コンフィグレーションガイド Vol.2

9.1.3 ダイナミックVLANモードのコンフィグレーション

〈この項の構成〉

(1) ローカル認証方式の基本的な設定

ローカル認証方式を使用する際の基本的な設定を次の図に示します。なお,端末のIPアドレスは,認証前は本装置内DHCPサーバから配布し,認証後は外部DHCPサーバから配布します。

さらに,認証前VLANと認証後VLAN間の通信を禁止するフィルタを設定します。

図9‒4 ダイナミックVLANモードのローカル認証方式の基本構成

[図データ]

(a) 認証ポートの設定

[設定のポイント]

Web認証で使用するポートを設定します。

[コマンドによる設定]

  1. (config)# interface gigabitethernet 0/4

    (config-if)# switchport mode mac-vlan

    (config-if)# switchport mac native vlan 10

    (config-if)# web-authentication port

    (config-if)# exit

    認証を行う端末が接続されているポートにMAC VLANとWeb認証を設定します。

  2. (config)# interface range gigabitethernet 0/9-10

    (config-if-range)# switchport mode access

    (config-if-range)# switchport access vlan 50

    (config-if-range)# exit

    認証後にアクセスするネットワークのポートを指定します。

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]

認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]

  1. (config)# interface vlan 10

    (config-if)# ip address 192.168.10.254 255.255.255.0

    (config-if)# exit

    (config)# interface vlan 50

    (config-if)# ip address 192.168.50.254 255.255.255.0

    (config-if)# exit

    認証前VLANと認証後VLANに各IPアドレスを設定します。

(c) 認証専用IPv4アクセスリストの設定

[設定のポイント]

認証前状態の端末から本装置の外部への通信を許可する認証専用IPv4アクセスリストを設定します。

[コマンドによる設定]

  1. (config)# ip access-list extended 100

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1

    (config-ext-nacl)# exit

    (config)# interface gigabitethernet 0/4

    (config-if)# authentication ip access-group 100

    (config-if)# authentication arp-relay

    (config-if)# exit

    認証前の端末から本装置内DHCPサーバ向けのDHCPパケットとVLAN10のデフォルトゲートウェイ(IPアドレス192.168.10.1)へのアクセスを許可する認証専用IPv4アクセスリストを設定します。さらに,ARPパケットを本装置の外部に転送させるよう設定します。

(d) VLAN間の通信を禁止する

[設定のポイント]

認証前VLANと認証後VLAN間の通信を禁止する設定をします。

[コマンドによる設定]

  1. (config)# ip access-list extended 110

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 10

    (config-if)# ip access-group 110 in

    (config-if)# exit

  2. (config)# ip access-list extended 150

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.50.100 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc

    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 50

    (config-if)# ip access-group 150 in

    (config-if)# exit

    認証前VLANと認証後VLAN間で通信させないように設定します。

(e) Web認証の設定

[設定のポイント]

Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]

  1. (config)# web-authentication ip address 10.10.10.1

    Web認証専用のIPアドレス(IPv4アドレス)を設定します。

  2. (config)# web-authentication system-auth-control

    Web認証を起動します。

(2) RADIUS認証方式の基本的な設定

RADIUS認証方式を使用する際の基本的な設定を次の図に示します。なお,端末のIPアドレスは,認証前は本装置内DHCPサーバから配布し,認証後は外部DHCPサーバから配布します。

さらに,認証前VLANと認証後VLAN間の通信を禁止するフィルタを設定します。

図9‒5 ダイナミックVLANモードのRADIUS認証方式の基本構成

[図データ]

(a) 認証ポートの設定

[設定のポイント]

Web認証で使用するポートを設定します。

[コマンドによる設定]

  1. (config)# interface gigabitethernet 0/4

    (config-if)# switchport mode mac-vlan

    (config-if)# switchport mac native vlan 10

    (config-if)# web-authentication port

    (config-if)# exit

    認証を行う端末が接続されているポートにMAC VLANとWeb認証を設定します。

  2. (config)# interface range gigabitethernet 0/9-10

    (config-if-range)# switchport mode access

    (config-if-range)# switchport access vlan 50

    (config-if-range)# exit

    認証後にアクセスするネットワークのポートを指定します。

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]

認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]

  1. (config)# interface vlan 10

    (config-if)# ip address 192.168.10.254 255.255.255.0

    (config-if)# exit

    (config)# interface vlan 50

    (config-if)# ip address 192.168.50.254 255.255.255.0

    (config-if)# exit

    認証前VLANと認証後VLANに各IPアドレスを設定します。

(c) 認証専用IPv4アクセスリストの設定

[設定のポイント]

認証前状態の端末から本装置の外部への通信を許可する認証専用IPv4アクセスリストを設定します。

[コマンドによる設定]

