6.1.1 サポート機能
本装置でサポートする機能を以下に示します。
(1) 認証動作モード
本装置でサポートする認証動作モード(PAEモード)はAuthenticatorです。本装置がSupplicantとして動作することはありません。
(2) 認証方式
本装置でサポートする認証方式はRADIUSサーバ認証です。端末から受信したEAPOLパケットをEAPoverRADIUSに変換し,認証処理はRADIUSサーバで行います。RADIUSサーバはEAP対応されている必要があります。
本装置が使用するRADIUSの属性名を「表6‒2 認証で使用する属性名(その1 Access-Request)」から「表6‒5 認証で使用する属性名(その4 Access-Reject)」に示します。
属性名 |
Type値 |
説明 |
---|---|---|
Reply-Message |
18 |
ユーザに表示されるメッセージ。 |
State |
24 |
AuthenticatorとRADIUSサーバ間のState情報の保持を可能にする。 |
Session-Timeout |
27 |
Supplicantへ送信したEAP-Requestに対する応答待ちタイムアウト値。 |
EAP-Message |
79 |
EAPパケットをカプセル化する。 |
Message-Authenticator |
80 |
RADIUS/EAPパケットを保護するために使用する。 |
属性名 |
Type値 |
説明 |
---|---|---|
Service-Type |
6 |
提供するサービスタイプ。 Framed(2)固定。 |
Filter-Id |
11 |
Supplicantのセッションに適用されるフィルタ・リストの名前。 ポート単位認証の端末認証モード,およびVLAN単位認証(静的)でだけ意味を持つ。ただし,適用可能なフィルタが認証専用IPv4アクセスリスト固定であるため,"0"以外の値が設定されていた場合に有効。 |
Reply-Message |
18 |
ユーザに表示されるメッセージ。 |
Session-Timeout |
27 |
Supplicantの再認証タイマ値。※ |
Termination-Action |
29 |
Radiusサーバからの再認証タイマ満了時のアクション指示。※ |
Tunnel-Type |
64 |
トンネル・タイプ。VLAN単位認証(動的)でだけ意味を持つ。 VLAN(13)固定。 |
Tunnel-Medium-Type |
65 |
トンネルを作成する際のプロトコル。VLAN単位認証(動的)でだけ意味を持つ。 IEEE802(6)固定。 |
EAP-Message |
79 |
EAPパケットをカプセル化する。 |
Message-Authenticator |
80 |
RADIUS/EAPパケットを保護するために使用する。 |
Tunnel-Private-Group-ID |
81 |
VLANを識別する文字列。Accept時は,認証済みのSupplicantに割り当てるVLANを意味する。 VLAN単位認証(動的)でだけ意味を持つ。 次に示す文字列が対応する。 (1)VLAN IDを示す文字列 (2)"VLAN"+VLAN IDを示す文字列 (3)コンフィグレーションコマンドnameで指定したVLAN名称を示す文字列 文字列にスペースを含んではいけない(含めた場合VLAN割り当ては失敗する)。 (設定例) VLAN10の場合 (1)の場合 "10" (2)の場合 "VLAN10" (3)の場合 "business-office" |
Acct-Interim-Interval |
85 |
Interimパケット送信間隔(秒)。 60以上を設定するとInterimパケットが送信される(60未満では送信しない)。 この値を設定する場合,600以上にすることを推奨する。600未満にした場合ネットワークのトラフィックが増大するため注意が必要である。 |
属性名 |
Type値 |
説明 |
---|---|---|
Reply-Message |
18 |
ユーザに表示されるメッセージ。 |
EAP-Message |
79 |
EAPパケットをカプセル化する。 |
Message-Authenticator |
80 |
RADIUS/EAPパケットを保護するために使用する。 |
(3) 認証アルゴリズム
本装置でサポートする認証アルゴリズムを次の表に示します。
(4) RADIUS Accounting機能
本装置はRADIUS Accounting機能をサポートします。この機能はIEEE802.1X認証で認証許可となった端末へのサービス開始やサービス停止のタイミングでユーザアカウンティング情報を送信し,利用状況追跡を行えるようにするための機能です。RADIUS AuthenticationサーバとRADIUS Accountingサーバを別のサーバに設定することによって,認証処理とアカウンティング処理の負荷を分散させることができます。
