ポート認証機能

1. 機能概要

ポート認証機能は機器またはユーザーを認証する機能です。
LAN/SFPポートに接続された機器を認証し、認証に成功した機器のみLANへのアクセスを許可することができます。
また、未認証の機器や認証に失敗した機器は、LANへのアクセスを拒否したり、特定のVLANへのアクセスのみ許可することができます。

2. 用語の定義

IEEE 802.1X

LAN接続時に使用する認証規格。

オーセンティケータ

LAN/SFPポートに接続されたサプリカントを認証する機器またはソフトウェア。
サプリカントと認証サーバーの間を中継し、認証の成否によりLANへのアクセスを制御します。

サプリカント

オーセンティケータに接続して認証を受ける機器またはソフトウェア。

認証サーバー

オーセンティケータを介して、接続されたサプリカントを認証する機器またはソフトウェア。
ユーザー名、パスワード、MACアドレス、所属VLAN等の認証情報を管理します。

EAP (Extended authentication protocol)

PPPを拡張して各種の認証方式を使用できるようにした認証プロトコル。
RFC3748で規定されます。

EAP over LAN (EAPOL)

EAPパケットをサプリカントとオーセンティケータ間で伝送するためのプロトコル。

EAP over Radius

EAPパケットをオーセンティケータと認証サーバー(RADIUSサーバー)間で伝送するためのプロトコル。

EAP-MD5 (Message digest algorithm 5)

ユーザー名とパスワードによるクライアント認証。
MD5ハッシュ値を使用して認証します。

EAP-TLS (Transport Layer Security)

サーバーとクライアントの電子証明書による相互認証。
トランスポート層を暗号化して電子証明書を交換して認証します。
RFC2716、RFC5216で規定されます。

EAP-TTLS (Tunneled TLS)

EAP-TLSの拡張版。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。
RFC5281で規定されます。

EAP-PEAP (Protected EAP)

動作原理はEAP-TTLSと同等(暗号トンネル内のプロトコルの違いのみ)。
サーバーの電子証明書を用いてTLS通信路を構築し、その暗号化された通信路内でパスワードによりクライアントを認証します。

3. 機能詳細

ポート認証機能の動作仕様について以下に示します。
本製品は、ポート認証機能としてIEEE 802.1X認証方式、MAC認証方式、およびWeb認証方式をサポートします。
各認証方式には、以下の表に示す特徴があります。

	MAC認証	IEEE 802.1X認証	Web認証
認証要素	MACアドレス	ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP)	ユーザー名とパスワード
認証対象(サプリカント)	機器	機器またはユーザー	機器またはユーザー
サプリカントに必要な機能	なし	IEEE 802.1X認証機能	Web ブラウザ
認証時の操作	なし	ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP)	ユーザー名とパスワード入力

MAC認証

IEEE 802.1X認証

Web認証

認証要素

MACアドレス

ユーザー名とパスワード (EAP-MD5,EAP-TTLS,EAP-PEAP)

ユーザー名とパスワード

認証対象(サプリカント)

機器

機器またはユーザー

サプリカントに必要な機能

なし

IEEE 802.1X認証機能

Web ブラウザ

認証時の操作

なし

ユーザー名とパスワード入力 (EAP-MD5,EAP-TTLS,EAP-PEAP)

ユーザー名とパスワード入力

本製品は、認証サーバーとしてRADIUSサーバーを想定します。

また、本製品のポート認証機能には以下の制限がありますので、ご注意ください。

認証可能なサプリカント数は、シングルホストモード／マルチホストモードは各ポートで1つ、マルチサプリカントモードはシステム全体で 512 までとなります。
プライベートVLANポート上で使用することはできません。
ボイスVLANポート上で使用することはできません。
ポート認証機能が有効な場合、認証結果に応じてスパニングツリーのトポロジーチェンジが発生します。
これを回避したい場合、サプリカントを接続する認証ポートでspanning-tree edgeportを設定してください。
Web認証はマルチサプリカントモードでのみ利用できます。
Web認証はゲストVLANと併用できません。
スタック機能を利用しているとき、Web認証画面カスタマイズ用ファイルは、メインスイッチに保存されているファイルが参照されます。
スタック機能を利用しているとき、メンバースイッチが追加されると、論理インターフェースに接続されていたサプリカントの認証情報はクリアされます。
スタック機能を利用しているとき、メインスイッチからメンバースイッチに降格する場合、接続されていたサプリカントの認証情報はクリアされます。
トランクポートは、マルチサプリカントモードのみ利用できます。
トランクポートは、ダイナミックVLAN、および、ゲストVLANを使用できません。
トランクポートでL2MS機能を併用する場合は、ネイティブVLANをありに設定する必要があります。
同一のトランクポート上でサプリカントのVLAN間移動はサポート対象外です。サプリカントが別のVLANに移動した場合、正しく認証できないことがあります。
ダイナミックVLANによって以下のサプリカントのVLANを変更した場合、認証機能が正しく動作しないことがあります。
- DHCPサーバー
- L2MS対応機器
ACL機能とダイナミックVLANおよびゲストVLANを併用した場合、VLANインターフェースへのACL設定が正しく適用されない場合があります。

