コンフィグレーションガイド Vol.2

6.1.1　サポート機能

本装置でサポートする機能を以下に示します。

＜この項の構成＞

(1)　認証動作モード

(2)　認証方式

(3)　認証アルゴリズム

(4)　RADIUS Accounting機能

(5)　syslogサーバへの動作ログ記録

(1)　認証動作モード

本装置でサポートする認証動作モード（PAEモード）はAuthenticatorです。本装置がSupplicantとして動作することはありません。

(2)　認証方式

本装置でサポートする認証方式はRADIUSサーバ認証です。端末から受信したEAPOLパケットをEAPoverRADIUSに変換し，認証処理はRADIUSサーバで行います。RADIUSサーバはEAP対応されている必要があります。

本装置が使用するRADIUSの属性名を「表6-2　認証で使用する属性名（その1　Access-Request）」から「表6-5　認証で使用する属性名（その4　Access-Reject）」に示します。

表6-2　認証で使用する属性名（その1　Access-Request）

属性名 Type値説明

User-Name 1 認証されるユーザ名。

NAS-IP-Address 4 認証を要求している，Authenticator(本装置)のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPアドレス。

NAS-Port 5 Supplicantを認証している認証単位のIfIndex。

Service-Type 6 提供するサービスタイプ。
Framed(2)固定。

Framed-MTU 12 Supplicant～Authenticator間の最大フレームサイズ。
(1466)固定。

State 24 AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。

Called-Station-Id 30 ブリッジやアクセスポイントのMACアドレス。本装置のMACアドレス（ASCII，"-"区切り）。

Calling-Station-Id 31 SupplicantのMACアドレス（ASCII，"-"区切り）。

NAS-Identifier 32 Authenticatorを識別する文字列（ホスト名の文字列）。

NAS-Port-Type 61 Authenticatorがユーザ認証に使用している，物理ポートのタイプ。
Ethernet(15)固定。

Connect-Info 77 Supplicantのコネクションの特徴を示す文字列。
ポート単位認証：
物理ポート(“CONNECT Ethernet”)
CHポート(“CONNECT Port-Channel ”)
VLAN単位認証(静的)：(“CONNECT VLAN”)
VLAN単位認証(動的)：(“CONNECT DVLAN”)

EAP-Message 79 EAPパケットをカプセル化する。

Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。

NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するための文字列。
ポート単位認証：“Port x/y”，“ChGr x”
VLAN単位認証(静的)：“VLAN x”
VLAN単位認証(動的)：“DVLAN x”
（x，yには数字が入る）

NAS-IPv6-Address 95 認証を要求している，Authenticator（本装置）のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレス。ただし，IPv6リンクローカルアドレスで通信する場合は，ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。

表6-3　認証で使用する属性名（その2　Access-Challenge）

属性名 Type値説明

Reply-Message 18 ユーザに表示されるメッセージ。

State 24 AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。

Session-Timeout 27 Supplicantへ送信したEAP-Requestに対する応答待ちタイムアウト値。

EAP-Message 79 EAPパケットをカプセル化する。

Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。

表6-4　認証で使用する属性名（その3　Access-Accept）

属性名 Type値説明

Service-Type 6 提供するサービスタイプ。
Framed(2)固定。

Filter-Id 11 Supplicantのセッションに適用されるフィルタ・リストの名前。
ポート単位認証の端末認証モード，およびVLAN単位認証(静的)でだけ意味を持つ。ただし，適用可能なフィルタが認証専用IPv4アクセスリスト固定であるため，"0"以外の値が設定されていた場合に有効。

