コンフィグレーションガイド Vol.2

[目次][索引][前へ][次へ]


9.1.4 レガシーモードのコンフィグレーション

<この項の構成>
(1) ローカル認証方式の基本的な設定
(2) ローカル認証方式+内蔵DHCPサーバ使用時の構成
(3) RADIUS認証方式+内蔵DHCPサーバ使用時の構成
(4) RADIUS認証方式+外部DHCPサーバ+複数の認証後VLAN使用時の構成

(1) ローカル認証方式の基本的な設定

ローカル認証方式を使用する上での基本的な設定を次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,端末側で認証前と認証後に手動で切り替えるものとします。

図9-7 ローカル認証方式の構成例

[図データ]

認証前VLANと認証後VLANを設定し,アクセスリストの設定をしたあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。

(a) 認証ポートの設定

[設定のポイント]
Web認証で使用するポートを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/4
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 50
    (config-if)# switchport mac native vlan 10
    (config-if)# exit
    認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
     
  2. (config)# interface gigabitethernet 1/0/9
    (config-if)# switchport mode access
    (config-if)# switchport access vlan 50
    (config-if)# exit
    認証後に接続するサーバを接続するポートに認証後VLANを指定します。
     

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]
認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 10
    (config-if)# ip address 192.168.10.254 255.255.255.0
    (config-if)# exit
    (config)# interface vlan 50
    (config-if)# ip address 192.168.50.254 255.255.255.0
    (config-if)# exit
    認証前VLANと認証後VLANに各IPアドレスを設定します。
     

(c) アクセスリストの設定

[設定のポイント]
認証後VLANと認証前VLANのアクセスリストを設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 10
    (config-if)# ip access-group 100 in
    (config-if)# exit
    認証前VLANからは認証後VLANに対して通信を許可しないようアクセスリストを設定します。
     
  2. (config)# ip access-list extended 150
    (config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 50
    (config-if)# ip access-group 150 in
    (config-if)# exit
    認証後VLANからは認証前VLANに対してアクセスリストを設定します。
     

(d) Web認証の設定

[設定のポイント]
Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]
  1. (config)# web-authentication vlan 50
    Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
     
  2. (config)# web-authentication system-auth-control
    Web認証を起動します。
     

(2) ローカル認証方式+内蔵DHCPサーバ使用時の構成

ローカル認証方式に内蔵DHCPサーバを使用してWeb認証を構成した際の設定例を,次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,本装置内蔵のDHCPサーバ機能で割り当てるものとします。

図9-8 ローカル認証方式+内蔵DHCP使用時の構成例

[図データ]

認証前VLANと認証後VLANを設定し,アクセスリスト,DHCPサーバの設定を行ったあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。

(a) 認証ポートの設定

[設定のポイント]
Web認証で使用するポートを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/4
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 50
    (config-if)# switchport mac native vlan 10
    (config-if)# exit
    認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
     
  2. (config)# interface range gigabitethernet 1/0/9-10
    (config-if-range)# switchport mode access
    (config-if-range)# switchport access vlan 50
    (config-if-range)# exit
    認証後に接続するサーバを接続するポートに認証後VLANを指定します。
     

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]
認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 10
    (config-if)# ip address 192.168.10.254 255.255.255.0
    (config-if)# exit
    (config)# interface vlan 50
    (config-if)# ip address 192.168.50.254 255.255.255.0
    (config-if)# exit
    認証前VLANと認証後VLANに各IPアドレスを設定します。
     

(c) アクセスリストの設定

[設定のポイント]
認証後VLANと認証前VLANのアクセスリストを設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 10
    (config-if)# ip access-group 100 in
    (config-if)# exit
    認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
     
  2. (config)# ip access-list extended 150
    (config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 50
    (config-if)# ip access-group 150 in
    (config-if)# exit
    認証後VLANからは認証前VLANに対し,Webブラウザからの通信だけ中継を許可するよう,アクセスリストを設定します。
     

(d) DHCPサーバの設定

[設定のポイント]
端末にIPアドレスを配布するためのDHCPサーバを設定します。

[コマンドによる設定]
  1. (config)# service dhcp vlan 10
    (config)# ip dhcp excluded-address 192.168.10.1
    (config)# ip dhcp excluded-address 192.168.10.254
    (config)# ip dhcp pool POOL10
    (dhcp-config)# network 192.168.10.0/24
    (dhcp-config)# lease 0 0 1
    (dhcp-config)# default-router 192.168.10.1
    (dhcp-config)# exit
    DHCPサーバに認証前VLAN用の設定をします(端末認証に使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.10.1を設定します。)。
     