3.1. IEEE 802.1X認証

IEEE 802.1X認証では、EAPを使用して機器またはユーザー単位で認証を行います。
認証を受けるサプリカントは、IEEE 802.1X認証に対応している必要があります。

本製品は、サプリカントとはEAP over LAN、RADIUSサーバーとはEAP over RADIUSを使用して通信を行うオーセンティケータとして動作します。
認証処理自体はサプリカントとRADIUSサーバー間で直接行われます。

本製品は、認証方式として、EAP-MD5、EAP-TLS、EAP-TTLS、EAP-PEAPに対応します。
各認証方式の特徴を以下の表に示します。

	クライアント認証方法	サーバー認証方法	導入しやすさ	安全度
EAP-MD5	ユーザー名、パスワード入力	認証しない	簡単	低
EAP-TLS	クライアント証明書	サーバー証明書	複雑	高
EAP-TTLS	ユーザー名、パスワード入力	サーバー証明書	中	中
EAP-PEAP	ユーザー名、パスワード入力	サーバー証明書	中	中

クライアント認証方法

サーバー認証方法

導入しやすさ

安全度

EAP-MD5

ユーザー名、パスワード入力

認証しない

簡単

低

EAP-TLS

クライアント証明書

サーバー証明書

複雑

高

EAP-TTLS

ユーザー名、パスワード入力

サーバー証明書

中

EAP-PEAP

ユーザー名、パスワード入力

サーバー証明書

中

使用する認証方式にあわせて、サプリカント、RADIUSサーバーの設定をしてください。

IEEE 802.1X認証の基本的な手順は以下の図のようになります。

サプリカントがLANへ接続され、サプリカントが通信開始メッセージ(EAPOL-Start)を送信することで認証を開始されます。

認証に成功すると、サプリカントに認証成功(Success)を通知し、サプリカントのMACアドレスをFDBに登録することで、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントに認証失敗(Failure)を通知され、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

3.2. MAC認証

MAC認証では、機器のMACアドレスを使用して機器単位で認証を行います。
認証を受けるサプリカントに特別な機能が不要なため、IEEE 802.1X認証に対応していない機器でも認証可能です。

MAC認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントから任意のイーサネットフレームを受信すると、サプリカントのMACアドレスをユーザー名およびパスワードとしてRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
なお、MAC認証のスタティック登録の設定(auth-mac static コマンド)により、スタティックエントリーとして登録することができます。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。
(未認証の状態でもゲストVLANが設定されている場合、特定のVLANへのアクセスを許可することも可能です。)

RADIUSサーバーには、ユーザー名とパスワードとして、以下のいずれかの形式で、サプリカントのMACアドレスを登録しておく必要があります。

XX-XX-XX-XX-XX-XX (ハイフン区切り)
XX:XX:XX:XX:XX:XX (コロン区切り)
XXXXXXXXXXXX (区切りなし)

本製品では、 auth-mac auth-user コマンドで、RADIUSサーバーに問い合わせるMACアドレスの形式を変更できます。
RADIUSサーバーに登録されているMACアドレスの形式にしたがってコマンドを適切に設定してください。

3.3. Web認証

Web認証は、サプリカントのWebブラウザからユーザー名とパスワードを入力することでユーザーを認証する機能です。

Webブラウザとスイッチ間の通信方式はHTTPに対応しています。
Web認証ではHTTPでの通信を使って認証を行う関係上、認証前であっても本製品とサプリカント間でIP通信ができる必要があります。
DHCPサーバーからIPアドレスをサプリカントに割り当てるか、サプリカント側で静的にIPアドレスを指定してください。

