コンフィグレーションガイド Vol.2


6.1.1 サポート機能

本装置でサポートする機能を以下に示します。

〈この項の構成〉

(1) 認証動作モード

本装置でサポートする認証動作モード(PAEモード)はAuthenticatorです。本装置がSupplicantとして動作することはありません。

(2) 認証方式

本装置でサポートする認証方式はRADIUSサーバ認証です。端末から受信したEAPOLパケットをEAPoverRADIUSに変換し,認証処理はRADIUSサーバで行います。RADIUSサーバはEAP対応されている必要があります。

本装置が使用するRADIUSの属性名を「表6‒2 認証で使用する属性名(その1 Access-Request)」から「表6‒5 認証で使用する属性名(その4 Access-Reject)」に示します。

表6‒2 認証で使用する属性名(その1 Access-Request)

属性名

Type値

説明

User-Name

1

認証されるユーザ名。

NAS-IP-Address

4

認証を要求している,Authenticator(本装置)のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレス。

NAS-Port

5

Supplicantを認証している認証単位のIfIndex。

Service-Type

6

提供するサービスタイプ。

Framed(2)固定。

Framed-MTU

12

Supplicant〜Authenticator間の最大フレームサイズ。

(1466)固定。

State

24

AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。

Called-Station-Id

30

ブリッジやアクセスポイントのMACアドレス。本装置のMACアドレス(ASCII,"-"区切り)。

Calling-Station-Id

31

SupplicantのMACアドレス(ASCII,"-"区切り)。

NAS-Identifier

32

Authenticatorを識別する文字列(ホスト名の文字列)。

NAS-Port-Type

61

Authenticatorがユーザ認証に使用している,物理ポートのタイプ。

Ethernet(15)固定。

Connect-Info

77

Supplicantのコネクションの特徴を示す文字列。

ポート単位認証:

物理ポート(“CONNECT Ethernet”)

CHポート(“CONNECT Port-Channel ”)

VLAN単位認証(静的):(“CONNECT VLAN”)

VLAN単位認証(動的):(“CONNECT DVLAN”)

EAP-Message

79

EAPパケットをカプセル化する。

Message-Authenticator

80

RADIUS/EAPパケットを保護するために使用する。

NAS-Port-Id

87

Supplicantを認証するAuthenticatorのポートを識別するための文字列。

ポート単位認証:“Port x/y”,“ChGr x”

VLAN単位認証(静的):“VLAN x”

VLAN単位認証(動的):“DVLAN x”

(x,yには数字が入る)

NAS-IPv6-Address

95

認証を要求している,Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレス。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。

表6‒3 認証で使用する属性名(その2 Access-Challenge)

属性名

Type値

説明

Reply-Message

18

ユーザに表示されるメッセージ。

State

24

AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。

Session-Timeout

27

Supplicantへ送信したEAP-Requestに対する応答待ちタイムアウト値。

EAP-Message

79

EAPパケットをカプセル化する。

Message-Authenticator

80

RADIUS/EAPパケットを保護するために使用する。

表6‒4 認証で使用する属性名(その3 Access-Accept)

属性名

Type値

説明

Service-Type

6

提供するサービスタイプ。

Framed(2)固定。

Filter-Id

11

Supplicantのセッションに適用されるフィルタ・リストの名前。

ポート単位認証の端末認証モード,およびVLAN単位認証(静的)でだけ意味を持つ。ただし,適用可能なフィルタが認証専用IPv4アクセスリスト固定であるため,"0"以外の値が設定されていた場合に有効。

Reply-Message

18

ユーザに表示されるメッセージ。

Session-Timeout

27

Supplicantの再認証タイマ値。

Termination-Action

29

Radiusサーバからの再認証タイマ満了時のアクション指示。

Tunnel-Type

64

トンネル・タイプ。VLAN単位認証(動的)でだけ意味を持つ。

VLAN(13)固定。

Tunnel-Medium-Type

65

トンネルを作成する際のプロトコル。VLAN単位認証(動的)でだけ意味を持つ。

IEEE802(6)固定。

EAP-Message

79

EAPパケットをカプセル化する。

Message-Authenticator

80

RADIUS/EAPパケットを保護するために使用する。

Tunnel-Private-Group-ID

81

VLANを識別する文字列。Accept時は,認証済みのSupplicantに割り当てるVLANを意味する。

VLAN単位認証(動的)でだけ意味を持つ。

次に示す文字列が対応する。

(1)VLAN IDを示す文字列

(2)"VLAN"+VLAN IDを示す文字列

(3)コンフィグレーションコマンドnameで指定したVLAN名称を示す文字列

文字列にスペースを含んではいけない(含めた場合VLAN割り当ては失敗する)。

(設定例)

VLAN10の場合

(1)の場合 "10"

(2)の場合 "VLAN10"

(3)の場合 "business-office"

Acct-Interim-Interval

85

Interimパケット送信間隔(秒)。

60以上を設定するとInterimパケットが送信される(60未満では送信しない)。

この値を設定する場合,600以上にすることを推奨する。600未満にした場合ネットワークのトラフィックが増大するため注意が必要である。

注※

RADIUSから返送されるAccess-AcceptでTermination-ActionがRadius-Request(1)の場合,同時に設定されたSession-Timeoutの値が,再認証するまでの時間(単位:秒)となります。なお,Session-Timeoutの値によって次に示す動作となります。

