RAシリーズ

３．VLAN ID設定

ここでは応答アトリビュートを利用してユーザ毎のVLAN IDをアトリビュートとして認証スイッチへ送信する例を
紹介します。

【構成】

 

 

 

 

 【設定】

応答アトリビュートを利用するには、応答アトリビュートプロファイルを作成し、
ユーザプロファイルに応答アトリビュートプロファイルを登録します。

 

ここではVLANの指定に下記アトリビュートを使用します。

RADIUSサーバ IPアドレス		192.168.0.254 (Ether0)
認証スイッチ IPアドレス		192.168.0.253
認証スイッチ シークレット		secret
ユーザID	パスワード	user01	pass01
	Tunnel-Type		13  (VLAN)
	Tunnel-Medium-Type		6   (802)
	Tunnel-Private-Group-ID		VLAN1 or VLAN2
ユーザID	パスワード	user02	pass02
	Tunnel-Type		13  (VLAN)
	Tunnel-Medium-Type		6   (802)
	Tunnel-Private-Group-ID		VLAN2
認証方式		EAP-PEAP
認証/アカウンティングポート		1812/1813

 

 

 

 ネットワーク設定（管理機能／ネットワーク／基本情報）

Ether0 のIPアドレスを 192.168.0.254/24 に設定します。
MTU及び通信モード、Ether1、Ether2はお使いの環境に合わせて設定してください。
ここでは初期値のままとします。
デフォルトゲートウェイは外部のDNSやNTPサーバを使用しないのであれば特に設定する必要はありません。

 

 

 

ＣＡ設定 （ＣＡ／CA/CRL）

EAP-PEAP認証を使用する場合はCAの設定が必要になります。
CAの作成や証明書の発行を行う際は証明書の有効期限を正しく認識させる為、
内蔵時計が正しく設定されているかご確認ください。
CAの作成では Common Name、有効期間、パスフレーズ、失効リスト更新間隔 の入力が必須です。
また、CAを削除した場合は発行済みの全ての証明書も削除されます。ご注意ください。

 

ここでは下記内容で設定します。

CA作成後は、CA証明書画面より 取り出し ボタンを押下してCA証明書を取得し、サプリカントへインストールします。

 

 

 RADIUSサーバ証明書発行（ＣＡ／証明書）

RADIUSサーバで使用するサーバ証明書の発行を行います。
証明書画面から　新規追加　ボタンを押下して追加します。
バージョン3 のサーバ証明書を作成する場合には、通常最低限以下のKey Usage/Extended KeyUsage を指定するようにします。
但し、実際にどのKey Usage/Extended Key Usage を必要とするかは通信相手のソフトウェアに依存します。

ここでは下記内容で設定します。

 

 

 

認証方式設定、サーバ証明書設定（RADIUS／サーバ／基本情報）

認証方式にEAP-TLS 、 EAP-PEAP 、RADIUSサーバ証明書に 本装置の証明書を使用する を選択します。
EAP-PEAPを使用するにはEAP-TLSも選択する必要があります。

シリアルナンバには先ほど発行したサーバ証明書のシリアルナンバを入力します。
シリアルナンバはCAの証明書一覧で確認することができます。また、設定ウィザードを使った場合は自動的に
入力されます。なおポート番号は、RADIUSクライアントの設定と同一になるよう指定します。

 

 

 

RADIUSクライアント設定（RADIUS／サーバ／クライアント）

認証スイッチの情報を設定します。
ここでは、下記内容で設定します。

 

 

 

ユーザ基本情報プロファイル設定（RADIUS／プロファイル／ユーザ基本情報）

設定内容に従い認証方式に EAP-PEAP を設定します。プロファイル名は base_user とします。

 

 

 

応答アトリビュートプロファイル登録（RADIUS／プロファイル／応答アトリビュート）

ここでVLAN IDを認証スイッチへ送信するための応答アトリビュートを登録します。
まず応答アトリビュートプロファイル一覧の　新規追加　を押下して応答アトリビュートプロファイルを作成します。
ここではVLAN1,VLAN2のプロファイル名を vlan1,vlan2 として作成します。

 

VLANが複数ある場合はその数分作成します。
※ユーザ個別設定では、ユーザ毎に異なるアトリビュートを設定する方法を紹介しています。

 

続いて応答アトリビュート一覧の　新規追加  を押下してアトリビュートを追加します。
応答アトリビュート新規追加画面では Tunnel-Type, Tunnel-Medium-Type, Tunnel-Private-Group-ID の
各アトリビュートを追加します。
Tunnel-Typeの値は13、Tunnel-Medium-Typeの値は6、Tunnel-Private-Group-ID の値は
各 VLAN ID にあわせてプロファイルvlan1ではVLAN1、vlan2 では VLAN2 とします。

 

 

 

ユーザプロファイル設定（RADIUS／プロファイル／ユーザプロファイル）

ユーザプロファイルは、VLANの数だけ作成し、各ユーザに該当するVLANの応答アトリビュートプロファイルを指定します。

 

ここではVLAN1用にユーザプロファイル vlan1user を作成し、ユーザ基本情報プロファイル base_user、
応答アトリビュートプロファイル vlan1 を選択します。

 

VLAN2用にユーザプロファイル vlan2user を作成し、ユーザ基本情報プロファイル base_user 、
応答アトリビュートプロファイル vlan2 を選択します。

 

 

 

ユーザ設定（RADIUS／ユーザ／ユーザ）

応答アトリビュートとして VLAN1 を返したいユーザ(user01)は、vlan1user のユーザプロファイルを、
VLAN2 を返したいユーザ(user02)は 、vlan2user のユーザプロファイルを選択しします。

 

 

 

RADIUSサーバ起動（RADIUS／サーバ／起動・停止）

最後に  起動   ボタンを押下してRADIUSサーバを起動します。

以上で設定は終了です。