コンフィグレーションガイド Vol.2
本装置でサポートする機能を以下に示します。
- <この項の構成>
- (1) 認証動作モード
- (2) 認証方式
- (3) 認証アルゴリズム
- (4) RADIUS Accounting機能
- (5) syslogサーバへの動作ログ記録
(1) 認証動作モード
本装置でサポートする認証動作モード(PAEモード)はAuthenticatorです。本装置がSupplicantとして動作することはありません。
(2) 認証方式
本装置でサポートする認証方式はRADIUSサーバ認証です。端末から受信したEAPOLパケットをEAPoverRADIUSに変換し,認証処理はRADIUSサーバで行います。RADIUSサーバはEAP対応されている必要があります。
本装置が使用するRADIUSの属性名を「表6-2 認証で使用する属性名(その1 Access-Request)」から「表6-5 認証で使用する属性名(その4 Access-Reject)」に示します。
表6-2 認証で使用する属性名(その1 Access-Request)
属性名 Type値 説明 User-Name 1 認証されるユーザ名。 NAS-IP-Address 4 認証を要求している,Authenticator(本装置)のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレス。 NAS-Port 5 Supplicantを認証している認証単位のIfIndex。 Service-Type 6 提供するサービスタイプ。
Framed(2)固定。Framed-MTU 12 Supplicant〜Authenticator間の最大フレームサイズ。
(1466)固定。State 24 AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。 Called-Station-Id 30 ブリッジやアクセスポイントのMACアドレス。本装置のMACアドレス(ASCII,"-"区切り)。 Calling-Station-Id 31 SupplicantのMACアドレス(ASCII,"-"区切り)。 NAS-Identifier 32 Authenticatorを識別する文字列(ホスト名の文字列)。 NAS-Port-Type 61 Authenticatorがユーザ認証に使用している,物理ポートのタイプ。
Ethernet(15)固定。Connect-Info 77 Supplicantのコネクションの特徴を示す文字列。
ポート単位認証:
物理ポート(“CONNECT Ethernet”)
CHポート(“CONNECT Port-Channel ”)
VLAN単位認証(静的):(“CONNECT VLAN”)
VLAN単位認証(動的):(“CONNECT DVLAN”)EAP-Message 79 EAPパケットをカプセル化する。 Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。 NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するための文字列。
ポート単位認証:“Port x/y”,“ChGr x”
VLAN単位認証(静的):“VLAN x”
VLAN単位認証(動的):“DVLAN x”
(x,yには数字が入る)NAS-IPv6-Address 95 認証を要求している,Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレス。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。 表6-3 認証で使用する属性名(その2 Access-Challenge)
属性名 Type値 説明 Reply-Message 18 ユーザに表示されるメッセージ。 State 24 AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。 Session-Timeout 27 Supplicantへ送信したEAP-Requestに対する応答待ちタイムアウト値。 EAP-Message 79 EAPパケットをカプセル化する。 Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。 表6-4 認証で使用する属性名(その3 Access-Accept)
属性名 Type値 説明 Service-Type 6 提供するサービスタイプ。
Framed(2)固定。Filter-Id 11 Supplicantのセッションに適用されるフィルタ・リストの名前。
ポート単位認証の端末認証モード,およびVLAN単位認証(静的)でだけ意味を持つ。ただし,適用可能なフィルタが認証専用IPv4アクセスリスト固定であるため,"0"以外の値が設定されていた場合に有効。Reply-Message 18 ユーザに表示されるメッセージ。 Session-Timeout 27 Supplicantの再認証タイマ値。※ Termination-Action 29 Radiusサーバからの再認証タイマ満了時のアクション指示。※ Tunnel-Type 64 トンネル・タイプ。VLAN単位認証(動的)でだけ意味を持つ。
VLAN(13)固定。Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル。VLAN単位認証(動的)でだけ意味を持つ。
IEEE802(6)固定。EAP-Message 79 EAPパケットをカプセル化する。 Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。 Tunnel-Private-Group-ID 81 VLANを識別する文字列。Accept時は,認証済みのSupplicantに割り当てるVLANを意味する。
VLAN単位認証(動的)でだけ意味を持つ。
次に示す文字列が対応する。
(1)VLAN IDを示す文字列
(2)"VLAN"+VLAN IDを示す文字列
(3)コンフィグレーションコマンドnameで指定したVLAN名称を示す文字列
文字列にスペースを含んではいけない(含めた場合VLAN割り当ては失敗する)。
(設定例)
VLAN10の場合
(1)の場合 "10"
(2)の場合 "VLAN10"
(3)の場合 "business-office"Acct-Interim-Interval 85 Interimパケット送信間隔(秒)。
60以上を設定するとInterimパケットが送信される(60未満では送信しない)。
この値を設定する場合,600以上にすることを推奨する。600未満にした場合ネットワークのトラフィックが増大するため注意が必要である。
- 注※
- RADIUSから返送されるAccess-AcceptでTermination-ActionがRadius-Request(1)の場合,同時に設定されたSession-Timeoutの値が,再認証するまでの時間(単位:秒)となります。なお,Session-Timeoutの値によって次に示す動作となります。
- 0 :再認証は無効となります。
- 1〜60 :再認証タイマ値を60秒として動作します。
