ポート認証機能

ポート認証機能

1. 機能概要

ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。

image

2. 用語の定義

IEEE 802.1X

LAN接続時に使用する認証規格。

オーセンティケータ

LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

サプリカント

オーセンティケータに接続して認証を受ける機器またはソフトウェア。

認証サーバー

オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。

EAP (Extended authentication protocol)

PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。

EAP over LAN (EAPOL)

EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。

EAP over Radius

EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。

EAP-MD5 (Message digest algorithm 5)

ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。

EAP-TLS (Transport Layer Security)

サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。

EAP-TTLS (Tunneled TLS)

EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。

EAP-PEAP (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。

3. 機能詳細

ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式、MAC認証方式、およびWeb認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。

MAC認証 IEEE 802.1X認証 Web認証

認証要素

MACアドレス

ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP)

ユーザー名とパスワード

認証対象(サプリカント)

機器

機器またはユーザー

機器またはユーザー

サプリカントに必要な機能

なし

IEEE 802.1X認証機能

Web ブラウザ

認証時の操作

なし

ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP)

ユーザー名とパスワード入力

本製品は、認証サーバーとしてRADIUSサーバーを想定します。

また、本製品のポート認証機能には以下の制限がありますので、ご注意ください。

  • 認証可能なサプリカント数は、シングルホストモード/マルチホストモードは各ポートで1つ、マルチサプリカントモードはシステム全体で 512 までとなります。

  • プライベートVLANポート上で使用することはできません。

  • ボイスVLANポート上で使用することはできません。

  • ポート認証機能が有効な場合、認証結果に応じてスパニングツリーのトポロジーチェンジが発生します。
    これを回避したい場合、サプリカントを接続する認証ポートでspanning-tree edgeportを設定してください。

  • Web認証はマルチサプリカントモードでのみ利用できます。

  • Web認証はゲストVLANと併用できません。

  • スタック機能を利用しているとき、Web認証画面カスタマイズ用ファイルは、メインスイッチに保存されているファイルが参照されます。

  • スタック機能を利用しているとき、メンバースイッチが追加されると、論理インターフェースに接続されていたサプリカントの認証情報はクリアされます。

  • スタック機能を利用しているとき、メインスイッチからメンバースイッチに降格する場合、接続されていたサプリカントの認証情報はクリアされます。

  • トランクポートは、マルチサプリカントモードのみ利用できます。

  • トランクポートは、ダイナミックVLAN、および、ゲストVLANを使用できません。

  • トランクポートでL2MS機能を併用する場合は、ネイティブVLANをありに設定する必要があります。

  • ダイナミックVLANによって以下のサプリカントのVLANを変更した場合、認証機能が正しく動作しないことがあります。

    • DHCPサーバー

    • L2MS対応機器

3.1. IEEE 802.1X認証

IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。

本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行うオーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。

本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。

クライアント認証方法 サーバー認証方法 導入しやすさ 安全度

EAP-MD5

ユーザー名、パスワード入力

認証しない

簡単

EAP-TLS

クライアント証明書

サーバー証明書

複雑

EAP-TTLS

ユーザー名、パスワード入力

サーバー証明書

EAP-PEAP

ユーザー名、パスワード入力

サーバー証明書

使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。

IEEE 802.1X認証の基本的な手順は以下の図のようになります。
image

サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。

認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

3.2. MAC認証

MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。

MAC認証の基本的な手順は以下の図のようになります。

image

本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスをユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
なお、MAC認証のスタティック登録の設定(auth-mac static コマンド)により、スタティックエントリーとして登録することができます。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを登録しておく必要があります。

  • XX-XX-XX-XX-XX-XX (ハイフン区切り)

  • XX:XX:XX:XX:XX:XX (コロン区切り)

  • XXXXXXXXXXXX (区切りなし)

本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。

3.3. Web認証

Web認証は、サプリカントのWebブラウザからユーザー名とパスワードを入力することでユーザーを認証する機能です。

Webブラウザとスイッチ間の通信方式はHTTPに対応しています。
Web認証ではHTTPでの通信を使って認証を行う関係上、認証前であっても本製品とサプリカント間でIP通信ができる必要があります。
DHCPサーバーからIPアドレスをサプリカントに割り当てるか、サプリカント側で静的にIPアドレスを指定してください。