Web認証はマルチサプリカントモードでのみ動作します。
また、ゲストVLANとの併用はできません。

Web認証の基本的な手順は以下の図のようになります。

本製品は、サプリカントのWebブラウザで入力されたユーザー名およびパスワードをRADIUSサーバーに問い合わせます。
本製品とRADIUSサーバー間の認証方式は、EAP-MD5を使用します。

認証に成功すると、FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。

認証に失敗すると、サプリカントのネットワークアクセスを拒否します。

3.3.1. サプリカント側の操作

サプリカントのWebブラウザからIPv4 TCP80番ポート宛のアクセスが行われたとき、以下のような認証画面を表示します。

認証を受けるにはユーザー名とパスワードを入力して「ログイン」ボタンをクリックしてください。

FDBにサプリカントのMACアドレスを登録して、サプリカントのネットワークアクセスを許可します。
また認証に連続して3回失敗すると一時的に認証が制限されます。

3.3.2. 認証画面のカスタマイズ

Web認証画面の表示内容は編集したHTMLファイル、CSSファイル、および画像ファイルを本製品にコピーすることで下記部分をカスタマイズすることができます。
HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外です。

ヘッダー
ヘッダー部分は、header.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。
画像ファイル
用意した画像ファイルを本製品にコピーすることで画像ファイルの変更が可能です。
入力フォーム
入力フォームの見た目はstyle.cssによって決定されます。文字列などの変更はできませんが、style.cssを編集して本製品にコピーすることで入力フォームのデザインを変更できます。
フッター
フッター部分は、footer.htmlとstyle.cssによって構成されます。これらのファイルを編集して本製品にコピーすることでカスタマイズが可能です。

以下ではWeb認証画面の変更方法について説明します。

認証画面カスタマイズ用ファイルの準備

Web認証画面のカスタマイズに使うファイルは以下のとおりです。

header.html
footer.html
logo.png
style.css

header.html、footer.html、およびstyle.cssはWebブラウザーを使ってスイッチから入手できます。
たとえば、スイッチのIPアドレスが192.168.100.240だった場合、Web認証が有効なポートに接続されたPCから以下のURLでファイルにアクセスできるので、ブラウザーの「名前を付けて保存」などを使ってPCに保存してください。

保存の際には拡張子を「.html」または「.css」にし、文字エンコーディングを「UTF-8」に設定して保存してください。
画像ファイルlogo.pngについては、PC上に任意の画像ファイルを用意してlogo.pngというファイル名で保存してください。
ファイルサイズの上限は1MBです。

認証画面カスタマイズ用ファイルの編集

PC上で前述のHTMLファイルとCSSファイルを適宜編集します。
各ファイルはHTML、CSSの仕様にしたがって自由に記述できますが、下記の点にはご注意ください。

header.html、footer.htmlから参照できる画像ファイルはlogo.pngだけです。
HTML/CSSファイルの拡張子は必ず「.html」および「.css」にし、文字エンコーディングはUTF-8に統一してください。

認証画面カスタマイズ用ファイルの設置

各ファイルの準備ができたら、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置してください。
ファイル設置後は copy auth-web custom-file コマンド、または copy startup-config コマンドでスイッチに認証画面カスタマイズ用のファイルをコピーしてください。

起動中のCONFIGが保存されているフォルダの配下に下記のファイルが存在する場合、これらを使ってWeb認証画面が生成されます。
起動中のCONFIG番号は show environment コマンドで確認することができます。
また、SDカード内のCONFIGを使って起動している場合でも、SDカード内の /機種名/startup-config/web-auth/ に各ファイルを設置することでWeb認証画面のカスタマイズが可能です。

header.html
認証画面から参照されるヘッダー部分として使用されます。このファイルが存在しない場合、オリジナルのheader.htmlが使用されます。
footer.html
認証画面から参照されるフッター部分として使用されます。このファイルが存在しない場合、オリジナルのfooter.htmlが使用されます。
logo.png
認証画面左上のロゴマーク部分に使用されます。このファイルが存在しない場合、オリジナルのヤマハロゴが表示されます。
style.css
認証画面から参照される「style.css」として使用されます。このファイルが存在しない場合、オリジナルのstyle.cssが使用されます。

編集済みファイルの配置が完了したら、ブラウザーからWeb認証画面にアクセスして表示を確認してください。
さらに変更が必要なときは、PC上のファイルを編集しなおして、再転送してください。

