スイッチのユーザ認証と機器認証でセキュリティを確保する(外部RADIUSサーバーを利用)

管理番号:YMHSW-16349

設定概要

ポート認証機能を利用して、ユーザーおよび機器を認証する設定例です。

ヤマハスイッチでは、同一ポートでIEEE 802.1X認証、MAC認証、Web認証を併用できます。各部門のすべての機器において、いずれかの方法での認証が成功した場合だけ、ネットワークに接続できます。

本構成には、認証サーバーとしてRADIUSサーバーが必要です。本設定例では、別途、外部RADIUSサーバーをご準備いただくことを前提としています。
ヤマハのスイッチをRADIUSサーバーとして利用する場合は、「スイッチのユーザ認証と機器認証でセキュリティを確保する(内蔵RADIUSサーバーを利用)」をご参照ください。

図 構成図

本設定例では、以下の構成で説明します。

  • 認証スイッチ
    - ポート1:RADIUSサーバーと接続
    - ポート2:部門1のサプリカントを認証
      IEEE 802.1X認証:有効
      MAC認証:有効
      Web認証:有効
    - ポート3:部門2のサプリカントを認証
      IEEE 802.1X認証:有効
      MAC認証:有効
      Web認証:有効

※無線LANアクセスポイントやプリンターは、MAC認証での認証が可能です。

対応機種

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
L3スイッチ SWX3220 SWX3200 SWX3100
インテリジェントL2スイッチ SWX2322P SWX2320 SWX2310P SWX2310

技術情報

10ギガビット/マルチギガビットスイッチ ギガビットスイッチ
ポート認証機能 SWX3220 SWX3200 SWX3100
SWX2322P SWX2320 SWX2310P SWX2310

認証スイッチの設定例

コマンド設定

設定内容

ポート認証の設定 aaa authentication dot1x
aaa authentication auth-mac
aaa authentication auth-web

radius-server host 192.168.100.200 key (RADIUSシークレット)

interface port1.2
  auth host-mode multi-supplicant
  dot1x port-control auto
  auth-mac enable
  auth-web enable
  exit
interface port1.3
  auth host-mode multi-supplicant
  dot1x port-control auto
  auth-mac enable
  auth-web enable
  exit

設定の確認

・「show auth status」コマンドで設定を確認します。

[コンソール]
SWX2320#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Enabled
  WEB-Based Authentication         : Enabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  Auth-web custom-file :
    There is no custom-file

  RADIUS server address :
    192.168.100.200 (port:1812)

  NAS-Identifier :

[Interface information]
  Interface port1.2 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

  Interface port1.3 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

SWX2320#
[解説]
ポート認証の情報を表示します。
システム全体で、IEEE 802.1X認証・MAC認証・Web認証が有効です。ポート2 および ポート3は IEEE 802.1X認証・MAC認証・Web認証が有効です。
コマンドの詳細は、ポート認証情報の表示をご覧ください。

・「show radius-server」コマンドで設定を確認します。

[コンソール]
SWX2320#show radius-server
Server Host: 192.168.100.200
  Authentication Port : 1812
  Secret Key          : (RADIUSシークレット)
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

SWX2320#
[解説]
RADIUSサーバーの設定を表示します。
認証サーバーリストに登録しているRADIUSサーバーホストは「192.168.100.200」、認証用UDPポート番号は「1812」です。RADIUSシークレットも確認できます。
コマンドの詳細は、RADIUSサーバー設定情報の表示をご覧ください。

認証状況の確認

・「show auth supplicant」コマンドで設定を確認します。

[コンソール]
SWX2320#show auth supplicant
 Port     MAC address    User name         Status          VLAN Method
 -------- -------------- ----------------- --------------- ---- ------
 port1.2  (MACアドレス1) testUser          Authorized         1 802.1X
 port1.2  (MACアドレス2) (MACアドレス2)    Authorized         1 MAC
 port1.2  (MACアドレス3) testUser          Authorized         1 WEB
 port1.3  (MACアドレス4) (MACアドレス4)    Unauthorized       1 - 

SWX2320#
[解説]
LANポートのサプリカントの認証状態を表示します。
ポート2に接続しているサプリカントは、IEEE 802.1X認証・MAC認証・Web認証に成功しました。ポート3に接続しているサプリカントは、認証に失敗しています。
コマンドの詳細は、サプリカント情報の表示をご覧ください。
Web GUI設定

設定の概要

認証先サーバーの設定

1. スイッチのWeb GUIを開きます。

図 説明画像

2.「詳細設定」をクリックします。

図 説明画像

3.「ポート認証」をクリックします。

図 説明画像

4.「認証先サーバーの設定」をクリックします。

図 説明画像

5.「新規」をクリックします。

図 説明画像

6.「認証先の RADIUS サーバーの設定」を設定して、「確認」をクリックします。

サーバーの種類 外部のRADIUSサーバーを使用する
サーバーのアドレス 192.168.100.200
サーバーとの共有パスワード RADIUSシークレット
図 説明画像

7. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

8. 認証先のRADIUSサーバーの設定が完了しました。

図 説明画像

システムの設定

1.「ポート認証の設定」をクリックします。

図 説明画像

2.「システムの設定」の「設定」をクリックします。

図 説明画像

3.「システムの設定」を設定して、「確認」をクリックします。

有効にする認証機能 > 802.1X 認証 チェックを入れる
有効にする認証機能 > MAC 認証 チェックを入れる
有効にする認証機能 > Web 認証 チェックを入れる
MAC 認証時の MAC アドレス形式 区切り有り(-), 小文字表記
図 説明画像

4. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

5. ポート認証における、システムの設定が完了しました。

図 説明画像

インターフェースの設定

1. ポート認証をするインターフェースを設定します。「port1.2」の「設定」をクリックします。

図 説明画像

2.「インターフェースの設定」を設定して、「確認」をクリックします。

有効にする認証機能 > 802.1X 認証 チェックを入れる
有効にする認証機能 > MAC 認証 チェックを入れる
有効にする認証機能 > Web 認証 チェックを入れる
ホストモード マルチサプリカントモード( 推奨 )
図 説明画像

3. 設定内容を確認して問題がなければ、「設定の確定」をクリックします。

図 説明画像

4.「port1.2」のポート認証の設定が完了しました。

図 説明画像

5. 続けて、「port1.3」について、ポート認証の設定をします。設定手順は、インターフェースの設定 手順1~3 と同様です。
  設定が完了すると、以下のように表示されます。

図 説明画像

※上記操作による設定(Config)を取り出すことができます。

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を推奨します。


【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。

メール

ご相談・お問い合わせ