...

アクセス・セキュリティ ガイド

by user

on
Category: Documents
22

views

Report

Comments

Transcript

アクセス・セキュリティ ガイド
ProCurve Switch 2810 シ リ ーズ
2007 年 2 月
ア ク セ ス セキ ュ リ テ ィ ガ イ ド
© Copyright 2001-2007 Hewlett-Packard Company,
L..P. All right reserved. 日本ヒューレット・パッカード
株式会社、2007. All rights reserved.
本書の内容は、将来予告なしに変更される場合がありま
す。
出版番号
5991-4734JP
2007 年 2 月
対象製品
書に記載 さ れた内容の誤 り に対 し て、 ま た提供物、 性能、
ま たは本書の使用に関連 し た付随的ま たは重大な損害に
対 し て、 一切の責任を負わない も の と し ます。
本書の内容につ き ま し ては万全を期 し てお り ますが、 本
書中の技術的あ る いは校正上の誤 り 、 省略に対 し て、 い
かな る 責任 も 負いかねますので ご了承 く だ さ い。 本書の
内容は、 その ま ま の状態で提供 さ れ る も ので、 いか な る
保証 も 含みません。 本書の内容は、 将来予告な し に変更
さ れ る 場合があ り ます。 HP 製品に対す る 保証について
は、 当該製品に付属の保証書に記載 さ れてい ます。 本書
のいかな る 内容 も 、 新たな保証を追加す る も のではあ り
ま せん。
ProCurve Switch 2810-24 (J9021A)
ProCurve Switch 2810-48 (J9022A)
ヒ ュ ーレ ッ ト ・ パ ッ カー ド は、 ヒ ュ ーレ ッ ト ・ パ ッ カー
ド が提供 し ない機器の ソ フ ト ウ ェ アの使用ま たは信頼性
に対 し て一切責任を負い ません。
商標表示
保証
Windows NT 、 Windows 、 お よ び MS Windows は米国
におけ る Microsoft Corporation の登録商標です。
製品に同梱のカ ス タ マサポー ト / 保証に関す る 小冊子を
ご参照 く だ さ い。
ソフトウェア クレジット
Procurve Switch の SSH 機能は、 OpenSSH ソ フ ト ウ ェ ア
ツールキ ッ ト に基づいてい ます。 こ の製品には、
OpenSSH ツールキ ッ ト で使用す る ための、 OpenSSH
Project が開発 し た ソ フ ト ウ ェ アが含ま れてい ま す。
OpenSSH については、 http://www.openssh.com ( 英語 ) ま
たは http://www.openssh.com/ja/ ( 日本語 ) を参照 し て く だ
さ い。
Procurve Switch の SSL 機能は、 OpenSSL ソ フ ト ウ ェ ア
ツールキ ッ ト に基づいてい ます。 こ の製品には、 OpenSSL
ツールキ ッ ト で使用す る ための、 OpenSSL Project が開発
し た ソ フ ト ウ ェ アが含ま れてい ま す。 OpenSSL について
は、 http://www.openssl.org ( 英語 ) を参照 し て く だ さ い。
こ の製品には、 Eric Young ([email protected]) が開発 し た
暗号 ソ フ ト ウ ェ アが含ま れてい ま す。
こ の製品には、 Tim Hudson ([email protected]) が開発 し た
ソ フ ト ウ ェ アが含 ま れてい ます。
免責条項
ヒ ュ ーレ ッ ト ・ パ ッ カー ド 社は、 商品性 と 特定の目的に
対す る 適合性の暗黙の保証、 お よ びそれ以外の任意の要
素を含めて、 本書の内容に関 し ていかな る 保証 も 与え る
も のではあ り ません。 ヒ ュ ーレ ッ ト ・ パ ッ カー ド は、 本
Hewlett-Packard Company
8000 Foothills Boulevard, m/s 5551
Roseville, California 95747-5551
http://www.procurve.com
ご利用の HP 製品に適用で き る 個別の保証規約の書面お よ
び交換用部品は、 HP セール ス担当者 と サービ ス オ フ ィ
ス 、 ま たは認定販売代理店か ら 入手いただけ ます。
Contents
製品マニ ュ アル
付属の ス イ ッ チ マニ ュ アル セ ッ ト について . . . . . . . . . . . . . . . . . . . . xi
機能 イ ンデ ッ ク ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
1 は じ めに
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 2
ア ク セ ス セ キ ュ リ テ ィ 機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . 1- 2
管理ア ク セ ス セキ ュ リ テ ィ 保護 . . . . . . . . . . . . . . . . . . . . . . . . 1- 3
ス イ ッ チ ト ラ フ ィ ッ ク セキ ュ リ テ ィ の基本ガ イ ド ラ イ ン . . . . . 1- 4
表記例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
モデルご と の機能説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
コ マ ン ド 構文の表記法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
コ マ ン ド プ ロ ン プ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
画面の表示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
ポー ト 識別の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 8
すぐ にご使用にな る 場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 9
IP ア ド レ ス の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 9
ネ ッ ト ワー ク に ス イ ッ チを セ ッ ト ア ッ プお よ び設置す る には . . . 1- 10
2 ユーザ名お よ びパ ス ワー ド セキ ュ リ テ ィ の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 2
ロ ーカル パス ワ ー ド セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . 2- 4
メ ニ ュ ー : パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 4
CLI: パ ス ワー ド と ユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2- 5
Web: パ ス ワー ド と ユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2- 6
iii
前面パネルのセキ ュ リ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 7
セキ ュ リ テ ィ が重要 と な る ケース . . . . . . . . . . . . . . . . . . . . . . 2- 7
前面パネル ボ タ ン の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 8
前面パネルのセキ ュ リ テ ィ 設定 . . . . . . . . . . . . . . . . . . . . . . . . 2- 10
パ ス ワー ド リ カバ リ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 15
パ ス ワー ド リ カバ リ プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . . 2- 17
3 Web 認証お よ び MAC 認証
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 2
ク ラ イ ア ン ト オプシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 4
Web 認証お よ び MAC 認証の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 5
オーセ ン テ ィ ケー タ オペレーシ ョ ン . . . . . . . . . . . . . . . . . . . . 3- 5
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 9
動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 10
Web/MAC 認証の基本的な設定手順 . . . . . . . . . . . . . . . . . . . . . . . . 3- 12
Web/MAC 認証を設定す る前に以下の手順を実行す る . . . . . . . . 3- 12
RADIUS サーバでの MAC 認証サポー ト 設定に関す る 追加情報 . . 3- 14
RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定 . . . . . . . . . . . . . 3- 15
Web 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 17
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 17
ス イ ッ チでの Web 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 18
ス イ ッ チの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 22
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 22
ス イ ッ チでの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 23
Web 認証の ス テー タ ス と 設定の表示 . . . . . . . . . . . . . . . . . . . . . . . . 3- 26
MAC 認証の ス テー タ ス と 設定の表示 . . . . . . . . . . . . . . . . . . . . . . . 3- 28
ク ラ イ ア ン ト ス テー タ ス の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 30
iv
4 TACACS+ 認証
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 2
TACACS アプ リ ケーシ ョ ン で使用 さ れ る用語 . . . . . . . . . . . . . . . . . 4- 3
基本的なシ ス テ ム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 5
基本的な認証の設定手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 5
ス イ ッ チでの TACACS+ 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 8
始め る 前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 8
こ の項で説明す る CLI コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . 4- 9
現在の ス イ ッ チの認証設定の表示 . . . . . . . . . . . . . . . . . . . . . . 4- 9
現在の ス イ ッ チの TACACS+ サーバ接続設定の表示 . . . . . . . . . 4- 10
ス イ ッ チの認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 11
ス イ ッ チの TACACS+ サーバ ア ク セ ス の設定 . . . . . . . . . . . . . . 4- 15
認証の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 20
TACACS+ サーバを使用す る 基本的な認証プ ロ セ ス . . . . . . . . . . 4- 20
ロ ーカル認証プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 22
暗号キーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 23
TACACS+ 認証での Web ブ ラ ウ ザ イ ン タ フ ェース のア ク セ ス制御 . . 4- 24
TACACS+ オペレーシ ョ ンに関連 し た メ ッ セージ . . . . . . . . . . . . . . 4- 25
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 26
5 RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 3
RADIUS の ス イ ッ チ運用ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 4
基本的な RADIUS 設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 5
ス イ ッ チでの RADIUS 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 6
RADIUS 認証設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 7
1. ア ク セ ス手段ご と の RADIUS 認証設定 . . . . . . . . . . . . . . . . . 5- 8
2. RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定 . . . . . . . . 5- 10
3. ス イ ッ チのグ ロ ーバル RADIUS パ ラ メ ー タ の設定 . . . . . . . . . 5- 12
v
ロ ーカル認証プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 16
RADIUS 認証での Web ブ ラ ウ ザ イ ン タ フ ェース のア ク セ ス制御 . . . 5- 17
RADIUS ア カ ウ ン テ ィ ン グの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 17
RADIUS ア カ ウ ン テ ィ ン グの運用ルール . . . . . . . . . . . . . . . . . . 5- 19
RADIUS ア カ ウ ン テ ィ ン グの設定手順 . . . . . . . . . . . . . . . . . . . . 5- 19
RADIUS 統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 26
基本的な RADIUS 統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 26
RADIUS 認証統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 28
RADIUS ア カ ウ ン テ ィ ン グ統計 . . . . . . . . . . . . . . . . . . . . . . . . . 5- 30
RADIUS サーバへのア ク セ ス順序の変更 . . . . . . . . . . . . . . . . . . . . . 5- 32
RADIUS オペレーシ ョ ン に関連 し た メ ッ セージ . . . . . . . . . . . . . . . . 5- 34
6 セキ ュ ア シ ェ ル (SSH) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 4
SSH を使用す る前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 5
公開キー フ ォーマ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 5
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSH 設定お よ び使用手順 . . . . . 6- 6
基本的な動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 8
SSH オペレーシ ョ ンの ス イ ッ チ設定 . . . . . . . . . . . . . . . . . . . . . . . . 6- 9
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レベルの ロ ーカル
パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 9
2. ス イ ッ チの公開キー / 秘密キーのペアの生成 . . . . . . . . . . . . 6- 10
3. ス イ ッ チの公開キーを ク ラ イ ア ン ト に提供す る . . . . . . . . . . . 6- 13
4. ス イ ッ チの SSH の有効化お よ び SSH ク ラ イ ア ン ト と の通信 . . 6- 15
5. SSH 認証の ス イ ッ チ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 18
6. ス イ ッ チへのア ク セ ス に SSH ク ラ イ ア ン ト を使用す る . . . . . 6- 22
SSH ク ラ イ ア ン ト 公開キー認証の詳細 . . . . . . . . . . . . . . . . . . . . . . 6- 22
SSH オペレーシ ョ ンに関連 し た メ ッ セージ . . . . . . . . . . . . . . . . . . . 6- 28
vi
7 セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 3
SSL を使用す る 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 5
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSL 設定お よ び使用手順 . . . . . . 7- 5
基本的な動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 6
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レベルの ロ ーカル
パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 7
2. ス イ ッ チのサーバ ホ ス ト 証明情報の生成 . . . . . . . . . . . . . . . 7- 9
3. ス イ ッ チの SSL の有効化お よ び SSL ブ ラ ウ ザ と の通信 . . . . . . 7- 17
SSL セ ッ ト ア ッ プの一般的なエ ラ ー . . . . . . . . . . . . . . . . . . . . . . . . 7- 21
8 ポー ト ベース のア ク セ ス制御 (802.1x) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 3
ポー ト ベース のア ク セ ス制御を使用す る理由 . . . . . . . . . . . . . . 8- 3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 3
802.1x の認証動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 6
オーセ ン テ ィ ケー タ の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 6
ス イ ッ チ ポー ト でのサプ リ カ ン ト オペレーシ ョ ン . . . . . . . . . . 8- 7
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 8
基本的な運用ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 10
ポー ト ベース のア ク セ ス制御 (802.1x) の基本的な設定手順 . . . . . . . 8- 12
802.1x オペレーシ ョ ン を設定す る 前に以下の手順を実行す る . . . 8- 12
概要 : ス イ ッ チでの 802.1x 認証の設定 . . . . . . . . . . . . . . . . . . . 8- 13
ス イ ッ チ ポー ト を 802.1x オーセ ン テ ィ ケー タ と し て設定す る . . . . . 8- 15
1. 選択 し たポー ト で 802.1x 認証を有効にす る . . . . . . . . . . . . . . 8- 15
2. 802.1x 認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 19
3. RADIUS ホ ス ト IP ア ド レ ス の入力 . . . . . . . . . . . . . . . . . . . . . 8- 20
4. ス イ ッ チで 802.1x 認証を有効にす る . . . . . . . . . . . . . . . . . . . 8- 20
802.1x Open VLAN モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 21
vii
は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 21
802.1x Open VLAN モー ド モデルを使用す る . . . . . . . . . . . . . . . 8- 22
認可 ク ラ イ ア ン ト お よ び未認可 ク ラ イ ア ン ト VLAN の動作ルール . .
8- 26
802.1x Open VLAN モー ド の設定 と 構成 . . . . . . . . . . . . . . . . . . 8- 28
802.1x Open VLAN の運用上の注記 . . . . . . . . . . . . . . . . . . . . . . 8- 32
オーセ ン テ ィ ケー タ ポー ト のオプシ ョ ン : 802.1x 機器でのみ許可 さ れ る
ポー ト セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 33
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、他の ス イ ッ チ と 接続
8- 35
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示 . . . . . . . . . . . . . . . . . 8- 39
ポー ト ア ク セ ス オーセ ン テ ィ ケー タ 用の Show コ マ ン ド . . . . . . 8- 39
802.1x Open VLAN モー ド の ス テー タ ス表示 . . . . . . . . . . . . . . . 8- 41
ポー ト ア ク セ ス サプ リ カ ン ト 用の Show コ マ ン ド . . . . . . . . . . . 8- 45
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響 . . . . . . . . . . . 8- 46
802.1x オペレーシ ョ ン に関連 し た メ ッ セージ . . . . . . . . . . . . . . . . . 8- 50
9 ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 2
基本的な動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 2
未認可 ト ラ フ ィ ッ ク のブ ロ ッ ク . . . . . . . . . . . . . . . . . . . . . . . . 9- 3
ト ラ ン ク グループの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 4
ポー ト セキ ュ リ テ ィ の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 5
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作 . . . . . . . . . . . . . 9- 6
ス タ テ ィ ッ ク MAC ア ド レ ス の保持 . . . . . . . . . . . . . . . . . . . . . 9- 10
現在のポー ト セキ ュ リ テ ィ の設定の表示 . . . . . . . . . . . . . . . . . 9- 10
ポー ト セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 12
MAC ロ ッ ク ダ ウ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 17
MAC ロ ッ ク ダ ウ ン と ポー ト セキ ュ リ テ ィ の違い . . . . . . . . . . . 9- 19
MAC ロ ッ ク ダ ウ ン の展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 21
MAC ロ ッ ク ア ウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 25
ポー ト セキ ュ リ テ ィ と MAC ロ ッ ク ア ウ ト . . . . . . . . . . . . . . . . 9- 27
viii
Web: ポー ト セキ ュ リ テ ィ の機能の表示お よ び設定 . . . . . . . . . . . . . 9- 28
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト . . . . . . . . . . 9- 28
セキ ュ リ テ ィ 違反の通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 28
侵入 ロ グの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 29
ア ラ ー ト フ ラ グ を リ セ ッ ト し て侵入 ロ グ を最新の状態に保つ . . 9- 30
イ ベン ト ロ グ を使用 し た侵入ア ラ ー ト の検索 . . . . . . . . . . . . . . 9- 35
Web: 侵入のチ ェ ッ ク 、 侵入ア ラ ー ト の一覧表示、 お よ びア ラ ー ト フ
ラ グの リ セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 36
ポー ト セキ ュ リ テ ィ の運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . 9- 36
10 ト ラ フ ィ ッ ク / セ キ ュ リ テ ィ フ ィ ル タ
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 2
ソ ース ポー ト フ ィ ル タ の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 3
ソ ース ポー ト フ ィ ル タ の動作ルール . . . . . . . . . . . . . . . . . . . . 10- 3
ソ ース ポー ト フ ィ ル タ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 10- 5
ソ ース ポー ト フ ィ ル タ の表示 . . . . . . . . . . . . . . . . . . . . . . . . . 10- 8
フ ィ ル タ の イ ンデ ッ ク ス番号付け . . . . . . . . . . . . . . . . . . . . . . 10- 9
ソ ース ポー ト フ ィ ル タ の編集 . . . . . . . . . . . . . . . . . . . . . . . . 10- 10
名前付 き ソ ース ポー ト フ ィ ル タ の使用 . . . . . . . . . . . . . . . . . 10- 10
11 オー ソ ラ イ ズ ド IP マネージ ャ の使用
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 2
設定オプシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 3
ア ク セ ス レベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 3
認可管理ス テーシ ョ ンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 4
IP マ ス ク の動作の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 5
メ ニ ュ ー : オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ び設定 . . . . 11- 5
CLI: オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ び設定 . . . . . . . . 11- 7
Web: オー ソ ラ イ ズ ド IP マネージ ャ の設定 . . . . . . . . . . . . . . . . . . . 11- 9
IP マ ス ク の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 10
ix
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で 1 台の ス テーシ ョ ン を
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 10
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で複数台の ス テーシ ョ ン
を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 11
複数ス テーシ ョ ン の認可のその他の例 . . . . . . . . . . . . . . . . . . 11- 13
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 13
索引
x
製品マニ ュ アル
付属の ス イ ッ チ マニ ュ アル セ ッ ト につ
いて
ス イ ッ チには次のマニ ュ アルが付属 し てい ます。
注記
■
『Read Me First』- 印刷物のガ イ ド が ス イ ッ チに同梱 さ れてい ま
す。 ソ フ ト ウ ェ ア更新情報や製品 ノ ー ト と い っ た情報が記述 さ れ
てい ます。
■
『インストレーション / スタートアップ ガイド』- 印刷物のガ イ ド
が ス イ ッ チに同梱 さ れてい ます。 こ のガ イ ド では、 物理的な イ ン
ス ト ール と ネ ッ ト ワー ク への接続に関す る準備お よ び実施方法に
ついて説明 し ます。
■
『マネジメント / コンフィギュレーション ガイド』- ProCurve
Networking Web サ イ ト か ら 入手可能な PDF フ ァ イ ルです。 こ のガ
イ ド では、 基本的な ス イ ッ チ操作の設定、 管理、 監視の方法につ
いて説明 し ます。
■
『高度なトラフィック管理ガイド』- ProCurve Networking Web サ イ
ト か ら 入手可能な PDF フ ァ イ ルです。 こ のガ イ ド では、 ス パニ ン
グ ツ リ ーや VLAN と いっ た ト ラ フ ィ ッ ク 管理機能の設定お よ びオ
ペレーシ ョ ン について説明 し ます。
■
『アクセス セキュリティ ガイド』- ProCurve Networking Web サ イ
ト か ら 入手可能な PDF フ ァ イ ルです。 こ のガ イ ド では、 ス イ ッ チ
のア ク セ ス セキ ュ リ テ ィ と と ユーザー認証機能の設定お よ びオペ
レーシ ョ ン について説明 し ます。
■
『リリース ノート』- ProCurve Web サ イ ト に掲載 さ れ、ソ フ ト ウ ェ
ア更新情報が記載 さ れてい ます。 リ リ ース ノ ー ト では、 上記ガ イ
ド の改訂ま でに施 さ れた新機能、 修正、 拡張について説明 し ます。
最新の追加機能に関す る リ リ ース ノ ー ト な ど の ProCurve Switch マニ ュ ア
ルの最新版については、 ProCurve Networking Web サ イ ト http://
www.procurve.com を ご覧 く だ さ い。 [Technical support] を ク リ ッ ク
し 、 [Product manuals (all)] を ク リ ッ ク し ます。
xi
製品マニ ュ アル
機能 イ ンデ ッ ク ス
下表の機能 イ ンデ ッ ク ス では、 ご使用の ス イ ッ チ モデルに対応す る マニ ュ
アル セ ッ ト において、 各 ソ フ ト ウ ェ ア機能の解説が記述 さ れてい る マニ ュ
アルを示 し てい ます。
機能
マネジメント /
コンフィギュ
レーション ガイ
ド
高度なトラ
フィック管理
ガイド
アクセス セ
キュリティ ガ
イド
802.1Q VLAN タ グ
-
X
-
802.1p プ ラ イ オ リ テ ィ
X
-
-
802.1x 認証
-
-
X
オー ソ ラ イ ズ ド IP マネージ ャ
-
-
X
Config フ ァ イル
X
-
-
Copy コ マ ン ド
X
-
-
デバ ッ グ
X
-
-
DHCP 設定
-
X
-
DHCP/Bootp オペレーシ ョ ン
X
-
-
診断ツール
X
-
-
ソ フ ト ウ ェ アのダウン ロー ド
X
-
-
イ ベン ト ロ グ
X
-
-
工場出荷時の設定
X
-
-
フ ァ イル管理
X
-
-
フ ァ イル転送
X
-
-
GVRP
-
X
-
IGMP
-
X
-
イ ン タ フ ェ ース ア ク セス (Telnet、 コ ン ソ ール /
シ リ アル リ ン ク、 Web)
X
-
-
xii
製品マニ ュ アル
機能
マネジメント /
コンフィギュ
レーション ガイ
ド
高度なトラ
フィック管理
ガイド
アクセス セ
キュリティ ガ
イド
IP ア ド レ スの設定
X
-
-
LACP
X
-
-
リンク
X
-
-
LLDP
X
-
-
MAC ア ド レ ス管理
X
-
-
MAC ロ ッ ク ダウン
-
-
X
MAC ロ ッ ク アウ ト
-
-
X
MAC ベース認証
-
-
X
モニ タ リ ング と 分析
X
-
-
マルチキ ャ ス ト の フ ィ ル タ リ ング
-
X
-
ネ ッ ト ワー ク管理ア プ リ ケーシ ョ ン (LLDP、
SNMP)
X
-
-
パスワー ド
-
-
X
Ping
X
-
-
ポー ト 設定
X
-
-
ポー ト セキ ュ リ テ ィ
-
-
X
ポー ト ス テー タ ス
X
-
-
ポー ト ト ラ ン ク (LACP)
X
-
-
ポー ト ベース ア ク セス制御
-
-
X
ポー ト ベース プ ラ イ オ リ テ ィ (802.1Q)
X
-
-
サービ ス品質 (QoS)
-
X
-
RADIUS 認証およびア カ ウン テ ィ ング
-
-
X
Secure Copy
X
-
-
SFTP
X
-
-
SNMP
X
-
-
xiii
製品マニ ュ アル
機能
マネジメント /
コンフィギュ
レーション ガイ
ド
高度なトラ
フィック管理
ガイド
アクセス セ
キュリティ ガ
イド
ソ フ ト ウ ェ ア ダウン ロー ド (SCP/SFTP、 TFTP、
Xmodem)
X
-
-
ソ ース ポー ト フ ィ ル タ
-
-
X
スパニ ング ツ リ ー (MSTP)
-
X
-
SSH ( セキ ュ ア シ ェ ル ) 暗号化
-
-
X
SSL ( セキ ュ ア ソ ケ ッ ト レ イヤ )
-
-
X
ス タ ッ ク管理 ( ス タ ッ キング )
-
X
-
Syslog
X
-
-
シ ス テム情報
X
-
-
TACACS+ 認証
-
-
X
Telnet ア ク セス
X
-
-
TFTP
X
-
-
タ イム プ ロ ト コル (TimeP、 SNTP)
X
-
-
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
-
-
X
ト ラ ブルシ ュ ーテ ィ ング
X
-
-
VLAN
-
X
-
Web ベース認証
-
-
X
Xmodem
X
-
-
xiv
1
は じ めに
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
ア ク セ ス セ キ ュ リ テ ィ 機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
管理ア ク セ ス セキ ュ リ テ ィ 保護 . . . . . . . . . . . . . . . . . . . . . . . . 1-3
ス イ ッ チ ト ラ フ ィ ッ ク セキ ュ リ テ ィ の基本ガ イ ド ラ イ ン . . . . . 1-4
表記例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
モデルご と の機能説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
コ マ ン ド 構文の表記法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
コ マ ン ド プ ロ ン プ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
画面の表示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
ポー ト 識別の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-8
すぐ にご使用にな る 場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
IP ア ド レ ス の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
ネ ッ ト ワー ク に ス イ ッ チを セ ッ ト ア ッ プお よ び設置す る には . . . 1-10
1-1
は じ めに
概要
概要
こ の 『 ア ク セ ス セキ ュ リ テ ィ ガ イ ド 』 では、 ProCurve の ス イ ッ チ セキ ュ
リ テ ィ 機能を用いて ス イ ッ チへのア ク セ ス を保護す る 方法について説明 し
ます。 こ のガ イ ド は、 次の ス イ ッ チ モデルを対象 と し てい ます。
■
ProCurve Switch 2810
上記ス イ ッ チのその他の製品 ド キ ュ メ ン ト については、 xi ページの 「製品
マニ ュ アル」 を参照 し て く だ さ い。
ま た、 ProCurve Networking Web サ イ ト http://www.procurve.com ( 英語 ) か
ら 、 PDF バージ ョ ンの フ ァ イ ルを ダ ウ ン ロ ー ド で き ます。
ア ク セ ス セキ ュ リ テ ィ 機能の概要
こ のガ イ ド で扱 う ア ク セ ス セキ ュ リ テ ィ 機能は以下の通 り です。
1-2
■
ローカルの管理者およびオペレータ パスワード (2- 1 ページ ): CLI、
メ ニ ュ ー、 Web ブ ラ ウ ザ イ ン タ フ ェースへのア ク セ スお よ び権限
を コ ン ト ロ ール し ます。
■
TACACS+ 認証 (4- 1 ページ ): サーバ上の認証アプ リ ケーシ ョ ン を
用いて、 ス イ ッ チへのア ク セ ス を許可ま たは拒否 し ます。
■
RADIUS 認証およびアカウンティング (5- 1 ページ ): TACACS+ と 同
様に、 中央サーバ上の認証アプ リ ケーシ ョ ン を用いて、 ス イ ッ チ
へのア ク セ ス を許可ま たは拒否 し ます。 RADIUS は、 ユーザ ア ク
テ ィ ビ テ ィ と シ ス テ ム イ ベン ト に関す るデー タ を RADIUS サーバ
に送信す る ためのア カ ウ ン テ ィ ン グ サービ ス も 提供 し ます。
■
セキュア シェル (SSH) 認証 (6- 1 ページ ): ス イ ッ チ管理機能への リ
モー ト ア ク セ ス用に、 暗号化 さ れたパス を提供 し ます。
■
セキュア ソケット レイヤ (SSL) (7- 1ページ): SSL/TLS機能をサポー
ト す る 管理ス テーシ ョ ン ク ラ イ ア ン ト か ら 、 暗号化 さ れた認証パ
ス を介 し て ス イ ッ チに リ モー ト Web ア ク セ ス で き ます。
■
ポート ベース アクセス制御 (802.1x) (8- 1 ページ ): ポ イ ン ト ツー
ポ イ ン ト 接続において、 ポー ト と ス イ ッ チへのア ク セ ス を試み る
802.1x 対応機器 ( サプ リ カ ン ト ) と の間の ト ラ フ ィ ッ ク を、 ス イ ッ
は じ めに
ア ク セ ス セキ ュ リ テ ィ 機能の概要
チが許可ま たは拒否で き る よ う に し ます。 ま た、 ス イ ッ チは他の
802.1x 対応ス イ ッ チへの接続用サプ リ カ ン ト と し て動作で き る よ
う にな り ます。
■
ポート セキュリティ (9- 1 ページ ): ス イ ッ チ ポー ト に固有の MAC ア
ド レ ス リ ス ト を保持 さ せ る こ と で、 そのポー ト を介 し てネ ッ ト
ワー ク にア ク セ ス で き る 特定の機器を定義で き ます。 ま た、 ポー
ト において、 未認可の機器に よ る ア ク セ ス の試みを検出、 防止、
ロ グ記録で き ます。
■
トラフィック / セキュリティ フィルタ (10- 1 ページ ): ソ ース ポー ト
フ ィ ル タ リ ン グ機能に よ っ て、 ス イ ッ チのア ウ ト バ ウ ン ド 宛先
ポー ト が指定 ソ ース ポー ト か ら の ト ラ フ ィ ッ ク を転送ま たは破棄
で き る よ う にな り 、 イ ンバン ド セキ ュ リ テ ィ が向上 し ます ( 同一
VLAN 内 )。
■
オーソライズド IP マネージャ (11- 1 ページ ): ス イ ッ チに 「認可」 と
し て設定済みの IP ア ド レ ス を持つネ ッ ト ワ ー ク 機器か ら の ス イ ッ
チへのア ク セ ス を許可 し ます。
管理ア ク セ ス セキ ュ リ テ ィ 保護
ス イ ッ チで管理ア ク セ ス セキ ュ リ テ ィ を検討す る に当た り 、 保護す る べ き
要素は主に次の 2 つです。
■
ス イ ッ チ管理機能への未認可 ク ラ イ ア ン ト ア ク セ ス
■
ネ ッ ト ワー ク への未認可 ク ラ イ ア ン ト ア ク セ ス
1-4 ページの表 1-1 は、 各ス イ ッ チ セキ ュ リ テ ィ 機能に よ る保護の種類を
ま と めた表です。
注記
ロ ーカル パス ワ ー ド と それ以外の ス イ ッ チ セキ ュ リ テ ィ 機能を併用す る
こ と をお勧め し ます。 それに よ っ て、 ロ ーカル パ ス ワー ド のみを使用 し た
場合 よ り も セ キ ュ リ テ ィ が向上 し ます。
1-3
は じ めに
ア ク セ ス セキ ュ リ テ ィ 機能の概要
表 1-1.
管理アクセス セキュリティ保護
セキュリティ機能
ロー カルの管理者およびオペ
レー タ のユーザ名およびパス
ワー ド 1
TACACS+
RADIUS
SSH
SSL
ポー ト ベース ア ク セス制御
(802.1x)
ポー ト セキ ュ リ テ ィ (MAC ア ド
レス )
オー ソ ラ イ ズ ド IP マネージ ャ
スイッチ管理機能への未認可クライアントからの
アクセスに対する保護機能をサポート
接続
Telnet
SNMP
Web ブ SSH ク
( ネット管 ラウザ ライア
理)
ント
ポ イ ン ト Yes
No
Yes
Yes
ツー ポ イ
ント :
リ モー ト : Yes
No
Yes
Yes
ポ イ ン ト Yes
No
No
Yes
ツー ポ イ
ント :
リ モー ト : Yes
No
No
Yes
ポ イ ン ト Yes
No
No
Yes
ツー ポ イ
ント :
リ モー ト : Yes
No
No
Yes
ポ イ ン ト Yes
No
No
Yes
ツー ポ イ
ント :
リ モー ト : Yes
No
No
Yes
ポイ ン ト
No
No
Yes
No
ツー ポ イ
ント :
リ モー ト :
No
No
Yes
No
ポ イ ン ト Yes
Yes
Yes
Yes
ツー ポ イ
ント :
リ モー ト :
No
No
No
No
ポ イ ン ト Yes
Yes
Yes
Yes
ツー ポ イ
ント :
リ モー ト : Yes
Yes
Yes
Yes
ポ イ ン ト Yes
Yes
Yes
Yes
ツー ポ イ
ント :
リ モー ト : Yes
Yes
Yes
Yes
ネットワークへの
未認可クライアン
トからのアクセス
に対する保護機能
をサポート
No
No
No
No
No
No
No
No
No
No
Yes
No
Yes
Yes
No
No
ス イ ッ チ ト ラ フ ィ ッ ク セキ ュ リ テ ィ の基本ガ イ ド ラ
イン
ス イ ッ チが複数のセ キ ュ リ テ ィ オプシ ョ ン を実行す る場合、 ス イ ッ チはセ
キ ュ リ テ ィ 機能の最下位か ら 最上位ま で、 個々のオプシ ョ ン の OSI (Open
Systems Interconnection モデル ) 順位に基づいてネ ッ ト ワー ク ト ラ フ ィ ッ ク
1-4
は じ めに
表記例
セキ ュ リ テ ィ を実装 し ます。 次の リ ス ト は、 あ る ポー ト を介 し て転送 さ れ
る ト ラ フ ィ ッ ク に対 し て、 設定 さ れたセ キ ュ リ テ ィ 機能を ス イ ッ チが実装
す る順序を表 し てい ます。
1.
物理ポー ト の無効ま たは有効の設定
2.
MAC ロ ッ ク ア ウ ト ( ス イ ッ チの全ポー ト に適用 )
3.
MAC ロ ッ ク ダ ウ ン
4.
ポー ト セキ ュ リ テ ィ
5.
オー ソ ラ イ ズ ド IP マネージ ャ
6.
SSH な ど、 OSI モデルの上位レベルにおけ る アプ リ ケーシ ョ ン機能
( 上記の リ ス ト は、 一部のセキ ュ リ テ ィ 機能間におけ る 排他的関係を考慮
し てい ません。 )
表記例
こ のガ イ ド では、 コ マ ン ド 構文 と 表示情報を次の表記法で記述 し ます。
モデルご と の機能説明
特定の ソ フ ト ウ ェ ア機能が こ のガ イ ド の対象ス イ ッ チ モデルでサポー ト さ
れていない場合は、 その機能をサポー ト す る 製品ま たは製品シ リ ーズ を項
の見出 し に明記 し ます。
た と えば次の よ う にな り ます ( ス イ ッ チ モデルは 太字斜体 で示 し ます )。
「Switch 2810 の Web 認証お よ び MAC 認証」
コ マ ン ド 構文の表記法
構文 : aaa port-access authenticator < port-list >
[ control < authorized | auto | unauthorized >]
■
縦棒 ( | ) は、 相互に排他的な二者択一の要素を区切 り ます。
■
角括弧 ( [ ] ) は、 オプシ ョ ンの要素を表 し ます。
■
括弧 ( < > ) は、 必須の要素です。
■
角括弧の内側にあ る 括弧 ( [ < > ] ) は、 オプシ ョ ン に含ま れ る 必須
要素を示 し ます。
1-5
は じ めに
表記例
■
太字は、 CLI コ マ ン ド 、 CLI コ マ ン ド 構文の一部、 その他通常テ キ
ス ト で表示 さ れ る 要素を表 し ます。 た と えば以下の よ う にな り ま
す。
「copy tftp コ マ ン ド を使用 し て、 TFTP サーバか ら ク ラ イ ア ン ト 公
開キー フ ァ イ ルを ダ ウ ン ロ ー ド し て く だ さ い。」
■
斜体は、 コ マ ン ド を実行する 際に値を与え る 必要のあ る変数を表
し ます。 た と えば、 次の コ マ ン ド 構文で、 <port-list > は 1 つま た
は複数のポー ト 番号を指定 し ます。
構文 : aaa port-access authenticator <port-list >
1-6
は じ めに
表記例
コ マン ド プ ロ ンプ ト
工場出荷時の設定では、 ス イ ッ チは次の CLI プ ロ ン プ ト を表示 し ます。
ProCurve Switch 2810#
こ のガ イ ド では、 読みやすい よ う に全モデルの コ マ ン ド プ ロ ン プ ト と し て
次の よ う に ProCurve を用い ます。 た と えば以下の よ う にな り ます。
ProCurve#
(hostname コ マン ド を使っ て、 CLI プ ロ ンプ ト のテキ ス ト を変更で き ます。 )
画面の表示例
画面に表示 さ れ る テ キ ス ト お よ びコ マ ン ド 出力を表す図は、 次の よ う に示
し ます。
ProCurve(config)# show version
Image stamp:
/sw/code/build/bass(ppne_swt)
Mar 17 2006 11:44:02
N.10.XX
2624
Boot Image:
Primary
Build Options:
QA
Watchdog:
ENABLED
図 1-1. 画面表示図の例
短い コ マ ン ド 出力が続 く 場合、 次の よ う に図番号を付けない こ と があ り ま
す。 た と えば以下の よ う にな り ます。
ProCurve(config)# ip default-gateway 18.28.152.1/24
ProCurve(config)# vlan 1 ip address 18.28.36.152/24
ProCurve(config)# vlan 1 ip igmp
ポー ト 識別の例
こ のガ イ ド では、 シ ャ ーシ ベース と ス タ ッ カブルの両 タ イ プの ProCurve
ス イ ッ チに適用 さ れ る ソ フ ト ウ ェ アについて説明 し ます。 あ る例でポー ト
を識別す る必要があ る 場合、 こ のガ イ ド では "A1"、 "B3 - B5"、 "C7" と
1-7
は じ めに
詳細情報について
いっ た、 シ ャ ーシ ベース のポー ト 識別シ ス テ ム を用い ます。 ただ し 、 特別
な注記がない限 り 、 こ の よ う な例は "1"、 "3 - 5"、 "15" と いっ た数字のみ
を ポー ト 識別に使用す る ス タ ッ カブル ス イ ッ チに も 同様に適用で き ます。
詳細情報について
こ のガ イ ド で説明 さ れていない ス イ ッ チの操作や機能については、 以下の
情報を ご覧 く だ さ い。
■
注記
各 ソ フ ト ウ ェ ア機能の解説が記述 さ れてい る 製品マニ ュ アルにつ
いては、 xi ページの 「製品マニ ュ アル」 を参照 し て く だ さ い。
最新の追加機能に関す る リ リ ース ノ ー ト な ど の ProCurve Switch マニ ュ
アルの最新版については、 ProCurve Networking Web サ イ ト http://
www.procurve.com を ご覧 く だ さ い。 [Technical support] を ク リ ッ
ク し 、 [Product manuals (all)] を ク リ ッ ク し ます。
■
メ ニ ュ ー イ ン タ フ ェース の特定のパ ラ メ ー タ に関す る説明は、 イ
ン タ フ ェース に付属のオン ラ イ ン ヘルプ を参照 し て く だ さ い。 た
と えば以下の よ う にな り ます。
メ ニ ュ ー イ ン タ フ ェ ース
のオ ン ラ イ ン ヘルプ
図 1-2. メ ニ ュ ー イ ン タ フ ェ ースのヘルプの場所
■
1-8
CLI 内で特定の コ マ ン ド に関す る 情報を調べ る 場合は、 コ マ ン ド 名
に続けて 「help」 と 入力 し ます。 た と えば以下の よ う にな り ます。
は じ めに
すぐ にご使用にな る 場合
図 1-3.
CLI でのヘルプの使用
■
Web ブ ラ ウ ザ イ ン タ フ ェ ース の機能については、 ブ ラ ウ ザのオン
ラ イ ン ヘルプ を参照 し て く だ さ い。 詳細は、 ス イ ッ チに付属の
『 マネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 を参照 し て く だ
さ い。
■
ProCurve Networking の ス イ ッ チ テ ク ノ ロ ジ情報については、 次の
ProCurve Web サ イ ト を ご覧 く だ さ い。
http://www.procurve.com ( 英語 )
すぐ にご使用にな る 場合
IP ア ド レ ス の設定
ネ ッ ト ワー ク 上で通信で き る よ う に ス イ ッ チに手早 く IP ア ド レ ス を割 り
当てたい場合は ( 複数の VLAN を使用 し ていない場合 )、[Switch Setup] 画面
の使用をお勧め し ます。 その場合は、 以下のいずれか を行っ て く だ さ い。
■
CLI 管理者レベル プ ロ ンプ ト で setup と 入力 し ます。
ProCurve# setup
■
メ ニ ュ ー イ ン タ フ ェース の [Main Menu] か ら 以下を選択 し ます。
[8. Run Setup]
[Switch Setup] 画面の使用法については、 ス イ ッ チに付属の 『Quick
Installation Guide』 を参照 し て く だ さ い。
1-9
は じ めに
すぐ にご使用にな る 場合
ネ ッ ト ワ ー ク に ス イ ッ チを セ ッ ト ア ッ プお よ び設置
す る には
重 要!
以下の項目については、 ス イ ッ チに付属の 『 Quick Installation Guide』 を参
照 し て く だ さ い。
■
ス イ ッ チの設置お よ び使用方法についての注記、 注意事項、 警告
■
ス イ ッ チを ネ ッ ト ワー ク に物理的に設置す る 手順
■
IP ア ド レ スお よ びサブネ ッ ト マ ス ク を直ちに割 り 当て る 方法、管理
者パ ス ワー ド お よ び ( オプシ ョ ン で ) 他の基本機能を設定す る 方法
■
LED 表示の意味
『 イ ン ス ト レーシ ョ ン / ス タ ー ト ア ッ プ ガ イ ド 』 な ど の ド キ ュ メ ン ト の最
新版については、 ProCurve Networking Web サ イ ト を ご覧 く だ さ い。 ( 詳細
は xi ページの 「製品マニ ュ アル」 を参照 し て く だ さ い。 )
1-10
2
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の
設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-2
ロ ーカル パス ワ ー ド セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . . 2-4
メ ニ ュ ー : パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
CLI: パ ス ワー ド と ユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2-5
Web: パ ス ワー ド と ユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2-6
前面パネルのセキ ュ リ テ ィ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-7
セキ ュ リ テ ィ が重要 と な る ケース . . . . . . . . . . . . . . . . . . . . . . 2-7
前面パネル ボ タ ン の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8
前面パネルのセキ ュ リ テ ィ 設定. . . . . . . . . . . . . . . . . . . . . . . . 2-10
パ ス ワー ド リ カバ リ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-15
パ ス ワー ド リ カバ リ プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . 2-17
2-1
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
ユーザ名の設定
なし
―
―
2- 6 ページ
パスワー ド の設定
なし
2- 4 ページ 2- 5 ページ 2- 6 ページ
パスワー ド 保護の削除
n/a
2- 5 ページ 2- 6 ページ 2- 6 ページ
show front-panel-security
n/a
front-panel-security
―
2-11 ページ
―
―
2-11 ページ
―
password-clear
有効
―
2-12 ページ
―
reset-on-clear
無効
―
2-13 ページ
―
factory-reset
有効
―
2-14 ページ
―
password-recovery
有効
―
2-15 ページ
―
コ ン ソ ールには メ ニ ュ ー イ ン タ フ ェ ース と CLI の両方か ら ア ク セ ス で き ま
す。 コ ン ソ ール ア ク セ ス には管理者 と オペレー タ の 2 つの レベルがあ り ま
す。 それぞれの レベルご と に パ ス ワー ド ペア ( ユーザ名 と パ ス ワー ド ) を
設定す る こ と で、 セ キ ュ リ テ ィ を確保で き ます。
注記
ユーザ名はオプシ ョ ン です。 メ ニ ュ ー イ ン タ フ ェ ース では、 パ ス ワー ド は
設定で き ますが、 ユーザ名は設定で き ません。 ユーザ名を設定す る には、
CLI イ ン タ フ ェース ま たは Web ブ ラ ウ ザ イ ン タ フ ェース を使用 し ます。
レベル
許可されているアクション
管理者 :
コ ン ソ ール イ ン タ フ ェ ース全般へのア ク セス。
こ のレ ベルがデ フ ォル ト です。 つま り 、 管理者パスワー ド が
設定 さ れていない場合、 コ ン ソ ールにア ク セスする者すべて
が、 コ ン ソ ール イ ン タ フ ェ ースの全般にア ク セスで き ます。
オペ レー [Status and Counters] メニュー、 [Event Log] および [Command Line
タ:
(CLI)]* へのアクセス。 ただし設定変更はできません。
オペレータ レベルでは、 [Main Menu] の設定に関するメニュー、
[Download OS]、および [Reboot Switch] オプションは使用できません。
*ping、 link-test、 show、 menu、 exit お よび logout の各コ マ ン ド のほか、
管理者パスワー ド を設定 し ていれば enable コ マ ン ド も 使用で き ます。
2-2
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
概要
パ ス ワー ド セキ ュ リ テ ィ を設定す る には :
1.
管理者パ ス ワー ド ペア を設定 し ます ( 使用す る シ ス テ ム で該当す る 場
合は、 オペレー タ パ ス ワー ド も 設定 し ます )。
2.
現在の コ ン ソ ール セ ッ シ ョ ン を終了 し ます。 こ れで、 コ ン ソ ールのす
べてにア ク セ スす る には管理者パス ワ ー ド ペアが必要 と な り ます。
上記の手順 1 と 2 を実行 し てか ら 、 次回 メ ニ ュ ー イ ン タ フ ェース ま たは
CLI で コ ン ソ ール セ ッ シ ョ ン を開始す る と 、 パ ス ワー ド を要求す る プ ロ ン
プ ト が表示 さ れ ます。 管理者パ ス ワー ド と オペレー タ パ ス ワー ド の両方が
設定 さ れてい る 場合、 コ ン ソ ール イ ン タ フ ェースへのア ク セ ス レベルは、
プ ロ ン プ ト に対 し て入力 さ れたパ ス ワ ー ド の レベルにな り ます。
管理者パ ス ワー ド を設定する 場合、 Inactivity Time パ ラ メ ー タ も 設定で き
ます ( 詳 し く は、 ス イ ッ チに付属の 『 マネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ
ン ガ イ ド 』 を参照 し て く だ さ い )。 こ のパ ラ メ ー タ を設定す る と 、 指定 し
た時間、 非活動状態が続 く と コ ン ソ ール セ ッ シ ョ ン が終了 さ れます。 こ の
ため、未許可の コ ン ソ ール ア ク セ ス に対す る セキ ュ リ テ ィ を強化で き ます。
注記
管理者パ ス ワー ド と オペレー タ パ ス ワー ド 、 お よ び ( オプシ ョ ンの ) ユー
ザ名に よ っ て、 メ ニ ュ ー イ ン タ フ ェ ース、 CLI、 Web ブ ラ ウ ザ イ ン タ
フ ェースへのア ク セ ス が制御 さ れ ます。
管理者パ ス ワー ド のみを設定 し た ( オペレー タ パス ワ ー ド は設定 し ない )
場合、 それ以降のセ ッ シ ョ ン ではプ ロ ン プ ト に対 し て正 し い管理パス ワ ー
ド を入力 し ない と 、 そのセ ッ シ ョ ン での管理ア ク セ ス は許可 さ れません。
パ ス ワー ド は大文字 と 小文字を区別 し ます。
CAUTION
ス イ ッ チに管理者パ ス ワ ー ド と オペレー タ パス ワ ー ド のいずれ も 設定 さ れ
ていない場合、 Telent、 シ リ アル ポー ト 、 Web ブ ラ ウ ザ イ ン タ フ ェース の
いずれかを介 し て ス イ ッ チにア ク セ ス可能な全員が、 すべての管理者権限
を保有す る こ と にな り ます。 ま た、 オペレー タ パ ス ワー ド し か設定 さ れて
いない場合は、 オペレー タ パ ス ワー ド を入力す る こ と で、 完全な管理者権
限が有効にな り ます。
こ の項では、 以下の方法について説明 し ます。
■
パ ス ワー ド の設定
■
パ ス ワー ド の削除
■
パ ス ワー ド を忘れた場合の リ カバ リ
2-3
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
ロ ーカル パス ワ ー ド セキ ュ リ テ ィ の設定
ローカル パス ワード セキ ュ リ テ ィ の設定
メ ニ ュ ー : パ ス ワ ー ド の設定
こ の項で既に述べた よ う に、 ユーザ名はオプシ ョ ン です。 ユーザ名を設定
す る には、 CLI イ ン タ フ ェース ま たは Web ブ ラ ウ ザ イ ン タ フ ェース が必
要です。
1.
[Main Menu] か ら 以下を選択 し ます。
[3. Console Passwords]
図 2-1. [Set Password] 画面
2.
新 し いパ ス ワー ド を設定する には、 以下の手順に従っ て く だ さ い。
a.
[Set Manager Password] ま たは [Set Operator Password] を選択
し ます。 [Enter new password] と い う プ ロ ン プ ト が表示 さ れます。
b.
スペース を含めずに 16 文字 (ASCII) 以下のパ ス ワー ド を入力 し 、
[Enter] キーを押 し ます。 ( パ ス ワー ド では大文字 と 小文字が区別
さ れ る こ と に注意 し て く だ さ い。 )
c.
[Enter new password again] と い う プ ロ ン プ ト が表示 さ れた ら 、新
し いパ ス ワー ド を も う 一度入力 し 、 [Enter] キーを押 し ます。
パ ス ワー ド の設定後、 続けて新 し い コ ン ソ ール セ ッ シ ョ ン を開始す る と 、
パ ス ワー ド の入力を要求 さ れます。 (CLI ま たは Web ブ ラ ウ ザ イ ン タ
フ ェース を使っ てオプシ ョ ンのユーザ名を設定す る 場合、 ユーザ名の入
力、 次いでパ ス ワー ド 入力を求め ます。 )
2-4
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
ロ ーカル パ ス ワ ー ド セキ ュ リ テ ィ の設定
パスワードを削除するには ( パスワードを忘れた場合も含めて ):こ の手順
に よ っ て、 すべての ユーザ名 ( 設定 さ れてい る 場合 ) お よ びパ ス ワー ド ( 管
理者お よ びオペレー タ ) を削除 し ます。
ス イ ッ チに物理的にア ク セ ス で き る 場合は、 ス イ ッ チ前面にあ る [Clear] ボ
タ ン を 1 秒以上押 し 続け、 すべてのパ ス ワー ド を消去 し てか ら 、 本章で説
明 し た手順に従っ て新 し いパ ス ワー ド を入力 し ます。
ス イ ッ チに物理的にア ク セ ス で き ない場合は、 管理者レベルのア ク セ ス が
必要 と な り ます。
1.
管理者レベルで コ ン ソ ールに入 り ます。
2.
上記の よ う に [Set Passwords] 画面に進みます。
3.
[Delete Password Protection] を選択 し ます。 次に以下のプ ロ ン プ ト が
表示 さ れ ます。
Continue Deletion of password protection? No
4.
スペース バーを押 し て [Yes] を選択 し 、 [Enter] キーを押 し ます。
5.
[Enter] キーを押 し て、 パ ス ワー ド 保護に関す る メ ッ セージ を ク リ ア し
ます。
管理者パスワードを忘れた場合には :管理者パ ス ワー ド を忘れた ために管
理者レベルで コ ン ソ ール セ ッ シ ョ ン を開始で き ない場合は、 ス イ ッ チに物
理的にア ク セ ス し て [Clear] ボ タ ン を 1 秒以上押 し 続け る こ と に よ っ て、 パ
ス ワー ド を消去 し ます。 こ の操作を行 う と 、 コ ン ソ ール と Web ブ ラ ウ ザ
イ ン タ フ ェース双方で使用 さ れていたすべてのパ ス ワー ド と ユーザ名 ( 管
理者お よ びオペレー タ ) が削除 さ れます。
CLI: パ ス ワ ー ド と ユーザ名の設定
こ の項で使用す る コ マ ン ド
password
下記を参照 し て く だ さ い。
管理者パスワードおよびオペレータ パスワードの設定 .
構文 :
[ no ] password <manager | operator > [ user-name ASCII-STR ]
[ no ] password < all >
2-5
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
ロ ーカル パス ワ ー ド セキ ュ リ テ ィ の設定
• パスワー ド の入力文
•
字列はア ス タ リ ス ク
で表示 さ れます。
パスワー ド は2回入力
する必要があ り ます。
図 2-2. 管理者パスワードおよびオペレータ パスワードの設定例
パスワードを削除するには。 パ ス ワー ド を削除す る と 、 パ ス ワー ド に よ る
セキ ュ リ テ ィ がな く な り ます。 こ の コ マ ン ド を実行す る と 、 一方ま たは両
方のパ ス ワー ド を削除す る こ と を確認す る プ ロ ン プ ト が表示 さ れ、 その後
指定 さ れたパ ス ワー ド が消去 さ れ ます。 ( こ の コ マ ン ド は、 削除 し たパ ス
ワー ド に付随す る ユーザ名 も 消去 し ます。 ) た と えば、 オペレー タ パ ス
ワー ド ( お よ び設定 さ れてい る 場合はユーザ名 ) を ス イ ッ チか ら 削除す る
には、 次の手順を実行 し ます。
[Y] キー (Yes) を押 し 、 [Enter] キーを押 し ます。
図 2-3. パスワードと付随するユーザ名の削除
図 2-3 に示 さ れ る コ マ ン ド を実行す る と 、 オペレー タ レベルのパス ワ ー ド
が削除 さ れ ます。 (つま り 、 ス イ ッ チ コ ン ソ ールにア ク セ ス で き る 全員が、
ユーザ名 と パ ス ワー ド を入力す る こ と な く オペレー タ レベルでア ク セ ス で
き る こ と にな り ます。)
Web: パ ス ワ ー ド と ユーザ名の設定
Web ブ ラ ウ ザ イ ン タ フ ェ ース で、 パ ス ワー ド と ( オプシ ョ ンの ) ユーザ名
を入力で き ます。
Web ブラウザ インタフェースでユーザ名とパスワードを設定 ( または削除
) するには。
1.
[Security] タ ブ を ク リ ッ ク し ます。
[Device Passwords] ボ タ ン を ク リ ッ ク し ます。
2.
2-6
以下のいずれか を実施 し ます。
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
3.
・
ユーザ名 と パ ス ワ ー ド を設定す る には、 該当す る フ ィ ール ド に任
意のユーザ名お よ びパ ス ワー ド を入力 し ます。
・
ユーザ名 と パ ス ワ ー ド を削除す る には、 フ ィ ール ド を空白に し ま
す。
[Apply Changes] ボ タ ン を ク リ ッ ク し て、 ユーザ名 と パ ス ワー ド を適用
し ます。
ス イ ッ チに関す る Web ベース のヘルプにア ク セ スす る には、 Web ブ ラ ウ
ザ画面で [?] ボ タ ン を ク リ ッ ク し ます。
前面パネルのセキ ュ リ テ ィ
前面パネルのセキ ュ リ テ ィ 機能に よ り 、 ス イ ッ チ前面にあ る 2 つのボ タ ン
の機能を独立 し て有効ま たは無効に設定で き ます。 こ れ ら 2 つのボ タ ン
は、パス ワ ー ド 消去 ([Clear] ボ タ ン ) ま たは ス イ ッ チを工場出荷時の設定に
戻す場合 ([Reset] ボ タ ン と [Clear] ボ タ ン を同時に押す ) に使用 し ます。 ス
イ ッ チのセキ ュ リ テ ィ を さ ら に強化す る 必要があれば、 パ ス ワー ド リ カバ
リ 機能を無効にす る こ と も で き ます。
前面パネルのセキ ュ リ テ ィ 機能は、 悪意のあ る ユーザが次の よ う な操作を
で き ない よ う にす る も のです。
■
[Clear] ボ タ ン を押 し てパ ス ワー ド を リ セ ッ ト す る 。
■
[Reset] ボ タ ン と [Clear] ボ タ ン を同時に押 し て工場出荷時の設定に戻
す。
■
ス イ ッ チに物理的にア ク セ ス で き る者が、 管理者レベルで ス イ ッ チに
ア ク セ スす る 。
セキ ュ リ テ ィ が重要 と な る ケース
ユーザの利用環境に よ っ ては、 よ り 高度な情報セキ ュ リ テ ィ が求め ら れ る
場合があ り ます。 ま た、 1996 年に制定 さ れた米国の 「医療保険の携行性 と
責任に関す る 法律 (HIPAA)」 では、 機密保持の対象 と な る医療記録を処理
し て伝送す る シ ス テ ムに対 し てセ キ ュ リ テ ィ 保護を講 じ る 措置を義務付け
てい ます。
こ れ ま では、 ス イ ッ チは一般に施錠 さ れた安全な場所に設置 さ れ る ため、
シ ス テ ムお よ びネ ッ ト ワ ー ク の管理者のみがネ ッ ト ワー ク ス イ ッ チにア ク
セ ス で き る も の と 考え ら れてい ま し た。 し か し 、 こ れが ま っ た く 通用 し な
いケース があ り ます。 ま た、 た と え ス イ ッ チにア ク セ ス さ れた と し て も
デー タ の安全性が保たれ る 環境が必要にな る 場合 も あ り ます。
2-7
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
ス イ ッ チの前面パネルを セキ ュ リ ティ 保護し ないと 、 前面パネルの [Clear]
ボタ ン が押さ れてユーザ定義のパス ワ ード が削除さ れてし ま う 恐れがあ り
ま す。 こ のボタ ン は、 万一設定し たパス ワ ード を 忘れても 、 パス ワ ード を
リ セッ ト し てス イ ッ チを 制御でき る よ う にする ために用意さ れていま す。
し かし 、 不特定の人間が出入り でき る 場所にス イ ッ チが設置さ れている と 、
ス イ ッ チのセキ ュ リ ティ が不完全になっ てし ま いま す。 [Clear] ボタ ン の操
作によ っ て、 パス ワ ード が容易に消去さ れてし ま う 可能性があ り ま す。 ス
イ ッ チに物理的にアク セス でき れば、 パス ワ ード を 消去し て ( 新たなパス
ワ ード 設定すら 可能 ) ス イ ッ チを 勝手に制御する こ と も 可能になり ま す。
パ ス ワー ド が勝手に削除 さ れない よ う 、 ス イ ッ チの前面にあ る [Clear] ボ タ
ン と [Reset] ボ タ ンの機能を無効にす る こ と に よ り 、 ス イ ッ チのセキ ュ リ
テ ィ を一層高め る こ と がで き ます。
前面パネル ボ タ ン の機能
ス イ ッ チの前面パネルには、 [Reset] ボ タ ン と [Clear] ボ タ ンがあ り ます。
Power
Fault
Locator
RPS
Act
Fan
FDx
Test
Spd
Console
[Reset] ボ タ ン
[Clear] ボ タ ン
図 2-4. 前面パネル ボタンの配置例
[Clear] ボ タ ン
[Clear] ボ タ ン のみを 1 秒間押す と 、 ス イ ッ チに設定 さ れてい る パ ス ワー ド
が リ セ ッ ト さ れ ます。
Reset
Clear
図 2-5. [Clear] ボタンを 1 秒間押してパスワードをリセット
2-8
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
[Reset] ボ タ ン
[Reset] ボ タ ンのみを 1 秒間押す と 、 ス イ ッ チが リ ブー ト し ます。
Reset
Clear
図 2-6. [Reset] ボタンを 1 秒間押してスイッチをリブート
工場出荷時の設定への復元
[Reset] ボ タ ン と [Clear] ボ タ ン を 同時に押す こ と に よ り (Reset+Clear)、 ス
イ ッ チを工場出荷時の設定に復元で き ます。 こ れは、 次の よ う に行い ま
す。
1.
[Reset] ボ タ ン を押 し た ま ま に し ます。
Reset
2.
Clear
[Reset] ボ タ ン を押 し なが ら 、 [Clear] ボ タ ン を押 し た ま ま に し ます。
Rese
Reset
Clear
Clea
2-9
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
3.
[Reset] ボ タ ン を放し、 Self-Test LED が点滅し始める まで約 1 秒待ちます。
Reset
Clear
Self
Test
4.
Self-Test LED が点滅 し 始めた ら 、 [Clear] ボ タ ン を放 し ます。
Reset
Clear
Self
Test
こ の手順に よ り 、 ス イ ッ チの設定が工場出荷時の初期状態に復元 し ます。
前面パネルのセキ ュ リ テ ィ 設定
CLI のグ ロ ーバル コ ン フ ィ ギ ュ レーシ ョ ン コ ン テ キ ス ト レベルか ら frontpanel-security コ マ ン ド を用いて、 以下を実行で き ます。
2-10
・
[Clear] ボ タ ン のパ ス ワー ド 消去機能を無効ま たは再有効にで き ま
す。 [Clear] ボ タ ン を無効にす る と 、 [Clear] ボ タ ン を押 し て も パ ス
ワー ド は ス イ ッ チか ら 削除 さ れ ません。 ( こ の操作は [Clear] ボ タ
ンのみを押す場合に効果があ り ますが、 2- 9 ページの 「工場出荷
時の設定への復元」 で説明 し た Reset+Clear の操作には影響 し ませ
ん。 )
・
任意の ロ ーカルのユーザ名 と パ ス ワー ド を消去 し た後に ス イ ッ チ
が リ ブー ト す る よ う に、 [Clear] ボ タ ン を設定で き ます。 こ う す る
こ と で、 ス イ ッ チに設定 さ れていたユーザ名 と パ ス ワー ド がすべ
て消去 さ れたか ど う か を ( イ ベン ト ロ グ メ ッ セージに加え て ) 直
ちに視認す る こ と がで き ます。
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
・
Reset+Clear を同時に押 し た場合の機能 (2- 9 ページ ) を、 ス イ ッ チ
が リ ブー ト し て も 工場出荷時の設定を復元 し ない よ う に変更で き
ます。 ( ス イ ッ チを リ ブー ト す る だけの [Reset] ボ タ ン単独の操作
には影響 し ません。 )
・
パ ス ワー ド リ カバ リ 機能を無効にす る か、 ま たは再有効に し ます。
Syntax: show front-panel-security
現在の前面パネル セキ ュ リ テ ィ 設定を表示 し ます。
Clear Password: ス イ ッ チ前面パネルにあ る [Clear] ボ タ ンの
状態を示 し ます。 Enabled は、 [Clear] ボ タ ン を押す と ス イ ッ
チに設定 さ れてい る ユーザ名 と パ ス ワー ド が消去 さ れ る こ と
を意味 し ます ( つま り ロ ーカル パ ス ワー ド に よ る ス イ ッ チの
保護がな く な り ます )。 Disabled は、 [Clear] ボ タ ン を押 し て
も 、 ス イ ッ チに設定 さ れてい る ユーザ名 と パ ス ワー ド が削除
さ れない こ と を意味 し ます。 ( デフ ォ ル ト : Enabled)
Reset-on-clear: reset-on-clear オプシ ョ ンの状態を示 し ます
(Enabled ま たは Disabled)。 reset-on-clear が無効で Clear
Password が有効な場合は、 [Clear] ボ タ ン を押す と ロ ーカル
のユーザ名 と パス ワ ー ド が ス イ ッ チか ら 消去 さ れます。
reset-on-clear が有効な場合は、 [Clear] ボ タ ン を押す と ス
イ ッ チか ら ロ ーカルのユーザ名 と パ ス ワ ー ド が消去 さ れて ス
イ ッ チが リ ブー ト し ます。 (reset-on-clear を有効にす る と
clear-password が自動的に有効にな り ます。 ) ( デフ ォ ル ト :
Disabled) :
Factory Reset: ス イ ッ チ前面パネルにあ る [Reset] ボ タ ンの
状態を示 し ます。 Enabled は、 [Reset] ボ タ ン を押す と ス イ ッ
チが リ ブー ト す る こ と 、 お よ び [Reset] ボ タ ン と [Clear] ボ タ
ン を同時に押す と (2- 9 ページ参照 ) ス イ ッ チを工場出荷時の
設定に リ セ ッ ト で き る こ と を意味 し ます。 ( デフ ォ ル ト :
Enabled)
Password Recovery: パ ス ワー ド を忘れて し ま っ て も リ カバ
リ で き る よ う に ス イ ッ チが設定 さ れてい る か ど う かを示 し ま
す。 (2- 17 ページの 「パ ス ワー ド リ カバ リ プ ロ セ ス 」 を参
照。 )( デフ ォ ル ト : Enabled)
CAUTION: こ のオプシ ョ ン を無効にす る と 、 パ ス ワー ド
リ カバ リ 機能が解除 さ れます。 こ のオプシ ョ ン を無効にす
る のは最終的な手段であ り 、 セキ ュ リ テ ィ 上の緊急性がな
い限 り お勧めで き ません。 パ ス ワ ー ド リ カバ リ 機能が無
効にな っ てい る と き にパ ス ワー ド を忘れて し ま っ た場合
は、 [Reset] ボ タ ンお よ び [Clear] ボ タ ン を操作 し て (2- 9
ページ を参照) ス イ ッ チを工場出荷時の設定に戻 し てか
ら 、 新 し いパ ス ワー ド を設定す る 必要があ り ます。
2-11
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
た と えば、 ス イ ッ チの前面パネルセキ ュ リ テ ィ 機能がデフ ォ ル ト に設定 さ
れてい る 場合、 show front-panel-security コ マ ン ド を実行す る と 次の出力
が表示 さ れます。
図 2-7. デフォルトの前面パネル セキュリティ設定
ス イ ッ チ前面パネルの [Clear] ボ タ ンのパ ス ワー ド 消去機能
の無効化
Syntax: no front-panel-security password-clear
工場出荷時の設定では、 ス イ ッ チ前面パネルにあ る [Clear]
ボ タ ン を押す と 、 ス イ ッ チに設定 さ れてい る ロ ーカルのユー
ザ名 と パ ス ワー ド がすべて消去 さ れます。 こ の コ マ ン ド を実
行す る と [Clear] ボ タ ンのパ ス ワー ド 消去機能が無効にな り 、
[Clear] ボ タ ン を押 し て も ロ ーカルのユーザ名 と パス ワ ー ド は
その ま ま保持 さ れます。 ( デフ ォ ル ト : Enabled)
注記 : [Clear] ボ タ ン を無効に設定す る と 、 こ のボ タ ン を
押 し て も パ ス ワー ド は消去 さ れませんが、 2- 9 ページの
「工場出荷時の設定への復元」 に記載の よ う に、 [Reset]
ボ タ ン と 同時に押 し て (Reset + Clear) ス イ ッ チを工場出
荷時の設定に戻す こ と は可能です。
こ の コ マ ン ド を実行す る と 、 CLI に CAUTION ( 注意 ) メ ッ セージが表示 さ
れ ます。 [Clear] ボ タ ン を無効に し た ま ま にす る 場合は [Y] キーを、 そ う で
ない場合は [N] キーを押 し ます。 た と えば以下の よ う にな り ます。
こ の コ マ ン ド に よ っ て ス イ ッ チ前面パネルの
[Clear] ボ タ ンが無効にな っ た こ と を示 し ます。
[Clear Password] が無効に設定 さ れ て い る 場
合、 Show コ マ ン ド を 実行 し て も [Reset-onclear] ス テ ー タ スは操作不能のため表示 さ れ
ません。 [Clear Password] を再有効にする と き
に必ず再設定する必要があ り ます。
図 2-8. [Clear] ボタンを無効にした場合の新しい設定の表示例
2-12
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
ス イ ッ チ前面パネルの [Clear] ボ タ ン を再有効に し て
[Reset-On-Clear] 機能を設定ま たは変更す る
Syntax: [no] front-panel-security password-clear reset-on-clear
こ の コ マ ン ド は、 次の両方を実行 し ます。
・ ス イ ッ チ前面パネルにあ る [Clear] ボ タ ンのパ ス ワー ド 消
去機能を再有効に し ます。
・ [Clear] ボ タ ン を押 し た と き に ス イ ッ チを リ ブー ト す る か
ど う かを指定 し ます。
パ ス ワー ド 消去機能を再有効にす る には、 reset-on-clear オ
プシ ョ ン を有効ま たは無効のいずれにす る のかを指定す る 必
要があ り ます。
デフ ォ ル ト :
- password-clear: Enabled
- reset-on-clear: Disabled
し たがっ て、 次の よ う にな り ます。
・ password-clear を有効に、 なおかつ reset-on-clear を無効
にす る には、 次の構文を使用 し ます。
no front-panel-security password-clear reset-on-clear
・ password-clear を有効に、 なおかつ reset-on-clear も 有効
にす る には、 次の構文を使用 し ます。
front-panel-security password-clear reset-on-clear
( いずれの コ マ ン ド も 、 password-clear は有効にな り ます。 )
注記 : [password-clear] と [password-recovery] の両方の
オプシ ョ ン を無効に し て も 、 リ ブー ト 時に [Reset] ボ タ ン
と [Clear] ボ タ ン を同時に押す こ と に よ り 、 パ ス ワー ド を
忘れて し ま っ た場合の リ カバ リ が可能です (2- 9 ページ を
参照 )。 [Clear] ボ タ ン を無効に設定す る と 、 こ のボ タ ン を
押 し て も パ ス ワ ー ド は消去 さ れませんが、 [Reset] ボ タ ン
と 同時に押 し て (Reset + Clear) ス イ ッ チを工場出荷時の設
定に戻す こ と は可能です。 それに よ っ て、 ス イ ッ チにア ク
セ ス し て新 し いパ ス ワ ー ド を設定で き ます。
た と えば、 [password-clear] が無効の状態で ス イ ッ チを工場出荷時の設定
に戻す と し ます ([reset-on-clear] が無効の ま ま [password-clear] を有効にす
る )。
2-13
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
[password-clear] が無効にな っ てい る こ と を示 し ます。
コ マ ン ド の冒頭に "no" を付けて、
[reset-on-clear] が無効のま ま
[password-clear] を有効に し ます。
[password-clear] が有効で [reset-onclear] が無効であ る状態を示 し ます。
図 2-9.
[Clear] ボタンのデフォルト機能を再有効にする例
Reset+Clear 機能の変更
デフ ォ ル ト の設定では、 [Reset] ボ タ ン と [Clear] ボ タ ン を同時に押す と
(2- 9 ページの 「工場出荷時の設定への復元」 を参照 )、 ス イ ッ チの現在の
startup-config フ ァ イ ルが工場出荷時の startup-config フ ァ イ ルに戻 さ れ、
続いて ス イ ッ チが リ ブー ト し て ロ ーカルのパ ス ワー ド が削除 さ れ ます。 つ
ま り 、 ス イ ッ チに物理的にア ク セ ス で き る全員が、 2 つのボ タ ン を同時に
押 し て ス イ ッ チの現行設定を工場出荷時設定に入れ替えて、 ユーザ名 と パ
ス ワー ド を入力せずに ス イ ッ チを操作で き る よ う に変更で き て し ま う こ と
にな り ます。 factory-reset コ マ ン ド を用い る こ と に よ り 、 こ う し た目的で
[Reset] ボ タ ン と [Clear] ボ タ ン を同時に使用で き ない よ う に設定で き ます。
Syntax: [no] front-panel-security factory-reset
[Reset] ボ タ ン と [Clear] ボ タ ンの同時使用 (2- 9 ページの 「工場
出荷時の設定への復元」 を参照 ) に関連す る 次の よ う な機能
を、 無効ま たは再有効に し ます。
・ 現在の startup-config フ ァ イ ルを工場出荷時の startup-config
フ ァ イ ル と 入れ替え る 。
・ ス イ ッ チに設定 さ れてい る ロ ーカルのユーザ名 と パ ス ワー
ド をすべて消去す る 。
( デフォルト : 両機能 と も に有効)
注記 : [Reset] ボ タ ン と [Clear] ボ タ ン を同時に押す と 、 "no"
形式の コ マ ン ド を使用 し て上記 2 つの機能を無効に し てい
る か ど う かにかかわ ら ず、 必ずス イ ッ チが リ ブー ト し ます。
ま た、 [factory-reset] を無効にす る場合に [passwordrecovery] オプシ ョ ン を無効にす る こ と はで き ず、 その逆 も
で き ません。
2-14
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
[factory-reset] 機能を無効にする コ マ ン ド を実行する と 、 こ の注意事項が表示 さ れ
ます。 コ マ ン ド を実行する場合は [Y] キーを、 中止する場合は [N] キーを押 し ます。
コ マ ン ド を実行 し て
[factory reset] オ プ シ ョ ン を
無効に し ます。
[Factory Reset] が無効に
な っ た前面パネル セキ ュ リ
テ ィ 設定が表示 さ れます。
図 2-10.
Factory Reset オプションを無効にする例
パ ス ワ ー ド リ カバ リ
パ ス ワー ド リ カバ リ 機能はデフ ォ ル ト では有効に設定 さ れてい ます。 こ れ
に よ り 、 シ ス テ ム管理者が ロ ーカルの管理者ユーザ名 ( 設定 さ れてい る 場
合 ) ま たはパ ス ワー ド を忘れた場合で も 、 ( ス イ ッ チを工場出荷時の設定に
リ セ ッ ト す る こ と な く ) ス イ ッ チの管理機能に再びア ク セ ス で き る よ う に
な り ます。 パ ス ワー ド リ カバ リ 機能を用い る には、 以下の措置が必要で
す。
■
ユーザ名 / パ ス ワー ド を忘れて し ま っ た場合に リ カバ リ を試み る 前に、
ス イ ッ チで [password-recovery] を有効 ( デフ ォ ル ト ) に し ます。
■
ProCurve カ ス タ マ ・ ケ ア ・ セ ン タ にお問い合わせいただ き 、 ワ ン タ イ
ム パス ワ ー ド を取得 し ます。
パ ス ワー ド リ カバ リ 機能の無効化ま たは再有効化
パ ス ワー ド リ カバ リ プ ロ セ ス を無効にす る と 、 管理者のユーザ名 ( 設定 さ
れてい る 場合 ) と パ ス ワー ド を忘れて し ま っ た場合の対処法は、 ス イ ッ チ
を工場出荷時の設定に リ セ ッ ト する 方法のみ と な り 、 こ の場合デフ ォ ル ト
以外の設定はすべて削除 さ れます。
CAUTION
[password-recovery] を無効にす る には [factory-reset] が有効にな っ てい
る 必要があ り ます。 [password-recovery] を無効にす る と 、 ス イ ッ チの管理
者ユーザ名 ( 設定 さ れてい る場合 ) と パ ス ワー ド を忘れて し ま っ た場合の
リ カバ リ 機能が使用で き な く な り ます。 こ の場合、 ス イ ッ チを工場出荷時
の設定に リ セ ッ ト す る 以外に、 管理者ユーザ名 / パ ス ワー ド を忘れた と き
の対処方法はな く な り ます。 こ の と き 、 ネ ッ ト ワー ク 運用が中断 さ れ、 ス
イ ッ チを再設定す る 間に未認可ア ク セ ス な ど の問題を防ぐ ために ス イ ッ チ
を一時的にネ ッ ト ワー ク か ら 切 り 離 さ なければな ら ない こ と があ り ますま
た、 [factory-reset] が有効にな っ てい る 場合は、 未認可のユーザが [Reset]
2-15
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
ボ タ ン と [Clear] ボ タ ン を同時に押 し て ス イ ッ チを工場出荷時設定に リ セ ッ
ト し 、 ス イ ッ チへの管理ア ク セ ス が行え る よ う にな っ て し ま う 恐れがあ り
ます。
Syntax: [no] front-panel-security password-recovery
パ ス ワー ド を忘れた場合の リ カバ リ 機能を有効ま たは ("no" 形
式の コ マ ン ド で ) 無効に し ます。
こ の機能が有効にな っ てい る場合、 ス イ ッ チは下記のパ ス
ワー ド リ カバ リ プ ロ セ ス を通 じ て管理機能へのア ク セ ス を許
可 し ます。 こ れに よ り 、 管理者のユーザ名 ( 設定 さ れてい る
場合 ) と パ ス ワー ド を忘れた場合で も 、 ス イ ッ チを再び管理
す る こ と がで き ます。 こ の機能が無効にな っ てい る 場合は、
パ ス ワー ド リ カバ リ プ ロ セ ス が無効 と な り 、 ス イ ッ チを再び
管理で き る よ う にする 方法は、 [Reset] ボ タ ン と [Clear] ボ タ ン
を同時に押 し て (2- 9 ページ参照 ) ス イ ッ チを工場出荷時の設
定に戻す方法のみ と な り ます。
注記 : [password-recovery] を無効にす る には、 次の条件
があ り ます。
-ス イ ッ チの前面パネルに物理的にア ク セスで き る こ と 。
-[factory-reset] パ ラ メ ー タ を有効にする こ と ( デ フ ォル
ト )。
( デフ ォ ル ト : Enabled)
パスワード リカバリを無効にする手順。
1.
CLI を グ ロ ーバル イ ン タ フ ェース コ ン テ キ ス ト レベルに設定 し ます。
2.
show front-panel-security コ マ ン ド を実行 し て、 [factory-reset] パ ラ
メ ー タ が有効か ど う か を確認 し ます。 [factory-reset] パ ラ メ ー タ が無効
にな っ てい る 場合は、 front-panel-security factory-reset コ マ ン ド を用
いて有効に し ます。
3.
ス イ ッ チ前面パネルの [Clear] ボ タ ン を押 し 、 放 し ます。
4.
[Clear] ボ タ ン を押 し てか ら 60 秒以内に、 次の コ マ ン ド を入力 し ます。
no front-panel-security password-recovery
5.
ٛ CAUTION メ ッ セージが表示 さ れた後、 以下のいずれか を行い ます。
・
コ マ ン ド を実行す る 場合は、 [Y] キー (Yes を意味 ) を押 し ます。
・
コ マ ン ド を中止す る 場合は、 [N] キー (No を意味 ) を押 し ます。
図 2-11 は、 [password-recovery] パ ラ メ ー タ を無効にす る 例を示 し てい ま
す。
2-16
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
図 2-11. パス ワ ー ド リ カバ リ を無効に す る手順の例
パ ス ワ ー ド リ カバ リ プ ロ セ ス
ス イ ッ チの管理者ユーザ名 / パ ス ワー ド を忘れて し ま っ て も 、 [passwordrecovery] が有効であれば、 パ ス ワー ド リ カバ リ プ ロ セ ス と ProCurve か
ら 取得す る代用パ ス ワー ド に よ っ て、 再びス イ ッ チの管理機能にア ク セ ス
で き ます。
注記
[password-recovery] を無効に し た場合、 ス イ ッ チの管理者ユーザ名 / パ
ス ワー ド ペアの リ カバ リ 機能は使用で き な く な り 、 管理者ユーザ名 / パス
ワー ド の リ カバ リ 方法は、 [Reset] ボ タ ン と [Clear] ボ タ ン を同時に押す
(2- 9 ページの 「工場出荷時の設定への復元」 を参照 ) 方法のみ と な り ます。
こ の と き 、 ネ ッ ト ワー ク 運用が中断 さ れ、 ス イ ッ チを再設定す る 間に未認
可ア ク セ ス な ど の問題を防ぐ ために ス イ ッ チを一時的にネ ッ ト ワ ー ク か ら
切 り 離 さ なければな ら ない こ と があ り ます
[password-recovery] オプシ ョ ン を用いてパ ス ワー ド を リ カバ リ す る には :
1.