RADIUS Accounting機能を使用する際に,RADIUSサーバに送信される情報を次の表に示します。
属性名 |
Type値 |
解説 |
アカウンティング要求種別による送信の有無 |
||
---|---|---|---|---|---|
start |
stop |
Interim- Update |
|||
User-Name |
1 |
認証されるユーザ名。 |
○ |
○ |
○ |
NAS-IP-Address |
4 |
認証を要求している,Authenticator(本装置)のIPアドレス。 ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPアドレス。 |
○ |
○ |
○ |
NAS-Port |
5 |
Supplicantを認証している認証単位のIfIndex。 |
○ |
○ |
○ |
Service-Type |
6 |
提供するサービスタイプ。 Framed(2)固定。 |
○ |
○ |
○ |
Calling-Station-Id |
31 |
SupplicantのMACアドレス(ASCII,"-"区切り)。 |
○ |
○ |
○ |
NAS-Identifier |
32 |
Authenticatorを識別する文字列。(ホスト名の文字列) |
○ |
○ |
○ |
Acct-Status-Type |
40 |
Accounting要求種別 Start(1),Stop(2),Interim-Update(3) |
○ |
○ |
○ |
Acct-Delay-Time |
41 |
Accounting情報送信遅延時間(秒) |
○ |
○ |
○ |
Acct-Input-Octets |
42 |
Accounting情報(受信オクテット数)。 (0)固定。 |
− |
○ |
○ |
Acct-Output-Octets |
43 |
Accounting情報(送信オクテット数)。 (0)固定。 |
− |
○ |
○ |
Acct-Session-Id |
44 |
Accounting情報を識別するID(認証成功,認証解除に関しては同じ値)。 |
○ |
○ |
○ |
Acct-Authentic |
45 |
認証方式(RADIUS(1),Local(2),Remote(3)) |
○ |
○ |
○ |
Acct-Session-Time |
46 |
Accounting情報(セッション持続時間) |
− |
○ |
○ |
Acct-Input-Packets |
47 |
Accounting情報(受信パケット数)。 (0)固定。 |
− |
○ |
○ |
Acct-Output-Packets |
48 |
Accounting情報(送信パケット数)。 (0)固定。 |
− |
○ |
○ |
Acct-Terminate-Cause |
49 |
Accounting情報(セッション終了要因) 詳細は,「表6‒8 Acct-Terminate-Causeでの切断要因」を参照。 User Request (1), Lost Carrier (2), Admin Reset (6), Reauthentication Failure (20), Port Reinitialized (21) |
− |
○ |
− |
NAS-Port-Type |
61 |
Authenticatorがユーザ認証に使用している,物理ポートのタイプ。 Ethernet(15)固定。 |
○ |
○ |
○ |
NAS-Port-Id |
87 |
Supplicantを認証するAuthenticatorのポートを識別するために使用する。 NAS-Port-Idは,可変長のストリングであり,NAS-Portが長さ4オクテットの整数値である点でNAS-Portと異なる。 ポート単位認証:“Port x/y”,“ChGr x” VLAN単位認証(静的):“VLAN x” VLAN単位認証(動的):“DVLAN x” (x,yには数字が入る) |
○ |
○ |
○ |
NAS-IPv6-Address |
95 |
認証を要求している,Authenticator(本装置)のIPv6アドレス。ローカルアドレスが設定されている場合はローカルアドレス,ローカルアドレスが設定されていない場合は,送信インタフェースのIPv6アドレス。ただし,IPv6リンクローカルアドレスで通信する場合は,ローカルアドレス設定の有無にかかわらず送信インタフェースのIPv6リンクローカルアドレス。 |
○ |
○ |
○ |
(5) syslogサーバへの動作ログ記録
IEEE802.1Xの内部動作ログをsyslogサーバに出力できます。なお,内部動作ログと同じ項目が出力されます。syslogサーバへの出力形式を次の図に示します。
また,コンフィグレーションコマンドdot1x logging enableおよびlogging event-kindによって,出力を開始および停止できます。