Apresia 13000-24GX-PSR 接続検証Contents:

概要接続検証の目的検証内容と結果

Apresia 13000-24GX-PSRMANAGEポート接続設定RADIUS認証VLAN環境設定設定確認

fullflex EG の設定fullflexについてRADIUS辞書の追加クライアントの追加ユーザの追加証明書の作成詳細ログ出力設定

ログイン認証ログイン認証設定設定確認検証結果

Web認証構成設定検証

MAC認証構成設定検証

Web認証/MAC認証混在構成設定検証

IEEE 802.1x 認証構成設定検証（EAP-TLS）検証（PEAP）

概要接続検証の目的

Apresia 13000-X24-PSRの参照先RADIUSサーバとしてfullflex EGを指定し、接続時の認証が実施され、fullflex EGの認証時払出属性に指定したVLANへの接続が行われることを確認する。

以下に検証の対象とする機能を列挙する。

Login認証Web認証MAC認証Web/MAC認証混在802.1X認証（EAP-TLS, PEAP）

検証内容と結果検証の結果、上記いずれの認証においても正常に認証および接続がなされることを確認した。

それぞれの設定内容と結果について以降に記録する。

Apresia 13000-24GX-PSR

AEOS: Ver.7.12.01

MANAGEポート接続設定MANAGEポートへのtelnet接続によるパラメータ設定を行うために下記の設定を行う。

IPアドレス設定:

> enable# configure terminal(config)# interface manage(config-if-mng)# ip address 192.168.0.2/24(config-if-mng)# exit(config)# exit# write memory

RADIUS認証下記認証でRADIUS認証が可能

ログイン認証IEEE802.1X認証Web認証MAC認証Web/MAC認証混在

RADIUSサーバ以下のRADIUSサーバを使用する。

host: 192.168.1.50port: 18121

VLAN環境設定VLAN

v10 - 認証後の転送先VLANv20 - 認証後の転送先VLANserver(192) - RADIUSサーバ・DHCPサーバ設置temp(4094) - 未認証端末が接続する暫定VLAN

interface ports

21-23 : 端末接続用(temp)24 : RADIUSサーバ接続用(server)

設定UTPを有効にする（2010-01-13メール）:

(config)# interface port 21-24(config-if-port)# media utp(config-if-port)# exit

DHCPの通信許可:

(config)# packet-filter2(config-filter)# 2 assign port 21-24(config-filter)# 2 1 condition ipv4 dst tcp/udp 67 udp(config-filter)# 2 1 action authentication-bypass(config-filter)# exit

VLANの設定:

(config)# vlan database(config-vlan)# vlan 10 name v10(config-vlan)# vlan 20 name v20(config-vlan)# vlan 100 name mgmt(config-vlan)# vlan 192 name server(config-vlan)# vlan 4094 name temp(config-vlan)# exit

暫定VLANをaccessポートとして設定:

(config)# interface port 21-23(config-if-port)# switchport access vlan 4094(config-if-port)# exit

24番portをserverとして設定（RADIUSサーバを接続）:

(config)# interface port 24(config-if-port)# switchport access vlan 192(config-if-port)# exit

管理用VLAN(mgmt)と暫定VLAN(temp)、サーバ接続VLAN(server)のアドレス設定:

(config)# interface vlan 4094(config-if)# ip address 10.0.0.1/16(config-if)# exit(config)# interface vlan 100(config-if)# ip address 192.168.100.1/24(config-if)# exit(config)# interface vlan 192(config-if)# ip address 192.168.1.2/24(config-if)# exit

転送先VLANのアドレス設定

(config)# interface vlan 10(config-if)# ip address 192.168.10.1/24(config-if)# exit(config)# interface vlan 20(config-if)# ip address 192.168.20.1/24(config-if)# exit

デフォルトルートの設定:

(config)# ip route 0.0.0.0/0 192.168.100.254

DHCPサーバの設定:

(config)# dhcp policy temp(config-dhcp)# network 10.0.0.0/16(config-dhcp)# range 1 10.0.0.10 10.0.0.20(config-dhcp)# router 10.0.0.254(config-dhcp)# lease 10(config-dhcp)# exit(config)# dhcp policy enable temp

(config)# dhcp policy v10(config-dhcp)# network 192.168.10.0/24(config-dhcp)# range 1 192.168.10.100 192.168.10.200(config-dhcp)# router 192.168.10.254(config-dhcp)# exit(config)# dhcp policy enable v10

(config)# dhcp policy v20(config-dhcp)# network 192.168.20.0/24(config-dhcp)# range 1 192.168.20.100 192.168.20.200(config-dhcp)# router 192.168.20.254(config-dhcp)# exit(config)# dhcp policy enable v20

(config)# dhcp server address-check arp(config)# dhcp server enable(config)# exit

# write memory

設定確認show running-config

# show running-config!username adpro adprousername user user!packet-filter2 2 assign port 21-24

2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass!no ip multicast-routing!

vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 192 name server vlan 4094 name temp!interface loopback!interface manage ip address 192.168.0.2/24!interface port 1!interface port 2!interface port 3!interface port 4!interface port 5!interface port 6!interface port 7!interface port 8!interface port 9!interface port 10!interface port 11!interface port 12!interface port 13!interface port 14!interface port 15!interface port 16!interface port 17!interface port 18!interface port 19!interface port 20!interface port 21 media utp switchport access vlan 4094!interface port 22 media utp switchport access vlan 4094!interface port 23 media utp switchport access vlan 4094!interface port 24

media utp switchport access vlan 192!interface port 25!interface port 26!interface port 27!interface port 28!interface vlan 1!interface vlan 10 ip address 192.168.10.1/24!interface vlan 20 ip address 192.168.20.1/24!interface vlan 100 ip address 192.168.100.1/24!interface vlan 192 ip address 192.168.1.2/24!interface vlan 4094 ip address 10.0.0.1/16!ip route 0.0.0.0/0 192.168.100.254!!dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10dhcp policy v10 network 192.168.10.0/24 range 1 192.168.10.100 192.168.10.200 router 192.168.10.254dhcp policy v20 network 192.168.20.0/24 range 1 192.168.20.100 192.168.20.200 router 192.168.20.254dhcp policy enable tempdhcp policy enable v10dhcp policy enable v20dhcp server address-check arpdhcp server enable!!end

#

show vlan:

# show vlan

--- vlan port information --- a = access-port t = trunk-port Port 1 8 9 16 17 24 25 +------+ +------+ +------+ +---

Port Mode aaaaaaaa aaaaaaaa aaaaaaaa aaaa

--- vlan mapping information --- St = Status En = Enable Dis = Disable u = untag t = tag p = protocol vlan d = dynamic port vlan Port 1 8 9 16 17 24 25 Name VID St +------+ +------+ +------+ +---default 1 En uuuuuuuu uuuuuuuu uuuu.... uuuuv10 10 En ........ ........ ........ ....v20 20 En ........ ........ ........ ....mgmt 100 En ........ ........ ........ ....server 192 En ........ ........ .......u ....temp 4094 En ........ ........ ....uuu. ....