ス イ ッ チのベース MAC ア ド レ ス を メ モ し ます。 こ の MAC ア ド レ ス
は、 ス イ ッ チ前面右上角に貼付 さ れた ラ ベルに記載 さ れてい ます。
2.
以降の手順については、 ProCurve カ ス タ マ ・ ケ ア ・ セ ン タ ま でお問い
合わせ く だ さ い。 ProCurve カ ス タ マ ・ ケ ア ・ セ ン タ は、 ス イ ッ チの
MAC ア ド レ ス に基づいて、 1 回のみ使用可能な代用パ ス ワー ド を発行
し ます。 こ のパ ス ワー ド を使用 し て、 ス イ ッ チの管理機能にア ク セ ス
す る こ と がで き ます。 ス イ ッ チにア ク セ ス し た段階で、 新 し いパ ス
ワー ド を設定で き ます。
2-17
ユーザ名お よ びパ ス ワ ー ド セキ ュ リ テ ィ の設定
前面パネルのセキ ュ リ テ ィ
注記
ProCurve カ ス タ マ ・ ケ ア ・ セ ン タ が発行す る 代用パ ス ワー ド は、 ロ グ イ ン
1 回のみ有効です。
再びそのパ ス ワー ド を紛失 し た場合は、 同 じ ワ ン タ イ ム パス ワ ー ド は使用
で き ません。 パ ス ワー ド のアルゴ リ ズ ムは、 ス イ ッ チの MAC ア ド レ ス に
基づいて ラ ン ダ ム化 さ れ る ため、 ProCurve カ ス タ マ ・ ケ ア ・ セ ン タ が発行
す る ワ ン タ イ ム パス ワ ー ド を使用 し た直後に、 パ ス ワー ド が変わ り ます。
2-18
3
Web 認証お よ び MAC 認証
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-2
ク ラ イ ア ン ト オプシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-4
Web 認証お よ び MAC 認証の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-5
オーセ ン テ ィ ケー タ オペレーシ ョ ン . . . . . . . . . . . . . . . . . . . . 3-5
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-9
動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-10
Web/MAC 認証の基本的な設定手順 . . . . . . . . . . . . . . . . . . . . . . . . 3-12
Web/MAC 認証を設定す る前に以下の手順を実行す る . . . . . . . . 3-12
RADIUS サーバでの MAC 認証サポー ト 設定に関す る 追加情報 . . 3-14
RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定 . . . . . . . . . . . . . 3-15
Web 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-17
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-17
ス イ ッ チでの Web 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18
ス イ ッ チの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22
ス イ ッ チでの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-23
Web 認証の ス テー タ ス と 設定の表示 . . . . . . . . . . . . . . . . . . . . . . . . 3-26
MAC 認証の ス テー タ ス と 設定の表示 . . . . . . . . . . . . . . . . . . . . . . . 3-28
ク ラ イ ア ン ト ス テー タ ス の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-30
3-1
Web 認証お よ び MAC 認証
概要
概要
機能
デフォルト
メニュー
CLI
Web
Web 認証の設定
n/a
―
3- 17
―
MAC 認証の設定
n/a
―
3- 22
―
Web 認証のステー タ ス と 設定の表示
n/a
―
3- 26
―
MAC 認証のス テー タ ス と 設定の表示
n/a
―
3- 28
―
Web 認証 と MAC 認証は、 プ ラ イ ベー ト ネ ッ ト ワー ク と ス イ ッ チ自身を無
許可のア ク セ ス か ら 保護する ためのポー ト ベース セキ ュ リ テ ィ を実現す る
機能で、 ネ ッ ト ワー ク の 「エ ッ ジ」 で使用 さ れます。 いずれの方式 も 特別
なサプ リ カ ン ト ソ フ ト ウ ェ ア を ク ラ イ ア ン ト で実行す る 必要がないため、
サプ リ カ ン ト ソ フ ト ウ ェ アの イ ン ス ト ールが望ま し く ない レ ガシー シ ス
テ ムや一時ア ク セ ス環境に適 し てい ます。 両方式 と も 、 認証に RADIUS
サーバを使用 し ます。 こ れに よ り 、 1 台のサーバのマ ス タ ー デー タ ベース
でア ク セ ス を制御で き る ため、 ア ク セ ス セキ ュ リ テ ィ 管理が容易にな り ま
す。 ( プ ラ イ マ リ サーバに障害が発生 し た場合のバ ッ ク ア ッ プ と し て、
RADIUS サーバを最大 3 台ま で用い る こ と がで き ます。 ) ま た、 ど の ス イ ッ
チ ま たは ス イ ッ チ ポー ト が LAN への現在のア ク セ ス ポ イ ン ト にな っ てい
て も 、 同一の証明情報を認証に用い る こ と がで き ます。
Web 認証 (Web-Auth)。こ の方式では、 ネ ッ ト ワー ク へア ク セ スす る ユー
ザの認証に Web ページ ロ グ イ ン を使用 し ます。 ユーザが ス イ ッ チに接続
し て Web ブ ラ ウ ザを開 く と 、 ス イ ッ チは自動的に ロ グ イ ン ページ を表示
さ せます。 こ こ でユーザがユーザ名 と パス ワ ー ド を入力す る と 、 ス イ ッ チ
はそれを RADIUS サーバに転送 し て認証を行い ます。 認証が完了す る と 、
ス イ ッ チはセ キ ュ ア ネ ッ ト ワ ー ク へのア ク セ ス を許可 し ます。 Web ブ ラ ウ
ザ以外に、 ク ラ イ ア ン ト で必要 と な る 特別なサプ リ カ ン ト ソ フ ト ウ ェ アは
あ り ません。
注記
ク ラ イ ア ン ト Web ブ ラ ウ ザでネ ッ ト ワー ク へのア ク セ ス にプ ロ キ シ サー
バを使用す る こ と はで き ません。
MAC 認証 (MAC-Auth)。 こ の方式では、 ネ ッ ト ワー ク へア ク セ スす る 機
器を認証 し て、 セキ ュ ア ネ ッ ト ワー ク へのア ク セ ス を許可 し ます。 機器が
ダ イ レ ク ト リ ン ク かネ ッ ト ワー ク 経由で ス イ ッ チに接続す る と 、 ス イ ッ チ
は機器の MAC ア ド レ ス を RADIUS サーバに転送 し て認証を行い ます。
3-2
Web 認証お よ び MAC 認証
概要
RADIUS サーバは、 機器の MAC ア ド レ ス を ユーザ名お よ びパ ス ワー ド と
し て使用 し 、 ユーザに対する イ ン タ ラ ク テ ィ ブな ロ グオ ン と 同 じ 方法で
ネ ッ ト ワー ク へのア ク セ ス を許可ま たは拒否 し ます。 ( こ のプ ロ セ ス では、
ク ラ イ ア ン ト の機器設定 も ロ グオ ン セ ッ シ ョ ン も 使用 し ません。 )MAC 認
証は、 電話機、 プ リ ン タ 、 無線ア ク セ ス ポ イ ン ト な ど、 イ ン タ ラ ク テ ィ ブ
な ロ グオ ン がで き ない ク ラ イ ア ン ト に適 し てい ます。 ま た、 大抵の
RADIUS サーバでは、 ク ラ イ ア ン ト がネ ッ ト ワー ク への接続に用い る送信
元の ス イ ッ チお よ びポー ト に基づいた認証が行え る ため、 MAC 認証を用
いて個々の機器を特定の ス イ ッ チやポー ト に固定す る こ と がで き ます。
注記
1 つのポー ト に設定で き る 認証方式は 1 種類のみです。 つま り 、 あ る 1 つ
のポー ト で Web 認証、 MAC 認証、 802.1x、 MAC ロ ッ ク ダ ウ ン、 MAC
ロ ッ ク ア ウ ト 、 お よ びポー ト セキ ュ リ テ ィ を混在 さ せ る こ と はで き ませ
ん。 ま た、 こ れ ら の認証方式のいずれか 1 つが設定 さ れたポー ト では、
LACP を無効にす る 必要があ り ます。
ク ラ イ ア ン ト オプシ ョ ン
Web 認証 と MAC 認証はポー ト ベース の ソ リ ュ ーシ ョ ン であ り 、 ポー ト は
一度に 1 つの タ グ無 VLAN に し か属す る こ と がで き ません。 ただ し 、 すべ
ての ク ラ イ ア ン ト を同一の VLAN 上で運用可能な場合、 ス イ ッ チはポー ト
あ た り 最大 32 台の同時 ク ラ イ ア ン ト をサポー ト す る こ と がで き ます。 ( ス
イ ッ チが複数の ク ラ イ ア ン ト セ ッ シ ョ ン を別々な VLAN で同時にサポー ト
で き る よ う にす る場合は、 ク ラ イ ア ン ト が別々の ス イ ッ チ ポー ト を使用す
る よ う にシ ス テ ム を設計 し て く だ さ い。 )
デフ ォ ル ト の構成では、 ス イ ッ チは RADIUS サーバで未認可の ク ラ イ ア ン
ト へのア ク セ ス を ブ ロ ッ ク し ます。 ただ し 、 未認可の ク ラ イ ア ン ト に対 し
てセ ッ シ ョ ン中に特定の 「未認可」 VLAN を割 り 当て る こ と で、 そ う し た
ク ラ イ ア ン ト に限定サービ ス を提供す る よ う 個々のポー ト を構成す る こ と
が可能です。 未認可 VLAN の割 り 当ては、 未認可の ク ラ イ ア ン ト に対 し て
許可す る サービ スやア ク セ ス に応 じ て、 全ポー ト で同一にす る こ と も 、
別々にす る こ と も で き ます。
ポー ト に Web 認証お よ び MAC 認証を設定す る と 、 オプシ ョ ン の未認可
VID へのア ク セ ス が ス イ ッ チに設定 さ れ ます。
3-3
Web 認証お よ び MAC 認証
概要
主要な機能
Web 認証 と MAC 認証には、 次の よ う な機能があ り ます。
3-4
■
Web 認証ま たは MAC 認証が設定 さ れてい る ポー ト では、 ス イ ッ チ
は RADIUS サーバ と CHAP プ ロ ト コ ルを用い る ポー ト ア ク セ ス
オーセ ン テ ィ ケー タ と し て機能 し ます。 認証が発生す る ま では、
ス イ ッ チ単体で イ ンバ ウ ン ド ト ラ フ ィ ッ ク を処理 し ます。 認証前
の段階では一部の ト ラ フ ィ ッ ク 、 例えばブ ロ ー ド キ ャ ス ト や宛先
不明パケ ッ ト は ス イ ッ チか ら 未認証の ク ラ イ ア ン ト へ送 ら れます。
■
Web 認証が設定 さ れたポー ト を通 じ て ス イ ッ チにア ク セ スす る ブ
ラ ウ ザでは、 プ ロ キ シ サーバを使用で き ません。
■
「認可」 お よ び 「未認可」 VLAN の メ ンバシ ッ プ を一時的にポー ト
ご と に割 り 当てて、 認証済みの ク ラ イ ア ン ト と 未認証の ク ラ イ ア
ン ト に別々のサービ スやア ク セ ス を提供す る よ う に、 ス イ ッ チを
設定す る こ と がで き ます。
■
Web 認証を用いた場合、ユーザ名お よ びパ ス ワー ド 入力用 Web ペー
ジ と 許可ス テー タ ス画面が表示 さ れます。
■
RADIUS サーバを用い る こ と で、 ポー ト を一時的に 1 つの ス タ
テ ィ ッ ク VLAN に割 り 当てて、 認証済 ク ラ イ ア ン ト をサポー ト す
る こ と がで き ます。 RADIUS サーバが ク ラ イ ア ン ト を認証す る際、
ク ラ イ ア ン ト の接続中におけ る ス イ ッ チ ポー ト メ ンバシ ッ プは次
の階層に従っ て決定 さ れ ます。
1.
RADIUS が割 り 当て る VLAN
2.
対象ポー ト に対す る Web 認証ま たは MAC 認証の設定時に指定 さ
れた認可 VLAN
3.
ポー ト に設定 さ れてい る ス タ テ ィ ッ ク ポー ト ベース タ グ無 VLAN。
RADIUS が割 り 当て る VLAN は、 ど の VLAN の ス イ ッ チ ポー ト メ
ンバシ ッ プ よ り も 優先度が高い。
■
Web/MAC 認証制御の下、 ス イ ッ チ ポー ト 間におけ る 無線 ク ラ イ ア
ン ト の移動が可能にな り ます。 ク ラ イ ア ン ト は、 あ る Web 認証
ポー ト か ら 別の Web 認証ポー ト へ、 ま たはあ る MAC 認証ポー ト
か ら 別の MAC 認証ポー ト へ移動す る こ と がで き ます。 こ の機能に
よ っ て、 無線 ク ラ イ ア ン ト は再認証の必要な く 、 あ る ア ク セ ス ポ
イ ン ト か ら 別のア ク セ ス ポ イ ン ト へ移動で き ます。
■
802.1x の動作 と は異な り 、 ク ラ イ ア ン ト に Web 認証ま たは MAC 認
証用のサプ リ カ ン ト ソ フ ト ウ ェ ア を イ ン ス ト ールす る必要はあ り
ません。 必要 と な る のは Web ブ ラ ウ ザ (Web 認証の場合 ) ま たは
MAC ア ド レ ス (MAC 認証の場合 ) のみです。
■
“Show” コ マ ン ド を用い る と 、セ ッ シ ョ ン ス テー タ スやポー ト ア ク
セ ス設定を表示で き ます。
Web 認証お よ び MAC 認証
Web 認証お よ び MAC 認証の動作
Web 認証お よ び MAC 認証の動作
オーセ ン テ ィ ケー タ オペレーシ ョ ン
ネ ッ ト ワー ク へのア ク セ ス許可を得 る 際、 ク ラ イ ア ン ト は まずス イ ッ チに
認証証明を提示 し ます。 する と ス イ ッ チは、 提示 さ れた証明情報を
RADIUS 認証サーバで検証 し ます。 認証に成功 し た ク ラ イ ア ン ト は、 シ ス
テ ム管理者の定義内容に沿っ てネ ッ ト ワー ク へのア ク セ ス が許可 さ れま
す。 認証に失敗 し た ク ラ イ ア ン ト は、 同 じ く シ ス テ ム管理者の定義内容に
沿っ て、 ネ ッ ト ワー ク へのア ク セ ス が一切拒否 さ れ る か、 ま たはネ ッ ト
ワー ク への限定ア ク セ ス が許可 さ れます。
Web ベース認証
Web 認証が有効にな っ てい る ポー ト に ク ラ イ ア ン ト が接続す る と 、 通信は
ス イ ッ チに リ ダ イ レ ク ト さ れます。 ス イ ッ チか ら 一時 IP ア ド レ ス が割 り
当て ら れ、 ク ラ イ ア ン ト が証明情報を入力す る ための ロ グ イ ン画面が表示
さ れ ます。
図 3-1. ユーザ ログイン画面の例
aaa port-access web-based コ マ ン ド の dhcp-addr お よ び dhcp-lease オプ
シ ョ ン を用いて、 一時 IP ア ド レ ス プールを指定す る こ と がで き ます。 ス
イ ッ チ上で SSL が有効で、 ポー ト で ssl-login が使用で き る 場合、 ク ラ イ ア
ン ト はセキ ュ ア な ロ グ イ ン ページ (https://...) に リ ダ イ レ ク ト さ れます。
ス イ ッ チは、 入力 さ れたユーザ名 と パ ス ワー ド を RADIUS サーバに転送 し
て認証を行い ます。
3-5
Web 認証お よ び MAC 認証
Web 認証お よ び MAC 認証の動作
図 3-2. 認証中の進捗メッセージ
ク ラ イ ア ン ト が認証 さ れ、 ポー ト で許容 さ れ る ク ラ イ ア ン ト の最大数
(client-limit) に達 し ていない場合、 ポー ト は ス タ テ ィ ッ ク タ グ無 VLAN に
割 り 当て ら れてネ ッ ト ワー ク にア ク セ ス し ます。 URL が指定 さ れてい る 場
合、 ク ラ イ ア ン ト は特定の URL に リ ダ イ レ ク ト さ れます (redirect-url)。
図 3-3. 認証完了
割 り 当て ら れ る VLAN は、 次の優先順で決定 さ れます。
1.
RADIUS が割 り 当て る VLAN があ る場合、 ク ラ イ ア ン ト セ ッ シ ョ ン の
継続中、 ポー ト は こ の VLAN に属 し て他の VLAN メ ンバシ ッ プ を一時
的にすべて排除 し ます。
2.
RADIUS が割 り 当て る VLAN がない場合は、 ク ラ イ ア ン ト セ ッ シ ョ ン
の継続中、 ポー ト は認可 VLAN ( 設定 さ れてい る場合 auth-vid) に属 し 、
他の VLAN メ ンバシ ッ プはすべて一時的に排除 し ます。
3.
上記の 1 ま たは 2 に該当せず、 ポー ト が ス タ テ ィ ッ ク に設定 さ れてい
る ポー ト ベース VLAN の タ グ無 メ ンバであ る 場合、 ポー ト は こ の
VLAN に と ど ま り ます。
4.
上記 1、 2、 3 のいずれに も 該当 し ない場合は、 ク ラ イ ア ン ト セ ッ シ ョ
ンは ス タ テ ィ ッ ク に設定 さ れた タ グ無 VLAN のいずれに も ア ク セ ス で
き ず、 ク ラ イ ア ン ト ア ク セ ス はブ ロ ッ ク さ れ ます。
割 り 当て ら れたポー ト VLAN は、 セ ッ シ ョ ン が終了す る ま で存続 し ます。
一定の時間 (reauth-period) が経過 し た後、 ま たはセ ッ シ ョ ン中いつで も 、
ク ラ イ ア ン ト を強制的に再認証 さ せ る こ と がで き ます (reauthenticate)。
所定の時間が経過 し た後に ク ラ イ ア ン ト か ら 一切ア ク テ ィ ビ テ ィ がない場
合、 暗黙的な ロ グオ フ時限を設定で き ます (logoff-period)。 ま た、 ポー ト
上の リ ン ク が失われて全 ク ラ イ ア ン ト の再認証が必要な場合、 セ ッ シ ョ ン
3-6
Web 認証お よ び MAC 認証
Web 認証お よ び MAC 認証の動作
は終了 し ます。 さ ら に、 ク ラ イ ア ン ト があ る ポー ト か ら 別のポー ト に移動
し 、 そのポー ト で ク ラ イ ア ン ト の移動が有効に設定 さ れていない場合
(client-moves)、 セ ッ シ ョ ンは終了 し 、 ク ラ イ ア ン ト はネ ッ ト ワー ク にア ク
セ スす る ために再認証を受け る 必要があ り ます。 セ ッ シ ョ ン が終了す る
と 、 ポー ト は認証前の状態に戻 り ます。 ポー ト が許可済みにな っ てい る 間
にポー ト の VLAN メ ンバシ ッ プに対 し て施 さ れた変更はすべて、 セ ッ シ ョ
ン終了時に有効にな り ます。
無効な証明情報や RADIUS サーバの タ イ ム ア ウ ト が原因で、 ク ラ イ ア ン ト
が認証 さ れない こ と があ り ます。 max-retries パ ラ メ ー タ は、 認証が失敗
す る ま でに ク ラ イ ア ン ト が証明情報を入力で き る回数を指定 し ます。
server-timeout パ ラ メ ー タ は、 タ イ ム ア ウ ト が発生す る こ と な く RADIUS
サーバか ら 応答を受信す る ま での ス イ ッ チの待ち時間を設定 し ます。 maxrequests パ ラ メ ー タ は、 認証が失敗 し ない範囲で何回認証を試み る と
RADIUS サーバが タ イ ム ア ウ ト す る のか を指定 し ます。 ス イ ッ チは、 指定
さ れた時間 (quiet-period) 待機 し てか ら 、 ク ラ イ ア ン ト か ら の任意の新 し い
認証要求を処理 し ます。
ネ ッ ト ワー ク 管理者は、 未認可の ク ラ イ ア ン ト を特定の ス タ テ ィ ッ ク タ グ
無 VLAN (unauth-vid) に割 り 当てて、 特定の ( ゲ ス ト 用 ) ネ ッ ト ワー ク リ
ソ ースへのア ク セ ス を許可す る こ と がで き ます。 未認証 ク ラ イ ア ン ト に
VLAN が割 り 当て ら れていない場合、 ポー ト はブ ロ ッ ク さ れ、 ネ ッ ト ワー
ク には一切ア ク セ ス で き ません。 そのポー ト を通 じ て他の ク ラ イ ア ン ト が
認証 さ れた場合、 unauth-vid に属す る すべての未認証 ク ラ イ ア ン ト がポー
ト か ら 排除 さ れ ます。
MAC ベース認証
MAC 認証が有効にな っ てい る ポー ト に ク ラ イ ア ン ト が接続す る と 、 ト ラ
フ ィ ッ ク はブ ロ ッ ク さ れます。 ス イ ッ チは直ちに、 証明情報 と し て ク ラ イ
ア ン ト の MAC ア ド レ ス (addr-format で指定 さ れた フ ォーマ ッ ト ) を
RADIUS サーバに提示 し て、 認証を行い ます。
ク ラ イ ア ン ト が認証 さ れ、 ポー ト で許容 さ れ る MAC ア ド レ ス の最大数
(addr-limit) に達 し ていない場合、 ポー ト は ス タ テ ィ ッ ク タ グ無 VLAN に割
り 当て ら れてネ ッ ト ワー ク にア ク セ ス し ます。
割 り 当て ら れ る VLAN は、 次の優先順で決定 さ れ ます。
1.
RADIUS が割 り 当て る VLAN があ る 場合、 ク ラ イ ア ン ト セ ッ シ ョ ン の
継続中、 ポー ト は こ の VLAN に属 し て他の VLAN メ ンバシ ッ プ を一時
的にすべて排除 し ます。
2.
RADIUS が割 り 当て る VLAN がない場合は、 ク ラ イ ア ン ト セ ッ シ ョ ン
の継続中、 ポー ト は認可 VLAN ( 設定 さ れてい る 場合 auth-vid) に属 し 、
他の VLAN メ ンバシ ッ プはすべて一時的に排除 し ます。
3-7
Web 認証お よ び MAC 認証
Web 認証お よ び MAC 認証の動作
3.
上記の 1 ま たは 2 に該当せず、 ポー ト が ス タ テ ィ ッ ク に設定 さ れてい
る ポー ト ベース VLAN の タ グ無 メ ンバであ る場合、 ポー ト は こ の
VLAN に と ど ま り ます。
4.
上記 1、 2、 3 のいずれに も 該当 し ない場合は、 ク ラ イ ア ン ト セ ッ シ ョ
ンは ス タ テ ィ ッ ク に設定 さ れた タ グ無 VLAN のいずれに も ア ク セ ス で
き ず、 ク ラ イ ア ン ト ア ク セ ス はブ ロ ッ ク さ れ ます。
割 り 当て ら れたポー ト VLAN は、 セ ッ シ ョ ン が終了す る ま で存続 し ます。
一定の時間 (reauth-period) が経過 し た後、 ま たはセ ッ シ ョ ン中いつで も 、
ク ラ イ ア ン ト を強制的に再認証 さ せ る こ と がで き ます (reauthenticate)。
所定の時間が経過 し た後に ク ラ イ ア ン ト か ら 一切ア ク テ ィ ビ テ ィ がない場
合、 暗黙的な ロ グオ フ時限を設定で き ます (logoff-period)。 ま た、 ポー ト
上の リ ン ク が失われて全 ク ラ イ ア ン ト の再認証が必要な場合、 セ ッ シ ョ ン
は終了 し ます。 さ ら に、 ク ラ イ ア ン ト があ る ポー ト か ら 別のポー ト に移動
し 、 そのポー ト で ク ラ イ ア ン ト の移動が有効に設定 さ れていない場合
(addr-moves)、 セ ッ シ ョ ンは終了 し 、 ク ラ イ ア ン ト はネ ッ ト ワ ー ク にア ク
セ スす る ために再認証を受け る 必要があ り ます。 セ ッ シ ョ ン が終了す る
と 、 ポー ト は認証前の状態に戻 り ます。 ポー ト が認証済みにな っ てい る 間
にポー ト の VLAN メ ンバシ ッ プに対 し て施 さ れた変更はすべて、 セ ッ シ ョ
ン終了時に有効にな り ます。
無効な証明情報や RADIUS サーバの タ イ ム ア ウ ト が原因で、 ク ラ イ ア ン ト
が認証 さ れない こ と があ り ます。 server-timeout パ ラ メ ー タ は、 タ イ ム ア
ウ ト が発生す る こ と な く RADIUS サーバか ら 応答を受信す る ま での ス イ ッ
チの待ち時間を設定 し ます。 max-requests パ ラ メ ー タ は、 認証が失敗 し な
い範囲で何回認証を試み る と RADIUS サーバが タ イ ム ア ウ ト す る のか を指
定 し ます。 ス イ ッ チは、 指定 さ れた時間 (quiet-period) 待機 し てか ら 、 ク ラ
イ ア ン ト か ら の任意の新 し い認証要求を処理 し ます。
ネ ッ ト ワー ク 管理者は、 未認可の ク ラ イ ア ン ト を特定の ス タ テ ィ ッ ク タ グ
無 VLAN (unauth-vid) に割 り 当てて、 特定の ( ゲ ス ト 用 ) ネ ッ ト ワー ク リ
ソ ースへのア ク セ ス を許可す る こ と がで き ます。 未認証 ク ラ イ ア ン ト に
VLAN が割 り 当て ら れていない場合、 ポー ト は元の VLAN 設定の ま ま と ど
ま り ます。 そのポー ト を通 じ て他の ク ラ イ ア ン ト が認証 さ れた場合、 すべ
ての未認証 ク ラ イ ア ン ト がポー ト か ら 切 り 離 さ れ ます。
3-8
Web 認証お よ び MAC 認証
用語
用語
CHAP: Challenge Handshake Authentication Protocol ( チ ャ レ ン ジ ハン ド シ ェ
イ ク 認証プ ロ ト コ ル )。 別名 「CHAP-RADIUS」。
オーセンティケータ : ProCurve Switch の場合、 ネ ッ ト ワー ク へのア ク セ ス
許可を行 う 前に、 適切な証明情報 (MAC ア ド レ ス、 ま たはユーザ名 と
パ ス ワー ド ) を ク ラ イ ア ン ト ま たは機器に要求す る 機器。
クライアント : こ こ では、ポ イ ン ト ツー ポ イ ン ト リ ン ク を介 し て ス イ ッ チ
に接続 さ れてい る 、 管理ス テーシ ョ ン、 ワー ク ス テーシ ョ ン、 モバ イ
ル PC な ど エ ン ド ノ ー ド 機器。
スタティック VLAN: CLI の vlan < vid > コ マ ン ド ま たは メ ニ ュー イ ン タ
フ ェース を使用 し て、 ス イ ッ チで設定 さ れた VLAN。
認可クライアント VLAN: 未認可 ク ラ イ ア ン ト VLAN と 同 じ く 、 シ ス テ ム
管理者が前 も っ て ス イ ッ チに設定 し た従来の ス タ テ ィ ッ ク タ グ無ポー
ト ベース VLAN。 こ の VLAN は、 認証 さ れた ク ラ イ ア ン ト に対 し て
ネ ッ ト ワー ク ア ク セ スお よ びサービ ス を提供す る ために用い ら れま
す。 ク ラ イ ア ン ト 接続が終了す る と 、 ポー ト は認可 ク ラ イ ア ン ト
VLAN の メ ンバシ ッ プ を破棄 し ます。
認証サーバ : ス イ ッ チに認証サービ ス を提供 し ます。 た と えば RADIUS
サーバが こ れにあ た り ます。
未認可クライアント VLAN: シ ス テ ム管理者が前 も っ て ス イ ッ チに設定 し
た従来の ス タ テ ィ ッ ク タ グ無ポー ト ベース VLAN。 未認可の ク ラ イ ア
ン ト に対 し て限定 さ れたネ ッ ト ワー ク ア ク セ スお よ びサービ ス を提供
す る ために使用 さ れ ます。
リダイレクト URL: Web 認証が無事完了し た ク ラ イ アン ト に表示さ れる、
シ ス テム管理者指定の Web ページ。 ProCurve はス イ ッ チに Web 認証を
設定する場合に こ の URL を指定する こ と をお勧め し ます。 3- 21 ページ
の aaa port-access web-based [e] < port-list > [redirect-url < url >] を参照
く だ さ い。
3-9
Web 認証お よ び MAC 認証
動作ルールお よ び注記
動作ルールお よ び注記
■
1 つのポー ト に設定で き る 認証方式は 1 種類のみです。し たが っ て、
以下の認証方式は適用す る ポー ト で 互いに排他的 と な り ます。
•
•
•
■
Web 認証
MAC 認証
802.1x
ポー ト ア ク セ ス管理の優先順位 ( 最上位か ら 最下位 )
•
•
•
MAC ロ ッ ク ア ウ ト
MAC ロ ッ ク ダ ウ ン ま たはポー ト セキ ュ リ テ ィ
ポー ト ベース ア ク セ ス制御 (802.1x) ま たは Web 認証ま たは MAC 認
証
ポ ート ア ク セ ス ポー ト に Web 認証ま たは MAC 認証を設定す る際は、 よ り 優先順位の高い
管 理に 関 す る 注 ポー ト ア ク セ ス管理機能を そのポー ト で有効に し ないで く だ さ い。 た と え
ば、 ポー ト セキ ュ リ テ ィ が無効にな っ てい る こ と を確認 し てか ら 、 その
記
ポー ト に Web 認証ま たは MAC 認証を設定す る必要があ り ます。 誤っ て
ポー ト セキ ュ リ テ ィ が有効の ま ま にな っ てい る と 、 Web ま たは MAC 認証
を実行で き な く な り ます。
■
3-10
VLAN: LAN で複数の VLAN を使用 し ない場合、 RADIUS サーバに
VLAN 割 り 当て を設定 し た り 、 認可ま たは未認可 VLAN のいずれ
を用い る のか検討 し た り する 必要はあ り ません。 LAN で複数の
VLAN を使用す る 場合は、 Web 認証ま たは MAC 認証を用い る上で
次のいずれかの項目が該当す る 場合があ り ます。
•
Web 認証お よ び MAC 認証は、ポー ト ベース VLAN でのみ動作 し ま
す。 プ ロ ト コ ル VLAN での動作はサポー ト さ れないため、 Web 認
証お よ び MAC 認証のセ ッ シ ョ ン中、 ク ラ イ ア ン ト はプ ロ ト コ ル
VLAN にはア ク セ ス で き ません。
•
ク ラ イ ア ン ト セ ッ シ ョ ン中に、ポー ト は 1 つの タ グ無 VLAN に属す
る こ と がで き ます。 複数の認証済 ク ラ イ ア ン ト が同 じ ポー ト を同
時に使用す る 場合は、 その全 ク ラ イ ア ン ト が同一の VLAN 上で動
作で き なければな り ません。
•
認証済 ク ラ イ ア ン ト のセ ッ シ ョ ン中、 次の階層に よ っ てポー ト の
VLAN メ ンバシ ッ プが決定 さ れ ます。
1. RADIUS が割 り 当て る VLAN があ る 場合、 ク ラ イ ア ン ト セ ッ
シ ョ ン の継続中、 ポー ト は こ の VLAN に属 し て他の VLAN メ
ンバシ ッ プ を一時的にすべて排除 し ます。
Web 認証お よ び MAC 認証
動作ルールお よ び注記
2.
3.
4.
RADIUS が割 り 当て る VLAN がない場合は、 ク ラ イ ア ン ト
セ ッ シ ョ ン の継続中、 ポー ト は認可 VLAN ( 設定 さ れてい る 場
合 ) に属 し 、 他の VLAN メ ンバシ ッ プはすべて一時的に排除 し
ます。
上記の 1 ま たは 2 に該当せず、 ポー ト が ス タ テ ィ ッ ク に設定
さ れてい る ポー ト ベース VLAN の タ グ無 メ ンバであ る 場合、
ポー ト は こ の VLAN に と ど ま り ます。
上記 1、 2、 3 のいずれに も 該当 し ない場合は、 ク ラ イ ア ン ト
セ ッ シ ョ ンは ス タ テ ィ ッ ク に設定 さ れた タ グ無 VLAN のいず
れに も ア ク セ ス で き ず、 ク ラ イ ア ン ト ア ク セ ス はブ ロ ッ ク さ
れ ます。
•
あ る ポー ト で認可 ク ラ イ ア ン ト のセ ッ シ ョ ン が開始 し た後は、 そ
のポー ト の VLAN メ ンバシ ッ プは変わ り ません。 同 じ ポー ト 上の
他の ク ラ イ ア ン ト が、 最初の ク ラ イ ア ン ト と は異な る VLAN を割
り 当て ら れて認証 さ れ る よ う にな る と 、 ポー ト は最初の ク ラ イ ア
ン ト セ ッ シ ョ ン が終了す る ま で他の ク ラ イ ア ン ト へのア ク セ ス を
ブ ロ ッ ク し ます。
•
Web 認証ま たは MAC 認証に対 し て設定可能なオプシ ョ ン の「認可」
VLAN (auth-vid) お よ び 「未認可」 VLAN (unauth-vid) は、 ス イ ッ チ
で ス タ テ ィ ッ ク に設定 さ れた VLAN でなければな り ません。 ま た、
こ れ ら のいずれか一方ま たは両方のオプシ ョ ン を設定す る 場合、
ど ち ら のカ テ ゴ リ であ っ て も それに属す る ク ラ イ ア ン ト か ら ア ク
セ スす る すべてサービ ス が、 それ ら の VLAN 上で利用可能にな っ
てい る 必要があ り ます。
■
あ る ポー ト に未認可 ク ラ イ ア ン ト VLAN が割 り 当て ら れてい る 場
合、 そのポー ト は、 認証済 ク ラ イ ア ン ト のセ ッ シ ョ ン か ら 要求が
ない間だけ、 未認証 ク ラ イ ア ン ト のセ ッ シ ョ ン を許可で き ます。
こ の場合、 認可 ク ラ イ ア ン ト か ら 適切な認証要求を受け る と 、 ス
イ ッ チは未認証 ク ラ イ ア ン ト のセ ッ シ ョ ン を終了 し て、 認可 ク ラ
イ ア ン ト のセ ッ シ ョ ン を開始 し ます。
■
ス イ ッ チのポー ト に Web 認証ま たは MAC 認証が設定 さ れていて、
そのポー ト が現在他の機器 と のセ ッ シ ョ ン を サポー ト し てい る場
合、 ス イ ッ チを リ ブー ト する と その接続の再認証が必要にな り ま
す。
■
ス イ ッ チのポー ト が Web ベース ま たは MAC ベース オーセ ン テ ィ
ケー タ に設定 さ れてい る 場合、 適切な認証証明情報を提供 し ない
ク ラ イ ア ン ト へのア ク セ ス をブ ロ ッ ク し ます。 ポー ト にオプシ ョ
ンの未認可 VLAN (unauth-vid) が設定 さ れていて、 別の VLAN に割
り 当て ら れたポー ト を使用 し てい る認可 ク ラ イ ア ン ト がない場合、
ポー ト は一時的に未認可 VLAN に属 し ます。 認可 ク ラ イ ア ン ト が
3-11
Web 認証お よ び MAC 認証
Web/MAC 認証の基本的な設定手順
別の VLAN が割 り 当て ら れたポー ト を使用 し てい る か、 ま たは未
認可 VLAN が設定 さ れていない場合、 未認可 ク ラ イ ア ン ト はネ ッ
ト ワー ク にア ク セ ス で き ません。
■
Web/MAC 認証
お よび L A CP に
関 する 注 記
Web/MAC 認証 と LACP の両方を同一のポー ト で有効にす る こ と は
で き ません。
ス イ ッ チは Web/MAC 認証 と LACP を同 じ ポー ト で同時に有効にで き ませ
ん。 ス イ ッ チは自動的に、 Web/MAC 認証が設定 さ れたポー ト の LACP を
無効に し ます。
Web/MAC 認証の基本的な設定手順
Web/MAC 認証を設定す る 前に以下の手順を実行す る
3-12
1.
オペレー タ (login) お よ び管理者 (enable) ア ク セ ス レベルの両方の ロ ー
カル ユーザ名 と パス ワ ー ド を ス イ ッ チに設定 し ます。 ( こ れは Web ま
たは MAC ベース の設定で必要であ る か ど う かに よ ら ず、 ProCurve で
は他のセキ ュ リ テ ィ が実装 さ れ る ま で ロ ーカル ユーザ名 と パ ス ワー ド
のペア を使用 し て、 ス イ ッ チ設定を未認可ア ク セ ス か ら 保護す る こ と
をお勧め し ます。 )
2.
オーセ ン テ ィ ケー タ と し て動作 さ せ る ポー ト を決定 し ます。 LACP ト
ラ ン ク で動作す る ポー ト に Web 認証ま たは MAC 認証を設定す る 前に、
ポー ト を ト ラ ン ク か ら 削除す る 必要があ る こ と に注意 し て く だ さ い。
(3-12 ページの 「Web/MAC 認証お よ び LACP に関す る 注記」 を参照 し
て く だ さ い。 )
3.
認証済 ク ラ イ ア ン ト に VLAN の割 り 当てが必要か ど う か を判断 し ま
す。
a.
認証済 ク ラ イ ア ン ト に VLAN を割 り 当て る よ う に RADIUS サーバ
を設定す る場合、 認証済 ク ラ イ ア ン ト のセ ッ シ ョ ン が継続 し てい
る 間、 RADIUS サーバに よ る割 り 当てに よ っ て ス イ ッ チに設定 さ れ
てい る VLAN 割 り 当てが無効にな り ます。 VLAN は ス イ ッ チで ス
タ テ ィ ッ ク に設定 さ れてい る 必要があ る こ と に注意 し て く だ さ い。
b.
RADIUS が割 り 当て る VLAN がない場合は、 ク ラ イ ア ン ト セ ッ
シ ョ ン の継続中、 ポー ト は 「認可 VLAN」 に参加で き ます ( 認可
VLAN が設定 さ れてい る 場合 )。 こ の場合、 ス イ ッ チで ス タ テ ィ ッ
ク に設定 さ れたポー ト ベース VLAN であ る こ と が必要です。
Web 認証お よ び MAC 認証
Web/MAC 認証の基本的な設定手順
c.
ポー ト での認証済 ク ラ イ ア ン ト セ ッ シ ョ ン に RADIUS が割 り 当て
た VLAN も 「認可 VLAN」 も ない場合、 認証済 ク ラ イ ア ン ト セ ッ
シ ョ ン の継続中、 ポー ト の VLAN メ ンバシ ッ プは変 り ません。 こ
の場合、 ク ラ イ ア ン ト セ ッ シ ョ ン中に機能 さ せ る VLAN にポー ト
を設定 し ます。
VLAN を割 り 当て る よ う に RADIUS サーバを設定す る際、 VLAN 名ま
たは VID のいずれか一方を使用で き る こ と に注意 し て く だ さ い。 た と
えば、 ス イ ッ チに設定 さ れてい る VLAN に 100 と い う VID と vlan100
と い う 名前が付け ら れてい る 場合、 "100" ま たは "vlan100" のいずれか
一方を用いてその VLAN を特定す る よ う に RADIUS サーバを設定で き
ます。
4.
RADIUS サーバが認証 し ない ク ラ イ ア ン ト にオプシ ョ ンの 「未認可
VLAN」 モー ド を使用す る か ど う か を決定 し ます。 こ の VLAN は ス
イ ッ チで ス タ テ ィ ッ ク に設定 さ れてい る 必要があ り ます。 「未認可
VLAN」 を設定 し ない場合、 ス イ ッ チはそのポー ト を使お う と す る 未
認証 ク ラ イ ア ン ト へのア ク セ ス をブ ロ ッ ク し ます。
5.
認証ポ リ シーを決定 し て RADIUS サーバに設定 し ます。 RADIUS アプ
リ ケーシ ョ ン に付属す る マニ ュ アルを参照 し て、 以下の項目を各 ク ラ
イ ア ン ト ま たは ク ラ イ ア ン ト 機器のポ リ シーに含め ます。
• CHAP-RADIUS 認証方式
• 暗号キー
• 以下のいずれか
- Web 認証を設定す る 場合は、 各認可 ク ラ イ ア ン ト のユーザ名
お よ びパ ス ワー ド を含め ます。
- ・ MAC 認証を設定す る 場合は、 機器の MAC ア ド レ ス を
RADIUS ポ リ シー設定のユーザ名フ ィ ール ド お よ びパ ス ワ ー ド
フ ィ ール ド の両方に入力 し ます。 ま た、 特定の機器が指定の
ポー ト と ス イ ッ チを介 し てのみ認証を受け ら れ る よ う にす る
場合は、 こ れを ポ リ シーに含め ます。
6.
Web 認証ま たは MAC 認証に使用する RADIUS サーバの IP ア ド レ ス を
設定 し ます。 (RADIUS サーバにア ク セ スす る よ う に ス イ ッ チを設定す
る 手順については、 3-15 ページの 「RADIUS サーバへア ク セ スす る た
めの ス イ ッ チ設定」 を参照 し て く だ さ い。 )
3-13
Web 認証お よ び MAC 認証
Web/MAC 認証の基本的な設定手順
RADIUS サーバでの MAC 認証サポー ト 設定に関す る
追加情報
RADIUS サーバでは、 他の ク ラ イ ア ン ト と 同 じ 方法で ク ラ イ ア ン ト 機器の
認証を設定 し ます。 ただ し 以下の点は異な り ます。
■
ク ラ イ ア ン ト 機器の (16 進 ) MAC ア ド レ ス を、ユーザ名お よ びパ ス
ワー ド の両方 と し て設定 し ます。 必ず、 RADIUS サーバが使用す る
の と 同一の フ ォーマ ッ ト を用い る よ う に ス イ ッ チを設定 し て く だ
さ い。 そ う でない場合、 サーバはア ク セ ス を拒否 し ます。 ス イ ッ
チには、 次の 4 種類の フ ォ ーマ ッ ト オプシ ョ ンがあ り ます。
aabbccddeeff ( デフ ォ ル ト の フ ォーマ ッ ト )
aabbcc-ddeeff
aa-bb-cc-dd-ee-ff
aa:bb:cc:dd:ee:ff
MA C アド レ ス
に 関す る 注 記
MAC ア ド レ ス には小文字を使用す る 必要があ り ます。
■
3-14
その機器が認証 (オーセ ン テ ィ ケー タ ) ス イ ッ チやその他のVLAN対
応機器であ る 場合、 その機器に割 り 当て ら れたベース MAC ア ド レ
ス を使用 し ます。 機器がオーセ ン テ ィ ケー タ ス イ ッ チ と の通信で
経由す る VLAN に割 り 当て ら れた MAC ア ド レ ス は使用 し ません。
こ のガ イ ド が対象 と す る 各ス イ ッ チでは、 設定 さ れ る すべての
VLAN に単一の MAC ア ド レ ス を適用す る こ と に注意 し て く だ さ
い。 し たが っ て、 あ る 1 台の ス イ ッ チにおいて、 MAC ア ド レ ス は
その ス イ ッ チで設定 さ れ る すべての VLAN で同一です。 ( 使用する
ス イ ッ チの 『高度な ト ラ フ ィ ッ ク 管理ガ イ ド 』 の章 「ス タ テ ィ ッ
ク VLAN」 を参照 し て く だ さ い。 )
Web 認証お よ び MAC 認証
RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定
RADIUS サーバへア ク セ スす る ための
ス イ ッ チ設定
RADIUS サーバ設定コマンド
radius-server
[host <ip-address>]
下記
[key < global-key-string >]
下記
radius-server host <ip-address> key <server-specific key-string>
3- 15
こ の項では、 Web 認証お よ び MAC 認証をサポー ト す る よ う に RADIUS
サーバを設定す る ための、 最小限の コ マ ン ド について説明 し ます。 その他
の RADIUS コ マ ン ド オプシ ョ ン については、 第 5 章 「RADIUS 認証お よ び
ア カ ウ ン テ ィ ン グ」 を参照 し て く だ さ い。
構文 :
[no] radius-server
[host < ip-address >]
サーバを RADIUS 設定に追加 し た り 、 (no を付けて )
RADIUS 設定か ら 削除 し ます。 最大 3 台の RADIUS サー
バのア ド レ ス を設定で き ます。 ス イ ッ チは最初にア ク
セ ス し たサーバを使用 し ます。 (5-1 ページの 「RADIUS
認証お よ びア カ ウ ン テ ィ ン グ」 を参照 し て く だ さ い。 )
[key < global-key-string >]
サーバ固有のキーが割 り 当て ら れていないサーバ と の
接続セ ッ シ ョ ン で ス イ ッ チが使用す る グ ロ ーバル暗号
キーを設定 し ます ( 下記 )。 radius host コ マ ン ド ですべて
の RADIUS サーバにサーバ固有の暗証キーを設定 し てい
る 場合は、 グ ロ ーバル暗号キーを設定す る 必要はあ り
ません。 ( デフ ォ ル ト : 未設定 )
構文 :
radius-server host < ip-address > key <server-specific key-string >
[no] radius-server host < ip-address > key
3-15
Web 認証お よ び MAC 認証
RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定
オプシ ョ ン。 指定 し たサーバでの認証 ( ま たはア カ ウ ン
テ ィ ン グ ) セ ッ シ ョ ン中に使用す る暗号キーを指定 し ま
す。 こ のキーは RADIUS サーバで使用 さ れ る暗号キー と
一致す る 必要があ り ます。 指定 し たサーバがグ ロ ーバ
ル暗号キー ( 上記 ) と し て設定 さ れてい る キー と は異な
る 暗号キーを要求す る 場合のみ、 こ の コ マ ン ド を使用
し ます。
コ マ ン ド の [no] 形式は、 特定のサーバに設定 さ れた
キーを削除 し ます。
た と えば、 サーバ固有の共有キー ・ Pzo22 ・ を用いて、 IP ア ド レ ス
192.168.32.11 の RADIUS サーバにア ク セ スす る よ う に ス イ ッ チを設定す る
場合、 次の よ う にな り ます。
ProCurve(config)# radius-server host 192.168.32.11 key
2Pzo22
ProCurve(config)# show radius
Status and Counters - General RADIUS Information
Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key :
Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- ------------------------------192.168.32.11
1812
1813
2Pzo22
ProCurve(config)#
図 3-4. RADIUS サーバにアクセスするためのスイッチの設定例
3-16
Web 認証お よ び MAC 認証
Web 認証の設定
Web 認証の設定
概要
1.
ロ ーカルのユーザ名お よ びパ ス ワー ド を ス イ ッ チに設定 し ます ( ま だ
設定 し ていない場合 )。
2.
認証済 ク ラ イ ア ン ト が使用す る リ ダ イ レ ク ト URL を指定ま たは作成 し
ます。 Web 認証を使用す る 場合は、 リ ダ イ レ ク ト URL を設定す る こ と
をお勧め し ます。 リ ダ イ レ ク ト URL を指定 し ない場合、 認証に続 く
Web ブ ラ ウ ザの動作に不具合が生 じ る こ と があ り ます。
3.
Web 認証で複数の VLAN を使用す る場合は、 こ れ ら の VLAN が ス イ ッ
チに設定 さ れ、 ポー ト が適切に割 り 当て ら れてい る こ と を確認 し て く
だ さ い。 ま た、 認可 ク ラ イ ア ン ト が使用す る VLAN が リ ダ イ レ ク ト
URL にア ク セ ス で き る こ と も 確認 し ます。
4.
ス イ ッ チの コ ン ソ ール イ ン タ フ ェース で ping コ マ ン ド を使用 し て、
Web 認証をサポー ト す る よ う に設定 し た RADIUS サーバ と 通信で き る
こ と を確認 し ます。
5.
RADIUS サーバにア ク セ スす る ための正 し い IP ア ド レ スお よ び暗号
キーを、 ス イ ッ チに設定 し ます。
6.
Web 認証について ス イ ッ チを次の よ う に設定 し ます。
7.
注記
a.
使用す る ス イ ッ チ ポー ト に Web 認証を設定 し ます。
b.
セキ ュ ア ネ ッ ト ワー ク と のア ド レ ス の競合を回避す る必要があ る
場合は、 ス イ ッ チが一時的な DHCP ア ド レ ス と し て使用す るベー
ス IP ア ド レ スお よ びマ ス ク を指定 し ます。 一時 IP ア ド レ ス の リ ー
ス期間 も 設定で き ます。
c.
ロ グ イ ンに SSL を使用す る 場合は、 ス イ ッ チで SSL を設定お よ び
有効に し てか ら 、 Web 認証で使用で き る よ う に SSL を指定 し ます。
d.
認可 ク ラ イ ア ン ト に対 し て リ ダ イ レ ク ト URL を使用す る よ う に、
ス イ ッ チを設定 し ます。
ポー ト ア ク セ ス を設定 し たポー ト で Web 認証が適切に機能す る こ と を
確認す る ために、 シ ス テ ムへの認可ア ク セ ス と 未認可ア ク セ ス の両方
のテ ス ト を行い ます。
ク ラ イ ア ン ト Web ブ ラ ウ ザでネ ッ ト ワー ク へのア ク セ ス にプ ロ キ シ サー
バを使用す る こ と はで き ません。
3-17
Web 認証お よ び MAC 認証
Web 認証の設定
ス イ ッ チでの Web 認証設定
コマンド
ページ
設定レベル
aaa port-access web-based dhcp-addr
3- 18
aaa port-access web-based dhcp-lease
3- 18
[no] aaa port-access web-based [e] < port-list >
構文 :
3- 19
[auth-vid]
3- 19
[client-limit]
3- 19
[client-moves]
3- 19
[logoff-period]
3- 20
[max-requests]
3- 20
[max-retries]
3- 20
[quiet-period]
3- 20
[reauth-period]
3- 20
[reauthenticate]
3- 20
[redirect-url]
3- 21
[server-timeout]
3- 21
[ssl-login]
3- 22
[unauth-vid]
3- 22
aaa port-access web-based dhcp-addr <ip-address/mask>
DHCP が使用す る 一時 IP プールのベース ア ド レ ス /
マ ス ク を指定 し ます。 ベース ア ド レ ス は、 任意の有
効な IP ア ド レ ス を使用で き ます ( マルチキ ャ ス ト ア
ド レ ス を除 く )。 マ ス ク の有効範囲は、 <255.255.240.0
~ 255.255.255.0> です。
( デフ ォ ル ト : 192.168.0.0/255.255.255.0)
構文 :
aaa port-access web-based dhcp-lease <5 - 25>
Web 認証 ロ グ イ ン用 と し て発行 さ れ る 一時 IP ア ド レ
ス の リ ース期間を、 秒単位で指定 し ます。 ( デフ ォ ル
ト : 10 秒 )
3-18
Web 認証お よ び MAC 認証
Web 認証の設定
構文 :
[no] aaa port-access web-based [e] < port-list>
指定 さ れたポー ト で Web 認証を有効に し ます。 指定
さ れたポー ト で Web 認証を無効にす る場合は、 [no]
形式を使用 し ます。
構文 :
aaa port-access web-based [e] < port-list> [auth-vid <vid>]
no aaa port-access web-based [e] < port-list> [auth-vid]
認可 ク ラ イ ア ン ト 用に使用す る VLAN を指定 し ます。
RADIUS サーバは、 こ の値を無効にで き ます (acceptresponse は vid を含む )。 auth-vid が 0 の場合、
RADIUS サーバに よ っ て何 ら かの vid が与え ら れない
限 り 、 VLAN は変更 さ れません。
auth-vid を 0 に設定す る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : 0)
構文 :
aaa port-access web-based [e] < port-list > [client-limit <1-32>]
ポー ト に受け入れ可能な認証 ク ラ イ ア ン ト の最大数を
指定 し ます。 ( デフ ォ ル ト : 1)
構文 :
[no] aaa port-access web-based [e] < port-list > [client-moves]
Web 認証の制御下で、 ク ラ イ ア ン ト が指定のポー ト
間を移動で き る よ う に し ます。 こ れが有効に設定 さ れ
てい る 場合、 ク ラ イ ア ン ト は再認証を必要 と す る こ と
な く 移動す る こ と がで き ます。 無効に設定 さ れてい る
場合、 ス イ ッ チは移動を許可 し ません。 移動が発生 し
た場合には、 ユーザは強制的に再認証を求め ら れま
す。 必ず 2 ポー ト ( 移行元ポー ト お よ び移動先ポー ト
) 以上を指定 し ます。
Web 認証の制御下におけ る ポー ト 間での ク ラ イ ア ン
ト の移動を無効にす る には、 [no] 形式を使用 し ます。
( デフ ォ ル ト : Disabled - 移動を不許可 )
3-19
Web 認証お よ び MAC 認証
Web 認証の設定
構文 :
aaa port-access web-based [e] < port-list > [logoff-period] <609999999>]
暗黙的な ロ グオ フ を ス イ ッ チが強制す る時間間隔を、
秒単位で指定 し ます。 こ のパ ラ メ ー タ は、 通常の ス
イ ッ チにおけ る MAC エージ ン グ間隔に相当 し ます。
logoff-period 間隔が経過 し た後に ス イ ッ チがア ク テ ィ
ビ テ ィ を認識 し ない場合は、 ク ラ イ ア ン ト は認証前の
状態に戻 り ます。 ( デフ ォ ル ト : 300 秒 )
構文 :
aaa port-access web-based [e] < port-list > [max-requests <1-10>]
認証試行回数を設定 し ます。 1 回以上認証に失敗 し 、
試行回数が こ の値に達 し た場合、 タ イ ム ア ウ ト が開始
さ れます。
( デフ ォ ル ト : 2)
構文 :
aaa port-access web-based [e] < port-list > [max-retries <1-10>]
ク ラ イ ア ン ト がユーザ名お よ びパ ス ワー ド を入力で き
る回数を指定 し ます。 試行回数が こ の値に達 し た場
合、 認証が失敗 し ます。 こ の指定に よ り 、 必要に応 じ
てユーザ名お よ びパ ス ワー ド の再入力が可能にな り ま
す。
( デフ ォ ル ト : 3)
構文 :
aaa port-access web-based [e] < port-list > [quiet-period <1 65535>]
認証に失敗 し た ク ラ イ ア ン ト に対 し て、 認証要求を再
度受け付け る ま で ス イ ッ チが待機す る 時間の間隔を、
秒で指定 し ます。
( デフ ォ ル ト : 60 秒 )
構文 :
aaa port-access web-based [e] < port-list > [reauth-period <0 9999999>]
ス イ ッ チが ク ラ イ ア ン ト に再認証を強制す る 時間間隔
を、 秒で指定 し ます。 0 に設定す る と 、 再認証が無効
にな り ます。 ( デフ ォ ル ト : 300 秒 )
3-20
Web 認証お よ び MAC 認証
Web 認証の設定
構文 :
aaa port-access web-based [e] < port-list > [reauthenticate]
ポー ト に接続 し てい る全 ク ラ イ ア ン ト の再認証を、 強
制的に実施 し ます。
構文 :
aaa port-access web-based [e] < port-list > [redirect-url <url>]
no aaa port-access web-based [e] < port-list > [redirect-url]
ロ グ イ ンに成功 し た後にユーザが リ ダ イ レ ク ト さ れ る
URL を指定 し ます。 http://welcome-server/
welcome.htm や http://192.22.17.5 な ど、 有効な完全形
式の任意の URL を使用で き ます。 Web 認証を使用す
る場合は、 リ ダ イ レ ク ト URL を設定す る こ と をお勧
め し ます。
指定 さ れた リ ダ イ レ ク ト URL を削除す る には、 [no]
形式を使用 し ます。
( デフ ォ ル ト : デフ ォ ル ト の URL はあ り ません。 認証
済 ク ラ イ ア ン ト のブ ラ ウ ザ動作に不具合が生 じ る こ と
があ り ます。 )
構文 :
aaa port-access web-based [e] < port-list > [server-timeout <1 300>]
ス イ ッ チの認証要求に対す る サーバの応答待ち時間
を、 秒単位で指定 し ます。 現在の max-requests 値に
よ っ て、 ス イ ッ チは新 し い認証要求を送信す る か認証
セ ッ シ ョ ン を終了す る かを決定 し ます。 ( デフ ォ ル ト
: 30 秒 )
3-21
Web 認証お よ び MAC 認証
ス イ ッ チの MAC 認証設定
構文 :
[no] aaa port-access web-based [e] < port-list > [ssl-login]
SSL ロ グ イ ン を有効ま たは無効に し ます ( ポー ト 443
の http)。 SSL を ス イ ッ チで有効に設定す る 必要があ
り ます。
SSL ロ グ イ ンが有効の場合、 ユーザはセキ ュ ア ページ
に リ ダ イ レ ク ト さ れ、 そ こ でユーザ名お よ びパ ス ワー
ド を入力 し ます。 SSL ロ グ イ ン が無効の場合、 ユーザ
は証明情報を入力す る ためのセ キ ュ ア ページに リ ダ
イ レ ク ト さ れません。
SSL ロ グ イ ン を無効にす る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : Disabled)
構文 :
aaa port-access web-based [e] < port-list > [unauth-vid <vid>]
no aaa port-access web-based [e] < port-list > [unauth-vid]
認証に失敗 し た ク ラ イ ア ン ト 用に使用す る VLAN を
指定 し ます。 unauth-vid が 0 の場合、 VLAN は変更 さ
れません。
unauth-vid を 0 に設定す る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : 0)
ス イ ッ チの MAC 認証設定
概要
3-22
1.
ロ ーカルのユーザ名お よ びパ ス ワー ド を ス イ ッ チに設定 し ます ( ま だ
設定 し ていない場合 )。
2.
MAC 認証で複数の VLAN を使用す る 場合は、 こ れ ら の VLAN が ス
イ ッ チに設定 さ れ、 ポー ト が適切に割 り 当て ら れてい る こ と を確認 し
て く だ さ い。
3.
ス イ ッ チの コ ン ソ ール イ ン タ フ ェース で ping コ マ ン ド を使用 し て、
MAC 認証をサポー ト す る よ う に設定 し た RADIUS サーバ と 通信で き る
こ と を確認 し ます。
4.
RADIUS サーバにア ク セ スす る ための正 し い IP ア ド レ スお よ び暗号
キーを、 ス イ ッ チに設定 し ます。
Web 認証お よ び MAC 認証
ス イ ッ チの MAC 認証設定
5.
MAC 認証について ス イ ッ チを次の よ う に設定 し ます。
1.
6.
使用す る ス イ ッ チ ポー ト に MAC 認証を設定 し ます。
ポー ト ア ク セ ス を設定 し たポー ト で MAC 認証が適切に機能す る こ と
を確認す る ために、 シ ス テ ムへの認可ア ク セ ス と 未認可ア ク セ ス の両
方のテ ス ト を行い ます。
ス イ ッ チでの MAC 認証設定
コマンド
ページ
設定レベル
aaa port-access mac-based addr-format
3- 23
[no] aaa port-access mac-based [e] < port-list >
3- 24
構文 :
[addr-limit]
3- 24
[addr-moves]
3- 24
[auth-vid]
3- 24
[logoff-period]
3- 25
[max-requests]
3- 25
[quiet-period]
3- 25
[reauth-period]
3- 25
[reauthenticate]
3- 25
[server-timeout]
3- 25
[unauth-vid]
3- 26
aaa port-access mac-based addr-format
<no-delimiter|single-dash|multi-dash|multi-colon>
RADIUS 要求 メ ッ セージで使用す る MAC ア ド レ ス の
フ ォーマ ッ ト を指定 し ます。 こ のフ ォ ーマ ッ ト は、
RADIUS サーバに MAC ア ド レ ス を保存す る ために用い
ら れ る フ ォーマ ッ ト と 一致 し なければな り ません。 ( デ
フ ォ ル ト : 区切 り 文字な し )
no-delimiter ― aabbccddeeff フ ォーマ ッ ト を指定 し ます。
single-dash ― aabbcc-ddeeff フ ォーマ ッ ト を指定 し ます。
multi-dash ― aa-bb-cc-dd-ee-ff フ ォ ーマ ッ ト を指定 し
ます。
multi-colon ― aa:bb:cc:dd:ee:ff フ ォ ーマ ッ ト を指定 し ま
す。
3-23
Web 認証お よ び MAC 認証
ス イ ッ チの MAC 認証設定
構文 :
[no] aaa port-access mac-based [e] < port-list >
指定 さ れたポー ト で MAC 認証を有効に し ます。 指定
さ れたポー ト で MAC 認証を無効にす る 場合は、 [no]
形式を使用 し ます。
構文 :
aaa port-access mac-based [e] < port-list > [addr-limit <1-32>]
ポー ト に受け入れ可能な認証済み MAC ア ド レ ス の最
大数を指定 し ます。 ( デフ ォ ル ト : 1)
構文 :
[no] aaa port-access mac-based [e] < port-list > [addr-moves]
MAC 認証の制御下で、 ク ラ イ ア ン ト が指定のポー ト
間を移動で き る よ う に し ます。 こ れが有効に設定 さ れ
てい る 場合、 MAC ア ド レ ス は再認証を必要 と す る こ
と な く 移動す る こ と がで き ます。 無効に設定 さ れてい
る場合、 ス イ ッ チは移動を許可 し ません。 移動が発生
し た場合には、 ユーザは強制的に再認証を求め ら れま
す。 必ず 2 ポー ト ( 移行元ポー ト お よ び移動先ポー ト
) 以上を指定 し ます。
MAC 認証の制御下におけ る ポー ト 間での MAC ア ド
レ ス の移動を無効にす る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : Disabled - 移動を不許可 )
構文 :
aaa port-access mac-based [e] < port-list > [auth-vid <vid>]
no aaa port-access mac-based [e] < port-list > [auth-vid]
認可 ク ラ イ ア ン ト 用に使用す る VLAN を指定 し ます。
RADIUS サーバは、 こ の値を無効にで き ます (acceptresponse は vid を含む )。 auth-vid が 0 の場合、
RADIUS サーバに よ っ て何 ら かの vid が与え ら れない
限 り 、 VLAN は変更 さ れません。
auth-vid を 0 に設定す る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : 0).
3-24
Web 認証お よ び MAC 認証
ス イ ッ チの MAC 認証設定
構文 :
aaa port-access mac-based [e] < port-list >
[logoff-period] <60-9999999>]
暗黙的な ロ グオ フ を ス イ ッ チが強制す る時間間隔を、
秒単位で指定 し ます。 こ のパ ラ メ ー タ は、 通常の ス
イ ッ チにおけ る MAC エージ ン グ間隔に相当 し ます。
logoff-period 間隔が経過 し た後に ス イ ッ チがア ク テ ィ
ビ テ ィ を認識 し ない場合は、 ク ラ イ ア ン ト は認証前の
状態に戻 り ます。 ( デフ ォ ル ト : 300 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [max-requests <1-10>]
認証試行回数を設定 し ます。 1 回以上認証に失敗 し 、
試行回数が こ の値に達 し た場合、 タ イ ム ア ウ ト が開始
さ れます。
( デフ ォ ル ト : 2)
構文 :
aaa port-access mac-based [e] < port-list > [quiet-period <1 65535>]
認証に失敗 し た MAC ア ド レ ス に対 し て、 認証の再要
求を受け付け る ま で ス イ ッ チが待機す る時間の間隔
を、 秒で指定 し ます。
( デフ ォ ル ト : 60 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [reauth-period <0 9999999>]
ス イ ッ チが ク ラ イ ア ン ト に再認証を強制す る 時間間隔
を、 秒で指定 し ます。 0 に設定す る と 、 再認証が無効
にな り ます。 ( デフ ォ ル ト : 300 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [reauthenticate]
ポー ト に接続 し てい る全 ク ラ イ ア ン ト の再認証を、 強
制的に実施 し ます。
構文 :
aaa port-access mac-based [e] < port-list > [server-timeout <1 300>]
ス イ ッ チの認証要求に対す る サーバの応答待ち時間
を、 秒単位で指定 し ます。 現在の max-requests 値に
よ っ て、 ス イ ッ チは新 し い認証要求を送信す る か認証
セ ッ シ ョ ン を終了す る かを決定 し ます。 ( デフ ォ ル ト
: 30 秒 )
3-25
Web 認証お よ び MAC 認証
Web 認証の ス テー タ ス と 設定の表示
構文 :
aaa port-access mac-based [e] < port-list > [unauth-vid <vid>]
no aaa port-access mac-based [e] < port-list > [unauth-vid]
認証に失敗 し た ク ラ イ ア ン ト 用に使用す る VLAN を
指定 し ます。 unauth-vid が 0 の場合、 VLAN は変更 さ
れません。
unauth-vid を 0 に設定す る には、 [no] 形式を使用 し ま
す。
( デフ ォ ル ト : 0)
Web 認証の ス テー タ ス と 設定の表示
コマンド
ページ
show port-access [port-list] web-based
3- 26
[clients]
3- 26
[config]
3- 27
[config [auth-server]]
3- 27
[config [web-server]]
show port-access port-list web-based config detail
構文 :
3- 27
3- 27
show port-access [port-list] web-based
Web 認証が有効にな っ てい るすべてのポー ト ま たは
指定のポー ト の状態を表示 し ます。 各ポー ト の認証 ク
ラ イ ア ン ト 数お よ び未認証 ク ラ イ ア ン ト 数が、 ポー ト
の現在の VLAN ID と と も に一覧表示 さ れます。 Web
認証が有効にな っ ていないポー ト は一覧表示 さ れませ
ん。
構文 :
show port-access [port-list] web-based [clients]
全ポー ト ま たは指定ポー ト に接続 さ れた ク ラ イ ア ン ト
のポー ト ア ド レ ス、 Web ア ド レ ス、 セ ッ シ ョ ン ス
テー タ ス、 セ ッ シ ョ ン経過時間を表示 し ます。 複数の
ク ラ イ ア ン ト が接続 し てい る ポー ト では、 各 ク ラ イ ア
ン ト の項目が表示 さ れます。 ク ラ イ ア ン ト が接続 さ れ
ていないポー ト は、 一覧表示 さ れません。
3-26
Web 認証お よ び MAC 認証
Web 認証の ス テー タ ス と 設定の表示
構文 :
show port-access [port-list] web-based [config]
一時 DHCP ベース ア ド レ スお よ びマ ス ク な ど、 全
ポー ト ま たは指定 さ れたポー ト の Web 認証設定を表
示 し ます。 認可お よ び未認可 VLAN ID が示 さ れます。
認可ま たは未認可 VLAN ID が 0 の場合、 RADIUS サー
バに よ っ て何 ら かの vid が与え ら れない限 り 、 VLAN
は変更 さ れません。
構文 :
show port-access [port-list] web-based [config [auth-server]]
全ポー ト ま たは指定 さ れたポー ト の Web 認証設定を、
タ イ ム ア ウ ト 待機、 認証失敗ま での タ イ ム ア ウ ト 失敗
回数、 再認証要求ま での時間間隔な ど の RADIUS サー
バ固有の設定 と と も に表示 し ます。
構文 :
show port-access [port-list] web-based [config [web-server]]
全ポー ト ま たは指定 さ れたポー ト の Web 認証設定を、
パ ス ワー ド 再入力、 SSL ロ グ イ ン ス テー タ ス、 リ ダ イ
レ ク ト URL な ど の Web 固有の設定 ( 指定 さ れてい る
場合 ) と と も に表示 し ます。
構文 :
show port-access port-list web-based config detail
RADIUS サーバ固有の設定な ど、 指定 さ れたポー ト の
すべての Web 認証設定を表示 し ます。
3-27
Web 認証お よ び MAC 認証
MAC 認証の ス テー タ ス と 設定の表示
MAC 認証の ス テー タ ス と 設定の表示
コマンド
ページ
show port-access [port-list] mac-based
3- 28
[clients]
3- 28
[config]
3- 28
[config [auth-server]]
3- 28
show port-access port-list mac-based config detail
構文 :
3- 29
show port-access [port-list] mac-based
MAC 認証が有効にな っ てい る すべてのポー ト ま たは
指定のポー ト の状態を表示 し ます。 各ポー ト の認証 ク
ラ イ ア ン ト 数お よ び未認証 ク ラ イ ア ン ト 数が、 ポー ト
の現在の VLAN ID と と も に一覧表示 さ れます。 MAC
認証が有効にな っ ていないポー ト は一覧表示 さ れませ
ん。
構文 :
show port-access [port-list] mac-based [clients]
全ポー ト ま たは指定ポー ト に接続 さ れた ク ラ イ ア ン ト
のポー ト ア ド レ ス、 MAC ア ド レ ス、 セ ッ シ ョ ン ス
テー タ ス、 セ ッ シ ョ ン経過時間を表示 し ます。 複数の
ク ラ イ ア ン ト が接続 し てい る ポー ト では、 各 ク ラ イ ア
ン ト の項目が表示 さ れます。 ク ラ イ ア ン ト が接続 さ れ
ていないポー ト は、 一覧表示 さ れません。
構文 :
show port-access [port-list] mac-based [config]
使用 さ れ る MAC ア ド レ ス フ ォーマ ッ ト な ど、 全ポー
ト ま たは指定 さ れたポー ト の MAC 認証設定を表示 し
ます。 認可お よ び未認可 VLAN ID が示 さ れます。 認
可ま たは未認可 VLAN ID が 0 の場合、 RADIUS サーバ
に よ っ て何 ら かの vid が与え ら れない限 り 、 VLAN は
変更 さ れません。
構文 :
show port-access [port-list] mac-based [config [auth-server]]
全ポー ト ま たは指定 さ れたポー ト の MAC 認証設定
を、 タ イ ム ア ウ ト 待機、 認証失敗ま での タ イ ム ア ウ ト
失敗回数、 再認証要求ま での時間間隔な ど、 RADIUS
サーバ固有の設定 と と も に表示 し ます。
3-28
Web 認証お よ び MAC 認証
MAC 認証の ス テー タ ス と 設定の表示
構文 :
show port-access port-list mac-based config detail
RADIUS サーバ固有の設定な ど、 指定 さ れたポー ト の
すべての MAC 認証設定を表示 し ます。
3-29
Web 認証お よ び MAC 認証
ク ラ イ ア ン ト ス テー タ ス の表示
ク ラ イ ア ン ト ス テー タ ス の表示
Web 認証ま たは MAC 認証の "show... clients" コ マ ン ド を使用す る と 、 下表
の ク ラ イ ア ン ト ス テー タ ス情報が レ ポー ト さ れ ます。
3-30
レポー ト さ れる ス
テー タ ス
利用可能なネ ッ ト
ワー ク 接続
説明
authenticated
認可 VLAN
ク ラ イ ア ン ト は認証 さ れていま
す。 ログオ フ期限または再認証
期限が終了する ま で、 接続を維
持 し ます。
authenticating
ス イ ッ チのみ
RADIUS 要求待ち です。
rejected-no vlan
ネ ッ ト ワー ク ア ク セ 1. 無効な証明情報が送信 さ れてい
スな し
ます。
2. RADIUS サーバに問題があ り ま
す。 ログ フ ァ イルを参照 し て く
だ さ い。
3. unauth-vid が指定 さ れている場
合、 ポー ト に正 し く 適用で き ま
せん。 そのポー ト の認可 ク ラ イ
ア ン ト が優先 さ れます。
rejected-unauth vlan
未認可 VLAN のみ
timed out-no vlan
ネ ッ ト ワー ク ア ク セ
スな し
1. 無効な証明情報が送信 さ れてい
ます。
2. RADIUS サーバに問題があ り ま
す。 ログ フ ァ イルを参照 し て く
だ さ い。
RADIUS 要求が タ イムアウ ト し ま
し た。 unauth-vid が指定 さ れてい
る場合、 ポー ト に正 し く 適用で
き ません。 そのポー ト の認可 ク
ラ イ ア ン ト が優先 さ れます。
quiet-period が終了 し た後に、 証
明情報が再送信 さ れます。
timed out-unauth vlan 未認可 VLAN のみ
RADIUS 要求が タ イムアウ ト し ま
し た。 quiet-period が切れた後、
ク ラ イアン ト から ト ラ フ ィ ッ ク
が発生する と 、 証明情報が再送
信 さ れます。
unauthenticated
ユーザの証明情報を待ち ます。
ス イ ッ チのみ
4
TACACS+ 認証
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-2
TACACS アプ リ ケーシ ョ ン で使用 さ れ る用語 . . . . . . . . . . . . . . . . . 4-3
基本的なシ ス テ ム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
基本的な認証の設定手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
ス イ ッ チでの TACACS+ 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-8
始め る 前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-8
こ の項で説明す る CLI コ マ ン ド . . . . . . . . . . . . . . . . . . . . . . . . 4-9
現在の ス イ ッ チの認証設定の表示 . . . . . . . . . . . . . . . . . . . . . . 4-9
現在の ス イ ッ チの TACACS+ サーバ接続設定の表示 . . . . . . . . . 4-10
ス イ ッ チの認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-11
ス イ ッ チの TACACS+ サーバ ア ク セ ス の設定 . . . . . . . . . . . . . . 4-15
認証の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
TACACS+ サーバを使用す る 基本的な認証プ ロ セ ス . . . . . . . . . . 4-20
ロ ーカル認証プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
暗号キーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
TACACS+ 認証での Web ブ ラ ウ ザ イ ン タ フ ェース のア ク セ ス制御 . . 4-24
TACACS+ オペレーシ ョ ンに関連 し た メ ッ セージ . . . . . . . . . . . . . . 4-25
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-26
4-1
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
概要
機能
デフォ
ルト
メ
CLI
ニュー
Web
ス イ ッ チの認証設定の表示
n/a
―
4- 9
ページ
―
ス イ ッ チの TACACS+ サーバ接続設定の表示
n/a
―
4- 10
ページ
―
ス イ ッ チの認証方式の設定
無効
―
4- 11
ページ
―
ス イ ッ チの TACACS+ サーバ接続の設定
無効
―
4- 15
ページ
―
TACACS+ 認証は、 ネ ッ ト ワ ー ク で中央サーバを使用 し た ス イ ッ チ ( お よ び
他の TACACS 対応機器 ) へのア ク セ ス制御 ( 許可 と 拒否 ) を可能に し ます。
つま り 、 中央デー タ ベース を使用 し て、 ス イ ッ チの コ ン ソ ール ポー ト (
ロ ーカル ア ク セ ス ) ま たは Telnet ( リ モー ト ア ク セ ス ) か ら ス イ ッ チにア
ク セ スす る必要があ る ユーザご と に、 固有のユーザ名 / パ ス ワー ド のペア
を権限レベル と 共に設定で き ます。
A4
A3 また
は B3
プラ イマ
リ
TACACS
+ サーバ
A1
TACACS+ オペ
レーシ ョ ンが設
定 さ れた
A2 また
は B2
ProCurve Switch
ス イ ッ チは タ ー ミ ナル A お
よび B か らのログ イ ン要求
を認証用の TACACS+ サー
バに送信 し ます。 TACACS+
サーバは、 受信 し た ア ク セ
ス要求に対 し て、 ス イ ッ チ
へのア ク セ ス を許可す るか
ど う か、 お よ び どの権限 レ
ベルで許可す るかを決定 し
ます。
B4
B1
A
タ ー ミ ナル 「A」
はス イ ッ チの コ
ン ソ ールポー ト
を経由 し て直接
ス イ ッ チにア ク
セス
B
タ ー ミ ナル 「B」 は Telnet 経由で ス イ ッ
チに リ モー ト ア ク セス
ア ク セス要求
A1 - A4: タ ー ミ ナル A か らの
要求パス ( コ ン ソ ール ポー ト 経由 )
TACACS サーバ応答
B1 - B4: タ ー ミ ナル B か らの要求パス
(Telnet 経由 )
図 4-1. TACACS+ オペレーションの例
ス イ ッ チの TACACS+ は、 コ ン ソ ール ポー ト ま たは Telnet を介 し た ロ グオ
ン試行の認証を管理 し ます。 TACACS+ では、 (1) TACACS+ サーバで割 り
当て ら れた リ モー ト パ ス ワー ド と 、 (2) ス イ ッ チに設定 さ さ れた ロ ーカル
パ ス ワー ド 、 か ら な る 認証階層を使用 し ます。 つま り 、 ス イ ッ チに
4-2
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
TACACS+ が設定 さ れてい る 場合、 ス イ ッ チは まず、 指定の TACACS+ サー
バに接続 し て認証サービ ス を受け る よ う 試みます。 ス イ ッ チが ま っ た く
TACACS+ サーバ と 通信で き ず、 デフ ォ ル ト で ロ ーカルに割 り 当て ら れて
い る パ ス ワー ド を使用 し て認証制御を行 う よ う に設定 さ れてい る 場合は、
こ れを実行 し ます。 コ ン ソ ールお よ び telnet ア ク セ ス に対 し て、 login
(Read-Only( 読み取 り 専用 )) お よ び enable (Read/Write( 読み取 り と 書 き込み
)) 権限レベルのア ク セ ス を設定で き ます。
注記
こ の ソ フ ト ウ ェ アでは、 TACACS+ に よ る 認可ま たはア カ ウ ン テ ィ ン グ
サービ ス はサポー ト さ れてい ません。
TACACS+ は Web ブ ラ ウ ザの イ ン タ フ ェース ア ク セ ス を サポー ト し ませ
ん。 4- 24 ページの 「TACACS+ 認証での Web ブ ラ ウ ザ イ ン タ フ ェ ース のア
ク セ ス制御」 を参照 し て く だ さ い。
TACACS アプ リ ケーシ ョ ンで使用 さ れ
る 用語
■
NAS (Network Access Server): 認証サービ ス用に TACACS サーバ
と 通信す る TACACS 対応機器の業界用語です。 TACACS オペレー
シ ョ ン を説明す る 用語には、他に通信サーバ、 リ モー ト ア ク セ ス
サーバ、 タ ー ミ ナル サーバ な どがあ り ます。 TACACS+ が ス イ ッ
チで有効な場合 ( つま り 、 ス イ ッ チが TACACS+ 対応の場合 ) に、
こ れ ら の用語が該当 し ます。
■
TACACS+ サーバ: TACACS対応機器でア ク セ ス制御サーバ と し て
設定 さ れたサーバ ま たは管理ス テーシ ョ ン。 ス イ ッ チ と ネ ッ ト
ワー ク 内の他の TACACS 対応機器で TACACS+ を使用す る には、
TACACS+ サーバ アプ リ ケーシ ョ ン を購入 し て、 ネ ッ ト ワ ー ク に接
続 さ れてい る サーバ ま たは管理ス テーシ ョ ン に イ ン ス ト ール し 、
設定す る 必要があ り ます。 イ ン ス ト ール し た TACACS+ サーバ ア
プ リ ケーシ ョ ンには、 ア ク セ ス制御お よ びア ク セ ス通知について
の さ ま ざ ま なオプシ ョ ン があ り ます。 TACACS+ サービ ス について
は、 使用す る TACACS+ サーバ アプ リ ケーシ ョ ン に付属のマニ ュ
アルを参照 し て く だ さ い。
4-3
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
■
4-4
認証 : 機器に対す る ユーザ ア ク セ ス を許可す る プ ロ セ ス で、入力 さ
れたユーザ名 と パ ス ワー ド のペア を あ ら か じ め保存 さ れてい る
ユーザ名 / パ ス ワー ド デー タ と 比較 し ます。 ま た認証では、 ( 管理
者に よ っ て ) あ ら か じ めユーザ名 と パ ス ワ ー ド のペアに割 り 当て
ら れてい る権限に応 じ た ア ク セ ス レベル も 付与 さ れます。
•
ローカル認証 : こ の方法では、 ス イ ッ チに ロ ーカルに設定 さ れ
る ユーザ名 / パ ス ワ ー ド のペア を使用 し ます。 管理者レベル と
オペレー タ レベルの ス イ ッ チ ア ク セ ス ご と に、 それぞれ 1 ペ
アずつ設定で き ます。 ロ ーカル ユーザ名 と パ ス ワ ー ド は、 CLI
ま たは Web ブ ラ ウ ザ イ ン タ フ ェース を使用 し て設定で き ま
す。( メ ニ ュ ー イ ン タ フ ェ ース か ら は ロ ーカル パ ス ワー ド は設
定で き ますが、 ユーザ名は設定で き ません。 ) こ の方法では、
ス イ ッ チにア ク セ スす る ユーザにではな く 、 ス イ ッ チにパ ス
ワー ド を設定す る ため、 各ス イ ッ チのパ ス ワー ド 情報を ス
イ ッ チにア ク セ スす る 必要があ る すべてのユーザに配布 し 、
ス イ ッ チご と にパ ス ワー ド を設定 し て管理す る 必要があ り ま
す。 ( ロ ーカル認証の詳細は、 2- 1 ページの 「ユーザ名お よ び
パ ス ワー ド セ キ ュ リ テ ィ の設定」 を参照 し て く だ さ い。)
•
TACACS+ 認証 : こ の方法では、TACACS+ サーバを使用 し て、
1 つま たは複数の ス イ ッ チや他の TACACS 対応機器への接続を
必要 と す る ユーザご と 、 ま たはグループに対 し て、 固有のパ ス
ワー ド 、 ユーザ名お よ び権限レベルを設定で き ます。 中央サー
バで 1 次認証を管理す る ため、 ロ ーカル認証のみを使用す る場
合 と 比べ、 よ り 多 く のオプシ ョ ン が使用で き ま す。 (TACACS+
サーバが使用で き ない場合に備え て、 バ ッ ク ア ッ プ と し て ロ ー
カ ル 認 証 も 使 用す る 必要 が あ り ま す。 ) た と え ば、 中央 の
TACACS+ サーバをすれば、 ス イ ッ チの ロ ーカル ユーザ名 と パ
ス ワ ー ド 設定を変更す る こ と な く 、 ま た変更を他のユーザに知
ら せ る こ と な く 、 特定のユーザに対す る ア ク セ ス許可、 ア ク セ
ス変更、 ア ク セ ス拒否を実行で き る と い う こ と です。
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
基本的なシ ス テ ム要件
TACACS+ 認証を使用す る には、 以下が必要です。
注記
■
TACACS+ サーバ アプ リ ケーシ ョ ンがネ ッ ト ワー ク 上の 1 つま たは
複数のサーバ管理ス テーシ ョ ン に イ ン ス ト ール さ れてい る こ と 。 (
使用可能な TACACS+ ソ フ ト ウ ェ アパ ッ ケージがい く つかあ り ま
す。 )
■
1 つま たは複数の TACACS+ サーバにア ク セ スす る TACACS+ 認証
用に設定 さ れた ス イ ッ チ。
TACACS+ セキ ュ リ テ ィ は、TACACS+ サーバ アプ リ ケーシ ョ ンが適切に用
い ら れていない と 、 効果を発揮 し ません。 こ のため、 ネ ッ ト ワー ク で用い
る すべての TACACS+ 設定を十分にテ ス ト す る こ と をお勧め し ます。
ProCurve の TACACS+ 対応ス イ ッ チには、 複数のバ ッ ク ア ッ プ TACACS+
サーバを設定す る機能があ り ます。 冗長バ ッ ク ア ッ プ イ ン ス ト ールを サ
ポー ト す る TACACS+ サーバ アプ リ ケーシ ョ ン を使用す る こ と をお勧め し
ます。 こ れに よ り 、 第 1 候補の TACACS+ サーバへのア ク セ ス が失われた
場合に、 バ ッ ク ア ッ プ TACACS+ サーバを使用で き る よ う に ス イ ッ チを設
定で き ます。
TACACS+ は Web ブ ラ ウ ザの イ ン タ フ ェース ア ク セ ス を サポー ト し ませ
ん。 (4- 24 ページの 「TACACS+ 認証での Web ブ ラ ウ ザ イ ン タ フ ェース の
ア ク セ ス制御」 を参照 し て く だ さ い。 )
基本的な認証の設定手順
TACACS+ サービ ス を完全に導入す る 前に、 テ ス ト を行 う こ と が重要です。
TACACS+ に設定 し たパ ラ メ ー タ や認証動作テ ス ト で使用 し たプ ロ セ ス に
よ っ ては、 自身 も 含め、 すべてのユーザを ロ ッ ク ア ウ ト し て ス イ ッ チにア
ク セ ス で き な く な る こ と があ り ます。 復旧は簡単ですが、 で き る 限 り こ の
よ う な こ と は避け る べ き です。 ス イ ッ チで意図 し ない ロ ッ ク ア ウ ト を避け
る ために、 最初は 1 つのア ク セ ス手段 ( た と えば、 Telnet ア ク セ ス ) のみ
4-5
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
に TACACS+ の設定を行い、 他のア ク セ ス手段 ( こ の場合、 コ ン ソ ール接
続 ) には TACACS+ の設定を し ない よ う に し て く だ さ い。 以下の手順は、
基本的なセ ッ ト ア ッ プ手順を概説 し た も のです。
注記
TACACS+ 設定の結果 と し て ス イ ッ チでア ク セ ス ロ ッ ク ア ウ ト が発生 し た
場合、 復旧方法については、 使用す る ス イ ッ チの 『 マネジ メ ン ト / コ ン
フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 で、 ト ラ ブルシ ューテ ィ ン グの章の
「TACACS+ オペレーシ ョ ン の ト ラ ブルシ ューテ ィ ン グ」 の項を参照 し て く
だ さ い。
1.
