本文へスキップ

アライドファン.comは、佐々木ネットワークテクノロジーズが運営する、ネットワーク技術情報サイトです。

佐々木ネットワークテクノロジーズ

〒761-8073 香川県高松市太田下町2456

トップ機器設定方法−GS900M−802.1X ポート認証の設定

802.1X ポート認証の設定

アライドテレシスのスイッチ、FS926M, GS924M等で、802.1X ポート認証をする設定するコマンド例は以下の通り。
add radiusserver server=192.168.23.45 order=1 secret=123abc

add radiusserver server=192.168.23.46 order=2 secret=123abc

enable portauth

set portauth port=1-4 type=authenticator

上の例では、認証サーバの本番機のIPアドレスは192.168.23.45、バックアップ機のIPアドレスは192.168.23.46、認証サーバと交換するパスワードは123abcとなり、ポート1〜4で802.1X ポート認証が有効となる。

解説

アライドテレシスのFS900Mシリーズ、GS900Mシリーズでは、802.1X ポート認証が使用できる。ポート認証機能を使用すれば、認証に成功しない限りスイッチが使用できないので、セキュリティを向上させることができる。
FS900Mシリーズ、GS900Mシリーズでは、ファームアップの度にポート認証機能が向上しており、また細かなバグも修正されているので、ポート認証を使用する場合は、できる限り最新版のファームウェアに更新してから使用するのがよい。

RADIUSサーバについて

認証機能を使用する場合、まずRADIUSサーバ(認証装置)をスイッチに定義する。RADIUSサーバは、Linuxサーバ等によって構築することも可能であるが、設定の容易さ、運用の容易さを考えて、専用ハードウェアを使用するのが良いと考える。
専用ハードウェアの一例として、Soliton Systems社から発売されているNet'Attest EPS-ST3等があげられる。Net'Attestはアライドテレシスのカタログに掲載されており、スイッチと同時に購入できるので便利である。

RADIUSサーバは1台でも運用可能であるが、RADIUSサーバが故障した場合は、認証機能を使用している全スイッチの全認証ポートが同時に使用不可となり、ネットワークを冗長化した意味がなくなるので、RADIUSサーバは必ずバックアップ機を用意しなければならない。
忘れがちのことであるが、RADIUSサーバの本番機とバックアップ機は必ず別のスイッチに接続し、UPSも別のものに接続するようにしないと、冗長性が低下してしまう。

add radiusserverコマンドでは、 RADIUSサーバのIPアドレスをserverパラメータによって設定し、RADIUSサーバーとの通信に使う共有パスワードをsecretパラメータ によって設定する必要がある。なおport、accportパラメータはデフォルト値で問題ない。
また、RADIUSサーバの本番機はorderパラメータを1で、バックアップ機はorderパラメータを2で設定する。(3台以上は設定できない)

set portauthコマンドのパラメータ設定について

add radiusserverコマンドでRADIUSサーバの設定を行えば、後はset portauthとenable portauthの設定さえ行えば802.1Xポート認証が使用できる。

set portauthコマンドで設定が必要なパラメータはportとtypeのみで、802.1X認証の場合は、他はデフォルト値でも構わない。

portパラメータには、認証を行うポートをポート番号で設定する。port1-4のように範囲で指定することや、port=2,3のようにカンマで区切って複数指定することも可能。
port=allも指定できるが、RADIUSサーバに接続できなくなってしまうので、指定することはまずない。

typeパラメータには、authenticatorを指定する。
被認証スイッチとして、他スイッチに対してIDとパスワードを送出する場合は、supplicantを指定する。

なお、set portauthコマンドで認証設定されたポートを元に戻す(認証対象外ポートにする)には、set portauth port=xx type=noneのように、typeパラメータをnoneにして、set portauthコマンドを再実行する。

set portauthコマンドでは、ダイナミックVLANがデフォルトで有効になっている。そのため、認証完了後、ポートのVLANはRADIUSサーバから通知されるVLAN IDに切り替わる。
RADIUSサーバからVLAN IDが通知されない場合は、add vlan portコマンドで元々設定されているVLANが、認証後もそのまま使用される。

また、認証はMACアドレス単位で行われる。そのため、認証が成功した場合でも、ポートが無条件でオープンされるわけではない。認証ポートの配下にHUBをカスケード接続した場合も、認証に成功した機器のみが通信可能となる。
MACアドレス単位の認証を、ポート単位に切り替え、ポートの認証完了後は、認証ポートの配下にカスケード接続されたHUBに接続された端末全てが通信可能となるようにするには、piggyback=enabledを指定する。

戻る

バナースペース

佐々木ネットワークテクノロジーズ

お問い合わせは、なるべくメールでお願いします。
Mail. inq08@allied-fan.com