カスタマイズのとりやめ

認証画面のカスタマイズをやめたい場合は、起動中のCONFIGが保存されているフォルダからカスタマイズ用のファイルを削除してください。オリジナルの認証画面に戻ります。
ファイルの削除は erase auth-web custom-file コマンド、または erase startup-config コマンドで行うことができます。
ただし、 erase startup-config コマンドではconfig.txt等も削除されるため、コマンド実施前にconfig.txt等をSDカード等にコピーしてバックアップをとるようにしてください。

3.4. 認証機能の併用

本製品では、同一ポート上でIEEE 802.1X認証、MAC認証、Web認証をそれぞれ併用することができます。
併用時の認証は、認証順序の設定(auth orderコマンド)にしたがって順番に行われ、デフォルト設定の場合はIEEE 802.1X認証が優先されます。
Web認証においては、Web認証画面でID/Passwordを入力したときに認証方式をWeb認証へ移行し認証を行います。

複数の認証方式が併用されている場合の基本動作は以下のようになります。

IEEE 802.1X認証とMAC認証を併用し、IEEE 802.1X認証が優先の場合
IEEE 802.1X認証とMAC認証を併用し、MAC認証が優先の場合
Web認証とIEEE 802.1X認証／MAC認証を併用している場合

note

いずれか一つの方式で認証に成功すれば、認証成功となります。
再認証の設定が有効な場合は、認証に成功した方式で再認証を行います。
認証方式を併用している場合、未認証ポートでの転送制御の設定は受信破棄になります。
IEEE 802.1X認証とMAC認証を併用している場合、未認証のサプリカントからEAPOL startを受信することでMAC認証動作中であってもIEEE 802.1X認証へ移行します。
IEEE 802.1X認証とMAC認証を併用している場合、最初の認証方式に失敗しても認証抑止期間に入らず次の認証方式に移行します。
IEEE 802.1X認証とMAC認証を併用している場合は、サプリカントから任意のイーサネットフレームを受信すると、本製品からEAPのRequestが送信されます。
Web認証を併用している場合、未認証サプリカントはstatic/discardでFDBに登録されます。

3.5. ホストモード

本製品では、ポート認証機能において、ホストモードを選択できます。
ホストモードとは、認証ポートで対象サプリカントの通信をどのように許可するかを示すものです。

本製品では、ホストモードして以下を選択できます。

シングルホストモード
1つのLAN/SFPポートにつき、1サプリカントのみ通信を許可するモード。
最初に認証成功したサプリカントのみ、通信を許可します。
マルチホストモード
1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
あるサプリカントが認証に成功して通信が許可されると、同じLAN/SFPポートに接続している他のサプリカントも同様に、認証に成功したサプリカントと同じVLAN上で通信を許可します。
マルチサプリカントモード
1つのLAN/SFPポートにつき、複数のサプリカントの通信を許可するモード。
各サプリカントをMACアドレスで識別し、サプリカント単位で通信を許可します。
ダイナミックVLAN機能を使用することで、サプリカント単位でVLANを指定することができます。

3.6. ダイナミックVLAN

本製品のIEEE 802.1X認証、MAC認証、および、Web認証で、ダイナミックVLANに対応します。
ダイナミックVLANとは、RADIUSサーバーから通知された認証情報のVLAN属性値に基づいて、認証ポートの所属VLANを変更する機能です。

上の図のように、ポートの所属VLANが1、認証情報で通知されたVLAN属性値が10の場合、認証成功後、認証ポートの所属VLANは10として、VLAN 10上で通信を許可します。

RADIUSサーバーに対して、サーバーからの認証情報に以下の属性値が含まれるように設定してください。

Tunnel-Type = VLAN (13)
Tunnel-Medium-Type = IEEE-802 (6)
Tunnel-Private-Group-ID = VLAN ID

ダイナミックVLANを利用する場合、各ホストモードで以下の動作となります。

シングルホストモード
認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
マルチホストモード
認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
同じポートに接続されたその他のサプリカントも同じVLAN上で通信を許可します。
マルチサプリカントモード
認証に成功したサプリカントのVLAN属性値に基づいて認証ポートの所属VLANを変更します。
サプリカント単位でVLANを指定することができます。