ス イ ッ チと 組み合わせて使用する た めに、 TACACS+ サーバ ア プリ
ケ ーシ ョ ン の設定要件を よ く 理解する 必要があ り ま す。 (TACACS+
サーバソ フ ト ウ ェ ア に付属のマニ ュ ア ルを 参照し て く ださ い。 ) こ れ
には、 暗号キ ーを 設定する 必要があ る かど う かを 判断する 知識も 含ま
れま す。 (4-23 ページ の「 暗号キ ーの使用」 を 参照し てく ださ い。 )
2. 以下のこ と を 設定し ま す。
•
•
•
ス イ ッ チが認証に使用する
TACACS+ サーバの IP ア ド レ
ス。 複数のサーバを使用する場
合、 どのサーバが認証サーバの
第 1 候補であるかを設定 し ま
す。
ス イ ッ チがサーバ と 通信するの
に使用する暗号キー ( 必要な場
合 )。 TACACS+ サーバにおける
暗号化の設定に応 じ て、 グロー
バル キーまたはサーバ固有の
キーのいずれかを使用で き ま
す。
ログ イ ンの試行回数。 この回数
を超え る と ログ イ ン セ ッ シ ョ
ン を閉 じ る よ う に設定で き ま
す。 ( デ フ ォル ト : 3)
•
•
•
•
別のサーバを試行する ま でス
イ ッ チが認証要求の応答を待つ
時間。
TACACS+ サーバがス イ ッ チの
ア ク セス制御に使用するユーザ
名 / パスワー ド のペア。
ス イ ッ チのア ク セス制御を
TACACS+ サーバで管理する際
に各ユーザ名 / パスワー ド のペ
アに付与する権限レベル。
ロー カル認証に使用するユーザ
名 / パスワー ド のペア ( オペ
レー タ レベルおよび管理者レベ
ルにそれぞれ 1 ペアずつ )。
3. ス イ ッ チへの Telnet ア ク セス (login およ び enable) で使用する
TACACS+ オペレ ーシ ョ ン 向けに TACACS+ サーバの設定を ス イ ッ チに
入力し ま す。 こ れには、 オペレ ータ (Read-Only ( 読み取り 専用 )) 権限
レ ベルおよ び管理者 (Read/Write ( 読み取り と 書き 込み )) 権限レ ベルご
と のロ グ イ ン ユーザ名 / パス ワ ード のペア の設定が含ま れま す。
4-6
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
権 限レ ベ ル に つ
い ての 注 記
TACACS+ サーバが ス イ ッ チのア ク セ ス要求を認証す る 際、 ス イ ッ チの
応答には、 ア ク セ ス を要求す る タ ー ミ ナルの権限レベルを ス イ ッ チが
判断す る のに使用する 権限レベル コ ー ド が含ま れてい ます。 ス イ ッ チ
は、 権限レベル コ ー ド 「15」 を管理者 (Read/Write ( 読み取 り と 書 き 込
み )) 権限レベルのア ク セ ス許可 と 解釈 し ます。 14 以下の権限レベル
コ ー ド は、 オペレー タ (Read-Only ( 読み取 り 専用 )) ア ク セ ス にな り ま
す。 し たがっ て、 TACACS+ サーバで、 管理者権限を持つユーザ名 / パ
ス ワー ド のペア を含む要求への応答を設定す る 場合には、 権限レベル
15 を使用す る 必要があ り ます。 こ の ト ピ ッ ク については、 使用す る
TACACS+ サーバ アプ リ ケーシ ョ ン に付属のマニ ュ アルを参照 し て く
だ さ い。
TACACS+ サーバを初めて使用す る 場合は、 お使いのネ ッ ト ワ ー ク 環境
で、 TACACS+ アプ リ ケーシ ョ ンがサービ ス を提供す る のに最低限必要
な機能のみを設定する こ と をお勧め し ます。 最低限の機能で正 し く 動
作す る こ と を確認 し てか ら 、 アプ リ ケーシ ョ ン で提供 さ れてい る 機能
を追加 し てみて く だ さ い。
4. ス イ ッ チに管理者ア ク セス 用の正し いロ ーカ ル ユーザ名と パス ワ ード
が設定さ れている こ と を 確認し ま す。 ( ス イ ッ チが指定し た TACACS+
サーバを 検出でき な かっ た 場合に、 ロ ーカ ルの管理者およ びオペレ ー
タ のユーザ名 / パス ワ ード のペア が代替のア ク セス 制御方法と し て 使
用さ れま す。 )
CAUTION
ス イ ッ チに ロ ーカルの管理者パ ス ワー ド が設定 さ れてい る こ と を確認
す る必要があ り ます。 ない場合、 TACACS+ サーバを介 し た認証が何 ら
かの理由で失敗す る と 、 コ ン ソ ールポー ト ま たは Telnet を介 し た未認
可ア ク セ ス を許可する こ と にな り ます。
5.
ス イ ッ チの コ ン ソ ールポー ト に接続 さ れてい る タ ー ミ ナル機器を使用
し て、 telnet login ア ク セ スお よ び telnet enable ア ク セ ス に限定 し た
TACACS+ 認証を ス イ ッ チに設定 し ます。 こ の段階では、 ス イ ッ チへ
の コ ン ソ ール ア ク セ ス には TACACS+ 認証を設定 し ません。 Telnet 方
式の設定のデバ ッ グが必要な場合に コ ン ソ ール ア ク セ ス を使用す る 必
要があ る ためです。
6.
ス イ ッ チがネ ッ ト ワ ー ク で動作す る よ う に設定 さ れてお り 、 第 1 候補
の TACACS+ サーバ と 通信で き る こ と を確認 し ます。 ( 少な く と も 、 IP
ア ド レ ス が設定 さ れてお り 、 ス イ ッ チか ら サーバへの ping テ ス ト に成
功す る 必要があ り ま す。 )
7.
リ モー ト タ ー ミ ナル 機器で、 ス イ ッ チへのア ク セ ス に Telnet を使用
し ます。 ア ク セ ス に失敗 し た場合、 コ ン ソ ール ア ク セ ス を使用 し て ス
イ ッ チの TACACS+ 設定を確認 し ます。 ス イ ッ チの設定を変更 し た場
合、 Telnet ア ク セ ス を再び確認 し ます。 それで も Telnet ア ク セ ス に失
4-7
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
敗す る 場合、 TACACS+ サーバ アプ リ ケーシ ョ ン の設定を確認 し 、
サーバの ス イ ッ チ と の相互運用に影響す る 設定の誤 り ま たはデー タ の
誤 り がないか を調べます。
8. TACACS+ サーバを使用 し た Telnet ア ク セ ス のテ ス ト が成功 し た ら 、
コ ン ソ ール ア ク セ ス に TACACS+ サーバを設定 し ます。 次に コ ン ソ ー
ル ア ク セ ス のテ ス ト を行い ます。 ア ク セ ス に問題が発生 し た ら 、 ス
イ ッ チの設定を確認 し て問題を修正 し 、 再び コ ン ソ ール ア ク セ ス を確
認 し ます。 それで も 問題があ る 場合、 TACACS+ サーバ アプ リ ケー
シ ョ ン を確認 し て コ ン ソ ール ア ク セ ス に影響す る 設定の誤 り やデー タ
の誤 り がないか を調べます。
9.
Telnet およ びス イ ッ チの コ ン ソ ールを介し た TACACS+ ア ク セ ス が適切
に動作し てい る こ と を確認で き た ら 、write memory コ マン ド を使用し て
ス イ ッ チの running-config フ ァ イ ルを フ ラ ッ シ ュ メ モ リ に保存し ます。
ス イ ッ チでの TACACS+ 設定
始め る 前に
TACACS+ 認証をは じ めて使用す る 場合は、 4- 5 ページの 「基本的な認証の
設定手順」 を読んで TACACS+ サーバを設定 し てか ら ス イ ッ チの認証機能
を設定す る こ と をお勧め し ます。
ス イ ッ チには、 TACACS+ オペレーシ ョ ン用に以下の 3 つの タ イ プの コ マ
ン ド があ り ます。
4-8
■
show authentication お よ び show tacacs: ス イ ッ チの TACACS+ 設
定お よ びス テー タ ス を表示 し ます。
■
aaa authentication: ス イ ッ チの認証方式を設定す る コ マ ン ド
■
tacacs-server: TACACS+ サーバ と ス イ ッ チ と の接続を設定す る コ
マン ド
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
こ の項で説明す る CLI コ マ ン ド
コマンド
ページ
show authentication
4- 9
show tacacs
4- 10
aaa authentication
4- 11 ~ 4- 14
console
Telnet
num-attempts <1-10 >
tacacs-server
4- 15
host < ip-addr >
4- 15
key
4- 19
timeout < 1-255 >
4- 20
現在の ス イ ッ チの認証設定の表示
こ の コ マ ン ド は、 1 つの ロ グ イ ン セ ッ シ ョ ン で ス イ ッ チが許可す る ロ グ イ
ン試行回数 と 、 各ア ク セ ス手段ご と に設定 さ れてい る 1 次 /2 次ア ク セ ス
手段を一覧表示 し ます。
構文 :
show authentication
こ の例は、 デフ ォ ル ト の認証設定を示 し てい ます。
ス イ ッ チ コ ン ソ ール ポー ト
を介 し たス イ ッ チへの login お
よび enable ア ク セスの設定
Telnet を介 し たス イ ッ チへの
login および enable ア ク セス
の設定
図 4-2. スイッチの認証設定の一覧表示例
4-9
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
現在の ス イ ッ チの TACACS+ サーバ接続設定の表示
こ の コ マ ン ド は、 タ イ ム ア ウ ト 時間、 暗号キー、 お よ びス イ ッ チが通信す
る 第 1 候補お よ びバ ッ ク ア ッ プ TACACS+ サーバの IP ア ド レ ス を一覧表示
し ます。
構文 :
show tacacs
た と えば、 ス イ ッ チに第 1 候補 と 2 つのバ ッ ク ア ッ プ TACACS+ サーバの
IP ア ド レ ス、デフ ォ ル ト の タ イ ム ア ウ ト 時間お よ び ( グ ロ ーバル ) 暗号キー
の [paris-1] を設定 し た場合、show tacacs は以下の よ う に一覧表示 し ます。
第 1 候補
TACACS+ サーバ
第 2 候補
TACACS+ サーバ
第 3 候補
TACACS+ サーバ
図 4-3. スイッチの TACACS+ 設定の一覧表示例
4-10
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
ス イ ッ チの認証方式の設定
aaa authentication は、ス イ ッ チへの コ ン ソ ール ポー ト のア ク セ ス と Telnet
ア ク セ ス の制御を設定す る コ マ ン ド です。 aaa authentication コ マ ン ド を使
用すれば、 両方のア ク セ ス手段に対 し て、 認証方式に TACACS+ サーバ と
ス イ ッ チの ロ ーカル認証のど ち ら を使用す る か、1 次認証に失敗 し た後の認
証は ど う す る か ( ア ク セ ス を拒否す る か ) を指定で き ます。ま た こ の コ マ ン
ド では、 最初の試行で誤っ たユーザ名 / パ ス ワー ド のペアが入力 さ れた場
合に、 セ ッ シ ョ ン で許可する ア ク セ ス試行回数 も 再設定で き ます。
構文 :
aaa authentication
< console | telnet >
設定に使用する手段 と し て コ ン ソール ( シ リ アル ポー ト )
または Telnet のいずれかのア ク セス方法を選択し ます。
< enable | login >
管理者 (enable) ま たはオペレー タ (login) のいずれかのア
ク セ ス レベルを選択 し ます。
< local | tacacs | radius >
以下の中からセキュ リ テ ィ ア ク セスのタ イプを選択し ます。
local ― ス イ ッ チで設定 さ れ る管理者ま たはオペレー
タ パ ス ワー ド で認証。
tacacs ― TACACS+ サーバに設定 さ れたパ ス ワー ド
な ど のデー タ で認証。
radius ― RADIUS サーバに設定 さ れたパ ス ワー ド な
ど のデー タ で認証。 (5- 1 ページの 「RADIUS 認証お よ
びア カ ウ ン テ ィ ン グ」 を参照 し て く だ さ い。 )
[< local | none >]
1 次認証方式で失敗 し た場合は、 2 次認証方式 と し て
ロ ーカル パ ス ワー ド を用いい る か、 あ る いはア ク セ ス
を禁 じ る のかを決定 し ます。
注記 : 1 次認証が [local] の場合、 2 次認証ア ク セ ス方式
に対 し て [local] を使用で き ません。
aaa authentication num-attempts < 1-10 >
現在のセ ッ シ ョ ンで許可す る 最大の ロ グ イ ン試行回数を指定
し ます。 デフ ォ ル ト : 3
4-11
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
表 4-1.
aaa authentication のパラメータ
名前
デフォ
ルト
範囲
機能
console
n/a
n/a
コ マ ン ド で、 コ ン ソ ール ポー ト と Telnet ア ク セス手段のど ち らの認証
を設定するかを指定 し ます。
n/a
n/a
設定する ア ク セス手段に対する権限レベルを指定 し ます。
login: オペレー タ (Read-Only( 読み取 り 専用 )) 権限
enable: 管理者 (Read/Write ( 読み取 り と 書き込み )) 権限
local
n/a
設定する ア ク セス手段に対する 1 次認証方式を指定 し ます。
local: 設定する権限レベルに対 し てス イ ッ チのロー カルに設定 さ れた
ユーザ名 / パスワー ド のペア を使用 し ます。
tacacs: TACACS+ サーバを使用 し ます。
none
n/a
設定する認証の 2 次 ( バ ッ ク ア ッ プ ) タ イ プ を指定 し ます。
local: 設定する権限レベルに対し てス イ ッ チのローカルに設定されたユー
ザ名 / パスワー ド のペア。 1 次認証が [local] の場合は使用できません。
none: 設定する方式 / 権限パスに対する 2 次認証は設定 し ません。 ( 設
定するアクセス手段の 1 次認証方式が [local] の場合のみ適用可能 )
注記 : コ マ ン ド ラ イ ンに このパラ メ ー タ を指定 し ない場合、 ス イ ッ チは
以下のよ う に自動的に 2 次認証方式を割 り 当てます。
• 1 次認証方式が [tacacs] の場合、 2 次方式は [local] のみです。
• 1 次認証方式が [local] の場合、 2 次方式は [none] のみです。
1 - 10
認証セ ッ シ ョ ン で、 ア ク セス を拒否 し 、 セ ッ シ ョ ン を終了する ま でに
許可する ( ユーザ名 / パスワー ド のペア を入力する ) 試行回数を指定 し
ます。
または
telnet
enable
または
login
local
または
tacacs
local
または
none
num-attempts 3
以下の表で示 し てい る よ う に、 ス イ ッ チの コ ン ソ ール ポー ト への タ ー ミ ナ
ル接続を介 し た login お よ び enable ア ク セ ス は、 常に使用で き ます。 一方、
Telnet ア ク セ ス では、 TACACS+ サーバがダ ウ ン し た場合な ど ス イ ッ チか
ら 使用で き な く な っ た場合、 ア ク セ ス を拒否す る よ う に TACACS+ を設定
で き ます。
4-12
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
表 4-2.
1 次 /2 次認証表
アクセス手段と権
限レベル
Console ― Login
Console ― Enable
Telnet ― Login
Telnet ― Enable
認証オプション
アクセス試行時の動作
1次
2次
local
none*
tacacs
local
local
none*
tacacs
local
local
none*
tacacs
local
TACACS+ サーバが使用で き ない場合は、 ロー カルのユーザ名
/ パスワー ド ア ク セス を使用 し ます。
tacacs
none
TACACS+ サーバが使用で き ない場合は、 ア ク セス を拒否 し ま
す。
local
none*
ロー カルのユーザ名 / パスワー ド ア ク セスのみ
tacacs
local
TACACS+ サーバが使用で き ない場合は、 ロー カルのユーザ名
/ パスワー ド ア ク セス を使用 し ます。
tacacs
none
TACACS+ サーバが使用で き ない場合は、 ア ク セス を拒否 し ま
す。
ロー カルのユーザ名 / パスワー ド ア ク セスのみ
TACACS+ サーバが使用で き ない場合は、 ロー カルのユーザ名
/ パスワー ド ア ク セス を使用 し ます。
ロー カルのユーザ名 / パスワー ド ア ク セスのみ
TACACS+ サーバが使用で き ない場合は、 ロー カルのユーザ名
/ パスワー ド ア ク セス を使用 し ます。
ロー カルのユーザ名 / パスワー ド ア ク セスのみ
* 2 次オプ シ ョ ン に も 「local」 を選択する こ と はで き ます。 ただ し 、 ス イ ッ チのロー カル レベルのユーザ
名 / パスワー ド 保護は (login、 enable ご と に ) 1 つ し かないため、 2 次オプ シ ョ ンに 「local」 を選択 し て も
意味があ り ません。
Login レベルの 1
次認証で「local」
を使用する場合の
注意
ロ ーカル認証 (TACACS+ サーバではな く 、 ス イ ッ チに設定 さ れてい る パ ス
ワー ド を使用 ) を行っ てい る間、 ス イ ッ チはオペレー タ パ ス ワー ド が入力
さ れた場合には Read-Only ( 読み取 り 専用 ) ア ク セ ス を、 ま た管理者パ ス
ワー ド が入力 さ れた場合には Read/Write ( 読み取 り と 書 き 込み ) ア ク セ ス
を、 それぞれ許可 し ます。 た と えば、 Telnet - Login レベルの 1 次認証に
「local」 を、 ま た Telnet - Enable レベルの 1 次認証に 「tacacs」 を ス イ ッ
チに設定 し た場合、 ス イ ッ チに Telnet 接続を試みる と 、 ロ ーカル パス
ワー ド の入力を求め る プ ロ ンプ ト が表示 さ れます。 ス イ ッ チの ロ ーカル管
理者パ ス ワー ド を入力す る と (ま たは ス イ ッ チに ロ ーカル管理者パ ス ワー
ド が設定 さ れていない場合)、 Telnet - Enable レベルの 1 次認証に対 し て
TACACS+ サーバ認証が行われずに、 直接 Read/Write ( 読み取 り と 書 き 込
み ) ( 管理者 ) ア ク セ ス がで き て し ま う こ と にな り ます。 し たがっ て、
Telnet 方式 と コ ン ソ ール ア ク セ ス方式のいずれに対 し て も 、 ロ ーカル認証
には Login レベルの 1 次認証を設定 し 、 なおかつ TACACS+ 認証には
4-13
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
Enable レベルの 1 次認証を設定す る こ と は、 お勧めで き ません。 こ う す る
と 、 TACACS+ 認証を用い る 意味がな く な る ためです。 TACACS+ サーバに
ア ク セ スす る ために Enable レベルの 1 次認証 ロ グ イ ン を試行す る 場合は、
ロ ーカル認証に Login レベルの 1 次認証を設定す る のではな く 、 Tacacs 認
証に対 し て Login レベルの 1 次認証 と Enable レベルの 1 次認証の両方を設
定す る 必要があ り ます。
た と えば、 ア ク セス オプシ ョ ン と の対応する設定コ マン ド は以下の通 り です。
Console Login ( オペレータ (Read-Only ( 読み取り専用 ))) アクセス : 1 次認証に TACACS+ サー
バを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication console login tacacs local
Console Enable ( 管理者 (Read/Write ( 読み取りと書き込み ))) アクセス : 1 次認証に TACACS+
サーバを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication console enable tacacs local
Telnet Login ( オペレータ (Read-Only ( 読み取り専用 ))) アクセス : 1 次認証に TACACS+ サー
バを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication Telnet login tacacs local
Telent Enable ( 管理者 (Read/Write ( 読み取りと書き込み ))) アクセス : 1 次認証に TACACS+
サーバを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication telnet enable tacacs local
2 回連続でユーザ名 / パスワードによる認証が失敗したら、アクセスを拒否し、セッションを
終了します。
ProCurve(config)# aaa authentication num-attempts 2
4-14
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
ス イ ッ チの TACACS+ サーバ ア ク セ ス の設定
tacacs-server コ マ ン ド で、 以下のパ ラ メ ー タ を設定 し ます。
注記
■
最大3台の TACACS+ サーバのホ ス ト IPアドレス: 1台が第1候補で、
バ ッ ク ア ッ プは 2 台ま でです。 バ ッ ク ア ッ プ サーバを指定す る の
は、 ス イ ッ チが第 1 候補のサーバに接続で き ない場合で も 認証
サービ ス を継続す る ためです。
■
オプションの暗号キー : こ のキーは、 セ キ ュ リ テ ィ の向上に役立つ
も ので、 TACACS+ サーバ アプ リ ケーシ ョ ン で使用す る暗号キー と
一致 し てい る 必要があ り ます。 アプ リ ケーシ ョ ンに よ っ ては、 「暗
号キー」 を 「秘密キー」、 「シー ク レ ッ ト 」 な ど と 言 う 場合 も あ り
ます。 TACACS+ サーバを介 し たすべての認証で使用す る ス イ ッ チ
の暗号キーを 1 つにす る場合は、 グ ロ ーバル キーを設定 し て く だ
さ い。 各 TACACS+ サーバご と に異な る 暗号キーが設定 さ れてい
る 場合は、 それぞれに対応 し た暗号キーを使用す る よ う に ス イ ッ
チを設定で き ます。
■
TACACS+ サーバ と の通信を試行す る 際のタイムアウト値 ( 単位 :
秒 ): ス イ ッ チが認証要求を送信 し た後、 指定 し た タ イ ム ア ウ ト 時
間内に応答がない場合、 ス イ ッ チは Server IP Addr 一覧に
TACACS+ サーバが存在すれば、 その一覧にあ る 次のサーバに要求
を再送信 し ます。 ス イ ッ チが ど の TACACS+ サーバか ら の応答 も
得 ら れない場合、 ス イ ッ チは認証方式を aaa authentication コ マ ン
ド で設定 さ れた 2 次オプシ ョ ン に切 り 替え ます。 (local ま たは
none。 4- 11 ページの 「 ス イ ッ チの認証方式の設定」 を参照 し て く
だ さ い。 )
4- 5 ページの 「基本的な認証の設定手順」 に記述 さ れてい る よ う に、 コ ン
ソ ール ポー ト か ら ア ク セ ス し て認証を設定す る前に、 Telnet でア ク セ ス し
て認証の設定、 テ ス ト 、 お よ び ト ラ ブルシ ュ ーテ ィ ン グ を行 う こ と をお勧
め ます。 こ う す る こ と で、 ス イ ッ チ ま たは TACACS+ サーバで認証を設定
す る際にエ ラ ーや障害が発生 し て ス イ ッ チにア ク セ ス で き な く な る よ う な
偶発的な事態を回避す る こ と がで き ます。
4-15
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
構文 :
tacacs-server host < ip-addr > [key < key-string >]
TACACS+ サーバを追加 し 、 オプシ ョ ンでサーバ専用の暗
号キーを割 り 当て ます。
[no] tacacs-server host < ip-addr >
TACACS+ サーバ割 り 当て を削除 し ます ( 存在す る 場合、
サーバ固有の暗号キー も 削除 さ れます ) 。
tacacs-server key <key-string>
オプシ ョ ンのグ ロ ーバル暗号キーを入力 し ます。
[no] tacacs-server key
オプシ ョ ンのグ ロ ーバル暗号キーを削除 し ます。 ( サーバ
専用の暗号キーの割 り 当てには影響 し ません。 )
tacacs-server timeout < 1-255 >
TACACS サーバの応答に対す る 待ち時間を変更 し ます。 (
デフ ォ ル ト : 5 秒 )
暗 号キ ー に つ い
て の注 記
ス イ ッ チに設定 さ れ る 暗号キーは、 ス イ ッ チが認証に用い る TACACS+
サーバに設定 さ れてい る 暗号キー と 完全に一致 し てい る必要があ り ます。
グ ロ ーバル暗号キーが設定 さ れてい る 場合、 ス イ ッ チはサーバ固有のキー
が設定 さ れていないサーバ と のセ ッ シ ョ ン でグ ロ ーバル暗号キーのみを用
い ます。 し たがっ て、 使用 し てい る すべての TACACS+ サーバに同一の
キーが設定 さ れてい る 場合はグ ロ ーバル キーが有用であ り 、 TACACS+
サーバご と に設定 さ れてい る キーが異な る場合はサーバ固有のキーが必要
と な り ます。
TACACS+ サーバ 「X」 に ス イ ッ チ用の暗号キーが設定 さ れていない場合、
ス イ ッ チにサーバ 「X」 用のグ ロ ーバル暗号キーま たはサーバ固有のキー
のいずれか を設定す る と 、 サーバ 「X」 に よ る 認証が行われません。
4-16
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
表 4-3.
TACACS サーバおよびキー設定の詳細
名前
デフォルト 範囲
tacacs-server host <ip-addr>
none
n/a
こ のコ マ ン ド は、 TACACS+ サーバ ア プ リ ケーシ ョ ンが動作する機器の IP ア ド レ ス を指定 し ます。 各サー
バに固有の暗号キーが設定 さ れている場合は、 サーバご と に固有の暗号キーを指定 し ます。 暗号キーの詳
細は、 4- 23 ページの 「暗号キーの使用」 お よび使用する TACACS +サーバア プ リ ケーシ ョ ンに付属のマ
ニ ュ アルを参照 し て く だ さ い。
最大 3 つの IP ア ド レ ス を入力で き、 1 つは第 1 候補で 2 つ ( オプ シ ョ ン ) はバ ッ ク ア ッ プ ( 第 2 および第 3
候補 ) にな り ます。
show tacacs を使用 し て現在の IP ア ド レ スの一覧を表示 し ます。
第 1 候補の TACACS+ サーバが要求に応答 し ない場合、 ス イ ッ チは show tacacs の一覧に表示 さ れる 2 番目
のア ド レ ス を試行 し ます ( 存在する場合 )。 2 番目のア ド レ ス も 応答 し ない場合、 ス イ ッ チは 3 番目のア ド
レ ス を試行 し ます ( 存在する場合 )。
(4- 10 の図 4-3 「ス イ ッ チの TACACS+ 設定の一覧表示例」 を参照 し て く だ さ い。 )
ス イ ッ チが設定する TACACS+ サーバの優先順位 ( 第 1 候補、 第 2 候補、 第 3 候補 ) は、 サーバ IP ア ド レ
ス を入力 し た順番にな り ます。
1.TACACS+ サーバが設定 さ れていない場合、 サーバ IP ア ド レ ス を入力する と それが第 1 候補の
TACACS+ サーバにな り ます。
2.既に 1 つの TACACS+ サーバが設定 さ れている場合、 も う 1 つのサーバ IP ア ド レ ス を入力する と そ
れが第 2 候補 ( バ ッ ク ア ッ プ ) の TACACS+ サーバにな り ます。
3.既に 2 つの TACACS+ サーバが設定 さ れている場合、 も う 1 つのサーバ IP ア ド レ ス を入力する と そ
れが第 3 候補 ( バ ッ ク ア ッ プ ) の TACACS+ サーバにな り ます。
•
上記の優先順位の割 り 当ては固定 さ れます。 し たがっ て、 1 つのサーバを削除 し て別のサーバに置き換
えた場合、 新 し いサーバは削除 し たサーバの優先順位を継承 し ます。 た と えば、 3 つのサーバ A、 B、 C
を次の順番で設定 し た と し ます。
第 1 候補 : A
第 2 候補 : B
第 3 候補 : C
•
サーバ B を削除 し てサーバ X を入力 し た場合、TACACS+ サーバの優先順位は、第 1 候補 : A、第 2 候補 : X、
第 3 候補 : C、 と な り ます。
第 1 候補 : A
第 2 候補 : X
第 3 候補 : C
•
TACACS+ サーバの優先順位 リ ス ト に 2 つ以上の空き ス ロ ッ ト がある場合は、新 し い IP ア ド レ ス を入力す
る と 、 そのア ド レ スは優先順位が高い方の空き ス ロ ッ ト に反映 さ れます。 し たがっ て、 A、 B、 C が上記
のよ う に設定 さ れていて、 (1) A と B を削除 し 、 (2) X と Y を ( この順番で ) 入力 し た場合、 新 し い
TACACS+ サーバの優先順位 リ ス ト は X、 Y、 C と な り ます。
•
優先順位 リ ス ト の TACACS+ サーバの順番を変更する場合、最も 簡単な方法は、 リ ス ト のすべてのア ド レ
ス を削除 し て、 第 1 候補のサーバのア ド レ スから 新たにア ド レ ス を入力 し 直す こ と です。
既に 3 つのア ド レ スが存在する場合に新 し いア ド レ ス を追加するには、 まず現在一覧表示 さ れている ア ド
レ スの 1 つを削除する必要があ り ます。
4- 20 ページの 「TACACS+ サーバを使用する基本的な認証プ ロ セス」 を参照 し て く だ さ い。
4-17
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
名前
デフォルト 範囲
[ key <key-string> ]
なし
( 未設定 )
n/a
グ ロ ーバル 「暗号キー」 を 指定 し ま す ( オ プ シ ョ ン )。 こ のキーは、 ス イ ッ チが認証用に ア ク セ スす る
TACACS+ サーバに も 割 り 当て ら れます。 ただ し 、 このキーは、 「サーバご と 」 に設定 さ れる暗号キーの下
位に位置する も ので、 使用 さ れるのは、 ス イ ッ チがサーバ固有のキーを持たない TACACS+ サーバにア ク セ
スする場合のみです。( この表の最初にある host <ip-addr> [key <key-string> エ ン ト リ を参照 し て く だ さ い。)
暗号キーの詳細は、 4- 23 ページの 「暗号キーの使用」 お よび使用する TACACS +サーバア プ リ ケーシ ョ
ンに付属のマニ ュ アルを参照 し て く だ さ い。
timeout <1 - 255>
5秒
1 ~ 255 秒
ス イ ッ チの認証要求に対する TACACS+ サーバの応答待ち時間を指定 し ます。 ス イ ッ チが タ イムアウ ト 時
間内に応答を得ら れなかっ た場合、 リ ス ト にある次の TACACS+ サーバに新たに要求を送信 し ます。 リ ス
ト にあるすべての TACACS+ サーバが タ イムアウ ト 時間内に応答 し なか っ た場合、 ス イ ッ チは ( 設定 さ れ
ている場合 ) ロー カル認証を使用するか、 または ( ロー カル認証に [none] が設定 さ れている場合 ) ア ク セ
ス を拒否 し ます。
TACACS+ サーバの優先順位の設定、削除、変更。ス イ ッ チにあ ら か じ め
TACACS+ サーバ 10.28.227.10 お よ び 10.28.227.15 が設定 さ れてい る と し ま
す。 こ の場合、 10.28.227.15 が最初に入力 さ れたため、 第 1 候補のサーバ
と し て一覧表示 さ れてい ます。
第 1 候補 TACACS+ サーバ
図 4-4. スイッチに 2 つの TACACS+ サーバのアドレスが設定されている例
「第 1 候補」 ス テー タ ス を 「10.28.227.15」 サーバか ら 「10.28.227.10」 サー
バに変更す る には、 no tacacs-server host <ip-addr> コ マ ン ド を使用 し て両
方のサーバを削除 し 、 tacacs-server host <ip-addr> を使用 し て
「10.28.227.10」 サーバを最初に入力 し 、 次に 「10.28.227.15」 サーバを入力
し ます。
以下の よ う に、 「第 1 候補」 サーバが新 し く な っ たサーバ一覧が表示 さ れ
ます。
4-18
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
「10.28.227.10」 サーバが「第 1 候補」TACACS+ 認証機器 と な り ま し た。
図 4-5. 別の「第 1 候補」サーバを割り当てた後のスイッチの例
TACACS+ サーバ 10.28.227.15( 機器 ) を削除す る には、 以下の コ マ ン ド を
使用 し ます。
ProCurve (config)# no tacacs-server host 10.28.227.15
暗号キーの設定。ス イ ッ チが TACACS+ サーバに認証を要求す る には、 暗
号キーが必要です。 ( サーバがキーを要求 し て ス イ ッ チがそれを提供で き
ない場合や、 間違っ た キーを提供す る と 認証試行は失敗 し ます。 ) ス イ ッ
チが認証に使用す る TACACS+ サーバすべてに同 じ キーを適用す る場合は、
グ ロ ーバル暗号キー を使用 し ます。 各サーバご と にそれぞれ異な る キーを
適用す る 場合は、 サーバ固有の暗号キー を使用 し ます。 ( 暗号キーの詳細
は、 4- 23 ページの 「暗号キーの使用」 を参照 し て く だ さ い。 )
[north01] を グ ロ ーバル暗号キー と し て設定す る には、 以下の コ マ ン ド を使
用 し ます。
ProCurve(config) tacacs-server key north01
[north01] をサーバ固有の暗号キー と し て設定す る には、 以下の コ マ ン ド を
使用 し ます。
ProCurve(config)# tacacs-server host 10.28.227.63 key
north01
暗号キーには、 スペース な し で 100 文字ま で使用で き 、 ほ と ん ど の
TACACS+ アプ リ ケーシ ョ ン で大文字小文字が区別 さ れます。
グ ロ ーバル暗号キーを ス イ ッ チか ら 削除す る には、 以下の コ マ ン ド を使用
し ます。
ProCurve(config)# no tacacs-server key
4-19
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
ス イ ッ チか ら サーバ固有の暗号キーを削除す る には、 キー パ ラ メ ー タ な し
で tacacs-server ホ ス ト コ マ ン ド を再入力 し ます。 た と えば、 IP ア ド レ ス が
10.28.227.104 の TACACS+ サーバの暗号キー [north01] を削除す る には、
以下の コ マ ン ド を使用 し ます。
ProCurve(config)# tacacs-server host 10.28.227.104
注記
show tacacs コ マ ン ド は、 グ ロ ーバル暗号キーが設定 さ れてい る場合にそれ
を表示 し ます。 サーバ固有の暗号キーを表示す る には、 show config ま た
は show running-config を使用 し て く だ さ い (write mem を実行せずに
TACACS+ の設定を変更 し た場合 )。
タイムアウト時間の設定 : タ イ ム ア ウ ト 時間には、 ス イ ッ チの認証要求に
対す る TACACS+ サーバか ら の応答の待ち時間を指定 し ます。 時間内に応
答が得 ら れない場合、 ス イ ッ チは新 し い要求をサーバ IP ア ド レ ス リ ス ト
にあ る 次のサーバに送信する か、 ま たは ロ ーカル認証オプシ ョ ン を使用 し
ます。 た と えば、 タ イ ム ア ウ ト 時間を 5 秒 ( デフ ォ ル ト ) か ら 3 秒に変更
す る には、 以下の コ マ ン ド を実行 し ます。
ProCurve(config)# tacacs-server timeout 3
認証の動作方法
TACACS+ サーバを使用す る 基本的な認証プ ロ セ ス
TACACS+ サーバを介 し た認証では、 基本的には以下の よ う に動作 し ます。
特定の動作の詳細は、 TACACS+ サーバ アプ リ ケーシ ョ ン に付属のマニ ュ
アルを参照 し て く だ さ い。
第 1 候補の
TACACS+ サーバ
第 2 候補 の
TACACS+ サーバ
( オプ シ ョ ン )
第 3 候補の
TACACS+ サーバ
( オプ シ ョ ン )
TACACS+ オペ
レーシ ョ ンが設
定 さ れた
ProCurve Switch
TACACS+ オペ
レーシ ョ ンが設
定 さ れた
ProCurve Switch
図 4-6. 認証用の TACACS+ サーバの使用
4-20
タ ー ミ ナル 「A」 はこ のス イ ッ
チの コ ン ソ ール ポー ト を経由
し て直接ス イ ッ チにア ク セス
A
タ ー ミ ナル 「B」 は Telnet 経由で
このス イ ッ チに リ モー ト ア ク セス
B
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
上記の図 4-6 を例に、 ス イ ッ チが リ モー ト ま たは直接接続 さ れてい る タ ー
ミ ナルか ら オペレー タ の ロ グオン要求を検出す る と 、 以下の よ う な イ ベン
ト が発生 し ます。
1.
ス イ ッ チはその要求の認証を 「第 1 候補」 の TACACS+ サーバに問い
合わせ ます。
•
第 1 候補の TACACS+ サーバか ら の応答が得 ら れなか っ た場合、
ス イ ッ チは第 2 候補のサーバに問い合わせます。 ど の
TACACS+ サーバか ら も 応答が得 ら れなか っ た場合、 ス イ ッ チ
は ロ ーカルのユーザ名 / パ ス ワ ー ド のペア を使用 し て ロ グオ
ン要求を認証 し ます。 (4- 22 ページの 「 ロ ーカル認証プ ロ セ
ス」 を参照 し て く だ さ い。 )
•
TACACS+ サーバが ス イ ッ チを認識す る と 、 サーバは認証を要
求す る タ ー ミ ナルに ス イ ッ チを介 し てユーザ名のプ ロ ン プ ト
を返 し ます。
2. 認証を要求す る タ ー ミ ナルがユーザ名のプ ロ ン プ ト に応答す る と 、 ス
イ ッ チはそれを TACACS+ サーバに転送 し ます。
3.
サーバがユーザ名の入力を受信 し た後、 サーバは認証を要求す る タ ー
ミ ナルに ス イ ッ チを介 し てパ ス ワー ド のプ ロ ン プ ト を返 し ます。
4. 認証を要求す る タ ー ミ ナルがパ ス ワ ー ド のプ ロ ン プ ト に応答す る と 、
ス イ ッ チはそれを TACACS+ サーバに転送 し て、 以下のいずれかのア
ク シ ョ ン が発生 し ま す。
•
認証を要求す る タ ー ミ ナルか ら 受信 し たユーザ名 / パ ス ワー ド
のペアが、 あ ら か じ めサーバに保存 さ れてい る ユーザ名 / パ
ス ワ ー ド と 一致 し た場合、 サーバは ス イ ッ チを介 し て タ ー ミ
ナルにア ク セ ス許可を送信 し ます。
•
認証を要求す る タ ー ミ ナルで入力 さ れたユーザ名 / パ ス ワー ド
のペアが、 あ ら か じ めサーバに保存 さ れてい る ユーザ名 / パ
ス ワ ー ド のペア と 一致 し ない場合、 ア ク セ ス は拒否 さ れます。
こ の場合、 タ ー ミ ナル上でユーザ名 / パ ス ワー ド の再入力が
要求 さ れ、 手順 2 ~ 4 を繰 り 返 し ます。 デフ ォ ル ト 設定では、
ス イ ッ チは ロ グ イ ン セ ッ シ ョ ン の認証試行を 3 回ま で許可 し
ます。 認証を要求す る タ ー ミ ナルが TACACS+ 認証に成功す る
こ と な く 認証試行の制限数に達 し た場合、 ロ グ イ ン セ ッ シ ョ
ンは終了 し ます。 再び認証を試行す る には、 認証を要求す る
タ ー ミ ナルのオペレー タ は、 新 し いセ ッ シ ョ ン を開始 し 直す
必要があ り ます。
4-21
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
ロ ーカル認証プ ロ セ ス
ス イ ッ チが TACACS+ を使用す る よ う に設定 さ れてい る 場合、 以下の条件
に当ては ま る 場合、 ロ ーカル認証が実行 さ れます。
■
「Local」 が、 ア ク セ ス手段の認証オプシ ョ ンに設定 さ れてい る 。
■
TACACS+ が、 ア ク セ ス手段の 1 次認証方式に設定 さ れてい る 。 し
か し 、 ス イ ッ チは TACACS+ サーバに接続で き ず ( ま たはサーバが
設定 さ れていない )、 なおかつ「Local」が 2 次認証方式 と な っ て
い る。
( 認証オプシ ョ ン の一覧表示の詳細は、 4- 13 ページの表 4-2、 「1 次 /2 次認
証表」 を参照 し て く だ さ い。 )
ロ ーカル認証では、 ス イ ッ チはあ ら か じ め ス イ ッ チの ロ ーカルに設定 さ れ
てい る オペレー タ レベルお よ び管理者レベルのユーザ名 / パ ス ワー ド を使
用 し ます。 ( こ れ ら は、 CLI password コ マ ン ド 、 Web ブ ラ ウ ザ イ ン タ
フ ェース、 ま たは メ ニ ュ ー イ ン タ フ ェース を使用 し て設定す る ロ ーカルの
ユーザ名 と パ ス ワー ド です。 )
注記
4-22
■
認証を要求す る タ ー ミ ナルのオペレー タ がいずれかのア ク セ ス レ
ベルに応 じ た正 し いユーザ名 / パ ス ワ ー ド のペア を入力 し た場合、
ア ク セ ス が許可 さ れ ます。
■
認証を要求す る タ ー ミ ナルで入力 さ れたユーザ名 / パス ワ ー ド のペ
アが、 あ ら か じ め ロ ーカルに設定 さ れてい る ユーザ名 / パ ス ワー
ド のペア と 一致 し ない場合、 ア ク セ ス は拒否 さ れ ます。 こ の場合、
タ ー ミ ナルでユーザ名 と パ ス ワ ー ド の再入力を要求 さ れます。 デ
フ ォ ル ト 設定では、 試行回数は 3 回ま でに制限 さ れてい ます。 要
求 タ ー ミ ナルで、 認証に失敗 し た回数が設定 さ れてい る試行回数
に達す る と 、 ロ グ イ ン セ ッ シ ョ ンは終了 し ます。 再度 ロ グ イ ンす
る 場合は、 新 し いセ ッ シ ョ ン を開始す る 必要があ り ます。
ス イ ッ チの メ ニ ューか ら 設定で き る のは、 ロ ーカル オペレー タ お よ び管理
者パ ス ワー ド のみです。 ユーザ名は設定で き ません。 こ の場合、 ロ ーカル
認証のプ ロ ン プ ト が要求する のは ロ ーカル パス ワ ー ド のみ と な り ます。 た
だ し 、 CLI ま たは Web ブ ラ ウ ザ イ ン タ フ ェース を使っ て ロ ーカル ア ク セ
ス のユーザ名を設定す る 場合、 ロ ーカル認証の実行中、 ロ ーカル ユーザ名
と ロ ーカル パ ス ワー ド の両方の入力を求め る プ ロ ン プ ト が表示 さ れ ます。
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
暗号キーの使用
基本動作
暗号キー ( 「キー」、 「秘密キー」、 ま たは 「シー ク レ ッ ト 」 と も 呼ばれ る )
を使用す る こ と で、 ネ ッ ト ワー ク 上の未許可の侵入者が ス イ ッ チ と
TACACS+ サーバ と の間で流れ る TACACS+ パケ ッ ト か ら ユーザ名 と パ ス
ワー ド 情報を読み取れない よ う に し ます。 TACACS+ サーバでは、 以下の 2
つのキーが使用 さ れ ます。
注記
■
グローバル キー : 個別キーが設定 さ れていないすべての TACACS
対応機器に割 り 当て ら れ る 汎用キー。
■
サーバ固有のキー: 特定の TACACS 対応機器に割 り 当て ら れ る固有
のキー 。
ス イ ッ チに設定す る キーは、 TACACS +サーバ アプ リ ケーシ ョ ン が ス イ ッ
チに対 し て設定 し てい る キー と 同 じ であ る必要があ り ます。 つま り 、 ス
イ ッ チ 「X」 のキー パ ラ メ ー タ と 、 TACACS +サーバ アプ リ ケーシ ョ ン で
ス イ ッ チ 「X」 に対 し て設定 さ れてい る キー と が一致 し ない場合、 ス イ ッ
チ と TACACS +サーバ間の通信は失敗 し ます。
し たがっ て、 TACACS+ サーバ側では、 キーの設定方法を選択 し 、 ス イ ッ
チ側では、 そのサーバ内のキー と 一致す る キー パ ラ メ ー タ を入力す る 必要
があ り ます。 グ ロ ーバル キーま たは個別キーを TACACS+ サーバに設定す
る 方法については、 アプ リ ケーシ ョ ン に付属のマニ ュ アルを参照 し て く だ
さ い。
ス イ ッ チの暗号化オプシ ョ ン
暗号キーを設定す る と 、 ス イ ッ チはサーバに送信す る TACACS+ パケ ッ ト
を暗号化 し ます。 未設定の場合、 TACACS+ パケ ッ ト は ク リ ア テ キ ス ト で
送信 さ れ ます。 ス イ ッ チに設定 し た暗号キー ( ま たは 「キー」 ) は、 対応す
る TACACS+ サーバに設定 さ れてい る 暗号キー と 同一でなければな り ませ
ん。 ス イ ッ チが認証に使用す る すべての TACACS+ サーバで同一のキーを
設定す る 場合、 ス イ ッ チにグ ロ ーバル キーを設定 し ます。 こ れ ら のサーバ
の 1 つま たは複数でキーが異な る 場合、 ス イ ッ チに 「サーバ固有」 のキー
を使用 し ます。 ( グ ロ ーバル キー と サーバ固有のキーを設定 し た場合、
サーバにはグ ロ ーバル キー よ り も サーバ固有のキーが優先 さ れ ます。 )
4-23
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
た と えば、 2 つの TACACS+ サーバの [north40campus] と い う キー と 一致す
る グ ロ ーバル暗号キーを ス イ ッ チに設定す る には、 以下の コ マ ン ド を使用
し ます。 ( つま り 、 両方のサーバは ス イ ッ チ と 同 じ キーを使用 し ます。 ) ス
イ ッ チにグ ロ ーバル キーを設定す る 際、 サーバ IP ア ド レ ス が不要であ る
こ と に注意 し て く だ さ い。
ProCurve(config)# tacacs-server key north40campus
その後、 暗号キー [south10campus] が設定 さ れてい る 3 番目の TACACS+
サーバ (IP ア ド レ ス は 10.28.227.87) を追加す る と し ます。 こ のキーは前の
例の 2 つのサーバの も の と は異な る ため、 ス イ ッ チには こ のサーバに固有
のキーを設定す る必要があ り ます。
ProCurve(config)# tacacs-server host 10.28.227.87 key
south10campus
上記 2 つのキーが ス イ ッ チに設定 さ れてい る 場合、 10.28.227.87 と い う ア
ド レ ス の TACACS+ サーバにア ク セ ス し よ う と す る 場合のみ、
[south10campus] キーが [north40campus] キー よ り も 優先 さ れ ます。
TACACS+ 認証での Web ブ ラ ウ ザ イ ン
タ フ ェ ース のア ク セ ス制御
ス イ ッ チで TACACS+ 認証を設定 し て も 、 Web ブ ラ ウ ザ イ ン タ フ ェースへ
のア ク セ ス には影響 し ません。 Web ブ ラ ウ ザ イ ン タ フ ェース経由での未認
可ア ク セ ス を防ぐ ために、 以下のいずれか を実行 し ます。
4-24
■
ス イ ッ チで ロ ーカル認証 ( 管理者のユーザ名 / パ ス ワー ド お よ びオ
プシ ョ ン でオペレー タ のユーザ名 / パ ス ワー ド ) を設定 し ます。
■
ス イ ッ チのオー ソ ラ イ ズ ド IP マネージ ャ 機能を設定 し て、 認可管
理ス テーシ ョ ンのみか ら Web ブ ラ ウ ザ ア ク セ ス が実行で き る よ う
に し ます。 ( オー ソ ラ イ ズ ド IP マネージ ャ 機能は TACACS+ オペ
レーシ ョ ン をサポー ト し ません。 )
■
メ ニ ュ ー イ ン タ フ ェース の [System Information] 画面で [Web Agent
Enabled] パ ラ メ ー タ を [No] に設定 し 、 Web ブ ラ ウ ザか ら の ス イ ッ
チへのア ク セ ス を無効に し ます。
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
TACACS+ オペレーシ ョ ンに関連 し た
メ ッ セージ
ス イ ッ チは、 以下の CLI メ ッ セージ を生成 し ます。 こ の他に も 、
TACACS+ サーバ アプ リ ケーシ ョ ン が生成す る メ ッ セージがあ り ます。 そ
の よ う な メ ッ セージについては、 アプ リ ケーシ ョ ン に付属のマニ ュ アルを
参照 し て く だ さ い。
CLI メッセージ
意味
Connecting to Tacacs server ス イ ッ チは、 tacacs-server で設定 し た第 1 候補の ( または唯一の )
TACACS+ サーバ と の通信を試行中です。
Connecting to secondary
Tacacs server
ス イ ッ チが第 1 候補の TACACS+ サーバに接続で きず、 tacacs-server で設
定 し た次の ( 第 2 候補 ) TACACS+ サーバ と の通信を試行中です。
Invalid password
シ ステムがユーザ名またはパスワー ド 、 またはその両方を承認 し ません。 認
証方式 ([tacacs] または [local]) によ り 、 TACACS+ サーバ ア プ リ ケーシ ョ ンが
そのユーザ名 / パスワー ド のペア を承認 し なか っ たか、 ス イ ッ チに設定 さ れ
ているユーザ名 / パスワー ド のペア と 一致 し なか っ た こ と を示 し ています。
No Tacacs servers
responding
ス イ ッ チは指定 さ れた TACACS+ サーバ と 通信で き ませんで し た。 こ の メ ッ
セージの後にユーザ名のプ ロ ン プ ト が表示 さ れる場合、 ス イ ッ チはロー カル
認証を試行 し ます。
Not legal combination of
authentication methods
コンソール アクセスに対して、[tacacs] を 1 次認証方式 と し て選択 し た場合、
[local] を 2 次認証方式 と し て選択する必要があ り ます。 こ れによ り 、 ス イ ッ チ
がすべての TACACS+ サーバにア ク セスで き ない場合で も 、 ロ ッ ク アウ ト さ れ
な く な り ます。
Record already exists
tacacs-server host<ip addr> コ マ ン ド の結果 と し て この メ ッ セージが表示 さ
れた場合、 重複 し た TACACS+ サーバ IP ア ド レ ス を入力 し よ う と し た こ と を
示 し ています。
4-25
TACACS+ 認証
ス イ ッ チでの TACACS+ 設定
運用上の注記
4-26
■
オー ソ ラ イ ズ ド IP マネージ ャ を ス イ ッ チに設定 し た場合、 オー ソ
ラ イ ズ ド マネージ ャ リ ス ト に TACACS+ サーバ と し て使用す る機
器を含め る必要はあ り ません。 つま り 、 TACACS+ サーバ と ス イ ッ
チ と の間の認証 ト ラ フ ィ ッ ク は、 ス イ ッ チに設定 さ れてい る オー
ソ ラ イ ズ ド IP マネージ ャ の制御に影響 さ れ ません。 ま た ス イ ッ チ
は、 オー ソ ラ イ ズ ド IP マネージ ャ リ ス ト で除外 さ れてい る管理ス
テーシ ョ ン に対 し て TACACS+ 認証を試行 し ません。 こ れは、
TACACS+ と は無関係の ス イ ッ チに よ っ て、 既にそ う し た ス テー
シ ョ ンへのア ク セ ス が拒否 さ れてい る ためです。
■
TACACS+ が ス イ ッ チで有効でない場合、 ま たは ス イ ッ チが唯一の
TACACS+ サーバにア ク セ ス で き なか っ た場合、 ( ス イ ッ チに管理
者パ ス ワー ド が設定 さ れてお ら ず ) ロ ーカルのオペレー タ パ ス
ワー ド し か設定 さ れていない と 、 未認可ユーザの管理者レベル ア
ク セ ス を許可す る こ と にな り 危険です。
5
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-3
RADIUS の ス イ ッ チ運用ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-4
基本的な RADIUS 設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-5
ス イ ッ チでの RADIUS 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-6
RADIUS 認証設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-7
1. ア ク セ ス手段ご と の RADIUS 認証設定 . . . . . . . . . . . . . . . . . 5-8
2. RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定 . . . . . . . . 5-10
3. ス イ ッ チのグ ロ ーバル RADIUS パ ラ メ ー タ の設定 . . . . . . . . . 5-12
ロ ーカル認証プ ロ セ ス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-16
RADIUS 認証での Web ブ ラ ウ ザ イ ン タ フ ェース のア ク セ ス制御 . . . 5-17
RADIUS ア カ ウ ン テ ィ ン グの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 5-17
RADIUS ア カ ウ ン テ ィ ン グの運用ルール . . . . . . . . . . . . . . . . . . 5-19
RADIUS ア カ ウ ン テ ィ ン グの設定手順 . . . . . . . . . . . . . . . . . . . . 5-19
RADIUS 統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
基本的な RADIUS 統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
RADIUS 認証統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-28
RADIUS ア カ ウ ン テ ィ ン グ統計 . . . . . . . . . . . . . . . . . . . . . . . . . 5-30
RADIUS サーバへのア ク セ ス順序の変更 . . . . . . . . . . . . . . . . . . . . . 5-32
RADIUS オペレーシ ョ ン に関連 し た メ ッ セージ . . . . . . . . . . . . . . . . 5-34
5-1
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
概要
概要
機能
デフォルト
メニュー
CLI
Web
RADIUS 認証の設定
なし
n/a
5- 6
n/a
RADIUS ア カ ウン テ ィ ングの設定
なし
n/a
5- 17
n/a
RADIUS 統計の表示
n/a
n/a
5- 26
n/a
RADIUS (Remote Authentication Dial-In User Service) では、 最大 3 台のサー
バ (1 台のプ ラ イ マ リ サーバお よ び 1 台ま たは 2 台のバ ッ ク ア ッ プ サーバ )
を使用 し て、 認証お よ びア カ ウ ン テ ィ ン グ機能を提供 し ます。 各 RADIUS
サーバでは、 個別に こ れ ら のサービ ス を提供で き ます。 認証では、 ユーザ
ご と に異な る パ ス ワー ド が使用で き る ため、 各ス イ ッ チで個別にパス ワ ー
ド を管理す る 必要がな く な り 、 ユーザに各ス イ ッ チで設定 さ れたパス ワ ー
ド を配布す る 必要 も な く な り ます。 ア カ ウ ン テ ィ ン グは、 ネ ッ ト ワー ク リ
ソ ース の使用状況の追跡に役立ち ます。
認証。 RADIUS を使用 し て ProCurve Switch にア ク セ スす る場合、 以下のア
ク セ ス手段での 1 次パ ス ワー ド に よ る ユーザ認証がで き ます。
注記
■
シ リ アル ポー ト ( コ ン ソ ール )
■
Telnet
■
SSH
■
Web
■
ポー ト ア ク セ ス
ス イ ッ チは、 SNMP ( ネ ッ ト ワー ク 管理 ) ア ク セ ス に対す る RADIUS セキ ュ
リ テ ィ をサポー ト し てい ません。 Web ブ ラ ウ ザ イ ン タ フ ェース を経由す る
未認可ア ク セ ス を ブ ロ ッ ク す る 手順については、 5- 17 ページの 「RADIUS
認証での Web ブ ラ ウ ザ イ ン タ フ ェース のア ク セ ス制御」 を参照 し て く だ
さ い。
アカウンティング。 ス イ ッ チの RADIUS ア カ ウ ン テ ィ ン グは、 リ ソ ース の
利用状況のデー タ を収集 し て、 RADIUS サーバに フ ォ ワーデ ィ ン グ し ます。
こ のデー タ は、 ト レ ン ド 分析、 キ ャ パシテ ィ プ ラ ン ニ ン グ、 課金、 監査、
お よ び コ ス ト 分析に使用で き ます。
5-2
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
用語
用語
CHAP (Challenge-Handshake Authentication Protocol): RADIUS サーバ
か ら のチ ャ レ ン ジへの応答を暗号化す る ために MD5 (Message Digest 5) ハ ッ
シ ュ ス キーム を使用す る チ ャ レ ン ジ応答認証プ ロ ト コ ル。
EAP (Extensible Authentication Protocol): 複数の認証 メ カ ニ ズ ム をサ
ポー ト す る基本的な PPP 認証プ ロ ト コ ル。 EAP には、 MD5-Challenge、
Generic Token Card、 TLS (Transport Level Security) な ど の、 特定の認証 メ カ
ニズ ム があ り ます。
NAS (Network Access Server): こ こ では、RADIUS セキ ュ リ テ ィ オペレー
シ ョ ン のために設定 さ れた ProCurve Switch。
RADIUS (Remote Authentication Dial In User Service):
RADIUS クライアント : 指定 さ れた RADIUS サーバにユーザ情報を送信す
る 機器
RADIUS サーバ : ネ ッ ト ワー ク で使用す る RADIUS アプ リ ケーシ ョ ン を実
行す る サーバ。 こ のサーバは ス イ ッ チか ら ユーザの接続要求を受信 し 、
ユーザを認証 し てか ら 、 すべての必要な情報を ス イ ッ チに返 し ます。
ProCurve Switch については、 RADIUS サーバはア カ ウ ン テ ィ ン グ機能 も 実
行で き ます。 RADIUS ホ ス ト と 呼ばれ る こ と も あ り ます。
RADIUS ホスト : RADIUS サーバを参照 し て く だ さ い。
共有キー : RADIUS パケ ッ ト のデー タ の暗号化に使用 さ れ る文字列。
RADIUS ク ラ イ ア ン ト お よ び RADIUS サーバにはキーの コ ピーが存在 し 、
キーがネ ッ ト ワー ク 上に送信 さ れ る こ と はあ り ません。
ホスト : RADIUS サーバを参照 し て く だ さ い。
5-3
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS の ス イ ッ チ運用ルール
RADIUS の ス イ ッ チ運用ルール
5-4
■
ス イ ッ チにア ク セ ス で き る RADIUS サーバが最低 1 台必要です。
■
ス イ ッ チは最大 3 台の RADIUS サーバを使用 し た認証お よ びア カ ウ
ン テ ィ ン グ をサポー ト し ます。 ス イ ッ チは、 show radius コ マ ン ド
(5- 26 ページ ) で一覧表示 さ れ る 順番でサーバにア ク セ ス し ます。
最初のサーバが応答 し ない場合、 ス イ ッ チは次のサーバに順次ア
ク セ ス を試みます。 ( ス イ ッ チが RADIUS サーバにア ク セ スす る順
番を変更す る 方法については、 5- 32 ページの 「RADIUS サーバへ
のア ク セ ス順序の変更」 を参照 し て く だ さ い。 )
■
各種ア ク セ ス手段の 1 次認証方式 と し て RADIUS を選択で き ます。(
各ア ク セ ス手段の 1 次お よ び 2 次認証方式には、 認証方式を それ
ぞれ 1 つだけ指定で き ます。 )
■
ProCurve Switch では、EAP RADIUS は MD5 お よ び TLS を使用 し て、
RADIUS サーバか ら のチ ャ レ ン ジへの応答を暗号化 し ます。
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
基本的な RADIUS 設定の手順
基本的な RADIUS 設定の手順
準備:
表 5-1.
1.
ス イ ッ チをサポー ト す る ために 1 ~ 3 台の RADIUS サーバを設定 し ま
す。 (1 台のプ ラ イ マ リ サーバお よ び 1 台ま たは 2 台のバ ッ ク ア ッ プ
サーバ。 ) RADIUS サーバ アプ リ ケーシ ョ ン に付属のマニ ュ アルを参照
し て く だ さ い。
2.
ス イ ッ チを設定す る 前に、 以下の情報を収集 し ます。
スイッチで RADIUS を設定するための準備
・ 1 次認証方式に RADIUS を使用する ア ク セス手段 ( コ ン ソ ール、 Telnet、 ポー ト ア ク セス (802.1x)、 およ
び Web ブ ラ ウザ、 または これ らの う ちのいずれか ) を選択 し ます。 また、 権限レ ベル ( オペ レー タ
(login) または管理者 (enable)) に関 し て も 考慮 し ます。 RADIUS 認証失敗時または RADIUS から 応答がな
い場合に使用する 2 次認証方式 (local または none) について も 検討 し ます。
ProCurve> show authentication
Status and Counters - Authentication Information
Login Attempts : 3
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
Web-Auth
MAC-Auth
コ ン ソ ール ア ク セ ス
で は 2 次認証方式 に
[local] を指定する必要
Login
Login
Enable
Enable
Primary
Secondary Primary
Secondary が あ り ま す。 こ れ は、
RADIUS サーバがア ク
---------- ---------- ---------- ---------- セ ス 不 能 に な る か、
Radius
Local
Radius
Local
サーバに別の問題が発
生 す る な ど し て
Radius
None
Radius
None
RADIUS に よ る 1 次認
EapRadius
証が失敗 し た時に発生
Radius
None
Radius
None
す る コ ン ソ ール ア ク
Radius
None
Radius
None
セ スのロ ッ ク アウ ト を
ChapRadius
防 ぐ ために必要です。
|
|
+
|
|
|
|
|
|
| ChapRadius
図 5-1. RADIUS アクセスの設定例
•
ス イ ッ チに RADIUS サーバの IP ア ド レ ス を設定 し ます。( ス イ ッ チに最大 3 台の RADIUS サーバを設定で き
ます。 )
•
ス イ ッ チが特定の RADIUS サーバに認証を要求する際に使用するデ フ ォル ト UDP ポー ト (1812) を変更す
る場合は、 設定プ ロ セス を開始する前に行います。
•
ス イ ッ チが特定の RADIUS サーバにア カ ウン テ ィ ングを要求する際に使用するデ フ ォル ト UDP ポー ト
(1813) を変更する場合は、 設定プ ロ セス を開始する前に行います。
5-5
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
•
すべての RADIUS サーバで 1 つのグローバル暗号キーを使用するか、 特定のサーバでサーバ固有のキー
を使用するかを検討 し ます。 複数の RADIUS サーバで、 1 つのキーを使用する場合、 グローバル暗号
キー と し て設定で き ます。 グローバル キー と 異な るサーバ キーを使用する場合、 ス イ ッ チに RADIUS
サーバの IP ア ド レ ス を設定するの と 同 じ コ マ ン ド でサーバ固有のキーを指定する必要があ り ます。
•
ス イ ッ チから の要求に対するサーバの応答を待つ時間 ( タ イムアウ ト 時間 ) を検討 し ます。デ フ ォル ト (5
秒 ) に設定する こ と をお勧め し ます。
•
ス イ ッ チが別の RADIUS サーバへの通信を試行する前に、RADIUS サーバに通信を試行する回数を検討 し
ます。 ( 推奨値は、 ス イ ッ チがア ク セスする RADIUS サーバの数によ っ て異な り ます。 )
•
サービ ス要求に応答 し ない RADIUS サーバを無視するかど う かを検討 し ます。認証時間を短縮するため、
応答 し ないサーバについて 1 ~ 1440 分の範囲で無視する時間を設定で き ます。 この場合、 サービ ス要
求に対応する複数の RADIUS サーバが必要です。
ス イ ッ チでの RADIUS 認証設定
RADIUS 認証コマンド
aaa authentication
< console | telnet | ssh | web > < enable | login > radius
< local | none >
[no] radius-server host < IP-address >
5- 8
5- 8
5- 8
5- 10
[auth-port < port-number >]
5- 10
[acct-port < port-number >]
5- 10, 5- 20
[key < server-specific key-string >]
5- 10
[no] radius-server key < global key-string >
5- 12
radius-server timeout < 1 - 15>
5- 12
radius-server retransmit < 1 - 5 >
5- 12
[no] radius-server dead-time < 1 - 1440 >
5- 14
show radius
5- 26
[< host < ip-address>]
5-6
ページ
5- 27
show authentication
5- 29
show radius authentication
5- 29
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
RADIUS 認証設定の手順
RADIUS 認証設定には、 大 き く 分けて 3 つの手順があ り ます。
1.
以下の う ちの 1 つま たは複数のア ク セ ス手段でア ク セ ス制御で き る よ
う に RADIUS 認証を設定 し ます。
•
•
•
•
•
2.
注記
シ リ アル ポー ト
Telnet
SSH
Web ブ ラ ウ ザ イ ン タ フ ェ ース
ポー ト ア ク セ ス (802.1x)
ス イ ッ チが 1 台ま たは複数の RADIUS サーバにア ク セ スす る よ う に以
下の情報を設定 し ます (1 台のプ ラ イ マ リ サーバお よ び 2 台ま でのバ ッ
ク ア ッ プ サーバ )。
こ の手順は、 ス イ ッ チが使用す る RADIUS サーバが既に設定 さ れてい
る こ と を前提 と し てい ます。 RADIUS サーバに付属のマニ ュ アルを参
照 し て く だ さ い。
•
•
•
•
3.