--- protocol vlan information --- VID protocol type---------------------

SNAP nonzero OUI: Disable#

fullflex EG の設定fullflexについて製品名: fullflex EG7バージョン: 2.8.1ビルド番号: 191

RADIUS辞書の追加VSA用の辞書を作成しfullflexに追加した。

dictionary.hcl を作成dictionary ファイルからインクルード

dictionary.hcl:

# fullflex RADIUSサーバ# Copyright (c) 2001-2009 Accense, Technology, Inc.# All rights reserved.## Vendor Specific Attributes 辞書ファイル#

VENDOR Hitachi-Cable 278

ATTRIBUTE Hitachi-Cable:NA-Vlan-Id 192 integer

dictionary:

# Vendor Specific Attributes 辞書# ベンダー辞書がある場合は、4番目の項目にファイル名を記述VENDOR ACC 5VENDOR Cisco 9VENDOR Xylogics 15VENDOR Wellfleet 18VENDOR Digital-Equipment 36VENDOR 3Com 43VENDOR Merit 61VENDOR Shiva 166VENDOR Hitachi-Cable 278 dictionary.hclVENDOR Livingston 307VENDOR Microsoft 311VENDOR U.S.Robotics 429VENDOR Infinite-Networks 541VENDOR Ascend 529 dictionary.ascendVENDOR Alcatel 800VENDOR Scorpion 905VENDOR Bay-Networks 1584VENDOR Lucent 1751VENDOR RedBack 2352VENDOR Aptis 2634VENDOR MasterSoft 5401

VENDOR 3GPP2 5535VENDOR Quintum 6618VENDOR 3GPP 10425VENDOR Accense 17959 dictionary.accense

dictionaryファイルの下記の行が、dictionary.hclのインクルード部分:

VENDOR Hitachi-Cable 278 dictionary.hcl

fullflex EG-7では下記にRADIUS辞書ファイルを格納:

[fullflexのインストールディレクトリ]/conf/- dictionary- dictionary.hcl

上記の辞書ファイルを追加することで、fullflexのユーザに設定する認証成功時の払い出 し属性を下記のように記述することができる。（属性番号ではなく、辞書に記述した文字 列で表すことができる）

Hitach-Cable:NA-Vlan-Id = 20

クライアントの追加管理者用ページ＞基本設定＞RADIUSクライアントの設定 からクライアント情報を追加する。

RADIUSクライアント名: apresia13000IPアドレス: 192.168.1.2共有鍵: apresiaコメント:

ユーザの追加http://192.168.1.50:8901/ にアクセスし、 下記ユーザの追加を行う。

ノート: MAC認証時、Apresia 13000-X24-PSRから送信されるMACアドレスは、区切り文字なし・小文字アルファベット、の書式で送信される。

rduser

ユーザ名: rduserパスワード: rdpassword証明書: なし用途: Login認証用ユーザ。属性値はAdministratorを表す

アクセス許可を行うときに追加する属性:

Service-Type = 6

v10

ユーザ名: v10パスワード: password証明書: 有り用途: Web認証およびWeb/MAC混在認証で使用

アクセス許可を行うときに追加する属性:

Hitach-Cable:NA-Vlan-Id = 10

v20

ユーザ名: v20パスワード: password証明書: 有り用途: Web認証で使用

アクセス許可を行うときに追加する属性:

Hitach-Cable:NA-Vlan-Id = 20

dot1x20

ユーザ名: dot1x20パスワード: password証明書: 有り用途: 802.1x認証で使用

アクセス許可を行うときに追加する属性:

Tunnel-Type = 13Tunnel-Medium-Type = 6Tunnel-Private-Group-Id = 20

0013a9902fea

ユーザ名: 0013a9902feaパスワード: 1q2w3e証明書: 有り用途: MAC認証で使用。v10ユーザのMACアドレスOS: Windows 7 Ultimate (32bit)MAC: 00:13:A9:90:2F:EA

アクセス許可を行うときに追加する属性:

Hitach-Cable:NA-Vlan-Id = 10

証明書の作成一般名: 部署名: support組織名: Accense Technology, Inc.市町村名: Osaka都道府県名: Osaka国名: JP証明書の有効期間: 365

詳細ログ出力設定管理者用設定ページ＞基本設定＞ログの記録

「パケット詳細ログを記録する」にチェックをつけて保存する。

ログイン認証コマンドリファレンス P.359

ログイン認証設定RADIUSログイン認証機能を有効にする 3.43.1:

(config)# radius login enable

認証に使用する RADIUS サーバのホスト・ポート番号を設定する:

(config)# radius login primary ip 192.168.1.50 port 18121

認証に使用する RADIUS サーバと共通のsecret keyを設定する:

(config)# radius login primary secret-key apresia

設定確認show radius login configuration:

# show radius login configurationRADIUS Login Authentication Configuration: Authentication Status : enable Local Authentication Status : enable Server Request Interval : 3 Server Max Request : 3

Primary Radius Server Configuration: IP Address : 192.168.1.50 Port Number : 18121 Secret Key (Encrypted) : NVPYrO9vB1d+QigidzZmwA$$

Secondary Radius Server Configuration: IP Address : 0.0.0.0 Port Number : 1812 Secret Key (Encrypted) :

#

検証fullflex EGに登録した、 rduser でログインを行う。管理者権限を設定する属性を認証時に付与しているため、ログイン後に adpro ユーザと同様に

# configure terminal

コマンドが実行可能でなることを確認する。

結果fullflex EG に登録した rduser での telnet ログインに成功し、

>enagle# configure terminal

コマンドを実行できることを確認した。

APRESIA

telnet login:

[~]$ telnet 192.168.0.2Trying 192.168.0.2...Connected to 192.168.0.2.Escape character is '^]'.login: rduserPassword:> enable# configure terminalEnter configuration commands, one per line. End with CNTL/Z.(config)#

show logging reverse:

Jan 18 14:06:08 enableJan 18 14:06:04 Login rduser from 192.168.0.10.Jan 18 14:06:04 RADIUS(192.168.1.50) Authentication succeeded.