Reply-Message 18 ユーザに表示されるメッセージ。

Session-Timeout 27 Supplicantの再認証タイマ値。^※

Termination-Action 29 Radiusサーバからの再認証タイマ満了時のアクション指示。^※

Tunnel-Type 64 トンネル・タイプ。VLAN単位認証(動的)でだけ意味を持つ。
VLAN(13)固定。

Tunnel-Medium-Type 65 トンネルを作成する際のプロトコル。VLAN単位認証(動的)でだけ意味を持つ。
IEEE802(6)固定。

EAP-Message 79 EAPパケットをカプセル化する。

Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。

Tunnel-Private-Group-ID 81 VLANを識別する文字列。Accept時は，認証済みのSupplicantに割り当てるVLANを意味する。
VLAN単位認証(動的)でだけ意味を持つ。
次に示す文字列が対応する。
(1)VLAN IDを示す文字列
(2)"VLAN"+VLAN IDを示す文字列
(3)コンフィグレーションコマンドnameで指定したVLAN名称を示す文字列
文字列にスペースを含んではいけない（含めた場合VLAN割り当ては失敗する）。
（設定例）
VLAN10の場合
(1)の場合　"10"
(2)の場合　"VLAN10"
(3)の場合　"business-office"

Acct-Interim-Interval 85 Interimパケット送信間隔(秒)。
60以上を設定するとInterimパケットが送信される(60未満では送信しない)。
この値を設定する場合，600以上にすることを推奨する。600未満にした場合ネットワークのトラフィックが増大するため注意が必要である。

注※

RADIUSから返送されるAccess-AcceptでTermination-ActionがRadius-Request(1)の場合，同時に設定されたSession-Timeoutの値が，再認証するまでの時間（単位：秒）となります。なお，Session-Timeoutの値によって次に示す動作となります。

0 ：再認証は無効となります。

1～60 ：再認証タイマ値を60秒として動作します。

61～65535：設定された値で動作します。

表6-5　認証で使用する属性名（その4　Access-Reject）

属性名 Type値説明

Reply-Message 18 ユーザに表示されるメッセージ。

EAP-Message 79 EAPパケットをカプセル化する。

Message-Authenticator 80 RADIUS/EAPパケットを保護するために使用する。

属性名	Type値	説明
User-Name	1	認証されるユーザ名。
NAS-IP-Address	4	認証を要求している，Authenticator(本装置)のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPアドレス。
NAS-Port	5	Supplicantを認証している認証単位のIfIndex。
Service-Type	6	提供するサービスタイプ。 Framed(2)固定。
Framed-MTU	12	Supplicant～Authenticator間の最大フレームサイズ。 (1466)固定。
State	24	AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。
Called-Station-Id	30	ブリッジやアクセスポイントのMACアドレス。本装置のMACアドレス（ASCII，"-"区切り）。
Calling-Station-Id	31	SupplicantのMACアドレス（ASCII，"-"区切り）。
NAS-Identifier	32	Authenticatorを識別する文字列（ホスト名の文字列）。
NAS-Port-Type	61	Authenticatorがユーザ認証に使用している，物理ポートのタイプ。 Ethernet(15)固定。
Connect-Info	77	Supplicantのコネクションの特徴を示す文字列。ポート単位認証：物理ポート(“CONNECT Ethernet”) CHポート(“CONNECT Port-Channel ”) VLAN単位認証(静的)：(“CONNECT VLAN”) VLAN単位認証(動的)：(“CONNECT DVLAN”)
EAP-Message	79	EAPパケットをカプセル化する。
Message-Authenticator	80	RADIUS/EAPパケットを保護するために使用する。
NAS-Port-Id	87	Supplicantを認証するAuthenticatorのポートを識別するための文字列。ポート単位認証：“Port x/y”，“ChGr x” VLAN単位認証(静的)：“VLAN x” VLAN単位認証(動的)：“DVLAN x” （x，yには数字が入る）
NAS-IPv6-Address	95	認証を要求している，Authenticator（本装置）のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は送信インタフェースのIPv6アドレス。ただし，IPv6リンクローカルアドレスで通信する場合は，ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。