サーバの IP ア ド レ ス
( オプシ ョ ン ) 認証要求の UDP ポー ト ( デフ ォ ル ト : 1812、 推奨 )
( オプシ ョ ン ) ア カ ウ ン テ ィ ン グ要求の UDP ポー ト ( デフ ォ ル ト :
1813、 推奨 )
(オプシ ョ ン) RADIUSサーバ と の認証セ ッ シ ョ ン中に使用する暗号キー。
こ のキーはス イ ッ チで設定可能なグ ローバル暗号キーよ り も 優先さ れ
ます。 ま た、 こ のキーは特定の RADIUS サーバで使用する暗号キー と
一致し てい る必要があ り ます。 ( デフ ォル ト : 未設定 )
以下のグ ロ ーバル RADIUS パ ラ メ ー タ を設定 し ます。
•
Server Key: こ のキーは、 サーバご と にキーを設定 し ない限 り 指定
す る必要があ り 、 ス イ ッ チに認証お よ びア カ ウ ン テ ィ ン グ サービ
ス を提供す る RADIUS サーバの暗号キー と 一致 し てい る 必要があ
り ます。 ( デフ ォ ル ト : 未設定 )
•
Timeout Period: ス イ ッ チが RADIUS サーバか ら の応答を待つ タ イ
ム ア ウ ト 時間 ( デフ ォ ル ト : 5 秒、 範囲 :1 ~ 15 秒 )
•
Retransmit Attempts:RADIUS 認証要求に対 し てサーバの応答がな
い場合の再送信回数 ( デフ ォ ル ト : 3 回、 範囲 : 1 ~ 5 回 )
•
Server Dead-Time: ス イ ッ チが前回の要求に応答 し なか っ た
RADIUS サーバに新 し い認証要求を送信 し ない時間。 こ れに よ っ
て、 利用不可能なサーバでの要求の タ イ ム ア ウ ト を待つ こ と がな
く な り ます。 こ の機能を使用す る 場合、 デ ッ ド タ イ ム 1 ~ 1440 分
を設定 し ます。 ( デフ ォ ル ト : 0 -無効、 範囲 : 1 ~ 1440 分 )。 最 も
優先度が高いサーバが最初は利用不可能であ っ たが、 デ ッ ド タ イ
5-7
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
ムが終了す る 前に利用可能にな っ た場合、 デ ッ ド タ イ ム を 0 に リ
セ ッ ト し て無効にする と 、 再度そのサーバに ロ グオン を試み る こ
と がで き ます。 こ の代わ り に、 ス イ ッ チを リ ブー ト し て ( つま り 、
デ ッ ド タ イ ム カ ウ ン タ を リ セ ッ ト し て、 サーバを利用可能に し て
)、 再度 ロ グオ ン を試み る こ と も で き ます。
•
Number of Login Attempts: こ れは、 aaa authentication コ マ ン
ド で設定 し ます。 1 回のセ ッ シ ョ ン で RADIUS ク ラ イ ア ン ト ( お よ
び他の認証方式を使用す る ク ラ イ ア ン ト ) がユーザ名 と パス ワ ー
ド を入力 し て ロ グ イ ン を試行で き る回数を コ ン ト ロ ール し ます。 (
デフ ォ ル ト : 1 セ ッ シ ョ ンにつ き 3 回 )
(RADIUS ア カ ウ ン テ ィ ン グ機能については、 5- 17 ページの 「RADIUS ア カ
ウ ン テ ィ ン グの設定」 を参照 し て く だ さ い。 )
1. ア ク セ ス手段ご と の RADIUS 認証設定
こ の項では、 以下のア ク セ ス手段に対 し て ス イ ッ チに RADIUS 認証を設定
す る方法を説明 し ます。
■
コンソール : シ リ アル ポー ト に よ る直接接続ま たはモデム接続のい
ずれか。
■
Telnet: イ ンバウ ン ド Telnetが有効であ る必要があ り ます (デフ ォル ト )。
■
SSH: SSH ア ク セ ス に RADIUS を使用す る には、事前に SSH オペレー
シ ョ ン を ス イ ッ チに設定する 必要があ り ます。 (6- 1 ページの 「セ
キ ュ ア シ ェ ル (SSH) の設定」 を参照 し て く だ さ い。 )
■
Web: Web ブ ラ ウ ザ イ ン タ フ ェース。
ポー ト ベース のア ク セ ス認証に も RADIUS を使用で き ます。 (8- 1 ページの
「ポー ト ベース のア ク セ ス制御 (802.1x) の設定」 を参照 し て く だ さ い。 )
上記のア ク セ ス手段で、 RADIUS を 1 次認証方式 と し て設定で き ます。 そ
の場合、 [local] ま たは [none] のいずれか を 2 次認証方式 と し て設定 し ま
す。 コ ン ソ ール ア ク セ ス に、 [radius] ( ま たは [tacacs]) を 1 次認証方式 と
し て設定す る 場合、 [local] を 2 次認証方式 と し て設定す る 必要があ る こ と
に注意 し て く だ さ い。 こ れに よ り 、 すべてのア ク セ ス手段で 1 次認証に失
敗 し て も 、 ス イ ッ チか ら 完全に ロ ッ ク ア ウ ト さ れ る こ と はあ り ません。
5-8
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
構文 :
aaa authentication < console | telnet | ssh | web > < enable | login > <
radius >
RADIUS を コ ン ソ ール、 Telnet、 SSH、 お よ び Web ブ ラ ウ ザ イ
ン タ フ ェース のいずれかの 1 次認証方式 と し て設定 し ます。 (1
次 < enable | login > 認証方式のデフ ォ ル ト は、 [local] です。
[< local | none >]
2 次認証方式のデフ ォ ル ト は [none] です。 コ ン ソ ール
ア ク セ ス では、 1 次認証方式に [local] 以外で設定 さ れて
い る場合、 2 次認証方式に [local] を設定す る 必要があ る
こ と に注意 し て く だ さ い。 こ れに よ り 、 他のア ク セ ス手
段で認証に失敗 し て も 、 ス イ ッ チか ら 完全に ロ ッ ク ア ウ
ト さ れ る こ と はあ り ません。
ス イ ッ チで既に ロ ーカル パ ス ワー ド が設定 さ れていて、 Telnet お よ び SSH
のア ク セ ス手段で 1 次認証方式に [radius] を設定 し 、2 次認証方式に [none]
( こ れは ス イ ッ チの ロ ーカル パ ス ワー ド に よ る 認証を行わない設定にな り
ます ) を設定す る 例を以下に示 し ます。
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
aaa authentication telnet login radius none
aaa authentication telnet enable radius none
aaa authentication ssh login radius none
aaa authentication ssh enable radius none
show authentication
Status and Counters - Authentication Information
Login Attempts : 3
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
|
|
+
|
|
|
|
|
Login
Primary
---------Local
Radius
Local
Local
Radius
Login
Secondary
---------None
None
Enable
Primary
---------Local
Radius
Enable
Secondary
---------None
None
None
None
Local
Radius
None
None
ス イ ッ チは、 Telnet
お よ び SSH 認証に
RADIUS を使用 し ま
す。
図 5-2. RADIUS 認証設定の例
注記
上記の例で、 login レベルの 1 次認証方式に [radius] ではな く [local] が指定
さ れていて、 ロ ーカル パス ワ ー ド が ス イ ッ チに設定 さ れてい る 場合、
enable レベルの 1 次認証方式に RADIUS を指定 し て も 、 オペレー タ ま たは
管理者レベルのいずれの場合で も RADIUS 認証は行われません。 (5- 16
ページの 「 ロ ーカル認証プ ロ セ ス」 を参照 し て く だ さ い。 )
5-9
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
2. RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定
こ の項では、 認証お よ びア カ ウ ン テ ィ ン グ サービ ス を提供す る RADIUS
サーバ と 通信す る ス イ ッ チの設定方法について説明 し ます。
注記
ス イ ッ チで RADIUS ア カ ウ ン テ ィ ン グ を設定す る 場合は、 5- 17 ページ :
「RADIUS ア カ ウ ン テ ィ ン グの設定」 を参照 し て く だ さ い。
構文 :
[no] radius-server host < ip-address >
サーバを RADIUS 設定に追加 し た り 、 (no を付けて )
RADIUS 設定か ら 削除 し ます。 最大 3 台の RADIUS サー
バのア ド レ ス を設定で き ます。 ス イ ッ チは最初にア ク セ
ス し たサーバを使用 し ます。 (5- 32 ページの 「RADIUS
サーバへのア ク セ ス順序の変更」 を参照 し て く だ さ い。 )
[auth-port < port-number >]
オプシ ョ ン。 指定 し た RADIUS サーバ ( ホ ス ト ) への認証
要求を行 う UDP ポー ト を変更 し ます。 こ のオプシ ョ ン を
radius-server host コ マ ン ド と 共に使用 し ない場合は、 ス
イ ッ チが自動的にデフ ォ ル ト の認証ポー ト 番号を割 り 当
て ます。 auth-port 番号はサーバの認証ポー ト 番号 と 一致
し てい る 必要があ り ます。 ( デフ ォ ル ト : 1812)
[acct-port < port-number >]
オプシ ョ ン。 指定 し た RADIUS サーバへのア カ ウ ン テ ィ
ン グ要求を行 う UDP ポー ト を変更 し ます。 こ のオプシ ョ
ン を radius-server host コ マ ン ド と 共に使用 し ない場合
は、 ス イ ッ チが自動的にデフ ォ ル ト のア カ ウ ン テ ィ ン グ
ポー ト 番号を割 り 当て ます。 acct-port 番号はサーバのア
カ ウ ン テ ィ ン グ ポー ト 番号 と 一致す る 必要があ り ます。 (
デフ ォ ル ト : 1813)
[key < key-string >]
オプシ ョ ン。 指定 し たサーバでの認証 ( ま たはア カ ウ ン
テ ィ ン グ ) セ ッ シ ョ ン中に使用す る 暗号キーを指定 し ま
す。 こ のキーは RADIUS サーバで使用 さ れ る 暗号キー と
一致す る 必要があ り ます。 指定 し たサーバがグ ロ ーバル
暗号キー と し て設定 さ れてい る キー と は異な る暗号キー
を要求す る 場合のみ、 こ の コ マ ン ド を使用 し ます。
no radius-server host < ip-address > key
コ マ ン ド の [no] 形式を使用 し て、 指定 し たサーバに対す
る キーを削除 し ます。
5-10
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
た と えば、 図 5-3 に示す よ う に ス イ ッ チを設定 し ていて、 以下の変更を行
う 必要があ る と し ます。
1.
IP ア ド レ ス が 10.33.18.127 のサーバの暗号キーを 「source0127」 に変
更 し ます。
2.
IP ア ド レ ス が 10.33.18.119 で、 サーバ固有の暗号キーが 「source0119」
であ る RADIUS サーバを追加 し ます。
図 5-3. キーの変更および他のサーバを追加する前の RADIUS サーバの設定例
図 5-3 の前に記載 さ れてい る 変更を実行す る ためには、 以下の コ マ ン ド を
入力 し ます。
既存のサーバの
キーを 「source0127」
に変更 し ます (上記、
手順 1)。
新 し い RADIUS サー
バを、 ア ク セ スに必
要 な 「source0119」
キー と 共に追加 し ま
す。
ス イ ッ チの新 し い
RADIUS サーバ設定
を 一覧表 示 し ま す。
こ れを図 5-3 の も の
と 比較 し ます。
図 5-4. キーの変更および他のサーバを追加した後の RADIUS サーバの設定例
ス イ ッ チが RADIUS サーバにア ク セ スす る 順番を変更す る方法について
は、 5- 32 ページの 「RADIUS サーバへのア ク セ ス順序の変更」 を参照 し て
く だ さ い。
5-11
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
3. ス イ ッ チのグ ロ ーバル RADIUS パ ラ メ ー タ の設定
ス イ ッ チには以下のグ ロ ーバル RADIUS パ ラ メ ー タ を設定で き ます。
■
Number of login attempts: 各 ロ グ イ ン セ ッ シ ョ ン で、ア ク セ ス が
拒否 さ れてセ ッ シ ョ ンが終了す る ま での ロ グ イ ンの試行回数を指
定 し ます。 ( こ れは一般的な aaa authentication パ ラ メ ー タ で、
RADIUS に固有の も のではあ り ません。 )
■
Global server key: サーバ固有のキー (radius-server host < ipaddress > key < key-string > で設定 ) が設定 さ れていないすべての
RADIUS サーバ と 通信す る ために ス イ ッ チが使用す る サーバ キー
です。 ス イ ッ チに設定す る 各 RADIUS サーバにサーバ固有のキー
を設定す る場合、 こ のキーはオプシ ョ ン と な り ます。 (5- 10 ページ
の 「2. RADIUS サーバへア ク セ スす る ための ス イ ッ チ設定」 を参照
し て く だ さ い。 )
5-12
■
Server timeout: 認証を試行す る時間 ( 単位 : 秒 ) を設定 し ます。応
答を受信す る 前に タ イ ム ア ウ ト 時間が経過す る と 、 認証は失敗 し
ます。
■
Server dead time: ス イ ッ チが前回の要求に応答 し なか っ たサーバ
に対 し て認証要求を行わない時間 ( 単位 : 分 ) を設定 し ます。
■
Retransmit attempts: RADIUS サーバへの最初のア ク セ ス に失敗 し
てか ら ス イ ッ チがそのサーバへのア ク セ ス を試行す る 回数を設定
し ます。
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
構文 :
aaa authentication num-attempts < 1 - 10 >
入力エ ラ ーで認証セ ッ シ ョ ン を終了す る ま でのユーザ
名 と パ ス ワー ド の入力試行回数を設定 し ます。 ( デ
フ ォ ル ト : 3 回、 範囲 : 1 - 10).
[no] radius-server
key < global-key-string >
サーバ固有のキーが割 り 当て ら れていないサーバ と の
接続セ ッ シ ョ ンで ス イ ッ チが使用す る グ ロ ーバル暗号
キーを設定 し ます。 radius host コ マ ン ド ですべての
RADIUS サーバにサーバ固有の暗証キーを設定 し てい
る 場合は、 グ ロ ーバル暗号キーを設定する 必要はあ り
ません。 ( デフ ォ ル ト : 未設定 )
dead-time < 1 - 1440 >
オプシ ョ ン。 ス イ ッ チが前回の要求に応答 し なかっ た
RADIUS サーバに認証要求を行わない時間 ( 単位 : 分 )
を設定 し ます。 ( デフ ォ ル ト : 0 回、 範囲 :1 ~ 1440 分
)。
radius-server timeout < 1 - 15 >
ス イ ッ チが認証に失敗 し た と 判断す る ま でに、 認証要
求の応答を待つ最長時間を設定 し ます。 ( デフ ォ ル ト :
3 秒、 範囲 :1 ~ 15 秒 )
radius-server retransmit < 1 - 5 >
RADIUS サーバが認証要求に応答 し ない場合、 セ ッ
シ ョ ン を終了す る ま でに要求を試行す る 回数を設定 し
ます。 ( デフ ォ ル ト : 3 回、 範囲 : 1 - 5)
注記
認証要求に応答す る 複数の RADIUS サーバが ス イ ッ チに設定 さ れてい る 場
合、 最初のサーバが応答 し ない と 、 ス イ ッ チはサーバ一覧に表示 さ れてい
る 順番でサーバに認証要求を行い ます。 応答す る サーバがない場合、 ス
イ ッ チは試行 し てい る ア ク セ ス手段 ( コ ン ソ ール、 Telnet、 ま たは SSH) に
設定 さ れてい る 2 次認証方式を使用 し ます。 こ の場合は、 使用す る ス イ ッ
チの 『マネ ジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 にあ る ト ラ ブル
シ ューテ ィ ン グの章の 「RADIUS 関連の問題」 を参照 し て く だ さ い。
5-13
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
た と えば、 ス イ ッ チが、 Telnet お よ び SSH を経由す る ア ク セ ス の認証に 3
台の RADIUS サーバを使用す る よ う に設定 さ れてお り 、 3 台のサーバの う
ちの 2 台は同 じ 暗号キーを使用 し てい る と し ます。 こ の場合に、 ス イ ッ チ
に以下のグ ロ ーバル認証パ ラ メ ー タ を設定 し ます。
■
正 し いユーザ名 と パ ス ワ ー ド を入力す る ま での試行回数を 2 回に制
限 し ます
■
グ ロ ーバル暗号キーを使用 し て、同 じ キーを使用す る 2 台のサーバ
をサポー ト し ます。 ( こ の例では、 2 台のサーバにサーバ固有の
キーを設定 し なか っ た と し ます。 )
■
認証要求に応答 し ないサーバに対 し ては、デ ッ ド タ イ ム を 5 分に設
定 し ます。
■
認証要求 タ イ ム ア ウ ト は 3 秒に設定 し ます。
■
認証要求の応答がない場合、 さ ら に 2 回試行する よ う に し ます。
図 5-5. グローバル RADIUS 認証設定の例
5-14
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ス イ ッ チでの RADIUS 認証設定
ProCurve# show authentication
Status and Counters - Authentication Information
Login Attempts : 2
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
Web-Auth
MAC-Auth
|
|
+
|
|
|
|
|
|
|
Login
Primary
---------Local
Radius
Local
Local
Radius
ChapRadius
ChapRadius
Login
Secondary
---------None
None
Enable
Primary
---------Local
Radius
Enable
Secondary
---------None
None
None
None
Local
Radius
None
None
ユーザ名またはパスワー ド
の入力エ ラ ーで 2 回の試行
に失敗する と 、 ス イ ッ チは
セ ッ シ ョ ン を終了 し ます。
ProCurve# show radius
Status and Counters - General RADIUS Information
Deadtime(min) : 5
Timeout(secs) : 3
Retransmit Attempts : 2
Global Encryption Key : My-Global-Key-1099
図 5-5 で設定 し たグ ロ ー
バル RADIUS パ ラ メ ー タ
グ ロ ーバル暗号キーを使用
Auth
Server IP Addr Port
--------------- ----10.33.18.127
1812
10.33.18.119
1812
10.33.18.151
1812
し ない RADIUS サーバの
Acct
サーバ固有の暗号キー
Port Encryption Key
----- -------------------------------1813 source0127
こ れ ら 2 台のサーバは同 じ
グ ロ ーバル暗号キーを使用
1813
し てい ます。
1813
図 5-6. 図 5-5 で設定されたグローバル RADIUS パラメータの一覧
5-15
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
ロ ーカル認証プ ロ セ ス
ロ ーカル認証プ ロ セ ス
ス イ ッ チが RADIUS を使用す る よ う に設定 さ れてい る 場合、 以下の 2 つの
条件のいずれかにあ ては ま る 場合のみに ロ ーカル認証が使用 さ れ ます。
■
「Local」 が、 ア ク セ ス手段の認証オプシ ョ ンに設定 さ れてい る 。
■
ス イ ッ チには1次認証に1台ま たは複数のRADIUSサーバが設定 さ れ
てい る が、 認証要求に対す る応答がな く 、 2 次認証に [local] が設定
さ れてい る。
ロ ーカル認証では、 ス イ ッ チであ ら か じ め設定 さ れてい る オペレー タ レベ
ルお よ び管理者レベルの ロ ーカル ユーザ名 / パ ス ワー ド を使用 し ます。 (
こ れ ら は、 CLI password コ マ ン ド 、 Web ブ ラ ウ ザ イ ン タ フ ェース、 ま たは
メ ニ ュ ー イ ン タ フ ェース を使用 し て設定す る ロ ーカルのユーザ名 と パ ス
ワー ド です。 )
5-16
■
要求 タ ー ミ ナルでオペレー タ ま たは管理者のユーザ名 と パ ス ワー
ド を正 し く 入力す る と 、 入力 し たユーザ名 と パス ワ ー ド の権限レ
ベルで ス イ ッ チにア ク セ ス で き ます。 た と えば、 Telnet の 1 次認
証方式に [RADIUS] を設定 し 、 2 次認証方式に [local] を設定す る と
し ます。 1 次認証で RADIUS サーバにア ク セ ス で き ない場合、 ス
イ ッ チのオペレー タ ま たは管理者の ロ ーカル ユーザ名 と パス ワ ー
ド を入力す る と ア ク セ ス で き ます。
■
要求 タ ー ミ ナルで入力 し たユーザ名 / パ ス ワ ー ド が、 ス イ ッ チであ
ら か じ め設定 さ れてい る ロ ーカルのユーザ名 / パ ス ワー ド と 異な
る 場合、 ス イ ッ チへのア ク セ ス は拒否 さ れます。 こ の場合、 タ ー
ミ ナルでユーザ名 と パ ス ワー ド の再入力を要求 さ れます。 デフ ォ
ル ト 設定では、 試行回数は 3 回ま でに制限 さ れてい ます。 要求
タ ー ミ ナルで、 認証に失敗 し た回数が設定 さ れてい る 試行回数に
達す る と 、 ロ グ イ ン セ ッ シ ョ ンは終了 し ます。 再度 ロ グ イ ンす る
場合は、 新 し いセ ッ シ ョ ン を開始す る 必要があ り ます。
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 認証での Web ブ ラ ウ ザ イ ン タ フ ェ ース のア ク セ ス制御
RADIUS 認証での Web ブ ラ ウ ザ イ ン タ
フ ェ ース のア ク セ ス制御
Web ブ ラ ウ ザ イ ン タ フ ェ ース経由での未認可ア ク セ ス を防 ぐ ために、 以下
のいずれか を実行 し ます。
■
ス イ ッ チで ロ ーカル認証 ( 管理者のユーザ名 / パ ス ワー ド お よ びオ
プシ ョ ン でオペレー タ のユーザ名 / パ ス ワー ド ) を設定 し ます。
■
ス イ ッ チのオー ソ ラ イ ズ ド IP マネージ ャ 機能を設定 し て、 認可管
理ス テーシ ョ ンのみか ら Web ブ ラ ウ ザ ア ク セ ス が実行で き る よ う
に し ます。 ( オー ソ ラ イ ズ ド IP マネージ ャ 機能は TACACS+ オペ
レーシ ョ ン をサポー ト し ません。 )
■
Web ブ ラ ウ ザか ら の ス イ ッ チへのア ク セ ス を無効に し ます。
RADIUS ア カ ウ ン テ ィ ン グの設定
RADIUS アカウンティング コマンド
ページ
[no] radius-server host < ip-address >
5- 20
[acct-port < port-number >]
5- 20
[key < key-string >]
5- 20
[no] aaa accounting < exec | network | system >
< start-stop | stop-only> radius
5- 24
[no] aaa accounting update
periodic < 1 - 525600 > ( 単位 : 分 )
5- 24
[no] aaa accounting suppress null-username
5- 24
show accounting
5- 30
show accounting sessions
5- 31
show radius accounting
5- 30
5-17
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
注記
こ の項では、 以下が既に設定 さ れてい る も の と し ます。
■
ス イ ッ チへの 1 つま たは複数のア ク セ ス手段に RADIUS 認証を設定
■
ス イ ッ チをサポー ト する よ う に1台ま たは複数のRADIUSサーバを設定
こ れ ら の設定を行っ ていない場合、 まず 5- 5 ページの 「基本的な RADIUS
設定の手順」 を参照 し て く だ さ い。
RADIUS ア カ ウ ン テ ィ ン グは、 ユーザ ア ク テ ィ ビ テ ィ お よ びシ ス テ ム イ ベ
ン ト のデー タ を収集 し 、 ロ グオ フ ま たは リ ブー ト な ど の特定の イ ベン ト が
ス イ ッ チで発生 し た場合に RADIUS サーバに こ れ ら のデー タ を送信 し ま
す。 こ のガ イ ド の対象ス イ ッ チは、 以下の 3 つの タ イ プのア カ ウ ン テ ィ ン
グ サービ ス をサポー ト し てい ます。
■
Networkアカウンティング: ス イ ッ チのポー ト に直接接続 さ れてい
て、 ポー ト ベース のア ク セ ス制御 (802.1x) に よ っ て動作 し てい る
ク ラ イ ア ン ト についての下記の情報を提供 し ます。
•
•
•
•
•
•
Acct-Session-Id
Acct-Status-Type
Acct-TerminateCause
Acct-Authentic
Acct-Delay-Time
Acct-Input-Packets
•
•
•
•
•
•
Acct-Output-Packets
Acct-Input-Octets
Nas-Port
Acct-Output-Octets
Acct-Session-Time
Username
•
•
•
•
Service-Type
NAS-IP-Address
NAS-Identifier
Called-Station-Id
( ス イ ッ チの 802.1x 情報については、 8- 1 ページの 「ポー ト ベース の
ア ク セ ス制御 (802.1x) の設定」 を参照 し て く だ さ い。 )
■
Exec アカウンティング : ス イ ッ チへの ロ グ イ ン セ ッ シ ョ ン ( コ ン
ソ ール、 Telnet、 お よ び SSH) について下記の情報を提供 し ます。
•
•
•
•
■
•
•
•
•
Acct-Delay-Time
Acct-Session-Time
Username
Service-Type
•
•
•
NAS-IP-Address
NAS-Identifier
Calling-Station-Id
System アカウンティング : ス イ ッ チで リ セ ッ ト 、 リ ブー ト お よ び
System ア カ ウ ン テ ィ ン グ設定の変更 ( 有効 / 無効 ) な ど のシ ス テ ム
イ ベン ト が発生 し た場合に、 下記の情報を提供 し ます。
•
•
•
•
5-18
Acct-Session-Id
Acct-Status-Type
Acct-Terminate-Cause
Acct-Authentic
Acct-Session-Id
Acct-Status-Type
Acct-TerminateCause
Acct-Authentic
•
•
•
•
Acct-Delay-Time
Username
Service-Type
NAS-IP-Address
•
•
NAS-Identifier
Calling-Station-Id
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
ス イ ッ チは、 収集 し た ア カ ウ ン テ ィ ン グ情報を指定 さ れた RADIUS サーバ
に フ ォ ワー ド し ます。 その情報は RADIUS サーバに保存 さ れ、 管理 さ れ ま
す。 RADIUS ア カ ウ ン テ ィ ン グの詳細は、 RADIUS サーバに付属のマニ ュ
アルを参照 し て く だ さ い。
RADIUS ア カ ウ ン テ ィ ン グの運用ルール
■
ア カ ウ ン テ ィ ン グは 3 つの タ イ プ (Exec、 System、 Network) を設定
で き、 同時に実行で き ます。
■
RADIUS サーバはア カ ウ ン テ ィ ン グに使用 さ れ、 認証に も 使用 さ れ
ます。
■
ス イ ッ チは少な く と も 1 台の RADIUS サーバにア ク セ スす る よ う に
設定 さ れてい る 必要があ り ます。
■
RADIUS サーバには、 ス イ ッ チで IP ア ド レ ス が設定 さ れてい る順番
でア ク セ ス し ます。 順番を表示す る には、 show radius コ マ ン ド を
使用 し ます。 最初のサーバがア ク セ ス可能で、 ス イ ッ チか ら の認
証要求に応答す る 限 り 、 2 番目ま たは 3 番目のサーバへのア ク セ
ス は行われ ません。 ( こ の ト ピ ッ ク については、 5- 32 ページの
「RADIUS サーバへのア ク セ ス順序の変更」 を参照 し て く だ さ い。 )
■
ク ラ イ ア ン ト が認証 さ れてか ら RADIUS サーバ と の通信が途絶え て
も 、 ス イ ッ チは引 き 続 き サーバにア カ ウ ン テ ィ ン グ デー タ を送信
し ます。 つま り 、 セ ッ シ ョ ン中にサーバ と の通信が途絶え る と 、
ス イ ッ チか ら 送信 さ れた ア カ ウ ン テ ィ ン グ デー タ は受信 さ れませ
ん。
RADIUS ア カ ウ ン テ ィ ン グの設定手順
1.
ス イ ッ チを RADIUS サーバにア ク セ スす る よ う に設定 し ます。
ス イ ッ チには最大 3 台の RADIUS サーバ (1 台のプ ラ イ マ リ サーバ、 2
台のバ ッ ク ア ッ プ サーバ ) を設定で き ます。 RADIUS サーバがア カ ウ
ン テ ィ ン グ モー ド お よ び認証モー ド で動作で き る と い う 前提で ス イ ッ
チを設定 し ます。 ( 使用す る RADIUS サーバのマニ ュ アルを参照 し て く
だ さ い。 )
•
RADIUS 認証を設定す る 場合 と 同一の radius-server host コ マ ン ド を
使用 し ます。 (5- 10 ページの 「2. RADIUS サーバへア ク セ スす る た
めの ス イ ッ チ設定」 を参照 し て く だ さ い。 )
•
以下の も の を準備 し ます。
- RADIUS サーバの IP ア ド レ ス
- オプシ ョ ン-認証要求の UDP ポー ト 。 これがない場合、 ス イ ッ
チはデフ ォル ト の UDP ポー ト (1812、 推奨 ) を割 り 当てます。
5-19
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
-
2.
3.
オプシ ョ ン-ス イ ッ チに RADIUS 認証を設定 し てお り 、 指定
し た RADIUS サーバ と の認証セ ッ シ ョ ン中に使用す る 固有の
暗号キーが必要な場合は、 サーバ固有のキーを設定 し ます。
こ のキーは ス イ ッ チで設定可能な グ ロ ーバル暗号キー よ り も
優先 さ れます。 ま た、 こ のキーは特定の RADIUS サーバで使
用す る 暗号キー と 一致 し てい る 必要があ り ます。 詳細は、
5- 10 ページの key < key-string > パ ラ メ ー タ を参照 し て く だ さ
い。 ( デフ ォ ル ト : 未設定 )
ア カ ウ ン テ ィ ン グの タ イ プ、 お よ び RADIUS サーバに送信す る レ ポー
ト の送信モー ド を設定 し ます。
•
アカウンティングのタイプ : Exec (5- 18 ページ )、Network (5- 18 ペー
ジ )、 ま たは System (5- 18 ページ )
•
アカウンティング レポートを RADIUS サーバに送信するためのト
リガ : セ ッ シ ョ ン の開始時お よ び終了時、 ま たはセ ッ シ ョ ン の終了
時のみ
( オプシ ョ ン ) セ ッ シ ョ ン のブ ロ ッ ク お よ び更新オプシ ョ ン を設定 し ま
す。
•
更新 : 進行中のセ ッ シ ョ ン のア カ ウ ン テ ィ ン グ デー タ を定期的に更
新 し ます。
•
アカウンティングの抑制 : ユーザ名がないユーザが ス イ ッ チにア ク
セ スす る 場合のア カ ウ ン テ ィ ン グ セ ッ シ ョ ン を ブ ロ ッ ク し ます。
1. RADIUS サーバへア ク セ スする ための ス イ ッ チ設定
ア カ ウ ン テ ィ ン グ パ ラ メ ー タ を設定す る前に、 ス イ ッ チが RADIUS サーバ
を使用す る よ う に設定す る 必要があ り ます。 こ れは、 5- 10 ページで説明 し
たプ ロ セ ス と 同 じ です。 RADIUS サーバを使用す る よ う に ス イ ッ チを設定
し ていない場合、 サーバ デー タ が変更 さ れた場合、 ま たはア カ ウ ン テ ィ ン
グ要求にデフ ォ ル ト 以外の UDP ポー ト を指定す る場合のみに、 こ の手順
を繰 り 返す必要があ り ます。 ス イ ッ チは、 RADIUS サーバが認証お よ びア
カ ウ ン テ ィ ン グに対応 し てい る と い う 前提で動作す る こ と に注意 し て く だ
さ い。
5-20
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
構文 :
[no] radius-server host < ip-address >
サーバを RADIUS 設定に追加 し た り 、 (no を付けて )
RADIUS 設定か ら 削除 し ます。
[acct-port < port-number >]
オプシ ョ ン。 指定 し た RADIUS サーバへのア カ ウ ン
テ ィ ン グ要求を行 う UDP ポー ト を変更 し ます。 こ の
オプシ ョ ン を使用 し ない場合、 ス イ ッ チはデフ ォ ル ト
のア カ ウ ン テ ィ ン グ ポー ト 番号を自動的に割 り 当て ま
す。 ( デフ ォ ル ト : 1813)
[key < key-string >]
オプシ ョ ン。 指定 し たサーバ と のア カ ウ ン テ ィ ン グ
セ ッ シ ョ ン ま たは認証セ ッ シ ョ ン中に使用す る 暗号
キーを設定 し ます。 こ のキーは RADIUS サーバで使用
さ れ る 暗号キー と 一致す る 必要があ り ます。 指定 し た
サーバがグ ロ ーバル暗号キー と し て設定 さ れてい る
キー と は異な る暗号キーを要求す る場合のみ、 こ の コ
マ ン ド を使用 し ます。
(radius-server コ マ ン ド お よ びそのオプシ ョ ン の詳 し い説明は、 5- 10 ペー
ジに記載 さ れてい ます。 )
た と えば、 ス イ ッ チが認証お よ びア カ ウ ン テ ィ ン グで、 以下に説明す る
RADIUS サーバを使用す る と し ます。
■
IP ア ド レ ス : 10.33.18.151
■
ア カ ウ ン テ ィ ン グに使用する デフ ォ ル ト 以外の UDP ポー ト 番号
1750
こ の例では、 RADIUS サーバにア ク セ スす る ための他の RADIUS 認証パ ラ
メ ー タ がすべてデフ ォ ル ト 設定で、 RADIUS サーバは ス イ ッ チへの 1 つま
たは複数のア ク セ ス手段 (Telnet、 コ ン ソ ールな ど ) の認証方式 と し て設定
さ れてい ます。
5-21
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
radius-server コ マ ン ド でア カ ウ ン テ ィ
ン グ ポー ト (acct-port) にデ フ ォ ル ト 以
外の UDP ポー ト 番号 1750 が設定 さ れ
ています。 auth-port コ マ ン ド は radiusserver コ マ ン ド に含まれていないため、
認証 UDP ポー ト はデ フ ォ ル ト 値の 1812
に設定 さ れています。
図 5-7. RADIUS サーバにデフォルト以外のアカウンティング UDP ポート番号を設定する例
上記の図 5-7 に示す radius-server コ マ ン ド に よ り 、 IP ア ド レ ス
10.33.18.151、 ( デフ ォ ル ト 以外の ) UDP ア カ ウ ン テ ィ ン グ ポー ト 1750 お
よ びサーバ固有のキーであ る 「source0151」 で RADIUS サーバを使用す る
よ う に ス イ ッ チが設定 さ れま し た。
2. ア カ ウ ン テ ィ ン グの タ イ プ、 お よ び RADIUS サーバに送
信す る レ ポー ト の送信モー ド の設定
以下の中か ら ア カ ウ ン テ ィ ン グの タ イ プ を選択 し ます。
■
Exec: コ ン ソ ール、 Telent、 ま たは SSH 経由での ス イ ッ チへの ロ グ
イ ン セ ッ シ ョ ン について ア カ ウ ン テ ィ ン グ情報を収集す る場合は、
[exec] を使用 し ます。 (5- 2 ページの 「ア カ ウ ン テ ィ ン グ」 も 参照
し て く だ さ い。)
■
System: 以下のアカ ウ ン テ ィ ン グ データ を収集する場合は [system]
を使用し ます。
•
•
シ ス テ ムが リ ブー ト ま たは リ ロ ー ド す る 場合
System ア カ ウ ン テ ィ ン グ を有効ま たは無効にす る 場合
[system] オプシ ョ ン を使用す る 場合、 Start-Stop モー ド では実行 さ れ
ない こ と に注意 し て く だ さ い。 上記のいずれかの イ ベン ト が発生す る
と 、 ス イ ッ チは現在所有 し てい る ア カ ウ ン テ ィ ン グ デー タ を送信 し ま
す。
5-22
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
■
Network: ス イ ッ チの物理ポー ト に接続 し て、802.1x ポー ト ベース
ア ク セ ス を行 う ユーザのア カ ウ ン テ ィ ン グ情報を収集す る 場合に
は [Network] を使用 し ます。 (2 ページの 「ア カ ウ ン テ ィ ン グ」 も 参
照 し て く だ さ い。) ( こ の機能については、 8- 1 ページの 「ポー ト
ベース のア ク セ ス制御 (802.1x) の設定」 を参照 し て く だ さ い。 )
ス イ ッ チがア カ ウ ン テ ィ ン グ デー タ を RADIUS サーバに送信す る 際の送信
モー ド を設定 し ます。
■
Start-Stop:
・
ア カ ウ ン テ ィ ン グ セ ッ シ ョ ン の最初にア カ ウ ン テ ィ ン グの開始通
知を送信 し 、 セ ッ シ ョ ン の最後にア カ ウ ン テ ィ ン グの停止通知を
送信 し ます。 ど ち ら の通知に も 、 設定 し た ア カ ウ ン テ ィ ン グの タ
イ プ (Network、 Exec、 System) で ス イ ッ チが収集 し た最新デー タ が
含まれてい ます。
・
通知を RADIUS サーバが受信 し たか確認 し ません。
[System] オプシ ョ ン (5- 22 ページ ) の場合は、 リ ブー ト 、 リ ロ ー ド 、 ま
たはア カ ウ ン テ ィ ン グ設定の変更 ( 有効 / 無効 ) が発生 し た場合のみス
イ ッ チが累積デー タ を送信す る ため、 [start-stop] を無視 し ます。
■
Stop-Only:
・
ア カ ウ ン テ ィ ン グ セ ッ シ ョ ン の最後にア カ ウ ン テ ィ ン グの停止通
知を送信 し ます。 通知には、 設定 し た ア カ ウ ン テ ィ ン グの タ イ プ
(Network、 Exec、 System) で ス イ ッ チが収集 し た最新デー タ が含ま
れてい ます。
・
通知を RADIUS サーバが受信 し たか確認 し ません。
[System] オプシ ョ ン (5- 22 ページ ) の場合は、 リ ブー ト 、 リ ロ ー ド 、 ま
たはア カ ウ ン テ ィ ン グ設定の変更 ( 有効 / 無効 ) が発生 し た場合のみス
イ ッ チが累積デー タ を送信す る ので、 常に [stop-only] にな り ます。
構文 :
[no] aaa accounting < exec | network | system > < start-stop | stoponly > radius
RADIUS ア カ ウ ン テ ィ ン グの タ イ プお よ び RADIUS サーバ
へのデー タ の送信モー ド を設定 し ます。
5-23
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
た と えば、 以下の よ う に、 ス イ ッ チの RADIUS ア カ ウ ン テ ィ ン グで、 Exec
機能には [start-stop] を、 System 機能には [stop-only] を設定 し ます。
Exec ア カ ウ ン テ ィ ン グ
と System ア カ ウ ン テ ィ
ン グ、 お よ びア カ ウ ン
テ ィ ン グ レ ポー ト の送
信モー ド を設定 し ます。
ス イ ッ チのア カ ウ ン テ ィ
ン グ設定の情報です。
Exec ア カ ウ ン テ ィ ン グ お よ び
System ア カ ウ ン テ ィ ン グはア ク
テ ィ ブ です。 ( ス イ ッ チは通信可
能な RADIUSサーバに ア ク セ スす
る よ う に設定 さ れています。 )
図 5-8. アカウンティングのタイプの設定例
3. ( オプシ ョ ン ) セ ッ シ ョ ンのブ ロ ッ ク お よ び更新オプ
シ ョ ンの設定
こ れ ら のオプシ ョ ン パ ラ メ ー タ に よ っ て、 ア カ ウ ン テ ィ ン グ デー タ を さ
ら に細か く コ ン ト ロ ールで き ます。
■
updates: [Start-Stop] ま たは [Stop-Only] に加え て、 ス イ ッ チが
RADIUS サーバにア カ ウ ン テ ィ ン グ レ コー ド の更新を定期的に送
信す る よ う に設定で き ます。
■
suppress: ス イ ッ チは、 ユーザ名のない未知のユーザに対す る ア カ
ウ ン テ ィ ン グ を抑制で き ます。
構文 :
[no] aaa accounting update periodic < 1 - 525600 >
ス イ ッ チのすべてのア カ ウ ン テ ィ ン グ セ ッ シ ョ ンに対 し
て ア カ ウ ン テ ィ ン グ更新時間を設定 し ます。 ([no] 形式を
使用す る と 、 更新機能を無効に し 、 値を リ セ ッ ト し て 0 に
し ます。 )( デフ ォ ル ト : 0 、 無効 )
構文 :
[no] aaa accounting suppress null-username
ユーザ名がない未知のユーザに対す る ア カ ウ ン テ ィ ン グ を
無効に し ます。 ( デフ ォ ル ト : 抑制無効 )
図 5-8 の例の続 き と し て、 ス イ ッ チが以下の動作を行 う も の と し ます。
5-24
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS ア カ ウ ン テ ィ ン グの設定
■
進行中のア カ ウ ン テ ィ ン グ セ ッ シ ョ ンの更新を 10 分ご と に送信 し
ます。
■
未知のユーザ ( ユーザ名がない ) に対す る ア カ ウ ン テ ィ ン グ をブ
ロ ッ ク し ます。
•
更新時間
•
未知のユーザに対する ア
カ ウン テ ィ ング を抑制
図 5-9. アカウンティング更新時間および未知のユーザに対するアカウンティング抑制 ( オプショ
ン ) の例
5-25
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
RADIUS 統計の表示
基本的な RADIUS 統計
構文 :
show radius [host < ip-addr >]
サーバの IP ア ド レ ス を含む RADIUS の基本設定を表示 し ま
す。 オプシ ョ ンの構文では、 特定の RADIUS ホ ス ト のデー
タ を表示 し ます。 show radius コ マ ン ド を使用す る には、
サーバの IP ア ド レ ス が ス イ ッ チに設定 さ れてい る 必要があ
り ます。 radius-server host コ マ ン ド を使用す る前に も こ の
設定が必要です。 (5- 17 ページの 「RADIUS ア カ ウ ン テ ィ ン
グの設定」 を参照 し て く だ さ い。 )
図 5-10. show radius コマンドで表示された RADIUS の基本情報の例
5-26
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
図 5-11. show radius host コマンドで表示された RADIUS サーバ情報
表 5-2.
show radius host コマンドで出力される値 ( 図 5-11)
項目
定義
Round Trip Time
最新の Accounting-Request がア カ ウン テ ィ ングを提供する RADIUS サーバに送信
さ れてか ら、 その Accounting-Request に対応する Accounting-Response を受信す
る ま での間隔。
Pending Requests
RADIUS サーバに送信 さ れてか ら、 応答を受信 し ていないか、 タ イムアウ ト し て
いない RADIUS の Accounting-Request パケ ッ ト の数。 こ の変数は、 AccountingRequest が送信 さ れる と 増加 し 、 Accounting-Response の受信、 タ イムアウ ト また
は再送信によ っ て減少 し ます。
Retransmissions
ア カ ウン テ ィ ング を提供する RADIUS サーバに再送信 さ れた RADIUS の
Accounting-Request パケ ッ ト の数。 再送信には、 NAS-Identifer および AcctDelay-Time が更新 さ れた再試行 と 更新 さ れていない再試行が含まれます。
Timeouts
RADIUS サーバに対する ア カ ウン テ ィ ン グ タ イムアウ ト 数。 タ イムアウ ト 後に、
ク ラ イ ア ン ト は同 じ RADIUS サーバに再試行するか、 または異な る RADIUS サー
バに送信するか、 送信を中止 し ます。 同 じ RADIUS サーバへの再試行は、 再送信
および タ イムアウ ト と し て カ ウン ト さ れます。 異な る RADIUS サーバへの送信
は、 Accounting-Request および タ イムアウ ト と し て カ ウン ト さ れます。
Malformed Responses
RADIUS サーバか ら受信 し た不正な形式の Accounting-Response パケ ッ ト の数。
不正な形式のパケ ッ ト には、 無効な長 さ のパケ ッ ト が含まれます。 無効なオーセ
ン テ ィ ケー タ を含むパケ ッ ト および未知の タ イ プのパケ ッ ト は、 Malformed
Responses には含まれません。
Bad Authenticators
RADIUS サーバか ら受信 し た無効なオーセン テ ィ ケー タ を含む RADIUS
Accounting-Response パケ ッ ト の数。
Unknown Types
RADIUS サーバのア カ ウン テ ィ ン グ ポー ト から 受信 し た未知の タ イ プの RADIUS
Accounting-Response パケ ッ ト の数。
5-27
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
項目
定義
Packets Dropped
RADIUS サーバのア カ ウン テ ィ ン グ ポー ト から 受信 し 、 何ら かの理由で破棄 さ れ
た RADIUS パケ ッ ト の数。
Access Requests
最後に リ ブー ト し てか ら ス イ ッ チが送信 し た RADIUS の Access-Request パケ ッ
ト の数。 ( 再送信 さ れたパケ ッ ト は含まれません。 )
Accounting Requests
RADIUS サーバに送信 さ れた RADIUS の Accounting-Request パケ ッ ト の数。 こ れ
には、 再送信 さ れたパケ ッ ト は含まれません。
Access Challenges
RADIUS サーバか ら受信 し た ( 有効または無効な ) RADIUS Access-Chanllenge パ
ケ ッ ト の数。
Access Accepts
RADIUS サーバか ら受信 し た ( 有効または無効な ) RADIUS Access-Accept パケ ッ
ト の数。
Access Rejects
RADIUS サーバか ら受信 し た ( 有効または無効な ) RADIUS Access-Reject パケ ッ ト
の数。
Accounting Responses
RADIUS サーバのア カ ウン テ ィ ン グ ポー ト から 受信 し た RADIUS の AccountingResponse パケ ッ ト の数。
RADIUS 認証統計
構文 :
show authentication
ス イ ッ チへのア ク セ ス手段 ( コ ン ソ ール、 Telnet 、 ポー ト
ア ク セ ス (802.1x) 、 お よ び SSH に設定 し た 1 次お よ び 2 次
認証方式を表示 し ます。 ま た、 セ ッ シ ョ ンで現在許可 さ れ
てい る ロ グ イ ン試行回数 も 表示 し ます。
show radius authentication
NAS Identifier、 設定 さ れた RADIUS サーバに関す るデー タ 、
お よ び RADIUS サーバ と ス イ ッ チの通信状況を表示 し ます。
( こ の コ マ ン ド を実行す る 前に、 radius-server host コ マ ン
ド を使用 し て、 ス イ ッ チに RADIUS サーバの IP ア ド レ ス を
設定す る必要があ り ます。 5- 17 ページの 「RADIUS ア カ ウ
ン テ ィ ン グの設定」 を参照 し て く だ さ い。 )
5-28
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
図 5-12. show authentication コマンドで表示されるログイン試行および 1
次 /2 次認証情報の例
図 5-13. 特定のサーバの RADIUS 認証情報の例
5-29
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
RADIUS ア カ ウ ン テ ィ ン グ統計
構文 :
show accounting
設定 さ れた ア カ ウ ン テ ィ ン グの間隔、 「未知のユーザ」 抑制
の設定、 ア カ ウ ン テ ィ ン グの タ イ プ、 方法、 お よ びモー ド
を一覧表示 し ます。
show radius accounting
(radius-server host コ マ ン ド を使用 し て ) ス イ ッ チで設定 さ
れた RADIUS サーバのア カ ウ ン テ ィ ン グ統計情報を一覧表
示 し ます。
show accounting sessions
ス イ ッ チで現在ア ク テ ィ ブなア カ ウ ン テ ィ ン グ セ ッ シ ョ ン
を一覧表示 し ます。
図 5-14. スイッチでのアカウンティング設定の一覧表示
図 5-15. 特定のサーバの RADIUS アカウンティング情報の例
5-30
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS 統計の表示
図 5-16. アクティブな RADIUS アカウンティング セッションの一覧表示の
例
5-31
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS サーバへのア ク セ ス順序の変更
RADIUS サーバへのア ク セス順序の変更
ス イ ッ チは、 show radius コ マ ン ド で表示 さ れ る IP ア ド レ ス の順序で、
RADIUS サーバにア ク セ ス を試みます。 ま た、 新 し いサーバの IP ア ド レ ス
を追加す る場合は、 一覧の空いてい る 中で一番上の順番に追加 さ れます。
RADIUS サーバの IP ア ド レ ス を削除す る と 削除 し た位置が空 き ますが、 一
覧の他のサーバ ア ド レ ス の位置は変化 し ません。 た と えば、 最初に 3 つの
サーバ ア ド レ ス を設定す る と 、 そのア ド レ ス は入力 し た順に一覧に表示 さ
れます。 一方、 一覧の 2 番目のサーバ ア ド レ ス を削除 し て新 し いサーバ
ア ド レ ス を追加す る と 、 新 し いア ド レ ス は一覧の 2 番目の位置に配置 さ れ
ます。
し たがっ て、 一覧でサーバ ア ド レ ス の順位を上げ る には、 最初にサーバ
ア ド レ ス を一覧か ら 削除 し 、 移動先が空いてい る こ と を確認 し てか ら 、 そ
のサーバ ア ド レ ス を再度追加 し ます。 た と えば、 ス イ ッ チで以下の 3 つの
RADIUS サーバの IP ア ド レ ス を既に設定 し てい る と し ます。
ス イ ッ チがア ク セ ス を試行する順に表示 さ
れてい る RADIUS サーバの IP ア ド レ ス。
こ の場合、 IP ア ド レ ス 10.10.10.1 のサーバ
が最初です。
注記 : ス イ ッ チが問題な く 最初の RADIUS
サーバにア ク セ スする と 、 た と え、 ク ラ イ
ア ン ト が最初の RADIUS サーバか ら ア ク セ
ス を拒否 さ れて も 、 ス イ ッ チは一覧の他の
RADIUS サーバにはア ク セ ス し ません。
図 5-17. RADIUS サーバの検索順序
IP ア ド レ ス 10.10.10.3 のサーバが最初にア ク セ ス さ れ、 IP ア ド レ ス
10.10.10.1 のサーバが最後にア ク セ ス さ れ る よ う にア ド レ ス の位置を変更
す る には、 以下の作業を行い ます。
5-32
1.
一覧か ら 10.10.10.3 を削除 し ます。 こ れに よ っ て、 一覧の 3 番目 ( 一
番下 ) の位置が空 き ます。
2.
一覧か ら 10.10.10.1 を削除 し ます。 こ れに よ っ て、 一覧の最初 ( 一番
上 ) の位置が空 き ます。
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS サーバへのア ク セ ス順序の変更
3.
10.10.10.3 を再入力 し ます。 ス イ ッ チは空いてい る中で一番上の位置
に新 し く 入力 さ れた ア ド レ ス を配置す る ため、 こ のア ド レ ス は一覧の
最初にな り ます。
4.
10.10.10.1 を再入力 し ます。 唯一空いてい る場所は 3 番目の位置であ
る ため、 こ のア ド レ ス は一覧の最後にな り ます。
RADIUS サーバの一覧か ら 「10.10.10.3」
お よ び 「10.10.10.1」 のア ド レ ス を削除 し
ます。
「10.10.10.3」 のア ド レ ス を RADIUS サーバ
の一覧の最初の位置に挿入 し 、
「10.10.10.1」 のア ド レ ス を一覧の最後の
位置に挿入 し ます。
ス イ ッ チが RADIUS サーバを検索する新
し い順序が表示 さ れてい ます。
図 5-18. 新しい RADIUS サーバの検索順序の例
5-33
RADIUS 認証お よ びア カ ウ ン テ ィ ン グ
RADIUS オペレーシ ョ ンに関連 し た メ ッ セージ
RADIUS オペレーシ ョ ンに関連 し た
メ ッ セージ
メッセージ
意味
Can’t reach RADIUS server < x.x.x.x >.
指定 し た RADIUS サーバが認証要求に応答 し ませ
ん。 サーバに ping テ ス ト を実行 し 、 ス イ ッ チにア
ク セス可能であるかど う かを確認 し ます。 サーバ
がア ク セス可能な場合、 ス イ ッ チが正 し い暗号
キーを使用 し ていて、 サーバがス イ ッ チから 認証
要求を受信する よ う に正 し く 設定 さ れている こ と
を確認 し ます。
No server(s) responding.
ス イ ッ チに RADIUS 認証が設定 さ れてお り 、
RADIUS 認証を試みますが、 RADIUS サーバから の
応答を受信 し ません。 ス イ ッ チが少な く と も 1 つ
の RADIUS サーバにア ク セスで き る よ う に設定 さ
れている こ と を確認 し ます。 (show radius を使用
し ます。 ) また、 メ ッ セージ 「CanÅft reach
RADIUS server< x.x.x.x >」 が表示 さ れる場
合は、 その メ ッ セージに表示 さ れている指示に従
います。
Not legal combination of authentication
methods.
1 次および 2 次認証方式を共に [local] に設定 し よ
う と し ている こ と を示 し ています。 1 次認証方式
が [local] の場合、 2 次認証方式を [none] にする必
要があ り ます。
5-34
6
セキ ュ ア シ ェ ル (SSH) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-4
SSH を使用す る前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5
公開キー フ ォーマ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSH 設定お よ び使用手順 . . . . . 6-6
基本的な動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-8
SSH オペレーシ ョ ンの ス イ ッ チ設定 . . . . . . . . . . . . . . . . . . . . . . . . 6-9
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レベルの ロ ーカル
パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-9
2. ス イ ッ チの公開キー / 秘密キーのペアの生成 . . . . . . . . . . . . 6-10
3. ス イ ッ チの公開キーを ク ラ イ ア ン ト に提供す る . . . . . . . . . . . 6-13
4. ス イ ッ チの SSH の有効化お よ び SSH ク ラ イ ア ン ト と の通信 . . 6-15
5. SSH 認証の ス イ ッ チ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-18
6. ス イ ッ チへのア ク セ ス に SSH ク ラ イ ア ン ト を使用す る . . . . . 6-22
SSH ク ラ イ ア ン ト 公開キー認証の詳細 . . . . . . . . . . . . . . . . . . . . . . 6-22
SSH オペレーシ ョ ンに関連 し た メ ッ セージ . . . . . . . . . . . . . . . . . . . 6-28
6-1
セキ ュ ア シ ェ ル (SSH) の設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
ス イ ッ チの公開キー / 秘密キーを生成する
No
n/a
6- 10 ページ
n/a
ス イ ッ チの公開キーを使用する
n/a
n/a
6- 13 ページ
n/a
SSH を有効にする
無効
n/a
6- 15 ページ
n/a
ク ラ イ ア ン ト 公開キーの認証を有効にする
無効
n/a
6- 19、 6- 22
ページ
n/a
ユーザ認証を有効にする無効
無効
n/a
6- 18 ページ
n/a
こ のガ イ ド の対象 と な る ProCurve Switch では、 SSH バージ ョ ン 2 (SSHv2)
をサポー ト す る 管理ス テーシ ョ ン ク ラ イ ア ン ト か ら 、 暗号化 さ れたパ ス を
介 し て ス イ ッ チの管理機能に リ モー ト ア ク セ ス で き ます。
SSH には Telnet と 同様の機能があ り ますが、 SSH は Telnet と は異な り 、 暗
号化、 認証機能があ り ます。 認証方式には以下の も のがあ り ます。
■
ク ラ イ ア ン ト 公開キー認証
■
ス イ ッ チ SSH お よ びユーザのパ ス ワー ド 認証
クライアント公開キー認証 (login/ オペレータ レベル ) とユーザ パスワー
ド認証 (enable/ 管理者レベル )。 こ のオプシ ョ ン では、 ス イ ッ チに保存 さ
れてい る 1 つま たは複数の ( ク ラ イ ア ン ト の ) 公開キーを使用 し ます。 ス
イ ッ チへのア ク セ ス は、 保存 さ れてい る 公開キー と 対にな る 秘密キーを持
つ ク ラ イ ア ン ト のみが許可 さ れ ます。 (1 つの秘密キーを複数の ク ラ イ ア ン
ト で共有 [ 保存 ] す る こ と がで き ます。 )
1. ス イ ッ チか ら ク ラ イ ア ン ト への SSH 認証
ProCurve
Switch
(SSH
サーバ )
2.ク ラ イアン ト から スイ ッ チへの (login rsa) 認証
3.ユーザか ら ス イ ッ チへの (enable レ ベル パス
ワー ド ) 認証オプ シ ョ ン :
- ロー カル
- TACACS+
- RADIUS
- なし
図 6-1. クライアント公開キー認証モデル
6-2
SSH ク ラ
イアン ト
ワー ク ス
テーシ ョ ン
セキ ュ ア シ ェ ル (SSH) の設定
概要
注記
ProCurve の SSH 機能は、 OpenSSH ソ フ ト ウ ェ ア ツールキ ッ ト を使用 し て
い ます。 OpenSSH については、 http://www.openssh.com ( 英語 ) ま たは
http://www.openssh.com/ja/ ( 日本語 ) を参照 し て く だ さ い。
スイッチ SSH およびユーザのパスワード認証。 こ のオプシ ョ ンは、 図 61 の ク ラ イ ア ン ト 公開キー認証のサブセ ッ ト です。 使用す る のは、 ス イ ッ
チの SSH は有効であ る が、 ク ラ イ ア ン ト のキーを認証す る ための ロ グ イ ン
ア ク セ ス (login public-key) 機能が設定 さ れていない場合です。 図 6-1 に示
す よ う に、 ス イ ッ チは自身を SSH ク ラ イ ア ン ト で認証 し ます。 次に SSH
ク ラ イ ア ン ト のユーザが、 ス イ ッ チの ロ ーカル、 TACACS+ ま たは RADIUS
サーバに保存 さ れてい る パ ス ワ ー ド を使用 し て、 自身を ス イ ッ チで認証 し
ます ( オペレー タ / 管理者レベル )。 つま り 、 ク ラ イ ア ン ト は ス イ ッ チでの
認証にキーを使用 し ません。
1. ス イ ッ チか ら ク ラ イ ア ン ト への SSH 認証
ProCurve
Switch
2.ユーザか ら ス イ ッ チへの (login レ ベル
パスワー ド /enable レ ベル パスワー ド
認証 ) オプ シ ョ ン :
- ロー カル
- TACACS+
- RADIUS
(SSH
サーバ )
SSH ク ラ
イアン ト
ワー ク ス
テーシ ョ ン
図 6-2. スイッチ / ユーザ認証
こ のガ イ ド が対象 と す る ProCurve Switch の SSH は以下のデー タ 暗号化方
式をサポー ト し てい ます。
注記
■
3DES (168 ビ ッ ト )
■
DES (56 ビ ッ ト )
こ のガ イ ド が対象 と す る ProCurve Switch では、 内部におけ る キーの生成
(v2 共有ホ ス ト キー ) に RSA アルゴ リ ズ ム を使用 し ます。 ただ し 、
ProCurve Switch は ク ラ イ ア ン ト 認証について RSA と DSA/DSS キーの両方
をサポー ト し ます。 公開キー と 秘密キーは、 いずれ も こ のアルゴ リ ズ ム を
使用 し て生成 さ れます。
6-3
セキ ュ ア シ ェ ル (SSH) の設定
用語
用語
6-4
■
enable レベル : ス イ ッ チの管理者権限。
■
login レベル : ス イ ッ チのオペレー タ 権限。
■
SSH サーバ : SSH が有効な ProCurve Switch。
■
PEM (Privacy Enhanced Mode): 移植性 と 効率を高め る ためにエ
ン コー ド さ れた ASCII フ ォーマ ッ ト の ク ラ イ ア ン ト 公開キーです。
一般に、 SSHv2 ク ラ イ ア ン ト 公開キーは PEM フ ォーマ ッ ト で保存
さ れ ます。 PEM エ ン コ ー ド キー (ASCII) の例については、 図 6-3
を参照 し て く だ さ い。
■
キー ペア: ス イ ッ チ ま たはSSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で生
成 さ れ る キーのペア。 各ペアには、 誰で も 読み取れ る 公開キー と 、
ス イ ッ チ内部ま たは ク ラ イ ア ン ト に よ っ て保持 さ れ る 秘密キーが
あ り ます。
■
公開キー : 秘密キーに対応す る キー。 機器の公開キーは他の機器で
認証す る 際に使用 さ れます。
■
秘密キー : 認証プ ロ セ ス に使用 さ れ る キー。 ス イ ッ チで生成 さ れ る
秘密キーの表示お よ び コ ピーはで き ません。 一般に、 SSH ク ラ イ
ア ン ト アプ リ ケーシ ョ ン が生成す る 秘密キーは対応す る 公開キー
と 共に ク ラ イ ア ン ト 機器のフ ァ イ ルに保存 さ れ、 複数の機器で コ
ピーお よ び保存が可能です。
■
有効な SSH: (1) 公開キー / 秘密キーのペア を ス イ ッ チで生成 し
(crypto key generate ssh [rsa])、 (2) SSH を有効 (ip ssh) に し ます。
(SSH を有効にせずにキー ペア を生成す る こ と はで き ますが、 最初
にキー ペア を生成せずに SSH を有効にす る こ と はで き ません。
(6- 10 ページの 「2. ス イ ッ チの公開キー / 秘密キーのペアの生成」
お よ び 6- 15 ページの 「4. ス イ ッ チの SSH の有効化お よ び SSH ク
ラ イ ア ン ト と の通信」 参照 し て く だ さ い。 )
■
ローカル パスワードまたはユーザ名 : ス イ ッ チで設定 さ れ る 管理者
レベル ま たはオペレー タ レベルのパ ス ワー ド
セキ ュ ア シ ェ ル (SSH) の設定
SSH を使用す る 前提条件
SSH を使用す る 前提条件
SSH サーバ と し て ス イ ッ チを使用す る 前に、 ス イ ッ チの管理機能にア ク セ
スす る コ ン ピ ュ ー タ に公開版ま たは商用版 SSH ク ラ イ ア ン ト アプ リ ケー
シ ョ ン を イ ン ス ト ールす る 必要があ り ます。 ク ラ イ ア ン ト 公開キー認証
(6- 2 ページ ) の場合、 ク ラ イ ア ン ト プ ロ グ ラ ム に、 公開キー / 秘密キーの
ペア を生成す る 機能が必要です。
公開キー フ ォーマ ッ ト
ス イ ッ チの ク ラ イ ア ン ト 公開キー認証に使用す る ク ラ イ ア ン ト アプ リ ケー
シ ョ ンは、 公開キーを エ ク ス ポー ト で き なければな り ません。 ス イ ッ チ
は、 PEM エン コー ド フ ォーマ ッ ト (ASCII) ま たは非エン コ ー ド フ ォーマ ッ
ト (ASCII) のキーを サポー ト し ます。
公開キ ーの識別
情報の コ メ ン ト
PEM エ ン コ ー ド フ ォ ーマ ッ
ト (ASCII) の SSHv2 公開キー
の実際の開始位置
図 6-3. SSHv2 クライアントに共通の PEM エンコード フォーマット (ASCII) の公開キーの例
6-5
セキ ュ ア シ ェ ル (SSH) の設定
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSH 設定お よ び使用手順
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の
SSH 設定お よ び使用手順
ス イ ッ チ と SSH ク ラ イ ア ン ト の双方向認証には、 login ( オペレー タ ) レベ
ルを使用す る 必要があ り ます。
表 6-1.
スイッチ
アクセス
レベル
オペ レー
タ
(Login)
レベル
管理者
(enable)
レベル
SSH オプション
1 次 SSH 認証
SSH クライアント スイッチはクラ
はスイッチの公開 イアントの公開
キーで認証する
キーで認証する
1 次スイッチ パ
スワード認証
2 次スイッチ パス
ワード認証
ssh login rsa
Yes
Yes1
No1
local または none
ssh login Local
Yes
No
Yes
none
ssh login TACACS
Yes
No
Yes
local または none
ssh login RADIUS
Yes
No
Yes
local または none
ssh enable local
Yes
No
Yes
none
ssh enable tacacs
Yes
No
Yes
local または none
ssh enable radius
Yes
No
Yes
local または none
1
ssh login public-key の場合は、ス イ ッ チはス イ ッ チ パスワー ド の代わ り に ク ラ イ ア ン ト 公開キーを 1 次認
証に使用 し ます。
SSH 設定の基本的な手順は以下の通 り です。
A. ク ラ イ ア ン ト 側の準備
1.
ス イ ッ チへのア ク セ ス に使用す る 管理ス テーシ ョ ン に SSH ク ラ イ
ア ン ト アプ リ ケーシ ョ ン を イ ン ス ト ール し ます。 (SSH ク ラ イ ア ン
ト アプ リ ケーシ ョ ンに付属のマニ ュ アルを参照 し て く だ さ い。 )
2.
オプシ ョ ン-ス イ ッ チが ク ラ イ ア ン ト の公開キーを認証す る 場合、
以下の よ う にな り ます。
a. ク ラ イ ア ン ト コ ン ピ ュ ー タ で公開キー / 秘密キーのペア を生成
す る ( 使用す る ク ラ イ ア ン ト アプ リ ケーシ ョ ン で可能な場合 )
か、 ま たは他の SSH アプ リ ケーシ ョ ン を使用 し て生成 し た ク ラ
イ ア ン ト のキー ペア を イ ン ポー ト し ます。
b. ス イ ッ チにア ク セ ス可能な TFTP サーバ上で ASCII フ ァ イ ルに
ク ラ イ ア ン ト 公開キーを コ ピー し 、 ク ラ イ ア ン ト 公開キー フ ァ
イ ルを ス イ ッ チにダ ウ ン ロ ー ド し ます。 ( ク ラ イ ア ン ト 公開
キー フ ァ イ ルには、 最高 10 個の ク ラ イ ア ン ト キーを保存で き
ます。 ) こ の ト ピ ッ ク については 6- 24 ページの 「 ク ラ イ ア ン ト
公開キー テ キ ス ト フ ァ イ ルの作成」 で説明 し てい ます。
6-6
セキ ュ ア シ ェ ル (SSH) の設定
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSH 設定お よ び使用手順
B. ス イ ッ チ側の準備
1.
ス イ ッ チに login ( オペレー タ ) お よ び enable ( 管理者 ) パ ス ワー ド
を割 り 当て ます (6- 9 ページ )。
2.
ス イ ッ チで公開キーお よ び秘密キーのペア を生成 し ます (6- 10
ページ )。
こ れは一度生成すれば十分です。 ス イ ッ チを工場出荷時の設定に
リ セ ッ ト し て も 、 キーは ス イ ッ チに保存 さ れてい ます。 ( 必要に応
じ て、 こ のキー ペアは削除 し た り 置換で き ます。 )
3.
ス イ ッ チの公開キーを ス イ ッ チにア ク セ スす る SSH ク ラ イ ア ン ト
に コ ピー し ます (6- 13 ページ )。
4.
ス イ ッ チの SSH を有効に し ます (6- 15 ページ )。
5.
ス イ ッ チで使用す る 1 次お よ び 2 次認証方式を設定 し ます。 すべ
ての場合において、 ク ラ イ ア ン ト と の SSH セ ッ シ ョ ン を開始す る
際、 ス イ ッ チは自身のホ ス ト 公開キーを使用 し て自分自身を認証
し ます。
・ SSH login ( オペレー タ ) レベル オプシ ョ ン
- オプシ ョ ン A
1 次 : ロ ーカル、 TACACS+、 ま たは RADIUS パス ワ ード
2 次 : ロ ーカル パ ス ワー ド 、 ま たはな し 。 1 次認証方
式が [local] の場合、 2 次方式は [none] です。
- オプシ ョ ン B
1 次 : ク ラ イ ア ン ト 公開キー認証 (login public-key -
6- 22 ページ )
2 次 : なし
ス イ ッ チで ク ラ イ ア ン ト 公開キー認証を行 う には、 オプシ ョ
ン B で ス イ ッ チを設定す る 必要があ る こ と に注意 し て く だ さ
い。
・ SSH enable ( 管理者 ) レベル オプシ ョ ン
1 次 : ロ ーカル、 TACACS+、 RADIUS
2 次 : ロ ーカル パ ス ワー ド 、 ま たはな し 。 1 次認証方式が
[local] の場合、 2 次方式は [none] です。
6.
