IEEE802.1X(ポート・ベース・ネットワーク・アクセス・コントロール)とは、LANスイッチや無線LANアクセス・ポイントを使ってユーザーを認証する技術です。通常のLANスイッチは、ポートにケーブルを接続することでLANを利用することができますが、802.1Xに対応したLANスイッチは、ケーブルを接続しても直接LANを利用することはできず、接続されたPCを正規のユーザーとして認証した上でLANを利用することができ、認証によってLANスイッチはユーザーが送信する情報を通過させたり、遮断したりすることができます。無線 LAN アクセスポイントも基本的には同じ原理です。
クライアント側では、IEEE802.1x認証システム部分、つまりAuthenticatorを実現します。IEEE802.1xクライアントは一般的にユーザーのPCにインストールされ、一般的にWindows XPオペレーティングシステムがクライアントに付属しています。Huawei 3Com の Quidway 3000 シリーズ・スイッチ以上は、新しいソフトウェア・バージョンで、組み込み認証サーバ(Authentication Sever)の機能を提供し、認証サーバはオペレータの AAA センターで使用できます。新しいソフトウェアバージョンでは、Huawei 3ComのQuidway 3000シリーズスイッチ以上は、組み込みAuthentication Sever(認証サーバー)機能を提供し、Huawei 3Comの内部クラスタ通信プロトコルを介してユーザー認証と設定を効率的に完了します。
ユーザが認証され、PC1が接続されている物理ポートE0/1の認証ポートのみが開放され、データポートは閉鎖されているため、PC1がdot1xで認証されると、認証パケットのみがポートE0/1を経由して転送され、PC1はインターネットにアクセスできなくなります。
環境パラメータの設定
1.PC1およびPC2はそれぞれVLAN10およびVLAN20に属しており、本装置AのポートE0/1およびE0/2に接続されています。
スイッチは192.168.0.100/24のRADIUSサーバーインターフェイスvlan 100に接続されています。
2.VLAN10とVLAN20の2つのユーザーセグメントがダウンリンクされ、VLAN10には10.10.1.1/24セグメントのe0/1からe0/10までのポートが含まれ、VLAN20には10.10.2.1/24セグメントのe0/11からe0/20までのポートが含まれます。
ネットワークの必要性
1. SwitchA で 802.1X 認証を開始し、PC1 と PC2 の認証を完了します。
2. SwitchA で 802.1X 認証を開始し、PC1 と PC2 のリモート RADIUS 認証を実行します。
SwitchA 関連設定
1.VLAN10を作成します。
[SwitchA] vlan 10
2.E0/1をVLAN 10に追加します。
[SwitchA-vlan10]port Ethernet 0/1 to Ethernet 0/10
3.vlan10用の仮想インターフェースを作成します。
[SwitchA]interface Vlan-interface 10
4. vlan10 上の仮想インターフェースの IP アドレスを設定します。
[SwitchA-Vlan-interface10]ip アドレス 10.10.1.1 255.255.255.0
5.VLAN20の作成
[SwitchA] vlan 20
6.E0/2をVLAN 20に追加します。
[SwitchA-vlan20]ポートイーサネット0/11~イーサネット0/20
7. vlan20 仮想インターフェースを作成します。
[SwitchA]interface Vlan-interface 20
8.vlan20仮想インターフェースのIPアドレスを設定します。
[SwitchA-Vlan-interface20]ip アドレス 10.10.2.1 255.255.255.0
9.VLAN001の作成
[SwitchA] vlan 001
10.G1/1をVLAN001に追加します。
[SwitchA-vlan100]port GigabitEthernet 1/1
11. vlan100 仮想インターフェースを作成します。
[SwitchA] interface Vlan-interface 001
12.vlan100仮想インターフェースのIPアドレスを設定します。
[SwitchA-Vlan-interface100]ip アドレス 192.168.0.100 255.255.255.0
802.1X ローカル認証デフォルトドメイン関連設定
1.システムビューで802.1X機能を有効にします。デフォルトはMACベースの認証方法です。
[SwitchA]dot1x
2.Enable 802.1X on ports E0/1-E0/10, dot1x interface is not followed by specific port, it means all ports are enabled for 802.1X.