fullflex EG

パケット詳細ログ:

20100118123324.644439 [18121] 192.168.1.2:65521 >> Access-Request id(209) : len(78) : authenticator(d0459f2d232311ee326a08a73becf64e) User-Name = "rduser" User-Password = NAS-IP-Address = 192.168.1.2 NAS-Port = 1 NAS-Port-Type = Virtual Calling-Station-Id = "192.168.0.10"20100118123324.645052 [18121] 192.168.1.2:65521

Web認証6.1 Web認証構成例（P.67 - ）

構成VLAN環境設定fullflex設定

Web認証のみを有効にしユーザ端末を接続、暫定LANに接続された状態でブラウザで認証画面を開き、Web認証を行う。

22 ポートをWeb認証に使用する

設定RADIUSサーバ関連の設定:

(config)# aaa radius 1 host 192.168.1.50 auth-port 18121 key apresia(config)# aaa authentication web radius 1

その他:

(config)# access-defender

最大認証端末(4台):

(config-a-def)# packet-filter2 max-rule 4

Web認証ポート:

(config-a-def)# web-authentication port 22

認証URL(http://10.0.0.1:80):

(config-a-def)# web-authentication ip 10.0.0.1(config-a-def)# web-authentication http-port 80

ログアウト（エージング:300秒）:

(config-a-def)# logout aging-time 300

Web認証の有効化:

(config-a-def)# exit(config)# web-authentication enable(config)# exit# write memory

設定確認show access-defender port-configuration:

# show access-defender port-configurationAccessDefender Port Configuration: web = web-authentication, gateway = web-authentication gateway mac = mac-authentication, 802.1X = IEEE802.1X, DHCPSNP = DHCP snooping,

LD LO = Linkdown Logout, o = enable, x = disable Port : : 1 8 9 16 17 24 25 : +------+ +------+ +------+ +--- web : ........ ........ .....o.. .... gateway: ........ ........ ........ .... mac : ........ ........ ....o... .... 802.1X : ........ ........ ......o. .... DHCPSNP: ........ ........ ........ .... roaming: ........ ........ ........ .... LD LO : ........ ........ ........ ....

show running-config:

# show running-config!username adpro adprousername user user!radius login enableradius login primary ip 192.168.1.50 port 18121radius login primary encrypted-secret-key NVPYrO9vB1d+QigidzZmwA$$packet-filter2 2 assign port 21-24

2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass!no ip multicast-routing!vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 192 name server vlan 4094 name temp!interface loopback!interface manage ip address 192.168.0.2/24!interface port 1!interface port 2!interface port 3!interface port 4!interface port 5!interface port 6!interface port 7!interface port 8!interface port 9!interface port 10!interface port 11!interface port 12!interface port 13!interface port 14!interface port 15!interface port 16!interface port 17!

interface port 18!interface port 19!interface port 20!interface port 21 media utp switchport access vlan 4094!interface port 22 media utp switchport access vlan 4094!interface port 23 media utp switchport access vlan 4094!interface port 24 media utp switchport access vlan 192!interface port 25!interface port 26!interface port 27!interface port 28!interface vlan 1!interface vlan 10 ip address 192.168.10.1/24!interface vlan 20 ip address 192.168.20.1/24!interface vlan 100 ip address 192.168.100.1/24!interface vlan 192 ip address 192.168.1.2/24!interface vlan 4094 ip address 10.0.0.1/16!ip route 0.0.0.0/0 192.168.100.254!!dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10dhcp policy v10 network 192.168.10.0/24 range 1 192.168.10.100 192.168.10.200 router 192.168.10.254dhcp policy v20 network 192.168.20.0/24 range 1 192.168.20.100 192.168.20.200 router 192.168.20.254dhcp policy enable tempdhcp policy enable v10dhcp policy enable v20dhcp server address-check arpdhcp server enable!!aaa radius 1 host 192.168.1.50 auth-port 18121 encrypted-key NVPYrO9vB1d+QigidzZmwA$$aaa authentication web radius 1aaa authentication mac radius 1aaa authentication dot1x radius 1!access-defender packet-filter2 max-rule 4

web-authentication port 22 web-authentication ip 10.0.0.1 web-authentication http-port 80 mac-authentication port 21 mac-authentication encrypted-password DQ0XYTu4/Jl+QigidzZmwA$$ dot1x port 23 dot1x port 23 reauthentication logout aging-time 300 0 0 0web-authentication enable!end

検証22ポートにユーザ端末をケーブル接続後、Webブラウザで

http://10.0.0.1/

にアクセスし、認証画面が表示されることを確認する。

認証画面で、fullflexに登録した v10 ユーザのユーザ名・パスワードを入力し認証が成功した後、 fullflexのユーザに指定したVLANへの接続がなされ、スイッチで指定したDHCPサーバからIPアドレスが 付与されることを確認する。

1. ユーザ端末を22ポートに接続し、ブラウザで http://10.0.0.1/ を開く。2. 認証画面で v10/password と入力しloginを行い、認証成功画面が表示される事を確認する。

3. fullflexのログから認証画面で入力したユーザ名・パスワードを用いた認証が行われたことを 確認する。

4. APRESIAのログから、認証が行われ、fullflexで設定したVLANへの接続およびDHCPサーバからの IPアドレスの付与がなされたことを確認する。

5. ユーザ端末に 192.168.10.100 - 192.168.10.200 のアドレスが設定されたことを確認する。

結果ユーザ端末接続後、ブラウザで認証画面が表示されることを確認した。認証画面でfullflexに登録したユーザ名・パスワードを入力し、認証成功画面が表示されること を確認した。fullflexのログから、認証画面で入力したユーザ名・パスワードを用いたAccess-Requestが送られ、 認証されていることを確認した。APRESIAでは、認証成功後fullflexで指定したVLANへの接続がなされ、DHCPからのIPアドレス付与が なされていることを確認した。ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアドレスに設定されていることを 確認した。

認証画面認証画面

認証成功画面

認証失敗画面

APRESIA

show logging reverse:

