2.6. ダイナミックVLAN機能の設定

ダイナミックVLAN機能を使用することによって、接続する端末の認証結果に応じて、端末が接続するVLANを変更することができます。

注釈

端末認証では、別途RADIUSサーバを用意する必要があります。

2.6.1. ダイナミックVLAN機能の概要

端末接続時に端末認証を行います。 端末認証の結果、認証サーバから通知されるVLAN IDを使用して、端末が接続するインタフェースのVLANを決定します。 本機能を利用することにより、端末を接続するポートに依存せず、接続する端末に応じたVLANに接続することができます。

../_images/06-1_dynamicVLAN_01.svg

図 2.6.1 ダイナミックVLANのイメージ

端末認証のために、IEEE802.1X認証または、MAC認証を使用します。 どちらもローカルデータベースでの認証は対応していないため、RADIUSサーバを使用した認証が必要となります。 802.1XとMAC認証は併用が可能です。

端末が未認証の状態では、インタフェースに設定したVLANで動作します。 この状態では、端末への送信を許可することができます。

認証に成功すると、接続したインタフェースにRADIUSサーバから通知されたVLANを割り当てます。

認証の結果が失敗の場合や、認証の応答が返らずタイムアウトした場合は、あらかじめ設定したVLANに接続することができます。 認証失敗時とタイムアウト時に接続するVLANはIEEE802.1X認証とMAC認証でそれぞれ別なVLANを設定できます。 この場合、認証が成功していない状態(認証失敗、認証タイムアウト)でも、指定されているVLANで通信することができます。

VLANはポート単位で設定します。

2.6.2. ダイナミックVLANの設定

以下の設定を行います。

  • AAA認証・RADIUS認証の有効化

  • ブリッジの有効化

  • インタフェースへのbridge-groupの割当

  • IEEE802.1XまたはMAC認証を使用したダイナミックVLANの有効化

  • ポートベース認証の適用

使用するVLANの指定の際はブリッジグループを使用します。

2.6.2.1. AAA認証、RADIUS認証の設定コマンド

AAA認証、RADIUSクライアントの設定の詳細は「AAAの設定」の項を参照してください。

2.6.2.2. IEEE802.1X認証・MAC認証設定コマンド

IEEE802.1Xの設定の詳細は「端末認証の設定」の項を参照してください。 ダイナミックVLANでは以下のコマンドを使用します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x dynamic-vlan

    ダイナミックVLANの有効化

    dot1x access-control

    認証単位の設定

    dot1x event failure

    認証失敗時に割り当てるVLAN設定

    dot1x event timeout

    認証タイムアウト時に割り当てるVLAN設定

MAC認証の設定の詳細は「端末認証の設定」の項を参照してください。 ダイナミックVLANでは以下のコマンドを使用します。

  • インターフェースコンフィグモード

    項目

    説明

    mac-auth dynamic-vlan

    ダイナミックVLANの有効化

    mac-auth port-control direction

    フレーム制御方向の設定

    mac-auth event failure

    認証失敗時に割り当てるVLAN設定

    mac-auth event timeout

    認証タイムアウト時に割り当てるVLAN設定

端末毎にVLANを設定するため、認証単位はポートベース認証を使用します。

MACベース認証を使用する場合、1ポートで複数の端末が接続されます。 この場合は、最初に認証された端末の認証結果に応じたVLANに接続します。 後から接続された端末は認証を行いません。

未認証時は、インタフェースに設定したVLANに接続しています。 フレーム制御方向の設定内容に従って通信が許可されます。

認証失敗時、タイムアウト時に割り当てるVLANを設定した場合は、 認証失敗、タイムアウト時は設定したVLANでの双方向の通信が許可されます。 認証失敗時、タイムアウト時は、再認証は行いません。

2.6.2.3. ブリッジ設定コマンド

ブリッジの設定の詳細は「ブリッジの設定」の項を参照してください

ブリッジグループをVLAN-IDとして使用します。

端末が接続するインタフェースに設定したブリッジグループは未認証時に使用します。

2.6.2.4. RADIUSサーバの設定

RADIUSサーバでは以下のアトリビュートを使用します。

  • IEEE802.1X認証

    番号

    アトリビュート

    Value

    1

    User-Name

    Supplicantのユーザ名

    30

    Called-Station-Id

    ルータインタフェースのMACアドレス

    31

    Calling-Station-Id

    SupplicantのMACアドレス

    6

    Service-Type

    端末に提供するサービスタイプ(Framed:2固定)

    4

    NAS-IP-Address

    RADIUSパケット送信インタフェースのIPアドレス

    5

    NAS-Port

    接続インタフェース番号(0x8000_0000+ifIndex)

    61

    NAS-Port-Type

    接続インタフェースのタイプ(Ethernet:15固定)

