12.2.2　認証VLANの基本的な設定

認証VLANを使用する上での基本的な設定を説明します。

本装置と認証サーバ1台でシステムを構成した場合の構成図を次の図に示します。

図12‒6　認証VLAN基本構成

認証用VLANと認証済みVLANを設定したあと，VLANaccessAgentの名称を設定し，VLANaccessControllerのIPアドレス，認証済みVLANのVLAN ID，サブネットを設定します。

さらに，各VLAN間のフィルタ設定と，認証用VLANおよび認証済みVLANからサーバ用VLANへのDHCPリレーを設定します。

〈この項の構成〉

(1)　DHCPリレーの設定

［コマンドによる設定］

［コマンドによる設定］

［設定のポイント］: 認証用VLANからはサーバ用VLANに対してHTTP，DHCP，ICMPの通信だけ中継を許可するよう，フィルタ（アクセスリスト）を設定します。また，DHCPの動的IPアドレスを取得要求のパケットを中継許可するよう，フィルタ（アクセスリスト）を設定します。

［コマンドによる設定］

(config)# ip access-list extended 100

(config-ext-nacl)# permit tcp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq http

(config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 255.255.255.255 eq bootps

(config-ext-nacl)# permit udp 192.168.2.0 0.0.0.255 host 192.168.64.1 eq bootps

(config-ext-nacl)# permit icmp 192.168.2.0 0.0.0.255 host 192.168.64.1

(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255

(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.64.1

(config-ext-nacl)# deny ip any any

アクセスリストを設定します。
(config)# interface vlan 2

(config-if)# ip access-group 100 in

VLAN2にアクセスグループ100を設定します。

［コマンドによる設定］