は、header.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。
2. 画像ファイル
   用意した画像ファイルを本製品にコピーすることで画像ファイルの変更が可能です。
3. 入力フォーム
   入力フォームの見た目はstyle.cssによって決定されます。文字列などの変更はできませんが、style.cssを編集して本製品にコピーすることで入力フォームのデザインを変更できます。
4. フッター
   フッター部分は、footer.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。

以下ではWeb認証画面の変更方法について説明します。

3.3.2.1 認証画面カスタマイズ用ファイルの準備

Web認証画面のカスタマイズに使うファイルは以下のとおりです。

• header.html
• footer.html
• logo.png
• style.css

header.html、footer.html、およびstyle.cssはWebブラウザーを使ってスイッチから入手できます。
たとえば、スイッチのIPアドレスが192.168.100.240だった場合、Web認証が有効なポートに接続されたPCをから以下のURLで
ファイルにアクセスできるので、ブラウザーの「名前を付けて保存」などを使ってPCに保存してください。

• http://192.168.100.240/web-auth/header.html
• http://192.168.100.240/web-auth/footer.html
• http://192.168.100.240/web-auth/style.css

保存の際には拡張子を「.html」または「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
画像ファイルlogo.pngについては、PC上に任意の画像ファイルを用意してlogo.pngというファイル名でで保存してください。
ファイルサイズの上限は1MBです。

3.3.2.2 認証画面カスタマイズ用ファイルの編集

PC上で前述のHTMLファイルとCSSファイルを適宜編集します。
各ファイルはHTML、CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。

• header.html、footer.htmlから参照できる画像ファイルはlogo.pngだけです。
• HTML/CSSファイルの拡張子は必ず「.html」および「.css」にし、文字エンコーディングはUTF-8に統一してください。

3.3.2.3 認証画面カスタマイズ用ファイルの設置

各ファイルの準備ができたら、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置してください。
ファイル設置後は copy auth-web custom-file コマンド、または copy startup-config コマンドでスイッチに認証画面
カスタマイズ用のファイルをコピーしてください。

起動中のCONFIGが保存されているフォルダの配下に下記のファイルが存在する場合、これらを使ってWeb認証画面が生成されます。
起動中のCONFIG番号は show environment コマンドで確認することができます。
また、SDカード内のCONFIGを使って起動している場合でも、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを
設置することでWeb認証画面のカスタマイズが可能です。

• header.html
  認証画面から参照されるヘッダー部分として使用されます。このファイルが存在しない場合、オリジナルのheader.htmlが使用されます。

• footer.html
  認証画面から参照されるフッター部分として使用されます。このファイルが存在しない場合、オリジナルのfooter.htmlが使用されます。

• logo.png
  認証画面左上のロゴマーク部分に使用されます。このファイルが存在しない場合、オリジナルのヤマハロゴが表示されます。

• style.css
  認証画面から参照される「style.css」として使用されます。このファイルが存在しない場合、オリジナルのstyle.cssが使用されます。

編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスして表示を確認してください。
さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。

3.3.2.4 カスタマイズのとりやめ

認証画面のカスタマイズをやめたい場合は、起動中のCONFIGが保存されているフォルダからカスタマイズ用のファイルを削除
してください。オリジナルの認証画面に戻ります。
ファイルの削除は erase auth-web custom-file コマンド、または erase startup-config コマンドで行うことができます。
ただし、 erase startup-config コマンドではconfig.txt等も削除されるため、コマンド実施前にconfig.txt等をSDカード等にコピー
してバックアップをとるようにしてください。

3.4 認証機能の併用

本製品では同一ポート上でIEEE802.1X認証、MAC認証、Web認証をそれぞれ併用することができます。
併用時の認証はIEEE 802.1X認証が優先して行われます。
Web認証は併用中の認証方式がRADIUSサーバーとの通信中でなければいつでも認証にトライすることができます。

