|
RADIUSサーバ機能
FutureNet RAシリーズのRADIUSサーバはRADIUSポート(1645/1646 1812/1813)が標準で利用でき、任意のポートを設定することも可能です。また、標準アトリビュートに加えてベンダー独自のアトリビュート(VSA)を自由に追加できるため、NASやRAS、認証VLAN、SSL-VPNなどの製品と連携が可能です。さらに運用面で重要になる同一ユーザIDによるアクセス数制限機能を持ち、多重ログインを防止できます。同時ログインを許す場合はそのログイン数の制限(最大9まで)が可能です。同一IDで無制限にアクセスを許可することも可能です。
様々な認証方式に対応
ユーザ認証の方式としてRADIUSで標準的なPAP/CHAPに加え、認証スイッチのポートアクセス制御や無線LANのアクセスポイントで利用されているEAP-MD5、EAP-TLS、EAP-PEAP、EAP-TTLSプロトコルに対応しています。これにより認証スイッチや無線LANアクセスポイントなど様々な経路で要求される大量のユーザ認証を集中的に処理、一括管理できます。
※ EAP (Extensible Authentication Protocol、拡張認証プロトコル)
図:FutureNet RA-1200によるEAP-TLS接続例
プライベートCA機能による証明書の発行、管理
EAP-TLS、PEAP、TTLSを使って認証をおこなう際は認証サーバ(RA-1200)側に証明書が必要です。RA-1200は自身がCA(認証局)としてサーバ証明書を発行できます。また、外部CAで作成したサーバ証明書の取り込みにも対応します(RA-1200・RA-730のみ予定)。さらに、クライアント証明書の発行や、失効リストの更新がおこなえます。1ユーザにつき複数枚の証明書を発行できるため、有効期限の満了前に新しい証明書を発行できます。その他開始期日を1ヵ月後、などとした証明書を発行できるなど、運用条件にあわせた対応が可能です。
フレッツ・オフィス/フレッツ・オフィスワイドサービスへの対応
FutureNet RAシリーズは、IP-VPNサービス「フレッツ・オフィス」、「フレッツ・オフィスワイド」 、「フレッツ・VPNゲート」 (いずれもNTT地域会社により提供されているサービス)が提供する認証機能に対応しており、IP-VPNを構築する際に拠点側ルータの認証をおこなう用途に利用できます。また、フレッツ・オフィスの「フレッツナンバーアシスト」、VPNゲートの「回線情報転送機能」にも対応しています。
多数のユーザに対応
FutureNet RA-1200/RA-1100は標準で50,000ユーザ、FutureNet RA-730/RA-630は2,000ユーザまでの情報を内部に格納できます。このユーザ情報はプロファイルと呼ばれる属性の集まりを利用することにより、グループ化して効率よく管理できます。また、Microsoft® Active Directory®やLDAPサーバで管理しているユーザデータベースとの連携も可能です。
親子連携機能
FutureNet RAシリーズはRA-1200/RA-1100を親機、RA-730/RA-630を子機という形で親子連携が可能です。各拠点の端末は、通常子機で認証を行いますが、万一の故障時にはセンタの親機で認証を継続できます。親機は1台で複数の子機をバックアップできるため、効率的なバックアップが実現できます。また、子機は常時ログ・セッション情報を親機に送信し、親機では複数の子機の状態を管理します。そのため1台の親機からすべての子機の状況を確認できます。設定情報についても、親機のGUIからの操作で子機側のアカウントの追加・編集・削除が可能です。親機側はすべての子機の設定情報を管理しているため、子機の増設や子機の故障時も、迅速な対応が可能です。
図:RA-1200の親子連携機能による冗長化
冗長構成の実現
FutureNet RAシリーズは、複数台によるActive-Active方式の冗長化をサポートしています。一台のRAに障害が発生しても別のRA(セカンダリ)を利用して運用を継続できます。
また各RAで同じでログ・セッション情報を同期しているため、負荷分散目的でも使用可能です。
さらにマスタ-スレーブ方式の設定情報の同期機能をサポートしています。いずれかのRAをマスタとして設定すると、その設定がスレーブのRAにも自動的に反映されます。また同期化区間はTLSにより暗号化されます。
図:RA-1200のActive-Active方式による認証の冗長化と設定情報の同期
わかりやすい操作画面により導入、運用が容易
FutureNet RAシリーズWebブラウザで提供されるウィザード機能を利用すると、ナビゲーションにしたがって項目を選択するだけで最低限必要な設定を簡単におこなえます。また、全ての機能の設定はWebブラウザを用いたGUI画面から設定できます。機能追加時などファームウェアの更新もWebブラウザからおこなえます。専用のユーティリティを使わないため、管理用PCのOSを選びません。また、GUI画面からの本装置の設定情報の保存/復帰も可能です。
VPNルータFutureNet XRシリーズとの強力な連携
VPNルータ、FutureNet XRシリーズは、ルータからユーザ毎にIDを発行し、その認証をおこなうことで通信の可否を制御できる『Web認証機能』を備えています。FutureNet RAシリーズは、ユーザがWeb認証をおこなう際にXRシリーズルータに代わって認証要求に応えることができます。これにより、多数のユーザを抱えるインターネットマンションやIP-VPNなどのブロードバンド環境で、認証情報の一括管理が可能になります。
例えば全国の支店を移動する社員の場合、社員はブラウザを起動して認証を通れば、どこからサーバやインターネットへアクセスしても、常に同じポリシーが適用されます。このとき、特別なソフトウェアは必要ありません。同様にインターネットVPNを利用するモバイルクライアントユーザや、自宅からVPNを利用して社内ネットワークにアクセスするユーザにも有効なソリューションとなります
図:FutureNet NXRシリーズ「Web認証機能」とRA-1200のソリューション
また、FutureNet RAシリーズのプライベートCA機能を利用して、FutureNet XRシリーズでX.509証明書を使ったIPsec接続をおこなう際に利用する証明書を発行することができます。
強力な運用サポート機能
RADIUSサーバとしてのすべての機能を設定できる本装置管理者とユーザ情報だけを変更できるユーザ管理者、自分のパスワードの変更や自分用に発行された証明書の取得だけができるユーザを分けて管理できるため、スムーズな運用が可能です。認証のログやアカウンティングログはユーザの属性や名前などで並べ替え、抽出、閲覧することができます。また、これらのログはブラウザ上で表示するだけでなく、SYSLOGで別のホストに送信することもできます。異常時にはSYSLOGやSNMPのトラップを使って警報を通知することもできます。さらに、到達性確認機能やパケットキャプチャ機能(Ethereal/Wireshark形式で取得・保存可能)によるネットワークの診断も可能で、万一の不具合のときも原因の究明が容易です。
また、本体ハードウェアの電源ユニットは2台構成で冗長化されており、片側が故障してももう片方で運用を継続できます。
|