3.7. 未認証・認証失敗ポートのVLAN

本製品のIEEE 802.1X認証とMAC認証では、ゲストVLAN設定をすることにより、未認証のポートや認証に失敗したポートを特定のVLANに割り当てることができます。
マルチサプリカントモードの場合は、サプリカント単位で指定することができます。

上の図のように、認証に成功していないサプリカントにも制限されたネットワークで一部の機能を提供したい場合に有用です。

3.8. RADIUSサーバー無応答時の認証

本製品では、RADIUSサーバー無応答時に、認証が成功したものとして動作させることができます。
RADIUSサーバー無応答時の認証の設定 (auth no-response-authorized コマンド) を有効にすることで、IEEE802.1X認証、MAC認証、WEB認証の各認証において、
RADIUSサーバーからの応答がなくタイムアウトした場合、それぞれの認証方式で認証が成功したものとして動作します。
なお、本機能を使用する場合は再認証の設定をしてください。再認証の間隔を適切に設定することで、一時的に認証許可された状態を限定的にすることができます。

本機能が有効かつRADIUSサーバー無応答と判定したときは、以下の動作になります
- RADIUSサーバーからの応答がタイムアウトしたときの認証方式にしたがって認証を許可します
- IEEE802.1X認証では、サプリカントの仕様などによって正常に動作しない場合があります
- RADIUSサーバーが複数設定されている場合、すべてのRADIUSサーバーからの応答が無かった場合にのみ、認証成功とします
- ダイナミックVLANを使用している場合であっても、ポートに設定されているVLANで動作します
- すべてのサプリカントを認証許可にするため、ゲストVLANは動作しません
- RADIUSサーバーホストの設定がない場合は、本機能を設定していても認証成功しません
注意事項
- セキュリティ上の問題となる恐れがあるため、本機能を使用する際はセキュリティーポリシーを十分に検討したうえでご利用ください

3.9. EAPパススルー機能

EAPパススルーの有効/無効を切り替え、EAPOLフレームの転送可否を設定することができます。
802.1X認証機能が有効なインターフェースについては認証機能を優先し、EAPパススルーの設定は適用されません。

3.10. RADIUSサーバーに通知する属性値

RADIUSサーバーに、NAS-Identifier属性値を通知することができます。
auth radius attribute nas-identifier コマンドで設定した文字列を、NAS-Identifier属性値としてRADIUSサーバーへ通知します。

4. 関連コマンド

関連コマンドについて、以下に示します。
コマンドの詳細は、コマンドリファレンスを参照願います。

操作項目	操作コマンド
システム全体でのIEEE 802.1X認証機能の設定	aaa authentication dot1x
システム全体でのMAC認証機能の設定	aaa authentication auth-mac
システム全体でのWeb認証機能の設定	aaa authentication auth-web
IEEE 802.1X認証機能の動作モード設定	dot1x port-control
IEEE 802.1X認証の未認証ポートでの転送制御の設定	dot1x control-direction
EAPOLパケットの再送回数の設定	dot1x max-auth-req
MAC認証機能の設定	auth-mac enable
MAC認証時のMACアドレス形式の設定	auth-mac auth-user
MAC認証のスタティック登録の設定	auth-mac static
Web認証機能の設定	auth-web enable
Web認証成功後のリダイレクト先URLの設定	auth-web redirect-url
Web認証画面カスタマイズ用ファイルのコピー	copy auth-web custom-file
Web認証画面カスタマイズ用ファイルの削除	erase auth-web custom-file
ホストモードの設定	auth host-mode
認証順序の設定	auth order
再認証の設定	auth reauthentication
ダイナミックVLANの設定	auth dynamic-vlan-creation
ゲストVLANの設定	auth guest-vlan
認証失敗後の抑止期間の設定	auth timeout quiet-period
再認証間隔の設定	auth timeout reauth-period
RADIUSサーバー全体の応答待ち時間の設定	auth timeout server-timeout
サプリカント応答待ち時間の設定	auth timeout supp-timeout
RADIUSサーバーホストの設定	radius-server host
RADIUSサーバー1台あたりの応答待ち時間の設定	radius-server timeout
RADIUSサーバーへの要求再送回数の設定	radius-server retransmit
RADIUSサーバー共有パスワードの設定	radius-server key
RADIUSサーバー使用抑制時間の設定	radius-server deadtime
RADIUSサーバーに通知するNAS-Identifier属性の設定	auth radius attribute nas-identifier
RADIUSサーバー無応答時の認証の設定	auth no-response-authorized
ポート認証情報の表示	show auth status
RADIUSサーバー設定情報の表示	show radius-server
サプリカント情報の表示	show auth supplicant
統計情報の表示	show auth statistics
統計情報のクリア	clear auth statistics
認証状態のクリア	clear auth state
認証状態をクリアする時刻の設定(システム)	auth clear-state time
認証状態をクリアする時刻の設定(インターフェース)	auth clear-state time
EAPパススルーの設定	pass-through eap