複数の認証方式が併用されている場合の動作は以下のようになります

• サプリカントがIEEE 802.1X認証に対応している場合の手順

• サプリカントがIEEE 802.1X認証に対応していない場合の手順

• いずれか一つの方式で認証に成功すれば認証成功となります。
• 再認証の設定が有効な場合は、認証に成功した方式で再認証を行います。
• 認証機能を併用している場合、未認証ポートでの転送制御の設定は受信破棄になります。
• 未認証のサプリカントからEAPOL startを受信した場合、MAC認証、またはWEB認証で認証動作を実行中であっても
  IEEE802.1X認証への遷移します。
• 802.1X認証とMAC認証を併用している場合は、802.1X認証に失敗しても認証抑止期間に入りません。
• 802.1X認証とMAC認証を併用している場合は、サプリカントから任意のイーサネットフレームを受信すると、
  本製品からEAPのRequestが送信されます。
• Web認証を併用している場合、未認証サプリカントはstatic/discardでFDBに登録されます。

3.5 ホストモード

本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。

本製品では、ホストモードして以下を選択できます。

• シングルホストモード
  1つのLAN/SFPポートにつき、1サプリカントのみ通信を許可するモード。
  最初に認証成功したサプリカントのみ、通信を許可します。

• マルチホストモード
  1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
  あるサプリカントが認証に成功して通信が許可されると、同じLAN/SFPポートに接続している他のサプリカントも同様に、
  認証に成功したサプリカントと同じVLAN上で通信を許可します。

• マルチサプリカントモード
  1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
  各サプリカントをMACアドレスで識別し、サプリカント単位で通信を許可します。
  ダイナミックVLAN機能を使用することで、サプリカント単位でVLANを指定することができます。

3.5 認証VLAN

本製品のIEEE802.1X認証、MAC認証、および、WEB認証で、認証VLANに対応します。
認証VLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。

上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの
所属VLANは10として、VLAN 10上で通信を許可します。

RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。

• Tunnel-Type = VLAN (13)
• Tunnel-Medium-Type = IEEE-802 (6)
• Tunnel-Private-Group-ID = VLAN ID

認証VLANを利用する場合、各ホストモードで以下の動作となります。

• シングルホストモード
  認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。

• マルチホストモード
  認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
  同じポートに接続されたその他のサプリカントも同じVLAN上で通信を許可します。

• マルチサプリカントモード
  認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
  サプリカント単位でVLANを指定することができます。

3.6 未認証・認証失敗ポートのVLAN

本製品のIEEE802,1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを
特定のVLANに割り当てることができます。
マルチサプリカントモードの場合は、サプリカント単位で指定することができます。

上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。

3.7 EAPパススルー機能

EAPパススルーの有効/無効を切り替え、EAPOLフレームの転送可否を設定することができます。
802.1X認証機能が有効なインターフェースについては認証機能を優先し、EAPパススルーの設定は適用されません。

4 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

• 関連コマンド一覧

  操作項目	操作コマンド
  システム全体でのIEEE 802.1X認証機能の設定	aaa authentication dot1x
  システム全体でのMAC認証機能の設定	aaa authentication auth-mac
  システム全体でのWeb認証機能の設定	aaa authentication auth-web
  IEEE 802.1X認証機能の動作モード設定	dot1x port-control
  IEEE 802.1X認証の未認証ポートでの転送制御の設定	dot1x control-direction
  EAPOLパケットの再送回数の設定	dot1x max-auth-req
  MAC認証機能の設定	auth-mac enable
  MAC認証時のMACアドレス形式の設定	auth-mac auth-user
  Web認証機能の設定	auth-web enable
  Web認証成功後のリダイレクト先URLの設定	auth-web redirect-url
  Web認証画面カスタマイズ用ファイルのコピー	copy auth-web custom-file
  Web認証画面カスタマイズ用ファイルの削除	erase auth-web custom-file
  ホストモードの設定	auth host-mode
  再認証の設定	auth reauthentication
  ダイナミックVLANの設定	auth dynamic-vlan-creation
  ゲストVLANの設定	auth guest-vlan
  認証失敗後の抑止期間の設定	auth timeout quiet-period
  再認証間隔の設定	auth timeout reauth-period
  RADIUSサーバー全体の応答待ち時間の設定	auth timeout server-timeout
  サプリカント応答待ち時間の設定	auth timeout supp-timeout
  RADIUSサーバーホストの設定	radius-server host
  RADIUSサーバー1台あたりの応答待ち時間の設定	radius-server timeout
  RADIUSサーバーへの要求再送回数の設定	radius-server retransmit
  RADIUSサーバー共有パスワードの設定	radius-server key
  RADIUSサーバー使用抑制時間の設定	radius-server deadtime
  ポート認証情報の表示	show auth status
  RADIUSサーバー設定情報の表示	show radius-server
  サプリカント情報の表示	show auth supplicant
  統計情報の表示	show auth statistics
  統計情報のクリア	clear auth statistics
  認証状態のクリア	clear auth state
  認証状態をクリアする時刻の設定(システム)	auth clear-state time
  認証状態をクリアする時刻の設定(インターフェース)	auth clear-state time
  EAPパススルーの設定	pass-through eap