# show logging reverseDate Log messagesJan 18 17:10:28 show logging reverseJan 18 17:10:27 A-Def : web : logout(link down) : uid=v10 mac=00:13:a9:90:2f:ea ip=10.0.0.20 port=22 vid=4094 new vid=10Jan 18 17:10:23 Port 22 link down.Jan 18 17:10:16 show logging reverseJan 18 17:10:01 DHCPACK on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 17:10:01 DHCPREQUEST for 192.168.10.200 (192.168.10.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 17:10:01 DHCPOFFER on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 17:10:00 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan10Jan 18 17:09:54 show logging reverseJan 18 17:09:52 A-Def : web : login succeeded : uid=v10 mac=00:13:a9:90:2f:ea ip=10.0.0.20 port=22 vid=4094 new vid=10Jan 18 17:09:51 A-Def : radius authentication succeeded : uid=v10Jan 18 17:09:43 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:43 DHCPREQUEST for 10.0.0.20 (10.0.0.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:43 DHCPOFFER on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:43 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan4094Jan 18 17:09:20 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:20 DHCPREQUEST for 10.0.0.20 (10.0.0.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:20 DHCPOFFER on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:09:20 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan4094Jan 18 17:08:55 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:08:55 DHCPREQUEST for 10.0.0.20 (10.0.0.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:08:55 DHCPOFFER on 10.0.0.20 to 00:13:a9:90:2f:ea (kitah

ama7) via vlan4094Jan 18 17:08:55 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan4094Jan 18 17:08:43 show logging reverseJan 18 17:08:32 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:08:32 DHCPREQUEST for 10.0.0.20 (10.0.0.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:08:32 DHCPOFFER on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 17:08:31 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan4094Jan 18 17:08:30 show logging reverseJan 18 17:08:24 show logging reverseJan 18 17:08:11 show logging reverseJan 18 17:08:02 show logging reverseJan 18 17:07:54 show logging reverseJan 18 17:07:31 Port 22 link up 100BASE-TX, full-duplex, MDI-X.

fullflex EG

パケット詳細ログ:

20100118170919.929376 [18121] 192.168.1.2:65470 >> Access-Request id(3) : len(75) : authenticator(c238fc214a1ea468254760f7a00821be) User-Name = "v10" User-Password = NAS-Port = 22 Calling-Station-Id = "0013a9902fea" NAS-Identifier = "4094" NAS-IP-Address = 192.168.1.220100118170919.929883 [18121] 192.168.1.2:65470

MAC認証6.2 MAC認証構成例（P.70 -）

構成VLAN環境設定fullflex設定

MAC認証を有効にした状態で、fullflexにMACアドレスを登録したユーザ端末を接続した場合、MAC認証が 行われることを確認する。

21ポートを使用する。

設定RADIUSサーバ関連の設定:

(config)# aaa radius 1 host 192.168.1.50 auth-port 18121 key apresia(config)# aaa authentication mac radius 1

その他:

(config)# access-defender

最大認証端末4台:

(config-a-def)# packet-filter2 max-rule 4

MAC認証ポート21:

(config-a-def)# mac-authentication port 21

MAC認証用のパスワード:

(config-a-def)# mac-authentication password 1q2w3e

MAC認証の有効化:

(config-a-def)# exit(config)# mac-authentication enable(config)# exit# write memory

設定確認

show access-defender port-configuration:

# show access-defender port-configurationAccessDefender Port Configuration: web = web-authentication, gateway = web-authentication gateway mac = mac-authentication, 802.1X = IEEE802.1X, DHCPSNP = DHCP snooping, LD LO = Linkdown Logout, o = enable, x = disable Port : : 1 8 9 16 17 24 25 : +------+ +------+ +------+ +--- web : ........ ........ ........ .... gateway: ........ ........ ........ .... mac : ........ ........ ....o... .... 802.1X : ........ ........ ........ .... DHCPSNP: ........ ........ ........ .... roaming: ........ ........ ........ .... LD LO : ........ ........ ........ ....

show running-config:

# show running-config!username adpro adprousername user user!radius login enableradius login primary ip 192.168.1.50 port 18121radius login primary encrypted-secret-key NVPYrO9vB1d+QigidzZmwA$$packet-filter2 2 assign port 21-24

2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass!no ip multicast-routing!vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 192 name server vlan 4094 name temp!interface loopback!interface manage ip address 192.168.0.2/24!interface port 1!interface port 2!interface port 3!interface port 4!interface port 5!interface port 6!interface port 7!

interface port 8!interface port 9!interface port 10!interface port 11!interface port 12!interface port 13!interface port 14!interface port 15!interface port 16!interface port 17!interface port 18!interface port 19!interface port 20!interface port 21 media utp switchport access vlan 4094!interface port 22 media utp switchport access vlan 4094!interface port 23 media utp switchport access vlan 4094!interface port 24 media utp switchport access vlan 192!interface port 25!interface port 26!interface port 27!interface port 28!interface vlan 1!interface vlan 10 ip address 192.168.10.1/24!interface vlan 20 ip address 192.168.20.1/24!interface vlan 100 ip address 192.168.100.1/24!interface vlan 192 ip address 192.168.1.2/24!interface vlan 4094

ip address 10.0.0.1/16!ip route 0.0.0.0/0 192.168.100.254!!dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10dhcp policy v10 network 192.168.10.0/24 range 1 192.168.10.100 192.168.10.200 router 192.168.10.254dhcp policy v20 network 192.168.20.0/24 range 1 192.168.20.100 192.168.20.200 router 192.168.20.254dhcp policy enable tempdhcp policy enable v10dhcp policy enable v20dhcp server address-check arpdhcp server enable!!aaa radius 1 host 192.168.1.50 auth-port 18121 encrypted-key NVPYrO9vB1d+QigidzZmwA$$aaa authentication mac radius 1!access-defender packet-filter2 max-rule 4 mac-authentication port 21 mac-authentication encrypted-password DQ0XYTu4/Jl+QigidzZmwA$$mac-authentication enable!end

検証ケーブル接続時にユーザ端末のMACアドレスを用いてRADIUSサーバを利用した認証が実行され、RADIUSサーバで 指定したVLANへの接続がなされ、スイッチで指定したDHCPサーバからIPアドレスが付与されることを確認する。

1. ユーザ端末を21ポートに接続する。2. fullflex のログからMACアドレスを用いた認証が行われたことを確認する。3. APRESIAのログから、認証が行われ、fullflexで設定したVLANへの接続およびDHCPサーバからのIPアドレスの付与がなされたことを確認する。

4. ユーザ端末に 192.168.10.100 - 192.168.10.200 のアドレスが設定されたことを確認する。

結果fullflex へユーザ端末のMACアドレスを用いたAccess-Requestが送られ、認証されてい ることを確認した。APRESIAでは、認証成功後fullflexで指定したVLANへの接続がなされ、DHCPからのIPア ドレス付与がなされていることを確認した。

ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアドレスに設定されてい ることを確認した。

APRESIA

show logging reverse:

Jan 18 14:43:11 DHCPACK on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 14:43:11 DHCPREQUEST for 192.168.10.200 (192.168.10.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 14:43:11 DHCPOFFER on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 14:43:10 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan10Jan 18 14:42:08 A-Def : mac : login succeeded : uid=0013a9902fea mac=00:13:a9:90:2f:ea ip=0.0.0.0 port=21 vid=4094 new vid=10Jan 18 14:42:08 A-Def : radius authentication succeeded : uid=0013a9902feaJan 18 14:42:06 Port 21 link up 100BASE-TX, full-duplex, MDI-X.

fullflex EG

パケット詳細ログ:

20100118144137.654960 [18121] 192.168.1.2:65507 >> Access-Request id(1) : len(84) : authenticator(bdc102a19b50be9f7f415143968d0b6e) User-Name = "0013a9902fea" User-Password = NAS-Port = 21 Calling-Station-Id = "0013a9902fea" NAS-Identifier = "4094" NAS-IP-Address = 192.168.1.220100118144137.655477 [18121] 192.168.1.2:65507

Web認証/MAC認証混在6.3 Web認証/MAC認証の混在環境構成例（P.72）

構成VLAN環境設定fullflex設定

Web認証とMACを有効にしユーザ端末を接続、暫定LANに接続された状態でMACアドレス認証が優先的に 行われ、MACアドレス未登録端末については、ブラウザで認証画面を開き、Web認証を行い接続が可能 であることを確認する。

認証試験は以下ユーザ端末を用いて行う。

fullflexにMACアドレスをユーザ名として登録している端末fullflexにMACアドレスをユーザ名として登録していない端末

21ポートを使用する。

設定RADIUSサーバ関連の設定:

(config)# aaa radius 1 host 192.168.1.50 auth-port 18121 key apresia(config)# aaa authentication web radius 1(config)# aaa authentication mac radius 1

最大認証端末(4台):

(config)# access-defender(config-a-def)# packet-filter2 max-rule 4

Web認証ポート:

(config-a-def)# web-authentication port 21

認証URL:

(config-a-def)# web-authentication ip 10.0.0.1(config-a-def)# web-authentication http-port 80

MAC認証ポート:

(config-a-def)# mac-authentication port 21(config-a-def)# mac-authentication password 1q2w3e

ログアウト（エージング:300秒）:

(config-a-def)# logout aging-time 300

Web/MAC認証の有効化:

(config)# web-authentication enable(config)# mac-authentication enable

設定確認show access-defender port-configuration:

# show access-defender port-configurationAccessDefender Port Configuration: web = web-authentication, gateway = web-authentication gateway mac = mac-authentication, 802.1X = IEEE802.1X, DHCPSNP = DHCP snooping, LD LO = Linkdown Logout, o = enable, x = disable Port : : 1 8 9 16 17 24 25 : +------+ +------+ +------+ +--- web : ........ ........ ....oo.. .... gateway: ........ ........ ........ .... mac : ........ ........ ....o... .... 802.1X : ........ ........ ......o. .... DHCPSNP: ........ ........ ........ .... roaming: ........ ........ ........ .... LD LO : ........ ........ ........ ....

# show running-config!username adpro adprousername user user!radius login enableradius login primary ip 192.168.1.50 port 18121radius login primary encrypted-secret-key NVPYrO9vB1d+QigidzZmwA$$packet-filter2

2 assign port 21-24

2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass!no ip multicast-routing!vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 192 name server vlan 4094 name temp!interface loopback!interface manage ip address 192.168.0.2/24!interface port 1!

interface port 2!interface port 3!interface port 4!interface port 5!interface port 6!interface port 7!interface port 8!interface port 9!interface port 10!interface port 11!interface port 12!interface port 13!interface port 14!interface port 15!interface port 16!interface port 17!interface port 18!interface port 19!interface port 20!interface port 21 media utp switchport access vlan 4094!interface port 22 media utp switchport access vlan 4094!interface port 23 media utp switchport access vlan 4094!interface port 24 media utp switchport access vlan 192!interface port 25!interface port 26!interface port 27!interface port 28!interface vlan 1!interface vlan 10

ip address 192.168.10.1/24!interface vlan 20 ip address 192.168.20.1/24!interface vlan 100 ip address 192.168.100.1/24!interface vlan 192 ip address 192.168.1.2/24!interface vlan 4094 ip address 10.0.0.1/16!ip route 0.0.0.0/0 192.168.100.254!!dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10dhcp policy v10 network 192.168.10.0/24 range 1 192.168.10.100 192.168.10.200 router 192.168.10.254dhcp policy v20 network 192.168.20.0/24 range 1 192.168.20.100 192.168.20.200 router 192.168.20.254dhcp policy enable tempdhcp policy enable v10dhcp policy enable v20dhcp server address-check arpdhcp server enable!!aaa radius 1 host 192.168.1.50 auth-port 18121 encrypted-key NVPYrO9vB1d+QigidzZmwA$$aaa authentication web radius 1aaa authentication mac radius 1aaa authentication dot1x radius 1!access-defender packet-filter2 max-rule 4 web-authentication port 21-22 web-authentication ip 10.0.0.1 web-authentication http-port 80 mac-authentication port 21 mac-authentication encrypted-password DQ0XYTu4/Jl+QigidzZmwA$$ dot1x port 23 dot1x port 23 reauthentication logout aging-time 300 0 0 0web-authentication enablemac-authentication enable!end

検証1. 21ポートにMACアドレスをRADIUSに登録したユーザ端末をケーブル接続後、認証に成功している ことを確認する。

2. 21ポートにMACアドレスをRADIUSに登録していないユーザ端末をケーブル接続後、認証に失敗し ていることを確認する。

3. 認証失敗を確認後、Webブラウザで http://10.0.0.1/ にアクセスし、認証画面が表示されるこ とを確認する。

4. 認証画面で fullflex に登録した v10 ユーザのユーザ名 ・パスワードを入力し認証が成功した後、fullflexのユーザに指定したVLANへの接続 がなされ、スイッチで指定したDHCPサーバからIPアドレスが付与されることを確認する。

5. MACアドレスをRADIUSに登録したユーザ端末を21ポートに接続する。6. fullflexのログから、MACアドレス認証が成功したことを確認する。7. APRESIAのログから、認証が行われ、fullflexで設定したVLANへの接続およびDHCPサー バからのIPアドレスの付与がなされたことを確認する。