属性名	Type値	説明
Reply-Message	18	ユーザに表示されるメッセージ。
State	24	AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。
Session-Timeout	27	Supplicantへ送信したEAP-Requestに対する応答待ちタイムアウト値。
EAP-Message	79	EAPパケットをカプセル化する。
Message-Authenticator	80	RADIUS/EAPパケットを保護するために使用する。

属性名	Type値	説明
Service-Type	6	提供するサービスタイプ。 Framed(2)固定。
Filter-Id	11	Supplicantのセッションに適用されるフィルタ・リストの名前。ポート単位認証の端末認証モード，およびVLAN単位認証(静的)でだけ意味を持つ。ただし，適用可能なフィルタが認証専用IPv4アクセスリスト固定であるため，"0"以外の値が設定されていた場合に有効。
Reply-Message	18	ユーザに表示されるメッセージ。
Session-Timeout	27	Supplicantの再認証タイマ値。^※
Termination-Action	29	Radiusサーバからの再認証タイマ満了時のアクション指示。^※
Tunnel-Type	64	トンネル・タイプ。VLAN単位認証(動的)でだけ意味を持つ。 VLAN(13)固定。
Tunnel-Medium-Type	65	トンネルを作成する際のプロトコル。VLAN単位認証(動的)でだけ意味を持つ。 IEEE802(6)固定。
EAP-Message	79	EAPパケットをカプセル化する。
Message-Authenticator	80	RADIUS/EAPパケットを保護するために使用する。
Tunnel-Private-Group-ID	81	VLANを識別する文字列。Accept時は，認証済みのSupplicantに割り当てるVLANを意味する。 VLAN単位認証(動的)でだけ意味を持つ。次に示す文字列が対応する。 (1)VLAN IDを示す文字列 (2)"VLAN"+VLAN IDを示す文字列 (3)コンフィグレーションコマンドnameで指定したVLAN名称を示す文字列文字列にスペースを含んではいけない（含めた場合VLAN割り当ては失敗する）。（設定例） VLAN10の場合 (1)の場合　"10" (2)の場合　"VLAN10" (3)の場合　"business-office"
Acct-Interim-Interval	85	Interimパケット送信間隔(秒)。 60以上を設定するとInterimパケットが送信される(60未満では送信しない)。この値を設定する場合，600以上にすることを推奨する。600未満にした場合ネットワークのトラフィックが増大するため注意が必要である。

属性名	Type値	説明
Reply-Message	18	ユーザに表示されるメッセージ。
EAP-Message	79	EAPパケットをカプセル化する。
Message-Authenticator	80	RADIUS/EAPパケットを保護するために使用する。

(3)　認証アルゴリズム

本装置でサポートする認証アルゴリズムを次の表に示します。

表6-6　サポートする認証アルゴリズム

認証アルゴリズム概要

EAP-MD5-Challenge UserPasswordとチャレンジ値の比較を行う。

EAP-TLS 証明書発行機構を使用した認証方式。

EAP-PEAP EAP-TLSトンネル上で，ほかのEAP認証アルゴリズムを用いて認証する。
次に示す2種類の認証方式に対応。

PEAP-MS-CHAP V2：パスワードベースの資格情報を使用した認証方式

PEAP-TLS：証明証発行機構を使用した認証方式

EAP-TTLS EAP-TLSトンネル上で，他方式(EAP，PAP，CHAPなど)の認証アルゴリズムを用いて認証する。

認証アルゴリズム	概要
EAP-MD5-Challenge	UserPasswordとチャレンジ値の比較を行う。
EAP-TLS	証明書発行機構を使用した認証方式。
EAP-PEAP	EAP-TLSトンネル上で，ほかのEAP認証アルゴリズムを用いて認証する。次に示す2種類の認証方式に対応。 PEAP-MS-CHAP V2：パスワードベースの資格情報を使用した認証方式 PEAP-TLS：証明証発行機構を使用した認証方式
EAP-TTLS	EAP-TLSトンネル上で，他方式(EAP，PAP，CHAPなど)の認証アルゴリズムを用いて認証する。

