コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) ローカル認証方式の基本的な設定
- (2) ローカル認証方式+内蔵DHCPサーバ使用時の構成
- (3) RADIUS認証方式+内蔵DHCPサーバ使用時の構成
- (4) RADIUS認証方式+外部DHCPサーバ+複数の認証後VLAN使用時の構成
(1) ローカル認証方式の基本的な設定
ローカル認証方式を使用する上での基本的な設定を次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,端末側で認証前と認証後に手動で切り替えるものとします。
図9-7 ローカル認証方式の構成例
認証前VLANと認証後VLANを設定し,アクセスリストの設定をしたあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。
(a) 認証ポートの設定
- [設定のポイント]
- Web認証で使用するポートを設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/4
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 50
(config-if)# switchport mac native vlan 10
(config-if)# exit
認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
- (config)# interface gigabitethernet 1/0/9
(config-if)# switchport mode access
(config-if)# switchport access vlan 50
(config-if)# exit
認証後に接続するサーバを接続するポートに認証後VLANを指定します。
(b) VLANインタフェースにIPアドレスを設定
- [設定のポイント]
- 認証前VLANおよび認証後VLANにIPアドレスを設定します。
- [コマンドによる設定]
- (config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0
(config-if)# exit
認証前VLANと認証後VLANに各IPアドレスを設定します。
(c) アクセスリストの設定
- [設定のポイント]
- 認証後VLANと認証前VLANのアクセスリストを設定します。
- [コマンドによる設定]
- (config)# ip access-list extended 100
(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 10
(config-if)# ip access-group 100 in
(config-if)# exit
認証前VLANからは認証後VLANに対して通信を許可しないようアクセスリストを設定します。
- (config)# ip access-list extended 150
(config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 50
(config-if)# ip access-group 150 in
(config-if)# exit
認証後VLANからは認証前VLANに対してアクセスリストを設定します。
(d) Web認証の設定
- [設定のポイント]
- Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。
- [コマンドによる設定]
- (config)# web-authentication vlan 50
Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
- (config)# web-authentication system-auth-control
Web認証を起動します。
(2) ローカル認証方式+内蔵DHCPサーバ使用時の構成
ローカル認証方式に内蔵DHCPサーバを使用してWeb認証を構成した際の設定例を,次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,本装置内蔵のDHCPサーバ機能で割り当てるものとします。
図9-8 ローカル認証方式+内蔵DHCP使用時の構成例
認証前VLANと認証後VLANを設定し,アクセスリスト,DHCPサーバの設定を行ったあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。
(a) 認証ポートの設定
- [設定のポイント]
- Web認証で使用するポートを設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/4
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 50
(config-if)# switchport mac native vlan 10
(config-if)# exit
認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
- (config)# interface range gigabitethernet 1/0/9-10
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 50
(config-if-range)# exit
認証後に接続するサーバを接続するポートに認証後VLANを指定します。
(b) VLANインタフェースにIPアドレスを設定
- [設定のポイント]
- 認証前VLANおよび認証後VLANにIPアドレスを設定します。
- [コマンドによる設定]
- (config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0
(config-if)# exit
認証前VLANと認証後VLANに各IPアドレスを設定します。
(c) アクセスリストの設定
- [設定のポイント]
- 認証後VLANと認証前VLANのアクセスリストを設定します。
- [コマンドによる設定]
- (config)# ip access-list extended 100
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 10
(config-if)# ip access-group 100 in
(config-if)# exit
認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
- (config)# ip access-list extended 150
(config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 50
(config-if)# ip access-group 150 in
(config-if)# exit
認証後VLANからは認証前VLANに対し,Webブラウザからの通信だけ中継を許可するよう,アクセスリストを設定します。
(d) DHCPサーバの設定
- [設定のポイント]
- 端末にIPアドレスを配布するためのDHCPサーバを設定します。
- [コマンドによる設定]
- (config)# service dhcp vlan 10
(config)# ip dhcp excluded-address 192.168.10.1
(config)# ip dhcp excluded-address 192.168.10.254
(config)# ip dhcp pool POOL10
(dhcp-config)# network 192.168.10.0/24
(dhcp-config)# lease 0 0 1
(dhcp-config)# default-router 192.168.10.1
(dhcp-config)# exit