  2. (config)# service dhcp vlan 50
    (config)# ip dhcp excluded-address 192.168.50.1
    (config)# ip dhcp excluded-address 192.168.50.254
    (config)# ip dhcp pool POOL50
    (dhcp-config)# network 192.168.50.0/24
    (dhcp-config)# lease 0 0 1
    (dhcp-config)# default-router 192.168.50.1
    (dhcp-config)# exit
    DHCPサーバに認証後VLAN用の設定をします(認証された端末で使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.50.1を設定します。)。
     

(e) Web認証の設定

[設定のポイント]
Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]
  1. (config)# web-authentication vlan 50
    Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
     
  2. (config)# web-authentication system-auth-control
    Web認証を起動します。
     

(3) RADIUS認証方式+内蔵DHCPサーバ使用時の構成

RADIUS認証方式と内蔵DHCPサーバを使用してWeb認証を構成した際の設定例を,次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,本装置内蔵のDHCPサーバ機能で割り当てるものとします。

図9-9 Web認証のRADIUS認証方式+内蔵DHCP使用時の構成例

[図データ]

認証前VLANと認証後VLANを設定し,アクセスリスト,DHCPサーバの設定を行ったあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。

(a) 認証ポートの設定

[設定のポイント]
Web認証で使用するポートを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/4
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 50
    (config-if)# switchport mac native vlan 10
    (config-if)# exit
    認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
     
  2. (config)# interface range gigabitethernet 1/0/9-10
    (config-if-range)# switchport mode access
    (config-if-range)# switchport access vlan 50
    (config-if-range)# exit
    認証後に接続するサーバを接続するポートに認証後VLANを指定します。
     

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]
認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 10
    (config-if)# ip address 192.168.10.254 255.255.255.0
    (config-if)# exit
    (config)# interface vlan 50
    (config-if)# ip address 192.168.50.254 255.255.255.0
    (config-if)# exit
    認証前VLANと認証後VLANに各IPアドレスを設定します。
     

(c) アクセスリストの設定

[設定のポイント]
認証後VLANと認証前VLANのアクセスリストを設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 10
    (config-if)# ip access-group 100 in
    (config-if)# exit
    認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
     
  2. (config)# ip access-list extended 150
    (config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 50
    (config-if)# ip access-group 150 in
    (config-if)# exit
    認証後VLANからは認証前VLANに対し,Webブラウザからの通信だけ中継を許可するよう,アクセスリストを設定します。
     

(d) DHCPサーバの設定

[設定のポイント]
端末にIPアドレスを配布するためのDHCPサーバを設定します。

[コマンドによる設定]
  1. (config)# service dhcp vlan 10
    (config)# ip dhcp excluded-address 192.168.10.1
    (config)# ip dhcp excluded-address 192.168.10.254
    (config)# ip dhcp pool POOL10
    (dhcp-config)# network 192.168.10.0/24
    (dhcp-config)# lease 0 0 1
    (dhcp-config)# default-router 192.168.10.1
    (dhcp-config)# exit
    DHCPサーバに認証前VLAN用の設定をします(端末認証に使用するIPアドレス配布を設定します。デフォルトルータのIPアドレス192.168.10.1を設定します。)。
     
  2. (config)# service dhcp vlan 50
    (config)# ip dhcp excluded-address 192.168.50.1
    (config)# ip dhcp excluded-address 192.168.50.254
    (config)# ip dhcp pool POOL50
    (dhcp-config)# network 192.168.50.0/24
    (dhcp-config)# lease 0 0 1
    (dhcp-config)# default-router 192.168.50.1
    (dhcp-config)# exit
    DHCPサーバに認証後VLAN用の設定をします(認証された端末で使用するIPアドレスの配布を設定します。デフォルトルータのIPアドレス192.168.50.1を設定します。)。
     

(e) Web認証の設定

[設定のポイント]
Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]
  1. (config)# web-authentication vlan 50
    Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
     
  2. (config)# aaa authentication web-authentication default group radius
    (config)# radius-server host 192.168.10.200 key "webauth"
    ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。
     
  3. (config)# web-authentication system-auth-control
    Web認証を起動します。
     

(4) RADIUS認証方式+外部DHCPサーバ+複数の認証後VLAN使用時の構成

RADIUS認証方式と外部DHCPサーバを使用し,複数の認証後VLANを設定する場合のWeb認証設定例を次の図に示します。なお,端末(PC1,PC2)のIPアドレスは,外部DHCPサーバによって割り当てるものとします。

図9-10 Web認証のRADIUS認証方式+外部DHCPサーバ+複数認証後VLAN使用時の構成例

[図データ]

認証前VLANと認証後VLANを設定し,アクセスリストの設定をしたあとに,Web認証の設定をします。また,認証前VLANからは認証後VLANに対して通信を許可しないよう,認証後VLANから認証前VLANに対してWebブラウザとの通信だけを許可するアクセスリストを設定します。