(4)　RADIUS Accounting機能

本装置はRADIUS Accounting機能をサポートします。この機能はIEEE802.1X認証で認証許可となった端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し，利用状況追跡を行えるようにするための機能です。RADIUS AuthenticationサーバとRADIUS Accountingサーバを別のサーバに設定することによって，認証処理とアカウンティング処理の負荷を分散させることができます。

RADIUS Accounting機能を使用する際に，RADIUSサーバに送信される情報を次の表に示します。

表6-7　RADIUS Accountingがサポートする属性

属性名 Type値解説アカウンティング要求種別による送信の有無

start stop Interim-
Update

User-Name 1 認証されるユーザ名。 ○ ○ ○

NAS-IP-Address 4 認証を要求している，Authenticator(本装置)のIPアドレス。
ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPアドレス。 ○ ○ ○

NAS-Port 5 Supplicantを認証している認証単位のIfIndex。 ○ ○ ○

Service-Type 6 提供するサービスタイプ。
Framed(2)固定。 ○ ○ ○

Calling-Station-Id 31 SupplicantのMACアドレス（ASCII，"-"区切り）。 ○ ○ ○

NAS-Identifier 32 Authenticatorを識別する文字列。(ホスト名の文字列) ○ ○ ○

Acct-Status-Type 40 Accounting要求種別
Start(1)，Stop(2)，Interim-Update(3) ○ ○ ○

Acct-Delay-Time 41 Accounting情報送信遅延時間(秒) ○ ○ ○

Acct-Input-Octets 42 Accounting情報(受信オクテット数)。
(0)固定。－ ○ ○

Acct-Output-Octets 43 Accounting情報(送信オクテット数)。
(0)固定。－ ○ ○

Acct-Session-Id 44 Accounting情報を識別するID（認証成功，認証解除に関しては同じ値）。 ○ ○ ○

Acct-Authentic 45 認証方式(RADIUS(1)，Local(2)，Remote(3)) ○ ○ ○

Acct-Session-Time 46 Accounting情報(セッション持続時間) － ○ ○

Acct-Input-Packets 47 Accounting情報(受信パケット数)。
(0)固定。－ ○ ○

Acct-Output-Packets 48 Accounting情報(送信パケット数)。
(0)固定。－ ○ ○

Acct-Terminate-Cause 49 Accounting情報(セッション終了要因)
詳細は，「表6-8　Acct-Terminate-Causeでの切断要因」を参照。
User Request (1)，
Lost Carrier (2)，
Admin Reset (6)，
Reauthentication Failure (20)，
Port Reinitialized (21) － ○ －

NAS-Port-Type 61 Authenticatorがユーザ認証に使用している，物理ポートのタイプ。
Ethernet(15)固定。 ○ ○ ○

NAS-Port-Id 87 Supplicantを認証するAuthenticatorのポートを識別するために使用する。
NAS-Port-Idは，可変長のストリングであり，NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。
ポート単位認証：“Port x/y”，“ChGr x”
VLAN単位認証(静的)：“VLAN x”
VLAN単位認証(動的)：“DVLAN x”
(x，yには数字が入る) ○ ○ ○

NAS-IPv6-Address 95 認証を要求している，Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPv6アドレス。ただし，IPv6リンクローカルアドレスで通信する場合は，ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。 ○ ○ ○