8. ユーザ端末に 192.168.10.100 - 192.168.10.200 のアドレスが設定されたことを確認 する。

9. MACアドレスをRADIUSに登録していないユーザ端末を21ポートに接続する。10. APRESIAのログから、MACアドレス認証が失敗したことを確認する。11. ブラウザで http://10.0.0.1/ を開き、認証画面が表示されることを確認する。12. 認証画面で v10/password と入力しloginを行い、認証成功画面が表示されることを確認する。

13. fullflexのログから認証画面で入力したユーザ名・パスワードを用いた認証が行われ たことを確認する。

14. APRESIAのログから、認証が行われ、fullflexで指定したVLANへの接続およびDHCPサー バからのIPアドレスの付与がなされたことを確認する。

15. ユーザ端末に 192.168.10.100 - 192.168.10.200 のアドレスが設定されたことを確認 する。

結果MACアドレスをRADIUSに登録したユーザ端末を接続後、fullflexへユーザ端末のMACアド レスを用いたAccess-Requestが送られ、認証されていることを確認した。APRESIAでは、MACアドレス認証成功後、fullflexで指定したVLANへの接続がなされ、 DHCPからのIPアドレス付与がなされていることを確認した。MACアドレス認証後、ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアド レスに設定されていることを確認した。MACアドレスをRADIUSに登録していないユーザ端末を接続後、APRESIAのログから、MAC アドレス認証に失敗したことを確認した。MACアドレス認証に失敗したことを確認後、ブラウザで http://10.0.0.1/ を開き、認 証画面が表示されることを確認した。認証画面でfullflexに登録したユーザ名・パスワードを入力し、認証成功画面が表示されることを確認した。fullflexのログから、認証画面で入力したユーザ名・パスワードを用いたAccess-Request が送られ、認証されていることを確認した。APRESIAでは、認証成功後fullflexで指定したVLANへの接続がなされ、DHCPからのIPア ドレス付与がなされていることを確認した。ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアドレスに設定されてい ることを確認した。

APRESIA

MACアドレスを登録した端末

show logging reverse:

# show logging reverseDate Log messagesJan 18 18:58:48 show logging reverseJan 18 18:58:22 A-Def : mac : logout(link down) : uid=0013a9902fea mac=00:13:a9:90:2f:ea ip=0.0.0.0 port=21 vid=4094 new vid=10Jan 18 18:58:20 Port 21 link down.Jan 18 18:58:00 show logging reverseJan 18 18:57:50 DHCPACK on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 18:57:50 DHCPREQUEST for 192.168.10.200 (192.168.10.1) from00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 18:57:50 DHCPOFFER on 192.168.10.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan10Jan 18 18:57:49 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan10Jan 18 18:57:42 show logging reverseJan 18 18:57:28 A-Def : mac : login succeeded : uid=0013a9902fea mac=00:13:a9:90:2f:ea ip=0.0.0.0 port=21 vid=4094 new vid=10Jan 18 18:57:27 A-Def : radius authentication succeeded : uid=0013a9902feaJan 18 18:57:25 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 18:57:25 DHCPREQUEST for 10.0.0.20 (10.0.0.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 18:57:25 DHCPOFFER on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 18:57:25 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan4094Jan 18 18:57:24 Port 21 link up 100BASE-TX, full-duplex, MDI-X.

MACアドレスを登録していない端末

show logging reverse:

# show logging reverseDate Log messagesJan 18 19:18:27 show logging reverseJan 18 19:18:22 A-Def : web : logout(link down) : uid=v10 mac=00:0b:5d:7c:6e:2e ip=10.0.0.19 port=21 vid=4094 new vid=10Jan 18 19:18:20 Port 21 link down.Jan 18 19:18:14 DHCPACK on 192.168.10.199 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:14 DHCPREQUEST for 192.168.10.199 (192.168.10.1) from00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:14 DHCPOFFER on 192.168.10.199 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:13 DHCPDISCOVER from 00:0b:5d:7c:6e:2e via vlan10Jan 18 19:18:12 DHCPACK on 10.0.0.19 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:12 DHCPREQUEST for 10.0.0.19 from 00:0b:5d:7c:6e:2e via vlan10Jan 18 19:18:10 show logging reverseJan 18 19:18:02 DHCPACK on 10.0.0.19 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:02 DHCPREQUEST for 10.0.0.19 from 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan10Jan 18 19:18:01 show logging reverseJan 18 19:17:59 A-Def : web : login succeeded : uid=v10 mac=0

0:0b:5d:7c:6e:2e ip=10.0.0.19 port=21 vid=4094 new vid=10Jan 18 19:17:58 A-Def : radius authentication succeeded : uid=v10Jan 18 19:17:56 DHCPACK on 10.0.0.19 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan4094Jan 18 19:17:56 DHCPREQUEST for 10.0.0.19 from 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan4094Jan 18 19:17:52 DHCPACK on 10.0.0.19 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan4094Jan 18 19:17:52 DHCPREQUEST for 10.0.0.19 (10.0.0.1) from 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan4094Jan 18 19:17:52 DHCPOFFER on 10.0.0.19 to 00:0b:5d:7c:6e:2e (XP100-OSAKA) via vlan4094Jan 18 19:17:51 DHCPDISCOVER from 00:0b:5d:7c:6e:2e via vlan4094Jan 18 19:17:45 show logging reverseJan 18 19:17:39 show logging reverseJan 18 19:17:24 show logging reverseJan 18 19:17:15 A-Def : mac : login failed : uid=000b5d7c6e2emac=00:0b:5d:7c:6e:2e ip=0.0.0.0 port=21 vid=4094Jan 18 19:17:15 A-Def : radius authentication failed : uid=000b5d7c6e2eJan 18 19:17:12 show logging reverseJan 18 19:17:09 Port 21 link up 100BASE-TX, full-duplex, MDI-X.

fullflex EG

MACアドレスを登録した端末

パケット詳細ログ:

20100118185656.099831 [18121] 192.168.1.2:65449 >> Access-Request id(5) : len(84) : authenticator(c7aff6a2f9eb8a31cb4c6fabaa83370e) User-Name = "0013a9902fea" User-Password = NAS-Port = 21 Calling-Station-Id = "0013a9902fea" NAS-Identifier = "4094" NAS-IP-Address = 192.168.1.220100118185656.100329 [18121] 192.168.1.2:65449 > Access-Request id(11) : len(84) : authenticator(d614e42506553c8cbd5d9cc7c8f479fe) User-Name = "000b5d7c6e2e" User-Password = NAS-Port = 21 Calling-Station-Id = "000b5d7c6e2e" NAS-Identifier = "4094" NAS-IP-Address = 192.168.1.220100118191643.958984 [18121] 192.168.1.2:65393 > Access-Request

id(12) : len(75) : authenticator(59d061e6de3baff09060a3214db284a6) User-Name = "v10" User-Password = NAS-Port = 21 Calling-Station-Id = "000b5d7c6e2e" NAS-Identifier = "4094" NAS-IP-Address = 192.168.1.220100118191726.374275 [18121] 192.168.1.2:65384