また,認証後VLAN同士は通信を許可しないようにアクセスリストを設定します。

(a) 認証ポートの設定

[設定のポイント]
Web認証で使用するポートを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 1/0/4
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 50,60
    (config-if)# switchport mac native vlan 10
    (config-if)# exit
    認証を行う端末が接続されているポートに認証前VLANと認証後VLANを指定します。
     
  2. (config)# interface gigabitethernet 1/0/9
    (config-if)# switchport mode access
    (config-if)# switchport access vlan 50
    (config-if)# exit
    認証後に接続するサーバを接続するポートに認証後VLANを指定します。
     
  3. (config)# interface gigabitethernet 1/0/10
    (config-if)# switchport mode access
    (config-if)# switchport access vlan 60
    (config-if)# exit
    認証後に接続するサーバを接続するポートに認証後VLANを指定します。
     

(b) VLANインタフェースにIPアドレスを設定

[設定のポイント]
認証前VLANおよび認証後VLANにIPアドレスを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 10
    (config-if)# ip address 192.168.10.254 255.255.255.0
    (config-if)# exit
    (config)# interface vlan 50
    (config-if)# ip address 192.168.50.254 255.255.255.0
    (config-if)# exit
    (config)# interface vlan 60
    (config-if)# ip address 192.168.60.254 255.255.255.0
    (config-if)# exit
    認証前VLANと認証後VLANに各IPアドレスを設定します。
     

(c) アクセスリストの設定

[設定のポイント]
認証後VLANと認証前VLANのアクセスリストを設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
    (config-ext-nacl)# permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 10
    (config-if)# ip access-group 100 in
    (config-if)# exit
    認証前VLANからは認証後VLANに対して通信を許可しないよう,アクセスリストを設定します。
     
  2. (config)# ip access-list extended 150
    (config-ext-nacl)# permit tcp 192.168.50.0 0.0.0.255 host 192.168.10.254 eq http
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.50.254
    (config-ext-nacl)# permit ip 192.168.50.0 0.0.0.255 any
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 50
    (config-if)# ip access-group 150 in
    (config-if)# exit
    認証後VLAN(VLAN ID 50)からは認証前VLANに対し,Webブラウザからの通信だけ中継を許可し,他の認証後VLAN(VLAN ID 60)への通信は許可しないよう,アクセスリストを設定します。
     
  3. (config)# ip access-list extended 160
    (config-ext-nacl)# permit tcp 192.168.60.0 0.0.0.255 host 192.168.10.254 eq http
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.254
    (config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.60.254
    (config-ext-nacl)# permit ip 192.168.60.0 0.0.0.255 any
    (config-ext-nacl)# deny ip any any
    (config-ext-nacl)# exit
    (config)# interface vlan 60
    (config-if)# ip access-group 160 in
    (config-if)# exit
    認証後VLAN(VLAN ID 60)からは認証前VLANに対し,Webブラウザからの通信だけ中継を許可し,他の認証後VLAN(VLAN ID 50)への通信は許可しないよう,アクセスリストを設定します。
     

(d) DHCPリレーエージェントの設定

[設定のポイント]
端末にIPアドレスを配布するためのDHCPリレーエージェントを設定します。

[コマンドによる設定]
  1. (config)# interface vlan 10
    (config-if)# ip address 192.168.10.254 255.255.255.0
    (config-if)# ip helper-address 192.168.10.100
    (config-if)# exit
    認証前VLANのDHCPリレーエージェントの設定をします。
     
  2. (config)# interface vlan 50
    (config-if)# ip address 192.168.50.254 255.255.255.0
    (config-if)# ip helper-address 192.168.10.100
    (config-if)# exit
    認証後VLAN(VLAN ID 50)のDHCPリレーエージェントの設定をします。
     
  3. (config)# interface vlan 60
    (config-if)# ip address 192.168.60.254 255.255.255.0
    (config-if)# ip helper-address 192.168.10.100
    (config-if)# exit
    認証後VLAN(VLAN ID 60)のDHCPリレーエージェントの設定をします。
     

(e) Web認証の設定

[設定のポイント]
Web認証のコンフィグレーションコマンドを設定してWeb認証を有効にします。

[コマンドによる設定]
  1. (config)# web-authentication vlan 50
    (config)# web-authentication vlan 60
    Web認証の認証後VLANを設定するコンフィグレーションコマンドでVLAN IDを設定します。
     
  2. (config)# aaa authentication web-authentication default group radius
    (config)# radius-server host 192.168.10.200 key "webauth"
    ユーザ認証をRADIUSサーバで行うためのIPアドレスとRADIUS鍵を設定します。
     
  3. (config)# web-authentication system-auth-control
    Web認証を起動します。
     

[目次][前へ][次へ]


[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.