(凡例)　○：送信する　－：送信しない

表6-8　Acct-Terminate-Causeでの切断要因

切断要因値解説

User Request 1 Supplicantからの要求で切断した。

認証端末からlogoffを受信した場合

Lost Carrier 2 モデムのキャリア信号がなくなった。

内部エラー

Admin Reset 6 管理者の意思で切断した。

認証単位でコンフィグレーションを削除した場合

force-authorizedを設定した場合

force-unauthorizedを設定した場合

force-authorized-portを設定した場合

Reauthentication Failure 20 再認証に失敗した。

Port Reinitialized 21 ポートのMACが再初期化された。

リンクダウンした場合

clear dot1x auth-stateを実行した場合

属性名	Type値	解説	アカウンティング要求種別による送信の有無
start	stop	Interim- Update
User-Name	1	認証されるユーザ名。	○	○	○
NAS-IP-Address	4	認証を要求している，Authenticator(本装置)のIPアドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPアドレス。	○	○	○
NAS-Port	5	Supplicantを認証している認証単位のIfIndex。	○	○	○
Service-Type	6	提供するサービスタイプ。 Framed(2)固定。	○	○	○
Calling-Station-Id	31	SupplicantのMACアドレス（ASCII，"-"区切り）。	○	○	○
NAS-Identifier	32	Authenticatorを識別する文字列。(ホスト名の文字列)	○	○	○
Acct-Status-Type	40	Accounting要求種別 Start(1)，Stop(2)，Interim-Update(3)	○	○	○
Acct-Delay-Time	41	Accounting情報送信遅延時間(秒)	○	○	○
Acct-Input-Octets	42	Accounting情報(受信オクテット数)。 (0)固定。	－	○	○
Acct-Output-Octets	43	Accounting情報(送信オクテット数)。 (0)固定。	－	○	○
Acct-Session-Id	44	Accounting情報を識別するID（認証成功，認証解除に関しては同じ値）。	○	○	○
Acct-Authentic	45	認証方式(RADIUS(1)，Local(2)，Remote(3))	○	○	○
Acct-Session-Time	46	Accounting情報(セッション持続時間)	－	○	○
Acct-Input-Packets	47	Accounting情報(受信パケット数)。 (0)固定。	－	○	○
Acct-Output-Packets	48	Accounting情報(送信パケット数)。 (0)固定。	－	○	○
Acct-Terminate-Cause	49	Accounting情報(セッション終了要因) 詳細は，「表6-8　Acct-Terminate-Causeでの切断要因」を参照。 User Request (1)， Lost Carrier (2)， Admin Reset (6)， Reauthentication Failure (20)， Port Reinitialized (21)	－	○	－
NAS-Port-Type	61	Authenticatorがユーザ認証に使用している，物理ポートのタイプ。 Ethernet(15)固定。	○	○	○
NAS-Port-Id	87	Supplicantを認証するAuthenticatorのポートを識別するために使用する。 NAS-Port-Idは，可変長のストリングであり，NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。ポート単位認証：“Port x/y”，“ChGr x” VLAN単位認証(静的)：“VLAN x” VLAN単位認証(動的)：“DVLAN x” (x，yには数字が入る)	○	○	○
NAS-IPv6-Address	95	認証を要求している，Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス，ローカルアドレスが設定されていない場合は，送信インタフェースのIPv6アドレス。ただし，IPv6リンクローカルアドレスで通信する場合は，ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。	○	○	○

切断要因	値	解説
User Request	1	Supplicantからの要求で切断した。認証端末からlogoffを受信した場合
Lost Carrier	2	モデムのキャリア信号がなくなった。内部エラー
Admin Reset	6	管理者の意思で切断した。認証単位でコンフィグレーションを削除した場合 force-authorizedを設定した場合 force-unauthorizedを設定した場合 force-authorized-portを設定した場合
Reauthentication Failure	20	再認証に失敗した。
Port Reinitialized	21	ポートのMACが再初期化された。リンクダウンした場合 clear dot1x auth-stateを実行した場合

(5)　syslogサーバへの動作ログ記録

IEEE802.1Xの内部動作ログをsyslogサーバに出力できます。なお，内部動作ログと同じ項目が出力されます。syslogサーバへの出力形式を次の図に示します。

図6-3　syslogサーバへの出力形式

また，コンフィグレーションコマンドdot1x logging enableおよびlogging event-kindによって，出力を開始および停止できます。

[目次][前へ][次へ]

[商品名称に関する表示]

6.1.1 サポート機能

6.1.1　サポート機能