SSH ク ラ イ ア ン ト で ス イ ッ チの IP ア ド レ ス ま たは DNS 名 ( 使用す
る SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で可能な場合 ) を使用 し て
ス イ ッ チにア ク セ ス し ます。 ク ラ イ ア ン ト アプ リ ケーシ ョ ンに付
属のマニ ュ アルを参照 し て く だ さ い。
6-7
セキ ュ ア シ ェ ル (SSH) の設定
基本的な動作ルールお よ び注記
基本的な動作ルールお よ び注記
6-8
■
SSH ク ラ イ ア ン ト で生成 さ れ る 公開キーは ス イ ッ チにエ ク ス ポー ト
で き なければな り ません。 ス イ ッ チが保存で き る ク ラ イ ア ン ト
キー ペアは 10 組ま でです。
■
ス イ ッ チ自身の公開キー/秘密キーのペアお よ び ( オプシ ョ ンの ) ク
ラ イ ア ン ト 公開キー フ ァ イ ルは ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保
存 さ れます。 リ ブー ト ま たは erase startup-config コ マ ン ド に よ る
影響は受け ません ( 消去 さ れません )。
■
一度ス イ ッ チでキー ペア を生成 し た ら 、 やむを得ない理由があ る
場合を除 き キー ペアの再生成は避けて く だ さ い。 ス イ ッ チへの
SSH ア ク セ ス が設定 さ れてい る すべての管理ス テーシ ョ ン ( ク ラ イ
ア ン ト ) に ス イ ッ チの公開キーを コ ピー し 直す必要があ り ます。
こ れに よ っ て、 セキ ュ リ テ ィ が侵害 さ れ る可能性があ り ます。
■
ス タ ッ ク をサポー ト す る ProCurve ス イ ッ チにおいて、 ス タ ッ ク が
有効に設定 さ れてい る 場合、 SSH は SSH ク ラ イ ア ン ト と ス タ ッ ク
マネージ ャ 間のみにセキ ュ リ テ ィ を提供 し ます。 ス タ ッ ク コ マ ン
ダ と ス タ ッ ク メ ンバの間の通信はセ キ ュ リ テ ィ で保護 さ れ ません。
■
ス イ ッ チはア ウ ト バ ウ ン ド SSH セ ッ シ ョ ン を サポー ト し てい ませ
ん。 し たが っ て、 SSH が設定 さ れた ス イ ッ チか ら 他の SSH が設定
さ れた ス イ ッ チへの Telnet 接続は安全ではあ り ません 。
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
この項で使用する SSH 関連のコマンド
ページ
show ip ssh
6- 17
show crypto client-public-key [manager | operator] [keylist-str]
[< babble | fingerprint >]
6- 26
show crypto host-public-key [< babble | fingerprint >]
6- 14
show authentication
6- 21
crypto key < generate | zeroize > ssh [rsa]
6- 11
ip ssh
6- 16
port < 1 - 65535 | default >
6- 16
timeout <5 - 120>
6- 16
aaa authentication ssh
login < local | tacacs | radius | public-key >
< local | none >
enable < tacacs | radius | local >
< local | none >
6- 18, 6- 20
6- 18
6- 18
6- 18
copy tftp pub-key-file <tftp server IP> <public key file> [<append
| manager | operator>]
6- 26
clear crypto client-public-key [keylist-str]
6- 27
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レ
ベルの ロ ーカル パ ス ワ ー ド の設定
少な く と も 、 管理者パ ス ワー ド は ス イ ッ チに常に設定 さ れてい る こ と をお
勧め し ます。 状況に よ っ ては、 Telnet、 Web、 ま たはシ リ アル ポー ト ア ク
セ ス を使用 し て ス イ ッ チの設定を変更 さ れて し ま う 可能性があ り ます。
ローカル パスワードの設定。 オペレー タ お よ び管理者のパ ス ワー ド は 1
つの コ マ ン ド で設定で き ます。
構文 :
password < manager | operator | all >
6-9
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
図 6-4. ローカル パスワードの設定例
2. ス イ ッ チの公開キー / 秘密キーのペアの生成
ス イ ッ チで公開キー / 秘密キーのホ ス ト キー ペア を生成す る 必要があ り
ます。 ス イ ッ チ と SSH ク ラ イ ア ン ト と のセ ッ シ ョ ン では、 こ のキー ペア
と 暗号化方式 と セ ッ シ ョ ン のネ ゴ シエー ト 用に動的に生成 さ れ る セ ッ シ ョ
ン キー ペアが使用 さ れます。
ホ ス ト キー ペアは ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存 さ れ、 こ の う ち、
公開キーのみが読み取 り 可能です。 こ の公開キーは、 ス イ ッ チにア ク セ ス
す る SSH ク ラ イ ア ン ト の 「既知ホ ス ト 」 フ ァ イ ル ( た と えば、 UNIX シ ス
テ ム の $HOME/.ssh/known_hosts) に追加す る 必要があ り ます。 SSH ク
ラ イ ア ン ト アプ リ ケーシ ョ ン の中には、 ス イ ッ チの公開キーを 「既知ホ ス
ト 」 フ ァ イ ルに自動的に追加す る も の も あ り ます。 ま た、 他の SSH アプ リ
ケーシ ョ ン では、 既知ホ ス ト の フ ァ イ ルを手動で生成 し て、 その フ ァ イ ル
に ス イ ッ チの公開キーを コ ピーする 必要があ る も の も あ り ます。 (SSH ク ラ
イ ア ン ト アプ リ ケーシ ョ ンに付属のマニ ュ アルを参照 し て く だ さ い。 )
( 前述のセ ッ シ ョ ン キー ペア を ス イ ッ チで表示す る こ と はで き ません。 こ
れは、 特定の ス イ ッ チ / ク ラ イ ア ン ト セ ッ シ ョ ン向けに一時的に ス イ ッ チ
内部で生成 さ れ る キー ペアであ り 、 セ ッ シ ョ ン終了後に削除 さ れます。 )
6-10
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
注記
ス イ ッ チでホ ス ト キー ペア を生成す る場合、 ス イ ッ チはキー ペア を
(running-config フ ァ イ ルではな く ) フ ラ ッ シ ュ メ モ リ に保存 し ます。 ま た、
ス イ ッ チは リ ブー ト を行っ た り 、 パ ワ ーを オ フ に し て も キー ペア を記憶 し
てい ます。 こ のキー ペアは 「固定」 と 考え て、 やむを得ない理由があ る 場
合を除 き 、 キー ペアの再生成は避けて く だ さ い。 ス イ ッ チへの SSH ア ク
セ ス が設定 さ れてい る すべての管理ス テーシ ョ ン ( ク ラ イ ア ン ト ) に ス
イ ッ チの公開キーを コ ピー し 直す必要があ り ます。
ス イ ッ チの公開キー / 秘密キーのペア を削除 ( ゼ ロ 化 ) す る と 、 ス イ ッ チは
SSH オペレーシ ョ ン を停止 し 、 自動的に ス イ ッ チの IP SSH が無効にな り ま
す。 (SSH が有効であ る か ど う か を確認す る には、 show ip ssh コ マ ン ド を実
行 し ます。 ) し か し 、 ア ク テ ィ ブな SSH セ ッ シ ョ ンは、 CLI で kill コ マ ン ド
を入力 し て明示的に終了 し ない限 り 、 オペレーシ ョ ン を継続 し ます。
スイッチの公開 / 秘密 RSA ホスト キー ペアの生成または消去。 ホ ス ト
キー ペアは running-config フ ァ イ ルではな く 、 フ ラ ッ シ ュ メ モ リ に保存 さ
れ る ため、 キー ペア を保存す る ために write memory コ マ ン ド を使用す る
必要はあ り ません。 ま た、 キー ペア を消去す る と 、 SSH は自動的に無効に
な り ます。
構文 :
crypto key generate ssh [rsa]
ス イ ッ チの公開キー / 秘密キーのペア を生成 し ます。
キー ペアが既に存在す る 場合、 新 し いキー ペア と 置
換 さ れます。 ( 上の注記を参照 し て く だ さ い。 )
crypto key zeroize ssh [rsa]
ス イ ッ チの公開キー / 秘密キーのペア を消去 し 、 SSH
オペレーシ ョ ン を無効に し ます。
show crypto host-public-key
ス イ ッ チの公開キーを、 バージ ョ ン 1 お よ びバージ ョ
ン 2 のフ ォーマ ッ ト で表示 し ます。
[ babble ]
ス イ ッ チの公開キーのハ ッ シ ュ を フ ォ ネテ ィ ッ
ク フ ォ ーマ ッ ト で表示 し ます。 (6- 14 ページの
「公開キーの表示」 を参照 し て く だ さ い。 )
[ fingerprint ]
ス イ ッ チの公開キーの 「指紋」 を 16 進フ ォー
マ ッ ト で表示 し ます。 (6- 14 ページの 「公開キー
の表示」 を参照 し て く だ さ い。 )
6-11
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
た と えば、 新 し いキーを生成 し て表示す る には以下の よ う に し ます。
ス イ ッ チのホ
ス ト 公開キー
同一のホ ス ト 公開キーのバージ ョ
ン 1 お よ びバージ ョ ン 2 での表示
図 6-5. スイッチの公開 / 秘密のホスト キー ペアの生成例
show crypto host-public-key コ マ ン ド を実行す る と 、 2 種類の フ ォーマ ッ ト
でデー タ が表示 さ れます。 こ れは、 キーを学習 し た後に ク ラ イ ア ン ト がそ
の ど ち ら かのフ ォーマ ッ ト でデー タ を保存で き る ためです。 ス イ ッ チの
キーを ク ラ イ ア ン ト の既知ホ ス ト フ ァ イ ルに保存 さ れた キー と 比較す る 場
合は、 フ ォーマ ッ ト と コ メ ン ト が一致す る必要はない こ と に注意 し て く だ
さ い。 バージ ョ ン 1 のキーでは、 3 桁の数値ビ ッ ト サ イ ズ、 指数 <e>、 お
よ び係数 <n> が一致す る 必要があ り ます。 PEM キーでは、 PEM エン コー ド
文字列自身のみ一致す る 必要があ り ます。
注記
6-12
ス イ ッ チのキーを 「ゼ ロ 化」 す る と 、 SSH は自動的に無効にな り ます (no
ip ssh コ マ ン ド と 同義 )。 し たが っ て キーをゼ ロ 化 し た後、 ス イ ッ チの SSH
オペレーシ ョ ン を再開す る には、 まず新 し いキーを生成 し 、 次に ip ssh コ
マ ン ド を実行 し て SSH を再度有効にす る 必要があ り ます。
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
3. ス イ ッ チの公開キーを ク ラ イ ア ン ト に提供す る
SSH ク ラ イ ア ン ト が ス イ ッ チ と 初めて通信す る際、 ク ラ イ ア ン ト は、 ス イ ッ
チの公開キーが 「既知ホ ス ト 」 フ ァ イ ルに コ ピ ー さ れてい る 場合 を 除 き、
チ ャ レ ン ジ を開始 し ま す。 ス イ ッ チのキーを コ ピー し てお く と 、 ス イ ッ チ
を装っ た未認証機器に よ っ て、 ユーザのア ク セ ス パ ス ワー ド が盗ま れ る 危
険性を減 ら す こ と がで き ま す。 ス イ ッ チの公開キーを ク ラ イ ア ン ト に配布
す る最 も 安全な方法は、 ス イ ッ チ と 管理機器 ( ラ ッ プ ト ッ プ、 PC、 ま たは
UNIX ワ ー ク ス テーシ ョ ン ) を シ リ アルポー ト で直接接続す る こ と です。
ス イ ッ チが生成す る 公開キーは、 2 つの空白スペース で区切 ら れた 3 つの
部分か ら 構成 さ れてい ます。
ビ ッ ト サイ ズ
指数 <e>
係数 <n>
896 35 427199470766077426366625060579924214851527933248752021855126493
2934075407047828604329304580321402733049991670046707698543529734853020
0176777055355544556880992231580238056056245444224389955500310200336191
3610469786020092436232649374294060627777506601747146563337525446401
図 6-6. スイッチで生成された公開キーの例
( ス イ ッ チで生成 さ れ る公開キーは常に 896 ビ ッ ト です。 )
管理ス テーシ ョ ン か ら ス イ ッ チのシ リ アル ポー ト に直接接続 し て、 以下の
作業を行い ます。
1. ハ イ パー タ ー ミ ナルな ど の タ ー ミ ナル アプ リ ケーシ ョ ン を使用 し 、
show crypto host-public-key コ マ ン ド で ス イ ッ チの公開キーを表示 し ま
す ( 図 6-5)。
2. メ モ帳な ど のテ キ ス ト エデ ィ タ で SSH ク ラ イ ア ン ト の 「既知ホ ス ト 」
フ ァ イ ルを通常の ASCII テ キ ス ト と し て開 き 、 ス イ ッ チの公開キーを
フ ァ イ ルに コ ピー し ます。
3. テ キ ス ト の文字列が変更 さ れていない こ と を確認 し ます。 ( 公開キーは
連続 し た ASCII 文字列でなければな り ません。 改行は認め ら れ ません。
行が変わ る と 、 キーが破損 し ます。 ) た と えば、 Windows の メ モ帳を使
用 し てい る場合、 [ 右端で折り返す ] ([ 書式 ] メ ニ ュー ) が無効にな っ
ていて、 キー テ キ ス ト が 1 行で表示 さ れてい る こ と を確認 し ます。
図 6-7. 正しいフォーマットの公開キーの例
6-13
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
4. SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で要求 さ れ るデー タ を追加 し ま
す。 た と えば、 SSH ク ラ イ ア ン ト の 「既知ホ ス ト 」 フ ァ イ ルにキーを
保存す る 前に、 ス イ ッ チの IP ア ド レ ス を挿入 し なければな ら ない場合
があ り ます。
挿入 さ れ
た IP ア
ド レス
ビッ ト
サイ ズ
指数 <e>
係数 <n>
図 6-8. スイッチの IP アドレスを含むスイッチの公開キーの例
こ の ト ピ ッ ク については、 SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン に付属のマ
ニ ュ アルを参照 し て く だ さ い。
公開キーの表示。 ス イ ッ チは、 3 種類の フ ォーマ ッ ト で公開キーを表示で
き ます。 こ れに よ り 、 ス イ ッ チが ク ラ イ ア ン ト で自分自身を認証す る際に
使用す る 公開キー と 、 ク ラ イ ア ン ト の 「既知ホ ス ト 」 フ ァ イ ルに保存 さ れ
てい る ス イ ッ チの公開キー と が一致 し てい る か を確認す る のに役立ち ま
す。
■
非エンコード ASCII 数列 : ク ラ イ ア ン ト は 「既知ホ ス ト 」 フ ァ イ ル
内のキーを ASCII フ ォーマ ッ ト で表示で き なければな り ません。
こ の方法では、 キーが長いため、 面倒であ り 間違い を起 こ し やす
く な り ます。 (6- 13 ページの図 6-7 を参照 し て く だ さ い。 )
■
フォネティック ハッシュ : キーを比較的短い連続 し た英字グルー
プ と し て表示 し ます。 ク ラ イ ア ン ト に、 キーを こ の フ ォーマ ッ ト
に変換す る機能が必要です。
■
16 進ハッシュ : キーを比較的短い連続 し た 16 進数で表示 し ます。
ク ラ イ ア ン ト に、 キーを こ の フ ォ ーマ ッ ト に変換す る 機能が必要
です。
た と えば、 図 6-7 で生成 し た、 ス イ ッ チの公開キーを フ ォ ネテ ィ ッ ク お よ
び 16 進数バージ ョ ン で生成す る と 以下の よ う にな り ます。
6-14
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
ス イ ッ チの公開キーの フ ォ ネ
テ ィ ッ ク 「ハ ッ シ ュ」
同 じ ス イ ッ チの
公開キーの16進
数 「Fingerprint」
図 6-9. スイッチの公開キーのフォネティックおよび 16 進数ハッシュの例
図 6-9 に示す 2 つの コ マ ン ド は、 ス イ ッ チの公開キー と ク ラ イ ア ン ト の 「既
知ホ ス ト 」 フ ァ イ ルにあ る キーを簡単に目視比較で き る よ う に、 ス イ ッ チ
の ( ホ ス ト ) 公開キーの表示フ ォーマ ッ ト を変換す る も のです。ス イ ッ チが
持つのは RSA ホ ス ト キーのみです。[babble] お よ び [fingerprint] オプシ ョ ン
を用い る と 、 キーに対 し て 2 つのハ ッ シ ュ が生成 さ れます。 1 つは v1 ク ラ
イ ア ン ト と 接続す る 場合に用い ら れ る チ ャ レ ン ジ ハ ッ シ ュ に対応 し 、 も う
1 つは v2 ク ラ イ ア ン ト と 接続す る 場合に用い ら れ る チ ャ レ ン ジ ハ ッ シ ュ に
対応す る も のです。 こ れ ら のハ ッ シ ュ は異な る キーには対応 し ま せん。 こ
れは、 同 じ RSA キーのハ ッ シ ュ を計算す る に も 、 v1 ク ラ イ ア ン ト と v2 ク
ラ イ ア ン ト と ではその方法が異な る ためです。ス イ ッ チは、公開キーの フ ァ
イ ル保存お よ びデフ ォ ル ト 表示に常に ASCII フ ォ ーマ ッ ト ([babble] ま たは
[fingerprint] フ ォ ーマ ッ ト に変換 さ れ る こ と な く ) を使用 し ます。
4. ス イ ッ チの SSH の有効化お よ び SSH ク ラ イ ア ン ト
と の通信
ip ssh コ マ ン ド は、 ス イ ッ チの SSH の有効 / 無効を設定 し 、 ス イ ッ チが ク
ラ イ ア ン ト と の ト ラ ンザ ク シ ョ ン に使用す る パ ラ メ ー タ を変更で き ます。
SSH を有効にす る と 、 ス イ ッ チは SSH ク ラ イ ア ン ト で自身を認証で き る よ
う にな り ます。
注記
ス イ ッ チの SSH を有効にす る前に、 ス イ ッ チの公開キー / 秘密キーのペア
を生成す る必要があ り ます。 生成 し ていない場合は、 6- 10 ページの 「2. ス
イ ッ チの公開キー / 秘密キーのペアの生成」 を参照 し て く だ さ い。
SSH が設定 さ れてい る 場合、 ス イ ッ チは SSH ク ラ イ ア ン ト で自分自身を認
証す る 際に自身のホ ス ト 公開キーを使用 し ます。SSH ク ラ イ ア ン ト が ス イ ッ
チで自分自身を認証す る よ う にする には、login ( オペレー タ ) レベルの ク ラ
イ ア ン ト 公開キー認証を行 う よ う に ス イ ッ チの SSH を設定 し なければな り
ません。 ま た、 セキ ュ リ テ ィ を強化す る には、 enable ( 管理者 ) レベルの認
証に ロ ーカル、 TACACS+、 ま たは RADIUS 認証を設定す る 必要があ り ます。
(6- 18 ページの 「5. SSH 認証の ス イ ッ チ設定」 を参照 し て く だ さ い。 )
6-15
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
SSH クライアントとの通信。 ス イ ッ チ と SSH ク ラ イ ア ン ト の最初の通信
で、 ク ラ イ ア ン ト に ス イ ッ チの公開キーが コ ピー さ れていない場合、 セ
キ ュ リ テ ィ 上の理由か ら 、 ク ラ イ ア ン ト は ス イ ッ チへの最初の接続の際に
こ の接続を進め る か ど う か を確認す る 許可 / 拒否オプシ ョ ン を表示 し ま
す。 未認可機器が ス イ ッ チの IP ア ド レ ス を不正に使用 し 、 デー タ やネ ッ
ト ワー ク へのア ク セ ス を試みていない と 確信で き る 場合は接続を許可 し て
く だ さ い。 ( よ り 安全な方法 と し て、 ク ラ イ ア ン ト を ス イ ッ チのシ リ アル
ポー ト に直接接続 し 、 ス イ ッ チの公開キーを ク ラ イ ア ン ト に コ ピーす る こ
と も で き ます。 以下の注記を参照 し て く だ さ い。 )
注記
SSH ク ラ イ ア ン ト が ス イ ッ チに初めて接続す る 際は、 「Man-in-the-Middle」
攻撃、 すなわち、 ス イ ッ チ を装っ た未認可機器に よ っ て、 ス イ ッ チのア ク
セ ス 制御に使用す る ユーザ名 と パ ス ワ ー ド が盗 ま れ る 可能性が あ り ま す。
管理ス テーシ ョ ン を ス イ ッ チのシ リ アル ポー ト に直接接続 し 、 show コ マ
ン ド を使用 し て ス イ ッ チの公開キーを表示 し 、 表示 さ れた キーを フ ァ イ ル
に コ ピーす る こ と で、 こ の可能性を取 り 除 く こ と がで き ます。 こ れには、 ク
ラ イ ア ン ト が公開キーを保存 し てい る 場所、 お よ び ク ラ イ ア ン ト ア プ リ
ケーシ ョ ン で要求 さ れ る キーの編集方法 と フ ァ イ ル フ ォーマ ッ ト に関す る
知識が必要です。 ク ラ イ ア ン ト と ス イ ッ チの最初の通信で、 特に こ の よ う
なセキ ュ リ テ ィ 上の問題を意識する 必要がなければ、 こ の操作は不要です。
スイッチで SSH を有効にする。
1. 公開キー / 秘密キーのペア を生成 し ていない場合は、 公開キー / 秘密
キーのペア を生成 し ます。 (6- 10 ページの 「2. ス イ ッ チの公開キー /
秘密キーのペアの生成」 を参照 し て く だ さ い。 )
2. ip ssh コ マ ン ド を実行 し ます。
ス イ ッ チで SSH を無効にす る には、 以下のいずれかの方法を実行 し ます。
■
no ip ssh コ マ ン ド を実行 し ます。
■
ス イ ッ チの既存のキー ペア を ゼ ロ 化 し ます。 (6- 11 ページ )
構文 :
[no] ip ssh
ス イ ッ チで SSH を有効ま たは無効に し ます。
[port < 1-65535 | default >]
SSH 接続のための TCP ポー ト 番号 ( デフ ォ ル ト : 22)。
重要 : 6- 17 ページの 「ポー ト 番号についての注記」 を
参照 し て く だ さ い。
6-16
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
[timeout < 5 - 120 >]
SSH ロ グ イ ン タ イ ム ア ウ ト 値 ( デフ ォ ル ト : 120 秒 )
ip ssh key-size コ マ ン ド は、 セ ッ シ ョ ン で使用 さ れ る ( ス イ ッ チが自動的に
生成、 使用、 削除す る ) 内部サーバ キーのみに影響 し ます。 こ のキーは
ユーザ イ ン タ フ ェース か ら はア ク セ ス で き ません。 ス イ ッ チの公開 ( ホ ス
ト ) キーは、 常に 896 ビ ッ ト の独立 し た、 ア ク セ ス可能な キーです。
ポ ート 番 号 に つ
い ての 注 記
原則 と し てデフ ォ ル ト TCP ポー ト 番号 (22) の使用をお勧め し ます。 ただ
し 、 ip ssh port コ マ ン ド を使用 し て、 SSH 接続に他の目的で予約 さ れてい
ない任意の TCP ポー ト を指定で き ます。 予約 さ れてい る TCP ポー ト の例
と し ては、 23 (Telnet) や 80 (http) な ど があ り ます。 ProCurve Switch で予約
さ れてい る TCP ポー ト と し ては、 他に 49、 80、 1506、 1513 な ど があ り ま
す。
ス イ ッ チ で SSH を有効に し ます。
現在の SSH 設定お よ びス テー タ ス
を一覧表示 し ます。
ス イ ッ チは、 ク ラ イ ア ン ト と の ト ラ ンザ ク シ ョ ン
に こ れ ら の 5 つの設定を内部で使用 し ます。6- 18
ページの CAUTION を参照 し て く だ さ い。
SSH 実行時、ス イ ッ チは 1 つの コ ン ソ ール セ ッ シ ョ
ン と 最高 3 つま での他のセ ッ シ ョ ン (SSH/Telnet) を
サポー ト し ます。Web ブ ラ ウザ セ ッ シ ョ ン も 可能で
すが、 show ip ssh コ マ ン ド で表示 さ れる一覧表示
には含まれません。
図 6-10. IP SSH を有効にし、SSH 設定およびステータスを一覧表示する例
6-17
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
CAUTION
他のユーザが秘密キー フ ァ イ ルにア ク セ ス で き ない よ う に保護 し て く だ さ
い。 秘密キー フ ァ イ ルにア ク セ ス で き る ユーザは、 ユーザを装っ て ス イ ッ
チの SSH セキ ュ リ テ ィ へ侵入で き ます。
SSH は、 Web イ ン タ フ ェ ース、 Telnet、 SNMP、 ま たはシ リ アル ポー ト 経
由の未認可ア ク セ ス を防 ぐ こ と がで き ません。 Web お よ び Telnet ア ク セ ス
は ス イ ッ チの ロ ーカル パス ワ ー ド で制限で き ますが、 パ ス ワー ド に よ る セ
キ ュ リ テ ィ に自信が持て ない場合は、 Web ベース ア ク セ ス /Telnet ア ク セ
ス を無効にす る こ と がで き ます (no web-management お よ び no telnet)。
SNMP セ キ ュ リ テ ィ を強化す る には、 SNMP バージ ョ ン 3 のみを使用す る
必要があ り ます。 Web イ ン タ フ ェ ース のセキ ュ リ テ ィ を強化す る方法につ
いては、 7 章 「セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定」 を参照 し て く だ さ
い。 他のセキ ュ リ テ ィ 対策 と し ては、 ス イ ッ チの 『 マネジ メ ン ト / コ ン
フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 に説明 さ れてい る オー ソ ラ イ ズ ド IP マネー
ジ ャ 機能を使用す る 方法があ り ます。 シ リ アル ポー ト ( お よ び ロ ーカル パ
ス ワー ド を削除す る [Clear] ボ タ ン ) へ許可な し にア ク セ ス で き ない よ う に
す る ために、 ス イ ッ チへの物理的ア ク セ ス を許可 さ れたユーザのみに制限
し て く だ さ い。
5. SSH 認証の ス イ ッ チ設定
こ の項では、 SSH ク ラ イ ア ン ト で ス イ ッ チの公開キーを認証す る 方法を説
明 し ます。 ただ し 、 6- 19 ページのオプシ ョ ン B では ス イ ッ チで ク ラ イ ア
ン ト の公開キーを認証す る 方法 も 説明 し ます。 こ の項の ト ピ ッ ク の詳細
は、 6- 22 ページの 「SSH ク ラ イ ア ン ト 公開キー認証の詳細」 を参照 し て く
だ さ い。
注記
ス イ ッ チに管理者 (enable) レベル パ ス ワ ー ド を常に設定 し てお く こ と をお
勧め し ます。 こ の レベルの保護を行わない場合、 Telnet、 Web、 ま たはシ
リ アル ポー ト で ス イ ッ チにア ク セ ス で き る 者すべてが、 ス イ ッ チの設定を
変更で き ます。 ま た、 オペレー タ パ ス ワー ド のみの設定では、 Telnet 、
Web 、 SSH、 ま たはシ リ アル ポー ト 経由でア ク セ ス し 、 オペレー タ パス
ワー ド を入力す る だけで、 すべての管理者レベルにア ク セ ス で き て し ま い
ます。 6- 9 ページの 「1. login ( オペレー タ ) レベルお よ び enable ( 管理者 )
レベルの ロ ーカル パ ス ワー ド の設定」 を参照 し て く だ さ い。 )
オプション A: SSH アクセスにパスワードのみの SSH 認証を設定する。
こ のオプシ ョ ン を設定す る と 、 ス イ ッ チは自身の公開キーを使用 し て、 ク
ラ イ ア ン ト で自分自身を認証 し ますが、 ク ラ イ ア ン ト 認証にはパ ス ワー ド
のみ使用で き ます。
6-18
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
構文 :
aaa authentication ssh login < local | tacacs | radius >[< local | none >]
login ( オペレー タ ) レベル ア ク セ ス の 1 次、2 次パ ス ワー ド
方式を設定 し ます。 login レベル ア ク セ ス の 2 次パ ス ワー ド
方式オプシ ョ ン を設定 し ない場合は、 デフ ォ ル ト の [none]
にな り ます。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定す る こ と はで き ません。
aaa authentication ssh enable < local | tacacs | radius>[< local | none >]
enable ( 管理者 ) レベル ア ク セ ス の 1 次、 2 次パス ワ ー ド 方
式を設定 し ます。 login レベル ア ク セ ス の 2 次パ ス ワー ド 方
式オプシ ョ ン を設定 し ない場合は、 デフ ォ ル ト の [none] に
な り ます。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定す る こ と はで き ません。
オプション B: スイッチにクライアント公開キー SSH 認証を設定する。 こ
のオプシ ョ ン を設定す る と 、 ス イ ッ チは自身の公開キーを使用 し て、 自分
自身を ク ラ イ ア ン ト で認証 し ますが、 ク ラ イ ア ン ト も ス イ ッ チでの認証に
自身の公開キーを提供す る 必要があ り ます。 こ のオプシ ョ ン を使用す る 場
合は、 TFTP サーバか ら ス イ ッ チへ ク ラ イ ア ン ト 公開キーを コ ピーす る必
要があ り ます。 そのため、 こ のオプシ ョ ン を使用す る 前に以下の作業を実
行す る 必要があ り ます。
1. SSH ク ラ イ ア ン ト でキー ペア を生成 し ます。
2. ク ラ イ ア ン ト 公開キーを公開キー フ ァ イ ル ( 最大 10 個の ク ラ イ ア ン ト
公開キーが保存可能 ) に コ ピー し ます。
3. ス イ ッ チにア ク セ ス可能な TFTP サーバに公開キー フ ァ イ ルを コ ピー
し て、 ス イ ッ チに公開キー フ ァ イ ルを ダ ウ ン ロ ー ド し ます。
( こ の ト ピ ッ ク については、 6- 22 ページの 「SSH ク ラ イ ア ン ト 公開キー認
証の詳細」 を参照 し て く だ さ い。 )
上記の手順 1 ~ 3 が完了 し 、 ス イ ッ チの SSH が正常に設定 さ れた状態で
SSH ク ラ イ ア ン ト が ス イ ッ チ と 通信す る と 、 自動的に ス イ ッ チお よ び ク ラ
イ ア ン ト の公開キーを使用 し た login レベル認証が実行 さ れ ます。 ク ラ イ
ア ン ト が login レベルにア ク セ ス し た後、 管理者レベルへア ク セ スす る に
は、 aaa authentication ssh enable コ マ ン ド で設定 さ れたパ ス ワー ド を入力
す る必要があ り ます。
6-19
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
構文 :
copy tftp pub-key-file < ip-address > < filename >
公開キー フ ァ イ ルを ス イ ッ チに コ ピー し ます。
aaa authentication ssh login public-key
オプシ ョ ンの 2 次パ ス ワー ド 方式に よ っ て login レベルで ク
ラ イ ア ン ト 公開キーを認証する よ う に ス イ ッ チを設定 し ま
す ( デフ ォ ル ト : none)。
注記 : 2 次認証方式に [local] を設定す る こ と はで き ません。
CAUTION
SSH ア ク セ ス を正 し い公開キーを所有 し てい る ク ラ イ ア ン ト のみに許可す
る には、 [login public-key] の 2 次認証 ( パ ス ワー ド ) 方式を [none] に設定
す る 必要があ り ます。 正 し い公開キーを所有 し ていない ク ラ イ ア ン ト で
も 、 正 し い ロ グ イ ン レベルの ロ ーカル パ ス ワー ド さ え あればス イ ッ チに
ア ク セ ス可能にな り ます。
構文 :
aaa authentication ssh enable < local | tacacs | radius > < local | none >
enable ( 管理者 ) レベル ア ク セ ス の 1 次、 2 次パス ワ ー ド 方
式を設定 し ます。 login レベル ア ク セ ス の 2 次パ ス ワー ド 方
式オプシ ョ ン を設定 し ない場合は、 デフ ォ ル ト の [none] に
な り ます。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定す る こ と はで き ません。
た と えば、 ス イ ッ チへのダ ウ ン ロ ー ド の準備が整っ てい る 、 ClientKeys.pub と い う 名前の ク ラ イ ア ン ト 公開キー (10.38.252.195 の TFTP サー
バ上 ) を保有 し てい る と し ます。 Client-Keys.pub 内の公開キー と 一致す る
秘密キーを持つ ク ラ イ ア ン ト のみに ス イ ッ チへの SSH ア ク セ ス を許可す る
よ う に し たい と 考え てい ます。 SSH ア ク セ ス が許可 さ れた ク ラ イ ア ン ト の
管理者レベル (enable) へのア ク セ ス制御では、 1 次パ ス ワー ド 認証に
TACACS+、 2 次パ ス ワー ド 認証に [local] を設定 し 、 管理者ユーザ名に
「leader」、 パ ス ワー ド に 「m0ns00n」 を使用 し ます。 こ のオペレーシ ョ ン を
設定す る には、 以下の よ う な方法で ス イ ッ チを設定 し ます。
6-20
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンの ス イ ッ チ設定
管理 者 の ユ ー ザ 名 と パ
スワー ド を設定 し ます。
「Client-Keys.pub」 と い う 名
前の公開キー フ ァ イルを ス
イ ッ チに コ ピ ー し ます。
ス イ ッ チ がダ ウ
ン ロ ード する 公
開キー フ ァ イ ル
内のキ ー と 一致
す る 公開 キ ー を
持つ ク ラ イ ア ン
ト のみに SSH ア
ク セ ス を 許可す
る よ う にスイ ッ
チを 設定し ま す。
管理者 (enable) レ ベル ア ク セ スの 1 次
お よび 2 次パスワー ド 方式を設定 し ま
す。 (SSH ア ク セ スが許可 さ れた ク ラ イ
ア ン ト に対 し て使用 さ れます。 )
図 6-11. クライアント公開キーの一致と管理者パスワードを必要とする SSH アクセスの設定
図 6-12 は上述の コ マ ン ド の設定結果をチ ェ ッ ク す る 方法を示 し てい ます。
現在の SSH 認証の設
定を一覧表示 し ます。
ク ラ イ ア ン ト キー イ ンデ ッ ク ス番号
図 6-11 の copy tftp
コ マン ド でダウン
ロ ー ド し た 公開キー
フ ァ イ ルの内容 を 示
し て い ま す。 こ の例
で は、 フ ァ イ ル内 に
は 2 つの ク ラ イ ア ン
ト 公開キーがあ り ま
す。
図 6-12. SSH 設定および図 6-11 のクライアント公開キーの一覧表示
6-21
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
6. ス イ ッ チへのア ク セ ス に SSH ク ラ イ ア ン ト を使用
する
ス イ ッ チで SSH 設定のテ ス ト を行い、 SSH 設定が ス イ ッ チに必要な SSH
オペレーシ ョ ンの レベルに達 し てい る こ と を確認 し ます。 問題があ る場合
は、 使用す る ス イ ッ チの 『 マネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ
ド 』 にあ る ト ラ ブルシ ュ ーテ ィ ン グの章の 「RADIUS 関連の問題」 を参照
し て く だ さ い。
SSH ク ラ イ ア ン ト 公開キー認証の詳細
6- 18 ページの 「5. SSH 認証の ス イ ッ チ設定」 の項に、 ス イ ッ チで SSH 認
証を設定す る 手順が記載 さ れてい ます。 SSH を初めて使用す る 場合ま たは
ク ラ イ ア ン ト 公開キー認証の詳細について知 り たい場合は、 こ の項を参照
し て く だ さ い。
SSH オペレーシ ョ ン を設定す る と 、 ス イ ッ チは自動的に自身のホ ス ト 公開
キーを使用 し て自分自身を SSH ク ラ イ ア ン ト で認証 し ます。 オプシ ョ ン で
ス イ ッ チでの ク ラ イ ア ン ト 公開キー認証 も 行え る よ う に、ス イ ッ チでは、 ク
ラ イ ア ン ト の認証用 と し て最高 10 個の RSA ま たは DSA 公開キーを保存す
る よ う に設定で き ます。 こ れには、 TFTP サーバか ら コ ピー し た ク ラ イ ア ン
ト 公開キー フ ァ イ ル内の各 ク ラ イ ア ン ト の公開キーが ASCII フ ォ ーマ ッ ト
([babble] 変換ま たは [fingerprint] 変換な し に ) で保存 さ れてい る必要があ り
ます。 こ の場合、 保存 さ れてい る 公開キーの 1 つに対応す る 秘密キーを持
つ ク ラ イ ア ン ト のみが SSH を使用 し て ス イ ッ チにア ク セ ス で き ます。 つま
り 、 こ の機能を使用す る と 、 ス イ ッ チに保存 さ れてい る ク ラ イ ア ン ト 公開
キー フ ァ イ ル内の公開キー と 一致す る 公開キーを持つ ク ラ イ ア ン ト のみ
がネ ッ ト ワー ク を介 し て SSH ア ク セ ス を行 う こ と がで き ます。 SSH login (
オペレー タ ) レベル ア ク セ ス の 2 次認証方式 と し て ロ ーカル パ ス ワー ド 認
証を許可 し ない場合、 ス イ ッ チは他の SSH ク ラ イ ア ン ト を拒否 し ます。
ク ラ イ ア ン ト 公開キー認証をサポー ト す る SSH ク ラ イ ア ン ト には、一般に、
キー ペア を生成す る ためのユーテ ィ リ テ ィ が付属 さ れてい ます。 通常、 秘
密キーは ロ ーカル ホ ス ト のパ ス ワ ー ド で保護 さ れた フ ァ イ ルに保存 さ れ、
公開キーはパ ス ワー ド で保護 さ れていない他のフ ァ イ ルに保存 さ れます。
( ク ラ イ ア ン ト 公開キー認証を使用 し な く て も 、 ロ ーカル ユーザ名 / パス
ワー ド 、 TACACAS+、 ま たは RADIUS 機能で、 SSH ク ラ イ ア ン ト か ら ス
イ ッ チへア ク セ ス を試み る ユーザを認証で き る こ と に注意 し て く だ さ い。
6- 18 ページの 「5. SSH 認証の ス イ ッ チ設定」 を参照 し て く だ さ い。 )
ク ラ イ ア ン ト 公開キー認証が有効な場合、 ク ラ イ ア ン ト が SSH を使用 し て
ス イ ッ チにア ク セ スす る 際に、 以下の イ ベン ト が発生 し ます。
6-22
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
1. ク ラ イ ア ン ト は認証の要求 と 共に ク ラ イ ア ン ト 公開キーを ス イ ッ チに
送信 し ます。
2. ス イ ッ チは、 ク ラ イ ア ン ト の公開キーを ス イ ッ チの ク ラ イ ア ン ト 公開
キー フ ァ イ ルに保存 さ れてい る 公開キー と 比較 し ます。 ( 前提条件 と
し て、 ス イ ッ チの copy tftp コ マ ン ド を使用 し て、 こ の フ ァ イ ルを フ
ラ ッ シ ュ メ モ リ にダ ウ ン ロ ー ド し てお く 必要があ り ます。 )
3. 公開キーが一致せず、 ス イ ッ チに 2 次認証方式 と し て login レベル パ
ス ワー ド が設定 さ れていない場合、 ス イ ッ チは ク ラ イ ア ン ト か ら の
SSH ア ク セ ス を拒否 し ます。
4. 公開キーが一致す る場合、 ス イ ッ チは以下の作業を行い ます。
1.
ラ ン ダ ム なバ イ ト シーケ ン ス を生成 し ます。
2.
ク ラ イ アン ト の公開キーを使用し て こ のシーケン ス を暗号化し ます。
3.
暗号化 し たバ イ ト シーケ ン ス を ク ラ イ ア ン ト に送信 し ます。
5. ク ラ イ ア ン ト は ク ラ イ ア ン ト の秘密キーを使用 し て、 そのバ イ ト シー
ケ ン ス を復号化 し ます。
6. 次に、 ク ラ イ ア ン ト は以下の作業を行い ます。
1.
復号化 し たバ イ ト シーケ ン ス を セ ッ シ ョ ン固有のデー タ と 組み合
わせます。
2.
セキ ュ ア なハ ッ シ ュ アルゴ リ ズ ム を使用 し て、 こ の情報のハ ッ
シ ュ を生成 し ます。
3.
そのハ ッ シ ュ を ス イ ッ チに返 し ます。
7. ス イ ッ チ自身 も 手順 6. のデー タ のハ ッ シ ュ を計算 し 、 こ れを ク ラ イ
ア ン ト が計算 し たハ ッ シ ュ と 比較 し ます。 こ れ ら が一致す る と 、 ク ラ
イ ア ン ト は認証 さ れます。 一致 し ない場合、 ク ラ イ ア ン ト はア ク セ ス
を拒否 さ れ ます。
ク ラ イ ア ン ト 公開キー認証を行 う には、 以下の手順を実行 し ます。
1. ス イ ッ チに SSH ア ク セ スす る 各 ク ラ イ ア ン ト の公開キー / 秘密キーの
ペア を生成 し ます。 こ れには、 各 ク ラ イ ア ン ト ご と に独立 し た キーに
す る こ と も 、 それぞれの ク ラ イ ア ン ト に同一のキーを コ ピーす る こ と
も 可能です。
2. 各 ク ラ イ ア ン ト の公開キーを ク ラ イ ア ン ト 公開キー テ キ ス ト フ ァ イ ル
に コ ピー し ます。
3. copy tftp コ マ ン ド を使用 し て、 ク ラ イ ア ン ト 公開キー フ ァ イ ルを ス
イ ッ チに コ ピー し ます。 ス イ ッ チはキーを 10 個保持で き る こ と に注意
し て く だ さ い。 新 し いキーは、 ク ラ イ ア ン ト 公開キー フ ァ イ ルの最後
に追加 さ れ ます。
4. aaa authentication ssh コ マ ン ド を使用 し て ク ラ イ ア ン ト 公開キー認証
を有効に し ます。
6-23
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
クライアント公開キー テキスト ファイルの作成。 以下の手順は、 RSA
チ ャ レ ン ジ応答認証用に ス イ ッ チに ク ラ イ ア ン ト 公開キーを コ ピーす る 方
法を説明 し てお り 、 SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン の使用方法を理解
し てい る 必要があ り ます。
ビ ッ ト サイ ズ
指数 <e>
係数 <n>
コメント
図 6-13. クライアント公開キーの例
注記
図 6-13 の [[email protected]] の よ う に公開キー フ ァ イ ルの コ メ ン
ト が、 SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で生成 さ れた公開キーに表示 さ
れ る場合があ り ます。 こ れ ら の コ メ ン ト はキーを区別す る ための も ので、
複数の ク ラ イ ア ン ト / ユーザでキーを共有す る のを制限す る こ と はあ り ま
せん。
図 6-13 のキーの よ う に、 通常、 公開キーはキー全体が表示 さ れ る よ う に
改行 さ れて表示 さ れます。 し か し 、 実際には公開キーに改行が含ま れてい
る と エ ラ ー と な り 、 認証は失敗 し ます。
6-24
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
1. SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で公開キー / 秘密キーのペア を生
成 し ます。 詳細は、 SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン に付属のマ
ニ ュ アルを参照 し て く だ さ い。 ス イ ッ チは、 以下の ク ラ イ ア ン ト 公開
キー プ ロ パテ ィ をサポー ト し てい ます。
プロパティ
サポート値 コメント
キー フ ォ ーマ ッ ト ASCII
6- 13 ページ の図 6-7 を 参照し てく ださ い。 キーは 1 つの連続し た文字列
(ASCII) でなければなり ま せん。 複数のク ラ イ ア ン ト 公開キーを フ ァ イ ル
に追加する 場合、 各キー ( 最後のキーを 除く ) の最後に <CR><LF> を つけ
ま す。 キーにスペースを 入れて 、 キーのコ ン ポーネン ト を 区切る こ と が
で き ま す。 SSH ク ラ イ ア ン ト ア プ リ ケーシ ョ ン でス イ ッ チの公開キーを
使用する場合 と は異な り 、 ス イ ッ チが使用する ク ラ イ ア ン ト 公開キーの
フ ォ ーマ ッ ト には ク ラ イ ア ン ト の IP ア ド レ スが含まれていない こ と に注
意 し て く だ さ い。
キー タ イ プ
RSA のみ
公開キーの最長の
長さ
3072 ビ ッ
ト
キーの長 さ が短いほどオペレーシ ョ ンは速 く な り ますが、 セキ ュ リ テ ィ
は低下 し ます。
最大キーサイ ズ
1024 文字
ビ ッ ト サイ ズ、 公開イ ンデ ッ ク ス、 係数、 コ メ ン ト 、 <CR>、 <LF>、 およ
びすべての空白スペース を含みます。
必要に応 じ て、 エデ ィ タ ア プ リ ケーシ ョ ン を使用 し て、 キーのサイ ズを
確認で き ます。 た と えば、 Word で Windows テキス ト と し て ク ラ イ ア ン ト
公開キー フ ァ イルを開き、ファイル | プロパティ | 詳細情報の順に ク リ ッ
ク する と 、 フ ァ イル内の文字数 ( スペース を含む ) が表示 さ れます。
2. ク ラ イ ア ン ト の公開キーを テ キ ス ト フ ァ イ ル (filename.txt) に コ ピー し
ます。 ( た と えば、 Microsoft Windows ソ フ ト ウ ェ アに含ま れてい る エ
デ ィ タ の メ モ帳を使用で き ます )。 複数の ク ラ イ ア ン ト が ク ラ イ ア ン
ト 公開キー認証を使用す る 場合は、 ク ラ イ ア ン ト ご と に公開キー ( 最
大 10 個 ) を フ ァ イ ルに コ ピー し ます。 各キーは、 <CR><LF> で区切 ら
れなければな り ません。
3. ク ラ イ ア ン ト 公開キー フ ァ イ ルを ス イ ッ チがア ク セ ス可能な TFTP
サーバに コ ピー し ます。
ク ラ イ アン ト 公開キーを ス イ ッ チに コ ピーするには、 以下の手順が必要です。
■
ク ラ イ ア ン ト が生成 し た公開キー (1 つ以上 )。SSH ク ラ イ ア ン ト ア
プ リ ケーシ ョ ンに付属のマニ ュ アルを参照 し て く だ さ い。
■
各 ク ラ イ ア ン ト の公開キーの コ ピー。 こ れ ら を単一のテ キ ス ト
フ ァ イ ル内に ま と めて、 ま たは個別に保存 し て ( キーは最大 10 個
ま で )、 ス イ ッ チがア ク セ ス で き る TFTP サーバに置 き ます。 フ ァ
イ ル内の最後の ク ラ イ ア ン ト 公開キーを除 く すべての ク ラ イ ア ン
ト 公開キーの後に <CR><LF> を付け ます。
6-25
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
公 開キ ー に つ い
て の注 記
公開キー フ ァ イ ルにエン ト リ さ れ る 公開キーの実際の内容は、 キーを生成
す る SSH ク ラ イ ア ン ト アプ リ ケーシ ョ ン で決定 さ れます。 ( コ メ ン ト は手
動で追加ま たは編集で き ますが、 ク ラ イ ア ン ト アプ リ ケーシ ョ ンは 6- 24
ページの図 6-13 の [smith@fellow] の よ う な コ メ ン ト を キーの最後に追加
し ます。 )
構文 :
copy tftp pub-key-file <ip-address> <filename> [<append | manager |
operator>]
TFTP サーバか ら ス イ ッ チの フ ラ ッ シ ュ メ モ リ に公開
キー フ ァ イ ルを コ ピー し ます。
[append] オプシ ョ ンは、 オペレー タ ア ク セ ス用の
キーを追加 し ます。
[manager] オプシ ョ ンは、 マネージ ャ ア ク セ ス用の
キーを追加 し ます。 キーを追加す る には [append] オプ
シ ョ ン を続けて指定 し ます。
[operator] オプシ ョ ンは、 オペレー タ ア ク セ ス用の
キーを置換 し ます ( デフ ォ ル ト )。 キーを追加す る に
は [append] オプシ ョ ン を続けて指定 し ます。
show crypto client-public-key [<manager | operator>] [keylist-str]
[<babble | fingerprint>]
ス イ ッ チの ク ラ イ ア ン ト 公開キー フ ァ イ ル内の ク ラ
イ ア ン ト 公開キーを表示 し ます。
[manager] オプシ ョ ンはマネージ ャ 公開キーを選択 し
ます。
[operator] オプシ ョ ンはオペレー タ 公開キーを選択 し
ます。
[keylist-str] オプシ ョ ン を設定す る と 、 表示 ( コ ンマで
区切 ら れた リ ス ト ) す る キーを選択で き ます。
[babble] オプシ ョ ンは、 キー デー タ を簡単に目視比較
で き る フ ォ ネテ ィ ッ ク ハ ッ シ ュ に変換 し ます。
[fingerprint] オプシ ョ ンは、 キー デー タ を フ ォ ネ
テ ィ ッ ク ハ ッ シ ュ に変換 し ます。
6-26
セキ ュ ア シ ェ ル (SSH) の設定
SSH ク ラ イ ア ン ト 公開キー認証の詳細
た と えば、 clientkeys.txt と い う 名前の ク ラ イ ア ン ト 公開キー フ ァ イ ルを
IP ア ド レ ス 10.38.252.195 の TFTP サーバか ら コ ピー し て、 フ ァ イ ルの内
容を表示す る には、 以下の よ う に し ます。
キー イ ンデ ッ ク ス番号
図 6-14. 2 個のクライアント公開キーを含むクライアント公開キー ファイルのコピーおよび内容
の表示の例
公開キー ファイルの置換または削除。 startup-config フ ァ イ ルを削除 し た
り 、 ス イ ッ チを リ セ ッ ト し た り 、 ス イ ッ チを リ ブー ト し て も 、 ク ラ イ ア ン
ト 公開キー フ ァ イ ルは ス イ ッ チの フ ラ ッ シ ュ メ モ リ 内に維持 さ れ ます。
■
clear crypto public-key コ マ ン ド を実行す る こ と で、 既存の ク ラ イ
ア ン ト 公開キー フ ァ イ ル ま たは特定のキーを削除で き ます。
構文 :
clear crypto public-key
ス イ ッ チか ら ク ラ イ ア ン ト 公開キー フ ァ イ ルを削除 し ます。
構文 :
clear crypto public-key 3
ス イ ッ チの ク ラ イ ア ン ト 公開キー フ ァ イ ルか ら イ ンデ ッ ク ス が 3
のエン ト リ を削除 し ます。
クライアント公開キー認証を有効にする。 ス イ ッ チに ク ラ イ ア ン ト 公開
キー フ ァ イ ルを TFTP サーバか ら ダ ウ ン ロ ー ド し た後 ( 上記の手順を参照
し て く だ さ い )、 以下を許可す る よ う に設定で き ます。
■
SSH ク ラ イ ア ン ト の公開キーが ス イ ッ チの ク ラ イ ア ン ト 公開キー
フ ァ イ ル内のキー と 一致すれば、 ク ラ イ ア ン ト は ス イ ッ チへのア
ク セ ス が許可 さ れます。 公開キーが一致 し ない場合、 その ク ラ イ
ア ン ト はア ク セ ス を拒否 さ れます。
6-27
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンに関連 し た メ ッ セージ
構文 :
aaa authentication ssh login public-key none
ク ラ イ ア ン ト の公開キー と ス イ ッ チに コ ピー さ れた最新の
ク ラ イ ア ン ト 公開キー フ ァ イ ル内のエン ト リ と が一致 し た
場合のみ、 SSH ク ラ イ ア ン ト ア ク セ ス を許可 し ます。
CAUTION
ク ラ イ ア ン ト 公開キー認証で、 ス イ ッ チに コ ピー さ れた ク ラ イ ア ン ト 公開
キー フ ァ イ ル内のキー と 一致す る公開キーを持た ない SSH ク ラ イ ア ン ト
をブ ロ ッ ク す る には、 login レベルの 2 次認証方式を [none] に設定 し て く
だ さ い。 [none] を設定 し ない と 、 オペレー タ レベル パス ワ ー ド を使用 し て
ア ク セ ス を試み る ク ラ イ ア ン ト を許可 し て し ま い ます。
SSH オ ペ レ ー シ ョ ン に 関連 し た メ ッ
セージ
メッセージ
意味
00000K Peer unreachable.
TFTP サーバ と の通信エ ラ ーまたはダウン ロー ド す
る フ ァ イルが見つから ない こ と を示 し ています。 以
下のよ う な要因があ り ます。
• ス イ ッ チの IP ア ド レ ス設定の誤 り 。
• コ マ ン ド で入力 し た IP ア ド レ スの誤 り 。
• コ マ ン ド で入力 し た フ ァ イル名で大文字 / 小文字
の誤 り 。
• TFTP サーバ設定の誤 り 。
• フ ァ イルが指定 し た場所に存在 し ない。
• ネ ッ ト ワー ク 設定の誤 り 。
• ネ ッ ト ワー ク にケーブルが接続 さ れていない。
00000K Transport error.
指定 さ れた フ ァ イルに対 し て copy tftp コ マ ン
ド を実行 し た際に、 ス イ ッ チに問題が発生 し た
こ と を示 し ています。 フ ァ イルが指定 さ れた
デ ィ レ ク ト リ にないか、 コ マ ン ド 内の フ ァ イル
名のスペルが誤っ てい るか、 またはフ ァ イル
パー ミ ッ シ ョ ンが不適当です。
6-28
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンに関連 し た メ ッ セージ
メッセージ
意味
Cannot bind reserved TCP port
<port-number>.
ip ssh ポー ト コ マ ン ド で予約 TCP ポー ト の設定が試
行 さ れま し た。 デ フ ォル ト の番号または別のポー ト
番号を使用 し て く だ さ い。 6- 17 ページの 「ポー ト 番
号についての注記」 を参照 し て く だ さ い。
Client public key file corrupt or
not found.Use 'copy tftp pub-keyfile <ip-addr> <filename>' to
download new file.
Download failed:overlength key in
key file.
ク ラ イ ア ン ト 公開キーがス イ ッ チに存在 し ませ
ん。 copy tftp コ マ ン ド を使用 し て、 TFTP サー
バか ら ク ラ イ ア ン ト 公開キー フ ァ イルを ダウ
ン ロー ド し て く だ さ い。
Download failed:too many keys in key
file.
Download failed:one or more keys is
not a valid public key.
ダウン ロー ド し よ う と し ている公開キー フ ァ イルに
は、 次のいずれかの問題があ り ます。
• フ ァ イル内のキーが長すぎ る。 キーの最大長は、
スペース を含めて 1024 文字です。 また、 2 つ以
上のキーが、 <CR><LF> で区切ら れずに結合 さ れ
ている可能性も あ り ます。
• キー フ ァ イル内に 10 個以上の公開キーが存在 し
ている。 ス イ ッ チ またはフ ァ イルから キーを い く
つか削除 し て く だ さ い。 ス イ ッ チは重複 し ている
キーを削除 し ません。
• フ ァ イル内の 1 つ以上のキーが壊れているか、 ま
たは有効な rsa 公開キーではない。
ク ラ イ ア ン ト 公開キーのプ ロパテ ィ については、 24
ページの 「ク ラ イ ア ン ト 公開キー テキス ト フ ァ イ
ルの作成」 を参照 し て く だ さ い。
Error: Requested keyfile does not exist. ク ラ イ ア ン ト 公開キーがス イ ッ チに存在 し ませ
ん。 copy tftp コ マ ン ド を使用 し て、 TFTP サー
バか ら ク ラ イ ア ン ト 公開キー フ ァ イルを ダウ
ン ロー ド し て く だ さ い。
Generating new RSA host key.If the
cache is depleted, this could take
up to two minutes.
crypto key generate ssh [rsa] コ マ ン ド を実行 し
た後、 ス イ ッ チがキーを生成 し てい る間こ の
メ ッ セージが表示 さ れます。
Host RSA key file corrupt or not
found.Use 'crypto key generate ssh
rsa' to create new host key.
ス イ ッ チのキーが見つか ら ないか、 または壊れ
ています。 crypto key generate ssh [rsa] コ マ
ン ド を使用 し て、 ス イ ッ チの新 し いキーを生成
し ます。
6-29
セキ ュ ア シ ェ ル (SSH) の設定
SSH オペレーシ ョ ンに関連 し た メ ッ セージ
6-30
7
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-3
SSL を使用す る 前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-5
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の SSL 設定お よ び使用手順 . . . . . . 7-5
基本的な動作ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-6
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レベルの ロ ーカル
パ ス ワー ド の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-7
2. ス イ ッ チのサーバ ホ ス ト 証明情報の生成 . . . . . . . . . . . . . . . 7-9
3. ス イ ッ チの SSL の有効化お よ び SSL ブ ラ ウ ザ と の通信 . . . . . . 7-17
SSL セ ッ ト ア ッ プの一般的なエ ラ ー . . . . . . . . . . . . . . . . . . . . . . . . 7-21
7-1
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
概要
概要
デフォルト
メニュー
CLI
Web
ス イ ッ チの自己署名ホス ト 証明情報の生成
機能
No
n/a
7- 9 ページ
7- 13 ページ
ス イ ッ チの証明情報要求の生成
No
n/a
n/a
7- 15 ページ
無効
n/a
SSL の有効設定
7- 17 ページ 7- 19 ページ
こ のガ イ ド が対象 と す る ProCurve Switch では、 SSL バージ ョ ン 3 (SSLv3)
と Transport Layer Security (TLSv1) をサポー ト す る管理ス テーシ ョ ン ク ラ
イ ア ン ト か ら 、 暗号化 さ れたパ ス を介 し て ス イ ッ チに リ モー ト ア ク セ ス で
き ます。
注記
ProCurve Switch は、 すべてのセキ ュ ア Web ト ラ ンザ ク シ ョ ン で SSL お よ
び TLS を使用 し ます。 SSL は、 こ れ ら のアルゴ リ ズ ム のいずれか を使用 し
ます。
SSL はすべての Web 機能に対応 し ますが、 通常の Web ア ク セ ス と は異な
り 、 暗号化 さ れた認証 ト ラ ンザ ク シ ョ ン を提供 し ます。 認証の種類 と し
て、 ユーザ パ ス ワー ド 認証に よ る サーバ証明情報認証な ど があ り ます。
注記
ProCurve Switch の SSL 機能は、 OpenSSL ソ フ ト ウ ェ ア ツールキ ッ ト を使
用 し てい ます。 OpenSSL については、 http://www.openssl.org ( 英語 ) を参
照 し て く だ さ い。
ユーザ パスワード認証によるサーバ証明情報認証。 こ のオプシ ョ ンは、
ユーザお よ びホ ス ト の完全な証明情報認証のサブセ ッ ト です。 ス イ ッ チで
SSL が有効にな っ てい る場合のみ実行 さ れ ます。 図 7-1 に示す よ う に、 ス
イ ッ チは SSL 対応 Web ブ ラ ウ ザで自分自身の認証を行い ます。 次に SSL
ブ ラ ウ ザのユーザが、 ス イ ッ チの ロ ーカル、 TACACS+ ま たは RADIUS
サーバに保存 さ れてい る パ ス ワ ー ド を使用 し て、 自身を ス イ ッ チで認証 し
ます ( オペレー タ / 管理者レベル )。 つま り 、 ク ラ イ ア ン ト は ス イ ッ チでの
認証に証明情報を使用 し ません。
7-2
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
用語
1. ス イ ッ チか ら ク ラ イ ア ン ト への SSL 証明情報
ProCurve
Switch
2.ユーザか ら ス イ ッ チへの (login レ ベル
パスワー ド /enable レ ベル パスワー ド
認証 ) オプ シ ョ ン :
- ロー カル
- TACACS+
- RADIUS
(SSL
サーバ )
SSL ク ラ
イアン ト
ブ ラ ウザ
図 7-1. スイッチ / ユーザ認証
ProCurve Switch の SSL は以下のデー タ 暗号化方式をサポー ト し てい ます。
注記
■
3DES (168 ビ ッ ト 、 112 有効ビ ッ ト )
■
DES (56 ビ ッ ト )
■
RC4 (40 ビ ッ ト 、 128 ビ ッ ト )
ProCurve Switch は、 RSA 公開キー アルゴ リ ズ ムお よ び Diffie-Hellman を使
用 し ます。 キーはすべて、 こ れ ら のアルゴ リ ズ ム を使用 し て生成 さ れます。
用語
■
CA 署名証明情報 : 第三者機関の認証局 (CA) に よ っ て証明 さ れてい
る 証明情報。 CA 署名証明情報の信憑性は、 信頼 さ れたルー ト 証明
情報につなが る 監査証跡に よ っ て証明す る こ と がで き ます。
■
SSLが有効: (1) 証明情報のキー ペアが ス イ ッ チで生成 さ れてい ます
(Web イ ン タ フ ェース ま たは CLI コ マ ン ド : crypto key generate
cert [key size]、 (2) 証明情報が ス イ ッ チで生成 さ れてい ます (Web
イ ン タ フ ェース ま たは CLI コ マ ン ド : crypto host-cert generate
self-signed [arg-list])、 (3) SSL が有効にな っ てい ます (Web イ ン タ
フ ェース ま たは CLI コ マ ン ド : web-management ssl)。 (SSL を有
効にせずに証明情報を生成す る こ と はで き ますが、 最初に証明情
報を生成せずに SSL を有効にす る こ と はで き ません。 )
■
SSL サーバ : SSL が有効な ProCurve Switch
■
オペレータ レベル : ス イ ッ チのオペレー タ 権限。
■
管理者レベル : ス イ ッ チの管理者権限。
7-3
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
用語
7-4
■
キー ペア : ス イ ッ チが生成す る RSA 公開キーお よ び秘密キーのペ
ア。 こ の う ち公開キーはサーバ ホ ス ト 証明情報の一部を構成 し 、
秘密キーは ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存 さ れます ( ユーザ
はア ク セ ス で き ません )。
■
自己署名証明情報: 第三者機関の認証局 (CA) に よ っ て証明 さ れてい
ない証明情報。 自己署名証明情報は、 CA 署名証明情報に比べてセ
キ ュ リ テ ィ レベルが劣 り ます。
■
デジタル証明情報 : 証明情報は電子的な 「パ ス ポー ト 」 であ り 、 発
行 さ れた証明情報の持ち主の信頼性を立証す る ために使用 さ れま
す。 こ の証明情報には、 証明情報の持ち主の名前、 シ リ アル番号、
有効日付、 証明情報の持ち主の公開キー、 証明情報を発行 し た認
証局のデジ タ ル署名の情報が含ま れます。 ProCurve Switch の証明
情報は、 証明情報のフ ォ ーマ ッ ト を定義す る X.509v3 標準に準拠
し てい ます。
■
ルート証明情報:認証局が証明情報 (CA署名証明情報) に署名す る た
めに使用 し 、 その後に署名付 き 証明情報の信憑性を証明す る ため
に用い ら れ る 、 信頼 さ れた証明情報。 信頼 さ れた証明情報は、 最
も 普及 し てい る Web ク ラ イ ア ン ト の不可欠な要素 と し て配布 さ れ
ます。 ( イ ン ス ト ール済みのルー ト 証明情報については、 ブ ラ ウ ザ
のマニ ュ アルを参照 し て く だ さ い。 )
■
ローカル パスワードまたはユーザ名 : ス イ ッ チで設定 さ れ る 管理者
レベル ま たはオペレー タ レベルのパ ス ワー ド
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
SSL を使用す る 前提条件
SSL を使用す る 前提条件
SSL サーバ と し て ス イ ッ チを使用す る前に、 ス イ ッ チの管理機能にア ク セ
スす る コ ン ピ ュ ー タ に、 SSL 対応の公開版ま たは商用版 Web ブ ラ ウ ザ ア
プ リ ケーシ ョ ン を イ ン ス ト ールする 必要があ り ます。
ス イ ッ チお よ び ク ラ イ ア ン ト 認証の
SSL 設定お よ び使用手順
SSL 設定の基本的な手順は以下の通 り です。
A. ク ラ イ ア ン ト 側の準備
1.
注記
ス イ ッ チへのア ク セ ス に使用す る 管理ス テーシ ョ ン に、 SSL 対応
ブ ラ ウ ザ アプ リ ケーシ ョ ン を イ ン ス ト ール し ます。 ( 使用す る ブ
ラ ウ ザに付属す る マニ ュ アルを参照 し て く だ さ い。 )
最新バージ ョ ンの Microsoft Internet Explorer お よ び Netscape Web ブ ラ ウ ザ
は、 SSL お よ び TLS 機能を サポー ト し ます。 詳細については、 ブ ラ ウ ザの
マニ ュ アルを参照 し て く だ さ い。
B. ス イ ッ チ側の準備
1.
ス イ ッ チに login ( オペレー タ ) お よ び enable ( 管理者 ) パ ス ワー ド
を割 り 当て ます (7- 7 ページ )。
2.
ス イ ッ チでホ ス ト 証明情報を生成 し ます (7- 9 ページ )。
i. 証明情報のキー ペア を生成 し ます。
ii. ホ ス ト 証明情報を生成 し ます。
こ れは一度生成すれば十分です。 ス イ ッ チ自身の証明情報公開
キー / 秘密キーのペアお よ び証明情報は、 ス イ ッ チのフ ラ ッ シ ュ
メ モ リ に保存 さ れます。 リ ブー ト ま たは erase startup-config コ マ ン
ド に よ る 影響は受け ません ( 消去 さ れません )。 ( 必要に応 じ て、
こ の証明情報は削除ま たは置換で き ます。 ) 証明情報のキー ペア
お よ び SSH キー ペアはそれぞれ独立 し てい ます。 そのため、 2 種
類のキー ペア を ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存で き ます。
3.
ス イ ッ チで SSL を有効に し ます (7- 17 ページ )。
4.
SSL 対応ブ ラ ウ ザで ス イ ッ チの IP ア ド レ ス ま たは DNS 名 ( 使用す
る ブ ラ ウ ザで可能な場合 ) を使用 し て ス イ ッ チにア ク セ ス し ます。
ブ ラ ウ ザ アプ リ ケーシ ョ ンに付属のマニ ュ アルを参照 し て く だ さ
い。
7-5
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
基本的な動作ルールお よ び注記
7-6
■
一度ス イ ッ チで証明情報を生成 し た ら 、 やむを得ない理由があ る
場合を除 き証明情報の再生成は避けて く だ さ い。 再生成す る と 、
ス イ ッ チへの SSL ア ク セ ス が設定 さ れてい るすべての管理ス テー
シ ョ ン ( ク ラ イ ア ン ト ) に ス イ ッ チの証明情報を コ ピー し 直す必要
があ り ます。 こ れに よ っ て、 セキ ュ リ テ ィ が侵害 さ れ る可能性が
あ り ます。
■
ス イ ッ チ自身の証明情報公開キー / 秘密キーのペアお よ び証明情
報は、 ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存 さ れ ます。 リ ブー ト ま
たは erase startup-config コ マ ン ド に よ る 影響は受け ません ( 消去 さ
れ ません )。
■
証明情報の公開キー / 秘密キーのペアは、 SSH の公開キー / 秘密
キーのペア と 混同 さ れ る こ と はあ り ません。 証明情報のキー ペア
お よ び SSH キー ペアはそれぞれ独立 し てい ます。 そのため、 2 種
類のキー ペア を ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存で き ます。
■
ス タ ッ ク をサポー ト す る ProCurve Switch において、 ス タ ッ ク が有
効に設定 さ れてい る 場合、 SSL は SSL ク ラ イ ア ン ト と ス タ ッ ク マ
ネージ ャ 間のみにセ キ ュ リ テ ィ を提供 し ます。 ス タ ッ ク コ マ ン ダ
と ス タ ッ ク メ ンバの間の通信はセキ ュ リ テ ィ で保護 さ れ ません。
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
SSL オペレーシ ョ ンの ス イ ッ チ設定
この項で使用する SSL 関連のコマンド
ページ
web-management ssl
7- 19 ページ
show config
7- 19 ページ
show crypto host-cert
7- 12 ページ
crypto key
generate cert [rsa] <512 | 768 |1024>
7- 10 ページ
zeroize cert
7- 10 ページ
crypto host-cert
generate self-signed [arg-list]
7- 10 ページ
zeroize
7- 10 ページ
1. login ( オペレー タ ) レベルお よ び enable ( 管理者 ) レ
ベルの ロ ーカル パ ス ワ ー ド の設定
少な く と も 、 管理者パ ス ワー ド は ス イ ッ チに常に設定 さ れてい る こ と をお
勧め し ます。 状況に よ っ ては、 Telnet、 Web、 ま たはシ リ アル ポー ト ア ク
セ ス を使用 し て ス イ ッ チの設定を変更 さ れて し ま う 可能性があ り ます。
7-7
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
Web ブラウザ インタフェースでのローカル パスワードの設定。 オペレー
タ お よ び管理者のパ ス ワ ー ド は、 1 つの画面で設定で き ます。 Web ブ ラ ウ
ザ イ ン タ フ ェースへのア ク セ ス方法については、 使用す る ス イ ッ チ モデ
ルの 『 マネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 の章 「Web ブ ラ ウ
ザ イ ン タ フ ェース の使用」 を参照 し て く だ さ い。
セキ ュ リ テ ィ
タブ
パスワー ド ボ タ ン
図 7-2. ローカル パスワードの設定例
1. [Security] タ ブ を表示 し て、 [Device Passwords] ボ タ ン を選択 し ます。
2. [Device Passwords] ウ ィ ン ド ウ の適切なボ ッ ク ス を ク リ ッ ク し てユーザ
名 と パ ス ワー ド を入力 し ます。 確認用のボ ッ ク ス にパス ワ ー ド を再入
力す る 必要があ り ます。
ユーザ名 と パ ス ワ ー ド は両方 と も ASCII に準拠 し た印刷可能文字で、
16 文字ま で入力で き ます。
3. [Apply Changes] ボタ ン を ク リ ッ ク し て、 ユーザ名と パス ワ ード を 有
効にし ま す。
7-8
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
2. ス イ ッ チのサーバ ホ ス ト 証明情報の生成
SSL を有効にす る前に、 ス イ ッ チでサーバ証明情報を生成す る 必要があ り
ます。 ス イ ッ チは、 動的に生成 さ れたセ ッ シ ョ ン キー ペアに加え て こ の
サーバ証明情報を用いて、 SSL を介 し て ス イ ッ チ と の接続を試み る ブ ラ ウ
ザ と の暗号方式お よ びセ ッ シ ョ ン を ネ ゴ シエー ト し ます。 ( 前述のセ ッ
シ ョ ン キー ペア を ス イ ッ チで表示す る こ と はで き ません。 こ れは、 特定
の ス イ ッ チ / ク ラ イ ア ン ト セ ッ シ ョ ン向けに一時的に ス イ ッ チ内部で生成
さ れ る キー ペアであ り 、 セ ッ シ ョ ン終了後に削除 さ れます。 )
サーバ証明情報は、 ス イ ッ チの フ ラ ッ シ ュ メ モ リ に保存 さ れます。 サーバ
証明情報は、 ス イ ッ チへのア ク セ ス を許可す る SSL ク ラ イ ア ン ト の証明書
フ ォ ルダに追加す る 必要があ り ます。 ほ と ん ど のブ ラ ウ ザ アプ リ ケーシ ョ
ンは、 最初の使用時に ス イ ッ チのホ ス ト 証明情報を証明情報フ ォ ルダに自
動的に追加 し ます。 こ れは、 ス イ ッ チへの最初のア ク セ ス でセキ ュ リ テ ィ
違反を招 く 可能性があ り ます。 ( ブ ラ ウ ザ アプ リ ケーシ ョ ンに付属のマ
ニ ュ アルを参照 し て く だ さ い。 )
ス イ ッ チのホ ス ト 証明情報 と し て使用で き る 証明情報には、 2 つの種類が
あ り ます。 1 つは、 ス イ ッ チが生成 し てデジ タ ル署名す る 自己署名証明情
報です。 自己署名証明情報は第三者機関であ る 認証局に よ っ て署名 さ れな
いため、 ルー ト CA 証明情報への監査証跡がな く 、 証明情報の信憑性を容
易に証明で き ません。 も う 1 つは、 CA 署名証明情報です。 こ れは認証局
がデジ タ ル署名 し 、 ルー ト CA 証明情報への監査証跡 も あ る ため、 信憑性
を明確に証明す る こ と が可能です。
注記
通常、 信憑性が証明 さ れた証明情報の獲得には費用が発生 し 、 証明情報を
発行す る ルー ト 認証局に よ っ て有効期間が限定 さ れてい ます。
ス イ ッ チで証明情報キー ペアお よ び証明情報の双方ま たはいずれか を生成
す る場合、 ス イ ッ チはキー ペアお よ び証明情報を (running-config フ ァ イ ル
ではな く ) フ ラ ッ シ ュ メ モ リ に保存 し ます。 ま た ス イ ッ チは、 リ ブー ト を
行っ た り 、 パ ワーをオ フ に し て も 証明情報を記憶 し てい ます。 こ の証明情
報は 「固定」 と 考え て、 やむを得ない理由があ る場合を除 き 、 証明情報の
再生成は避けて く だ さ い。 さ も ない と 、 以前の証明情報を用いて ス イ ッ チ
への SSL ア ク セ ス が設定 さ れてい る すべての管理ス テーシ ョ ン ( ク ラ イ ア
ン ト ) に ス イ ッ チのホ ス ト 証明情報を コ ピー し 直す必要があ り ます。
ス イ ッ チの証明情報キー ペア ま たは証明情報を削除 ( ゼ ロ 化 ) す る と 、 ス
イ ッ チは SSL オペレーシ ョ ン を停止 し 、 自動的に ス イ ッ チの SSL が無効に
な り ます。 (SSL が有効であ る か ど う か を確認す る には、 show config コ マ
ン ド を実行 し ます。 )
7-9
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
CLI コ マ ン ド に よ る ス イ ッ チのサーバ証明情報の生成ま た
は消去
ホ ス ト 証明情報は running-config フ ァ イ ルではな く 、 フ ラ ッ シ ュ メ モ リ に
保存 さ れ る ため、 証明情報を保存す る ために write memory コ マ ン ド を使
用す る 必要はあ り ません。 ま た、 ホ ス ト 証明情報を消去す る と 、 SSL は自
動的に無効にな り ます。
サーバ ホスト証明情報を生成するための CLI コマンド .
構文 :
crypto key generate cert [rsa] < 512 | 768 |1024 >
証明情報で使用す る キー ペア を生成 し ます。
crypto key zeroize cert
ス イ ッ チの証明情報キーを消去 し 、 SSL オペレーシ ョ ン を
無効に し ます。
crypto host-cert generate self-signed [arg-list]
ス イ ッ チの自己署名ホ ス ト 証明情報を生成 し ます。 ス イ ッ
チの証明情報がすでに存在す る場合、 新 し い証明情報 と 置
換 さ れます。 (7- 9 ページの注記を参照 し て く だ さ い。 )
crypto host-cert zeroize
ス イ ッ チのホ ス ト 証明情報を消去 し 、 SSL オペレーシ ョ ン
を無効に し ます。
CLI でホ ス ト 証明情報を生成す る には。
i. 証明情報のキー ペア を生成 し ます。 こ れには、 crypto key
generate cert コ マ ン ド を使用 し ます。 デフ ォ ル ト のキー サ イ
ズは、 512 です。
注記
証明情報キー ペアが ス イ ッ チにすでに存在す る場合、 証明情報を新たに生
成す る 際に新 し いキー ペア を生成す る 必要はあ り ません。 既存のキー ペ
ア を再利用で き る ため、 crypto key generate cert コ マ ン ド を実行す る 必要は
あ り ません。
ii.
注記
7-10
新 し い自己署名ホ ス ト 証明情報を生成 し ます。 こ れには、
crypto host-cert generate self-signed [ Arg-List ] コ マ ン ド を使
用 し ます。
CLI で自己署名証明情報を生成す る際に、 証明情報キーが生成 さ れていな
い と 、 こ の コ マ ン ド は機能 し ません。
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
証明情報フ ィ ール ド についての コ メ ン ト
サーバ証明情報の生成には多 く の引数が用い ら れ ます。 こ れ ら の引数につ
いては、 表 7-1、 「証明情報フ ィ ール ド の説明」 を参照 し て く だ さ い。
表 7-1.
証明情報フィールドの説明
フ ィ ール ド 名
説明
Valid Start Date SSL 機能の使用を開始する日付を入力 し ます。
Valid End Date
将来の任意の日付を設定で き ますが、 セキ ュ リ テ ィ を確保
するために、 パスワー ド およびキーの更新までの有効期間
を約 1 年間 と する こ と を お勧め し ます。
Common name
ス イ ッ チに付随する IP ア ド レ ス または ド メ イ ン名を入力 し
ます。 ス イ ッ チにア ク セス し た と き に、 こ のフ ィ ール ド の
内容が Web ブ ラ ウザに入力 さ れた URL と 一致 し ない場合、
Web ブ ラ ウザが警告を表示する こ と があ り ます。
Organization
ス イ ッ チ を使用 し ている組織体の名称 ( 社名な ど ) を入力 し
ます。
Organizational
Unit
ス イ ッ チ を使用 し ている下部組織体の名称 ( 部署名な ど )
を入力 し ます。
City or location
ス イ ッ チが設置 さ れている都市名を入力 し ます。
State name
ス イ ッ チが設置 さ れている都道府県を入力 し ます。
Country code
ス イ ッ チが設置 さ れている、 2 文字の ISO 国コ ー ド を入
力 し ます。
キーお よ び新規ホ ス ト 証明情報を生成す る には、 た と えば次の よ う に入力
し ます。
新規キーの生成
新規証明情報の生成
証明情報の引数を入力
図 7-3. CLI を用いたサーバ ホスト自己署名証明情報の生成例
7-11
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
注記
ス イ ッ チのサーバ ホ ス ト 証明情報ま たはキーを 「ゼ ロ 化」 す る と 、 SSL が
自動的に無効にな り ます (no web-management ssl と 同義 )。 し たがっ て、
サーバ ホ ス ト 証明情報ま たはキーを ゼ ロ 化 し た後、 ス イ ッ チの SSL オペ
レーシ ョ ン を再開す る には、 新 し いキーお よ びサーバ証明情報を生成 し 、
次に web-management ssl コ マ ン ド を実行 し て SSL を再度有効にす る 必要が
あ り ます。
ホスト証明情報を表示する CLI コマンド .
構文 :
show crypto host-cert
ス イ ッ チのホ ス ト 証明情報を表示 し ます。
CLI で現在のホ ス ト 証明情報を表示す る には、 show crypto host-cert コ マ
ン ド を使用 し ます。
新 し いサーバ ホ ス ト 証明情報を表示す る には、 た と えば次の よ う に入力 し
ます。
ホス ト 証明情報を表示する コ マ ン ド
図 7-4. show crypto host-cert コマンドの例
7-12
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
Web ブ ラ ウ ザ イ ン タ フ ェース での自己署名ホ ス ト 証明情報
の生成
Web ブ ラ ウ ザ イ ン タ フ ェ ース で SSL を設定で き ます。 Web ブ ラ ウ ザ イ ン
タ フ ェースへのア ク セ ス方法については、 使用す る ス イ ッ チ モデルの 『 マ
ネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 の章 「Web ブ ラ ウ ザ イ ン
タ フ ェース の使用」 を参照 し て く だ さ い。
Web ブ ラ ウ ザ イ ン タ フ ェ ース で自己署名ホ ス ト 証明情報を生成す る には。
i. [Security] タ ブ を選び、 [SSL] ボ タ ン を ク リ ッ ク し ます。 SSL
設定画面は、 2 分割表示 さ れます。 左半分は、 新 し い証明情報
キー ペアお よ び ( 自己署名 /CA 署名 ) 証明情報の生成に使用
し ます。 右半分は、 現在 イ ン ス ト ール さ れてい る証明情報の
情報を表示 し ます。
ii. [Create Certificate/Certificate Request] ラ ジオボ タ ン を選択
し ます。
iii. [Certificate Type] ド ロ ッ プダ ウ ン リ ス ト で、 [Self-Signed] を
選択 し ます。
iv. 必要な RSA キー サイズを選択 し ます。 現在の証明情報キーを
再利用す る 場合は、 こ の リ ス ト で [Current] を選択 し ます。
v. その他の証明情報引数を入力 し ます。 (7- 11 ページの 「証明情
報フ ィ ール ド についての コ メ ン ト 」 を参照 し て く だ さ い。 )
vi. [Apply Changes] ボ タ ン を ク リ ッ ク し て、 新 し い証明情報お よ
びキー ( 選択 さ れてい る 場合 ) を生成 し ます。
注記
自己署名ホ ス ト 証明情報を生成する 際に、 キーが存在せず、 RSA キー サ イ
ズのボ ッ ク ス で [Current] オプシ ョ ンが選択 さ れてい る と 、 エ ラ ーが発生 し
ます。 キーのキ ューが空の と き は、 新 し いキーの生成に最長 2 分かか り ま
す。
7-13
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
Web ブ ラ ウ ザ イ ン タ フ ェ ース で新 し いホ ス ト 証明情報を生成す る には、 た
と えば次の よ う に入力 し ます。
[Security] タ ブ
[SSL] ボ タ ン
[Create Certificate] ボ タ ン
[Certificate Type] ボ ッ ク ス
キー サ イ ズを選択
証明情報の引数を入力
図 7-5. SSL Web ブラウザ インタフェース画面での自己署名証明情報の生成
Web ブ ラ ウ ザ イ ン タ フ ェ ース で現在のホ ス ト 証明情報を表示す る には。
1. [Security] タ ブ を選択す る
2. [SSL] ボ タ ン を ク リ ッ ク し ます。
7-14
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
現在の SSL ホス ト 証明情報
図 7-6. 現在の SSL ホスト証明情報を表示する Web ブラウザ インタフェース
Web ブ ラ ウ ザ イ ン タ フ ェ ース での CA 署名サーバ ホ ス ト
証明情報の生成
こ の項では、 CA 署名サーバ ホ ス ト 証明情報を Web ブ ラ ウ ザ イ ン タ フ ェ ー
ス で イ ン ス ト ールす る 方法について説明 し ます。 (Web ブ ラ ウ ザ イ ン タ
フ ェースへのア ク セ ス方法については、 使用す る ス イ ッ チ モデルの 『 マネ
ジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 の章 「Web ブ ラ ウ ザ イ ン タ
フ ェース の使用」 を参照 し て く だ さ い。 )
CA 署名証明情報の イ ン ス ト ールは、 他機関 と のや り 取 り を交え て 3 段階
で行い ます。 第 1 段階では、 CA 証明情報要求を作成 し 、 認証局への提出
用 と し て こ れを ス イ ッ チか ら コ ピー し ます。 第 2 段階は実際の提出プ ロ セ
ス です。 認証局に証明情報要求の検証を依頼 し 、 証明情報要求にデジ タ ル
7-15
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
署名 し て証明情報応答 ( 利用可能なサーバ ホ ス ト 証明情報 ) を生成 し て も
ら い ます。 第 3 段階はダ ウ ン ロ ー ド フ ェーズです。 証明情報応答を ス イ ッ
チ Web サーバに コ ピーす る と 、 ス イ ッ チに よ っ てその証明情報応答が確
認 さ れ、 SSL の有効後に実際に使用 さ れ る こ と にな り ます。
Web ブ ラ ウ ザ イ ン タ フ ェ ース で証明情報要求を生成す る には。
i. [Security] タ ブ を選び、 [SSL] ボ タ ン を ク リ ッ ク し ます。
ii. [Create Certificate/Certificate Request] ラ ジオボ タ ン を選択
し ます。
iii. [Certificate Type] ド ロ ッ プダ ウ ン リ ス ト で、 [Create CA
Request] を選択 し ます。
iv. [RSA Key Size] ド ロ ッ プダ ウ ン リ ス ト で、 キーのサ イ ズ を選
択 し ます。 現在の証明情報キーを再利用す る 場合は、 こ の リ
ス ト で [Current] を選択 し ます。
v. その他の証明情報引数を入力 し ます。 (7- 11 ページの 「証明情
報フ ィ ール ド についての コ メ ン ト 」 を参照 し て く だ さ い。 )
vi. [Apply Changes] ボ タ ン を ク リ ッ ク し て、 証明情報要求を作成 し
ます。 2 つのテ キ ス ト ボ ッ ク ス で構成 さ れた新 し い Web ブ ラ
ウ ザ ページが表示 さ れます。 上段のテ キ ス ト ボ ッ ク ス には、
証明情報要求テ キ ス ト が表示 さ れます。 下段のテ キ ス ト ボ ッ
ク ス は、 空の状態で表示 さ れます。 認証局か ら 証明情報の応
答を受け取っ た後、 下段のテ キ ス ト ボ ッ ク ス にそれを貼 り 付
け ます。 ( 認証局は、 非 PEM エ ン コ ー ド 証明情報要求の応答
を返す必要があ り ます。 )
vii. 認証局で要求が処理 さ れ、 証明情報の応答 ( イ ン ス ト ール可能
な証明情報 ) を受信 し た後、 その証明情報を コ ピー し て下段の
テ キ ス ト ボ ッ ク ス に貼 り 付け ます。
viii. [Apply Changes] ボ タ ン を ク リ ッ ク し て、 証明情報を イ ン ス ト ー
ル し ます。
7-16
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
証明情報要求
証明情報要求の応答
-----BEGIN CERTIFICATE----MIICZDCCAc2gAwIBAgIDMA0XMA0GCSqGSIb3DQEBBAUAMIGHMQswCQYDVQQGEwJa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図 7-7. 証明情報要求および応答の例
3. ス イ ッ チの SSL の有効化お よ び SSL ブ ラ ウ ザ と の
通信
web-management ssl コ マ ン ド は、 ス イ ッ チで SSL を有効に し 、 ス イ ッ チ
が ク ラ イ ア ン ト と の ト ラ ンザ ク シ ョ ン に使用す る パ ラ メ ー タ を変更 し ま
す。 SSL を有効に し た後、 ス イ ッ チは SSL 対応ブ ラ ウ ザで自身の認証を行
え ます。 ス イ ッ チで SSL を無効にす る には、 no webmanagement ssl コ マ
ン ド を使用 し ます。
7-17
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
注記
ス イ ッ チで SSL を有効にす る 前に、 ス イ ッ チのホ ス ト 証明情報お よ びキー
を生成す る必要があ り ます。 生成 し ていない場合は、 7- 9 ページの 「2. ス
イ ッ チのサーバ ホ ス ト 証明情報の生成」 を参照 し て く だ さ い。
SSL の設定時、 ス イ ッ チはホ ス ト 証明情報を使用 し て SSL ク ラ イ ア ン ト で
自分自身を認証 し ますが、 no web-management コ マ ン ド を用いて標準の
Web ブ ラ ウ ザ イ ン タ フ ェ ース を無効に し ない限 り 、 安全性の低い ト ラ ンザ
ク シ ョ ンが実行可能な状態が続 き ます。
SSL クライアントとの通信。 ス イ ッ チ と SSL ク ラ イ ア ン ト の最初の通信
で、 ブ ラ ウ ザの証明情報フ ォ ルダに ス イ ッ チのホ ス ト 証明情報が コ ピー さ
れていない場合、 セ キ ュ リ テ ィ 上の理由か ら 、 ブ ラ ウ ザは ス イ ッ チへの最
初の接続の際に こ の接続をすすめ る か ど う か を確認す る許可 / 拒否す る オ
プシ ョ ン を表示 し ます。 ク ラ イ ア ン ト ブ ラ ウ ザ側に ス イ ッ チのルー ト 証明
情報が存在 し 、 ス イ ッ チで CA 署名証明情報を使 う 場合、 ブ ラ ウ ザは証明
情報が信頼で き る こ と の確認を促すプ ロ ン プ ト を表示 し ません。 ブ ラ ウ ザ
は、 ス イ ッ チ サーバ証明情報の証明情報チ ェーン について、 ブ ラ ウ ザに イ
ン ス ト ール さ れたルー ト 証明情報ま で検証で き る ため、 ス イ ッ チを明確に
認証で き ます。 未認可機器が ス イ ッ チの IP ア ド レ ス を不正に使用 し 、
デー タ やネ ッ ト ワー ク へのア ク セ ス を試みていない と 確信で き る 場合は接
続を許可 し て く だ さ い。
注記
SSL ク ラ イ ア ン ト が ス イ ッ チに初めて接続す る 際は、 「Man-in-the-Middle」
攻撃、 すなわち、 ス イ ッ チを装っ た未認可機器に よ っ て、 ス イ ッ チのア ク
セ ス制御に使用す る ユーザ名 と パ ス ワ ー ド が盗ま れ る 可能性があ り ます。
ス イ ッ チで自己署名証明情報を使用す る 際、 初回の接続で ス イ ッ チを装 う
未認可機器に よ る 「man-in-the-middle」 攻撃を受け、 ス イ ッ チのア ク セ ス
制御に使用す る ユーザ名 と パ ス ワー ド が盗まれ る可能性があ り ます。 自己
署名証明情報を使っ て初めて ス イ ッ チに接続す る と き は、 注意が必要で
す。 証明情報を受け入れ る 前に、 証明情報の内容を十分に検証 し て く だ さ
い ( 証明情報の内容を表示す る 方法については、 ブ ラ ウ ザのマニ ュ アルを
参照 し て く だ さ い )。
Web ブ ラ ウ ザがすでに信頼 し てい る 認証局に よ っ て生成 さ れた CA 署名証
明情報を使用す る場合は、 上記の よ う なセキ ュ リ テ ィ について配慮す る 必
要はあ り ません。
7-18
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
CLI で SSL を有効にす る
構文 :
[no] web-management ssl
ス イ ッ チで SSL を有効ま たは無効に し ます。
[port < 1-65535 | default:443 >]
SSL 接続のための TCP ポー ト 番号 ( デフ ォ ル ト : 443).