5 コマンド実行例

5.1 IEEE 802.1X認証の設定

IEEE 802.1X認証を使用できるように設定します。

• LANポート #1 は、サプリカントを接続する認証ポートとします。
• ホストモード は マルチサプリカントモード とします。
• ゲストVLAN をVLAN #10 とします。
• 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

1. ゲストVLAN用にVLAN #10 を定義します。
   

   Yamaha(config)#vlan database
   Yamaha(config-vlan)#vlan 10               ... (VLAN #10の定義)
   Yamaha(config-vlan)#exit
   

2. システム全体で、IEEE 802.1X認証機能を有効にします。
   

   Yamaha(config)#aaa authentication dot1x
   

3. LANポート #1 で、IEEE 802.1X認証の設定を行います。
   

   Yamaha(config)#interface port1.1
   Yamaha(config-if)#dot1x port-control auto         ... (IEEE 802.1X認証の動作モードをautoにする)
   Yamaha(config-if)#auth host-mode multi-supplicant ... (ホストモードをマルチサプリカントモードにする)
   Yamaha(config-if)#auth guest-vlan 10              ... (ゲストVLANをVLAN #10にする)
   Yamaha(config-if)#exit
   

4. RADIUSサーバーの設定を行います。
   

   Yamaha(config)#radius-server host 192.168.100.101 key test1
                        (ホストを192.168.100.101、共有パスワードを"test1"にする)

5. RADIUSサーバー設定情報を確認します。
   

   Yamaha#show radius-server
   Server Host : 192.168.100.101
     Authentication Port : 1812
     Secret Key          : test1
     Timeout             : 5 sec
     Retransmit Count    : 3
     Deadtime            : 0 min
   

6. ポート認証情報を確認します。
   

   Yamaha#show auth status
   [System information]
     802.1X Port-Based Authentication : Enabled
     MAC-Based Authentication         : Disabled
     WEB-Based Authentication         : Disabled
   
     Clear-state time : Not configured
   
     Redirect URL :
       Not configured
   
     RADIUS server address :
       192.168.100.101 (port:1812)
   
   [Interface information]
     Interface port1.1 (up)
       802.1X Authentication   : Force Authorized (configured:auto)
       MAC Authentication      : Disabled (configured:disable)
       WEB Authentication      : Enabled (configured:disable)
       Host mode               : Multi-supplicant
       Dynamic VLAN creation   : Disabled
       Guest VLAN              : Enabled (VLAN ID:10)
       Reauthentication        : Disabled
       Reauthentication period : 3600 sec
       MAX request             : 2 times
       Supplicant timeout      : 30 sec
       Server timeout          : 30 sec
       Quiet period            : 60 sec
       Controlled directions   : In (configured:both)
       Protocol version        : 2
       Clear-state time        : Not configured
   

5.2 MAC認証の設定

MAC認証を使用できるように設定します。

• LANポート #1 は、サプリカントを接続する認証ポートとします。
• ホストモード は マルチサプリカントモード とします。
• 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

1. システム全体で、MAC認証機能を有効にします。
   

   Yamaha(config)#aaa authentication auth-mac
   

2. LANポート #1 で、MAC認証の設定を行います。
   

   Yamaha(config)#interface port1.1
   Yamaha(config-if)#auth-mac enable                  ... (MAC認証を有効にする)
   Yamaha(config-if)#auth host-mode multi-supplicant  ... (ホストモードをマルチサプリカントモードにする)
   Yamaha(config-if)#exit
   

3. RADIUSサーバーの設定を行います。
   

   Yamaha(config)#radius-server host 192.168.100.101 key test1
                        (ホストを192.168.100.101、共有パスワードを"test1"にする)
   