- 61〜65535:設定された値で動作します。
表6-5 認証で使用する属性名(その4 Access-Reject)
属性名 Type値 説明 Reply-Message 18 ユーザに表示されるメッセージ。 EAP-Message 79 EAPパケットをカプセル化する。 Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。
(3) 認証アルゴリズム
本装置でサポートする認証アルゴリズムを次の表に示します。
認証アルゴリズム 概要 EAP-MD5-Challenge UserPasswordとチャレンジ値の比較を行う。 EAP-TLS 証明書発行機構を使用した認証方式。 EAP-PEAP EAP-TLSトンネル上で,ほかのEAP認証アルゴリズムを用いて認証する。
次に示す2種類の認証方式に対応。
- PEAP-MS-CHAP V2:パスワードベースの資格情報を使用した認証方式
- PEAP-TLS:証明証発行機構を使用した認証方式
EAP-TTLS EAP-TLSトンネル上で,他方式(EAP,PAP,CHAPなど)の認証アルゴリズムを用いて認証する。
(4) RADIUS Accounting機能
本装置はRADIUS Accounting機能をサポートします。この機能はIEEE802.1X認証で認証許可となった端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し,利用状況追跡を行えるようにするための機能です。RADIUS AuthenticationサーバとRADIUS Accountingサーバを別のサーバに設定することによって,認証処理とアカウンティング処理の負荷を分散させることができます。
RADIUS Accounting機能を使用する際に,RADIUSサーバに送信される情報を次の表に示します。
表6-7 RADIUS Accountingがサポートする属性
属性名 Type値 解説 アカウンティング要求種別による送信の有無 start stop Interim-
UpdateUser-Name 1 認証されるユーザ名。 ○ ○ ○ NAS-IP-Address 4 認証を要求している,Authenticator(本装置)のIPアドレス。
ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレス。○ ○ ○ NAS-Port 5 Supplicantを認証している認証単位のIfIndex。 ○ ○ ○ Service-Type 6 提供するサービスタイプ。
Framed(2)固定。○ ○ ○ Calling-Station-Id 31 SupplicantのMACアドレス(ASCII,"-"区切り)。 ○ ○ ○ NAS-Identifier 32 Authenticatorを識別する文字列。(ホスト名の文字列) ○ ○ ○ Acct-Status-Type 40 Accounting要求種別
Start(1),Stop(2),Interim-Update(3)○ ○ ○ Acct-Delay-Time 41 Accounting情報送信遅延時間(秒) ○ ○ ○ Acct-Input-Octets 42 Accounting情報(受信オクテット数)。
(0)固定。− ○ ○ Acct-Output-Octets 43 Accounting情報(送信オクテット数)。
(0)固定。− ○ ○ Acct-Session-Id 44 Accounting情報を識別するID(認証成功,認証解除に関しては同じ値)。 ○ ○ ○ Acct-Authentic 45 認証方式(RADIUS(1),Local(2),Remote(3)) ○ ○ ○ Acct-Session-Time 46 Accounting情報(セッション持続時間) − ○ ○ Acct-Input-Packets 47 Accounting情報(受信パケット数)。
(0)固定。− ○ ○ Acct-Output-Packets 48 Accounting情報(送信パケット数)。
(0)固定。− ○ ○ Acct-Terminate-Cause 49 Accounting情報(セッション終了要因)
詳細は,「表6-8 Acct-Terminate-Causeでの切断要因」を参照。
User Request (1),
Lost Carrier (2),
Admin Reset (6),
Reauthentication Failure (20),
Port Reinitialized (21)− ○ − NAS-Port-Type 61 Authenticatorがユーザ認証に使用している,物理ポートのタイプ。
Ethernet(15)固定。○ ○ ○ NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するために使用する。
NAS-Port-Idは,可変長のストリングであり,NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。
ポート単位認証:“Port x/y”,“ChGr x”
VLAN単位認証(静的):“VLAN x”
VLAN単位認証(動的):“DVLAN x”
(x,yには数字が入る)○ ○ ○ NAS-IPv6-Address 95 認証を要求している,Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPv6アドレス。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。 ○ ○ ○ (凡例) ○:送信する −:送信しない
表6-8 Acct-Terminate-Causeでの切断要因
切断要因 値 解説 User Request 1 Supplicantからの要求で切断した。
- 認証端末からlogoffを受信した場合
Lost Carrier 2 モデムのキャリア信号がなくなった。
- 内部エラー
Admin Reset 6 管理者の意思で切断した。
- 認証単位でコンフィグレーションを削除した場合
- force-authorizedを設定した場合
- force-unauthorizedを設定した場合
- force-authorized-portを設定した場合
Reauthentication Failure 20 再認証に失敗した。 Port Reinitialized 21 ポートのMACが再初期化された。
- リンクダウンした場合
- clear dot1x auth-stateを実行した場合
(5) syslogサーバへの動作ログ記録
IEEE802.1Xの内部動作ログをsyslogサーバに出力できます。なお,内部動作ログと同じ項目が出力されます。syslogサーバへの出力形式を次の図に示します。
図6-3 syslogサーバへの出力形式
また,コンフィグレーションコマンドdot1x logging enableおよびlogging event-kindによって,出力を開始および停止できます。
All Rights Reserved, Copyright(C), 2017, 2020, ALAXALA Networks, Corp.