DHCPサーバに認証前VLAN用の設定をします(端末認証に使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.10.1を設定します。)。
- (config)# service dhcp vlan 50
(config)# ip dhcp excluded-address 192.168.50.1
(config)# ip dhcp excluded-address 192.168.50.254
(config)# ip dhcp pool POOL50
(dhcp-config)# network 192.168.50.0/24
(dhcp-config)# lease 0 0 1
(dhcp-config)# default-router 192.168.50.1
(dhcp-config)# exit
DHCPサーバに認証後VLAN用の設定をします(認証された端末で使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.50.1を設定します。)。
(e) Web認証の設定
- [設定のポイント]
- Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。
- [コマンドによる設定]
- (config)# web-authentication vlan 50
Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
- (config)# web-authentication system-auth-control
Web認証を起動します。
(3) RADIUS認証方式+内蔵DHCPサーバ使用時の構成
RADIUS認証方式と内蔵DHCPサーバを使用してWeb認証を構成した際の設定例を,次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,本装置内蔵のDHCPサーバ機能で割り当てるものとします。
図9-9 Web認証のRADIUS認証方式+内蔵DHCP使用時の構成例
認証前VLANと認証後VLANを設定し,アクセスリスト,DHCPサーバの設定を行ったあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。
(a) 認証ポートの設定
- [設定のポイント]
- Web認証で使用するポートを設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/4
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 50
(config-if)# switchport mac native vlan 10
(config-if)# exit
認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
- (config)# interface range gigabitethernet 1/0/9-10
(config-if-range)# switchport mode access
(config-if-range)# switchport access vlan 50
(config-if-range)# exit
認証後に接続するサーバを接続するポートに認証後VLANを指定します。
(b) VLANインタフェースにIPアドレスを設定
- [設定のポイント]
- 認証前VLANおよび認証後VLANにIPアドレスを設定します。
- [コマンドによる設定]
- (config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0
(config-if)# exit
認証前VLANと認証後VLANに各IPアドレスを設定します。
(c) アクセスリストの設定
- [設定のポイント]
- 認証後VLANと認証前VLANのアクセスリストを設定します。
- [コマンドによる設定]
- (config)# ip access-list extended 100
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 10
(config-if)# ip access-group 100 in
(config-if)# exit
認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
- (config)# ip access-list extended 150
(config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 50
(config-if)# ip access-group 150 in
(config-if)# exit
認証後VLANからは認証前VLANに対し,Webブラウザからの通信だけ中継を許可するよう,アクセスリストを設定します。
(d) DHCPサーバの設定
- [設定のポイント]
- 端末にIPアドレスを配布するためのDHCPサーバを設定します。
- [コマンドによる設定]
- (config)# service dhcp vlan 10
(config)# ip dhcp excluded-address 192.168.10.1
(config)# ip dhcp excluded-address 192.168.10.254
(config)# ip dhcp pool POOL10
(dhcp-config)# network 192.168.10.0/24
(dhcp-config)# lease 0 0 1
(dhcp-config)# default-router 192.168.10.1
(dhcp-config)# exit
DHCPサーバに認証前VLAN用の設定をします(端末認証に使用するIPアドレス配布を設定します。デフォルトルータのIPアドレス192.168.10.1を設定します。)。
- (config)# service dhcp vlan 50
(config)# ip dhcp excluded-address 192.168.50.1
(config)# ip dhcp excluded-address 192.168.50.254
(config)# ip dhcp pool POOL50
(dhcp-config)# network 192.168.50.0/24
(dhcp-config)# lease 0 0 1
(dhcp-config)# default-router 192.168.50.1
(dhcp-config)# exit
DHCPサーバに認証後VLAN用の設定をします(認証された端末で使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.50.1を設定します。)。
(e) Web認証の設定
- [設定のポイント]
- Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。
- [コマンドによる設定]
- (config)# web-authentication vlan 50
Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
- (config)# aaa authentication web-authentication default group radius
(config)# radius-server host 192.168.10.200 key "webauth"
ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。
- (config)# web-authentication system-auth-control
Web認証を起動します。
(4) RADIUS認証方式+外部DHCPサーバ+複数の認証後VLAN使用時の構成