Web認証はマルチサプリカントモードでのみ動作します。
また、ゲストVLANとの併用はできません。

Web認証の基本的な手順は以下の図のようになります。

image

本製品は、サプリカントのWebブラウザで入力されたユーザー名およびパスワードをRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。

3.3.1. サプリカント側の操作

サプリカントのWebブラウザからIPv4 TCP80番ポート宛のアクセスが行われたとき、以下のような認証画面を表示します。

+
image::web-auth-default.png[image,width=700, role=th]

認証を受けるにはユーザー名とパスワードを入力して「ログイン」ボタンをクリックしてください。

FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
また認証に連続して3回失敗すると一時的に認証が制限されます。

3.3.2. 認証画面のカスタマイズ

Web認証画面の表示内容は編集したHTMLファイル、CSSファイル、および画像ファイルを本製品にコピーすることで下記部分をカスタマイズすることができます。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外です。

image
  1. ヘッダー
    ヘッダー部分は、header.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。

  2. 画像ファイル
    用意した画像ファイルを本製品にコピーすることで画像ファイルの変更が可能です。

  3. 入力フォーム
    入力フォームの見た目はstyle.cssによって決定されます。文字列などの変更はできませんが、style.cssを編集して本製品にコピーすることで入力フォームのデザインを変更できます。

  4. フッター
    フッター部分は、footer.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。

以下ではWeb認証画面の変更方法について説明します。

3.3.2.1. 認証画面カスタマイズ用ファイルの準備

Web認証画面のカスタマイズに使うファイルは以下のとおりです。

  • header.html

  • footer.html

  • logo.png

  • style.css

header.html、footer.html、およびstyle.cssはWebブラウザーを使ってスイッチから入手できます。
たとえば、スイッチのIPアドレスが192.168.100.240だった場合、Web認証が有効なポートに接続されたPCから以下のURLでファイルにアクセスできるので、ブラウザーの「名前を付けて保存」などを使ってPCに保存してください。

保存の際には拡張子を「.html」または「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
画像ファイルlogo.pngについては、PC上に任意の画像ファイルを用意してlogo.pngというファイル名で保存してください。
ファイルサイズの上限は1MBです。

3.3.2.2. 認証画面カスタマイズ用ファイルの編集

PC上で前述のHTMLファイルとCSSファイルを適宜編集します。
各ファイルはHTML、CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。

  • header.html、footer.htmlから参照できる画像ファイルはlogo.pngだけです。

  • HTML/CSSファイルの拡張子は必ず「.html」および「.css」にし、文字エンコーディングはUTF-8に統一してください。

3.3.2.3. 認証画面カスタマイズ用ファイルの設置

各ファイルの準備ができたら、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置してください。
ファイル設置後は copy auth-web custom-file コマンド、または copy startup-config コマンドでスイッチに認証画面カスタマイズ用のファイルをコピーしてください。

起動中のCONFIGが保存されているフォルダの配下に下記のファイルが存在する場合、これらを使ってWeb認証画面が生成されます。
起動中のCONFIG番号は show environment コマンドで確認することができます。
また、SDカード内のCONFIGを使って起動している場合でも、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置することでWeb認証画面のカスタマイズが可能です。

  • header.html
    認証画面から参照されるヘッダー部分として使用されます。このファイルが存在しない場合、オリジナルのheader.htmlが使用されます。

  • footer.html
    認証画面から参照されるフッター部分として使用されます。このファイルが存在しない場合、オリジナルのfooter.htmlが使用されます。

  • logo.png
    認証画面左上のロゴマーク部分に使用されます。このファイルが存在しない場合、オリジナルのヤマハロゴが表示されます。

  • style.css
    認証画面から参照される「style.css」として使用されます。このファイルが存在しない場合、オリジナルのstyle.cssが使用されます。

編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスして表示を確認してください。
さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。