  1. (config)# ip access-list extended 100

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1

    (config-ext-nacl)# exit

    (config)# interface gigabitethernet 0/4

    (config-if)# authentication ip access-group 100

    (config-if)# authentication arp-relay

    (config-if)# exit

    認証前の端末から本装置内DHCPサーバ向けのDHCPパケットとVLAN 10のデフォルトゲートウェイ(IPアドレス192.168.10.1)へのアクセスを許可する認証専用IPv4アクセスリストを設定します。さらに,ARPパケットを本装置の外部に転送させるよう設定します。

(d) VLAN間の通信を禁止する

[設定のポイント]

認証前VLANと認証後VLAN間の通信を禁止する設定をします。

[コマンドによる設定]

  1. (config)# ip access-list extended 110

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 10

    (config-if)# ip access-group 110 in

    (config-if)# exit

  2. (config)# ip access-list extended 150

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.50.100 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc

    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 50

    (config-if)# ip access-group 150 in

    (config-if)# exit

    認証前VLANと認証後VLAN間で通信させないように設定します。

(e) Web認証の設定

[設定のポイント]

Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]

  1. (config)# web-authentication ip address 10.10.10.1

    Web認証専用のIPアドレス(IPv4アドレス)を設定します。

  2. (config)# aaa authentication web-authentication default group radius

    (config)# radius-server host 192.168.10.200 key "webauth"

    ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。

  3. (config)# web-authentication system-auth-control

    Web認証を起動します。

(3) RADIUS認証方式+認証前に外部DHCPサーバ使用時の設定

RADIUS認証方式で認証前および認証後に,端末のIPアドレスをそれぞれの外部DHCPサーバから配布する際の構成を次に示します。

さらに,認証前VLANと認証後VLAN間の通信を禁止するフィルタを設定します。

図9‒6 ダイナミックVLANモードのRADIUS認証方式+外部DHCPサーバ使用時の構成

[図データ]

(a) 認証ポートの設定

[設定のポイント]

Web認証で使用するポートを設定します。

[コマンドによる設定]

  1. (config)# interface gigabitethernet 0/4

    (config-if)# switchport mode mac-vlan

    (config-if)# switchport mac native vlan 10

    (config-if)# web-authentication port

    (config-if)# exit

    認証を行う端末が接続されているポートにMAC VLANとWeb認証を設定します。

  2. (config)# interface range gigabitethernet 0/9-10

    (config-if-range)# switchport mode access

    (config-if-range)# switchport access vlan 50

    (config-if-range)# exit

    認証後にアクセスするネットワークのポートを指定します。

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]

認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]

  1. (config)# interface vlan 10

    (config-if)# ip address 192.168.10.254 255.255.255.0

    (config-if)# exit

    (config)# interface vlan 50

    (config-if)# ip address 192.168.50.254 255.255.255.0

    (config-if)# exit

    認証前VLANと認証後VLANに各IPアドレスを設定します。

(c) 認証専用IPv4アクセスリストの設定

[設定のポイント]

認証前状態の端末から本装置の外部への通信を許可する認証専用IPv4アクセスリストを設定します。

[コマンドによる設定]

  1. (config)# ip access-list extended 100

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.100 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit ip host 192.168.10.0 host 192.168.10.1

    (config-ext-nacl)# exit

    (config)# interface gigabitethernet 0/4

    (config-if)# authentication ip access-group 100

    (config-if)# authentication arp-relay

    (config-if)# exit

    認証前の端末から外部DHCPサーバ向けのDHCPパケットとVLAN 10のデフォルトゲートウェイ(IPアドレス192.168.10.1)へのアクセスを許可する認証専用IPv4アクセスリストを設定します。さらに,ARPパケットを本装置の外部に転送させるよう設定します。

(d) VLAN間の通信を禁止する

[設定のポイント]

認証前VLANと認証後VLAN間の通信を禁止する設定をします。

[コマンドによる設定]

  1. (config)# ip access-list extended 110

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.10.254 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit udp host 192.168.10.100 any eq bootpc

    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 10

    (config-if)# ip access-group 110 in

    (config-if)# exit

  2. (config)# ip access-list extended 150

    (config-ext-nacl)# permit udp host 0.0.0.0 host 192.168.50.100 eq bootps

    (config-ext-nacl)# permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

    (config-ext-nacl)# permit udp host 192.168.50.100 any eq bootpc

    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 192.168.50.0 0.0.0.255

    (config-ext-nacl)# deny ip any any

    (config-ext-nacl)# exit

    (config)# interface vlan 50

    (config-if)# ip access-group 150 in

    (config-if)# exit

    認証前VLANと認証後VLAN間で通信させないように設定します。

(e) Web認証の設定

[設定のポイント]

Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]

  1. (config)# web-authentication ip address 10.10.10.1

    Web認証専用のIPアドレス(IPv4アドレス)を設定します。

  2. (config)# aaa authentication web-authentication default group radius

    (config)# radius-server host 192.168.10.200 key "webauth"

    ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。

  3. (config)# web-authentication system-auth-control

    Web認証を起動します。

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2005, 2020, ALAXALA Networks, Corp.