RADIUS認証方式と外部DHCPサーバを使用し,複数の認証後VLANを設定する場合のWeb認証設定例を次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,外部DHCPサーバによって割り当てるものとします。
図9-10 Web認証のRADIUS認証方式+外部DHCPサーバ+複数認証後VLAN使用時の構成例
認証前VLANと認証後VLANを設定し,アクセスリストの設定をしたあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。
また,認証後VLAN同士は通信を許可しないようにアクセスリストを設定します。
(a) 認証ポートの設定
- [設定のポイント]
- Web認証で使用するポートを設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/4
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 50,60
(config-if)# switchport mac native vlan 10
(config-if)# exit
認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
- (config)# interface gigabitethernet 1/0/9
(config-if)# switchport mode access
(config-if)# switchport access vlan 50
(config-if)# exit
認証後に接続するサーバを接続するポートに認証後VLANを指定します。
- (config)# interface gigabitethernet 1/0/10
(config-if)# switchport mode access
(config-if)# switchport access vlan 60
(config-if)# exit
認証後に接続するサーバを接続するポートに認証後VLANを指定します。
(b) VLANインタフェースにIPアドレスを設定
- [設定のポイント]
- 認証前VLANおよび認証後VLANにIPアドレスを設定します。
- [コマンドによる設定]
- (config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# exit
(config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0
(config-if)# exit
(config)# interface vlan 60
(config-if)# ip address 192.168.60.254 255.255.255.0
(config-if)# exit
認証前VLANと認証後VLANに各IPアドレスを設定します。
(c) アクセスリストの設定
- [設定のポイント]
- 認証後VLANと認証前VLANのアクセスリストを設定します。
- [コマンドによる設定]
- (config)# ip access-list extended 100
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
(config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 10
(config-if)# ip access-group 100 in
(config-if)# exit
認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
- (config)# ip access-list extended 150
(config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
(config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 50
(config-if)# ip access-group 150 in
(config-if)# exit
認証後VLAN(VLAN ID 50)からは認証前VLANに対し,Webブラウザからの通信だけ中継を許可し,他の認証後VLAN(VLAN ID 60)への通信は許可しないよう,アクセスリストを設定します。
- (config)# ip access-list extended 160
(config-ext-nacl)# permit tcp 192.168.60.0 0.0.0.255 host 192.168.10.254 eq http
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.60.254
(config-ext-nacl)# permit ip 192.168.60.0 0.0.0.255 any
(config-ext-nacl)# deny ip any any
(config-ext-nacl)# exit
(config)# interface vlan 60
(config-if)# ip access-group 160 in
(config-if)# exit
認証後VLAN(VLAN ID 60)からは認証前VLANに対し,Webブラウザからの通信だけ中継を許可し,他の認証後VLAN(VLAN ID 50)への通信は許可しないよう,アクセスリストを設定します。
(d) DHCPリレーエージェントの設定
- [設定のポイント]
- 端末にIPアドレスを配布するためのDHCPリレーエージェントを設定します。
- [コマンドによる設定]
- (config)# interface vlan 10
(config-if)# ip address 192.168.10.254 255.255.255.0
(config-if)# ip helper-address 192.168.10.100
(config-if)# exit
認証前VLANのDHCPリレーエージェントの設定をします。
- (config)# interface vlan 50
(config-if)# ip address 192.168.50.254 255.255.255.0
(config-if)# ip helper-address 192.168.10.100
(config-if)# exit
認証後VLAN(VLAN ID 50)のDHCPリレーエージェントの設定をします。
- (config)# interface vlan 60
(config-if)# ip address 192.168.60.254 255.255.255.0
(config-if)# ip helper-address 192.168.10.100
(config-if)# exit
認証後VLAN(VLAN ID 60)のDHCPリレーエージェントの設定をします。
(e) Web認証の設定
- [設定のポイント]
- Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。
- [コマンドによる設定]
- (config)# web-authentication vlan 50
(config)# web-authentication vlan 60
Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
- (config)# aaa authentication web-authentication default group radius
(config)# radius-server host 192.168.10.200 key "webauth"
ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。
- (config)# web-authentication system-auth-control
Web認証を起動します。
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.