MACアドレスを登録していない端末でWeb認証後、 IPアドレス に 192.168.10.199 が設定されてい ることを確認。

IEEE 802.1x 認証6.5 802.1X認証構成例（P.81 - ）

構成VLAN環境設定fullflex設定

使用するユーザ端末には Windows 7 Ultimate を使用。

dot1x20ユーザの証明書をユーザ端末にインストールし、EAP-TLSおよびPEAPを用いた802.1x認証を行う。

23ポートを使用する。

設定RADIUSサーバ関連の設定:

(config)# aaa radius 1 host 192.168.1.50 auth-port 18121 key apresia(config)# aaa authentication dot1x radius 1

その他:

(config)# access-defender

最大クライアントサポート数（認証端末）4台:

(config-a-def)# packet-filter2 max-rule 4

認証ポートの設定:

(config-a-def)# dot1x port 23

再認証有効設定:

(config-a-def)# dot1x port 23 reauthentication

802.1X認証の有効化:

(config-a-def)# exit(config)# dot1x enable(config)# exit# write memory

設定確認show running-config:

# show running-config!username adpro adprousername user user!radius login enableradius login primary ip 192.168.1.50 port 18121radius login primary encrypted-secret-key NVPYrO9vB1d+QigidzZmwA$$

packet-filter2 2 assign port 21-24

2 1 condition ipv4 dst tcp/udp 67 udp 2 1 action authentication-bypass!no ip multicast-routing!vlan database vlan 10 name v10 vlan 20 name v20 vlan 100 name mgmt vlan 192 name server vlan 4094 name temp!interface loopback!interface manage ip address 192.168.0.2/24!interface port 1!interface port 2!interface port 3!interface port 4!interface port 5!interface port 6!interface port 7!interface port 8!interface port 9!interface port 10!interface port 11!interface port 12!interface port 13!interface port 14!interface port 15!interface port 16!interface port 17!interface port 18!interface port 19!interface port 20!interface port 21 media utp switchport access vlan 4094!interface port 22 media utp switchport access vlan 4094!interface port 23 media utp switchport access vlan 4094!interface port 24 media utp switchport access vlan 192!interface port 25!

interface port 26!interface port 27!interface port 28!interface vlan 1!interface vlan 10 ip address 192.168.10.1/24!interface vlan 20 ip address 192.168.20.1/24!interface vlan 100 ip address 192.168.100.1/24!interface vlan 192 ip address 192.168.1.2/24!interface vlan 4094 ip address 10.0.0.1/16!ip route 0.0.0.0/0 192.168.100.254!!dhcp policy temp network 10.0.0.0/16 range 1 10.0.0.10 10.0.0.20 router 10.0.0.254 lease 10dhcp policy v10 network 192.168.10.0/24 range 1 192.168.10.100 192.168.10.200 router 192.168.10.254dhcp policy v20 network 192.168.20.0/24 range 1 192.168.20.100 192.168.20.200 router 192.168.20.254dhcp policy enable tempdhcp policy enable v10dhcp policy enable v20dhcp server address-check arpdhcp server enable!!aaa radius 1 host 192.168.1.50 auth-port 18121 encrypted-key NVPYrO9vB1d+QigidzZmwA$$aaa authentication mac radius 1aaa authentication dot1x radius 1!access-defender packet-filter2 max-rule 4 mac-authentication port 21 mac-authentication encrypted-password DQ0XYTu4/Jl+QigidzZmwA$$ dot1x port 23 dot1x port 23 reauthenticationdot1x enable!end

検証（EAP-TLS）ケーブル接続時にユーザ端末に設定した証明書を使用した802.1x認証が実行され、RADIUSサーバで指定したVLANへの接続がなされ、スイッチで指定したDHCPサーバからIPアドレス が付与されることを確認する。

1. ユーザ端末で802.1x認証（TLS）の設定を行う。1. fullflex EG のユーザ画面から証明書をダウンロードし、ユーザ端末に保存する。2. MMC-証明書を開き、 ダウンロードした証明書をインポートする。3. コントロールパネル＞管理ツール＞サービス を開く。4. Wired AutoConfig を開始する。

5. ネットワーク接続から ローカル エリア接続 のプロパティを開く。6. 認証 タブを開く。7. IEEE 802.1X 認証を有効にする チェックボックスにチェックをつける。8. ネットワークの認証方法の選択 から Microsoft スマート カードまたはその他の証明書 を選択し、「設定」ボタンを押下。

9. 接続のための認証方法 を このコンピュータの証明書を使う に設定する。10. この接続で別のユーザ名を使う を有効にする。

2. fullflex のログから802.1x認証が行われた事を確認する。3. APRESIAのログから、認証が行われfullflexで指定したVLANへの接続およびDHCPサーバ からのIPアドレスの付与がなされたことを確認する。

4. ユーザ端末に 192.168.10.100 - 192.168.10.200 のアドレスが設定されたことを確認する。

結果（EAP-TLS）fullflex のパケット詳細ログから、TLSを用いた802.1x認証が行われたことを確認した。APRESIAでは、認証成功後fullflexで指定したVLANへの接続がなされ、DHCPからのIPア ドレス付与がなされていることを確認した。ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアドレスに設定されてい ることを確認した。

APRESIA

show logging reverse:

Jan 18 20:06:06 DHCPACK on 192.168.20.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:06:06 DHCPREQUEST for 192.168.20.200 (192.168.20.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:06:06 DHCPOFFER on 192.168.20.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:06:05 DHCPDISCOVER from 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:05:01 A-Def : dot1x : login succeeded : uid=dot1x20 mac=00:13:a9:90:2f:ea ip=0.0.0.0 port=23 vid=4094 new vid=20Jan 18 20:05:01 A-Def : radius authentication succeeded : uid=dot1x20Jan 18 20:04:52 Port 23 link up 100BASE-TX, full-duplex, MDI-X.

fullflex EG

パケット詳細ログ:

20100118200429.447451 [18121] 192.168.1.2:65255 >> Access-Request id(25) : len(105) : authenticator(f955baaccff4860a478505b40e52132f) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/1/Identity/"dot1x20" NAS-IP-Address = 192.168.1.220100118200429.447535 [18121] 192.168.1.2:65255 > Access-Request id(26) : len(124) : authenticator(7c11376da7dbf96e1a880c0e930f1ed7) User-Name = "dot1x20" NAS-Port = 23

Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/2/NAK/ NAS-IP-Address = 192.168.1.220100118200429.458152 [18121] 192.168.1.2:65246 > Access-Request id(27) : len(242) : authenticator(feccb42d7ec26cd3ed8a146818cd297f) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/3/TLS/ NAS-IP-Address = 192.168.1.220100118200429.484420 [18121] 192.168.1.2:65237 EAP-Message = Message-Authenticator = 20100118200429.497716 [18121] 192.168.1.2:65228 >> Access-Request id(28) : len(132) : authenticator(818831ee56a9df37c08d1bc29d8a3427) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/4/TLS/ NAS-IP-Address = 192.168.1.220100118200429.497793 [18121] 192.168.1.2:65228 EAP-Message =

Message-Authenticator = Tunnel-Type = VLAN Tunnel-Medium-Type = IEEE-802 Tunnel-Private-Group-ID = "20" EAP-Message = Success/7 Message-Authenticator =

ユーザ端末IPv4アドレス に 192.168.20.200 が設定されていることを確認。

検証（PEAP）ケーブル接続時にユーザ端末に設定した証明書を使用した802.1x認証が実行され、RADIUSサーバで指定したVLANへの接続がなされ、スイッチで指定したDHCPサーバからIPアドレス が付与されることを確認する。

1. ユーザ端末で802.1x認証（PEAP）の設定を行う。1. fullflex EG のユーザ画面から証明書をダウンロードし、ユーザ端末に保存する。

2. MMC-証明書を開き、 ダウンロードした証明書をインポートする。3. コントロールパネル＞管理ツール＞サービス を開く。4. Wired AutoConfig を開始する。5. ネットワーク接続から ローカル エリア接続 のプロパティを開く。6. 認証 タブを開く。7. IEEE 802.1X 認証を有効にする チェックボックスにチェックをつける。8. ネットワークの認証方法の選択 から Microsoft 保護された EAP（PEAP） を 選択し、「設定」ボタンを押下。

9. サーバの証明書を検証する チェックボックスを有効にする。10. 認証方法を選択する から セキュリティで保護されたパスワード（EAP-

MSCHAP v2） を選択する。11. 「構成」ボタンを押下し、 Windows のログオン名とパスワード（およびドメインがある場合はドメイン）を自動的に使う のチェックを外す。

2. fullflex のログから802.1x認証が行われた事を確認する。3. APRESIAのログから、認証が行われfullflexで指定したVLANへの接続およびDHCPサーバ からのIPアドレスの付与がなされたことを確認する。

4. ユーザ端末に 192.168.20.100 - 192.168.20.200 のアドレスが設定されたことを確認 する。

結果（PEAP）fullflex のパケット詳細ログから、PEAPを用いた802.1x認証が行われたことを確認した。APRESIAでは、認証成功後fullflexで指定したVLANへの接続がなされ、DHCPからのIPア ドレス付与がなされていることを確認した。ユーザ端末のIPアドレスが、APRESIAのDHCPで設定した範囲のアドレスに設定されてい ることを確認した。

APRESIA

show logging reverse:

Jan 18 20:20:57 DHCPACK on 192.168.20.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:20:57 DHCPREQUEST for 192.168.20.200 (192.168.20.1) from 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:20:57 DHCPOFFER on 192.168.20.200 to 00:13:a9:90:2f:ea (kitahama7) via vlan20Jan 18 20:20:56 A-Def : dot1x : login succeeded : uid=dot1x20 mac=00:13:a9:90:2f:ea ip=0.0.0.0 port=23 vid=4094 new vid=20Jan 18 20:20:56 DHCPDISCOVER from 00:13:a9:90:2f:ea via vlan20Jan 18 20:20:55 A-Def : radius authentication succeeded : uid=dot1x20Jan 18 20:20:38 DHCPACK on 10.0.0.20 to 00:13:a9:90:2f:ea (kitahama7) via vlan4094Jan 18 20:20:38 DHCPREQUEST for 10.0.0.20 from 00:13:a9:90:2f:ea (kitahama7) via vlan4094

fullflex EG

パケット詳細ログ:

20100118202018.257755 [18121] 192.168.1.2:65021 >> Access-Request id(51) : len(105) : authenticator(3a616c39b266343eb5cec8d890913140) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/11/Identity/"dot1x20" NAS-IP-Address = 192.168.1.2

20100118202018.257850 [18121] 192.168.1.2:65021 > Access-Request id(52) : len(132) : authenticator(bd1ce9f98a4da7a288d1cf32154f3ce8) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = EAP-Message = EAP-Message = EAP-Message = EAP-Message = Message-Authenticator = 20100118202018.312646 [18121] 192.168.1.2:64985 >> Access-Request id(55) : len(326) : authenticator(444f603b100200d001dae640a4875de0) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/15/PEAP/

NAS-IP-Address = 192.168.1.220100118202018.317895 [18121] 192.168.1.2:64985 > Access-Request id(56) : len(124) : authenticator(c70addfbe8e87334d4dced9a29456888) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/16/PEAP/ NAS-IP-Address = 192.168.1.220100118202023.747443 [18121] 192.168.1.2:64976 > Access-Request id(57) : len(174) : authenticator(49c65abcbfcfe698a7dff5f4ae027330) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/17/PEAP/ NAS-IP-Address = 192.168.1.220100118202023.758146 [18121] 192.168.1.2:64967 > Access-Request id(58) : len(251) : authenticator(cc81d77c97b659fd7ae2fc4e33c07ed8) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/18/PEAP/ NAS-IP-Address = 192.168.1.220100118202023.776791 [18121] 192.168.1.2:64958 > Access-Request id(59) : len(187) : authenticator(4e3d543d6e9dcc614de504a9b87d8980) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator =

Message-Authenticator = 20100118202023.803992 [18121] 192.168.1.2:64940 >> Access-Request id(60) : len(187) : authenticator(d1f8d1fd46843fc620e80b033d3b9428) User-Name = "dot1x20" NAS-Port = 23 Service-Type = Framed Framed-MTU = 1452 State = Calling-Station-Id = "0013a9902fea" NAS-Port-Type = Ethernet Message-Authenticator = EAP-Message = Response/20/PEAP/ NAS-IP-Address = 192.168.1.220100118202023.804972 [18121] 192.168.1.2:64940