2.51. RADIUSサーバー機能の設定
2.51.1. RADIUSサーバー機能概要
IX-RルータのRADIUSサーバー機能を利用することで、IEEE802.1X端末認証におけるSupplicant/Authenticatorの情報や証明書の管理することができます。
RADIUSサーバー機能の利用には、NetMeister Prime(有償サービス)が必要となります。
また、この機能はNetMeisterサービスから設定や管理を行います。
NetMeisterでの画面表示や設定方法につきましては、NetMeisterのマニュアルを参照してください。
2.51.2. 機能一覧
IEEE802.1X端末認証において下記の機能を担います。
機能
説明
Supplicant/Authenticatorの情報管理
認証リクエストの受信・解析
認証レスポンスの生成・送信
統計・履歴
2.51.3. 注意事項
2.51.3.1. NetMeisterとの接続について
RADIUSサーバーを利用するには、NetMeisterとの接続を常時維持する必要があります。NetMeisterとの接続状況は、NetMeisterサービス上で確認可能です。
2.51.3.2. 認証方法について
認証用途
IEEE802.1X認証のみサポートします。
認証方式
EAP-PEAP方式(MSCHAP v2)の認証のみサポートします。
2.51.3.3. 認証以外の機能について
アカウンティング
アカウンティング機能はサポートしていません。
検疫
検疫機能はサポートしていません。
2.51.3.4. 他機能との併用について
ダイナミックVLAN
ダイナミックVLANを併用した認証には対応していません。
VRF
VRF空間ではRADIUSサーバー機能に対応していません。
2.51.4. 受信インタフェースの指定
RADIUSサーバーによる端末認証は、LANに設定されたインタフェースまたはVPNエンドポイントに設定されたインタフェースでのみ有効になります。
2.51.4.1. LANインタフェースの確認方法
装置のどのインタフェースがLANに設定されているかは、show running-configコマンドで表示されるsystem information情報で確認が可能です。
デフォルト設定
デフォルト設定では以下のインタフェースがLANインタフェースに割り当てられます。個別にインタフェースを設定する場合、system informationコマンドで設定が必要になります。
対象インタフェース
備考
GigaEthernetX.0
X:対象プラットフォームで一番大きいインタフェース番号
個別設定
system informationコマンドを設定することで、個別にLANインタフェースを設定することができます。詳細な設定については次項の設定方法を参照してください。
2.51.4.2. LANインタフェース設定方法
RADIUSサーバー機能の受信インタフェースには、以下のコマンド設定が必要になります。
設定可能なLANインタフェース番号は最大20までになります。
なお、設定がない場合は前述のデフォルト設定の対象インタフェースが受信インタフェースになります。
グローバルコンフィグモード
項目
説明
system information
WAN、LANインタフェース割り当て設定
Router(config)# show running-config ; system information lan 1 GigaEthernet2.0
2.51.4.2.1. 注意事項
Webコンソール利用時
Webコンソールで設定をしている場合、以下のsystem informationコマンドが設定されている場合があります。
system information lan 1system information wan 1system information wan 2この設定を変更した場合、Webコンソールが動作しなくなる可能性がありますのでご注意ください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。
NetMeisterサービス利用時
一部のNetMeisterサービスでは以下のsystem informationコマンドの設定を参照して機能が動作しています。
NetMeisterサービス機能
該当コマンド
ダイナミックVPN
system information wan 1system information lan 1リモートログイン
system information lan 1
そのため、手動設定する際は使用する環境に合わせてsystem informationコマンドの設定をしてください。設定を追加する場合、上記のコマンドで設定されている番号とインタフェースに重複しないような番号とインタフェースを設定してください。
2.51.4.3. VPNエンドポイント設定方法
後述の設定例を参照してください。
2.51.5. 設定の流れ
2.51.5.1. NetMeisterへの装置登録
2.51.5.2. ルータ側の設定
ルータ側の設定例を構成に応じて3通り紹介します。
2.51.5.2.1. LANインタフェースで受信
端末認証をLANインタフェースで受信する場合の構成と設定の例を示します。 なお、LANインタフェースはGigaEthernet1.0を設定しています。
図 2.51.1 構成例
nm ip enable nm account example-gp1 password plain example-pass1 nm sitename tokyo ! interface GigaEthernet0.0 ip address dhcp receive-default ip napt enable no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 no shutdown ! system information lan 1 GigaEthernet1.0
2.51.5.2.2. VPNエンドポイントで受信
端末認証をVPNエンドポイントで受信する場合の構成と設定の例を示します。 この設定では、VPNを介した端末認証要求をLoopback0.0で受信します。
図 2.51.2 構成例
