10.4.2 RADIUSサーバの準備
MAC認証のRADIUS認証方式を使用するに当たっては,事前にMACアドレスとパスワードをRADIUSサーバに設定する必要があります。
また,本装置のMAC認証機能が使用するRADIUSの属性を示します。
(1) ユーザIDの登録
MACアドレスの照合用としてRADIUSのユーザIDにMACアドレスを登録します。MACアドレスは16進文字列で半角英数字(英字はa〜fの小文字)を用い,12文字で指定します。
また,固定VLANモードで,RADIUSでの照合時にMACアドレスだけでなくVLAN IDも照合したい場合は,次に示す形式でMACアドレスとVLAN IDを表す文字列とをつないだものをユーザIDとして登録してください。
|
|
![[図データ]](./GRAPHICS/ZU208540.GIF)
(2) パスワードの登録
次のどちらかをパスワードとして設定します。
-
ユーザIDに登録したMACアドレスと同一のMACアドレス
-
ユーザIDに共通の文字列
(3) 認証後VLANの設定
ダイナミックVLANモードで認証成功後に切り替える認証後VLANを次のように設定します。
-
Tunnel-TypeにVirtual LANs(VLAN)を設定(値13)します。
-
Tunnel-Medium-Typeに6を設定します。
-
Tunnel-Private-Group-IDにVLAN IDを次の形式で設定します。
-
数字文字で設定
例:VLAN IDが2048の場合,文字列で2048を設定
-
文字列”VLAN”に続いてVLAN IDを数字文字で設定
例:VLAN IDが2048の場合,VLAN2048を設定
-
コンフィグレーションコマンドnameで設定したVLAN名称を設定
-
なお,Tunnel-Type,Tunnel-Medium-Type,およびTunnel-Private-Group-IDの三つの属性がすべて設定されていない状態でダイナミックVLANモードで使用した場合,認証後VLANとしてネイティブVLANを適用します。
(4) MAC認証機能が使用するRADIUSサーバの属性
認証方式としてPAPを設定します。また,MAC認証が使用するRADIUSの属性を次の表に示します。なお,RADIUSサーバの詳細な設定方法については,使用するRADIUSサーバの説明書を参照してください。
|
属性名 |
Type値 |
説明 |
|---|---|---|
|
User-Name |
1 |
MACアドレス,または「図10‒10 MACアドレス+VLAN ID登録形式」で生成した値を指定します。 |
|
User-Password |
2 |
MACアドレス,またはコンフィグレーションコマンドで設定されたパスワードを指定します。 |
|
NAS-IP-Address |
4 |
ループバックインタフェースのIPアドレス指定時はループバックインタフェースのIPアドレスを格納し,指定されていなければRADIUSサーバと通信するインタフェースのIPアドレスを格納します。 |
|
Service-Type |
6 |
Framed(2)を設定します。 |
|
Calling-Station-Id |
31 |
認証端末のMACアドレス(小文字ASCII,“-”区切り)を指定します。 例:00-12-e2-01-23-45 |
|
NAS-Identifier |
32 |
固定VLANモードでは,認証端末を収容しているVLAN IDを数字文字列で指定します。 例:VLAN ID 100の場合 100 ダイナミックVLANモードでは,コンフィグレーションコマンドhostnameで指定された装置名を指定します。 |
|
NAS-Port-Type |
61 |
Virtual(5)を設定します。 |
|
NAS-IPv6-Address |
95 |
ループバックインタフェースのIPv6アドレス指定時はループバックインタフェースのIPv6アドレスを格納し,指定されていなければRADIUSサーバと通信するインタフェースのIPv6アドレスを格納します。ただし,IPv6リンクローカルアドレスで通信する場合は,ループバックインタフェースのIPv6アドレス設定の有無にかかわらず,送信インタフェースのIPv6リンクローカルアドレスを格納します。 |
|
属性名 |
Type値 |
説明 |
|---|---|---|
|
Service-Type |
6 |
Framed(2)が返却される:MAC認証ではチェックしません。 |
|
Reply-Message |
18 |
(未使用) |
|
Tunnel-Type |
64 |
ダイナミックVLANモード時に使用します。 VLANを示す13であるかをチェックします。 固定VLANモード時は使用しません。 |
|
Tunnel-Medium-Type |
65 |
ダイナミックVLANモード時に使用します。 IEEE802.1Xと同様の値6のTunnel-Medium-Typeであるかをチェックします。 固定VLANモード時は使用しません。 |
|
Tunnel-Private-Group-Id |
81 |
ダイナミックVLANモード時に使用します。 VLANを表す数字文字列または“VLANxx” xxはVLAN IDを表します。 ただし,先頭の1オクテットの内容が0x00〜0x1fの場合は,Tagを表しているので,この場合は2オクテット目からの値がVLANを表します。先頭の1オクテットの内容が0x20以上の場合は,先頭からVLANを表します。 また,コンフィグレーションコマンドnameで設定されたVLAN名称が指定された場合は,VLAN名称に対応するVLAN IDを使用します。 固定VLANモード時は使用しません。 |
|
属性名 |
Type値 |
説明 |
|---|---|---|
|
User-Name |
1 |
MACアドレス,または「図10‒10 MACアドレス+VLAN ID登録形式」で生成した値を指定します。 |
|
NAS-IP-Address |
4 |
NASのIPアドレスを格納します。 ループバックインタフェースのIPアドレス設定時は,ループバックインタフェースのIPアドレスを格納します。なお,これ以外は,サーバと通信するインタフェースのIPアドレスを格納します。 |
|
Service-Type |
6 |
Framed(2)を設定します。 |
|
Calling-Station-Id |
31 |
端末のMACアドレス(小文字ASCII,“-”区切り)を設定します。 例:00-12-e2-01-23-45 |
|
NAS-Identifier |
32 |
固定VLANモードでは,認証端末を収容しているVLAN IDを数字文字列で設定します。 例:VLAN ID 100の場合 100 ダイナミックVLANモードでは,コンフィグレーションコマンドhostnameで指定された装置名を指定します。 |
|
Acct-Status-Type |
40 |
認証成功時にStart(1),認証解除時にStop(2)を格納します。 |
|
Acct-Delay-Time |
41 |
イベント発生時から送信するまでに要した時間(秒)を格納します。 |
|
Acct-Session-Id |
44 |
Accounting情報を識別するID(認証成功,認証解除に関しては同じ値です)。 |
|
Acct-Authentic |
45 |
認証方式を示すRADIUS,Localのどちらかを格納します。 |
|
Acct-Session-Time |
46 |
認証解除するまでの時間(秒)を格納します。 |
|
NAS-Port-Type |
61 |
Virtual(5)を設定します。 |
|
NAS-IPv6-Address |
95 |
NASのIPv6アドレスを格納します。 ループバックインタフェースのIPv6アドレス設定時は,ループバックインタフェースのIPv6アドレスを格納します。なお,これ以外は,サーバと通信するインタフェースのIPv6アドレスを格納します。ただし,IPv6リンクローカルアドレスで通信する場合は,ループバックインタフェースのIPv6アドレス設定の有無にかかわらず,送信インタフェースのIPv6リンクローカルアドレスを格納します。 |