重要 : 7- 20 ページの 「ポー ト 番号についての注記」 を
参照 し て く だ さ い。
show config
SSL サーバの ス テー タ ス を表示 し ます。 有効に設定す
る と 、 config list に webmanagement ssl が表示 さ れま
す。
ス イ ッ チで SSL を有効にす る には。
1. ホ ス ト 証明情報を生成 し ていない場合は、 生成 し ます。 (7- 9 ページの
「2. ス イ ッ チのサーバ ホ ス ト 証明情報の生成」 を参照 し て く だ さ い。 )
2. web-management ssl コ マ ン ド を実行 し ます。
ス イ ッ チで SSL を無効にす る には、 以下のいずれか を実行 し ます。
■
no web-management ssl を実行 し ます。
■
ス イ ッ チのホ ス ト 証明情報ま たは証明情報キーをゼ ロ 化 し ます
(7- 10 ページ )
Web ブ ラ ウ ザ イ ン タ フ ェ ース で SSL を有効にする
ス イ ッ チで SSL を有効にす る には。
i. [Security] タ ブ を表示 し て、 [SSL] ボ タ ン を ク リ ッ ク し ます。
ii. [SSL Enable] を [On] に設定 し 、 接続す る TCP ポー ト を入力 し
ます。
iii. [Apply Changes] ボ タ ン を ク リ ッ ク し て、 指定ポー ト で SSL を
有効に し ます。
ス イ ッ チで SSL を無効にす る には、 以下のいずれか を実行 し ます。
i. [Security] タ ブ を表示 し て、 [SSL] ボ タ ン を ク リ ッ ク し ます。
ii. [SSL Enable] を [Off] に設定 し ます。
iii. [Apply Changes] ボ タ ン を ク リ ッ ク し て、 指定ポー ト で SSL を
有効に し ます。
7-19
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
基本的な動作ルールお よ び注記
SSL を有効に設定し、ポート番号を指定
図 7-8. Web ブラウザ インタフェースでの SSL の有効設定および TCP ポート番号の指定
ポ ート 番 号 に つ
い ての 注 記
原則 と し てデフ ォ ル ト TCP ポー ト 番号 (443) の使用をお勧め し ます。 ただ
し 、 web-management ssl tcp-port コ マ ン ド を使用 し て、 SSL 接続に他の目
的で予約 さ れていない任意の TCP ポー ト を指定で き ます。 予約 さ れてい
る TCP ポー ト の例 と し ては、 23 (Telnet) や 80 (http) な ど があ り ます。 ス
イ ッ チで予約 さ れてい る TCP ポー ト と し ては、 他に 49、 80、 1506、 1513
な ど があ り ます。
CAUTION
SSL は、 Telnet、 SNMP、 ま たはシ リ アル ポー ト 経由の未認可ア ク セ ス を防
ぐ こ と がで き ません。 Telnet ア ク セ ス は ス イ ッ チの ロ ーカル パ ス ワー ド で
制限で き ますが、 パ ス ワ ー ド に よ る セキ ュ リ テ ィ に不安を感 じ る 場合は、
Telnet ア ク セ ス を無効にで き ます (no telnet)。 SNMP セ キ ュ リ テ ィ を強化す
る には、 SNMP ア ク セ ス に対 し て SNMP バージ ョ ン 3 のみを使用 し ます。
他のセ キ ュ リ テ ィ 対策 と し ては、 ス イ ッ チの 『 セキ ュ リ テ ィ ガ イ ド 』 に記
述 さ れてい る オー ソ ラ イ ズ ド IP マネージ ャ 機能を使用す る 方法があ り ま
す。 シ リ アル ポー ト ( お よ び ロ ーカル パス ワ ー ド を削除す る [Clear] ボ タ
ン ) へ許可な し にア ク セ ス で き ない よ う にする ために、 ス イ ッ チへの物理
的ア ク セ ス を許可 さ れたユーザのみに制限 し て く だ さ い。
7-20
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
SSL セ ッ ト ア ッ プの一般的なエ ラ ー
SSL セ ッ ト ア ッ プの一般的なエ ラ ー
エラーが発生する作業
原因
CLI でのホス ト 証明情報の生成
証明情報キーが生成 さ れていませ
ん。 (7- 10 ページの 「サーバ ホス
ト 証明情報を生成する ための CLI
コ マ ン ド 」 を参照 し て く だ さ い。
)
CLI イ ン タ フ ェ ースまたは Web イ ン タ フ ェ ー
スでの SSL の有効設定
ホス ト 証明情報が生成 さ れていま
せん。 (7- 13 ページの 「Web ブ ラ
ウザ イ ン タ フ ェ ースでの自己署
名ホス ト 証明情報の生成」 を参照
し て く だ さ い。 )
予約済み TCP ポー ト を使用 し て
いる可能性があ り ます。 (7- 20
ページの 「ポー ト 番号についての
注記」 を参照 し て く だ さ い。 )
SSL に接続で き ない
SSL を有効に し ていない可能性が
あ り ます。 (7- 17 ページの 「3. ス
イ ッ チの SSL の有効化および
SSL ブ ラ ウザ と の通信」 を参照 し
て く だ さ い。 )
ブ ラ ウザが、 SSLv3 または TLSv1
をサポー ト し ていないか、 または
無効にな っ ている可能性があ り ま
す。 ( ブ ラ ウザに付属する マニ ュ
アルを参照 し て く だ さ い。 )
7-21
セキ ュ ア ソ ケ ッ ト レ イ ヤ (SSL) の設定
SSL セ ッ ト ア ッ プの一般的なエ ラ ー
7-22
8
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
ポー ト ベース のア ク セ ス制御を使用す る理由 . . . . . . . . . . . . . . 8-3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
802.1x の認証動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6
オーセ ン テ ィ ケー タ の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6
ス イ ッ チ ポー ト でのサプ リ カ ン ト オペレーシ ョ ン . . . . . . . . . . 8-7
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-8
基本的な運用ルールお よ び注記 . . . . . . . . . . . . . . . . . . . . . . . . . . 8-10
ポー ト ベース のア ク セ ス制御 (802.1x) の基本的な設定手順 . . . . . . 8-12
802.1x オペレーシ ョ ン を設定す る 前に以下の手順を実行す る . . 8-12
概要 : ス イ ッ チでの 802.1x 認証の設定 . . . . . . . . . . . . . . . . . . 8-13
ス イ ッ チ ポー ト を 802.1x オーセ ン テ ィ ケー タ と し て設定す る . . . . 8-15
1. 選択 し たポー ト で 802.1x 認証を有効にす る . . . . . . . . . . . . . 8-15
2. 802.1x 認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-19
3. RADIUS ホ ス ト IP ア ド レ ス の入力 . . . . . . . . . . . . . . . . . . . .
8-20
5. ス イ ッ チで 802.1x 認証を有効にす る . . . . . . . . . . . . . . . . . . 8-20
802.1x Open VLAN モー ド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-21
は じ めに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-21
802.1x Open VLAN モー ド モデルを使用す る . . . . . . . . . . . . . . 8-22
認可 ク ラ イ ア ン ト お よ び未認可 ク ラ イ ア ン ト VLAN の動作ルール
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26
802.1x Open VLAN モー ド の設定 と 構成 . . . . . . . . . . . . . . . . . .
8-28
802.1x Open VLAN の運用上の注記 . . . . . . . . . . . . . . . . . . . . . 8-32
オーセ ン テ ィ ケー タ ポー ト のオプシ ョ ン : 802.1x 機器でのみ許可 さ れ る
ポー ト セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-33
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-35
8-1
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
章の内容
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示. . . . . . . . . . . . . . . . . 8-39
ポー ト ア ク セ ス オーセ ン テ ィ ケー タ 用の Show コ マ ン ド . . . . . 8-39
802.1x Open VLAN モー ド の ス テー タ ス表示. . . . . . . . . . . . . . . 8-41
ポー ト ア ク セ ス サプ リ カ ン ト 用の Show コ マ ン ド . . . . . . . . . . 8-45
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響 . . . . . . . . . . 8-46
802.1x オペレーシ ョ ン に関連 し た メ ッ セージ . . . . . . . . . . . . . . . . . 8-50
8-2
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
ス イ ッ チ ポー ト を 802.1x オーセ ン テ ィ ケー タ と し て
設定する
無効
n/a
page 8- 15
n/a
802.1x Open VLAN モー ド を設定する
無効
n/a
8- 21 ページ
n/a
ス イ ッ チ ポー ト を 802.1x サプ リ カ ン ト と し て設定す
る
無効
n/a
8- 35 ページ
n/a
802.1x の設定、 統計、 および カ ウン タ の表示
n/a
n/a
8- 39 ページ
n/a
n/a
n/a
8- 46 ページ
n/a
802.1x の VLAN オペ レーシ ョ ンへの影響
RADIUS 認証およびア カ ウン テ ィ ン グ
5- 1 ページの 「RADIUS 認証およびア カ ウン テ ィ ン
グ」 を参照 し て く だ さ い。
ポー ト ベース のア ク セ ス制御を使用す る 理由
ロ ーカル エ リ ア ネ ッ ト ワー ク では、 未認可 ク ラ イ ア ン ト で も ネ ッ ト ワー
ク 機器に接続で き た り 、 未認可ユーザがネ ッ ト ワー ク に未接続の ク ラ イ ア
ン ト にア ク セ ス で き る こ と が よ く あ り ます。 ま た、 DHCP サービ スお よ び
ゼ ロ 設定を使用す る と ネ ッ ト ワ ー ク サービ ス に簡単にア ク セ ス で き ます。
こ れでは、 ネ ッ ト ワー ク の不正使用を許 し 、 ネ ッ ト ワー ク を悪質な攻撃に
さ ら し てい る よ う な も のです。 ネ ッ ト ワー ク へのア ク セ ス は簡単にすべ き
ですが、 未認可ア ク セ ス を コ ン ト ロ ール し ない こ と は通常望ま し く あ り ま
せん。 802.1x では、 ネ ッ ト ワー ク の複数のポ イ ン ト か ら のユーザ ア ク セ ス
を許可す る と 同時に、 中央の RADIUS サーバのユーザ プ ロ フ ァ イ ル も コ ン
ト ロ ールで き ます。
主要な機能
こ のガ イ ド が対象 と す る ProCurve Switch の 802.1x には以下の機能が含ま
れてい ます。
■
( ス イ ッ チ と ポ イ ン ト ツー ポ イ ン ト 接続 さ れてい る サプ リ カ ン ト の
) オーセ ン テ ィ ケー タ と し ての ス イ ッ チ動作 と 、 他の 802.1x 対応
ス イ ッ チ と ポ イ ン ト ツー ポ イ ン ト 接続 さ れてい る サプ リ カ ン ト と
し ての ス イ ッ チ動作。
•
RADIUSサーバ と EAP ま たはCHAPプ ロ ト コ ルを使用す る 802.1x ク ラ
イ ア ン ト の認証
•
802.1x サプ リ カ ン ト ソ フ ト ウ ェ ア を持たない ク ラ イ ア ン ト を使用
可能にす る ための手段。 こ れに よ り 、 必要な ソ フ ト ウ ェ ア を ダ ウ
ン ロ ー ド し 、 認証プ ロ セ ス を開始す る ためのパス と し て ス イ ッ チ
を使用で き ます (802.1x Open VLAN モー ド )。
8-3
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
概要
•
各ポー ト ご と に独立 し たユーザ名 と パ ス ワー ド で CHAP 認証を行
う サプ リ カ ン ト 機能
■
未許可ポー ト での両方向の ト ラ フ ィ ッ ク フ ロ ーの防止
■
(RADIUS 認証の代わ り に ) ス イ ッ チの ロ ーカル ユーザ名 と パス ワ ー
ド を使用 し た 802.1x ク ラ イ ア ン ト の ロ ーカル認証
■
ポー ト の VLAN メ ンバシ ッ プ ス テー タ ス を必要に応 じ て一時的に
変更。 こ れに よ り 、 現在の ク ラ イ ア ン ト セ ッ シ ョ ン をサポー ト し
ます。 ( こ れには、 ト ラ ン ク メ ンバのポー ト は含みません。 )
■
ア カ ウ ン ト の更新間隔を含む、 RADIUS サーバでのセ ッ シ ョ ン ア
カ ウ ン テ ィ ン グ。
■
セ ッ シ ョ ン カ ウ ン タ を表示す る Show コ マ ン ド 。
■
ポー ト ア ク セ ス を コ ン ト ロ ールす る ポー ト セキ ュ リ テ ィ を有効に
す る こ と で、 ア ク セ ス可能な 802.1x ク ラ イ ア ン ト セ ッ シ ョ ン を 1
つに限定。
ユーザの認証。 ポー ト ベース のア ク セ ス制御 (802.1x) は、ス イ ッ チ レベル
のセキ ュ リ テ ィ を提供 し ます。 802.1x 対応 ク ラ イ ア ン ト ( サプ リ カ ン ト )
で適切な RADIUS ユーザ名 と パ ス ワー ド を入力 し たユーザのみに LAN ア
ク セ ス が許可 さ れます。 こ れに よ り 、 ( プ ラ イ マ リ サーバへア ク セ ス で き
ない場合のバ ッ ク ア ッ プ と し て 3 台ま での RADIUS サーバを使用で き ます
) 単一のサーバ上のマ ス タ ー デー タ ベース でア ク セ ス を コ ン ト ロ ールで き
る ため、 セキ ュ リ テ ィ 管理が簡素化 さ れ ます。 ま た、 LAN への接続がど の
ス イ ッ チか ら で も 、 ユーザは認証用に同 じ ユーザ名 と パ ス ワー ド が使用で
き ます。 RADIUS サーバの代わ り に ス イ ッ チの ロ ーカル ユーザ名 と パ ス
ワー ド で も 802.1x を設定で き ますが、 こ の場合、 管理上の負担の増加、
ユーザ名 / パ ス ワー ド 管理の分散化、 ま た、 すべてのユーザ認証を 1 つの
オペレー タ / 管理者パ ス ワー ド セ ッ ト で行 う こ と に よ る セキ ュ リ テ ィ の低
下に注意 し て く だ さ い。
802.1x サプリカント ソフトウェアのダウンロード パスの提供。 802.1x サ
プ リ カ ン ト ソ フ ト ウ ェ ア を持たないユーザ用に、 802.1x Open VLAN モー
ド を設定す る オプシ ョ ン があ り ます。 こ のモー ド では、 その よ う な ク ラ イ
ア ン ト に隔離 VLAN を割 り 当て、 こ の VLAN を介 し て認証プ ロ セ ス の開始
に必要なサプ リ カ ン ト ソ フ ト ウ ェ ア を提供で き ます。 (8- 21 ページの
「802.1x Open VLAN モー ド 」 を参照 し て く だ さ い。 )
あるスイッチから別のスイッチへの認証。 802.1x 認証では、 802.1x 認証を
実行す る 他の ス イ ッ チのポー ト に接続 さ れてい る場合、 ス イ ッ チをサプ リ
カ ン ト と し て動作 さ せ る こ と も で き ます。
8-4
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
概要
802.1x を実行する オーセ ン
テ ィ ケー タ ス イ ッ チ
802.1x 対応 ク ラ
イ ア ン ト ( サプ
リカン ト )
LAN コ ア
サプ リ カ ン ト と し て接続 さ れてい
る 802.1x を実行する ス イ ッ チ
RADIUS サーバ
図 8-1. 802.1x アプリケーションの例
アカウンティング。 ス イ ッ チは、 802.1x ア ク セ ス用の RADIUS ネ ッ ト ワー
ク ア カ ウ ン テ ィ ン グ も 提供 し ます。 5- 1 ページの 「RADIUS 認証お よ びア
カ ウ ン テ ィ ン グ」 を参照 し て く だ さ い。
8-5
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の認証動作
802.1x の認証動作
オーセ ン テ ィ ケー タ の動作
こ のオペレーシ ョ ン では、 ク ラ イ ア ン ト と 認証ス イ ッ チが 802.1x 対応機器
であ る 場合、 両者のポ イ ン ト ツー ポ イ ン ト リ ン ク にセキ ュ リ テ ィ を提供
し ます。 ( 対象 ク ラ イ ア ン ト に 802.1x サプ リ カ ン ト ソ フ ト ウ ェ アが実装 さ
れていない場合、 802.1x Open VLAN モー ド を使用す る こ と で、 認証プ ロ セ
ス に必要な ソ フ ト ウ ェ アのダ ウ ン ロ ー ド パ ス を提供で き ます。 8- 21 ペー
ジの 「802.1x Open VLAN モー ド 」 を参照 し て く だ さ い。 ) た と えば、
802.1x 認証オペレーシ ョ ン用に ス イ ッ チのポー ト を 1 つ設定 し 、 その後、
802.1x 対応 ク ラ イ ア ン ト ( サプ リ カ ン ト ) を ポー ト に接続 し て ロ グオン し
よ う と す る と 、 以下の よ う にな り ます。
8-6
1.
ス イ ッ チは、 ポー ト で ク ラ イ ア ン ト を検出す る と 、 そのポー ト か ら の
LAN へのア ク セ ス をブ ロ ッ ク し ます。
2.
ス イ ッ チは認証情報を要求 し ます。
3.
ク ラ イ ア ン ト は自身に割 り 当て ら れてい る固有のユーザ名を返 し ます。
4.
ス イ ッ チは以下のいずれかの方法で応答 し ます。
・
ス イ ッ チの 802.1x ( ポー ト ア ク セ ス ) が RADIUS 認証に設定 さ れて
い る場合、 ス イ ッ チは要求を RADIUS サーバに転送 し ます。
i. サーバは ス イ ッ チが ク ラ イ ア ン ト に転送す る ア ク セ ス チ ャ レ
ン ジで応答 し ます。
ii. 次に、 ク ラ イ ア ン ト は証明情報 ( ユーザ証明情報な ど ) を提供
し ます。
iii. RADIUS サーバは ク ラ イ ア ン ト か ら の証明情報をチ ェ ッ ク し ま
す。
iv. ク ラ イ ア ン ト の認証に成功 し てネ ッ ト ワー ク への接続が認可
さ れた場合、 サーバは ス イ ッ チに ク ラ イ ア ン ト のア ク セ ス を
許可す る よ う に通知 し ます。 許可 し ない場合、 ア ク セ ス は拒
否 さ れてポー ト はブ ロ ッ ク さ れた ま ま です。
•
ス イ ッ チの 802.1x ( ポー ト ア ク セ ス ) が ロ ーカル認証に設定 さ れて
い る場合は、 以下の よ う にな り ます。
i. ス イ ッ チが ク ラ イ ア ン ト の証明情報 と ス イ ッ チ ( オペレー タ /
管理者レベル ) 内に設定 さ れてい る ユーザ名お よ びパ ス ワー ド
と を比較 し ます。
ii. ク ラ イ ア ン ト の認証に成功 し てネ ッ ト ワー ク への接続が認可
さ れた場合、 ス イ ッ チは ク ラ イ ア ン ト のア ク セ ス を許可 し ま
す。 許可 し ない場合、 ア ク セ ス は拒否 さ れてポー ト はブ ロ ッ
ク さ れた ま ま です。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の認証動作
ス イ ッ チ ポー ト でのサプ リ カ ン ト オペレーシ ョ ン
こ のオペレーシ ョ ンは、 802.1x 対応ス イ ッ チ間の リ ン ク におけ る セ キ ュ リ
テ ィ を提供 し ます。 た と えば、 以下の よ う な 2 つの ス イ ッ チに接続す る と
し ます。
■
ス イ ッ チ 「A」 には、 802.1x サプ リ カ ン ト オペレーシ ョ ン が設定 さ
れたポー ト A1 があ り ます。
■
ス イ ッ チ 「A」 のポー ト A1 と ス イ ッ チ 「B」 のポー ト B5 を接続す る
と し ます。
ス イ ッ チ 「B」
ポー ト B5
ポー ト A1
ス イ ッ チ 「A」
802.1x サプ リ カ ン ト と し て
設定 さ れたポー ト A1
LAN コ ア
RADIUS サーバ
図 8-2. サプリカント オペレーションの例
1.
2.
ス イ ッ チ 「A」 のポー ト A1 をは じ めて ス イ ッ チ 「B」 のポー ト に接続
す る際、 も し く はポー ト は既に接続 さ れていて、 いずれかの ス イ ッ チ
が リ ブー ト さ れた場合に、 ポー ト A1 は ス イ ッ チ 「B」 のポー ト B5 に
開始パケ ッ ト を送信 し ます。
•
サプ リ カ ン ト ポー ト は、 設定 さ れた回数の開始パケ ッ ト を送信後、
その応答が得 ら れなか っ た場合、 ス イ ッ チ 「B」 は 802.1x に対応
し てお ら ず、 ま た認証は不要であ る と 判断 し ます。 ス イ ッ チ 「B」
が 802.1x 対応ではな く 、 正常に動作 し ていれば リ ン ク は通常に確
立 さ れ ますが、 802.1x セキ ュ リ テ ィ は実装 さ れません。
•
1 回以上の開始パケ ッ ト 送信後に、ポー ト A1 がポー ト B5 か ら 要求
パケ ッ ト を受信 し た場合、 ス イ ッ チ 「B」 は、 802.1x オーセ ン テ ィ
ケー タ と し て動作 し てい ます。 サプ リ カ ン ト ポー ト は次に応答 /
ID パケ ッ ト を返 し ます。 ス イ ッ チ 「B」 は こ の要求を RADIUS サー
バに転送 し ます。
次に RADIUS サーバは、 MD5 ア ク セ ス チ ャ レ ン ジで応答 し 、 ス イ ッ チ
「B」 を介 し て ス イ ッ チ 「A」 のポー ト A1 に転送 さ れます。
8-7
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
用語
注記
3.
ポー ト A1 は、 ユーザ名お よ びパ ス ワー ド ま たは他の証明情報の MD5
ハ ッ シ ュ を返 し ます。 ス イ ッ チ 「B」 は こ の応答を RADIUS サーバに転
送 し ます。
4.
RADIUS サーバは応答を分析 し て、 ス イ ッ チ 「B」 を介 し てポー ト A1
に 「success」 ま たは 「failure」 パケ ッ ト のいずれか を送信 し ます。
•
「success」 応答は、 ポー ト A1 か ら の通常の ト ラ フ ィ ッ ク に対 し て
ポー ト B5 のブ ロ ッ ク を解除 し ます。
•
「failure」 応答の場合、 ポー ト B5 のブ ロ ッ ク は継続 さ れ、 ポー ト A1
は 「held-time」 時間経過後に、 ポー ト B5 を介 し て再び認証を試行
し ます。
ス イ ッ チ ポー ト は、 サプ リ カ ン ト お よ びオーセ ン テ ィ ケー タ と し て同時に
動作す る よ う に設定で き ます。
用語
802.1x 対応 : 802.1x 認証 ソ フ ト ウ ェ ア ま たは 802.1x ク ラ イ ア ン ト ソ フ ト
ウ ェ アのいずれかが動作する 機器で、 IEEE802.1x 規格に準拠 し た他の
機器 と 対話で き ます。
CHAP (MD5): Challenge Handshake Authentication Protocol ( チ ャ レ ン ジ ハ
ン ド シ ェ イ ク 認証プ ロ ト コ ル )。
EAP (Extensible Authentication Protocol): EAP は、 複数の認証方式をサポー
ト す る ネ ッ ト ワー ク ア ク セ ス を可能に し ます。
EAPOL: Extensible Authentication Protocol Over LAN。 802.1x 規格で定義 さ
れてい ます。
MD5: バ イ ト の ス ト リ ーム か ら 固有なデジ タ ル署名を計算す る アルゴ リ ズ
ム。 こ れは、 共有キー ( パ ス ワー ド ) が盗み見 ら れ る 心配がない CHAP
に よ る 認証で使用 さ れます。
PVID (Port VID): 802.1x ポー ト が所属す る タ グ無 VLAN の VLAN ID。
オーセンティケータ : ProCurve Switch の説明で用い ら れ る 場合、ネ ッ ト ワ ー
ク へのア ク セ ス許可を求め る サプ リ カ ン ト に対 し て、 適切な証明情報 (
ユーザ名 と パ ス ワ ー ド ) を要求す る ス イ ッ チな ど の機器を指 し ます。
8-8
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
用語
クライアント : こ こ では、ポ イ ン ト ツー ポ イ ン ト リ ン ク を介 し て ス イ ッ チ
に接続 さ れてい る 、 管理ス テーシ ョ ン、 ワー ク ス テーシ ョ ン、 モバ イ
ル PC な ど エ ン ド ノ ー ド 機器。
サプリカント : ネ ッ ト ワー ク へのア ク セ ス が許可 さ れ る 前に、 ス イ ッ チに
適切な証明情報を提供す る 必要のあ る エ ン テ ィ テ ィ 。 こ れは通常エ ン
ド ユーザの ワー ク ス テーシ ョ ン を指 し ますが、 ス イ ッ チ、 ルー タ 、 そ
の他ネ ッ ト ワー ク サービ ス を要求す る 機器であ る 場合 も あ り ます。
スタティック VLAN: CLI の vlan < vid > コ マ ン ド ま たは メ ニ ュー イ ン タ
フ ェース を使用 し て、 ス イ ッ チで設定 さ れた VLAN。
タグ付 VLAN メンバシップ : こ の タ イ プの VLAN メ ンバシ ッ プ を使用す る
と 、 1 つのポー ト を複数の VLAN メ ンバに同時に設定で き ます。 ポー
ト に接続 さ れてい る ク ラ イ ア ン ト に 802.1q タ グ付 き VLAN を サポー ト
す る オペレーテ ィ ン グ シ ス テ ム が実装 さ れてい る 場合、 ク ラ イ ア ン ト
はポー ト に タ グ付 メ ンバ と し て設定 さ れてい る VLAN にア ク セ ス で き
ます。 ク ラ イ ア ン ト が タ グ付 き VLAN をサポー ト し ていない場合は、
ポー ト が タ グ無 メ ンバであ る VLAN へのア ク セ ス のみが可能にな り ま
す。 ( ポー ト が タ グ無 メ ンバになれ る のは 1 つの VLAN のみです。 )
802.1x Open VLAN モー ド は、 未認可 ク ラ イ ア ン ト ま たは認可 ク ラ イ ア
ン ト VLAN と し て設定 さ れてい る VLAN の メ ンバにポー ト が静的に設
定 さ れていない限 り 、 ポー ト の タ グ付 VLAN へのア ク セ ス には影響 し
ません。「タグ無 VLAN メンバシップ」 も 参照 し て く だ さ い。
タグ無 VLAN メンバシップ : ポー ト が タ グ無 メ ンバになれ る のは 1 つの
VLAN のみです。 ( 工場出荷時の設定では、 ス イ ッ チのすべてのポー ト
がデフ ォ ル ト VLAN の タ グ無 メ ンバにな っ てい ます。 ) タ グ無 VLAN
メ ンバシ ッ プは、 802.1q タ グ付 き VLAN をサポー ト し ない ク ラ イ ア ン
ト と の接続に必要 です。 ポー ト は、 同時に 1 つの タ グ無 VLAN メ ンバ
シ ッ プ と 複数の タ グ付 VLAN メ ンバシ ッ プ を持つ こ と がで き ます。
802.1x Open VLAN モー ド の設定方法に よ り 、 ポー ト に 802.1x ク ラ イ ア
ン ト セ ッ シ ョ ン が存在す る間は静的に設定 さ れた タ グ無 VLAN メ ンバ
シ ッ プが使用で き な く な る 場合があ り ます。「タグ付 VLAN メンバ
シップ」 も 参照 し て く だ さ い。
認可クライアント VLAN: 未認可 ク ラ イ ア ン ト VLAN と 同様に、 シ ス テ ム
管理者に よ っ て あ ら か じ め ス イ ッ チに設定 さ れ る通常の ス タ テ ィ ッ ク
VLAN。 こ の VLAN を使用す る 目的は、 ポー ト に静的に設定 さ れた
VLAN メ ンバシ ッ プ ま たは RADIUS 認証プ ロ セ ス中に割 り 当て ら れた
VLAN メ ンバシ ッ プが使用で き ない認証 ク ラ イ ア ン ト にネ ッ ト ワー ク
サービ ス を提供す る ためです。 802.1x ポー ト が こ の VLAN の メ ンバの
場合、 ポー ト は タ グ無にな り ます。 ク ラ イ ア ン ト 接続が終了す る と 、
ポー ト は認可 ク ラ イ ア ン ト VLAN の メ ンバシ ッ プ を破棄 し ます。
8-9
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
基本的な運用ルールお よ び注記
認証サーバ : オーセ ン テ ィ ケー タ と し て動作す る よ う に設定 さ れてい る ス
イ ッ チに認証サービ ス を提供 し ます。 ProCurve Switch で 802.1x が動作
し てい る 場合、 ( ス イ ッ チがサプ リ カ ン ト の認証に自身のユーザ名 と
パ ス ワー ド を使用 し て こ の機能を実行す る よ う な ロ ーカル認証が使用
さ れていない限 り ) こ れは RADIUS サーバを指 し ます。
フレンドリ クライアント:ス イ ッ チやネ ッ ト ワー ク へのア ク セ ス を許可 し
て も セ キ ュ リ テ ィ リ ス ク と はな ら ない ク ラ イ ア ン ト 。
未認可クライアント VLAN: シ ス テ ム管理者に よ っ て あ ら か じ め ス イ ッ チ
に設定 さ れ る 通常の ス タ テ ィ ッ ク VLAN。 認証前の ク ラ イ ア ン ト のア
ク セ ス を提供す る のに使用 し ます。 こ の VLAN は、 未認証 ク ラ イ ア ン
ト が認証ア ク セ ス を確立する のに必要な初期設定サービ ス、 お よ び未
認証 ク ラ イ ア ン ト で も 、 ネ ッ ト ワー ク のセキ ュ リ テ ィ に脅威を及ぼ さ
ないサービ ス にア ク セ ス で き る よ う にす る用途で設定 し ます。 ( 未認
証 ク ラ イ ア ン ト は、 未認可 ク ラ イ ア ン ト VLAN と し て指定 し た VLAN
に属す る ネ ッ ト ワ ー ク リ ソ ースすべてにア ク セ ス で き る こ と に注意 し
て く だ さ い。 ) ス イ ッ チの少な く と も 1 つのポー ト が同 じ 未認可 ク ラ イ
ア ン ト VLAN の タ グ付ま たは タ グ無 メ ンバ と し て静的に設定 さ れてい
る 限 り 、 未認可 ク ラ イ ア ン ト VLAN を使用す る よ う に設定 し たポー ト
を、 その VLAN の メ ンバ と し て静的に設定す る必要はあ り ません。
基本的な運用ルールお よ び注記
8-10
■
ス イ ッ チのポー ト がオーセ ン テ ィ ケー タ ま たはサプ リ カ ン ト に設
定 さ れていて他の機器に接続 さ れ る場合、 ス イ ッ チを リ ブー ト す
る と リ ン ク の再認証が必要にな り ます。
■
ス イ ッ チのポー ト がオーセ ン テ ィ ケー タ に設定 さ れてい る 場合、
適切な認証証明情報を提供 し ない ク ラ イ ア ン ト と 、 802.1x 対応で
ない ク ラ イ ア ン ト へのア ク セ ス をブ ロ ッ ク し ます。 ( オプシ ョ ン の
802.1x Open VLAN モー ド を使用す る こ と で 802.1x サプ リ カ ン ト ソ
フ ト ウ ェ アのダ ウ ロ ー ド パ ス を提供で き ます。 こ れに よ り 、 ク ラ
イ ア ン ト は認証手順を開始で き ます。 8- 21 ページの 「802.1x Open
VLAN モー ド 」 を参照 し て く だ さ い。 )
■
ス イ ッ チ 「A」 のポー ト が 802.1x サプ リ カ ン ト に設定 さ れていて、
802.1x に対応 し ていない他の ス イ ッ チ 「B」 のポー ト に接続 さ れて
い る場合、 ス イ ッ チ 「B」 へのア ク セ ス には 802.1x のセキ ュ リ
テ ィ が適用 さ れ ません。
■
ポー ト を 802.1xオーセ ン テ ィ ケー タ と 802.1xサプ リ カ ン ト の両方に
設定で き ます。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
基本的な運用ルールお よ び注記
■
ス イ ッ チ 「A」 のポー ト が 802.1x オーセ ン テ ィ ケー タ お よ びサプ リ
カ ン ト に設定 さ れていて、 802.1x に対応 し ていない他の ス イ ッ チ
「B」 のポー ト に接続 さ れてい る 場合、 ス イ ッ チ 「B」 へのア ク セ
ス には 802.1x のセキ ュ リ テ ィ が適用 さ れず、 ス イ ッ チ 「B」 は ス
イ ッ チ 「A」 にア ク セ ス で き ません。 つま り 、 2 つの ス イ ッ チ間の
リ ン ク では 「A」 か ら 「B」 へ ト ラ フ ィ ッ ク は流れ ますが、 逆方向
には流れ ません。
■
ポー ト を 802.1x オーセ ン テ ィ ケー タ オペレーシ ョ ン に設定す る際
に、 ク ラ イ ア ン ト が既に ス イ ッ チ ポー ト にア ク セ ス し てい る 場合、
ポー ト は ク ラ イ ア ン ト が認証 さ れ る ま で以降のネ ッ ト ワー ク ア ク
セ ス をブ ロ ッ ク し ます。
■
802.1x を RADIUS で認証す る よ う に設定 さ れたポー ト では、RADIUS
サーバがサプ リ カ ン ト 用に VLAN を指定 し た場合、ポー ト が ト ラ ン
ク メ ンバであ る と そのポー ト はブ ロ ッ ク さ れ ます。 その後ポー ト
が ト ラ ン ク か ら 削除 さ れ る と 、 ポー ト はサプ リ カ ン ト の認証を試行
し ます。 認証に成功 し た場合、 ポー ト はブ ロ ッ ク を解除 し ます。 同
様に、 サプ リ カ ン ト が認証 さ れた あ と 、 ポー ト が ト ラ ン ク メ ン バ
にな っ た場合、 ポー ト はブ ロ ッ ク さ れます。 その後ポー ト が ト ラ ン
ク か ら 削除 さ れ る と 、 ポー ト はサプ リ カ ン ト の再認証 を試行 し ま
す。 認証に成功 し た場合、 ポー ト はブ ロ ッ ク を解除 し ます。
■
セキ ュ リ テ ィ 上の理由か ら 、802.1x と LACP は同 じ ポー ト で同時に
有効にで き ません。 既に LACP に設定 さ れてい る ポー ト で 802.1x
を設定す る ( ま たはその逆の ) 場合、 以下の よ う な メ ッ セージが表
示 さ れ ます。
Error configuring port X:LACP and 802.1X cannot be run together.
80 2 . 1x お よ び
L A C P に 関 する
注記
セキ ュ リ テ ィ 上の理由か ら 、 ス イ ッ チは 802.1x と LACP を同 じ ポー ト で同
時に有効にで き ません。 8- 50 ページの 「802.1X オペレーシ ョ ン メ ッ セー
ジ」 を参照 し て く だ さ い。
8-11
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ポー ト ベース のア ク セ ス制御 (802.1x) の基本的な設定手順
ポー ト ベース のア ク セ ス制御 (802.1x)
の基本的な設定手順
802.1x オペレーシ ョ ン を設定す る 前に以下の手順を
実行す る
8-12
1.
オペレー タ (login) お よ び管理者 (enable) ア ク セ ス レベルの両方の ロ ー
カル ユーザ名 と パス ワ ー ド を ス イ ッ チに設定 し ます。 ( こ れは 802.1x
設定で必要であ る か ど う かに よ ら ず、 他のセキ ュ リ テ ィ 手段が実装 さ
れ る ま で ロ ーカル ユーザ名 と パス ワ ー ド のペア を使用す る こ と をお勧
め し ます。 )
2.
ス イ ッ チの ど のポー ト を オーセ ン テ ィ ケー タ ま たはサプ リ カ ン ト と し
て動作 さ せ る か を決定 し 、 こ れ ら のポー ト で LACP を無効に し ます。
(8- 11 ページの 「802.1x お よ び LACP に関す る注記」 を参照 し て く だ
さ い。 )
3.
802.1x 対応でない ク ラ イ ア ン ト にオプシ ョ ン の 802.1x Open VLAN モー
ド を使用す る か を決定 し ます。 つま り 、 802.1x サプ リ カ ン ト ソ フ ト
ウ ェ ア を実行 し ていない ク ラ イ ア ン ト 用の設定です。 ( こ の設定では、
認証セ ッ シ ョ ン を有効にする ために ク ラ イ ア ン ト が使用す る ダ ウ ン
ロ ー ド 可能な ソ フ ト ウ ェ ア を用意す る 必要があ り ます。 ) こ の ト ピ ッ ク
については、 8- 21 ページの 「802.1x Open VLAN モー ド 」 を参照 し て く
だ さ い。
4.
サプ リ カ ン ト と し て動作 さ せ る 各ポー ト に対 し て、 ユーザ名 と パ ス
ワー ド のペア を決定 し ます。 各ポー ト に同 じ ペア を使用す る こ と も 、
個々のポー ト やポー ト のサブグループに固有のペア を使用す る こ と も
で き ます。 ( ま た、 ス イ ッ チに割 り 当てたの と 同 じ ロ ーカル ユーザ名
と パ ス ワー ド のペア も 使用で き ます。 )
5.
802.1x 認証に ス イ ッ チの ロ ーカル ユーザ名 と パ ス ワー ド のみを使用す
る 場合を除 き 、 (802.1x サプ リ カ ン ト と し て動作す る ス イ ッ チ ポー ト を
含む ) 外部サプ リ カ ン ト か ら ス イ ッ チのポー ト を介 し て受け取 る ア ク
セ ス要求を認証す る ために、 少な く と も 1 つの RADIUS サーバを設定
し ます。 認証用に最大 3 つの RADIUS サーバ (1 つがプ ラ イ マ リ で 2 つ
がバ ッ ク ア ッ プ ) を使用で き ます。 使用す る RADIUS アプ リ ケーシ ョ
ンに付属のマニ ュ アルを参照 し て く だ さ い。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ポー ト ベース のア ク セ ス制御 (802.1x) の基本的な設定手順
概要 : ス イ ッ チでの 802.1x 認証の設定
こ こ では、 ス イ ッ チでの 802.1x の設定手順について概説 し ます。 各手順の
詳細は、 5- 1 ページの 「RADIUS 認証お よ びア カ ウ ン テ ィ ン グ」 ま たは
8- 35 ページの 「802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他
の ス イ ッ チ と 接続」 を参照 し て く だ さ い。
1.
オーセ ン テ ィ ケー タ と し て機能 さ せ る 個々のポー ト で 802.1x 認証を有
効に し ます。 オーセ ン テ ィ ケー タ と し て使用す る ポー ト で、 デフ ォ ル ト
の 802.1x 設定を使用す る か、 必要に応 じ て変更 し ます。 デフ ォ ル ト で、
ス イ ッ チのすべてのポー ト でポー ト 制御パ ラ メ ー タ は [auto] に設定 さ
れてい る こ と に注意 し て く だ さ い。 こ の場合、 ク ラ イ ア ン ト が 802.1x
認証をサポー ト し 、ネ ッ ト ワ ー ク ア ク セ ス を取得す る ために有効な証明
情報を提供す る 必要があ り ます。 8- 15 ページ を参照 し て く だ さ い。
2.
802.1x サプ リ カ ン ト ソ フ ト ウ ェ アがない ク ラ イ ア ン ト に対 し て、 認証
セ ッ シ ョ ン を開始で き る ソ フ ト ウ ェ ア を ダ ウ ン ロ ー ド す る ためのパス
を提供す る ポー ト で 802.1x Open VLAN モー ド を有効に し ます。 8- 21
ページ を参照 し て く だ さ い。
3.
802.1x 認証方式を設定 し ます。 オプシ ョ ン には次の も のがあ り ます。
•
ロ ーカル オペレー タ のユーザ名 と パ ス ワー ド ( デフ ォ ル ト ): こ のオ
プシ ョ ンに よ り 、 ク ラ イ ア ン ト は ス イ ッ チの ロ ーカル ユーザ名 と
パ ス ワー ド を ネ ッ ト ワー ク ア ク セ ス用の 802.1x 証明情報 と し て使
用で き ます。
•
EAP RADIUS: こ のオプシ ョ ン では、 RADIUS サーバのアプ リ ケー
シ ョ ン が 802.1x 用の EAP 認証をサポー ト し てい る 必要があ り ま
す。
•
CHAP (MD5) RADIUS : こ のオプシ ョ ン では、 RADIUS サーバのアプ
リ ケーシ ョ ン が CHAP (MD5) 認証をサポー ト し てい る 必要があ り
ます。
8- 19 ページ を参照 し て く だ さ い。
注記
4.
手順 3 で [eap-radius] ま たは [chap-radius] を選択 し た場合、 radius
host コ マ ン ド を使用 し て最大 3 つの RADIUS サーバの IP ア ド レ ス を ス
イ ッ チに設定で き ます。 8- 20 ページ を参照 し て く だ さ い。
5.
ス イ ッ チで802.1x認証を 有効にし ま す。8- 15ページを 参照し てく ださ い。
6.
ポー ト ア ク セ ス を設定 し たポー ト で 802.1x 認証が適切に機能す る こ と
を確認す る ために、 シ ス テ ムへの認可ア ク セ ス と 未認可ア ク セ ス の両
方のテ ス ト を行い ます。
ス イ ッ チにオプシ ョ ンのポー ト セキ ュ リ テ ィ 機能 ( 手順 7) を実装す る 場
合、 まず 802.1x オーセ ン テ ィ ケー タ と し て設定 し たポー ト が正 し く 動作す
る こ と を確認 し ます。
8-13
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ポー ト ベース のア ク セ ス制御 (802.1x) の基本的な設定手順
8-14
7.
ス イ ッ チでポー ト セキ ュ リ テ ィ を使用す る 場合、 ス イ ッ チの 802.1x オ
ペレーシ ョ ン用に設定 し たポー ト では、 802.1x ア ク セ ス のみを許可す
る よ う に設定 し 、 ( 必要に応 じ て ) 未認可機器が 802.1x ポー ト を介 し
て ア ク セ ス し よ う と し た場合に実行す る 処置を設定 し ます。 8- 33 ペー
ジ を参照 し て く だ さ い。
8.
他の機器の 802.1x オーセ ン テ ィ ケー タ と し て動作す る ポー ト と 接続 し
て、 ス イ ッ チのポー ト をサプ リ カ ン ト と し て動作 さ せ る場合、 サプ リ
カ ン ト オペレーシ ョ ン を設定 し ます。 (8- 35 ページの 「802.1x サプ リ
カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続」 を参照
し て く だ さ い。 )
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
ス イ ッ チ ポー ト を 802.1x オーセ ン テ ィ
ケー タ と し て設定す る
802.1x 認証コマンド
[no] aaa port-access authenticator < [ethernet] < port-list >
[control | quiet-period | tx-period | supplicant-timeout |
server-timeout | max-requests | reauth-period | auth-vid |
unauth-vid | initialize | reauthenticate | clear-statistics]
aaa authentication port-access
ページ
8- 15
8- 15
8- 19
< local | eap-radius | chap-radius >
[no] aaa port-access authenticator active
8- 15
[no] port-security [ethernet] < port-list > learn-mode portaccess
8- 33
802.1x Open VLAN モード コマンド
8- 21
802.1x サプリカント コマンド
8- 35
802.1x 関連の show コマンド
8- 39
RADIUS サーバの設定
8- 20
1. 選択 し たポー ト で 802.1x 認証を有効にす る
こ の タ ス ク では、 802.1x 対応 ク ラ イ ア ン ト ま たは ス イ ッ チ と のポ イ ン ト
ツー ポ イ ン ト リ ン ク で接続 し てい る ポー ト に、 802.1x オーセ ン テ ィ ケー
タ の設定を行い ます。 ( 実際の 802.1x オペレーシ ョ ンは、 8- 13 ページの手
順 5 を実行 し て ス イ ッ チで 802.1x 認証を ア ク テ ィ ブに し ない と 開始 さ れ ま
せん。 )
注記
802.1x 認証を ポー ト で有効にす る と 、 ス イ ッ チは自動的にポー ト の LACP
を無効に し ます。 ただ し 、 ポー ト が既に LACP ト ラ ン ク で動作 し てい る 場
合、 802.1x 認証を設定す る 前にポー ト を ト ラ ン ク か ら 削除す る 必要があ り
ます。
8-15
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
構文 :
aaa port-access authenticator < port-list >
802.1x オーセ ン テ ィ ケー タ と し て動作 さ せ る ポー ト を
指定 し ます。 ( オーセ ン テ ィ ケー タ のオプシ ョ ン設定
はポー ト ご と に設定可能です。 ) 設定 し た 802.1x オペ
レーシ ョ ン を ア ク テ ィ ブにす る には、 802.1x 認証を有
効にす る必要があ り ます。 8- 13 ページの 「5. ス イ ッ
チで 802.1x 認証を有効に し ます。」 を参照 し て く だ さ
い。
[control < authorized | auto | unauthorized >]
以下の よ う に、 指定 し たポー ト で認証モー ド を コ ン ト
ロ ール し ます。
authorized: 強制認可 を意味 し ます。 ポー ト に接続 さ
れている どの機器に も ア ク セス を認可 し ます。 こ の場
合、 機器は 802.1x 証明情報の提供および 802.1x 認証
のサポー ト は必要あ り ません。 ( ただ し 、 ポー ト に コ
ン ソ ール、 telnet、 または SSH のセキ ュ リ テ ィ は設定
で き ます。 )
auto ( デ フ ォル ト ): ポー ト に接続 さ れている機器は
802.1x 認証をサポー ト し 、 ネ ッ ト ワー ク にア ク セスす
る ために有効な証明情報を提供する必要があ り ます。
(802.1x サプ リ カ ン ト ソ フ ト ウ ェ アが実装 さ れていな
い ク ラ イ ア ン ト には、 Open VLAN モー ド オプシ ョ ン
を使用する こ と で、 サプ リ カ ン ト ソ フ ト ウ ェ ア を ダ
ウン ロー ド さ せ、 認証プ ロ セス を開始 さ せる こ と がで
き ます。 8- 21 ページの 「802.1x Open VLAN モー ド 」
を参照 し て く だ さ い。 )
unauthorized: 強制未認可 を意味 し ます。 機器の提供
する証明情報が正 し いかど う か、 802.1x をサポー ト し
ているかど う かに よ ら ず、 ネ ッ ト ワー ク ア ク セスは
認可 さ れません。 こ の場合、 ポー ト はどの接続機器へ
のア ク セス も ブ ロ ッ ク し ます。
[quiet-period < 0 - 65535 >]
ポー ト がサプ リ カ ン ト の要求を受け付けない時間を設
定 し ます。 こ の タ イ ム ア ウ ト は、 [max-requests] パ ラ
メ ー タ ( 次ページ ) の試行回数に達 し た時点か ら 開始
さ れます。 ( デフ ォ ル ト : 60 秒 )
[tx-period < 0 - 65535 >]
認証セ ッ シ ョ ン中に次の EAPOL PDU を転送す る ま で
の待ち時間を設定 し ます。 ( デフ ォ ル ト : 30 秒 )
8-16
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
[supplicant-timeout < 1 - 300 >]
EAP 要求へのサプ リ カ ン ト 応答に対す る ス イ ッ チの
待ち時間を設定 し ます。 設定 し た時間内にサプ リ カ ン
ト か ら 応答がなかっ た場合、 セ ッ シ ョ ンは タ イ ム ア ウ
ト にな り ます。 ( デフ ォ ル ト : 30 秒 )
aaa port-access authenticator < port-list >
[server-timeout < 1 - 300 >]
認証要求へのサーバ応答に対する ス イ ッ チの待ち時間
を設定 し ます設定 し た時間内に応答がない場合、 ス
イ ッ チは認証試行が タ イ ム ア ウ ト し た も の と 判断 し ま
す。 現在の [max-requests] 設定に よ っ て、 ス イ ッ チ
は新 し い要求をサーバに送信する か認証セ ッ シ ョ ン を
終了す る かを決定 し ます。 ( デフ ォ ル ト : 30 秒 )
[max-requests < 1 - 10 >]
認証試行回数を設定 し ます。 1 回以上認証に失敗 し 、
試行回数が こ の値に達 し た場合、 認証セ ッ シ ョ ンが終
了 し た時点か ら タ イ ム ア ウ ト が開始 さ れます。 ロ ーカ
ル認証オプシ ョ ン を使用 し てい る 場合か、 1 台のサー
バのみで RADIUS 認証を実行 し てい る 場合、 ク ラ イ ア
ン ト が新 し いア ク セ ス試行を行 う ま で ス イ ッ チは新た
なセ ッ シ ョ ン を開始 し ません。 2 台ま たは 3 台のサー
バで RADIUS 認証を実行 し てい る 場合、 認証プ ロ セ ス
が開始 さ れ る か試行す る サーバがな く な る ま で ス イ ッ
チは各サーバで順番にセ ッ シ ョ ン を開始 し ます。
[quiet-period] ( 前ページ ) に タ イ ム ア ウ ト 時間が設定
さ れてい る 場合、 こ の時間中に [max-requests] のパ ラ
メ ー タ 設定を変更す る こ と はで き ません。 ( デフ ォ ル
ト : 2)
[reauth-period < 1 - 9999999 >]
接続 さ れてい る ク ラ イ ア ン ト を再認証す る ま での時間
を設定 し ます。 タ イ ム ア ウ ト が 0 に設定 さ れてい る 場
合、 再認証は行われません。 ( デフ ォ ル ト : 0 秒 )
[unauth-vid < vlan-id >]
既存の ス タ テ ィ ッ ク VLAN を未認可 ク ラ イ ア ン ト
VLAN に設定 し ます。 こ れに よ り 、 サプ リ カ ン ト ソ フ
ト ウ ェ ア を持た ない ク ラ イ ア ン ト に、 認証セ ッ シ ョ ン
が開始で き る ソ フ ト ウ ェ ア を ダ ウ ン ロ ー ド さ せ る ため
のパ ス を提供で き ます。 8- 21 ページの 「802.1x Open
VLAN モー ド 」 を参照 し て く だ さ い。
8-17
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
[auth-vid < vid >
既存の ス タ テ ィ ッ ク VLAN を認可 ク ラ イ ア ン ト VLAN
に設定 し ます。 8- 21 ページの 「802.1x Open VLAN
モー ド 」 を参照 し て く だ さ い。
aaa port-access authenticator < port-list >
[initialize]
特定のポー ト で、 イ ンバ ウ ン ド お よ びア ウ ト バ ウ ン ド
ト ラ フ ィ ッ ク を ブ ロ ッ ク し て、 802.1x 認証プ ロ セ ス を
再起動 し ます。 こ れは [control auto] に設定 さ れてい
る ポー ト で、 802.1x オーセ ン テ ィ ケー タ と し て動作中
のポー ト のみに実行 さ れます。 注記 : 指定す る ポー ト
に [control authorized] お よ び [port-security] が設定 さ
れていて、 こ のポー ト が認可ア ド レ ス を学習 し ていた
場合、 ポー ト は こ のア ド レ ス を削除 し 、 その後受信 し
た最初のパケ ッ ト か ら 新 し いア ド レ ス を学習 し ます。
[reauthenticate]
( オーセ ン テ ィ ケー タ が 「HELD」 状態にな っ ていな
い限 り ) 強制的に再認証 し ます。
[clear-statistics]
オーセ ン テ ィ ケー タ の統計カ ウ ン タ を ク リ ア し ます。
8-18
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
2. 802.1x 認証方式の設定
こ の タ ス ク では、 サプ リ カ ン ト か ら の証明情報を 802.1x オーセ ン テ ィ ケー
タ と し て設定 さ れた ス イ ッ チが認証す る 方法を指定 し ます。
構文 :
aaa authentication port-access < local | eap-radius | chap-radius >
使用する RADIUS 認証の タ イ プ を決定 し ます。
local: サプ リ カ ン ト の認証に、 ス イ ッ チの ロ ーカル ユーザ
名 と パ ス ワー ド を使用 し ます。
eap-radius: EAP-RADIUS 認証を使用 し ます。 ( 使用す る
RADIUS サーバのマニ ュ アルを参照 し て く だ さ い。 )
chap-radius: CHAP-RADIUS (MD-5) 認証を使用 し ます。 ( 使
用す る RADIUS サーバのマニ ュ アルを参照 し て く だ さ い。 )
た と えば、 ス イ ッ チで 1 つま たは複数の EAP 対応 RADIUS サーバを使用 し
て 802.1x 認証を実行で き る よ う にす る には、 以下の よ う に し ます。
EAP-RADIUS 認証用
の設定 コ マ ン ド
EAP-RADIUS 認証用
に設定 さ れた 802.1x (
ポー ト ア ク セ ス )
図 8-3. 802.1x ( ポート アクセス ) 認証の例
8-19
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
ス イ ッ チ ポー ト を 802.1x オーセン テ ィ ケー タ と し て設定す る
3. RADIUS ホ ス ト IP ア ド レ ス の入力
認証方式に [eap-radius] ま たは [chap-radius] を選択す る 場合、 認証用に 1
~ 3 台の RADIUS サーバを ス イ ッ チに設定で き ます。 以下は基本的な コ マ
ン ド の構文です。 RADIUS サーバに関連す る すべての コ マ ン ド を参照す る
には、 5- 1 ページの 「RADIUS 認証お よ びア カ ウ ン テ ィ ン グ」 を参照 し て
く だ さ い。
構文 :
radius host < ip-address >
サーバを RADIUS の設定に追加 し ます。
[key < server-specific key-string >]
オプシ ョ ン。 指定 し たサーバでの認証 ( ま たはア カ ウ
ン テ ィ ン グ ) セ ッ シ ョ ン中に使用す る 暗号キーを指定
し ます。 こ のキーは、 RADIUS サーバで使用 さ れ る
キー と 一致 し なければな り ません。 グ ロ ーバル暗号
キー と は別のキーを サーバに指定す る場合のみ こ のオ
プシ ョ ン を使用 し ます。
radius-server key < global key-string >
ス イ ッ チがサーバ固有のキーを持たないサーバ と の
セ ッ シ ョ ンで使用す る グ ロ ーバル暗号キーを指定 し ま
す。 radius host コ マ ン ド ですべての RADIUS サーバに
サーバ固有の暗証キーを設定 し てい る場合は、 グ ロ ー
バル暗号キーを設定す る必要はあ り ません。
4. ス イ ッ チで 802.1x 認証を有効にす る
前述の 4 つの項で説明 さ れてい る よ う に 802.1x 認証を設定 し た後、 以下の
コ マ ン ド で認証機能を ア ク テ ィ ブに し ます。
構文 :
aaa port-access authenticator active
オーセ ン テ ィ ケー タ と し て設定 し たポー ト で 802.1x ポー ト
ア ク セ ス を ア ク テ ィ ブに し ます。
8-20
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x Open VLAN モー ド
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカント コマンド
8- 36 ページ
802.1x Open VLAN モード コマンド
[no] aaa port-access authenticator [e] < port-list >
8- 31 ページ
[auth-vid < vlan-id >]
[unauth-vid < vlan-id >]
802.1x 関連の show コマンド
8- 39 ページ
RADIUS サーバの設定
8- 20 ページ
こ の項では、 802.1x オーセ ン テ ィ ケー タ と し て設定 し たポー ト に未認可 ク
ラ イ ア ン ト と 認可 ク ラ イ ア ン ト VLAN を設定す る 、 802.1x Open VLAN モー
ド の使用方法について説明 し ます。
は じ めに
ポー ト に 802.1x Open VLAN モー ド を設定す る と 、 新 し い ク ラ イ ア ン ト を
検出 し た際のポー ト の応答方法が変わ り ます。 以前の リ リ ース では、
802.1x サプ リ カ ン ト ソ フ ト ウ ェ ア を実行 し ていない 「フ レ ン ド リ 」 ク ラ イ
ア ン ト コ ン ピ ュ ー タ は、 802.1x ア ク セ ス セ キ ュ リ テ ィ で保護 さ れたポー
ト では認証で き ませんで し た。 ポー ト がブ ロ ッ ク さ れ、 ク ラ イ ア ン ト は
ネ ッ ト ワー ク にア ク セ ス で き ず、 その結果、 以下の よ う な こ と が実行で き
ませんで し た。
■
DHCP サーバか ら の IP ア ド レ ス の取得
■
認証セ ッ シ ョ ンに必要な 802.1x サプ リ カ ン ト ソ フ ト ウ ェ アのダ ウ
ン ロー ド
802.1x Open VLAN モー ド では、 ポー ト の静的な タ グ付お よ び タ グ無 VLAN
の メ ンバシ ッ プ を一時的に無効に し 、 こ のポー ト を、 指定 さ れた 未許可 ク
ラ イ ア ン ト VLAN に配置す る こ と で、 こ の問題を解決 し ます。 こ れに よ
り 、 ク ラ イ ア ン ト は IP ア ド レ スや 802.1x ソ フ ト ウ ェ アの取得、 お よ び認
証プ ロ セ ス が開始で き る よ う な初期設定用サービ ス を開始で き ます。
802.1x に よ る ク ラ イ ア ン ト 認証に成功す る と 、 ポー ト は未許可 ク ラ イ ア ン
ト VLAN ( タ グ無 ) の一時的な メ ンバシ ッ プ を廃棄 し 、 タ グ無 メ ンバ と し て
次の いずれか に参加 ( 再参加 ) し ます。
8-21
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
1.
第 1 優先 : ポー ト は、 RADIUS サーバが認証プ ロ セ ス で割 り 当て る
VLAN に参加 し ます。
2.
第 2 優先 : RADIUS 認証でポー ト に VLAN が割 り 当て ら れなか っ た場
合、 ス イ ッ チは、 認証ポー ト の 802.1x 設定に 認可 ク ラ イ ア ン ト VLAN
が設定 さ れていれば、 その VLAN を ポー ト に割 り 当て ます。
3.
第 3 優先 : ポー ト に認可 ク ラ イ ア ン ト VLAN は設定 さ れていないが、
静的な タ グ付 メ ンバシ ッ プが設定 さ れてい る 場合、 ス イ ッ チは こ の
VLAN にポー ト を割 り 当て ます。
ポー ト に上記のいずれ も 設定 さ れていない場合、 認証ポー ト は少な く と も
1 つの ス タ テ ィ ッ ク VLAN の タ グ付 メ ンバに設定 さ れてい る はずです。 ク
ラ イ ア ン ト が タ グ付 VLAN での動作をサポー ト し ていれば、 その VLAN に
ア ク セ ス で き ます。 そ う でない場合、 接続は失敗 し ます。
注記
ク ラ イ ア ン ト 認証の完了後、 ポー ト は設定 さ れてい る 任意の タ グ付 VLAN
の メ ンバシ ッ プ を再開 し ます。 ポー ト が上記の 1 ま たは 2 と し て用い ら れ
てい る タ グ付 VLAN に属 し てい る場合、 ク ラ イ ア ン ト が接続 さ れてい る
間、 ポー ト はその VLAN の タ グ無 メ ンバ と し て動作 し ます。 ク ラ イ ア ン ト
が切断 さ れ る と 、 ポー ト は こ の VLAN の タ グ付 メ ンバシ ッ プに戻 り ます。
802.1x Open VLAN モー ド モデルを使用す る
複数の方法で 802.1x Open VLAN モー ド を適用で き ます。 使用方法に よ っ
ては、 ス イ ッ チに各 802.1x Open VLAN モー ド 認証専用の 1 つま たは 2 つ
の ス タ テ ィ ッ ク VLAN を作成す る必要があ り ます。
8-22
■
未認可クライアントVLAN: 未認証の フ レ ン ド リ ク ラ イ ア ン ト が認
証 さ れ る 前にア ク セ ス し なければな ら ないサービ ス がい く つかあ
る 場合、 こ の VLAN を設定 し ます。
■
認可クライアント VLAN: 認証ポー ト が ク ラ イ ア ン ト 向けの タ グ無
メ ンバ と し て静的に設定 さ れていない場合、 も し く は認証ポー ト
が ク ラ イ ア ン ト 向けではない タ グ無 メ ンバ と し て設定 さ れてい る
場合に、 認証済 ク ラ イ ア ン ト 用 と し て こ の VLAN を設定 し ます。
(1 つのポー ト に設定で き る タ グ無 VLAN は 1 つのみです。 認可 ク
ラ イ ア ン ト VLAN は常に タ グ無 メ ンバで、 ポー ト に静的に設定 さ
れてい る 別の タ グ無 VLAN か ら のポー ト の使用を ブ ロ ッ ク し ます。
) ク ラ イ ア ン ト 認証の完了後、 ポー ト は設定 さ れてい る 任意の タ グ
付 VLAN の メ ンバシ ッ プに戻 る こ と に注意 し て く だ さ い。 上の
「注記」 を参照 し て く だ さ い。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
Table 8-1. 802.1x Open VLAN モード オプション
802.1x ポートごとの設定
ポートの応答
Open VLAN モー ド
なし :
ポー ト は認証セ ッ シ ョ ン を開始で き ない ク ラ イ ア ン ト を自
動的にブ ロ ッ ク し ます。
以下の両方が設定 さ れてい る Open VLAN モー ド :
未認可ク ラ イ ア ン ト
VLAN:
• ポー ト が ク ラ イ ア ン ト を検出 し た場合、 ポー ト は自動的
に こ の VLAN の タ グ無 メ ンバにな り ます。 あ らか じ め
ポー ト が VLAN の静的な タ グ付 メ ンバ と し て設定 さ れて
い る場合、 ク ラ イ ア ン ト が認証 さ れる ま での間、 メ ンバ
シ ッ プは一時的に タ グ無に変更 さ れます。
• 既にポー ト が別の VLAN の タ グ無 メ ンバ と し て静的に設定
さ れている場合、 ポー ト が未認可 ク ラ イ ア ン ト VLAN に
設定 さ れてい る間、 一時的に他の VLAN へのア ク セス を
ク ロ ーズ し ます。
• セキ ュ リ テ ィ リ ス ク を抑制する ために、 未認可 ク ラ イ ア
ン ト VLAN で提供する ネ ッ ト ワー ク サービ スお よびア ク
セスは、 ク ラ イ ア ン ト が認証セ ッ シ ョ ン を開始するのに
必要な ものだけに留めて く だ さ い。 またポー ト が他の
VLAN の タ グ付 メ ンバ と し て静的に設定 さ れてい る場合、
ポー ト が未認可 ク ラ イ ア ン ト VLAN の メ ンバであ る間は、
これ らの VLAN へのア ク セスはブ ロ ッ ク さ れます。
認可 ク ラ イ ア ン ト VLAN: ・ ク ラ イ ア ン ト が認証 さ れた ら、 ポー ト は未認可ク ラ イ ア
ン ト VLAN の メ ンバシ ッ プ を破棄 し 、 この VLAN の タ グ
無 メ ンバにな り ます。
注記 : RADIUS 認証で VLAN が割 り 当て られる場合、 ク ラ
イ ア ン ト が接続 さ れている間、 ポー ト は一時的に認可ク
ラ イ ア ン ト VLAN の代わ り に RADIUS から 割 り 当て られた
VLAN の メ ンバにな り ます。
・ ポー ト が VLAN の タ グ付 メ ンバ と し て静的に設定 さ れて
いて、 この VLAN が認可ク ラ イ ア ン ト VLAN と し て使用
さ れてい る場合、 ク ラ イ ア ン ト が認証 さ れる際にポー ト
は一時的に こ の VLAN の タ グ無 メ ンバにな り ます。 ク ラ
イ ア ン ト が切断 さ れる と 、 ポー ト は こ の VLAN の タ グ付
メ ンバシ ッ プに戻 り ます。
・ ポー ト が 802.1x Open VLAN モー ド に使用 さ れない VLAN
の タ グ付 メ ンバ と し て静的に設定 さ れてい る場合、 ポー
ト は認証に成功 し 次第、 こ の VLAN の タ グ付 メ ンバシ ッ
プに戻 り ます。 こ れは、 RADIUS サーバがポー ト を別の認
可 VLAN に割 り 当てた場合で も同様です。 ポー ト が VLAN
の タ グ付 メ ンバ と し てすでに設定 さ れていて、 この VLAN
が RADIUS に よ っ て認可 VLAN と し て割 り 当て られてい
る場合、 ク ラ イ ア ン ト の接続中、 ポー ト は こ の VLAN の
タ グ無 メ ンバにな り ます。 ク ラ イ ア ン ト が切断 さ れる と 、
ポー ト は こ の VLAN の タ グ付 メ ンバシ ッ プに戻 り ます。
8-23
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x ポートごとの設定
ポートの応答
未認可クライアント VLAN のみが設定 さ れてい る Open VLAN モー ド
• ポー ト が ク ラ イ ア ン ト を検出 し た場合、 ポー ト は自動的に
この VLAN の タ グ無 メ ンバにな り ます。 セキ ュ リ テ ィ リ ス
ク を軽減する ために、 未認可ク ラ イ ア ン ト VLAN で提供す
る ネ ッ ト ワー ク サービ スお よびア ク セスは、ク ラ イ ア ン ト
が認証セ ッ シ ョ ン を 開始す る のに必要な も のだ け に留め
て く だ さ い。 既にポー ト が別の VLAN の タ グ無 メ ンバ と し
て静的に設定 さ れてい る場合、 ス イ ッ チは未認可 ク ラ イ ア
ン ト VLAN に メ ンバシ ッ プが存在する間、 一時的に こ の他
の VLAN の メ ンバシ ッ プか ら ポー ト を削除 し ます。
• ク ラ イ ア ン ト が認証 さ れた後に、 ポー ト が他の VLAN の タ
グ無 メ ンバ と し て静的に設定 さ れた場合、 こ の他の VLAN
へのポー ト ア ク セスは復元 さ れます。
注記 : RADIUS 認証でポー ト に VLAN が割 り 当て られる場
合、 ( ク ラ イ ア ン ト が接続 さ れている間 ) こ の割 り 当ては、
このポー ト に静的に設定 さ れてい る タ グ無 VLAN メ ンバ
シ ッ プ を無効に し ます。
• ポー ト が 802.1x Open VLAN モー ド に使用 さ れない VLAN の
タ グ付 メ ンバ と し て静的に設定 さ れてい る場合、 ポー ト は
ク ラ イ ア ン ト 認証に成功 し 次第、 こ の VLAN の タ グ付 メ ン
バシ ッ プに戻 り ます。 こ れは、 RADIUS サーバがポー ト を
別の認可 VLAN に割 り 当てた場合で も同様です。 ポー ト が
VLAN の タ グ付 メ ンバ と し てすでに設定 さ れていて、 こ の
VLAN が認可 VLAN と し て割 り 当て られてい る場合、 ク ラ
イ ア ン ト の接続中、 ポー ト は こ の VLAN の タ グ無 メ ンバに
な る こ と に注意 し て く だ さ い。 ク ラ イ ア ン ト が切断 さ れる
と 、ポー ト は こ のVLANの タ グ付 メ ンバシ ッ プに戻 り ます。
8-24
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x ポートごとの設定
ポートの応答
認可クライアント VLAN のみが設定 さ れてい る Open VLAN モー ド
• ポー ト は認証セ ッ シ ョ ン を開始で き ない ク ラ イ ア ン ト を
自動的にブ ロ ッ ク し ます。
• ク ラ イ ア ン ト が正常に認証セ ッ シ ョ ン を終了する と 、
ポー ト は こ の VLAN の タ グ無 メ ンバ と な り ます。
注記 : RADIUS 認証で VLAN が割 り 当て られる場合、 ク ラ
イ ア ン ト が接続 さ れている間、 ポー ト は一時的に認可ク
ラ イ ア ン ト VLAN の代わ り に RADIUS か ら割 り 当て ら れ
た VLAN の タ グ無 メ ンバにな り ます。
• ポー ト が他の VLAN の タ グ付 メ ンバ と し て静的に設定 さ れ
ている場合、 ポー ト は ク ラ イ ア ン ト 認証に成功 し 次第、
この VLAN の タ グ付 メ ンバシ ッ プに戻 り ます。 こ れは、
RADIUS サーバがポー ト を別の認可 VLAN に割 り 当てた場
合で も同様です。 ポー ト が VLAN の タ グ付 メ ンバ と し て
すでに設定 さ れていて、 こ の VLAN が RADIUS に よ っ て
認可 VLAN と し て割 り 当て られてい る場合、 ク ラ イ ア ン
ト の接続中、 ポー ト は こ の VLAN の タ グ無 メ ンバにな り
ます。 ク ラ イ ア ン ト が切断 さ れる と 、 ポー ト は この VLAN
の タ グ付 メ ンバシ ッ プに戻 り ます。
8-25
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
認可 ク ラ イ ア ン ト お よ び未認可 ク ラ イ ア ン ト VLAN
の動作ルール
状態
規則
認可 ク ラ イ ア ン ト または未認可
ク ラ イ ア ン ト VLAN と し て使用
802.1x オーセ ン テ ィ ケー タ ポー ト を設定 し て こ れらの VLAN
を使用する前に、 これ らの VLAN を ス イ ッ チに設定する必要
があ り ます。 (vlan < vlan-id > コ マ ン ド を使用するか、 メ
ニ ュ ー イ ン タ フ ェ ースの [VLAN Menu] 画面を使用 し ます。 )
する ス タ テ ィ ッ ク VLAN
RADIUS サーバか ら受信 し た
VLAN 割 り 当て
RADIUS サーバが 802.1x オーセ ン テ ィ ケー タ ポー ト に接続 さ
れてい る認証済サプ リ カ ン ト に VLAN を指定する場合、 オー
セ ン テ ィ ケー タ ポー ト に設定 さ れてい る認可 ク ラ イ ア ン ト
VLAN よ り も、 こ ち らの VLAN の割 り 当てが優先 さ れます。
こ れは、 両方の VLAN が タ グ無で、 ス イ ッ チはポー ト ご と に
タ グ無 VLAN を 1 つのみ許可する ためです。 た と えば、 ポー
ト A4 を VLAN 20 の認証済サプ リ カ ン ト に設定 し た と し ます。
RADIUS サーバがサプ リ カ ン ト 「A」 を認証 し 、 こ のサプ リ カ
ン ト を VLAN 50 に割 り 当て る と 、 ポー ト はク ラ イ ア ン ト セ ッ
シ ョ ン中は タ グ無 メ ンバ と し て VLAN 50 にア ク セスで き ま
す。 ク ラ イ ア ン ト がポー ト か ら切断 さ れた場合、 ポー ト は こ
の割 り 当て を破棄 し て、 このポー ト 用に静的に設定 さ れてい
る タ グ無 VLAN メ ンバシ ッ プ を使用 し ます。 ( ク ラ イ ア ン ト
認証の完了後、 ポー ト は設定 さ れてい る任意の タ グ付 VLAN
の メ ンバシ ッ プ を再開 し ます。 詳細は、 8- 22 ページの 「注
記」 を参照 し て く だ さ い。 )
ク ラ イ ア ン ト セ ッ シ ョ ン中の一
時的な VLAN メ ンバシ ッ プ
• 未認可 ク ラ イ ア ン ト VLAN と し て動作する よ う に割 り 当て
ら れる VLAN のポー ト メ ンバシ ッ プは一時的な もので、 ク
ラ イ ア ン ト が認証を受け るか、 ク ラ イ ア ン ト がポー ト か ら
切断 さ れる と 終了 し ます。
• 認可ク ラ イ ア ン ト VLAN と し て動作する よ う に割 り 当て ら
れる VLAN のポー ト メ ンバシ ッ プ も 一時的な もので、 ク ラ
イ ア ン ト がポー ト か ら切断 さ れる と 終了 し ます。 RADIUS
サーバか らの VLAN 割 り 当てが代わ り に使用 さ れる場合
も 、 同 じ 規則が適用 さ れます。
タ グ無ポー ト VLAN メ ンバシ ッ
プへの未認可 ク ラ イ ア ン ト VLAN
セ ッ シ ョ ンの影響
• 既に静的な タ グ無 VLAN に設定 さ れてい るポー ト に未認可
ク ラ イ ア ン ト を接続する と 、 ス イ ッ チは一時的に ( タ グ無
の ) 未認可ク ラ イ ア ン ト VLAN にポー ト を設定 し ます。 ( 未
認可ク ラ イ ア ン ト VLAN が使用中の間は、 ポー ト は静的な
タ グ無 VLAN にはア ク セスで き ません。
• ク ラ イ ア ン ト が認証 さ れた、 または切断 さ れた場合、 ポー
ト は未認可ク ラ イ ア ン ト VLAN か ら離れて静的に設定 さ れ
た VLAN の タ グ無 メ ンバシ ッ プ を再取得 し ます。
8-26
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
状態
規則
タ グ無ポー ト VLAN メ ンバシ ッ
プへの認可 ク ラ イ ア ン ト VLAN
セ ッ シ ョ ンの影響
• 既に静的な タ グ無 VLAN に設定 さ れてい るポー ト の認可ク
ラ イ ア ン ト にな っ た場合、 ス イ ッ チは一時的にポー ト を (
タ グ無の ) 認可ク ラ イ ア ン ト VLAN に設定 し ます。 認可 ク
ラ イ ア ン ト VLAN が使用中の間は、 ポー ト は静的に設定 さ
れた タ グ無 VLAN にはア ク セス で き ません。
• 認証済の ク ラ イ ア ン ト が切断 さ れる と 、 ス イ ッ チは認可 ク
ラ イ ア ン ト VLAN か ら ポー ト を削除 し て、 ポー ト を静的に
設定 さ れてい る VLAN 内の タ グ無 メ ンバシ ッ プに戻 し ま
す。 ( ク ラ イ ア ン ト 認証の完了後、 ポー ト は設定 さ れてい
る任意の タ グ付 VLAN の メ ンバシ ッ プ を再開 し ます。 詳細
は、 8- 22 ページの 「注記」 を参照 し て く だ さ い。 )
複数のオーセ ン テ ィ ケー タ ポー
ト が同 じ 未認可ク ラ イ ア ン ト お
よ び認可ク ラ イ ア ン ト VLAN を
使用する
ス イ ッ チに設定 さ れてい るすべての 802.1x オーセ ン テ ィ ケー
タ ポー ト に対 し て、 同 じ ス タ テ ィ ッ ク VLAN を未認可ク ラ イ
ア ン ト VLAN と し て設定で き ます。 同様に、 ス イ ッ チに設定
さ れている すべての 802.1x オーセ ン テ ィ ケー タ ポー ト に対 し
て、 同 じ ス タ テ ィ ッ ク VLAN を認可 ク ラ イ ア ン ト VLAN と し
て設定で き ます。
CAUTION: 未認可 と 認可ク ラ イ ア ン ト VLAN で同 じ ス タ
テ ィ ッ ク VLAN を使用 し ないで く だ さ い。 両方で 1 つの
VLAN を使用する と 、 未認可ク ラ イ ア ン ト を隔離で き な く な
り 、 セキ ュ リ テ ィ リ ス クが生 じ ます。
失敗 し た ク ラ イ ア ン ト 認証試行
の影響
802.1x オーセ ン テ ィ ケー タ ポー ト に未認可ク ラ イ ア ン ト
VLAN が設定 さ れてい る場合、 ポー ト に接続 さ れてい る未認
可 ク ラ イ ア ン ト は、 未認可 ク ラ イ ア ン ト VLAN に所属する
ネ ッ ト ワー ク リ ソ ースのみにア ク セス で き ます。 ク ラ イ ア ン
ト がポー ト か ら切断 さ れる ま で、 こ のア ク セスは継続 さ れま
す。 ( オーセ ン テ ィ ケー タ ポー ト に未認可ク ラ イ ア ン ト
VLAN が設定 さ れていない場合、 ポー ト は単に認証 さ れてい
ない未認可ク ラ イ ア ン ト のア ク セス を ブ ロ ッ ク し ます。 )
802.1x Open VLAN モー ド に設定
さ れてい るポー ト に接続する ク
ラ イ ア ン ト の IP ア ド レ ス
ク ラ イ ア ン ト は、 DHCP サーバから 取得 し た IP ア ド レ スか、
ス イ ッ チに接続する前にあ らか じ め手動で設定 さ れた IP ア
ド レ スのど ち らかを使用で き ます。
802.1x Open VLAN モー ド に設定
さ れてい るポー ト に接続する ク
ラ イ ア ン ト の 802.1x サプ リ カ ン
ト ソフ トウェア
802.1x サプ リ カ ン ト ソ フ ト ウ ェ アを持たないフ レ ン ド リ ク ラ イ
アン ト をオーセンテ ィ ケータ ポー ト に接続する場合は、 認証が
開始でき るよ う に未認可ク ラ イアン ト VLANから このソ フ ト ウ ェ
アをダウンロー ド でき るよ う にな っ ている必要があ り ます。
注記
すべてのオーセンテ ィ ケータ ポー ト に、 同一の未認可ク ラ イ アン ト VLAN を
設定する と 、 別のポー ト の未認証ク ラ イ ア ン ト と 互いに通信で き る よ う にな
り ます。 こ の と き、 ス イ ッ チの ソ ース ポー ト フ ィ ルタ リ ン グ機能を用いる こ
と で、 オーセンテ ィ ケータ ポー ト 間のセキ ュ リ テ ィ を強化で き ます。 た と え
ば、 同じ未認可ク ラ イ アン ト VLAN のオーセンテ ィ ケータ ポー ト と し てポー
ト B1 と B2 を使用し ている場合、 ポー ト B1 に ソ ース ポー ト フ ィ ルタ を設定
し て、 ポー ト B2 と 送受信するすべてのパケ ッ ト を破棄する こ と がで き ます。
8-27
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x Open VLAN モー ド の設定 と 構成
準備。こ の項では、 未認可 ク ラ イ ア ン ト お よ び認可 ク ラ イ ア ン ト VLAN の
両方を使用す る も の と し ます。 他のオプシ ョ ン については、 8-23 ページの
表 8-1 を参照 し て く だ さ い。 )
802.1x Open VLAN モー ド を ポー ト に設定す る 前に、 以下の こ と を実行 し ま
す。
■
CAUTION
ス イ ッ チに 「未認可 ク ラ イ ア ン ト VLAN」 を静的に設定 し ます。 こ
の VLAN に所属す る ポー ト は、未認証 ク ラ イ ア ン ト が使用す る サー
ビ スへのア ク セ ス を提供する ポー ト のみです。(802.1x オーセ ン テ ィ
ケー タ ポー ト を こ の VLAN の メ ンバにす る 必要はあ り ません。 )
こ の VLAN で、 未認可 ク ラ イ ア ン ト に さ ら す と セ キ ュ リ テ ィ リ ス ク が生 じ
る よ う なポー ト メ ンバシ ッ プやネ ッ ト ワー ク サービ ス は提供 し ないで く
だ さ い。
■
ス イ ッ チに認可 ク ラ イ ア ン ト VLAN を静的に設定 し ます。 こ の
VLAN に所属す る ポー ト は、 認証 ク ラ イ ア ン ト が利用す る サービ
スへのア ク セ ス を提供す る ポー ト のみです。 802.1x オーセ ン テ ィ
ケー タ ポー ト を こ の VLAN の メ ンバにす る 必要はあ り ません。
802.1x オーセ ン テ ィ ケー タ ポー ト が他の VLAN の タ グ無 メ ンバであ る
場合、 認証 ク ラ イ ア ン ト がポー ト に接続 さ れてい る 間、 こ の タ グ無
VLAN へのポー ト ア ク セ ス は一時的に削除 さ れ る こ と に注意 し て く だ
さ い。 た と えば以下の よ う な場合です。
i. ポー ト A5 が VLAN 1 ( デフ ォ ル ト VLAN) の タ グ無 メ ンバ
ii. ポー ト A5 を 802.1x オーセ ン テ ィ ケー タ ポー ト と し て設定す る
iii. ポー ト A5 に認可 ク ラ イ ア ン ト VLAN を設定す る
次に、 ク ラ イ ア ン ト がポー ト A5 に接続 さ れていて認証済の場合、
ポー ト A5 は認可 ク ラ イ ア ン ト VLAN の タ グ無 メ ンバ と な り 、 一時的
にデフ ォ ル ト VLAN の メ ンバシ ッ プか ら 外れ ます。
8-28
■
802.1x サプ リ カ ン ト ソ フ ト ウ ェ ア を持たない フ レ ン ド リ ク ラ イ ア
ン ト を接続す る 場合、 802.1x サプ リ カ ン ト ソ フ ト ウ ェ ア を ク ラ イ
ア ン ト にダ ウ ン ロ ー ド さ せる ためのサーバを未認可 ク ラ イ ア ン ト
VLAN 内に配置 し 、 ク ラ イ ア ン ト がダ ウ ン ロ ー ド を開始で き る よ
う に し ます。
■
ク ラ イ ア ン ト は、 ス イ ッ チへの接続前に有効な IP ア ド レ ス があ ら
か じ め設定 さ れてい る か、 も し く は未認可 ク ラ イ ア ン ト VLAN を
介 し て DHCP サーバか ら IP ア ド レ ス を取得す る 必要があ り ます。
後者の場合、 未認可 ク ラ イ ア ン ト VLAN の ク ラ イ ア ン ト に対 し て
DHCP サービ ス を提供す る 必要があ り ます。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
■
802.1x オーセ ン テ ィ ケー タ と し て設定 さ れてい る ポー ト を介 し て
受け取 る ク ラ イ ア ン ト か ら の認証要求を処理す る RADIUS サーバ
が、 ス イ ッ チに接続 さ れてい る こ と を確認 し ます。 (RADIUS サーバ
は未認可 ク ラ イ ア ン ト VLAN に所属 し ない よ う に し ます。 )
RADIUS 認証の代わ り にローカル パス ワード 認証を使用する よ う にス イ ッ
チを設定で き る こ と に注意し て く だ さ い。 ただ し、 すべての ク ラ イ アン ト
が同じパス ワード を使用し同じ ア ク セス権限を持つこ と にな り 、 あ ま り 望
ま し く あ り ません。 また、 ス イ ッ チの ローカル パス ワード の使用をサポー
ト する 802.1x サプ リ カン ト ソ フ ト ウ ェ アを使用し なければな り ません。
CAUTION
未認可 ク ラ イ ア ン ト がア ク セ スする と セ キ ュ リ テ ィ が侵害 さ れ る 可能性の
あ る ネ ッ ト ワー ク サービ ス、 お よ び リ ソ ースへ未認可 ク ラ イ ア ン ト VLAN
か ら ア ク セ ス で き ない よ う に し て く だ さ い。
基本的な 802.1x オペレーションの設定。802.1x VLAN オペレーシ ョ ン を設
定す る 前に、 こ れ ら の手順で 802.1x 認証を有効に し 設定を完了す る 必要が
あ り ます。
1. オーセン ティ ケ ータ と し て機能さ せる 個々のポート で 802.1x認証を 有効
にし ま す。 ( ス イ ッ チは自動的に、 802.1x を 有効にし たポート の LACP
を 無効にし ま す。) オーセン ティ ケ ータ に Open VLAN の設定を する ポー
ト のポート 制御パラ メ ータ が、 [auto] に設定さ れている こ と を 確認し て
く ださ い。 (8- 15 ページの「 1. 選択し たポート で 802.1x 認証を 有効にす
る 」 を 参照し てく ださ い。 ) こ の設定では、 (802.1x サプリ カ ン ト オペ
レ ーショ ン の ) 802.1x 認証を サポート し 、ネッ ト ワ ーク ア ク セス を 取得
する ための有効な証明情報を 提供でき る ク ラ イ ア ン ト が必要です。
構文 :
aaa port-access authenticator e < port-list > control auto
オーセ ン テ ィ ケー タ と し て設定 し たポー ト で 802.1x ポー ト
ア ク セ ス を ア ク テ ィ ブに し ます。
2. 802.1x 認証方式を 設定し ま す。 オプシ ョ ン には次のも のがあ り ま す。
構文 :
aaa authentication port-access < local | eap-radius | chap-radius >
使用する RADIUS 認証の タ イ プ を決定 し ます。
local: サプ リ カ ン ト 認証に、 ス イ ッ チの ロ ーカル ユーザ名
と パ ス ワー ド を使用 し ます ( デフ ォ ル ト )。
eap-radius: EAP-RADIUS 認証を使用 し ます。 ( 使用す る
RADIUS サーバのマニ ュ アルを参照 し て く だ さ い。 )
chap-radius: CHAP-RADIUS (MD-5) 認証を使用 し ます。 ( 使
用す る RADIUS サーバ ソ フ ト ウ ェ アのマニ ュ アルを参
照 し て く だ さ い。 )
8-29
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
3. 手順 2 で [eap-radius] ま た は [chap-radius] を 選択し た 場合、 radius
host コ マン ド を 使用し て 最大 3 つの RADIUS サーバの IP ア ド レ ス を
ス イ ッ チに設定でき ま す。
構文 :
radius host < ip-address >
サーバを RADIUS の設定に追加 し ます。
[key < server-specific key-string >]
オプシ ョ ン。 指定 し たサーバで使用す る 暗号キーを指
定 し ます。 こ のキーは、 RADIUS サーバで使用 さ れ る
キー と 一致 し なければな り ません。 グ ロ ーバル暗号
キー と は別のキーを サーバに指定す る場合のみ こ のオ
プシ ョ ン を使用 し ます。
radius-server key < global key-string >
ス イ ッ チがサーバ固有のキーを持たないサーバ と の
セ ッ シ ョ ンで使用す る グ ロ ーバル暗号キーを指定 し ま
す。 radius host コ マ ン ド ですべての RADIUS サーバに
サーバ固有の暗証キーを設定 し てい る場合は、 グ ロ ー
バル暗号キーを設定す る必要はあ り ません。
4. ス イ ッ チで 802.1x 認証を ア ク テ ィ ブにし ま す。
構文 :
aaa port-access authenticator active
オーセ ン テ ィ ケー タ と し て設定 し たポー ト で 802.1x
ポー ト ア ク セ ス を ア ク テ ィ ブに し ます。
5. ポート ア ク セス を 設定し た ポート で 802.1x 認証が適切に機能する こ
と を 確認する た めに、 シ ス テ ム への認可ア ク セス と 未認可ア ク セス の
両方のテ ス ト を 行いま す。
注記
ス イ ッ チでオプシ ョ ンのポー ト セキ ュ リ テ ィ 機能を実装す る場合、 まず
802.1x オーセ ン テ ィ ケー タ と し て設定 さ れたポー ト が正 し く 動作す る こ と
を確認 し ます。 次に、 8- 33 ページの 「オーセ ン テ ィ ケー タ ポー ト のオプ
シ ョ ン : 802.1x 機器でのみ許可 さ れ る ポー ト セキ ュ リ テ ィ の設定」 を参照
し て く だ さ い。
手順 1 ~ 5 を 終了する と 、 設定し たポート の (VLAN オペレ ーショ ン なし で )
802.1x 認証が有効になり 、 こ れで VLAN オペレ ーショ ン の設定準備は完了で
す。
8-30
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x Open VLAN モードの設定。こ れ ら の コ マ ン ド を 使用 し て実際に
Open VLAN モー ド を設定 し ます。Open VLAN モー ド を使用す る ス イ ッ チの
準備に必要な手順の一覧については、 8- 28 ページの 「準備」 を参照 し て く
だ さ い。
構文 :
aaa port-access authenticator [e] < port-list >
[auth-vid < vlan-id >]
既存のス タ テ ィ ッ ク VLAN を認可 ク ラ イ ア ン ト VLAN に
設定 し ます。
[< unauth-vid < vlan-id >]
既存のス タ テ ィ ッ ク VLAN を未認可ク ラ イ ア ン ト VLAN
に設定 し ます。
た と えば、ポー ト A10 ~ A20 に Open VLAN モー ド の 802.1x ポー ト ア ク セ
ス を設定 し ます。
■
こ れ ら の 2 つの ス タ テ ィ ッ ク VLAN は既に ス イ ッ チに存在 し ます。
•
•
未認可、 VID = 80
認可、 VID = 81
■
使用す る RADIUS サーバの IP ア ド レ ス は 10.28.127.101 です。サーバ
固有のキー文字列 と し て rad4all を使用 し ます。 サーバはデフ ォ ル
ト VLAN のポー ト に接続 さ れてい ます。
■
ス イ ッ チのデフ ォ ル ト VLAN には既に IP ア ド レ ス 10.28.127.100 と
ネ ッ ト ワー ク マ ス ク 255.255.255.0 が設定 さ れてい ます。
ProCurve(config)# aaa authentication port-access eap-radius
ス イ ッ チに EAP-RADIUS サーバを使用する 802.1x 認証を設定 し ます。
ProCurve(config)# aaa port-access authenticator a10-a20
ポー ト A10 ~ A20 を 802.1x オーセ ン テ ィ ケー タ ポー ト と し て設定 し ます。
ProCurve(config)# radius host 10.28.127.101 key rad4all
IP ア ド レ ス 10.28.127.101、 暗号キー rad4all の RADIUS サーバを検索する よ う にス
イ ッ チ を設定 し ます。
ProCurve(config)# aaa port-access authenticator e a10-a20 unauth-vid 80
未認可ク ラ イアン ト VLAN と し てVLAN 80を使用する よ う にポー ト A10 ~ A20を設定し ます。
ProCurve(config)# aaa port-access authenticator e a10-a20 auth-vid 81
認可ク ラ イ アン ト VLAN と し て VLAN 81 を使用するよ う にポー ト A10 ~ A20 を設定し ます。
ProCurve(config)# aaa port-access authenticator active
オーセンテ ィ ケータ と し て設定し たポー ト で 802.1xポー ト ア クセスをア ク テ ィ ブに し ます。
8-31
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x Open VLAN モー ド
802.1x Open VLAN モード オペレーションの検査。 現在の Open VLAN
モー ド オペレーシ ョ ン の表示に関す る 情報 と 例については、 8- 41 ページ
の 「802.1x Open VLAN モー ド の ス テー タ ス表示」 を参照 し て く だ さ い。
802.1x Open VLAN の運用上の注記
8-32
■
未認可 ク ラ イ ア ン ト VLAN と 認可 ク ラ イ ア ン ト VLAN の Open VLAN
モー ド は、 同 じ VLAN に設定で き ますが、 こ れはお勧め し ません 。
同 じ VLAN を使用す る と 、 認証 ク ラ イ ア ン ト のみを対象 と す る
VLAN に未認証 ク ラ イ ア ン ト のア ク セ ス を許可す る こ と にな り 、
セキ ュ リ テ ィ が損なわれます。
■
ポー ト で未認可 ク ラ イ ア ン ト VLAN が使用 さ れてい る間、ス イ ッ チ
は こ のポー ト が メ ンバ と し て静的に設定 さ れてい る 他の VLAN か
ら 一時的に こ のポー ト を削除 し ます。 こ の場合で も 、 メ ニ ュ ー イ
ン タ フ ェース には、 こ のポー ト に静的に設定 さ れた VLAN が表示
さ れ る こ と に注意 し て く だ さ い。
■
未認可 ク ラ イ ア ン ト VLAN と し て用い ら れてい る VLAN には、未認
可 ク ラ イ ア ン ト か ら 保護 し なければな ら ない リ ソ ースへのア ク セ
ス を許可 し ないで く だ さ い。
■
ポー ト が、 未認可 ク ラ イ ア ン ト VLAN、 認可 ク ラ イ ア ン ト VLAN、
ま たは RADIUS が割 り 当て る VLAN に使用 さ れない VLAN 「X」 の
タ グ付 メ ンバ と し て設定 さ れてい る場合、 ポー ト は ク ラ イ ア ン ト
認証に成功 し 次第、 VLAN 「X」 の タ グ付 メ ンバシ ッ プに戻 り ます。
こ れは、 RADIUS サーバがポー ト を別の認可 VLAN 「Y」 に割 り 当
てた場合で も 同様です。 RADIUS に よ っ て VLAN 「X」 が認可
VLAN と し て割 り 当て ら れてい る場合、 ク ラ イ ア ン ト の接続中、
ポー ト は VLAN 「X」 の タ グ無 メ ンバにな り ます。 ク ラ イ ア ン ト が
切断 さ れ る と 、 ポー ト は VLAN 「X」 の タ グ付 メ ンバシ ッ プに戻 り
ます。 ( 認可 ク ラ イ ア ン ト VLAN と RADIUS が割 り 当て る VLAN が
設定 さ れていなければ、 タ グ付 VLAN 機能を持た ない認証済 ク ラ
イ ア ン ト は、 ポー ト に静的に設定 さ れてい る タ グ無 VLAN に し か
ア ク セ ス で き ません。 )
■
未認可 ク ラ イ ア ン ト VLAN で ク ラ イ ア ン ト の認証試行が失敗 し た場
合、 ポー ト は、 ク ラ イ ア ン ト が切断 さ れ る ま で未認可 ク ラ イ ア ン
ト VLAN の メ ンバの ま ま です。
■
802.1x Open VLAN モー ド のポー ト で、認証セ ッ シ ョ ン中に RADIUS
が タ グ無 VLAN の メ ンバシ ッ プ を指定 し た場合、 こ の割 り 当ては
ポー ト に設定 さ れてい る 認可 ク ラ イ ア ン ト VLAN の メ ンバシ ッ プ
よ り も 優先 さ れます。 ポー ト に認可 ク ラ イ ア ン ト VLAN が設定 さ
れていない場合、 RADIUS の割 り 当ては、 静的に設定 さ れてい る い
かな る タ グ無 VLAN よ り も 優先 さ れます。
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
オーセン テ ィ ケー タ ポー ト のオプシ ョ ン : 802.1x 機器でのみ許可 さ れ る ポー ト セキ ュ リ テ ィ の設定
■
認証済 ク ラ イ ア ン ト が 802.1x Open VLAN モー ド のセ ッ シ ョ ン中に
認証を喪失 し た場合、 ポー ト の VLAN メ ンバシ ッ プは未認可 ク ラ
イ ア ン ト VLAN に戻 り ます。 未認可 ク ラ イ ア ン ト VLAN が設定 さ
れていない場合、 ク ラ イ ア ン ト は自身を再認証で き る よ う にな る
ま でポー ト へのア ク セ ス を喪失 し ます。
オーセ ン テ ィ ケー タ ポー ト のオプシ ョ
ン : 802.1x 機器でのみ許可 さ れ る ポー
ト セキ ュ リ テ ィ の設定
オーセ ン テ ィ ケー タ ポー ト でポー ト セキ ュ リ テ ィ を使用す る と 、 最初に
ポー ト で検出 さ れた 802.1x 対応機器の MAC ア ド レ ス のみを学習す る よ う
に設定で き ます。 その後は、 こ の特定の機器か ら の ト ラ フ ィ ッ ク のみが
ポー ト で許可 さ れ る よ う にな り ます。 こ の機器を ロ グオ フ し た場合は、 別
の 802.1x 対応機器を ポー ト で認証 さ せ る こ と がで き ます。
構文 :
port-security [ethernet] < port-list >
learn-mode port-access
ポー ト セキ ュ リ テ ィ を設定す る ポー ト を指定 し て、 最
初に検出 し た 802.1x 対応機器のみを許可す る よ う に し
ます。
action < none | send-alarm | send-disable >
( 未認可 ト ラ フ ィ ッ ク のブ ロ ッ ク に加えて ) 侵入者の検
知に対す る ポー ト の応答を設定 し ます。
注記
選択 し たポー ト が 802.1x に設定 さ れてい る ( つま り 、 ポー ト ア ク セ ス
オーセ ン テ ィ ケー タ コ マ ン ド の [control] モー ド が [auto] に設定 さ れてい
る ) 場合のみ、 ポー ト セ キ ュ リ テ ィ は前述の よ う に 802.1x 認証 と 連動 し て
動作 し ます。 た と えば、 ポー ト A10 を 802.1x オーセ ン テ ィ ケー タ に設定
し てその結果を表示す る 場合、 以下の コ マ ン ド を実行 し ます。
ProCurve(config)# aaa port-access authenticator e A10
control auto
ProCurve(config)# show port-access authenticator e A10
config
8-33
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
オーセ ン テ ィ ケー タ ポー ト のオプシ ョ ン : 802.1x 機器でのみ許可 さ れ る ポー ト セキ ュ リ テ ィ の設定
非 8 02 x 機 器 の
ブ ロッ ク に 関 す
る 注記
ポー ト の 802.1x オーセ ン テ ィ ケー タ [control] モー ド が ( 以下に示す よ う に
[auto] ではな く ) [authorized] に設定 さ れてい る 場合、 802.1x 対応、 未対応
にかかわ ら ず、 最初に ソ ース MAC ア ド レ ス を取得 し た機器がポー ト で唯
一の認可機器にな り ます。
aaa port-access authenticator < port-list > control authorized
802.1x 認証がポー ト で無効ま たは [authorized] ( 強制認可 ) に設定 さ れてい
る 場合、 そのポー ト で認可 さ せた く ない MAC ア ド レ ス を学習 し て し ま う
場合があ り ます。 こ の場合、 以下のいずれかのオプシ ョ ン を使用 し て未認
可の非 802.1x 機器に よ る ア ク セ ス をブ ロ ッ ク で き ます。
■
802.1x 認証がポー ト で無効の場合、 以下の コ マ ン ド 構文を使用 し
て認証を有効に し 、 802.1x 対応機器のみを許可す る よ う に設定 し
ます。
aaa port-access authenticator e < port-list >
ポー ト で 802.1x 認証を有効に し ます。
aaa port-access authenticator e < port-list > control auto
802.1x をサポー ト し 有効な証明情報を提供す る 機器のみ、
ポー ト で許可す る よ う に し ます。
■
802.1x認証がポー ト で有効であ っ て も [authorized] (強制認可) に設
定 さ れてい る 場合は、 以下の コ マ ン ド 構文を使用 し て、 802.1x 対
応機器のみを許可する よ う に設定 し ます。
aaa port-access authenticator e < port-list > control auto
802.1x をサポー ト し 有効な証明情報を提供す る 機器のみ、
ポー ト で許可す る よ う に し ます。
8-34
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続
802.1x サプ リ カ ン ト と し て ス イ ッ チ
ポー ト を設定 し 、 他の ス イ ッ チ と 接続
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカント コマンド
[no] aaa port-access < supplicant > [ethernet] < port-list >
8- 36 ページ
[auth-timeout | held-period | start-period | max-start | initialize | 8- 37 ページ
identity | secret | clear-statistics]
802.1x 関連の show コマンド
8- 39 ページ
RADIUS サーバの設定
8- 20 ページ
ス イ ッ チ ポー ト を他の 802.1x 対応ス イ ッ チ ポー ト に接続す る際、 ポー ト
をサプ リ カ ン ト と し て動作す る よ う に設定すれば、 802.1x 対応ス イ ッ チ間
の リ ン ク にセ キ ュ リ テ ィ を実装で き ます。 ( ポー ト はオーセ ン テ ィ ケー タ
お よ びサプ リ カ ン ト の両方 と し て動作で き ます。 )
た と えば、 以下の よ う な 2 つの ス イ ッ チに接続す る と し ます。
■
ス イ ッ チ 「A」 には、 802.1x サプ リ カ ン ト オペレーシ ョ ン が設定 さ
れたポー ト A1 があ り ます。
■
ス イ ッ チ 「A」 のポー ト A1 と ス イ ッ チ 「B」 のポー ト B5 を接続す る
と し ます。
ス イ ッ チ 「B」
ポー ト B5
ポー ト A1
ス イ ッ チ 「A」
802.1x サプ リ カ ン ト と し て
設定 さ れたポー ト A1
LAN コ ア
RADIUS サーバ
図 8-4. サプリカント オペレーションの例
8-35
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続
1.