操作項目

操作コマンド

システム全体でのIEEE 802.1X認証機能の設定

aaa authentication dot1x

システム全体でのMAC認証機能の設定

aaa authentication auth-mac

システム全体でのWeb認証機能の設定

aaa authentication auth-web

IEEE 802.1X認証機能の動作モード設定

dot1x port-control

IEEE 802.1X認証の未認証ポートでの転送制御の設定

dot1x control-direction

EAPOLパケットの再送回数の設定

dot1x max-auth-req

MAC認証機能の設定

auth-mac enable

MAC認証時のMACアドレス形式の設定

auth-mac auth-user

MAC認証のスタティック登録の設定

auth-mac static

Web認証機能の設定

auth-web enable

Web認証成功後のリダイレクト先URLの設定

auth-web redirect-url

Web認証画面カスタマイズ用ファイルのコピー

copy auth-web custom-file

Web認証画面カスタマイズ用ファイルの削除

erase auth-web custom-file

ホストモードの設定

auth host-mode

認証順序の設定

auth order

再認証の設定

auth reauthentication

ダイナミックVLANの設定

auth dynamic-vlan-creation

ゲストVLANの設定

auth guest-vlan

認証失敗後の抑止期間の設定

auth timeout quiet-period

再認証間隔の設定

auth timeout reauth-period

RADIUSサーバー全体の応答待ち時間の設定

auth timeout server-timeout

サプリカント応答待ち時間の設定

auth timeout supp-timeout

RADIUSサーバーホストの設定

radius-server host

RADIUSサーバー1台あたりの応答待ち時間の設定

radius-server timeout

RADIUSサーバーへの要求再送回数の設定

radius-server retransmit

RADIUSサーバー共有パスワードの設定

radius-server key

RADIUSサーバー使用抑制時間の設定

radius-server deadtime

RADIUSサーバーに通知するNAS-Identifier属性の設定

auth radius attribute nas-identifier

RADIUSサーバー無応答時の認証の設定

auth no-response-authorized

ポート認証情報の表示

show auth status

RADIUSサーバー設定情報の表示

show radius-server

サプリカント情報の表示

show auth supplicant

統計情報の表示

show auth statistics

統計情報のクリア

clear auth statistics

認証状態のクリア

clear auth state

認証状態をクリアする時刻の設定(システム)

auth clear-state time

認証状態をクリアする時刻の設定(インターフェース)

auth clear-state time

EAPパススルーの設定

pass-through eap

5. コマンド実行例

5.1. IEEE 802.1X認証の設定

IEEE 802.1X認証を使用できるように設定します。

LANポート #1 は、サプリカントを接続する認証ポートとします。
ホストモード は マルチサプリカントモード とします。
ゲストVLAN をVLAN #10 とします。
接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

ゲストVLAN用にVLAN #10 を定義します。

Yamaha(config)#vlan database
Yamaha(config-vlan)#vlan 10 (1)
Yamaha(config-vlan)#exit

1	VLAN #10の定義

システム全体で、IEEE 802.1X認証機能を有効にします。
```
Yamaha(config)#aaa authentication dot1x
```
LANポート #1 で、IEEE 802.1X認証の設定を行います。
```
Yamaha(config)#interface port1.1
Yamaha(config-if)#dot1x port-control auto (1)
Yamaha(config-if)#auth host-mode multi-supplicant (2)
Yamaha(config-if)#auth guest-vlan 10 (3)
Yamaha(config-if)#exit
```
1 IEEE 802.1X認証の動作モードをautoにする

2 ホストモードをマルチサプリカントモードにする

3 ゲストVLANをVLAN #10にする
RADIUSサーバーの設定を行います。
```
Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
```
1 ホストを192.168.100.101、共有パスワードを"test1"にする

RADIUSサーバー設定情報を確認します。

Yamaha#show radius-server
Server Host : 192.168.100.101
  Authentication Port : 1812
  Secret Key          : test1
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