3.3.2.4. カスタマイズのとりやめ

認証画面のカスタマイズをやめたい場合は、起動中のCONFIGが保存されているフォルダからカスタマイズ用のファイルを削除してください。オリジナルの認証画面に戻ります。
ファイルの削除は erase auth-web custom-file コマンド、または erase startup-config コマンドで行うことができます。
ただし、 erase startup-config コマンドではconfig.txt等も削除されるため、コマンド実施前にconfig.txt等をSDカード等にコピーしてバックアップをとるようにしてください。

3.4. 認証機能の併用

本製品では、同一ポート上でIEEE 802.1X認証、MAC認証、Web認証をそれぞれ併用することができます。
併用時の認証は、認証順序の設定(auth orderコマンド)にしたがって順番に行われ、デフォルト設定の場合はIEEE 802.1X認証が優先されます。
Web認証においては、Web認証画面でID/Passwordを入力したときに認証方式をWeb認証へ移行し認証を行います。

複数の認証方式が併用されている場合の基本動作は以下のようになります。

  • IEEE 802.1X認証とMAC認証を併用し、IEEE 802.1X認証が優先の場合

    image

  • IEEE 802.1X認証とMAC認証を併用し、MAC認証が優先の場合

    image

  • Web認証とIEEE 802.1X認証/MAC認証を併用している場合

    image

note

  • いずれか一つの方式で認証に成功すれば、認証成功となります。

  • 再認証の設定が有効な場合は、認証に成功した方式で再認証を行います。

  • 認証方式を併用している場合、未認証ポートでの転送制御の設定は受信破棄になります。

  • IEEE 802.1X認証とMAC認証を併用している場合、未認証のサプリカントからEAPOL startを受信することでMAC認証動作中であってもIEEE 802.1X認証へ移行します。

  • IEEE 802.1X認証とMAC認証を併用している場合、最初の認証方式に失敗しても認証抑止期間に入らず次の認証方式に移行します。

  • IEEE 802.1X認証とMAC認証を併用している場合は、サプリカントから任意のイーサネットフレームを受信すると、本製品からEAPのRequestが送信されます。

  • Web認証を併用している場合、未認証サプリカントはstatic/discardでFDBに登録されます。

3.5. ホストモード

本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。

本製品では、ホストモードして以下を選択できます。

  • シングルホストモード
    1つのLAN/SFPポートにつき、1サプリカントのみ通信を許可するモード。
    最初に認証成功したサプリカントのみ、通信を許可します。

  • マルチホストモード
    1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
    あるサプリカントが認証に成功して通信が許可されると、同じLAN/SFPポートに接続している他のサプリカントも同様に、認証に成功したサプリカントと同じVLAN上で通信を許可します。

  • マルチサプリカントモード
    1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
    各サプリカントをMACアドレスで識別し、サプリカント単位で通信を許可します。
    ダイナミックVLAN機能を使用することで、サプリカント単位でVLANを指定することができます。

3.6. ダイナミックVLAN

本製品のIEEE 802.1X認証、MAC認証、および、Web認証で、ダイナミックVLANに対応します。
ダイナミックVLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。

image

上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの所属VLANは10として、VLAN 10上で通信を許可します。

RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。

  • Tunnel-Type = VLAN (13)

  • Tunnel-Medium-Type = IEEE-802 (6)

  • Tunnel-Private-Group-ID = VLAN ID

ダイナミックVLANを利用する場合、各ホストモードで以下の動作となります。

  • シングルホストモード
    認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。

  • マルチホストモード
    認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
    同じポートに接続されたその他のサプリカントも同じVLAN上で通信を許可します。

  • マルチサプリカントモード
    認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
    サプリカント単位でVLANを指定することができます。

3.7. 未認証・認証失敗ポートのVLAN

本製品のIEEE 802.1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを特定のVLANに割り当てることができます。
マルチサプリカントモードの場合は、サプリカント単位で指定することができます。

image

上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。

3.8. EAPパススルー機能

EAPパススルーの有効/無効を切り替え、EAPOLフレームの転送可否を設定することができます。
802.1X認証機能が有効なインターフェースについては認証機能を優先し、EAPパススルーの設定は適用されません。

