スイッチのユーザ認証と機器認証でセキュリティを確保する(外部RADIUSサーバーを利用)

管理番号：YMHSW-16349
（最終更新日: 2023/12/18）

設定概要

ポート認証機能を利用して、ユーザーおよび機器を認証する設定例です。

ヤマハスイッチでは、同一ポートでIEEE 802.1X認証、MAC認証、Web認証を併用できます。各部門のすべての機器において、いずれかの方法での認証が成功した場合だけ、ネットワークに接続できます。

本構成には、認証サーバーとしてRADIUSサーバーが必要です。本設定例では、別途、外部RADIUSサーバーをご準備いただくことを前提としています。
ヤマハのスイッチをRADIUSサーバーとして利用する場合は、「スイッチのユーザ認証と機器認証でセキュリティを確保する(内蔵RADIUSサーバーを利用)」をご参照ください。

本設定例では、以下の構成で説明します。

認証スイッチ
- ポート1：RADIUSサーバーと接続
- ポート2：部門1のサプリカントを認証
IEEE 802.1X認証：有効
MAC認証：有効
Web認証：有効
- ポート3：部門2のサプリカントを認証
IEEE 802.1X認証：有効
MAC認証：有効
Web認証：有効

※無線LANアクセスポイントやプリンターは、MAC認証での認証が可能です。

対応機種

	10ギガビット/マルチギガビットスイッチ		ギガビットスイッチ
L3スイッチ	SWX3220		SWX3200	SWX3100
インテリジェントL2スイッチ	SWX2322P	SWX2320	SWX2310P	SWX2310

技術情報

	10ギガビット/マルチギガビットスイッチ		ギガビットスイッチ
ポート認証機能	SWX3220		SWX3200	SWX3100
ポート認証機能	SWX2322P	SWX2320	SWX2310P	SWX2310

認証スイッチの設定例

コマンド設定

設定内容

ポート認証の設定	aaa authentication dot1x aaa authentication auth-mac aaa authentication auth-web radius-server host 192.168.100.200 key (RADIUSシークレット) interface port1.2 auth host-mode multi-supplicant dot1x port-control auto auth-mac enable auth-web enable exit interface port1.3 auth host-mode multi-supplicant dot1x port-control auto auth-mac enable auth-web enable exit

設定の確認

・「show auth status」コマンドで設定を確認します。

[コンソール]

SWX2320#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Enabled
  WEB-Based Authentication         : Enabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  Auth-web custom-file :
    There is no custom-file

  RADIUS server address :
    192.168.100.200 (port:1812)

  NAS-Identifier :

[Interface information]
  Interface port1.2 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

  Interface port1.3 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

SWX2320#

[解説]
ポート認証の情報を表示します。
システム全体で、IEEE 802.1X認証・MAC認証・Web認証が有効です。ポート2 およびポート3は IEEE 802.1X認証・MAC認証・Web認証が有効です。
コマンドの詳細は、ポート認証情報の表示をご覧ください。

・「show radius-server」コマンドで設定を確認します。

[コンソール]

SWX2320#show radius-server
Server Host: 192.168.100.200
  Authentication Port : 1812
  Secret Key          : (RADIUSシークレット)
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

SWX2320#

[解説]
RADIUSサーバーの設定を表示します。
認証サーバーリストに登録しているRADIUSサーバーホストは「192.168.100.200」、認証用UDPポート番号は「1812」です。RADIUSシークレットも確認できます。
コマンドの詳細は、RADIUSサーバー設定情報の表示をご覧ください。

認証状況の確認

・「show auth supplicant」コマンドで設定を確認します。

[コンソール]

SWX2320#show auth supplicant
 Port     MAC address    User name         Status          VLAN Method
 -------- -------------- ----------------- --------------- ---- ------
 port1.2  (MACアドレス1) testUser          Authorized         1 802.1X
 port1.2  (MACアドレス2) (MACアドレス2)    Authorized         1 MAC
 port1.2  (MACアドレス3) testUser          Authorized         1 WEB
 port1.3  (MACアドレス4) (MACアドレス4)    Unauthorized       1 - 

SWX2320#

[解説]
LANポートのサプリカントの認証状態を表示します。
ポート2に接続しているサプリカントは、IEEE 802.1X認証・MAC認証・Web認証に成功しました。ポート3に接続しているサプリカントは、認証に失敗しています。
コマンドの詳細は、サプリカント情報の表示をご覧ください。

Web GUI設定

設定の概要

認証先サーバーの設定：接続先サーバー(外部RADIUSサーバー)の設定をします。
システムの設定：ポート認証で使用するシステムの設定をします。
インターフェースの設定：ポート認証をするインターフェースの設定をします。

認証先サーバーの設定

1. スイッチのWeb GUIを開きます。

2.「詳細設定」をクリックします。

3.「インターフェース設定」をクリックします。

4.「ポート認証」をクリックします。

5.「認証先サーバーの設定」をクリックします。

6.「新規」をクリックします。

7.「認証先の RADIUS サーバーの設定」を設定して、「確認」をクリックします。

サーバーの種類	外部のRADIUSサーバーを使用する
サーバーのアドレス	192.168.100.200
サーバーとの共有パスワード	RADIUSシークレット

8. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

9. 認証先のRADIUSサーバーの設定が完了しました。

システムの設定

1.「ポート認証の設定」をクリックします。

2.「システムの設定」の「設定」をクリックします。

3.「システムの設定」を設定して、「確認」をクリックします。

有効にする認証機能 > 802.1X 認証	チェックを入れる
有効にする認証機能 > MAC 認証	チェックを入れる
有効にする認証機能 > Web 認証	チェックを入れる
MAC 認証時の MAC アドレス形式	区切り有り(-), 小文字表記

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

5. ポート認証における、システムの設定が完了しました。

インターフェースの設定

1. ポート認証をするインターフェースを設定します。「port1.2」の「設定」をクリックします。

2.「インターフェースの設定」を設定して、「確認」をクリックします。

有効にする認証機能 > 802.1X 認証	チェックを入れる
有効にする認証機能 > MAC 認証	チェックを入れる
有効にする認証機能 > Web 認証	チェックを入れる
ホストモード	マルチサプリカントモード（推奨）

3. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

4.「port1.2」のポート認証の設定が完了しました。

5. 続けて、「port1.3」について、ポート認証の設定をします。設定手順は、インターフェースの設定手順1～3 と同様です。
設定が完了すると、以下のように表示されます。

※上記操作による設定（Config）を取り出すことができます。

スイッチ Configのサンプル

※管理パスワードの変更方法は、管理パスワードの変更(スイッチ)をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。