ポート認証情報を確認します。

Yamaha#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Disabled
  WEB-Based Authentication         : Disabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  RADIUS server address :
    192.168.100.101 (port:1812)

[Interface information]
  Interface port1.1 (up)
    802.1X Authentication   : Force Authorized (configured:auto)
    MAC Authentication      : Disabled (configured:disable)
    WEB Authentication      : Enabled (configured:disable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Enabled (VLAN ID:10)
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

5.2. MAC認証の設定

MAC認証を使用できるように設定します。

LANポート #1 は、サプリカントを接続する認証ポートとします。
ホストモード は マルチサプリカントモード とします。
接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

システム全体で、MAC認証機能を有効にします。
```
Yamaha(config)#aaa authentication auth-mac
```
LANポート #1 で、MAC認証の設定を行います。
```
Yamaha(config)#interface port1.1
Yamaha(config-if)#auth-mac enable (1)
Yamaha(config-if)#auth host-mode multi-supplicant (2)
Yamaha(config-if)#exit
```
1 MAC認証を有効にする

2 ホストモードをマルチサプリカントモードにする
RADIUSサーバーの設定を行います。
```
Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
```
1 ホストを192.168.100.101、共有パスワードを"test1"にする

RADIUSサーバー設定情報を確認します。

Yamaha#show radius-server
Server Host : 192.168.100.101
  Authentication Port : 1812
  Secret Key          : test1
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

ポート認証情報を確認します。

Yamaha#show auth status
[System information]
  802.1X Port-Based Authentication : Disabled
  MAC-Based Authentication         : Enabled
  WEB-Based Authentication         : Disabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  RADIUS server address :
    192.168.100.101 (port:1812)

[Interface information]
  Interface port1.1 (up)
    802.1X Authentication   : Force Authorized (configured:-)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Disabled (configured:disable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured
    Authentication status   : Unauthorized

5.3. Web認証の設定

Web認証を使用できるように設定します。

LANポート #1 は、サプリカントを接続する認証ポートとします。
サプリカントのIPアドレスは　192.168.100.10　が設定されているものとします。
接続するRADIUSサーバーのIPアドレスは 192.168.100.101 とします。

■設定手順

IP通信を行うためオーセンティケータにIPアドレスを設定します。

Yamaha(config)#interface valn1
Yamaha(config-if)#ip address 192.168.100.240/24
Yamaha(config-if)#exit

システム全体でWeb認証機能を有効にします。
```
Yamaha(config)#aaa authentication auth-web
```
LANポート #1 で、Web認証の設定を行います。
```
Yamaha(config)#interface port1.1
Yamaha(config-if)#auth host-mode multi-supplicant (1)
Yamaha(config-if)#auth-web enable (2)
Yamaha(config-if)#exit
```
1 ホストモードをマルチサプリカントモードにする

2 Web認証を有効にする
RADIUSサーバーの設定を行います。
```
Yamaha(config)#radius-server host 192.168.100.101 key test1 (1)
```
1 ホストを192.168.100.101、共有パスワードを"test1"にする

RADIUSサーバー設定情報を確認します。

Yamaha#show radius-server
Server Host : 192.168.100.101
  Authentication Port : 1812
  Secret Key          : test1
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

ポート認証情報を確認します。

Yamaha#show auth status
[System information]
  802.1X Port-Based Authentication : Disabled
  MAC-Based Authentication         : Disabled
  WEB-Based Authentication         : Enabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  RADIUS server address :
    192.168.100.101 (port:1812)

[Interface information]
  Interface port1.1 (up)
    802.1X Authentication   : Force Authorized (configured:-)
    MAC Authentication      : Disabled (configured:disable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

6. 注意事項

マルチサプリカントモードでダイナミックVLANを使用する場合、内部リソースを消費します。
このリソースは、ACL機能やQoS機能でも使用しており、設定によっては不足する場合があります。
リソースが不足している場合は、認証自体に成功しても通信可能にならないため注意が必要です。

1	IEEE 802.1X認証の動作モードをautoにする
2	ホストモードをマルチサプリカントモードにする
3	ゲストVLANをVLAN #10にする

1	MAC認証を有効にする
2	ホストモードをマルチサプリカントモードにする

1	ホストモードをマルチサプリカントモードにする
2	Web認証を有効にする