注記
ス イ ッ チ 「A」 のポー ト A1 をは じ めて ス イ ッ チ 「B」 のポー ト に接続
す る際、 も し く はポー ト は既に接続 さ れていて、 いずれかの ス イ ッ チ
が リ ブー ト さ れた場合に、 ポー ト A1 は ス イ ッ チ 「B」 のポー ト B5 に
開始パケ ッ ト を送信 し ます。
•
サプ リ カ ン ト ポー ト は、 設定 さ れた回数の開始要求パケ ッ ト を送
信後、 その応答が得 ら れなか っ た場合、 ス イ ッ チ 「B」 は 802.1x
に対応 し てお ら ず、 ま た認証は不要であ る と 判断 し ます。 ス イ ッ
チ 「B」 が 802.1x 対応ではな く 、 正常に動作 し ていれば リ ン ク は
通常に確立 さ れますが、 802.1x セキ ュ リ テ ィ は実装 さ れません。
•
1回以上の開始要求パケ ッ ト 送信後に、ポー ト A1 がポー ト B5 か ら 要
求パケ ッ ト を受信 し た場合、 ス イ ッ チ 「B」 は、 802.1x オーセ ン テ ィ
ケー タ と し て動作 し てい ます。サプ リ カ ン ト ポー ト は次に応答 /ID
パケ ッ ト を返 し ます。 ス イ ッ チ 「B」 が RADIUS 認証を使用す る よ
う に設定 さ れてい る 場合、 ス イ ッ チはその要求を RADIUS サーバに
転送 し ます。 ス イ ッ チ 「B」 が ロ ーカル 802.1x 認証 (8- 19 ページ )
に設定 さ れてい る 場合、 オーセ ン テ ィ ケー タ は ス イ ッ チ 「A」 の応
答 と 自身の ロ ーカル ユーザ名 / パ ス ワー ド を比較 し ます。
2.
次に RADIUS サーバは、 ア ク セ ス チ ャ レ ン ジで応答 し 、 ス イ ッ チ 「B」
を介 し て ス イ ッ チ 「A」 のポー ト A1 に転送 さ れます。
3.
ポー ト A1 は固有の証明情報に基づいたハ ッ シ ュ を返 し ます。 ス イ ッ
チ 「B」 は こ の応答を RADIUS サーバに転送 し ます。
4.
RADIUS サーバは応答を分析 し て、 ス イ ッ チ 「B」 を介 し てポー ト A1
に 「success」 ま たは 「failure」 パケ ッ ト のいずれか を送信 し ます。
•
「success」 応答は、 ポー ト A1 か ら の通常の ト ラ フ ィ ッ ク に対 し て
ポー ト B5 のブ ロ ッ ク を解除 し ます。
•
「failure」 応答の場合、 ポー ト B5 のブ ロ ッ ク は継続さ れ、 ポー ト A1 は
「held-time」時間経過後に、ポー ト B5 を介し て再び認証を試行し ます。
ス イ ッ チ ポー ト は、 サプ リ カ ン ト お よ びオーセ ン テ ィ ケー タ と し て同時に
動作す る よ う に設定で き ます。
サプリカントとして動作するようにスイッチ ポートを有効にする。 他の
802.1x 対応ス イ ッ チ ポー ト へのポ イ ン ト ツー ポ イ ン ト リ ン ク に、 802.1x
サプ リ カ ン ト と し て動作する ス イ ッ チ ポー ト を 1 つま たは複数設定で き ま
す。 サプ リ カ ン ト に関す る パ ラ メ ー タ を設定す る前に、 まずポー ト をサプ
リ カ ン ト と し て設定す る 必要があ り ます。
構文 :
[no] aaa port-access supplicant [ethernet] < port-list >
デフォルトのサプリカント パラメータ、 または以前に設定したサプ
リカント パラメータのうち、 いずれかを使用して、 サプリカントとし
て動作するようにポートを設定します。 このコマンドの「no」形式
は、 指定したポートのサプリカント オペレーションを無効にします。
8-36
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続
サプリカント スイッチ ポートの設定。 サプ リ カ ン ト 設定を変更す る 前に、
ポー ト のサプ リ カ ン ト オペレーシ ョ ン を有効にす る 必要があ る こ と に注意
し て く だ さ い。 つま り 、 パ ラ メ ー タ な し でサプ リ カ ン ト コ マ ン ド を 1 度実
行 し 、 設定す る サプ リ カ ン ト パ ラ メ ー タ と 共に も う 一度 コ マ ン ド を実行す
る 必要があ り ます。 対象のオーセ ン テ ィ ケー タ ポー ト で RADIUS 認証が使
用 さ れてい る 場合、 [identity] お よ び [secret] オプシ ョ ン を使用 し て
RADIUS が要求す る ユーザ名 と パス ワ ー ド を サプ リ カ ン ト ポー ト に設定 し
ます。 対象のオーセ ン テ ィ ケー タ ポー ト で ロ ーカル 802.1x 認証が使用 さ
れてい る 場合、 [identity] お よ び [secret] オプシ ョ ン を使用 し てオーセ ン
テ ィ ケー タ ス イ ッ チの ロ ーカル ユーザ名 と パ ス ワー ド をサプ リ カ ン ト
ポー ト に設定 し ます。
構文 :
aaa port-access supplicant [ethernet] < port-list >
指定す る ポー ト のサプ リ カ ン ト オペレーシ ョ ン を有
効にす る には、 こ の コ マ ン ド を他のパ ラ メ ー タ な し で
実行 し ます。 こ れを実行 し た後、 サプ リ カ ン ト オペ
レーシ ョ ン を設定す る ために以下のパ ラ メ ー タ と 共に
再び こ の コ マ ン ド を実行 し ます。 ( 設定す る 各パ ラ
メ ー タ に コ マ ン ド を 1 回実行 し ます。 ) [no] 形式は、
指定す る ポー ト のサプ リ カ ン ト オペレーシ ョ ン を無
効に し ます。
[identity < username >]
認証要求に対す る応答でオーセ ン テ ィ ケー タ ポー ト
か ら チ ャ レ ン ジ要求パケ ッ ト を受け取っ た際に使用す
る ユーザ名 と パス ワ ー ド を設定 し ます。 対象のオーセ
ン テ ィ ケー タ ポー ト に RADIUS 認証が設定 さ れてい る
場合、 < username > と < password > は RADIUS サー
バで要求 さ れ る ユーザ名 と パス ワ ー ド でなければな り
ません。 対象オーセ ン テ ィ ケー タ ポー ト が ロ ーカル
認証用に設定 さ れてい る場合、 < username > と <
password > はオーセ ン テ ィ ケー タ ス イ ッ チに設定 さ
れてい る ユーザ名 と パス ワ ー ド でなければな り ませ
ん。 ( デフ ォ ル ト : Null)
[secret]
Enter secret: < password >
Repeat secret: < password >
オーセ ン テ ィ ケー タ か ら MD5 認証要求を受け取っ た
際にポー ト サプ リ カ ン ト が使用す る 秘密キー ( パ ス
ワー ド ) を設定 し ます。 コ マ ン ド を実行す る と 、 ス
イ ッ チは秘密キーの入力を要求 し ます。
8-37
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x サプ リ カ ン ト と し て ス イ ッ チ ポー ト を設定 し 、 他の ス イ ッ チ と 接続
aaa port-access supplicant [ethernet] < port-list > ( 構文の続き )
[auth-timeout < 1 - 300 >]
オーセ ン テ ィ ケー タ か ら チ ャ レ ン ジ を受信す る ま での
ポー ト の待ち時間を設定 し ます。 要求が タ イ ム ア ウ ト
し た場合、 [max-start] パ ラ メ ー タ で指定 し た最大試
行回数に達す る ま でポー ト は別の認証要求を送信 し ま
す。 ( デフ ォ ル ト : 30 秒 )
[max-start < 1 - 10 >]
サプ リ カ ン ト ポー ト が認証を要求す る 最大回数を定
義 し ます。 オーセ ン テ ィ ケー タ か ら の応答に対す る
ポー ト の動作については、 8- 36 ページの手順 1 を参
照 し て く だ さ い。 ( デフ ォ ル ト : 3)
[held-period < 0 - 65535 >]
ア ク テ ィ ブな 802.1x セ ッ シ ョ ンに失敗 し た後、 サプ リ
カ ン ト ポー ト がオーセ ン テ ィ ケー タ ポー ト に再要求
する ま での待ち時間を設定 し ます。( デフ ォ ル ト : 60 秒 )
[start-period < 1 - 300 >]
開始パケ ッ ト を再送信す る 間隔 ( 時間 ) を設定 し ます。
つま り 、 サプ リ カ ン ト が開始パケ ッ ト を送信 し た あ
と 、 [start-period] の間応答を待ち ます。 [start-period]
の間に応答がなかっ た場合、 サプ リ カ ン ト は新たに開
始パケ ッ ト を送信 し ます。 ( 上記の ) [max-start] 設定
は、 セ ッ シ ョ ンで許可す る 開始試行回数を指定す る も
のです。 ( デフ ォ ル ト : 30 秒 )
aaa port-access supplicant [ethernet] < port-list >
[initialize]
特定のポー ト で、 イ ンバ ウ ン ド お よ びア ウ ト バ ウ ン ド
ト ラ フ ィ ッ ク をブ ロ ッ ク し て、 802.1x 認証プ ロ セ ス を
再起動 し ます。 802.1x サプ リ カ ン ト と し て設定 さ れた
ポー ト のみに影響 し ます。
[clear-statistics]
802.1x サプ リ カ ン ト 統計カ ウ ン タ を ク リ ア し て再始動
し ます。
8-38
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
802.1x の設定、 統計、 お よ びカ ウ ン タ
の表示
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカント コマンド
8- 35 ページ
802.1x Open VLAN モード コマンド
8- 21 ページ
802.1x 関連の show コマンド
show port-access authenticator
下記
show port-access supplicant
8- 45 ページ
802.1x モー ド ステー タ ス一覧の詳細
8- 41 ページ
RADIUS サーバの設定
8- 20 ページ
ポート アクセス オーセンティケータ用の Show コマンド
構文 : show port-access authenticator [[e] < port-list >]
[config | statistics | session-counters]
・ [< port-list > [config | statistics | session-counters]] を
指定 し ない場合、 ポー ト ア ク セス オーセ ン テ ィ
ケー タ がア ク テ ィ ブ であ るか (Yes /No) と 、 802.1x
認証に設定 さ れているすべてのポー ト のス テー タ ス
を表示 し ます。 こ のデー タ で示 さ れる
[Authenticator Backend State] は、 ス イ ッ チ と 認証
サーバの対話のス テー タ ス を表 し ています。
・ < port-list > のみ指定する と 、 指定 し たポー ト のみ
のス テー タ スが表示 さ れます。 指定 し たポー ト が
オーセ ン テ ィ ケー タ と し て有効で ない場合、 デー タ
は表示 さ れません。
・ [< port-list > [config | statistics | session-counters]] を
指定する と 、 指定 し たポー ト の [config | statistics |
session-counters] デー タ が表示 さ れます。 指定 し た
ポー ト がオーセ ン テ ィ ケー タ と し て有効でない場
合、 デー タ は表示 さ れません。
・ [config | statistics | session-counters | vlan] のみを指
定 し た場合、 オーセ ン テ ィ ケー タ と し て有効なすべ
てのポー ト の [config | statistics | session-counters]
デー タ が表示 さ れます。
[config | statistics | session-counters] の説明は、 こ の表
の次の項を参照 し て く だ さ い。
8-39
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
show port-access authenticator ( 構文の続き )
config [[e] < port-list >]
以下の も のを表示 し ます。
• ポー ト ア ク セ ス オーセ ン テ ィ ケー タ がア ク テ ィ ブ
であ る か
• 802.1x オーセ ン テ ィ ケー タ と し て設定 さ れてい る
ポー ト の 802.1x の設定
< port-list > を指定 し ない場合、 こ の コ マ ン ド は 802.1x
ポー ト ア ク セ ス オーセ ン テ ィ ケー タ と し て設定 さ れ
てい る すべてのポー ト の情報を一覧表示 し ます。 指定
し たポー ト がオーセ ン テ ィ ケー タ と し て有効でない場
合、 デー タ は表示 さ れません。
statistics [[e] < port-list >]
以下の も のを表示 し ます。
• ポー ト ア ク セ ス オーセ ン テ ィ ケー タ がア ク テ ィ ブ
であ る か
• 802.1x オーセ ン テ ィ ケー タ と し て設定 さ れてい る
ポー ト の統計情報。 こ れにはポー ト が最後に受信 し
た EAPOL フ レームに含まれ る サプ リ カ ン ト の MAC
ア ド レ ス な ど も 表示 さ れます。
指定 し たポー ト がオーセ ン テ ィ ケー タ と し て有効でな
い場合、 デー タ は表示 さ れません。
session-counters [[e] < port-list >]
以下の も のを表示 し ます。
• ポー ト ア ク セ ス オーセ ン テ ィ ケー タ がア ク テ ィ ブ
であ る か
• 802.1x オーセ ン テ ィ ケー タ と し て設定 さ れてい る
ポー ト のセ ッ シ ョ ン ス テー タ ス
ま た 「User」 カ ラ ムには各ポー ト ご と に、 サプ リ カ ン
ト が応答パケ ッ ト に含めたユーザ名の一覧が表示 さ れ
ます。 ( サプ リ カ ン ト が ス イ ッ チの場合は、 supplicant
コ マ ン ド (8- 37 ページ ) の [identity] で設定す る ユーザ
名です。 ) 指定 し たポー ト がオーセ ン テ ィ ケー タ と し
て有効でない場合、 デー タ は表示 さ れません。
8-40
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
802.1x Open VLAN モー ド の ス テー タ ス表示
こ の項で説明す る show port-access authenticator お よ び show vlan < vlanid > コ マ ン ド を使用 し て、 ス イ ッ チの現在の VLAN ス テー タ ス を調査で き
ます。 図 8-5 は、 show port-access authenticator の出力例を示 し 、 表 8-1
は こ の コ マ ン ド が表示す る デー タ について説明 し てい ます。 図 8-6 は、 ス
イ ッ チが 802.1x オペレーシ ョ ン を サポー ト す る 静的に設定 さ れた VLAN
を ど の よ う に使用 し てい る か を確認す る のに役立つ VLAN 関連のデー タ を
示 し てい ます。
[Unauth VLAN ID] に表示 さ れてい る ID
と [Current VLAN ID] カ ラ ムの ID が同 じ
です。 こ れは、 こ のポー ト に未認可ク ラ
イ ア ン ト が接続 さ れてい る こ と を示 し て
います。
( ポー ト は VLAN 100 の静的に設定 さ れた
メ ンバではあ り ません。 )
1
2
3
1 ~ 3 の項目は、 認証ク ラ イ ア ン ト がポー ト B2 に接
続 さ れている こ と を示 し ています。
1.[Status] カ ラ ムが [Open]
2.[Authenticator State] カ ラ ムが [Authorized]
3.[Auth VLAN ID] (101) が [Current VLAN ID] と 同 じ 。
( ポー ト は VLAN 101 の静的に設定 さ れた メ ンバで
はあ り ません。 )
4
5
4.ポー ト B3 のラ イ ンの 「0」 は、 ポー ト B3
に設定 さ れている認可 VLAN がない こ と
を示 し ています。
5.「No PVID」 は、 ポー ト B4 に現在 タ グ無
VLAN メ ンバシ ッ プがない こ と を示 し て
います。
図 8-5. Open VLAN モードに設定されているポートの表示例
したがって、 show port-access authenticator 出力は以下のようになります。
■
[Auth VLAN ID] が設定 さ れていて上記の コ マ ン ド 出力で [Current
VLAN ID] と 一致 し てい る 場合、 ポー ト には認証 ク ラ イ ア ン ト が接
続 さ れてい ます。 ( ポー ト が Auth VLAN に使用す る VLAN の静的
な メ ンバでない場合。 )
8-41
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
■
[Unauth VLAN ID] が設定 さ れていて上記の コ マ ン ド 出力で
[Current VLAN ID] と 一致 し てい る場合、 ポー ト には未認証 ク ラ イ
ア ン ト が接続 さ れてい ます。 ( ポー ト が Unauth VLAN に使用す る
VLAN の静的な メ ンバでない場合。 )
認可 VLAN/ 未認可 VLAN に割 り 当て ら れ る 一時的な Open VLAN ポー ト は
タ グ無 VLAN メ ンバシ ッ プであ る ため、 こ れ ら の割 り 当ては、 こ のポー ト
に静的に設定 さ れてい る 他の タ グ無 VLAN メ ンバシ ッ プ を一時的に Open
VLAN に置 き換え ます。 た と えば、 ポー ト A12 が VLAN 1 の タ グ無 メ ンバ
と し て静的に設定 さ れてお り 、 ま た認可 VLAN と し て VLAN 25 を使用す る
よ う に設定 さ れてい る と 、 認証済 802.1x ク ラ イ ア ン ト が こ のポー ト に接続
さ れてい る間は、 VLAN 1 のポー ト メ ンバシ ッ プは一時的に中断 さ れます。
表 8-2.
Open VLAN モードのステータス
ステータス
インジケータ
意味
Port
802.1x ポー ト ア ク セス オーセ ン テ ィ ケー タ と し て設定 さ れたポー ト を一覧表示 し ます。
Status
Closed: 接続 さ れている ク ラ イ ア ン ト がないか、 接続 さ れている ク ラ イ ア ン ト が 802.1x
認証にパス し ていません。
Open: 認可 さ れた 802.1x サプ リ カ ン ト がポー ト に接続 さ れています。
Access Control
こ の状態は、 以下のポー ト ア ク セス コ マ ン ド 構文で コ ン ト ロールで き ます。
ProCurve(config)# aaa port-access authenticator < port-list > control < authorized | auto | unauthorized >
Auto: 802.1x 認証をサポー ト し 、 ネ ッ ト ワー ク ア ク セス を取得するのに必要な証明情報
を提供する接続機器にネ ッ ト ワー ク ア ク セス を許可する よ う にポー ト を設定 し ます。 (
これがデ フ ォル ト のオーセ ン テ ィ ケー タ 設定です。 )
FA (authorized): ポー ト を 「強制認可」 (Force Authorized) に設定 し ます。 この場合、
802.1x の基準を満た し ているかによ ら ず、 ポー ト に接続 さ れているすべての機器のア
ク セス を許可 し ます。 ( ただ し 、 ポー ト に コ ン ソ ール、 telnet、 または SSH セキ ュ リ
テ ィ は設定で き ます。 )
FU (unauthorized): ポー ト を 「強制未認可」 (Force Unauthorized) に設定 し ます。 この場
合、 802.1x の基準を満た し ているかによ ら ず、 ポー ト に接続 さ れているすべての機器
のア ク セス を ブ ロ ッ ク し ます。
Authenticator
State
Connecting: ポートにクライアントが接続されているが、 802.1x 認証にパスしていません。
Force Unauth: 「強制未認可」 状態を示 し ています。 ク ラ イ ア ン ト が 802.1x 認証をサ
ポー ト し ているかど う か、 または 802.1x 証明情報を提供で き るかど う かによ ら ず、
ネ ッ ト ワー ク へのア ク セスがブ ロ ッ ク さ れています。
Force Auth: 「強制認可」 状態を示 し ています。 ポー ト に接続 さ れている どの機器に も
ア ク セス を認可 し ます。 機器は 802.1x 認証のサポー ト も 802.1x 証明情報を提供する必
要も あ り ません。
Authorized: ポー ト に接続 さ れている機器が、 802.1x 認証をサポー ト し 、 証明情報を提
供する こ と で、 ネ ッ ト ワー クへのア ク セスが許可 さ れた状態です。 これがア ク セス制
御のデ フ ォル ト の状態です。
Disconnected: ポー ト に接続 さ れている ク ラ イ ア ン ト はあ り ません。
8-42
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
ステータス
インジケータ
意味
Authenticator
Backend State
Idle: ス イ ッ チは現在 RADIUS 認証サーバ と 対話 し ていません。 他の状態 (Request、
Response、Success、Fail、Timeout、および Initialize) は、 RADIUS サーバ と の対話のス
テー タ ス を示す ものですが、 これ らの対話は瞬間的に発生 し 、 完了する と Idle に変わ
り ます。
Unauthorized
VLAN ID
< vlan-id >: ポートの未認可 VLAN として設定されているスタティック VLAN の VID です。
0: ポー ト に未認可 VLAN は設定 さ れていません。
< vlan-id >: ポー ト の認可 VLAN と し て設定 さ れている ス タ テ ィ ッ ク VLAN の VID です。
Authorized VLAN
ID
0: ポー ト に認可 VLAN は設定 さ れていません。
Current VLAN ID
< vlan-id >: ポー ト が現在所属 し ている タ グ無ス タ テ ィ ッ ク VLAN の VID です。
No PVID: ポー ト はどの VLAN の タ グ無 メ ンバで も あ り ません。
構文 :
show vlan < vlan-id >
選択 し た VLAN のポー ト ス テー タ ス を表示 し ます。 ど のポー
ト メ ンバシ ッ プが Open VLAN モー ド で一時的に上書 き さ れ
てい る か も 示 さ れます。
8-43
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
ポー ト B1 お よ びポー ト B3
が上の一覧にな く 、
[Overridden Port VLAN
configuration] の下に含まれ
ています。 こ れは、 ポー ト
B1 お よび B3 の タ グ無ス タ
テ ィ ッ ク VLAN メ ンバシ ッ
プが、 認可 VLAN ま たは未
認可 VLAN への一時的な割
り 当てに よ っ て無効に さ れ
ている こ と を示 し ていま
す。 図 8-5 で示 さ れてい る
show port-access
authenticator < port-list > コ
マ ン ド を使用する と 、 詳細
が表示 さ れます。
図 8-6. Open VLAN モードに設定されているポートの VLAN 表示の例
8-44
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x の設定、 統計、 お よ びカ ウ ン タ の表示
ポー ト ア ク セ ス サプ リ カ ン ト 用の Show コ マ ン ド
構文 :
show port-access supplicant [[e] < port-list >] [statistics]
show port-access supplicant [[e] < port-list >]
ス イ ッ チでサプ リ カ ン ト と し て設定 さ れてい る 、 すべ
てのポー ト ま たは < port-list > で指定 さ れ る ポー ト の
(secret パ ラ メ ー タ を除 く ) ポー ト ア ク セ ス サプ リ カ
ン ト 設定を表示 し ます。 サプ リ カ ン ト の状態には以下
の も のがあ り ます。
Connecting - 認証を開始 し ます。
Authenticated - 認証が完了 し ま し た。 ( 試行が成功 し
たか ど う かは問い ません。 )
Acquired - ポー ト がオーセ ン テ ィ ケー タ か ら の要求を
受信 し ま し た。
Authenticating - 認証中です。
Held - オーセ ン テ ィ ケー タ が失敗の通知を送信 し ま し
た。 サプ リ カ ン ト ポー ト はオーセ ン テ ィ ケー タ の
held-period (8- 37 ページ ) の間待機 し ます。
サプ リ カ ン ト パ ラ メ ー タ の説明は、 8-37 ページの
「サプ リ カ ン ト ス イ ッ チ ポー ト の設定」 を参照 し て く
だ さ い。
show port-access supplicant [[e] < port-list >] statistics
ス イ ッ チでサプ リ カ ン ト と し て設定 さ れてい る 、 すべ
てのポー ト ま たは < port-list > で指定 さ れ る ポー ト の
ポー ト ア ク セ ス統計 と ソ ース MAC ア ド レ ス を表示 し
ます。 以下の 「サプ リ カ ン ト 統計に関す る 注記」 を参
照 し て く だ さ い。
サプリカント統計に関する注記。 show port-access supplicant statistics [e]
< port-list >] は、 サプ リ カ ン ト と し て設定 さ れてい る 各ポー ト ご と に、 ポー
ト で検出 し た最新のオーセ ン テ ィ ケー タ 機器の ソ ース MAC ア ド レ ス と ト
ラ ンザ ク シ ョ ンの統計を表示 し ます。 サプ リ カ ン ト ポー ト と オーセ ン テ ィ
ケー タ 機器 と の リ ン ク に障害が発生 し た場合、 以下のいずれかの時点ま
で、 サプ リ カ ン ト ポー ト はオーセ ン テ ィ ケー タ 機器 と の接続で受信 し た最
新のデー タ を表示 し 続け ます。
■
サプ リ カ ン ト ポー ト が別のオーセン テ ィ ケータ機器を検出する場合
■
aaa port-access supplicant [e] < port-list > clear-statistics コ マ ン ド
を使用 し てサプ リ カ ン ト ポー ト の統計を ク リ ア し た場合
■
ス イ ッ チを リ ブー ト し た場合
8-45
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響
し たがっ て、 サプ リ カ ン ト と オーセ ン テ ィ ケー タ と の リ ン ク に障害が発生
し た場合、 上記のいずれかの時点ま でサプ リ カ ン ト は受信 し た最新の ト ラ
ンザ ク シ ョ ン統計を保持 し ます。 ま た、 オーセ ン テ ィ ケー タ と の リ ン ク を
あ る サプ リ カ ン ト ポー ト か ら 別のサプ リ カ ン ト ポー ト に移動 し た場合、
最初のポー ト にあ る 統計デー タ を ク リ ア し ない と 、 同 じ オーセ ン テ ィ ケー
タ の MAC ア ド レ ス が両方のポー ト のサプ リ カ ン ト 統計に表示 さ れます。
RADIUS/802.1x 認証の VLAN オペレー
シ ョ ンへの影響
スタティック VLAN の指定。 ス イ ッ チ ポー ト に接続す る 802.1x ク ラ イ
ア ン ト の RADIUS 認証では、 ( ス タ テ ィ ッ ク ) VLAN を指定す る こ と が可能
です。 ( 使用す る RADIUS アプ リ ケーシ ョ ン に付属のマニ ュ アルを参照 し
て く だ さ い。 ) RADIUS サーバが ク ラ イ ア ン ト に割 り 当て る ス タ テ ィ ッ ク
VLAN は既に ス イ ッ チに存在す る も のでなければな り ません。 ス タ テ ィ ッ
ク VLAN が存在 し ない、 ま たは (GVRP で作成 さ れ る ) ダ イ ナ ミ ッ ク VLAN
では認証に失敗 し ます。 ま た、 その後のセ ッ シ ョ ン で も 、 ポー ト は指定 さ
れた VLAN の タ グ無 メ ンバでなければな り ません。 そ う でない場合、 ス
イ ッ チは以下の よ う に一時的にポー ト を割 り 当て ます。
クライアントが使用するポートが指定されたスタティック VLAN のタグ
無メンバとして設定されていない場合 : ク ラ イ ア ン ト を ポー ト 「N」 で認
証す る 際、 ポー ト 「N」 が ま だ RADIUS サーバが指定す る ス タ テ ィ ッ ク
VLAN の タ グ無 メ ンバ と し て設定 さ れていない場合、 ス イ ッ チは一時的に
(802.1x セ ッ シ ョ ン の間 ) ポー ト 「N」 を その VLAN の タ グ無 メ ンバに割 り
当て ます。 その際、 ポー ト 「N」 が既に別の VLAN の静的な タ グ無 メ ンバ
に設定 さ れてい る と 、 セ ッ シ ョ ンの間、 ポー ト 「N」 は こ の VLAN へのア
ク セ ス を喪失 し ます。 ( ポー ト は 1 つの VLAN の タ グ無 メ ンバに し かなれ
ません。 )
8-46
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響
た と えば、 ポー ト A2 に接続 さ れた RADIUS 認証済の 802.1x 対応 ク ラ イ ア
ン ト が VLAN 22 にア ク セ ス を要求 し た と し ます。 こ の と き 、 ポー ト A2 に
VLAN22 は設定 さ れてお ら ず、 ま た VLAN 33 がポー ト A2 の タ グ無 VLAN
に設定 さ れてい る と し ます。
シナリオ : 認可
802.1x ク ラ イ ア ン ト
がポー ト A2 か ら
VLAN 22 へのア ク セ
スする必要があ り ま
す。 し か し 、 ポー ト
A2 では VLAN 22 へ
のア ク セ スはブ ロ ッ
ク さ れます (VLAN22
は、 タ グ無に も タ グ
付に も 設定 さ れてい
ません )。 VLAN 33
はポー ト A2 で タ グ
無にな っ てい ます。
図 8-7. アクティブな VLAN 設定の例
図 8-7 で、 802.1x ク ラ イ ア ン ト が VLAN 22 へのア ク セ ス要求を送信 し 、
RADIUS がその要求を認可 し た場合、 以下の よ う にな り ます。
■
セ ッ シ ョ ン の間、VLAN 22 が タ グ無 VLAN と し てポー ト A2 で利用可
能にな り ます。
■
セ ッ シ ョ ン の間、VLAN 33 はポー ト A2 で利用不可にな り ます ( いず
れのポー ト も タ グ無 VLAN と し て設定で き る のは 1 つの VLAN の
みです )。
以下の よ う に、 show vlan < vlan-id > コ マ ン ド を使用 し て、 一時的に変更 さ
れた ア ク テ ィ ブな設定を表示で き ます。
■
show vlan < vlan-id > コ マ ン ド で、 認証済 ク ラ イ ア ン ト が使用 し て
い る ス タ テ ィ ッ ク VLAN の < vlan-id > を指定 し て、 一時的な VLAN
の割 り 当て を参照で き ます。
8-47
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響
このエ ン ト リ は、 802.1x セ ッ シ ョ ンの間、 ポー ト
A2 が一時的に VLAN 22 の タ グ無 メ ンバにな っ て
い る こ と を示 し ています。 これは、 RADIUS サー
バが、 802.1x ク ラ イ ア ン ト のア ク セ ス要求に応
じ 、 VLAN22 を使用する よ う に ク ラ イ ア ン ト に指
示 し た結果です。
注記 : 現在の VLAN 設定 ( 図 8-7) では、 ポー ト A2
が こ の show vlan 22 に表示 さ れるのは、 接続 さ
れてい る ク ラ イ ア ン ト の 802.1x セ ッ シ ョ ン中の
みです。 そ う で ない場合、 ポー ト A2 は表示 さ れ
ません。
図 8-8. 802.1x セッションで一時的に変更されている VLAN 22 のアクティブな設定
■
前の内容を踏ま え、ポー ト A2 で ( ス タ テ ィ ッ ク ) VLAN 33 は タ グ無
と し て設定 さ れてお り ( 図 8-7 参照 )、 ま たポー ト が タ グ無 メ ンバ
になれ る のは 1 つの VLAN のみであ る ため、 ポー ト A2 は VLAN
22 にア ク セ ス で き る 802.1x セ ッ シ ョ ン の間、 VLAN 33 へのア ク セ
ス を喪失 し ます。 VLAN 33 へのア ク セ ス の一時的な喪失は show
vlan 33 コ マ ン ド で確認で き ます。
ポー ト A2 が ( ス タ
テ ィ ッ ク ) VLAN 33 の
タ グ無 メ ンバ と し て設
定 さ れていて も ( 図 87 参照 )、 802.1x セ ッ
シ ョ ンが VLAN 22 を タ
グ無 VLAN と し て使用
し てい る間、 ポー ト
A2 は show vlan 33 には
表示 さ れません。
VLAN 22 を使用する
802.1x セ ッ シ ョ ンが終
了 し た ら、 ア ク テ ィ ブ
な設定は、 ポー ト A2
を VLAN 33 に戻 し ま
す。
図 8-9. 802.1x セッションの間、一時的にポート A2 が無効にされている VLAN 33 のアクティブ
な設定
8-48
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーシ ョ ンへの影響
ポー ト A2 での 802.1x ク ラ イ ア ン ト のセ ッ シ ョ ン が終了す る と 、 ポー
ト は一時的な タ グ無 VLAN メ ンバシ ッ プ を破棄 し ます。 こ こ で、 ポー
ト に タ グ無で設定 さ れてい る ス タ テ ィ ッ ク VLAN が再び使用可能にな
り ます。 し たがっ て、 ポー ト A2 の RADIUS 認証 802.1x セ ッ シ ョ ン が
終了す る と 、 ポー ト A2 の VLAN 22 ア ク セ ス も 終了 し 、 ポー ト A2 で
タ グ無 VLAN 33 へのア ク セ ス が復元 さ れ ます。
VLAN 22 での 802.1x
セ ッ シ ョ ンの終了後、
ア ク テ ィ ブ設定には
ポー ト A2 の VLAN 33
が表示 さ れます。
図 8-10. 802.1x セッションの終了後、ポート A2 の VLAN 33 へアクセスが復元された状態のア
クティブな設定
注記
802.1x 認証セ ッ シ ョ ン中に 802.1x 対応ポー ト で行っ たポー ト の VLANID(VID) の変更は、 セ ッ シ ョ ン が終了す る ま で有効にな り ません。
GVRP を有効にす る と 、 802.1x 認証に よ っ てポー ト に作成 さ れた一時的な
タ グ無ス タ テ ィ ッ ク VLAN の割 り 当ては既存の VLAN と し て通知 さ れ ま
す。 こ の一時的な VLAN の割 り 当てに よ り 、 ポー ト に設定 さ れてい る ( タ
グ無 ) ス タ テ ィ ッ ク VLAN の割 り 当てが無効にな っ た場合、 こ の無効に
な っ た VLAN は GVRP で通知 さ れません。 802.1x セ ッ シ ョ ン が終了す る
と 、 ス イ ッ チは以下の よ う にな り ます。
■
一時的な VLAN の通知を停止 し 、 終了 し ます。
■
一時的に無効にな っ た VLAN の通知を再開 し ます。
8-49
ポー ト ベース のア ク セ ス制御 (802.1x) の設定
802.1x オペレーシ ョ ンに関連 し た メ ッ セージ
802.1x オペレーシ ョ ンに関連 し た メ ッ
セージ
Table 8-1. 802.1X オペレーション メッセージ
メッセージ
意味
Port < port-list > is not an
authenticator.
ポー ト リ ス ト のポー ト を 802.1x オーセ ン テ ィ ケー タ
と し て有効にで き ませんで し た。 以下の コ マ ン ド を
使用 し てポー ト を オーセ ン テ ィ ケー タ と し て有効に
し ます。
ProCurve(config)# aaa port-access
authenticator e 10
Port < port-list > is not a
supplicant.
現在サプ リ カ ン ト と し て有効でないポー ト でサプ リ
カ ン ト の設定を変更 し よ う と し た場合に生成 さ れる
メ ッ セージ です。 まずポー ト をサプ リ カ ン ト と し て
有効に し 、 次にサプ リ カ ン ト の設定を変更 し ます。
8- 36 ページの 「サプ リ カ ン ト と し て動作する よ う に
ス イ ッ チ ポー ト を有効にする」 を参照 し て く だ さ
い。
No server(s) responding.
こ の メ ッ セージは、 EAP-RADIUS または CHAPRADIUS 認証が設定 さ れている ス イ ッ チ で、 RADIUS
サーバから の応答を得ら れない場合に表示 さ れる こ
と があ り ます。 ス イ ッ チが少な く と も 1 つの
RADIUS サーバにア ク セスで き る よ う に設定 さ れて
いる こ と を確認 し ます。 (show radius を使用 し ます。
) また、 メ ッ セージ 「CanÅft reach RADIUS
server< x.x.x.x >」 が表示 さ れる場合は、 その
メ ッ セージに表示 さ れている指示に従います (5- 34
ページ )。
LACP has been disabled on 802.1X
port(s).
セキ ュ リ テ ィ を維持する ために、 802.1X オーセ ン
テ ィ ケー タ 動作が設定 さ れたポー ト では LACP は許
可 さ れません。 LACP ( ア ク テ ィ ブ またはパ ッ シ ブ )
が設定 さ れているポー ト でポー ト セキ ュ リ テ ィ を設
定する と 、 ス イ ッ チは LACP 設定を削除 し 、 ポー ト
で LACP が無効にな っ た こ と を示す警告を表示 し
て、 そのポー ト の 802.1x を有効に し ます。
Error configuring port < port-number
>:LACP and 802.1X cannot be run
together.
8-50
また、ポー ト ア ク セス (802.1x) が有効なポー ト では、
ス イ ッ チは LACP の設定を許可 し ません。
9
ポー ト セ キ ュ リ テ ィ の設定お よ びモニ タ リ
ング
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2
基本的な動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2
未認可 ト ラ フ ィ ッ ク のブ ロ ッ ク . . . . . . . . . . . . . . . . . . . . . . . . 9-3
ト ラ ン ク グループの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4
ポー ト セキ ュ リ テ ィ の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-5
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作 . . . . . . . . . . . . . 9-6
ス タ テ ィ ッ ク MAC ア ド レ ス の保持 . . . . . . . . . . . . . . . . . . . . . 9-10
現在のポー ト セキ ュ リ テ ィ の設定の表示 . . . . . . . . . . . . . . . . . 9-10
ポー ト セキ ュ リ テ ィ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-12
MAC ロ ッ ク ダ ウ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-17
MAC ロ ッ ク ダ ウ ン と ポー ト セキ ュ リ テ ィ の違い . . . . . . . . . . . 9-19
MAC ロ ッ ク ダ ウ ン の展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-21
MAC ロ ッ ク ア ウ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-25
ポー ト セキ ュ リ テ ィ と MAC ロ ッ ク ア ウ ト . . . . . . . . . . . . . . . . 9-27
Web: ポー ト セキ ュ リ テ ィ の機能の表示お よ び設定 . . . . . . . . . . . . . 9-28
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト . . . . . . . . . . 9-28
セキ ュ リ テ ィ 違反の通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-28
侵入 ロ グの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-29
ア ラ ー ト フ ラ グ を リ セ ッ ト し て侵入 ロ グ を最新の状態に保つ . . 9-30
イ ベン ト ロ グ を使用 し た侵入ア ラ ー ト の検索 . . . . . . . . . . . . . . 9-35
Web: 侵入のチ ェ ッ ク 、 侵入ア ラ ー ト の一覧表示、 お よ びア ラ ー ト フ
ラ グの リ セ ッ ト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-36
ポー ト セキ ュ リ テ ィ の運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . 9-36
9-1
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
概要
概要
機能
デフォ
ルト
現在のポー ト セキ ュ リ テ ィ
の表示
n/a
ポー ト セキ ュ リ テ ィ の設定
侵入ア ラ ー ト と ア ラ ー ト フ
ラグ
メニュー
CLI
Web
―
9- 10 ペー
ジ
9- 28 ペー
ジ
無効
―
9- 12 ペー
ジ
9- 28 ペー
ジ
n/a
9- 35 ペー
ジ
9- 33 ペー
ジ
9- 36 ペー
ジ
ポー ト セキ ュ リ テ ィ を使用す る には、 ス イ ッ チ ポー ト ご と に、 ポー ト か
ら ネ ッ ト ワー ク へのア ク セ ス を許可す る 機器の MAC ア ド レ ス リ ス ト を設
定 し ます。 こ の設定に よ り 、 ス イ ッ チを通 じ た未認可機器か ら の通信を、
個々のポー ト で検出、 防止、 お よ び ロ グ記録す る こ と がで き ます。
注記
こ の機能では、 侵入者に よ る ブ ロ ー ド キ ャ ス ト ト ラ フ ィ ッ ク お よ びマルチ
キ ャ ス ト ト ラ フ ィ ッ ク の受信は防止で き ません。
基本的な動作
デフォルトのポート セキュリティの動作。各ポー ト のデフ ォ ル ト のポー ト
セキ ュ リ テ ィ は、 オ フ を意味す る 「continuous」に設定 さ れてい ます。 つ
ま り 、 セキ ュ リ テ ィ 機能が働 く こ と な く 、 すべての機器がポー ト にア ク セ
ス で き ます。
侵入者の防止。「侵入者」 を検出す る と 、 ポー ト は侵入側の機器がそのポー
ト を通 じ てネ ッ ト ワー ク に送信 し よ う と す る のを阻止 し ます。
9-2
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
概要
ポート セキュリティの基本的な動作。ポー ト ご と に、 未認可機器を ブ ロ ッ
ク し 、 セキ ュ リ テ ィ 違反を検出 し た場合の通知方法を設定で き ます。 ポー
ト セ キ ュ リ テ ィ を設定す る と 、 以下のいずれか を通 じ てネ ッ ト ワー ク のセ
キ ュ リ テ ィ 違反を モニ タ リ ン グで き ます。
■
ネ ッ ト ワー ク 管理ツールが捕 ら え る ア ラ ー ト フ ラ グ
■
ス イ ッ チの Web ブ ラ ウ ザ イ ン タ フ ェース のア ラ ー ト ロ グ エ ン ト リ
■
コ ン ソ ール イ ン タ フ ェ ース の イ ベン ト ロ グ エン ト リ
■
メ ニ ュ ー イ ン タ フ ェース、 CLI ま たは Web ブ ラ ウ ザ イ ン タ フ ェ ー
ス の侵入 ロ グ エン ト リ
すべてのポー ト に対 し て、 以下を設定で き ます。
■
Authorized (MAC) Addresses: ポー ト への イ ンバ ウ ン ド ト ラ
フ ィ ッ ク の受信を許可す る 機器 (MAC ア ド レ ス ) を 8 個ま で指定で
き ます。 以下の機能があ り ます。
•
•
未認可の機器から のイ ン バウ ン ド ト ラ フ ィ ッ ク に対し て 、
ポート を 閉じ ま す。
ネッ ト ワ ーク 管理ス テーシ ョ ン にセキ ュ リ ティ 違反を 通知す
る SNMP ト ラ ッ プの送信オプショ ン 、 およ び SNMP ト ラ ッ プ
を 送信する と と も にポート を 無効にする オプシ ョ ン を 提供し
ま す。 (SNMP 管理の設定については、 使用する ス イ ッ チの
『 マネジ メ ン ト / コ ン フ ィ ギ ュ レ ーショ ン ガイ ド 』 の「 ト ラ ッ
プ レ シ ーバおよ び認証ト ラ ッ プ」 を 参照し て く ださ い。 )
未認可 ト ラ フ ィ ッ ク のブ ロ ッ ク
セキ ュ リ テ ィ 違反を検出 し たポー ト を無効にす る よ う に ス イ ッ チを設定 し
ない限 り 、 ス イ ッ チのセキ ュ リ テ ィ 機能は、 ポー ト を無効にす る こ と な く
未認可の ト ラ フ ィ ッ ク を ブ ロ ッ ク し ます。 こ の実装方法に よ り 、 ハブ、 ス
イ ッ チ ま たはその他の機器が接続 さ れてい る ポー ト にセキ ュ リ テ ィ 設定を
適用 し て、 オー ソ ラ イ ズ ド ユーザに対す る ネ ッ ト ワー ク ア ク セ ス を確保
し なが ら も 、 セキ ュ リ テ ィ を確保す る こ と がで き ます。 た と えば以下の よ
う にな り ます。
9-3
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
概要
物理トポロジ
スイッチ A
ポー ト セキ ュ リ
テ ィ 設定済み
スイッチ B
ス イ ッ チ A で認
可 さ れている
MAC ア ド レ ス
スイッチ C
ス イ ッ チ A で認
可 さ れていない
MAC ア ド レ ス
PC 1
ス イ ッ チ A で認可 さ
れている MAC ア ド レ
ス
PC 2
ス イ ッ チ A で認可
さ れていない MAC
ア ド レス
PC 3
ス イ ッ チ A で認可
さ れていない MAC
ア ド レス
スイッチ A へのアクセスの論理トポロジ
スイッチ A
ポー ト セキ ュ リ
テ ィ 設定済み
PC 1
ス イ ッ チ A で認可 さ
れている MAC ア ド
レス
スイッチ B
ス イ ッ チ A で認
可 さ れている
MAC ア ド レ ス
• PC1 はス イ ッ チ A にア ク セ スで き ます。
• PC2 お よび PC3 は、ス イ ッ チ B と ス イ ッ チ C にア
ク セ スで き ますが、 ス イ ッ チ A のポー ト セキ ュ
リ テ ィ 設定に よ り ス イ ッ チ A にはア ク セ ス で き
ません。
• ス イ ッ チ C は、ス イ ッ チ A へのア ク セ スは許可 さ
れていません。
図 9-1. ポート セキュリティによるアクセス制御の例
注記
ブ ロ ー ド キ ャ ス ト ト ラ フ ィ ッ ク お よ びマルチキ ャ ス ト ト ラ フ ィ ッ ク は
「未認可」 ト ラ フ ィ ッ ク ではないため、 こ れ ら はポー ト セキ ュ リ テ ィ を設
定 し たポー ト に接続 さ れてい る 未認可の機器に も 送信 さ れます。
ト ラ ン ク グループの除外
ポー ト セキ ュ リ テ ィ は、 ス タ テ ィ ッ ク お よ びダ イ ナ ミ ッ ク ト ラ ン ク グ
ループでは機能 し ません。 ト ラ ン ク グループにポー ト を追加す る ポー ト セ
キ ュ リ テ ィ の設定は、 工場出荷時の設定に リ セ ッ ト さ れます。 ( ア ク テ ィ
ブ ま たはパ ッ シブ LACP に設定 さ れてい る ポー ト で、 ト ラ ン ク の メ ンバで
ない も のには、 ポー ト セキ ュ リ テ ィ を設定で き ます。 )
9-4
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の計画
ポー ト セキ ュ リ テ ィ の計画
1. ポート セキ ュ リ テ ィ の設定およ びモニタ リ ン グ を 以下の基準にし た
がっ て 計画し ま す。
a.
ど のポート にポート セキ ュ リ テ ィ を 設定する か。
b. 各ポート でど の機器 (MAC ア ド レ ス ) を 許可し 、 ポート あ た り 何
台の機器を 許可する か (8 台ま で )。
c.
ポート がサポート する 最大の機器数の範囲内で、 ポート が検出す
る 機器に対し て 自動的にア ク セス を 許可する か、 ま た は明示的に
指定し た 機器のみを 許可する か。( た と え ば、 あ る ポート に 3 台の
機器によ る ア ク セス を 許可し 、 な おかつそのポート に MAC ア ド
レ ス を 1 つだけ指定し た場合、 そのポート で残り 2 台を 検出順に
自動的に許可する のかど う か。)
d. 各ポート で、 ど のよ う な セキ ュ リ テ ィ ア ク シ ョ ン を 実行する か。 (
ス イ ッ チは、 ポート で検出し た未認可の機器によ る ネッ ト ワ ーク
への侵入を 自動的にブロ ッ ク し ま す。 ) ス イ ッ チでは、 次を 設定で
き ま す。 (1) SNMP 管理ス テ ーショ ン への侵入ア ラ ート の送信、 (2)
侵入を 検出し た ポート の無効化 ( オプシ ョ ン )。
e.
ス イ ッ チによ っ て 検出さ れた セキ ュ リ ティ 違反を 、 ど のよ う に通
知さ せる か。 以下の中から 1 つ以上の方法を 使用でき ま す。
-
ネ ッ ト ワー ク 管理経由 ( こ の場合、 ポー ト がセキ ュ リ テ ィ
違反を検出 し た と き に SNMP ト ラ ッ プ を ネ ッ ト ワー ク 管理
ス テーシ ョ ン に送信す る か ど う か。 )
-
CLI、 メ ニ ュ ー、 お よ び Web ブ ラ ウ ザ イ ン タ フ ェ ース か ら
利用可能な、 ス イ ッ チの侵入 ロ グ経由。
-
イ ベン ト ロ グ経由 ( メ ニ ュ ー イ ン タ フ ェース ま たは CLI
の show log コ マ ン ド を使用 )。
2. CLI ま た は Web ブラ ウ ザ イ ン タ フ ェ ース を 使用し て 、 ポート セキ ュ
リ ティ の動作と ア ド レ ス 制御を 設定でき ま す。 以下の表はパラ メ ータ
を 示し て いま す。
9-5
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプ
シ ョ ン と 動作
この項で使用するポート セキュリティ コマンド
show port-security
9- 11
port-security
9- 12
< [ethernet] port-list > 9- 12
[learn-mode]
9- 12
[address-limit]
9- 12
[mac-address]
9- 12
[action]
9- 12
[clear-intrusion-flag]
no port-security
9- 12
9- 12
こ の項では、 CLI ポー ト セキ ュ リ テ ィ コ マ ン ド について、 お よ びス イ ッ チ
が認可ア ド レ ス を取得 し 維持す る 方法について説明 し ます。
注記
9-6
ポー ト セキ ュ リ テ ィ 設定 コ マ ン ド の実行には、 グ ロ ーバル コ ン フ ィ ギ ュ
レーシ ョ ン レベルを使用 し て く だ さ い。
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マン ド オプシ ョ ン と 動作
構文 :
port-security [e] < port-list >
learn-mode < continuous | static | configured | port-access >
Continuous ( デフ ォ ル ト ) : 工場出荷時の設定値です。 ま
たは no port-security を実行する と 表示 さ れます。 ポー ト が、
接続 さ れてい る すべての機器か ら の イ ンバ ウ ン ド ト ラ
フ ィ ッ ク か ら ア ド レ ス を学習で き る よ う に し ます。 こ の
状態では、 ポー ト は接続 さ れてい る すべての機器か ら の
ト ラ フ ィ ッ ク を受け入れます。 こ う し て学習 さ れた ア ド
レ ス は、 ス イ ッ チお よ びポー ト ア ド レ ス テーブルに表
示 さ れ、 メ ニ ュ ー イ ン タ フ ェース の [System Information]
設定画面 の [MAC Age Interval]、 ま た は show systeminformation listing リ ス ト に従っ て、 削除 さ れます。
Static: static-learn オプショ ン によ り 、 mac-address パラ
メ ータ を 使用し て許可する 機器のMACアド レ ス を ポート
に指定し たり 、address-limit パラ メ ータ を 使用し てポート
に許可する MAC アド レ ス の数を 指定でき ま す。そのポー
ト に特定の機器を 許可し な がら 、 設定さ れたア ド レ ス 制
限数に達する ま で、 ポート は指定外の機器を 許可する こ
と ができ ま す。 つま り 、 指定し た MAC アド レ ス の数が許
可する 数よ り 少な い場合、 ポ ート は自動的に学習し た
MAC アド レ ス に対し 、 許可数に達する ま でアク セス を 許
可し ま す。 たと えば、 認可機器を 3 台ま でと し 、 なおか
つ認可 MAC アド レ ス を 1 つだけ指定し た場合、ポート は
明示的に認可さ れたその 1 つの MAC ア ド レ ス と と も に、
検出し た MAC ア ド レ ス 2 つ ( 検出順 ) を 自身の認可機器
リ ス ト に加えま す。 たと えば次のよ う になり ま す。
- ポー ト A4 で MAC ア ド レ ス 0060b0-880a80 を許可
し た と し ます。
- またポー ト A4 で許可する機器を 3 台まで と 設定し、
ポー ト が次のMACア ド レ ス を順に検出し た と し ます。
1. 080090-1362f2 3.080071-0c45a1
2. 00f031-423fc1 4.0060b0-880a80 ( 指定 し た認可
アドレス )
こ の場合、 ポー ト A4 には次の認可ア ド レ ス の リ ス ト
が作成 さ れます。
080090-1362f2( 最初に検出 さ れた ア ド レ ス )
00f031-423fc1 (2 番目に検出 さ れた ア ド レ ス )
0060b0-880a80 ( 指定 し た認可ア ド レ ス )
残 り の MAC ア ド レ ス 080071-0c45a1 は、 侵入者 と な り
ます。 9- 10 ページの 「ス タ テ ィ ッ ク ア ド レ ス の保持」
も 参照 し て く だ さ い。
CAUTION: mac-address パ ラ メ ー タ で指定 し た MAC ア ド
レ ス の数を超え る 機器の制限数を指定 し て learn-mode
static を使用す る と 、 不要な機器が 「許可」 さ れ る 場合
があ り ます。 こ れは、 ポー ト が address-limit パ ラ メ ー
タ に よ っ て許可 さ れ る 機器数を満たそ う と し て、 指定の
ア ド レ ス制限数に達す る ま で検出 し た機器を自動的に加
え て し ま う ためです。
9-7
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
構文 :
port-security [e] < port-list > (- 続き -)
learn-mode < continuous | static | configured | port-access >
Configured: static-configured オプシ ョ ンは、 ア ド レ ス制
限数に余分があ っ て も 、 指定外のア ド レ ス を許可 し ませ
ん。 こ れを除いて、 前のページで説明 し た static-learn オ
プシ ョ ン と 同様に動作 し ます。 し たがっ て、 ア ド レ ス制
限数を 3 つに設定 し 、 MAC ア ド レ ス を 2 つだけ指定 し た
場合、 ス イ ッ チは検出 し た指定外の MAC ア ド レ ス につい
てはすべて侵入者 と し て扱い ます。
Port-Access: (802.1X) ポー ト ベース のア ク セ ス制御に よ る
ポー ト セキ ュ リ テ ィ を使用で き ます。 8- 1 ページの
「ポー ト ベース のア ク セ ス制御 (802.1x) の設定」 を参照 し
て く だ さ い。
address-limit < integer >
Learn Mode が static (static-learn) ま たは configured
(static-configured) に設定 さ れてい る 場合、 こ のパ ラ メ ー
タ は許可す る認可機器 (MAC ア ド レ ス ) の数を指定 し ま
す。 デフ ォ ル ト : 1 回、 範囲 :1 ~ 8
mac-address < mac-addr >
static (static-learn お よ び configured-learn) モー ド で設定で
き ます。 address-limit パ ラ メ ー タ で指定 し た値に よ っ て、
ポー ト あ た り 8 台ま で許可す る 機器 (MAC ア ド レ ス ) を指
定で き ます。
• learn-mode configured で mac-address を使用 し 、なおか
つ許可 し た機器の数が address-limit フ ィ ール ド で指定
し た値 よ り も 少ない場合、 ポー ト は mac-address で指
定 し た機器のみを許可 し ます。 ( 上の注記 を参照 し て く
だ さ い。 )
• learn-mode static で mac-address を使用 し 、 なおかつ許可
し た機器の数が address-limit フ ィ ール ド で指定 し た値
よ り も 少ない場合、 ポー ト は指定の機器に加え て、 機
器の制限数に余分があ る 限 り 他の機器 も 許可 し ます。
9-8
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マン ド オプシ ョ ン と 動作
構文 :
port-security [e] < port-list > (- 続き -)
action < none | send-alarm | send-disable >
SNMP ト ラ ッ プ を ネ ッ ト ワー ク 管理ス テーシ ョ ン に送信す
る か ど う か を指定 し ます。 次の場合に、 機能 し ます。
• Learn modeが learn-mode static (static-learn) ま たは learnmode configured (static-configured) に設定 さ れてお り 、
ポー ト が未認可機器を検出 し た と き 。
• Learn mode が learn-mode continuous に設定 さ れてお り 、
ポー ト で MAC ア ド レ ス の変更があ っ た と き 。
none ( デフ ォ ル ト ): SNMP ト ラ ッ プは送信 さ れません。
send alarm: ネ ッ ト ワー ク 管理ス テーシ ョ ンに SNMP ト
ラ ッ プを送信 し ます。
send-disable: learn-mode configured お よ び learn-mode
static を使用 し てい る 場合のみ設定で き ます。 ネ ッ ト ワー
ク 管理ス テーシ ョ ンに SNMP ト ラ ッ プを送信 し 、 ポー ト
を無効に し ます。 ポー ト の侵入フ ラ グ を消去せずにポー
ト を再度有効に し た場合、 ポー ト は侵入者をブ ロ ッ ク し
ますが、 侵入フ ラ グ を リ セ ッ ト し ない限 り 、 ス イ ッ チが
ポー ト を再度無効にす る こ と はあ り ません。 9- 30 ページ
の CAUTION を参照 し て く だ さ い。
SNMP 管理の設定については、 使用する ス イ ッ チの 『マネ
ジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 を参照 し て
く だ さ い。
clear-intrusion-flag
特定のポー ト の侵入フ ラ グ を削除 し ます。 (9- 28 ページの
「侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト 」
を参照 し て く だ さ い。 )
9-9
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
ス タ テ ィ ッ ク MAC ア ド レ ス の保持
学習 し た MAC ア ド レ ス
以下の 2 つの場合、 ス イ ッ チ を リ ブー ト し た後や、 そのポー ト のポー ト セ
キ ュ リ テ ィ を無効に し て も、 ポー ト はス タ テ ィ ッ ク 学習モー ド (learnmode static) で学習 し た MAC ア ド レ ス を保持 し ています。
■
(write memory コ マ ン ド を使用 し て ) startup-config フ ァ イ ルお よ び
running-config フ ァ イ ルでポー ト を learn-mode static に設定 し た後
で、 ポー ト が MAC ア ド レ ス を学習す る 。
■
running-config フ ァ イ ルでのみポー ト を learn-mode static に設定 し 、
ポー ト が MAC ア ド レ ス を学習 し た後、 write memory コ マ ン ド を
実行 し て running-config フ ァ イ ルの内容を startup-config フ ァ イ ル
に保存す る。
割 り 当て / 認可 MAC ア ド レ ス
(mac-address < mac-addr > を使用 し て ) 手動で MAC ア ド レ ス を割 り 当て
た後、 write memory コ マ ン ド を実行 し た場合、 割 り 当てた MAC ア ド レ ス
は次のいずれかの方法で削除す る ま で メ モ リ に残 り ます。
学習 し た ス タ テ ィ ッ ク MAC ア ド レ スお よ び割 り 当てた ス
タ テ ィ ッ ク MAC ア ド レ ス の削除
ス タ テ ィ ッ ク MAC ア ド レ ス を削除す る には、 以下のいずれか を行い ます。
■
no port-security < port-number > mac-address < mac-addr > を使用
し て ア ド レ ス を削除す る 。
■
不要な MAC ア ド レ ス割 り 当て を含ま ない コ ン フ ィ ギ ュ レーシ ョ ン
フ ァ イ ルを ダ ウ ン ロ ー ド する 。
■
ス イ ッ チを工場出荷時のデフ ォ ル ト 設定に リ セ ッ ト す る。
現在のポー ト セキ ュ リ テ ィ の設定の表示
CLI は同一の コ マ ン ド を使用 し て、 次の 2 つの タ イ プのポー ト セキ ュ リ
テ ィ リ ス ト を表示 し ます。
9-10
■
ス イ ッ チのすべてのポー ト の [Learn Mode] お よ び [( 警告 ) Action]
■
指定 し たポー ト のみの [Learn Mode]、 [Address Limit]、 [( 警告 )
Action] お よ び [Authorized Addresses]
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マン ド オプシ ョ ン と 動作
CLI を使用したポート セキュリティの設定の表示。
構文 :
show port-security
show port-security [e] <port number>
show port-security [e] [<port number>-<port number].. .[,<port number>]
ポー ト パ ラ メ ー タ を設定せずに show port-security を実行す る と 、 ス イ ッ
チの全ポー ト の動作制御設定が表示 さ れます。 た と えば以下の よ う にな り
ます。
図 9-2. ポート セキュリティ リストの例 ( ポート A7 および A8 はデフォル
ト設定 )
コ マ ン ド にポー ト 番号を指定 し て show port-security を実行す る と 、 ス
イ ッ チの指定 し たポー ト の [Learn Mode]、 [Address Limit]、 [( 警告 ) Action]
お よ び [Authorized Addresses] を表示 し ます。 次の例では、 単一ポー ト の完
全なポー ト セキ ュ リ テ ィ の設定が一覧表示 さ れてい ます。
図 9-3. 単一ポートのポート セキュリティ設定の表示の例
9-11
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
次の コ マ ン ド 例は、 連続 し ないポー ト を含む、 ポー ト 範囲を入力す る オプ
シ ョ ン を示 し てい ます。 コ マ ン ド 文字列のポー ト 番号部分に スペース を指
定す る こ と はで き ません。
ProCurve(config)# show port-security A1-A3,A6,A8
ポー ト セ キ ュ リ テ ィ の設定
CLI を使用 し て、 以下の操作が実行で き ます。
■
ポー ト セキ ュ リ テ ィ の設定お よ びセキ ュ リ テ ィ の設定の編集
■
1 つ以上のポー ト の [Authorized Addresses] リ ス ト への機器の追加ま
たは削除
■
特定のポー ト の侵入フ ラ グの削除
構文 :
port-security [e] < port-list >
[learn-mode < continuous | static | configured | port-access >]
[address-limit < integer >]
[mac-address < mac-addr >] [< mac-addr > .. . < mac-addr >]
[action < none | send-alarm | send-disable >]
[clear-intrusion-flag]
( 上記の configured オ プ シ ョ ン については、 9- 6 ページの 「注 記」 を参照 し て く だ さ い。 )
no port-security < port-list > mac-address < mac-addr > [< mac-addr > . . .