    79

    EAP-Message

    EAPメッセージ

    24

    State

    RADIUSサーバからのAccess-Challengeに含まれているStateアトリビュートをそのまま付与(チャレンジに対する応答時に付与)

    27

    Session-Timeout

    Authenticatorのタイマ

    80

    Message-Authenticator

    パケット全体のHMAC-MD5ハッシュ値

    81

    Tunnel-Private-Group-ID

    VLAN-ID(ブリッジグループ番号)

  • MAC認証

    番号

    アトリビュート

    Value

    1

    User-Name

    端末のMACアドレス(書式は変更可能)

    2

    User-Password

    上記MACアドレスのMD5

    30

    Called-Station-Id

    ルータインタフェースのMACアドレス

    31

    Calling-Station-Id

    端末のMACアドレス

    6

    Service-Type

    端末に提供するサービスタイプ(Framed:2固定)

    5

    NAS-Port

    接続インタフェース番号(0x8000_0000+ifIndex)

    4

    NAS-IP-Address

    RADIUSパケット送信インタフェースのIPアドレス

    61

    NAS-Port-Type

    接続インタフェースのタイプ(Ethernet:15固定)

    27

    Session-Timeout

    再認証タイマ

    81

    Tunnel-Private-Group-ID

    VLAN-ID(ブリッジグループ番号)

2.6.2.5. 設定例

ダイナミックVLANを使用する場合の構成例と、その際のコンフィグを示します。

../_images/06-1_dynamicVLAN_02.svg

図 2.6.2 構成例

  • 認証済みの端末は、Tunnel-Private-Group-ID = 10 が通知されるので、bridge-group 10 のBVI10に接続

  • 認証失敗端末は、dot1x/mac-auth event failure action bridge-group 2 により、bridge-group 2 のBVI2に接続

  • 未認証端末は、各インタフェースに設定済みのbridge-group 1 のBVI1に接続

ブリッジグループ1(設定例ではBVI1)に接続

リスト 2.6.1 設定例
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
Device GigaEthernet1
  vlan-group 1 port 1
  vlan-group 2 port 2
  vlan-group 3 port 3
  vlan-group 4 port 4
!
interface GigaEthernet0.0
  ip address 10.0.0.1/24
  no shutdown
!
interface GigaEthernet1:1.0
  bridge-group 1
  dot1x enable
  dot1x dynamic-vlan
  dot1x access-control port-based
  dot1x event failure action bridge-group 2
  mac-auth enable
  mac-auth dynamic-vlan
  mac-auth access-control port-based
  mac-auth event failure action bridge-group 2
  no shutdown
!
interface GigaEthernet1:2.0
! GigaEthernet1:1.0と同じ設定
!
interface GigaEthernet1:3.0
! GigaEthernet1:1.0と同じ設定
!
interface GigaEthernet1:4.0
! GigaEthernet1:1.0と同じ設定
!
interface BVI1
  ip address 192.168.1.254/24
  bridge-group 1
  no shutdown
!
interface BVI2
  ip address 192.168.2.254/24
  bridge-group 2
  no shutdown
!
interface BVI10
  ip address 192.168.10.254/24
  bridge-group 10
  no shutdown

2.6.3. 端末認証機能の併用

ダイナミックVLAN機能ではIEEE802.1X認証とMAC認証を併用することができます。

IEEE802.1XのEAPパケットを受信したときはIEEE802.1Xで認証します。 EAP以外の通常のフレームを受信した場合には、MAC認証機能で認証します。

IEEE802.1Xで使用するEAPのフレームはMAC認証で廃棄しないため、 これらの認証を設定してもIEEE802.1X認証には影響はありません。

2.6.4. 注意事項

2.6.4.1. IEEE802.1X 検疫機能との併用

検疫フィルタ機能のフィルタ用のアトリビュートにTunnel-Private-Group-Idを使用している場合、 同一端末にて本機能との併用はできません。

2.6.4.2. スイッチングHUBにおける注意事項

ポートベースVLANを使用しない状態でのスイッチングHUBインタフェースにおける端末認証機能では、 認証の可否に関わらずスイッチ配下のローカル通信は常に許可されます。

../_images/06-1_dynamicVLAN_03.svg

図 2.6.3 説明図

2.6.4.3. 認証済み端末のインタフェースの移動

本装置のIEEE802.1XとMAC認証機能による認証は、全てインタフェースごとに記憶されます。 認証済みの端末であっても接続するインタフェースを移動した場合はそのインタフェースで再度認証処理を行う必要があります。

2.6.4.4. ブリッジ機能との併用

ブリッジインタフェースでIEEE802.1Xを有効化すると、IEEE802.1Xフレームはそのインタフェースで終端されます。 有効化しない場合はブリッジされます。 またBVIインタフェースではIEEE802.1X機能もMAC認証も使用できません。

2.6.4.5. 各機能使用時の注意事項

ダイナミックVLANのために使用する各機能の注意事項については、各機能の項を参照してください。