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.ここではデフォルトのドメインシステムが使用され、デフォルトのドメインはデフォルトのradiusスキームシステムを参照します。
[SwitchA]local-user test
4.このユーザーのパスワードを設定します。
[SwitchA-user-test]パスワード簡易テスト
5.このユーザーのアクセスタイプを802.1Xに設定します。
[SwitchA-user-test]service-type lan-access
6.ユーザーのアクティブ化
[SwitchA-user-test]ステートアクティブ
802.1X ローカル認証セルフドメイン関連設定
1.システムビューで802.1X機能を有効にします。デフォルトはMACベースの認証方法です。
[SwitchA]dot1x
2.Enable 802.1X on ports E0/1-E0/10, dot1x interface is not followed by specific port, it means all ports are enabled for 802.1X.
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.認証方法をradiusに設定
[SwitchA]radiusスキーム radius1
4.プライマリ認証サーバーをローカル、ポート4615に設定します。
5.プライマリ課金サーバーをローカル、ポート4616に設定します。
6.ここでのローカルユーザー認証は、自分で構築したドメインhuaweiを使用します。
[SwitchA]ドメイン・ファーウェイ
7.ドメイン内の認証スキームradius1の参照
[SwitchA-isp-huawei]radius-scheme radius1
8.ローカルユーザー名test@huaweiの設定
[SwitchA]local-user test@huawei
9.ユーザーパスワードの設定
[SwitchA-user-test@huawei]パスワード simple test
10.ユーザーアクセスタイプを802.1Xに設定します。
[SwitchA-user-test@huawei]service-type lan-access
11.ユーザーのアクティブ化
[SwitchA-user-test@huawei]ステートアクティブ
802.1X RADIUS認証関連設定
1.システムビューで802.1X機能を有効にします。
[SwitchA]dot1x
2.Enable 802.1X on ports E0/1-E0/10, dot1x interface is not followed by specific port, it means all ports are enabled for 802.1X.
[SwitchA]dot1x interface eth 0/1 to eth 0/10
3.認証方法をradiusに設定し、radius認証は、ローカル認証を取るために成功していません
[SwitchA]radiusスキーム radius1
4.プライマリ認証サーバーの設定
5.メイン課金サーバーの設定
6.スイッチと認証サーバーのキーを設定します。
[SwitchA-radius-radius1]キー認証テスト
7.スイッチと課金サーバーのキーを設定します。
[SwitchA-radius-radius1]キー・アカウンティング・テスト
8.スイッチはドメイン名なしでradiusにメッセージを送信します。
[SwitchA-radius-radius1]user-name-format without-domain
9.ここでのユーザー認証は、自作ドメインhuaweiを使用して行われます。
[SwitchA]ドメイン・ファーウェイ
10.ドメイン内の認証スキームradius1の参照
[SwitchA-isp-huawei]radius-scheme radius1
補注
ポートがdot1x認証のためにオープンされた後、ポートベースまたはMACアドレスベースのアクセス制御方法のいずれかを使用することができ、デフォルトのアクセス制御方法はmacbasedです。2つの方法の違いは、macbased方法を使用する場合、ポート下のすべてのアクセスユーザーが個別に認証される必要があり、ユーザーがオフラインになると、そのユーザーだけがネットワークを使用できなくなるのに対し、ポートベース方法を使用すると、ポート下の最初のユーザーが正常に認証されている限り、他のアクセスユーザーは認証なしでネットワークリソースを使用できますが、最初のユーザーがオフラインになると、他のユーザーはネットワークへのアクセスを拒否されます。この2つの方式の違いは、macbased方式では、ポート配下のすべてのアクセスユーザを個別に認証する必要があり、あるユーザがオフラインになると、そのユーザだけがネットワークを利用できなくなるのに対し、portbased方式では、ポート配下の最初のユーザが認証に成功している限り、他のアクセスユーザは認証なしでネットワークリソースを利用できますが、最初のユーザがオフラインになると、他のユーザもネットワークへのアクセスを拒否されることです。
例えば、ポートE0/1のアクセス制御方法をポートベース方式に変更します:
[SwitchA]dot1x port-method portbased interface Ethernet 0/1
それとも
[SwitchA]interface Ethernet 0/1
[SwitchA-Ethernet0/1]dot1x port-method portbased
RADIUSサーバが本装置Aに直接接続されていない場合は、本装置AとRADIUSサーバ間の認証メッセージが正常に通信できるように、本装置Aに追加の経路を設定する必要があります。