3.9. RADIUSサーバーに通知する属性値

RADIUSサーバーに、NAS-Identifier属性値を通知することができます。
auth radius attribute nas-identifier コマンドで設定した文字列を、NAS-Identifier属性値としてRADIUSサーバーへ通知します。

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目 操作コマンド

システム全体でのIEEE 802.1X認証機能の設定

aaa authentication dot1x

システム全体でのMAC認証機能の設定

aaa authentication auth-mac

システム全体でのWeb認証機能の設定

aaa authentication auth-web

IEEE 802.1X認証機能の動作モード設定

dot1x port-control

IEEE 802.1X認証の未認証ポートでの転送制御の設定

dot1x control-direction

EAPOLパケットの再送回数の設定

dot1x max-auth-req

MAC認証機能の設定

auth-mac enable

MAC認証時のMACアドレス形式の設定

auth-mac auth-user

MAC認証のスタティック登録の設定

auth-mac static

Web認証機能の設定

auth-web enable

Web認証成功後のリダイレクト先URLの設定

auth-web redirect-url

Web認証画面カスタマイズ用ファイルのコピー

copy auth-web custom-file

Web認証画面カスタマイズ用ファイルの削除

erase auth-web custom-file

ホストモードの設定

auth host-mode

認証順序の設定

auth order

再認証の設定

auth reauthentication

ダイナミックVLANの設定

auth dynamic-vlan-creation

ゲストVLANの設定

auth guest-vlan

認証失敗後の抑止期間の設定

auth timeout quiet-period

再認証間隔の設定

auth timeout reauth-period

RADIUSサーバー全体の応答待ち時間の設定

auth timeout server-timeout

サプリカント応答待ち時間の設定

auth timeout supp-timeout

RADIUSサーバーホストの設定

radius-server host

RADIUSサーバー1台あたりの応答待ち時間の設定

radius-server timeout

RADIUSサーバーへの要求再送回数の設定

radius-server retransmit

RADIUSサーバー共有パスワードの設定

radius-server key

RADIUSサーバー使用抑制時間の設定

radius-server deadtime

RADIUSサーバーに通知するNAS-Identifier属性の設定

auth radius attribute nas-identifier

ポート認証情報の表示

show auth status

RADIUSサーバー設定情報の表示

show radius-server

サプリカント情報の表示

show auth supplicant

統計情報の表示

show auth statistics

統計情報のクリア

clear auth statistics

認証状態のクリア

clear auth state

認証状態をクリアする時刻の設定(システム)

auth clear-state time

認証状態をクリアする時刻の設定(インターフェース)

auth clear-state time

EAPパススルーの設定

pass-through eap

5. コマンド実行例

5.1. IEEE 802.1X認証の設定

IEEE 802.1X認証を使用できるように設定します。

image

  • LANポート #1 は、サプリカントを接続する認証ポートとします。

  • ホストモードマルチサプリカントモード とします。

  • ゲストVLAN をVLAN #10 とします。

  • 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

  1. ゲストVLAN用にVLAN #10 を定義します。

    Yamaha(config)#vlan database
    Yamaha(config-vlan)#vlan 10 (1)
    Yamaha(config-vlan)#exit
    1 VLAN #10の定義
  2. システム全体で、IEEE 802.1X認証機能を有効にします。

    Yamaha(config)#aaa authentication dot1x
  3. LANポート #1 で、IEEE 802.1X認証の設定を行います。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#dot1x port-control auto (1)
    Yamaha(config-if)#auth host-mode multi-supplicant (2)
    Yamaha(config-if)#auth guest-vlan 10 (3)
    Yamaha(config-if)#exit
    1 IEEE 802.1X認証の動作モードをautoにする
    2 ホストモードをマルチサプリカントモードにする
    3 ゲストVLANをVLAN #10にする
  4. RADIUSサーバーの設定を行います。

    Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
    1 ホストを192.168.100.101、共有パスワードを"test1"にする
  5. RADIUSサーバー設定情報を確認します。

