SG300シリーズスイッチでの802.1Xの設定

目的

802.1Xは、ポートベース認証を実装するIEEE標準です。ポートが802.1Xを使用する場合、そのポート（サプリカントと呼ばれる）を使用するクライアントは、ネットワークへのアクセスを許可される前に正しいクレデンシャルを提示する必要があります。802.1X（オーセンティケータと呼ばれる）を実装するデバイスは、ネットワーク上の他の場所にあるRADIUS(Remote Authentication Dial-In User Service)サーバと通信できる必要があります。このサーバには、ネットワークへのアクセスを許可されている有効なユーザのリストが含まれています。オーセンティケータから送信されるクレデンシャル（サプリカントによって与えられる）は、RADIUSサーバが保持するクレデンシャルと一致する必要があります。その場合、サーバはオーセンティケータにユーザへのアクセスを許可するように指示します。そうしないと、オーセンティケータはアクセスを拒否します。

802.1X標準は、物理ポートに接続して不要なユーザがネットワークにアクセスするのを防ぐための優れたセキュリティ対策です。802.1Xが動作するためには、RADIUSサーバがネットワーク上の別の場所にすでに設定されている必要があり、オーセンティケータと通信できる必要があります。

このドキュメントの目的は、SG300シリーズスイッチで802.1Xをセットアップする方法を説明することです。

該当するデバイス

・ SG300シリーズスイッチ

[Software Version]

・ v1.4.1.3

802.1X認証の設定

RADIUSサーバの追加

ステップ1:Web設定ユーティリティにログインし、[Security] > [RADIUS]を選択します。[RADIUS]ページが開きます。

ステップ2:[RADIUS Accounting]フィールドで、オプションボタンを選択して、RADIUSサーバに提供するアカウンティング情報のタイプを選択します。RADIUSサーバには、ユーザのセッション時間、ユーザが使用するリソース、およびその他の事項を追跡するアカウンティング情報を与えることができます。ここで選択したオプションは、802.1Xのパフォーマンスには影響しません。

次のオプションがあります。

・ Port Based Access Control（ポートベースのアクセス制御）：このオプションは、ポートベースの認証セッションに関するアカウンティング情報をRADIUSサーバに送信します。

・管理アクセス：このオプションは、スイッチの管理セッションに関するアカウンティング情報をRADIUSサーバに送信します。

・ポートベースのアクセスコントロールと管理アクセスの両方：このオプションは、両方のタイプのアカウンティング情報をRADIUSサーバに送信します。

・ None - RADIUSサーバにアカウンティング情報を送信しません。

ステップ3:[Use Default Parameters] 領域で、追加したRADIUSサーバに固有の設定が設定されていない限り、デフォルトで使用される設定を設定します。スイッチに追加する個々のサーバエントリは、デフォルトまたは個別の固有の設定を使用できます。この記事では、このセクションで定義されているデフォルト設定を使用します。

次の設定を行います。

・ Retries – スイッチが次のサーバに移動する前にRADIUSサーバへの接続を試行する回数を入力します。デフォルト値は 3 です。

・ Timeout for Reply：スイッチがRADIUSサーバからの応答を待機してから、次のアクションを実行する（再試行するか中止する）秒数を入力します。 デフォルト値は 3 です。

・ Dead Time：サービス要求に対して応答しないRADIUSサーバが引き渡されるまでに経過する時間（分）を入力します。デフォルトは0です。この値は、サーバがバイパスされていないことを意味します。

・キー文字列：スイッチとRADIUSサーバ間の認証に使用する秘密キーを入力します。暗号化キーを持っている場合は、[Encrypted]ラジオボタンで入力します。それ以外の場合は、プレーンテキストラジオボタンを使用してプレーンテキストキーを入力します。

・ [Source IPv4/IPv6 Interface]：これらのドロップダウンリストを使用して、RADIUSサーバとの通信時に使用するIPv4/IPv6送信元インターフェイスを選択します。デフォルトはAutoで、発信インターフェイスで定義されたデフォルトの送信元IPアドレスが使用されます。

ステップ4:[Apply]をクリックします。デフォルト設定が適用されます。

ステップ5:RADIUSテーブルには、スイッチで現在設定されているRADIUSサーバエントリが表示されます。新しいエントリを追加するには、[Add...]ボタンをクリックします。[Add RADIUS Server]ウィンドウが開きます。

ステップ6:[Server Definition]フィールドで、RADIUSサーバに接続するIPアドレスと名前(ホスト名)を選択します。 [IPアドレス別]を選択した場合は、IPv6 (バージョン6)またはIPv4 (バージョン4)を使用します。 Version 6を選択した場合は、IPv6 Address TypeとLink Local Interfaceを使用して、使用するIPv6アドレスを指定します。