ip route 192.168.1.0/24 Tunnel0.0 ! ikev2 authentication psk id keyid IX1 key char hogehoge ikev2 authentication psk id keyid IX2 key char hogehoge ! nm ip enable nm account example-gp1 password plain example-pass1 nm sitename tokyo ! ikev2 default-profile local-authentication psk id keyid IX1 ! interface GigaEthernet0.0 ip address dhcp receive-default ip napt enable no shutdown ! interface GigaEthernet2.0 ip address 192.168.2.254/24 no shutdown ! interface Loopback0.0 ip address 192.168.100.254/24 ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip unnumbered Loopback0.0 ikev2 connect-type auto ikev2 ipsec pre-fragment ikev2 outgoing-interface GigaEthernet1.0 ikev2 peer 192.168.2.1 authentication psk id keyid IX2 no shutdown
2.51.5.2.3. 装置内部でIEEE802.1X認証機能と併用
装置内部でIEEE802.1X認証機能とRADIUSサーバー機能を併用する場合の構成と設定の例を示します。
図 2.51.3 構成例
aaa enable aaa group server radius defaultdot1xauth ip 169.254.255.254 aaa authentication dot1x default group defaultdot1xauth ! radius host ip 169.254.255.254 acct-port 0 key 0 radius-client-secret-key123456789 ! nm ip enable nm account example-gp1 password plain example-pass1 nm sitename tokyo ! interface GigaEthernet0.0 ip address dhcp receive-default ip napt enable no shutdown ! interface GigaEthernet1.0 ip address 192.168.2.254/24 dot1x enable dot1x supplicant-detection disable dot1x timeout reauth-period 28800 no shutdown ! interface Loopback0.0 ip address 169.254.255.254/32
2.51.6. 情報の確認
2.51.6.1. CLI表示
以下のコマンドでアプリケーション解析機能関連の状態を確認できます。
グローバルコンフィグモード
項目
説明
show radius server
RADIUSサーバーの状態および統計情報の表示
show radius server history
RADIUSサーバーのユーザー認証履歴の表示
状態および統計情報の表示例です。
Router(config)# show radius server RADIUS server is enabled RADIUS server status is active RADIUS server statistics: Rcvd: 270 request, 0 from unknown host, 0 malformal, 0 dropped, 0 unknown Sent: 270 response Authentication statistics: 24 success, 0 failure Router(config)#
表示
内容
RADIUS server is enabled/disabled
RADIUSサーバー機能の有効/無効
RADIUS server status is active/inactive
RADIUSサーバーのデーモンの稼働/停止
XX request
認証要求を受信した回数
XX from unknown host
許可されていないAuthenticatorから認証要求を受信した回数
XX malformal
形式不正な認証要求を受信した回数
XX dropped
キューの上限を超えたため破棄した認証要求の回数
XX unknown
RADIUScodeが異常のため破棄した認証要求の回数
XX response
認証要求に対して認証レスポンスを送信した回数
XX success
認証要求の解析の結果、認証成功と判断した回数
XX failure
認証要求の解析の結果、認証失敗と判断した回数
ユーザー認証履歴の表示例です。
Router(config)# show radius server history Authentication statistics - 1 success, 1 failure RADIUS server history - 2 recorded. 2026/01/29 18:11:37 Success: User-Name=user1, IP=192.168.2.4, MAC=XX-XX-XX-XX-XX-XX 2026/01/29 13:25:15 Failure: User-Name=user2, IP=192.168.2.4, MAC=XX-XX-XX-XX-XX-XX Router(config)#
表示
内容
XXXX/XX/XX XX:XX:XX
認証日時
Success/Failure
認証の成功/失敗
User-Name
Supplicantのユーザー名
IP
AuthenticatorのIPアドレス
MAC
SupplicantのMACアドレス