認証機能の併用(有線と無線の認証を一元管理) : SWX2310P コマンド設定

管理番号：YMHSW-16349

本設定例の対応機種は、SWX2310P-28GT、SWX2310P-18G、SWX2310P-10Gです。

ポート認証機能を利用して、機器またはユーザーを認証する設定例です。

SWX2310Pでは、同一ポートでIEEE 802.1X認証、MAC認証、Web認証を併用できます。同一ポートに認証方法に制限のある複数の機器を接続している場合、設定しているいずれかの方法で認証が可能になります。
本設定例を構築するには、認証サーバーとしてRADIUSサーバーが必要です。

技術情報：ポート認証機能

本設定例では、以下の構成で説明します。
※スイッチとクライアント間に設置する機器も、いずれかの方法で認証が必要になります。

ポート2：IEEE 802.1X認証
ポート3：IEEE 802.1X認証、Web認証
※SWX2310P配下のスイッチは、MAC認証を利用しています。
ポート4：MAC認証、Web認証
※SWX2310P配下の無線LANアクセスポイントは、MAC認証を利用しています。
ポート5：MAC認証

SWX2310Pの設定例

※ネットワーク機器を安全にお使いいただくために、管理パスワードの変更を奨励します。

下記の設定（Config）を取り出すことができます。

SWX2310P-28GT

SWX2310P-18G

SWX2310P-10G

ポート認証の設定	aaa authentication dot1x aaa authentication auth-mac aaa authentication auth-web interface port1.2 dot1x port-control auto auth host-mode multi-supplicant exit interface port1.3 auth-mac enable dot1x port-control auto auth host-mode multi-supplicant auth-web enable exit interface port1.4 auth-mac enable auth host-mode multi-supplicant auth-web enable exit interface port1.5 auth-mac enable auth host-mode multi-supplicant exit radius-server host 192.168.100.200 key (共有パスワード)

ポート認証の設定

aaa authentication dot1x
aaa authentication auth-mac
aaa authentication auth-web

interface port1.2
  dot1x port-control auto
  auth host-mode multi-supplicant
  exit
interface port1.3
  auth-mac enable
  dot1x port-control auto
  auth host-mode multi-supplicant
  auth-web enable
  exit
interface port1.4
  auth-mac enable
  auth host-mode multi-supplicant
  auth-web enable
  exit
interface port1.5
  auth-mac enable
  auth host-mode multi-supplicant
  exit

radius-server host 192.168.100.200 key (共有パスワード)

設定の確認

・「show auth status」コマンドで設定を確認します。

[コンソール]

SWX2310P#show auth status
[System information]
  802.1X Port-Based Authentication : Enabled
  MAC-Based Authentication         : Enabled
  WEB-Based Authentication         : Enabled

  Clear-state time : Not configured

  Redirect URL :
    Not configured

  RADIUS server address :
    192.168.100.200 (port:1812)

[Interface information]
  Interface port1.2 (down)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Disabled (configured:disable)
    WEB Authentication      : Disabled (configured:disable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

  Interface port1.3 (up)
    802.1X Authentication   : Auto (configured:auto)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

  Interface port1.4 (up)
    802.1X Authentication   : Force Authorized (configured:-)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Enabled (configured:enable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

  Interface port1.5 (down)
    802.1X Authentication   : Force Authorized (configured:-)
    MAC Authentication      : Enabled (configured:enable)
    WEB Authentication      : Disabled (configured:disable)
    Host mode               : Multi-supplicant
    Dynamic VLAN creation   : Disabled
    Guest VLAN              : Disabled
    Reauthentication        : Disabled
    Reauthentication period : 3600 sec
    MAX request             : 2 times
    Supplicant timeout      : 30 sec
    Server timeout          : 30 sec
    Quiet period            : 60 sec
    Controlled directions   : In (configured:both)
    Protocol version        : 2
    Clear-state time        : Not configured

SWX2310P#

[解説]
ポート認証の情報を表示します。
システム全体で、IEEE 802.1X認証・MAC認証・Web認証が有効です。ポート2は IEEE 802.1X認証が有効、ポート3は IEEE 802.1X認証・MAC認証・Web認証が有効、ポート4は MAC認証・Web認証が有効、ポート4は MAC認証が有効です。
コマンドの詳細は、ポート認証情報の表示をご覧ください。

・「show radius-server」コマンドで設定を確認します。

[コンソール]

SWX2310P#show radius-server
Server Host: 192.168.100.200
  Authentication Port : 1812
  Secret Key          : (共有パスワード)
  Timeout             : 5 sec
  Retransmit Count    : 3
  Deadtime            : 0 min

SWX2310P#

[解説]
RADIUSサーバーの設定を表示します。
認証サーバーリストに登録しているRADIUSサーバーホストは「192.168.100.200」、認証用UDPポート番号は「1812」です。共有パスワードも確認できます。
コマンドの詳細は、RADIUSサーバー設定情報の表示をご覧ください。

・「show auth supplicant」コマンドで設定を確認します。

[コンソール]

SWX2310P#show auth supplicant
 Port     MAC address    User name         Status          VLAN Method
 -------- -------------- ----------------- --------------- ---- ------
 port1.3  (MACアドレス1) testUser          Authorized         1 802.1X
 port1.3  (MACアドレス2) (MACアドレス2)    Authorized         1 MAC
 port1.3  (MACアドレス3) testUser          Authorized         1 WEB
 port1.4  (MACアドレス4) (MACアドレス4)    Unauthorized       1 - 

SWX2310P#

[解説]
LANポートのサプリカント情報を表示します。
ポート3に接続しているサプリカントは、IEEE 802.1X認証・MAC認証・Web認証に成功しました。ポート4に接続しているサプリカントは、認証に失敗しています。
コマンドの詳細は、サプリカント情報の表示をご覧ください。

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。