ステップ7:[Server IP Address/Name]フィールドに、RADIUSサーバのIPアドレスまたはホスト名を入力します。

ステップ8:[Priority] フィールドに、このサーバに割り当てる優先度を入力します。スイッチは、最も高い優先順位でサーバへの接続を試み、応答サーバに到達するまでリストを下に進みます。範囲は0 ～ 65535で、0が最も高い優先度です。

ステップ9:[RADIUS]ページで以前に設定した設定を使用するには、[Key String]、[Timeout for Reply]、[Retries]、および[Dead Time]フィールドで[Use Default]オプションボタンを選択します。[ユーザ定義]ラジオボタンを選択して、デフォルトとは異なる設定を設定することもできます。この場合、これらの設定は、この特定のRADIUSサーバでのみ使用されます。

ステップ10:[Authentication Port]フィールドで、RADIUSサーバとの認証通信に使用するポートを指定します。これはデフォルトポート1812に残しておくことをお勧めします。

ステップ11:[Accounting Port]フィールドで、RADIUSサーバとのアカウンティング通信に使用するポートを指定します。これはデフォルトポート1813に残しておくことをお勧めします。

ステップ12:[Usage Type]フィールドで、RADIUSサーバの使用目的を選択します。802.1Xを設定する場合は、[802.1x]または[すべて]オプションボタンを選択して、802.1Xポート認証にRADIUSサーバを使用します。

ステップ13:[Apply]をクリックします。サーバがRADIUSテーブルに追加されます。ポートベースの802.1X認証を有効にするには、次のセクションに進みます。

ポートベース認証の有効化

ステップ1:Web設定ユーティリティで、[Security] > [802.1X/MAC/Web Authentication] > [Properties]に移動します。[プロパティ]ページが開きます。

ステップ2:[Port-Based Authentication]フィールドで、[Enable]チェックボックスをオンにして、ポートベース認証を有効にします。このコマンドはデフォルトで有効になっています。

ステップ3:[Authentication Method]フィールドで、ラジオボタンを選択して、ポートベース認証の動作を決定します。

次のオプションがあります。

・ RADIUS, None - RADIUSページで定義されたRADIUSサーバへの接続を試みます。サーバから応答がない場合、認証は実行されず、セッションは許可されます。サーバが応答し、クレデンシャルが正しくない場合、セッションは拒否されます。

・ RADIUS - RADIUSページで定義されたRADIUSサーバへの接続を試みます。サーバから応答が受信されない場合、セッションは拒否されます。最もセキュアな802.1X実装では、このオプションを推奨します。

・なし – 認証は実行されません。すべてのセッションが許可されます。このオプションは802.1Xを実装しません。

ステップ4:[Apply]をクリックします。

ステップ5:[Security] > [802.1X/MAC/Web Authentication] > [Port Authentication]に移動します。「ポート認証」ページが開きます。

ステップ6:[Port Authentication Table]でオプションボタンを選択し、[Edit...]ボタンをクリックして、設定するポートを選択します。[ポート認証の編集]ウィンドウが開きます。

ステップ7:[Administrative Port Control]フィールドで、ラジオボタンを選択して、ポートがセッションを認可する方法を決定します。[現在のポート制御]フィールドには、選択したポートの現在の許可状態が表示されます。

次のオプションがあります。

・無許可の強制 – インターフェイスを無許可の状態に移行します。デバイスは、このポートに接続されているクライアントに認証を提供せず、アクセスを拒否します。

・ Auto – 選択したポートのポートベース認証を有効にします。認証手順の結果に応じて、許可されたインターフェイスと許可されていないインターフェイスを移動します。802.1Xを実装するには、このオプションを選択します。

・ Force Authorized – インターフェイスを承認済みの状態に移行します。このデバイスは、認証なしで、このポートに接続するすべてのクライアントにアクセスを提供します。

ステップ8：選択したポートの802.1X認証を有効にするには、[802.1X Based Authentication]フィールドの[Enable]チェックボックスをオンにします。

ステップ9:[Apply]をクリックします。これで、ポートは802.1Xポートベース認証用に完全に設定され、ポートに接続するすべてのクライアントの認証を開始する準備が整いました。[インターフェース]フィールドを使用して、[ポート認証]ページに戻らずに構成する別のポートを選択します。

ステップ10：ポートの設定を別のポートまたはポートの範囲にすばやくコピーする場合は、ポート認証テーブルでコピーするポートのラジオボタンをクリックし、[Copy Settings...]ボタンをクリックします。「設定のコピー」ウィンドウが開きます。

ステップ11：テキストフィールドに、設定をコピーするポート（複数可）をカンマで区切って入力します。ポートの範囲を指定することもできます。次に、[Apply]をクリックし、設定をコピーします。

更新履歴

改定	発行日	コメント
1.0	13-Dec-2018	初版