0 :再認証は無効となります。

1〜60 :再認証タイマ値を60秒として動作します。

61〜65535:設定された値で動作します。

表6‒5 認証で使用する属性名(その4 Access-Reject)

属性名

Type値

説明

Reply-Message

18

ユーザに表示されるメッセージ。

EAP-Message

79

EAPパケットをカプセル化する。

Message-Authenticator

80

RADIUS/EAPパケットを保護するために使用する。

(3) 認証アルゴリズム

本装置でサポートする認証アルゴリズムを次の表に示します。

表6‒6 サポートする認証アルゴリズム

認証アルゴリズム

概要

EAP-MD5-Challenge

UserPasswordとチャレンジ値の比較を行う。

EAP-TLS

証明書発行機構を使用した認証方式。

EAP-PEAP

EAP-TLSトンネル上で,ほかのEAP認証アルゴリズムを用いて認証する。

次に示す2種類の認証方式に対応。

  • PEAP-MS-CHAP V2:パスワードベースの資格情報を使用した認証方式

  • PEAP-TLS:証明証発行機構を使用した認証方式

EAP-TTLS

EAP-TLSトンネル上で,他方式(EAP,PAP,CHAPなど)の認証アルゴリズムを用いて認証する。

(4) RADIUS Accounting機能

本装置はRADIUS Accounting機能をサポートします。この機能はIEEE802.1X認証で認証許可となった端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し,利用状況追跡を行えるようにするための機能です。RADIUS AuthenticationサーバとRADIUS Accountingサーバを別のサーバに設定することによって,認証処理とアカウンティング処理の負荷を分散させることができます。

RADIUS Accounting機能を使用する際に,RADIUSサーバに送信される情報を次の表に示します。

表6‒7 RADIUS Accountingがサポートする属性

属性名

Type値

解説

アカウンティング要求種別による送信の有無

start

stop

Interim-

Update

User-Name

1

認証されるユーザ名。

NAS-IP-Address

4

認証を要求している,Authenticator(本装置)のIPアドレス。

ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレス。

NAS-Port

5

Supplicantを認証している認証単位のIfIndex。

Service-Type

6

提供するサービスタイプ。

Framed(2)固定。

Calling-Station-Id

31

SupplicantのMACアドレス(ASCII,"-"区切り)。

NAS-Identifier

32

Authenticatorを識別する文字列。(ホスト名の文字列)

Acct-Status-Type

40

Accounting要求種別

Start(1),Stop(2),Interim-Update(3)

Acct-Delay-Time

41

Accounting情報送信遅延時間(秒)

Acct-Input-Octets

42

Accounting情報(受信オクテット数)。

(0)固定。

Acct-Output-Octets

43

Accounting情報(送信オクテット数)。

(0)固定。

Acct-Session-Id

44

Accounting情報を識別するID(認証成功,認証解除に関しては同じ値)。

Acct-Authentic

45

認証方式(RADIUS(1),Local(2),Remote(3))

Acct-Session-Time

46

Accounting情報(セッション持続時間)

Acct-Input-Packets

47

Accounting情報(受信パケット数)。

(0)固定。

Acct-Output-Packets

48

Accounting情報(送信パケット数)。

(0)固定。

Acct-Terminate-Cause

49

Accounting情報(セッション終了要因)

詳細は,「表6‒8 Acct-Terminate-Causeでの切断要因」を参照。

User Request (1),

Lost Carrier (2),

Admin Reset (6),

Reauthentication Failure (20),

Port Reinitialized (21)

NAS-Port-Type

61

Authenticatorがユーザ認証に使用している,物理ポートのタイプ。

Ethernet(15)固定。

NAS-Port-Id

87

Supplicantを認証するAuthenticatorのポートを識別するために使用する。

NAS-Port-Idは,可変長のストリングであり,NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。

ポート単位認証:“Port x/y”,“ChGr x”

VLAN単位認証(静的):“VLAN x”

VLAN単位認証(動的):“DVLAN x”

(x,yには数字が入る)

NAS-IPv6-Address

95

認証を要求している,Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPv6アドレス。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。

(凡例) ○:送信する −:送信しない

表6‒8 Acct-Terminate-Causeでの切断要因

切断要因

解説

User Request

1

Supplicantからの要求で切断した。

  • 認証端末からlogoffを受信した場合

Lost Carrier

2

モデムのキャリア信号がなくなった。

  • 内部エラー

Admin Reset

6

管理者の意思で切断した。

  • 認証単位でコンフィグレーションを削除した場合

  • force-authorizedを設定した場合

  • force-unauthorizedを設定した場合

  • force-authorized-portを設定した場合

Reauthentication Failure

20

再認証に失敗した。

Port Reinitialized

21

ポートのMACが再初期化された。

  • リンクダウンした場合

  • clear dot1x auth-stateを実行した場合

(5) syslogサーバへの動作ログ記録

IEEE802.1Xの内部動作ログをsyslogサーバに出力できます。なお,内部動作ログと同じ項目が出力されます。syslogサーバへの出力形式を次の図に示します。

図6‒3 syslogサーバへの出力形式

[図データ]

また,コンフィグレーションコマンドdot1x logging enableおよびlogging event-kindによって,出力を開始および停止できます。