    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
  6. ポート認証情報を確認します。

    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Enabled
      MAC-Based Authentication         : Disabled
      WEB-Based Authentication         : Disabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:auto)
        MAC Authentication      : Disabled (configured:disable)
        WEB Authentication      : Enabled (configured:disable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Enabled (VLAN ID:10)
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured

5.2. MAC認証の設定

MAC認証を使用できるように設定します。

image

  • LANポート #1 は、サプリカントを接続する認証ポートとします。

  • ホストモードマルチサプリカントモード とします。

  • 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

  1. システム全体で、MAC認証機能を有効にします。

    Yamaha(config)#aaa authentication auth-mac
  2. LANポート #1 で、MAC認証の設定を行います。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#auth-mac enable (1)
    Yamaha(config-if)#auth host-mode multi-supplicant (2)
    Yamaha(config-if)#exit
    1 MAC認証を有効にする
    2 ホストモードをマルチサプリカントモードにする
  3. RADIUSサーバーの設定を行います。

    Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
    1 ホストを192.168.100.101、共有パスワードを"test1"にする
  4. RADIUSサーバー設定情報を確認します。

    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
  5. ポート認証情報を確認します。

    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Disabled
      MAC-Based Authentication         : Enabled
      WEB-Based Authentication         : Disabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:-)
        MAC Authentication      : Enabled (configured:enable)
        WEB Authentication      : Disabled (configured:disable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Disabled
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured
        Authentication status   : Unauthorized

5.3. Web認証の設定

Web認証を使用できるように設定します。

image

  • LANポート #1 は、サプリカントを接続する認証ポートとします。

  • サプリカントのIPアドレスは 192.168.100.10 が設定されているものとします。

  • 接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

  1. IP通信を行うためオーセンティケータにIPアドレスを設定します。

    Yamaha(config)#interface valn1
    Yamaha(config-if)#ip address 192.168.100.240/24
    Yamaha(config-if)#exit
  2. システム全体でWeb認証機能を有効にします。

    Yamaha(config)#aaa authentication auth-web
  3. LANポート #1 で、Web認証の設定を行います。

    Yamaha(config)#interface port1.1
    Yamaha(config-if)#auth host-mode multi-supplicant (1)
    Yamaha(config-if)#auth-web enable (2)
    Yamaha(config-if)#exit
    1 ホストモードをマルチサプリカントモードにする
    2 Web認証を有効にする
  4. RADIUSサーバーの設定を行います。

    Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
    1 ホストを192.168.100.101、共有パスワードを"test1"にする
  5. RADIUSサーバー設定情報を確認します。

    Yamaha#show radius-server
    Server Host : 192.168.100.101
      Authentication Port : 1812
      Secret Key          : test1
      Timeout             : 5 sec
      Retransmit Count    : 3
      Deadtime            : 0 min
  6. ポート認証情報を確認します。

    Yamaha#show auth status
    [System information]
      802.1X Port-Based Authentication : Disabled
      MAC-Based Authentication         : Disabled
      WEB-Based Authentication         : Enabled
    
      Clear-state time : Not configured
    
      Redirect URL :
        Not configured
    
      RADIUS server address :
        192.168.100.101 (port:1812)
    
    [Interface information]
      Interface port1.1 (up)
        802.1X Authentication   : Force Authorized (configured:-)
        MAC Authentication      : Disabled (configured:disable)
        WEB Authentication      : Enabled (configured:enable)
        Host mode               : Multi-supplicant
        Dynamic VLAN creation   : Disabled
        Guest VLAN              : Disabled
        Reauthentication        : Disabled
        Reauthentication period : 3600 sec
        MAX request             : 2 times
        Supplicant timeout      : 30 sec
        Server timeout          : 30 sec
        Quiet period            : 60 sec
        Controlled directions   : In (configured:both)
        Protocol version        : 2
        Clear-state time        : Not configured

6. 注意事項

マルチサプリカントモードでダイナミックVLANを使用する場合、内部リソースを消費します。
このリソースは、ACL機能やQoS機能でも使用しており、設定によっては不足する場合があります。
リソースが不足している場合は、認証自体に成功しても通信可能にならないため注意が必要です。