4. RADIUSサーバー設定情報を確認します。
   

   Yamaha#show radius-server
   Server Host : 192.168.100.101
     Authentication Port : 1812
     Secret Key          : test1
     Timeout             : 5 sec
     Retransmit Count    : 3
     Deadtime            : 0 min
   

5. ポート認証情報を確認します。
   

   Yamaha#show auth status
   [System information]
     802.1X Port-Based Authentication : Disabled
     MAC-Based Authentication         : Enabled
     WEB-Based Authentication         : Disabled
   
     Clear-state time : Not configured
   
     Redirect URL :
       Not configured
   
     RADIUS server address :
       192.168.100.101 (port:1812)
   
   [Interface information]
     Interface port1.1 (up)
       802.1X Authentication   : Force Authorized (configured:-)
       MAC Authentication      : Enabled (configured:enable)
       WEB Authentication      : Disabled (configured:disable)
       Host mode               : Multi-supplicant
       Dynamic VLAN creation   : Disabled
       Guest VLAN              : Disabled
       Reauthentication        : Disabled
       Reauthentication period : 3600 sec
       MAX request             : 2 times
       Supplicant timeout      : 30 sec
       Server timeout          : 30 sec
       Quiet period            : 60 sec
       Controlled directions   : In (configured:both)
       Protocol version        : 2
       Clear-state time        : Not configured
       Authentication status   : Unauthorized
   

5.3 Web認証の設定

Web認証を使用できるように設定します。

• LANポート #1 は、サプリカントを接続する認証ポートとします。
• サプリカントのIPアドレスは　192.168.100.10　が設定されているものとします。
• 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

1. IP通信を行うためオーセンティケータにIPアドレスを設定します。
   

   Yamaha(config)#interface valn1
   Yamaha(config-if)#ip address 192.168.100.240/24
   Yamaha(config-if)#exit
   

2. システム全体でWeb認証機能を有効にします。
   

   Yamaha(config)#aaa authentication auth-web
   

3. LANポート #1 で、Web認証の設定を行います。
   

   Yamaha(config)#interface port1.1
   Yamaha(config-if)#auth host-mode multi-supplicant     ... (ホストモードをマルチサプリカントモードにする)
   Yamaha(config-if)#auth-web enable                     ... (Web認証を有効にする)
   Yamaha(config-if)#exit
   

4. RADIUSサーバーの設定を行います。
   

   Yamaha(config)#radius-server host 192.168.100.101 key test1
                        (ホストを192.168.100.101、共有パスワードを"test1"にする)
   

5. RADIUSサーバー設定情報を確認します。
   

   Yamaha#show radius-server
   Server Host : 192.168.100.101
     Authentication Port : 1812
     Secret Key          : test1
     Timeout             : 5 sec
     Retransmit Count    : 3
     Deadtime            : 0 min
   

6. ポート認証情報を確認します。
   

   Yamaha#show auth status
   [System information]
     802.1X Port-Based Authentication : Disabled
     MAC-Based Authentication         : Disabled
     WEB-Based Authentication         : Enabled
   
     Clear-state time : Not configured
   
     Redirect URL :
       Not configured
   
     RADIUS server address :
       192.168.100.101 (port:1812)
   
   [Interface information]
     Interface port1.1 (up)
       802.1X Authentication   : Force Authorized (configured:-)
       MAC Authentication      : Disabled (configured:disable)
       WEB Authentication      : Enabled (configured:enable)
       Host mode               : Multi-supplicant
       Dynamic VLAN creation   : Disabled
       Guest VLAN              : Disabled
       Reauthentication        : Disabled
       Reauthentication period : 3600 sec
       MAX request             : 2 times
       Supplicant timeout      : 30 sec
       Server timeout          : 30 sec
       Quiet period            : 60 sec
       Controlled directions   : In (configured:both)
       Protocol version        : 2
       Clear-state time        : Not configured
   

6 注意事項

マルチサプリカントモードでダイナミックVLANを使用する場合、内部リソースを消費します。
このリソースは、ACL機能やQoS機能でも使用しており、設定によっては不足する場合があります。
リソースが不足している場合は、認証自体に成功しても通信可能にならないため注意が必要です。

7 関連文書

• WLX402内蔵Radiusサーバー活用例