コンフィグレーションガイド Vol.2


6.2.4 RADIUSサーバ接続機能

〈この項の構成〉

(1) RADIUSサーバとの接続

RADIUSサーバは最大4台まで指定できます。指定時には,サーバのIPv4アドレス,IPv6アドレスまたはホスト名を指定できますが,IEEE802.1XではIPv4アドレスまたはIPv6アドレスでの指定を推奨します。ホスト名を指定する場合は,「5.4.2 RADIUSサーバ使用時の注意」を参照の上,指定してください。ホスト名を指定したときに複数のアドレスが解決できた場合は,優先順序に従いIPアドレスを一つ決定し,RADIUSサーバと通信を行います。優先順序の詳細については,「コンフィグレーションガイド Vol.1」 「11.1 解説」を参照してください。また,本装置とRADIUSサーバとの接続は,認証の対象外となっているポートを使用してください。

RADIUSサーバへの接続は,コンフィグレーションの順に行い,接続に失敗したときは次のRADIUSサーバとの接続を試みます。すべてのRADIUSサーバとの接続に失敗した場合は,端末にEAP-Failureを送信して認証シーケンスを終了します。

RADIUSサーバとの接続後に認証シーケンスの途中で通信タイムアウトを検出した場合は,端末にEAP-Failureを送信し,認証シーケンスを終了します。

(2) VLAN単位認証(動的)でVLANを動的に割り当てるときの設定

本装置でサポートするVLAN単位認証(動的)でVLANの動的割り当てを実施する場合,RADIUSサーバへ次に示す属性を設定する必要があります。属性の詳細については,「表6‒4 認証で使用する属性名(その3 Access-Accept)」を参照してください。

(3) ポート単位認証の端末認証モード,およびVLAN単位認証(静的)で認証端末にフィルタを適用するときの設定

本装置でサポートするポート単位認証の端末認証モード,およびVLAN単位認証(静的)で認証端末に対してフィルタの適用を実施する場合,RADIUSサーバへ次に示す属性を設定する必要があります。属性の詳細については,「表6‒4 認証で使用する属性名(その3 Access-Accept)」を参照してください。

(4) RADIUSサーバでの本装置の識別の設定

RADIUSプロトコルではRADIUSクライアント(NAS)を識別するキーとして,要求パケットの送信元IPアドレスを使用するよう規定されています。本装置では要求パケットの送信元IPアドレスとして次に示すアドレスを使用します。

本装置にローカルアドレスが設定されている場合,RADIUSサーバに登録する本装置のIPアドレスとして,ローカルアドレスで指定したIPアドレスを指定してください。RADIUSサーバと通信する送信インタフェースが特定できない場合であっても,ローカルアドレスを設定することによって,RADIUSサーバに設定する本装置のIPアドレスを特定できるようになります。