< mac-addr >]
認可機器お よ び侵入応答の指定
Learn-Mode Static。次の例では、 ポー ト A1 において、 検出 し た最初の機
器 (MAC ア ド レ ス ) を そのポー ト で唯一の認可機器 と し て自動的に許可す
る よ う に設定 し てい ます。 ( デフ ォ ル ト の機器制限値は 1 です。 ) ポー ト で
未認可の機器を検出 し た場合は、 ネ ッ ト ワー ク 管理ス テーシ ョ ン に警告を
送信 し 、 ポー ト を無効化する よ う に設定 し てい ます。
ProCurve(config)# port-security a1 learn-mode static
action send-disable
次の例では、 前の例 と 同 じ 処理を行い ますが、 最初に検出 し た機器を自動
的に認可機器 と し て受け入れ さ せる のではな く 、 許可す る 機器 と し て
MAC ア ド レ ス 0c0090-123456 を指定 し てい る 点が異な り ます。
9-12
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マン ド オプシ ョ ン と 動作
ProCurve(config)# port-security a1 learn-mode static
mac-address 0c0090-123456 action send-disable
次の例では、 ポー ト A5 を以下の よ う に設定 し てい ます。
■
00c100-7fec00 と 0060b0-889e00の2つのMAC ア ド レ ス を認可機器 と
し て許可す る 。
■
ポー ト で侵入者が検出 さ れた場合は、 管理ス テーシ ョ ンにア ラ ー
ム を送信す る 。
ProCurve(config)# port-security a5 learn-mode static
address-limit 2 mac-address 00c100-7fec00 0060b0-889e00
action send-alarm
許可す る 機器 (MAC ア ド レ ス ) お よ びポー ト のア ラ ーム ア ク シ ョ ン の両方
ま たは一方を ポー ト に手動で設定 し た場合、 こ れ ら の設定は、 手動で変更
す る か、 ま たは ス イ ッ チを出荷時の設定に リ セ ッ ト す る ま で、 その ま ま維
持 さ れ ます。 ポー ト を continuous Learn Mode に設定す る と 、 そのポー ト で
の機器の許可を 「無効」 にで き 、 その後にポー ト を static Learn Mode に再
設定す る と 、 機器の許可設定は復元 さ れます。
Learn-Mode Configured。こ のオプシ ョ ン を設定す る と 、 learn-mode
configured mac-address < mac-address > で設定 さ れた MAC ア ド レ ス のみ
を許可 し 、 指定外の MAC ア ド レ ス を自動的に学習 し ません。 次の例では、
ポー ト A1 を以下の よ う に設定 し てい ます。
■
MAC ア ド レ ス 0c0090-123456 のみを、 認可機器 と し て許可す る。
■
さ ら に 2 つの指定 MAC ア ド レ ス を、ア ド レ ス制限数の設定を変更す
る 必要な く 後で追加で き る よ う に予約す る。
■
ポー ト で侵入者が検出 さ れた場合は、 管理ス テーシ ョ ンにア ラ ー
ム を送信す る 。
ProCurve(config)# port-security A1 learn-mode configured
mac-address 0c0090-123456 address-limit 3 action senddisable
既存ポー ト リ ス ト への MAC ア ド レ ス の追加
単純に機器 (MAC ア ド レ ス ) を ポー ト の既存の [Authorized Addresses] リ ス
ト に追加す る には、 mac-address パ ラ メ ー タ と 機器の MAC ア ド レ ス を指
定 し てポー ト 番号を入力 し ます。 こ の場合、 Learn Mode が static ま たは
configured のいずれかに設定 さ れてお り 、 [Authorized Addresses] リ ス ト の
ア ド レ ス数に ま だ余分があ る こ と ( 現在の [address-lmit] の値に よ っ て決定
9-13
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
) が前提 と な り ます。 た と えば、 次の よ う に、 ポー ト A1 で 2 台の認可機器
を許可 し 、 なおかつ [Authorized Address] リ ス ト に ま だ 1 つ し かア ド レ ス が
登録 さ れていない と し ます。
[Address Limit] は
2 に設定 さ れてい
ますが、このポー ト
には1つの機器 し か
エ ン ト リ さ れてい
ま せ ん。 こ の 場 合
は、ア ド レ ス制限値
を増やす こ と な く 、
別の ア ド レ ス を 追
加で き ます。
ア ド レ ス制限値には
まだ達 し ていません。
図 9-4. 認可機器をポートに追加する例
ポー ト A1 が上記の よ う に設定 さ れてい る 場合、 次の コ マ ン ド に よ っ て
0c0090-456456 MAC ア ド レ ス が 2 番目の認可ア ド レ ス と し て追加 さ れ ま
す。
ProCurve(config)# port-security a1 mac-address 0c0090456456
こ の コ マ ン ド を実行 し た後、 ポー ト A1 のセキ ュ リ テ ィ 設定は次の よ う に
な り ます。
ア ド レ ス制限値に達 し
ま し た。
図 9-5. 2 番目の認可機器をポートに追加する例
注記
9-14
現在のア ド レ ス制限値を超え て新 し い MAC ア ド レ ス を エン ト リ し よ う と
し た り 、 既に リ ス ト に存在す る 機器を指定す る と 、 Inconsistent value と い
う メ ッ セージが表示 さ れます。 ポー ト の Learn Mode を static か ら
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マン ド オプシ ョ ン と 動作
continuous に変更す る と 、 ポー ト は static モー ド で保持 し ていたすべての
認可ア ド レ ス を メ モ リ 内に保持 し ます。 その後、 同 じ 認可ア ド レ ス を指定
し てポー ト を static モー ド に戻そ う と す る と 、 それ ら のア ド レ ス は既に
ポー ト の 「認可」 リ ス ト に存在する ので、 Inconsistent value メ ッ
セージが表示 さ れます。
[Authorized Addresses] リ ス ト が既にい っぱい ( 制限値はポー ト の現在の
[Address Limit] の設定に よ り 制御 ) のポー ト に機器 (MAC ア ド レ ス ) を追加
す る場合、 1 つの機器を別の機器 と 置 き 換え る 場合であ っ て も 、 機器を追
加す る ためにア ド レ ス制限値を増やす必要があ り ます。 CLI を使用す る と 、
1 つの コ マ ン ド で制限値の変更 と MAC ア ド レ ス の追加が同時に行え ます。
た と えば、 ポー ト A1 の認可機器の制限数が 1 で、 すでに 1 台が リ ス ト に
設定 さ れてい る と し ます。
図 9-6. [Address Limit] 値が "1" のポート A1 におけるポート セキュリティ例
ポー ト A1 に 2 台目の認可機器を追加す る には、 ポー ト A1 に対 し て portsecurity コ マ ン ド を実行 し て ア ド レ ス制限数を 2 に設定 し 直 し 、 追加機器
の MAC ア ド レ ス を指定 し ます。 た と えば以下の よ う にな り ます。
ProCurve(config)# port-security a1 mac-address 0c0090456456 address-limit 2
Learn-Mode Static に設定されたポートの「認可」リストからの機器の削
除。こ の コ マ ン ド オプシ ョ ンは、 不要な機器 (MAC ア ド レ ス ) を
[Authorized Addresses] リ ス ト か ら 削除 し ます。 ([Authorized Addresses] リ ス
ト は、 [Learn Mode] が現在 「static」 に設定 さ れてい る ポー ト で使用で き ま
す。 9- 8 ページの 「mac-address」 指定を参照 し て く だ さ い。 )
CAUTION
address-limit の設定は、 ポー ト の [Authorized Addresses] リ ス ト で許可 さ れ
る MAC ア ド レ ス の数を制御 し ます。 ア ド レ ス制限数を 1 つ減 ら さ ないで
MAC ア ド レ ス 1 つを削除す る と 、 ポー ト は後か ら ユーザの意図に反 し て
[Authorized Address] リ ス ト に同一ま たは別の MAC ア ド レ ス を検出 し て許
可 し て し ま う 可能性があ り ます。 こ のため、 認可機器でな く な っ た MAC
ア ド レ ス を CLI で削除す る 場合は、 まず [Address Limit] (address-limit) の整
9-15
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の コ マ ン ド オプシ ョ ン と 動作
数値を 1 つ減 ら す必要があ り ます ( 次の例を参照 )。 こ れに よ り 、 同 じ 機器
ま たはネ ッ ト ワー ク 上の別の機器が、 そのポー ト で 「認可」 機器 と し て自
動的に許可 さ れ る こ と はな く な り ます。 (learn-mode static オプシ ョ ン の代
わ り に learn-mode configured オプシ ョ ン を使 う こ と に よ り 、 ポー ト が未認
可 MAC ア ド レ ス を学習 し ない よ う に設定で き ます。 9- 6 ページの 「注記」
を参照 し て く だ さ い。 )
「認可」 リ ス ト か ら 機器 (MAC ア ド レ ス ) を削除す る 際、 現在の機器の数が
[Address Limit] と 等 し い場合には、 先にア ド レ ス制限値を 1 減 ら し てか ら
不要な機器を削除 し ます。
注記
ス イ ッ チが learn-mode static に設定済みの場合は、 現在ポー ト で許可 さ れ
てい る ア ド レ ス数 よ り 少ない数にア ド レ ス制限数を減 ら す こ と がで き ま
す。 こ れに よ り 、 不要な機器が自動的に認可 さ れ る こ と な く 、 「認可」 リ
ス ト か ら 機器を削除で き ます。 (learn-mode configured を使用 し てい る 場合、
ス イ ッ チは mac-address 設定に含ま れていない機器を検出 し て も それを自
動的に追加す る こ と はで き ません。 9- 6 ページの 「注記」 を参照 し て く だ
さ い。 )
た と えば、 ポー ト A1 が以下の よ う に設定 さ れてお り 、 [Authorized Address]
リ ス ト か ら 0c0090-123456 を削除す る場合は、 次の よ う にな り ます。
ProCurve(config)# show port-security 1
Port Security
Port : 1
Learn Mode [Continuous] : Static
Action [None] : None
Authorized Addresses
-------------------0c0090-123456
0c0090-456456
Address Limit [1] : 2
0c0090-123456 を削除するには、 まず
ア ド レ ス制限値を 1 減ら し て、 ポー ト
がネ ッ ト ワー ク 上で検出 し た別の機器
を自動的に追加 し ないよ う に し ます。
図 9-7. 認可アドレス数が 2 のポート A1 の例
次の コ マ ン ド は、 0c0090-123456 を削除 し 、 ア ド レ ス制限値を 1 に し ます。
ProCurve(config)# port-security a1 address-limit 1
ProCurve(config)# no port-security a1 mac-address 0c0090123456
上記の コ マン ド シーケ ン スに よ り 、ポー ト A1 の設定は次の よ う にな り ます。
9-16
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
ProCurve(config)# show port-security 1
Port Security
Port : 1
Learn Mode : Static
Action: None
Address Limit : 1
Authorized Addresses
-------------------0c0090-456456
図 9-8. MAC アドレスを 1 つ削除した後のポート A1 の例
MAC ロ ッ ク ダ ウ ン
MAC ロ ッ ク ダ ウ ンは 「ス タ テ ィ ッ ク ア ド レ ス設定」 と も 呼ばれ、 特定の
MAC ア ド レ ス ( お よ び VLAN) を ス イ ッ チの特定のポー ト に固定的に割 り
当て る 機能です。 MAC ロ ッ ク ダ ウ ンは、 ス テーシ ョ ンの移動や MAC ア ド
レ ス のハ イ ジ ャ ッ ク を防止す る ために使用 さ れます。 ま た、 ス イ ッ チにお
け る ア ド レ ス学習 も 制御 し ます。 あ る MAC ア ド レ ス について ロ ッ ク ダ ウ
ン を設定す る と 、 指定 さ れたポー ト 以外ではその MAC ア ド レ ス を使用で
き ず、 ク ラ イ ア ン ト 機器は割 り 当て ら れた VLAN でのみア ク セ ス を許可 さ
れ ます。
注記
ポー ト セキ ュ リ テ ィ と MAC ロ ッ ク ダ ウ ンは、 1 つのポー ト 上で互いに排
他的 と な り ます。 ユーザは、 ポー ト セキ ュ リ テ ィ ま たは MAC ロ ッ ク ダ ウ
ンのいずれか を使用で き 、 同 じ ポー ト で同時に使用で き ません。
構文 :
[no] static-mac < mac-addr > vlan < vid > interface < port-number >
ロ ッ ク ダ ウ ンす る MAC/VLAN ペア ご と に個別に コ マ ン ド を入力す る必要
があ り ます。 VLAN ID (VID) を指定 し ない と 、 ス イ ッ チは VID に "1" を挿
入 し ます。
9-17
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
MAC ロックアウトの仕組み。機器の MAC ア ド レ ス を所定のポー ト に ( 通
常は VLAN と ペアで ) ロ ッ ク ダ ウ ンす る と 、 その MAC ア ド レ ス に送信 さ
れ るすべての情報は必ず ロ ッ ク ダ ウ ン ポー ト を経由 し ます。 その機器が別
のポー ト に移動す る と 、 機器はデー タ を受信で き ません。 指定 さ れた
MAC ア ド レ スへの ト ラ フ ィ ッ ク は、 機器がそのポー ト に接続 さ れてい る
か ど う かにかかわ ら ず、 許可 さ れたポー ト にのみ送 ら れます。
MAC ロ ッ ク ダ ウ ンは、 侵入者が MAC ア ド レ ス を既知のユーザか ら 「ハ イ
ジ ャ ッ ク 」 し てデー タ を盗むの を防止 し ます。 MAC ロ ッ ク ダ ウ ン を使用
し ない と 、 ス イ ッ チが悪意を持つユーザのポー ト でア ド レ ス を学習 し 、 正
規のユーザに発信 さ れた ト ラ フ ィ ッ ク を盗む機会を侵入者に与え る こ と に
な り ます。
MAC ロ ッ ク ダ ウ ン に よ っ て、 特定の MAC ア ド レ ス宛に発信 さ れ る ト ラ
フ ィ ッ ク は、 その MAC ア ド レ ス に接続 さ れた 1 つのポー ト し か経由で き
な く な り ます。 侵入者が ロ ッ ク ダ ウ ン さ れた MAC ア ド レ ス を使っ てパ
ケ ッ ト を送信す る こ と は防げ ませんが、 そのパケ ッ ト への応答が ロ ッ ク ダ
ウ ン ポー ト 以外に送信 さ れ る こ と はな く な り ます。 し たが っ て、 TCP 接続
は確立で き ません。 ロ ッ ク ダ ウ ン さ れた ア ド レ ス に送信 さ れ る ト ラ フ ィ ッ
ク はハ イ ジ ャ ッ ク で き ず、 侵入者のポー ト に送信 さ れません。
コ ン ピ ュ ー タ 、 PDA、 無線端末な ど の機器を ス イ ッ チの別のポー ト に移動
さ せ る 場合 (Ethernet ケーブルを接続 し 直 し た り 、 同 じ ス イ ッ チの異な る
ポー ト に接続 し てい る 無線ア ク セ ス ポ イ ン ト がカバーす る 領域に機器が移
動 し た り す る な ど )、 そのポー ト は、 MAC ア ド レ ス が適切なポー ト に存在
し ていない と 判断 し 、 ア ド レ ス が ロ ッ ク ダ ウ ン さ れてい る ポー ト に ト ラ
フ ィ ッ ク を送信 し 続け ます。
あ る MAC ア ド レ ス を 1 つのポー ト に設定す る と 、 同一ス イ ッ チの別の
ポー ト にそれ と 同 じ MAC ア ド レ ス を用いてポー ト セキ ュ リ テ ィ を設定す
る こ と はで き ません。
1 つの MAC ア ド レ ス /VLAN ペア を複数のポー ト に ロ ッ ク ダ ウ ンす る こ と
はで き ませんが、 複数の MAC ア ド レ ス を同 じ ス イ ッ チの 1 つのポー ト に
ロ ッ ク ダ ウ ン で き ます。
ス テーシ ョ ンは、 自分の MAC ア ド レ ス が ロ ッ ク ダ ウ ン さ れてい る ポー ト
か ら 、 ネ ッ ト ワー ク の他の場所に移動で き ます。 デー タ が ロ ッ ク ダ ウ ン さ
れた ス イ ッ チを経由 し なければな ら ない場合、 ス テーシ ョ ンは こ のデー タ
を送信で き ますが、 受信はで き ません。 機器を ネ ッ ト ワー ク の遠隔部に移
動 し 、 そ こ では機器の MAC ア ド レ ス に送信 さ れ るデー タ が ロ ッ ク ダ ウ ン
さ れた ス イ ッ チを経由 し ない場合、 その機器が完全な双方向通信を行え る
よ う にな る可能性があ る こ と に注意 し て く だ さ い。 ネ ッ ト ワー ク 全域を完
全に ロ ッ ク ダ ウ ンす る ためには、 すべての ス イ ッ チを適切に設定す る必要
があ り ます。
9-18
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
その他の留意事項。1 つのポー ト で MAC ア ド レ ス /VLAN のペア を ロ ッ ク ダ
ウ ンする と 、 そのペア を別のポー ト に ロ ッ ク ダ ウ ンする こ と はで き ません。
MAC ロ ッ ク ダ ウ ン と 802.1x 認証を、 同 じ ポー ト ま たは同 じ MAC ア ド レ
ス に設定す る こ と はで き ません。 MAC ロ ッ ク ダ ウ ン と 802.1x 認証は、 互
いに排他的です。
ロ ッ ク ダ ウ ンは、 ス タ テ ィ ッ ク ト ラ ン ク ( 手動で設定 さ れ る リ ン ク ア グ リ
ゲーシ ョ ン ) で許可 さ れます。
MAC ロ ッ ク ダ ウ ン と ポー ト セキ ュ リ テ ィ の違い
ポー ト セキ ュ リ テ ィ は MAC ア ド レ ス に基づいてい る ため、 MAC ロ ッ ク ダ
ウ ン機能 と 混同 さ れ る こ と が少な く あ り ません。 し か し 、 MAC ロ ッ ク ダ
ウ ンは ま っ た く 異な る 機能であ り 、 実装 さ れ る アーキ テ ク チ ャ レベル も 異
な り ます。
ポー ト セキ ュ リ テ ィ は、 ポー ト ご と に許可す る MAC ア ド レ ス の リ ス ト を
保持す る も のです。 1 つのア ド レ ス を、 ス イ ッ チの複数のポー ト に設定で き
ます。 ポー ト セキ ュ リ テ ィ は MAC ア ド レ ス のみを扱い ますが、 MAC ロ ッ
ク ダ ウ ンは MAC ア ド レ ス と VLAN の両方を ロ ッ ク ダ ウ ン に指定 し ます。
一方、 MAC ロ ッ ク ダ ウ ンは 「 リ ス ト 」 ではあ り ません。 MAC ロ ッ ク ダ ウ
ンは、 他のあ ら ゆ る セキ ュ リ テ ィ メ カ ニ ズ ム よ り も 優先 さ れ る ス イ ッ チに
おけ る グ ロ ーバル パ ラ メ ー タ です。 1 つの MAC ア ド レ ス は、 ス イ ッ チの
特定の 1 ポー ト を介 し てのみ通信を許可 さ れます。
MAC ロ ッ ク ダ ウ ンは、 ポー ト セキ ュ リ テ ィ に代わ る 手法 と し て優れてお
り 、 MAC ア ド レ ス の よ り 厳格な制御、 そ し て使用す る ポー ト の確実な選択
を可能に し ます (MAC ロ ッ ク ダ ウ ン では、 同一ス イ ッ チで MAC ア ド レ ス 1
つにつ き 1 ポー ト のみ )。( そのポー ト を他の MAC ア ド レ ス に使用で き ます
が、 ロ ッ ク ダ ウ ン さ れた MAC ア ド レ ス は他のポー ト で使用で き ません。 )
ポー ト セキ ュ リ テ ィ のみを用い る場合、 1 つの MAC ア ド レ ス を同 じ ス
イ ッ チの別のポー ト で も 使用で き ます。 一方、 MAC ロ ッ ク ダ ウ ン では、
MAC ア ド レ ス と ポー ト の関係は明確に 1 対 1 と な り ます。 あ る ポー ト に
MAC ア ド レ ス を ロ ッ ク ダ ウ ンすれば、 その MAC ア ド レ ス は同 じ ス イ ッ チ
の別のポー ト には使用で き ません。
MAC ロ ッ ク ダ ウ ン と ポー ト セキ ュ リ テ ィ を同一のポー ト で併用す る こ と
はで き ません。
9-19
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
MAC ロ ッ ク ダ ウ ンの運用上の注記
制限。ス イ ッ チ 1 台に安全に設定で き る MAC ロ ッ ク ダ ウ ン の数は最大 500
です。 MAC ア ド レ ス を確実に ロ ッ ク ダ ウ ンす る には、 すべての MAC ア ド
レ スお よ び VLAN ID についてすべての ス イ ッ チで MAC ロ ッ ク ダ ウ ン コ マ
ン ド を 実行す る 必要が あ り ま す。 実際には こ れ を すべて 実行す る ネ ッ ト
ワー ク 管理者は少数ですが、 MAC ア ド レ スお よ び VID を ロ ッ ク ダ ウ ン し た
ス イ ッ チが 1 台だけであ る 場合、 機器 ( あ る いはその機器の MAC ア ド レ ス
に 「な り すま す」 ハ ッ カー ) は ロ ッ ク ダ ウ ン さ れていない別の ス イ ッ チ を
引 き続 き 使用で き る 状況にあ る こ と に、 十分注意す る 必要があ り ます。
イベント ログ メッセージ。ロ ッ ク ダ ウ ン さ れた MAC ア ド レ ス の使用者が
不適切なポー ト を使っ て通信 し よ と す る と ( 「Move attempt; 移動の試み」
)、 ロ グ フ ァ イ ルに次の よ う な メ ッ セージが生成 さ れ ます。
Move attempt (lockdown) logging:
W 10/30/03 21:33:43 maclock: module A: Move 0001e6-1f96c0
to A15 denied
W 10/30/03 21:33:48 maclock: module A: Move 0001e6-1f96c0
to A15 denied
W 10/30/03 21:33:48 maclock: module A: Ceasing move-denied
logs for 5m
ロ グ フ ァ イ ルに生成 さ れ る こ れ ら の メ ッ セージは、 問題の ト ラ ブルシ ュ ー
テ ィ ン グに役立ち ます。 ロ ッ ク ダ ウ ン さ れてい る機器を不適切なポー ト に
接続 し よ う し て も 失敗 し 、 上記の よ う なエ ラ ー メ ッ セージが生成 さ れ る の
で、 問題を把握 し やす く な り ます。
ログ メッセージの頻度の制限。最初の移動の試み ( すなわち侵入 ) は、 上
記の例の よ う に ロ グ記録 さ れ ま す。 さ ら に移動の試みが発生す る と 、 ロ グ
フ ァ イ ルに メ ッ セージが送信 さ れ ま すが、 モジ ュ ールご と に ロ グ記録 さ れ
る メ ッ セージの数が制限 さ れ ます。 つま り 、 ロ ギ ン グ シ ス テ ムは当初 5 分
が経過 し た後に、 不適切なポー ト に移動す る 新た な試みがあ る か ど う か を
チ ェ ッ ク し ます。 試みが認め ら れ る 場合、 ロ グ フ ァ イ ルは直近の試みを記
録 し 、 1 時間後に再度チ ェ ッ ク し ます。 は じ めの 5 分間に新た な試みが認め
ら れない場合は、 5 分おき にチ ェ ッ ク を継続 し ます。 1 時間の間に新たな試
みが認め ら れた場合、 ロ グはチ ェ ッ ク を 1 日 1 回の頻度にす る よ う リ セ ッ
ト し ます。 ロ グ メ ッ セージの回数に制限を設け る理由は、 ロ グ フ ァ イ ルが
す ぐ に満杯にな ら ない よ う す る ためです。 ス イ ッ チには、 Syslog サーバに
同 じ メ ッ セージ を送信す る よ う に も 設定で き ます。使用す る ス イ ッ チの 『 マ
ネジ メ ン ト / コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 の付録 C 「デバ ッ グお よ び
Syslog メ ッ セージ ン グ オペレーシ ョ ン」 を参照 し て く だ さ い。
9-20
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
MAC ロ ッ ク ダ ウ ンの展開
MAC ロ ッ ク ダ ウ ン を展開す る 際は、 セキ ュ リ テ ィ を確保す る ために MAC
ロ ッ ク ダ ウ ン を ネ ッ ト ワ ー ク ト ポ ロ ジの中で ど の よ う に用い る のか を検討
す る必要があ り ます。 ス パニ ン グ ツ リ ー プ ロ ト コ ル (STP) な ど の手法で機
器への多重パ ス を構築 し 、 ネ ッ ト ワー ク パフ ォーマ ン ス を高速化 し てい る
環境では、 MAC ロ ッ ク ダ ウ ン が機能 し ないか、 機能 し て も デー タ の多重
パ ス を設け る 意味を打ち消 し て し ま い ます。
MAC ロ ッ ク ダ ウ ン を使用す る 理由は、 悪意のあ る ユーザに認可 MAC ア ド
レ ス をハ イ ジ ャ ッ ク さ れてそのア ド レ ス に送信 さ れ る デー タ ト ラ フ ィ ッ ク
を盗ま れない よ う にす る ためです。
こ れま で説明 し た よ う に、 MAC ロ ッ ク ダ ウ ンは、 あ る固有の MAC ア ド レ
ス を宛先 と す る すべての ト ラ フ ィ ッ ク が、 実際の MAC ア ド レ ス を持つ機
器が接続す る 適切なポー ト 以外には送信 さ れない よ う にす る こ と で、 MAC
ア ド レ ス のハ イ ジ ャ ッ ク を防止 し ます。
し か し 、 スパニ ン グ ツ リ ーな ど の多重パス技術を使用す る ネ ッ ト ワー ク で
MAC ロ ッ ク ダ ウ ン を誤っ て展開する と 、問題が発生す る 可能性があ り ます。
次に、 セキ ュ リ テ ィ の確保を第一に考え なが ら 、 ネ ッ ト ワ ー ク で MAC
ロ ッ ク ダ ウ ン を有効活用する 方法について説明 し ます。
9-21
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
内部 コ ア
ネ ッ ト ワー ク
内部 コ ア ネ ッ ト ワー
ク では、 ス イ ッ チに
MAC ア ド レ ス を ロ ッ
ク ダウンする必要は
あ り ません。
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
ネ ッ ト ワー ク エ ッ ジ
サーバ 「A」
サーバ 「A」 を これ らの
ポー ト にロ ッ ク し ます。
Switch 2810
Switch 2810
エ ッ ジ機器
多様なユーザ
図 9-9. ネットワーク エッジに MAC ロックダウンを展開してセキュリティ
を確保
基本的な MAC ロックダウン展開。上記のネ ッ ト ワー ク ト ポ ロ ジ モデルに
おいて、 ネ ッ ト ワー ク エ ッ ジに接続 さ れた ス イ ッ チは、 コ ア ネ ッ ト ワー
ク への コ ネ ク シ ョ ン がそれぞれ 1 つだけです。 つま り 、 デー タ を サーバ A
に伝送で き る パ ス はいずれの ス イ ッ チ も 1 本 し かあ り ません。 MAC ロ ッ
ク ダ ウ ン を用い る こ と で、 サーバ A の MAC ア ド レ ス を宛先 と す るすべて
の ト ラ フ ィ ッ ク がエ ッ ジ ス イ ッ チの所定ポー ト を必ず経由す る よ う に設定
で き ます。 こ れに よ り 、 エ ッ ジのユーザは他のネ ッ ト ワー ク リ ソ ース を引
き 続 き 使用で き る一方、 サーバ A に 「な り すま し 」 て、 サーバ A のみを宛
先 と す る デー タ ト ラ フ ィ ッ ク をハ イ ジ ャ ッ ク す る こ と はで き ません。
9-22
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
こ の ト ポ ロ ジ モデルの要点を ま と め る と 、 次の よ う にな り ます。
• 「 ロ ッ ク ダウ ン 」 さ れた ス イ ッ チを 使用する こ と で、 コ ア ネッ
ト ワ ーク がエッ ジから 切り 離さ れ、 セキ ュ リ テ ィ が確保さ れ
ま す。
•
エッ ジ ( 外部ユーザ ) に接続さ れたス イ ッ チはすべて 、 コ ア
ネッ ト ワ ーク 経由のサーバ A への接続に使用でき る ポート が
1 つのみと なり ま す。
•
サーバAの MACア ド レ ス を コ ア およ びサーバAに接続可能なス
イ ッ チご と に 1 つのポート にロ ッ ク ダウ ン でき る よ う 、 各ス
イ ッ チに MAC ロ ッ ク ダウ ン が設定さ れて いま す。
こ う し た設定を施す こ と で、 サーバ A を コ ア ネ ッ ト ワー ク の範囲内で移
動 さ せ る こ と がで き る と と も に、 MAC ロ ッ ク ダ ウ ンは引 き 続 き エ ッ ジの
ユーザに よ る MAC ア ド レ ス のハ イ ジ ャ ッ ク と デー タ の漏洩を防止 し ます。
ただ し 、 こ のシナ リ オでは、 悪意を持つエ ッ ジのユーザがサーバ A の
MAC ア ド レ ス にな り すま し 、 あ たか も サーバ A か ら 発信 さ れた よ う に見
え るデー タ パケ ッ ト を送信す る こ と は可能であ る こ と に注意 し て く だ さ
い。 効果的な点 と し て、 MAC ロ ッ ク ダ ウ ン がエ ッ ジの ス イ ッ チで用い ら
れてい る ため、 サーバ A に返送 さ れ る ト ラ フ ィ ッ ク はすべて適切な MAC
ア ド レ ス に送信 さ れます。 エ ッ ジにあ る ス イ ッ チは、 サーバ A のデー タ
パケ ッ ト を、 サーバ A に接続 さ れてい る ポー ト 以外には送信 し ません (
デー タ が送信 さ れ る のはエ ッ ジ ス イ ッ チ ま で と な り ます )。
CAUTION
MAC ロ ッ ク ダ ウ ン を使用 し て も 、 コ ア ネ ッ ト ワ ー ク の範囲内では ハ イ
ジ ャ ッ ク を防止で き ません。 コ ア ネ ッ ト ワ ー ク 内部でサーバ A の MAC ア
ド レ ス のな り すま し を防 ぐ には、 エ ッ ジだけではな く コ ア ネ ッ ト ワー ク 内
のすべての ス イ ッ チに も ロ ッ ク ダ ウ ン を設定す る必要があ り ます。
多重パスが設定されたネットワークで MAC ロックダウンを使用する際の
問題。次に、 MAC ロ ッ ク ダ ウ ン を使用す る と 問題が生 じ る ネ ッ ト ワー ク
ト ポ ロ ジについて説明 し ます。 次の図で、 ス イ ッ チ 1 ( 左下 ) はネ ッ ト ワ ー
ク のエ ッ ジに設置 さ れてい ます。 エ ッ ジには、 適正なユーザ以外に も 、
ハ ッ カーをは じ め と す る 悪意のあ る ユーザが混在 し てい る 可能性があ り ま
す。 ス イ ッ チ 1 には、 サーバ A に接続可能なパ ス が 2 本あ り ます。 こ こ で
MAC ロ ッ ク ダ ウ ン を設定 し てサーバ A に送信 さ れ る すべてのデー タ を 1
本のパ ス に ロ ッ ク ダ ウ ン し よ う と す る と 、 接続上の問題が発生す る こ と が
あ り ます。 こ れは、 パ ス の 1 本に障害が発生 し た場合に備え て両方のパ ス
を使用可能に し てお く 必要があ る ためです。
9-23
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ダ ウ ン
内部ネ ッ ト ワー ク
問題 : この リ ン ク に障害が発生
し て も、 サーバ A への ト ラ
フ ィ ッ ク にス イ ッ チ 3 を経由
するバ ッ ク ア ッ プ パスが使用
さ れません。
スイ ッチ 3
サーバ A
スイ ッ チ 4
サーバ A はス イ ッ チ
1、 ア ッ プ リ ン ク 2
にロ ッ ク ダウン さ れ
ています。
スイ ッ チ 2
スイ ッチ 1
外部ネ ッ ト
ワー ク
多様なユーザ
図 9-10. 多重パスで MAC ロックダウンを使用する際の接続上の問題
こ の よ う な状況では結果的に接続上の問題が発生す る ため、 サーバ A を ス
イ ッ チ 1 に ロ ッ ク ダ ウ ンす る こ と はで き ません。 ま た、 ( ブ ロ ー ド キ ャ ス
ト ス ト ーム な ど の接続上の問題を回避す る ために ) ス イ ッ チ 1 か ら MAC
ロ ッ ク ダ ウ ン を解除す る と 、 ネ ッ ト ワ ー ク のセ キ ュ リ テ ィ を確保で き な く
な り ます。 上図の よ う に MAC ロ ッ ク ダ ウ ン を使用す る と 、 STP ( ス パニ ン
グ ツ リ ー プ ロ ト コ ル ) を使用す る 目的ま たは代替パ ス を持つ意味がな く な
り ます。
STP な ど の技術は、 全ユーザが信頼で き る内部キ ャ ンパ ス ネ ッ ト ワー ク 環
境を主な対象 と し てい ます。 STP は、 MAC ロ ッ ク ダ ウ ン と の親和性があ
り ません。
MAC ロ ッ ク ダ ウ ン を図 9-9 (9- 22 ページ ) の ト ポ ロ ジ モデルの よ う に展開
すれば、 セキ ュ リ テ ィ と 接続の両方を問題な く 確保で き ます。
9-24
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ア ウ ト
ステータスの表示。CLI で show running-config コ マ ン ド を実行す る と 、
ロ ッ ク ダ ウ ン さ れたポー ト が一覧表示 さ れます。 show static-mac コ マ ン
ド を実行 し た場合 も 、 ロ ッ ク ダ ウ ン さ れた MAC ア ド レ ス の リ ス ト が次の
よ う に表示 さ れます。
ProCurve(config)# show static-mac
VLAN MAC Address Port
1 001083-34f8fa 9
Number of locked down MAC addresses = 1
ProCurve(config)#
図 9-11. ロックダウンされたポートの一覧表示
MAC ロ ッ ク ア ウ ト
MAC ロ ッ ク ア ウ ト は、 ア ク セ ス を不許可 と す る MAC ア ド レ ス を ス イ ッ チ
の全ポー ト お よ び VLAN に設定す る こ と で、 「 ロ ッ ク ア ウ ト 」 さ れた MAC
ア ド レ ス と の間で送受信 さ れ る ト ラ フ ィ ッ ク をすべて破棄す る機能です。
つま り 、 所定のア ド レ ス と の間で送受信 さ れ る すべてのデー タ パケ ッ ト
が、 ス イ ッ チに よ っ て阻止 さ れ ます。 MAC ロ ッ ク ア ウ ト は、 ス イ ッ チご
と に設定 さ れます。
MAC ロ ッ ク ア ウ ト は、 シ ン プルなブ ラ ッ ク リ ス ト と も いえ ます。 所定の
MAC ア ド レ ス が、 ス イ ッ チお よ びすべての VLAN か ら シ ャ ッ ト ア ウ ト さ
れ ます。 MAC ロ ッ ク ア ウ ト を設定す る と 、 ス イ ッ チのブ ラ ッ ク リ ス ト に
登録 さ れた MAC ア ド レ ス はデー タ の送受信が行え ません。
VLAN1 つあ た り に設定で き る MAC ロ ッ ク ア ウ ト の数は、 以下の よ う に、
設定 さ れてい る VLAN の数に応 じ て異な り ます。
表 9-1.
VLAN の数に応じて設定できる MAC ロックアウトの数
最大 VLAN 数
ロックアウト数
8
50
16
25
>16
2
MAC ア ド レ ス を ネ ッ ト ワー ク か ら 完全に締め出すには、 MAC ロ ッ ク ア ウ
ト コ マ ン ド を全ス イ ッ チで使用す る 必要があ り ます。
9-25
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ア ウ ト
MAC ロ ッ ク ア ウ ト を使用す る には、 まずブ ロ ッ ク す る MAC ア ド レ ス を認
識 し なければな り ません。
構文 :
[no] lockout-mac < mac-address >
MAC ロックアウトの仕組み。た と えば、 あ る 企業でネ ッ ト ワー ク にア ク
セ ス さ せた く ない未認可の無線 ク ラ イ ア ン ト があ る と し ます。 ネ ッ ト ワ ー
ク 管理者は、 MAC ロ ッ ク ア ウ ト コ マ ン ド (lockout-mac <mac-address>) を
実行 し て、 その無線 ク ラ イ ア ン ト の MAC ア ド レ ス を 「締め出 し 」 ます。
無線 ク ラ イ ア ン ト がネ ッ ト ワー ク へのア ク セ ス を試み る と 、 ス イ ッ チは侵
入す る MAC ア ド レ ス を検知 し て、 その ク ラ イ ア ン ト がネ ッ ト ワー ク で
デー タ を送受信で き ない よ う に し ます。
特定の MAC ア ド レ ス が ス イ ッ チで不要 と 判断 さ れれば、 1 つの コ マ ン ド
を使っ て、 その MAC ア ド レ ス を その ス イ ッ チの全ポー ト で不許可にで き
ます。 全ポー ト に個別に設定す る 必要はな く 、 ス イ ッ チで コ マ ン ド を実行
すれば全ポー ト に適用 さ れ ます。
MAC ロ ッ ク ア ウ ト は、 MAC ロ ッ ク ダ ウ ン、 ポー ト セキ ュ リ テ ィ 、 802.1x
認証 よ り 優先 さ れます。
MAC ロ ッ ク ア ウ ト を使用 し て も 、 以下について ロ ッ ク ア ウ ト す る こ と は
で き ません。
•
ブロ ード キ ャ ス ト ま たはマルチキ ャ ス ト ア ド レ ス ( ス イ ッ チは
こ れら を 学習し ま せん )
•
ス イ ッ チ エージェ ン ト ( ス イ ッ チ自身の MAC ア ド レ ス )
ロ ッ ク ア ウ ト さ れた MAC ア ド レ ス の使用者が ス イ ッ チ経由でデー タ の送
信を試み る と 、 ロ グ フ ァ イ ルに次の よ う な メ ッ セージが生成 さ れます。
Lockout logging format:
W 10/30/03 21:35:15 maclock: module A: 0001e6-1f96c0
detected on port A15
W 10/30/03 21:35:18 maclock: module A: 0001e6-1f96c0
detected on port A15
W 10/30/03 21:35:18 maclock: module A: Ceasing lock-out
logs for 5m
9-26
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
MAC ロ ッ ク ア ウ ト
MAC ロ ッ ク ダ ウ ン と 同様に、 ロ グ フ ァ イ ルに ロ グ数制限アルゴ リ ズ ム を
用い る こ と で、 ロ グ フ ァ イ ルがエ ラ ー メ ッ セージで満杯にな ら ない よ う
に設定で き ます。 (9- 20 ページの 「 ロ グ メ ッ セージの頻度の制限」 を参照
し て く だ さ い。 )
ステータスの表示。CLI で show running-config コ マ ン ド を実行す る と 、
ロ ッ ク ア ウ ト さ れたポー ト が一覧表示 さ れます。 show lockout-mac コ マ ン
ド を実行 し た場合 も 、 ロ ッ ク ア ウ ト さ れた MAC ア ド レ ス の リ ス ト が次の
よ う に表示 さ れます。
ProCurve(config)# show lockout-mac
Locked Out Addresses
007347-a8fd30
Number of locked out MAC addresses = 1
ProCurve(config)#
図 9-12. ロックアウトされたポートの一覧表示
ポー ト セ キ ュ リ テ ィ と MAC ロ ッ ク ア ウ ト
MAC ロ ッ ク ア ウ ト は、 ポー ト セキ ュ リ テ ィ と は無関係に機能 し ますが、
実際にはポー ト セキ ュ リ テ ィ よ り 優先 さ れます。 MAC ロ ッ ク ア ウ ト は、 1
つの コ マ ン ド で ス イ ッ チの全ポー ト に設定で き る ので、 既知の機器か ら の
ア ク セ ス を阻止す る には、 ポー ト セキ ュ リ テ ィ よ り 望ま し い手法です。
MAC ロ ッ ク ア ウ ト は、 ポー ト セキ ュ リ テ ィ と 併用で き ます。 MAC ロ ッ ク
ア ウ ト を用い る こ と で、 1 つのア ド レ ス を締め出 し 、 特定機器へのア ク セ
ス を拒否で き る 一方、 ス イ ッ チは引 き 続 き他の MAC ア ド レ ス を学習で き
ます。 ただ し 、 MAC ロ ッ ク ア ウ ト と ポー ト セキ ュ リ テ ィ を併用す る 場合
は次の よ う な注意が必要です。
•
あ る MAC ア ド レ ス がロ ッ ク ア ウ ト さ れ、 なおかつポート セ
キ ュ リ ティ の static learn テーブルに表示さ れる 場合、 見かけ
上は「 認可さ れている 」 ア ド レ ス であ る にも かかわら ずロ ッ
ク ア ウ ト さ れま す。
•
ポート セキ ュ リ テ ィ によ っ て 設定さ れた MAC ア ド レ ス の内容
は MAC ロ ッ ク ア ウ ト を 設定し た場合も 維持さ れ、 ロ ッ ク ア ウ
ト が解除さ れる と 元のポート セキ ュ リ テ ィ 設定が有効になり
ま す。
•
ポート セキ ュ リ テ ィ のス タ テ ィ ッ ク ア ド レ ス は、 ロ ッ ク ア ウ
ト ア ド レ ス と なり ま す。 こ の場合 (MAC ロ ッ ク ア ウ ト )、 ポー
ト セキ ュ リ テ ィ の観点から は「 認可」 ア ド レ ス であ っ て も 、
そのア ド レ ス はロ ッ ク ア ウ ト (SA/DA 破棄 ) さ れま す。
9-27
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
Web: ポー ト セキ ュ リ テ ィ の機能の表示お よび設定
•
MAC ロ ッ ク ア ウ ト エン ト リ が削除さ れる と 、 ポート セキ ュ リ
テ ィ はそ のア ド レ ス を 後で 必要な ア ド レ ス と し て 再学習し ま
す。
Web: ポー ト セキ ュ リ テ ィ の機能の表示
お よ び設定
1. [Security] タ ブを ク リ ッ ク し ま す。
2. [Port Security] ボタ ン を ク リ ッ ク し ま す。
3. 必要な 設定を 選択し 、 static の Learn Mode を 使用し て いる 場合は、
[Authorized Addresses] フ ィ ールド を 追加ま たは編集し ま す。
4. [Apply Changes] ボタ ン を ク リ ッ ク する こ と によ り 、 新データ が反映
さ れま す。
ス イ ッ チについて Web ベース のオン ラ イ ン ヘルプ を参照す る には、 Web
ブ ラ ウ ザ画面の [?] ボ タ ン を ク リ ッ ク し ます。
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ
ラ グの リ セ ッ ト
セキ ュ リ テ ィ 違反の通知
ス イ ッ チはポー ト で未認可の機器を検出す る と 、 そのポー ト 用に 「ア ラ ー
ト フ ラ グ」 を設定 し 、 以下の よ う な手段で侵入情報を使用で き る よ う に し
ます。 ス イ ッ チは同 じ ポー ト で さ ら に未認可の機器を検出す る こ と があ り
ますが、 そのポー ト のア ラ ー ト フ ラ グ を リ セ ッ ト し ない限 り 、 以降に検
出 さ れ る 侵入 ロ グは一覧表示 さ れません。
ポー ト セキ ュ リ テ ィ が設定 さ れたポー ト でセキ ュ リ テ ィ 違反が発生 し た場
合、 ス イ ッ チは以下の方法で応答 し 、 ユーザに通知 し ます。
■
■
9-28
ス イ ッ チはそのポー ト のア ラ ー ト フ ラ グ を設定 し ます。 こ の フ ラ
グは次の処理が行われ る ま で維持 さ れます。
•
CLI、 メ ニュ ー イ ン タ フ ェ ース ま た は Web ブラ ウ ザ イ ン タ
フ ェ ース のいずれかを 使用し て フ ラ グ を リ セッ ト する 。
•
ス イ ッ チが工場出荷時のデフ ォ ルト 設定にリ セッ ト さ れる 。
ス イ ッ チは、 以下の手段を提供 し て侵入を通知 し ます。
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
•
•
•
•
CLI の場合 :
-
show port-security intrusion-log コ マ ン ド で、 侵入 ロ グ を表
示 し ます。
-
log コ マ ン ド で イ ベン ト ロ グ を表示 し ます。
メ ニ ュ ー イ ン タ フ ェ ース の場合 :
-
[Port Status] 画面にポー ト ご と の侵入ア ラ ー ト が表示 さ れ
ます。
-
イ ベン ト ロ グには、 セキ ュ リ テ ィ 違反についてポー ト ご
と のエ ン ト リ が含ま れてい ます。
Web ブラ ウ ザ イ ン タ フ ェ ース の場合 :
-
ア ラ ー ト ロ グの [Status | Overview] ウ ィ ン ド ウ に、 ポー ト
ご と のセキ ュ リ テ ィ 違反エ ン ト リ が表示 さ れ ます。
-
[Security | Intrusion Log] ウ ィ ン ド ウ の [Intrusion Log] に、ポー
ト ご と のセキ ュ リ ティ 違反エン ト リ が一覧表示さ れま す。
ア ク ティ ブなネッ ト ワ ーク 管理環境では、 ネッ ト ワ ーク 管理ス
テーショ ン に送信さ れる SNMP ト ラ ッ プを 介し て 通知し ま す。
侵入 ロ グの動作
ス イ ッ チはポー ト で未認可の機器を検出す る と 、 [Intrusion Log] に こ の イ ベ
ン ト を記録 し ます。 ユーザがア ラ ー ト フ ラ グ を リ セ ッ ト し て、 以前の侵入
イ ベン ト を確認す る ま で、 そのポー ト で次に未認可の機器が検出 さ れて も
ロ グには表示 さ れません。
ア ラ ー ト フ ラ グが リ セ ッ ト さ れたか ど う かに関係な く 、 [Intrusion Log] に
は最新の 20 件のセキ ュ リ テ ィ 違反が一覧表示 さ れます。 こ の一覧表示に
よ っ て、 過去の侵入についての履歴が得 ら れます。 し たが っ て、 た と えば
ポー ト A1 に対 し て侵入ア ラ ー ト が 1 つあ り 、 侵入 ロ グにポー ト A1 に対す
る エン ト リ が 2 つ以上表示 さ れてい る 場合、 最新のエ ン ト リ だけは ( ア
ラ ー ト フ ラ グ を リ セ ッ ト し て ) 確認 さ れていない こ と にな り ます。 それ以
外のエ ン ト リ は、 ポー ト A1 で検出 さ れた過去の侵入履歴を示 し てい ます。
図 9-13. 同じポートに対する複数の侵入ログ エントリの例
9-29
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
こ の ロ グは、 最新の侵入を一覧表示の一番上に表示 し てい ます。 侵入 ロ グ
エ ン ト リ は削除で き ません ( ス イ ッ チを工場出荷時のデフ ォ ル ト 設定に リ
セ ッ ト し ない限 り )。 その代わ り 、 ス イ ッ チが新 し い侵入を検出 し て ロ グ
がい っぱいにな る と 、 最 も 古いエ ン ト リ が一覧表示か ら 削除 さ れ、 最新の
エ ン ト リ が一覧表示の一番上に表示 さ れます。
ア ラ ー ト フ ラ グ を リ セ ッ ト し て侵入 ロ グ を最新の状
態に保つ
ポー ト で違反が発生す る と 、 そのポー ト に対す る ア ラ ー ト フ ラ グが設定 さ
れ、 違反が [Intrusion Log] に記録 さ れ ます。 ス イ ッ チはそのポー ト で後に
続いて発生す る 侵入を検出 し 、 処理 し ますが、 すべてのポー ト ま たは個別
のポー ト のア ラ ー ト フ ラ グ を リ セ ッ ト す る ま で、 ポー ト への侵入は ロ グに
記録 し ません。
S en d - D i sa b l e
オ ペレ ー シ ョ ン
に 関す る 注 記
あ る ポー ト において、 SNMP ト ラ ッ プ を送信 し た上にポー ト を無効にす る
(send-disable) と い っ た侵入の挙動があ り 、 侵入者がそのポー ト で検出 さ れ
た場合、 ス イ ッ チは SNMP ト ラ ッ プ を送信 し 、 そのポー ト にア ラ ー ト フ ラ
グ を設定 し て、 ポー ト を無効に し ます。 ア ラ ー ト フ ラ グ を リ セ ッ ト せずに
そのポー ト を再度有効にする と 、 ポー ト は次の よ う に動作 し ます。
■
ポー ト が機能 し て、 検出 し た未認可機器か ら の ト ラ フ ィ ッ ク を ブ
ロ ッ ク し ます。
■
ポー ト が別の未認可機器を検出す る と 、新たに SNMP ト ラ ッ プ を送
信 し ますが、 ポー ト の侵入フ ラ グ を リ セ ッ ト す る ま では再び無効
にな り ません。
こ のオペレーシ ョ ン に よ っ て、 ポー ト は認可機器に対す る ト ラ フ ィ ッ ク の
送信を継続で き る と と も に、 ユーザは未認可機器を特定 し て阻止す る こ と
が可能にな り ます。 こ う し たオペレーシ ョ ン が行われない と 、 侵入者の登
場に よ っ てポー ト が繰 り 返 し 無効にな っ て し ま う 可能性があ り ます。
メ ニ ュ ー : 侵入のチ ェ ッ ク 、 侵入ア ラ ー ト の一覧表示お よ
びア ラ ー ト フ ラ グの リ セ ッ ト
メ ニ ュ ー イ ン タ フ ェース では、 [Port Status] 画面にポー ト ご と の侵入が表
示 さ れ、 [Intrusion Log] 画面に詳細 と リ セ ッ ト 機能が表示 さ れ ます。
1. [Main Menu] から 以下を 選択し ま す。
[1. Status and Counters]
[4. Port Status]
9-30
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
[Intrusion Alert] カ
ラ ムには、 セ
キ ュ リ テ ィ 違反
が検出 さ れた
ポー ト すべてに
「Yes」 が表示 さ
れます。
図 9-14. ポート A3 に侵入アラートが設定された [Port Status] 画面の表示例
2. [I] キ ー (Intrusion log) を 入力し て 侵入ロ グ を 表示し ま す。
ポー ト A3 で
検出 さ れた侵
入機器の MAC
ア ド レス
ポー ト A3 への侵入時のシ
ス テム時刻
ポー ト A3 への この侵入が、
表示の日時に行われた リ
セ ッ ト ( リ ブー ト ) よ り 前
に発生 し た こ と を示 し てい
ます。
図 9-15. 侵入ログの表示の例
上記の例は、 ポー ト A3 への侵入 2 件、 お よ びポー ト A1 への侵入 1 件
を示 し てい ます。 こ の場合、 ポー ト A3 での最新の侵入だけは確認 ( リ
セ ッ ト ) さ れてい ません。 こ れは、 以下に よ っ て示 さ れてい ます。
•
[Port Status] 画面 (9- 31 ページ の図 9-14) には、ポート A1 の侵入
は示さ れて いま せん。 そのため、 ポート A1 への侵入のア ラ ー
ト フ ラ グ はすでにリ セッ ト さ れて いま す。
•
ス イ ッ チが表示でき る 未消去の侵入はポート ご と に 1 件のみで
あ る ため、 こ の例のポート A3 の古い侵入も 以前にリ セッ ト さ
れて いま す。
9-31
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
( 侵入 ロ グには 20 件ま での侵入レ コ ー ド が保持 さ れ ます。 ロ グが
いっぱいにな り 、 その後新 し い侵入が検出 さ れ る と 、 侵入レ コー
ド が 1 件削除 さ れ ます。 )
最 も 古い侵入レ コ ー ド に付け ら れてい る 「prior to」 と い う テ キ ス ト
は、 表示 さ れてい る 時刻に ス イ ッ チが リ セ ッ ト さ れた こ と 、 そ し て リ
セ ッ ト 前に侵入が発生 し た こ と を意味 し てい ます。
3. ポート A3 の最新の侵入レ コ ード を 確認し 、 ま た ス イ ッ チがこ のポー
ト で以降に検出する 侵入を 記録でき る よ う にする には、 [R] キー ( ア
ラ ート フ ラ グ のリ セッ ト ) を 入力し ま す。 ( 複数のポート に未確認の
侵入エン ト リ があ り 、 こ の手順を 実行する と 、 すべて のポート のア
ラ ート フ ラ グ がリ セッ ト さ れま す。 )
続いて [Port Status] 画面を再表示す る と 、 ポー ト A3 の侵入ア ラ ー ト エ ン
ト リ が 「No」 に変わっ てい る こ と がわか り ます。 つま り 、 侵入ア ラ ー ト フ
ラ グが確認 ( リ セ ッ ト ) 済みであ る こ と の証拠 と し て、 [Port Status] 画面に
おいて、 侵入のあ っ たポー ト ( こ の例ではポー ト A3) の [Intrusion Alert] カ
ラ ム に 「Yes」 が表示 さ れてい ません。 ( 侵入 ロ グには、 ス イ ッ チに よ っ て
検出 さ れた最新の 20 件の侵入履歴が表示 さ れ る ため、 ア ラ ー ト フ ラ グ を
リ セ ッ ト し て も 表示内容は変わ り ません。 し たがっ て、 侵入 ロ グ を再び表
示す る と 、 上記、 図 9-15 と 同 じ 画面が表示 さ れます。 )
9-32
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
CLI: 侵入のチ ェ ッ ク 、 侵入ア ラ ー ト の一覧表示お よ びア
ラ ー ト フ ラ グの リ セ ッ ト
以下の コ マ ン ド は、 ポー ト の侵入ア ラ ー ト の有無を含むポー ト ス テー タ ス
の表示、 最新の 20 件の侵入の一覧表示、 お よ びすべてのポー ト ま たは侵
入が検出 さ れた特定のポー ト のア ラ ー ト フ ラ グ を リ セ ッ ト す る も のです。
( 侵入レ コー ド は ロ グに維持 さ れます。 詳細は、 9- 36 ページの 「ポー ト セ
キ ュ リ テ ィ の運用上の注記」 を参照 し て く だ さ い。
構文 :
show interfaces brief
侵入ア ラ ー ト の ス テー タ ス ( お よ び他のポー ト ス テー タ
ス情報 ) を一覧表示 し ます。
show port-security intrusion-log
侵入 ロ グの内容を一覧表示 し ます。
clear intrusion-flags
すべてのポー ト の侵入フ ラ グ を削除 し ます。
port-security [e] < port-number > clear-intrusion-flag
特定のポー ト の侵入フ ラ グ を削除 し ます。
次の例では、 show interfaces brief を実行 し て ス イ ッ チのポー ト ス テー タ
ス を一覧表示 し 、 ポー ト A1 の侵入ア ラ ー ト を示 し てい ます。
ポー ト A1 の侵入ア ラ ー ト
図 9-16. [Port Status] 画面の未確認の侵入アラートの例
侵入の詳細を確認す る には、 show port-security intrusion-log コ マ ン ド を実
行 し ます。 た と えば以下の よ う にな り ます。
9-33
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
ポー ト A1 における
最新の侵入者の
MAC ア ド レ ス
侵入の日時
ポー ト A1 への消去
済みの以前の侵入 (
つま り 、 最新の侵入
が発生する前に、 ア
ラ ー ト フ ラ グが 2 回
以上 リ セ ッ ト さ れて
います。 )
図 9-17. 同じポートに複数のエントリがある侵入ログの例
上記の例は、 ポー ト A1 に 3 件の侵入があ っ た こ と を示 し てい ます。 ス
イ ッ チが表示で き る 未消去の侵入はポー ト ご と に 1 件のみであ る ため、 こ
の例の古い 2 件の侵入は clear intrusion-log コ マ ン ド ま たは port-security <
port-list > clear-intrusion-flag コ マ ン ド に よ っ てすでに消去 さ れてい る こ と
がわか り ます。 ( 侵入 ロ グには最大 20 件の侵入レ コ ー ド が保持 さ れ ます。
ロ グがいっぱいにな り 、 その後新 し い侵入が検出 さ れ る と 、 侵入レ コー ド
が削除 さ れ ます。 ) ま た、 3 番目の侵入レ コ ー ド に付け ら れてい る 「prior
to」 と い う テ キ ス ト は、 表示 さ れてい る 時刻に ス イ ッ チが リ セ ッ ト さ れた
こ と 、 そ し て リ セ ッ ト 前に侵入が発生 し た こ と を意味 し てい ます。
ポー ト A1 の侵入フ ラ グ を消去 し て、 ス イ ッ チがポー ト A1 におけ る 新た な
侵入を侵入 ロ グに記録で き る よ う にす る には、 port-security clear-intrusionflag コ マ ン ド を実行 し ます。 続いて [Port Status] 画面を再表示す る と 、 ポー
ト A1 の侵入ア ラ ー ト エ ン ト リ が 「No」 に変わ っ てい る こ と がわか り ま
す。 (show port-security intrusion-log コ マ ン ド を再度実行す る と 、 上記 と 同
じ 表示 と な り 、 [Intrusion Alert] ス テー タ ス は含ま れ ません。 )
ProCurve(config)# port-security a1 clear-intrusion-flag
ProCurve(config)# show interfaces brief
ポー ト A1 の侵入ア ラ ー ト がク リ ア さ れま し た。
図 9-18. アラート フラグがリセットされた後の [Port Status] 画面の例
侵入の ク リ アについては、 9- 30 ページの 「Send-Disable オペレーシ ョ ンに
関す る 注記」 を参照 し て く だ さ い。
9-34
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
侵入ア ラ ー ト の読み取 り と ア ラ ー ト フ ラ グの リ セ ッ ト
イ ベン ト ロ グ を使用 し た侵入ア ラ ー ト の検索
イ ベン ト ロ グには、 ポー ト セキ ュ リ テ ィ の侵入が次の よ う に一覧表示 さ
れます。
W MM/DD/YY HH:MM:SS FFI:port A3 - Security Violation
「W」 は ロ グ エ ン ト リ の重大度レベル、「FFI」 は こ のエ ン ト リ を生成 し た シ
ス テ ム モジ ュールです。 詳 し く は、 下記の よ う に侵入 ロ グ画面を表示 し て
く だ さ い。
CLI から。管理者レベル ま たはオペレー タ レベルで log コ マ ン ド を入力 し
ます。
構文 :
log [search-text ]
[search-text] には、 ffi、security、ま たは violation を使用で き ます。 た と え
ば以下の よ う にな り ます。
検索文字列に 「security」
を指定 し た ログ コ マ ン ド
セキ ュ リ テ ィ 違
反が検出 さ れた
ログの リ ス ト
セキ ュ リ テ ィ 違
反が検出 さ れな
か っ た ログの リ
スト
図 9-19. セキュリティ違反が検出された場合およびされなかった場合のロ
グ一覧表示の例
メニュー インタフェースから。[Main Menu] で、 [4. Event Log] を ク リ ッ ク
し 、 [Next page] お よ び [Prev page] を使用 し て イ ベン ト ロ グの内容を確
認 し ます。
イベント ログ情報の詳細について。使用す る ス イ ッ チの 『 マネジ メ ン ト /
コ ン フ ィ ギ ュ レーシ ョ ン ガ イ ド 』 にあ る 「 ト ラ ブルシ ュ ーテ ィ ン グ」 の章
「 ロ グ を使用 し て問題の原因を特定す る」 を参照 し て く だ さ い。
9-35
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の運用上の注記
Web: 侵入のチ ェ ッ ク 、 侵入ア ラ ー ト の一覧表示、 お
よ びア ラ ー ト フ ラ グの リ セ ッ ト
1. [Status] タ ブ、 [Overview] ボタ ン の順にク リ ッ ク し て 、 ア ラ ート ロ グ
を チェ ッ ク し ま す。「 Security Violation ( セキ ュ リ テ ィ 違反 )」 エン ト リ
があ れば、 以下の手順を 実行し ま す。
a.
[Security] タ ブを ク リ ッ ク し ま す。
b. [Intrusion Log] ボタ ン を ク リ ッ ク し ま す。「 Ports with Intrusion Flag」
は、 ア ラ ート フ ラ グ がク リ ア さ れて いな いポート があ る こ と を 示
し ていま す。
c.
現在のア ラ ート フ ラ グ を ク リ ア する には、 [Reset Alert Flags] ボタ
ン を ク リ ッ ク し ま す。
ス イ ッ チについて Web ベース のオン ラ イ ン ヘルプ を参照す る には、 Web
ブ ラ ウ ザ画面の [?] ボ タ ン を ク リ ッ ク し ます。
ポー ト セキ ュ リ テ ィ の運用上の注記
侵入者の IP アドレスの特定。侵入 ロ グは検出 さ れた未認可の機器を MAC
ア ド レ ス別に一覧表示 し ます。 プ ロ キ シ Web サーバ
ス タ テ ィ ッ ク ポー ト セキ ュ リ テ ィ が設定 さ れてい る ス イ ッ チ ポー ト を通
じ て ス イ ッ チの Web ブ ラ ウ ザ イ ン タ フ ェース を使用 し 、 ブ ラ ウ ザ ア ク セ
ス を プ ロ キ シ Web サーバ経由で行 う 場合は、 以下の設定が必要です。
■
PC ま たは ワー ク ス テーシ ョ ン の MAC ア ド レ ス を ポー ト の
[Authorized Addresses] リ ス ト に入力す る 。
■
PC ま たは ワ ー ク ス テーシ ョ ンの IP ア ド レ ス を ス イ ッ チのオー ソ ラ
イ ズ ド IP マネージ ャ リ ス ト に入力す る。 ( 第 11 章 「オー ソ ラ イ ズ
ド IP マネージ ャ 」 を参照 し て く だ さ い。 )
上記のど ち ら も 設定 さ れていない場合、 ス イ ッ チはプ ロ キ シ サーバの
MAC ア ド レ ス のみを検出 し 、 PC やワー ク ス テーシ ョ ン の MAC ア ド レ ス
は検出 し ないため、 接続は未認可であ る と 解釈 し ます。
侵入ログの「Prior To」エントリ。ス イ ッ チを リ セ ッ ト ([Reset] ボ タ ン、
[Device Reset] ボ タ ン、 [Reboot Switch] ボ タ ン のいずれか を使用 ) す る と 、
侵入 ロ グでは現在 ロ グに記録 さ れてい る すべての侵入日時を 「prior to “ リ
セ ッ ト 日時”」 ( リ セ ッ ト 日時 よ り 以前を意味) と 表示 し ます。
9-36
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の運用上の注記
侵入ログから強制削除されたエントリのアラート フラグのステータス。ア
ラ ー ト フ ラ グが リ セ ッ ト さ れていないエ ン ト リ で侵入 ロ グが満杯にな っ た
場合、 新 し い侵入が発生する と 最 も 古いエ ン ト リ が一覧表示か ら 削除 さ れ
ますが、 削除 さ れたエ ン ト リ のポー ト のア ラ ー ト フ ラ グの ス テー タ ス は変
わ り ません。 し たがっ て、 エ ン ト リ が侵入 ロ グか ら 強制的に削除 さ れて
も 、 ア ラ ー ト フ ラ グ を リ セ ッ ト す る ま でそのポー ト に対す る新 し い侵入を
ロ グに記録す る こ と はで き ません。
ポート セキュリティが設定されたポートでは LACP を使用できない。セ
キ ュ リ テ ィ を維持す る ために、 ポー ト セキ ュ リ テ ィ が設定 さ れたポー ト で
は LACP は許可 さ れ ません。 LACP ( ア ク テ ィ ブ ま たはパ ッ シブ ) が設定 さ
れてい る ポー ト でポー ト セキ ュ リ テ ィ を設定す る と 、 ス イ ッ チは LACP 設
定を削除 し 、 ポー ト で LACP が無効にな っ た こ と を示す警告を表示 し て、
そのポー ト のポー ト セキ ュ リ テ ィ を有効に し ます。 た と えば以下の よ う に
な り ます。
ProCurve(config)# port-security e a17 learn-mode static
address-limit 2
LACP has been disabled on secured port(s).
ProCurve(config)#
ポー ト セキ ュ リ テ ィ が有効にな っ てい る ポー ト で LACP を設定する こ と は
で き ません。 た と えば以下の よ う にな り ます。
ProCurve(config)# int e a17 lacp passive
Error configuring port A17:LACP and port security cannot
be run together.
ProCurve(config)#
ポー ト に LACP を復元す る には、 ポー ト セキ ュ リ テ ィ を解除 し て LACP (
ア ク テ ィ ブ ま たはパ ッ シブ ) を再度有効にする 必要があ り ます。
9-37
ポー ト セキ ュ リ テ ィ の設定お よ びモニ タ リ ン グ
ポー ト セキ ュ リ テ ィ の運用上の注記
9-38
10
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ルタ
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-2
ソ ース ポー ト フ ィ ル タ の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-3
ソ ース ポー ト フ ィ ル タ の動作ルール . . . . . . . . . . . . . . . . . . . . 10-3
ソ ース ポー ト フ ィ ル タ の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 10-5
ソ ース ポー ト フ ィ ル タ の表示 . . . . . . . . . . . . . . . . . . . . . . . . . 10-8
フ ィ ル タ の イ ンデ ッ ク ス番号付け . . . . . . . . . . . . . . . . . . . . . . 10-9
ソ ース ポー ト フ ィ ル タ の編集 . . . . . . . . . . . . . . . . . . . . . . . . 10-10
名前付 き ソ ース ポー ト フ ィ ル タ の使用 . . . . . . . . . . . . . . . . . 10-10
10-1
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
概要
概要
基本動作。 ポ ー ト 単位で ス タ テ ィ ッ ク フ ィ ル タ を 設定 し て 不要 な ト ラ
フ ィ ッ ク を転送 ( デフ ォ ル ト のア ク シ ョ ン ) ま たは破棄す る こ と に よ り 、イ
ンバン ド セ キ ュ リ テ ィ を高め、ネ ッ ト ワー ク リ ソ ースへのア ク セ ス管理を
強化で き ます。 つま り 、 ス イ ッ チの イ ンバン ド ( ソ ース ) ポー ト ま たは ト ラ
ン ク と 、任意のア ウ ト バ ウ ン ド ( デス テ ィ ネーシ ョ ン ) ポー ト お よ び ト ラ ン
ク (設定 さ れてい る 場合) と の間を流れ る すべてのネ ッ ト ワー ク ト ラ フ ィ ッ
ク を 転送 ま たは破棄す る ト ラ フ ィ ッ ク フ ィ ル タ を設定で き ま す。 ソ ー ス
ポー ト フ ィ ル タ は、 VLAN 間でルーテ ィ ン グ さ れ る ト ラ フ ィ ッ ク には影響
し ません。
注記
ス イ ッ チは、ポー ト ト ラ ン ク を ソ ース ポー ト フ ィ ル タ リ ン グの単一の ソ ー
ス ま たはデ ス テ ィ ネーシ ョ ン と し て管理 し ま す。 ポー ト に フ ィ ル タ を設定
し てか ら そのポー ト を ト ラ ン ク に加え る と 、 ポー ト の フ ィ ル タ 設定はその
ま ま 維持 さ れ ま すが、 ポー ト が ト ラ ン ク の メ ン バで あ る 間は フ ィ ル タ リ ン
グ動作が一時停止 と な り ま す。 ト ラ ン ク で フ ィ ル タ リ ン グ を実行す る よ う
に設定す る には、 ま ず ト ラ ン ク を設定 し 、 次に ト ラ ン ク に フ ィ ル タ リ ン グ
を設定 し ます。 10- 6 ページの 「ポー ト ト ラ ン ク での フ ィ ル タ の設定」 を参
照 し て く だ さ い。
ソ ース ポー ト フ ィ ル タ の作成時、 ス イ ッ チのすべてのポー ト ま たはポー ト
ト ラ ン ク が、 その フ ィ ル タ の一覧でデ ス テ ィ ネーシ ョ ン と し て表示 さ れ ま
す。 ユーザが ト ラ フ ィ ッ ク を破棄す る よ う に明示的に設定 し ない限 り 、 ス
イ ッ チは自動的に ト ラ フ ィ ッ ク を それ ら のポー ト ま たは ト ラ ン ク 、 あ る い
はその両方に転送 し ます。 ( ト ラ ン ク を構成す るデス テ ィ ネーシ ョ ン ポー
ト は、個別のポー ト 名ではな く Trk1 の よ う な ト ラ ン ク 名で一括表示 さ れま
す。 ) た と えば、 ワー ク ス テーシ ョ ン 「X」 が送信 し た ト ラ フ ィ ッ ク をサー
バ 「A」 は受信せず、 他のサーバ ま たはエ ン ド ノ ー ド は受信す る よ う に設
定す る 場合、 ポー ト 5 か ら ポー ト 7 への ト ラ フ ィ ッ ク を破棄す る フ ィ ル タ
を設定 し ます。 こ の よ う に設定 さ れた フ ィ ル タ は、 ポー ト 5 か ら ポー ト 7
への ト ラ フ ィ ッ ク は破棄 し ますが、 それ以外の ソ ース / デス テ ィ ネーシ ョ
ン ポー ト 間の ト ラ フ ィ ッ ク はすべて転送 し ます ( 図 10-1 お よ び 10-2 を参
照 し て く だ さ い )。
10-2
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ポー ト 5
ワー ク ス テーシ ョ ン 「X」
ポー ト 7
サーバ 「A」
ポー ト 8
サーバ 「B」
ポー ト 9
サーバ 「C」
図 10-1. ポート 5 からサーバ「A」へのトラフィックのみブロックする
フィルタの例
こ の リ ス ト は、 ソ ース ポー
ト 5 ( ワー ク ス テーシ ョ ン
「X」 ) か ら デス テ ィ ネーシ ョ
ン ポー ト 7 ( サーバ 「A」 ) へ
の ト ラ フ ィ ッ ク をブロ ッ ク (
破棄 ) する ために作成 さ れた
フ ィ ル タ を示 し ています。
こ の フ ィ ル タ では、 ソ ース
ポー ト 5 か ら 、 ポー ト 7 以
外のすべてのデス テ ィ ネー
シ ョ ン ポー ト に ト ラ フ ィ ッ
ク を転送で き る こ と に注意
し て く だ さ い。
図 10-2. 図 10-1 の動作のフィルタ
ソ ース ポー ト フ ィ ル タ の使用
ソ ー ス ポー ト フ ィ ル タ の動作ルール
■
ス イ ッ チの物理ポー ト ま たはポー ト ト ラ ン ク のそれぞれに対 し て1
つの ソ ース ポー ト フ ィ ル タ を設定で き ます。
■
設定す る ソ ース ポー ト フ ィ ル タ は以下の要素で構成 さ れます。
•
1 つの ソ ース ポー ト ま たはポー ト ト ラ ン ク (trk1、trk2、...trk6)
10-3
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
•
ス イ ッ チのすべての LAN ポー ト お よ びポー ト ト ラ ン ク を含めた、
デス テ ィ ネーシ ョ ン ポー ト ま たはポー ト ト ラ ン ク 、 あ る いはその
両方の 1 つのセ ッ ト 。
•
各デス テ ィ ネーシ ョ ン ポー ト ま たはポー ト ト ラ ン ク に対す る 1 つ
のア ク シ ョ ン
ソ ース ポー ト フ ィ ル タ を作成す る と 、 指定の ソ ース か ら 、 明示的に
「破棄」 す る 動作を設定 し ていないすべてのデス テ ィ ネーシ ョ ンへの ト
ラ フ ィ ッ ク を転送する フ ィ ル タ が自動的に設定 さ れます。 こ のため、
特定の ト ラ フ ィ ッ ク を破棄す る フ ィ ル タ が設定 さ れていない限 り 、 転
送 さ せ る ト ラ フ ィ ッ ク に対 し て ソ ース ポー ト フ ィ ル タ を設定す る必要
はあ り ません。
10-4
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ソ ー ス ポー ト フ ィ ル タ の設定
ソ ース ポー ト フ ィ ル タ コ マ ン ド は、 グ ロ ーバル コ ン フ ィ ギ ュ レーシ ョ ン
レベルで実行 し ます。
構文 : [no] filter source-port [e] < source-port-number > [ drop | forward ]
< source-port-number > に指定 さ れた ソ ース ポー ト フ ィ ル
タ を作成ま たは削除 し ます。 破棄ま たは転送のア ク シ ョ ン
を設定せずに ソ ース ポー ト フ ィ ル タ を作成す る と 、 指定の
ソ ース か ら ス イ ッ チの全デス テ ィ ネーシ ョ ンに転送す る
フ ィ ル タ が ス イ ッ チに よ っ て自動的に作成 し ます。
[ drop [e] < destination-port-list > ]
指定の ソ ース ポー ト ( ま たは ソ ース ト ラ ン ク ) (< sourceport-number >) に対 し て、 < destination-port-list > のポー ト
ま たはポー ト ト ラ ン ク と す る ト ラ フ ィ ッ ク を破棄す る フ ィ
ル タ を設定 し ます。 drop の設定を forward に変更 し たい
デス テ ィ ネーシ ョ ン ポー ト が他にあ る 場合は、 forward オ
プシ ョ ン を追加す る こ と で可能 と な り ます。 た と えば以下
の よ う にな り ます。
filter source-port <source-port-number> drop <destinationport-list > forward <destination-port-list>
[ forward [e] < destination-port-list > ]
指定 ソ ース (< source-port-number >) に対 し て、 <
destination-port-list > のデス テ ィ ネーシ ョ ン と す る ト ラ
フ ィ ッ ク を転送す る フ ィ ル タ を設定 し ます。 フ ィ ル タ
のデス テ ィ ネーシ ョ ンは forward がデフ ォ ル ト であ る
ため、 既存のフ ィ ル タ でデス テ ィ ネーシ ョ ンが drop に
設定 さ れ、 それを forward に変更す る場合に こ の コ マ
ン ド が便利です。 forward の設定を drop に変更 し た
いデス テ ィ ネーシ ョ ン ポー ト が他にあ る場合は、 drop
オプシ ョ ン を追加す る こ と で可能 と な り ます。 た と え
ば以下の よ う にな り ます。
filter source-port <source-port-number > forward <
destination-port-list > drop < destination-port-list >
ソース ポート フィルタの作成例。 た と えば、 ポー ト 5 が受信す る ト ラ
フ ィ ッ ク の う ち、 ポー ト ト ラ ン ク 1 (Trk1) お よ びポー ト 10 ~ 15 の範囲の
任意のポー ト をデス テ ィ ネーシ ョ ン と す る ト ラ フ ィ ッ ク をすべて破棄す る
ソ ース ポー ト フ ィ ル タ を作成す る と し ます。 こ の フ ィ ル タ を作成す る に
は、 次の コ マ ン ド を実行 し ます。
ProCurve(config)# filter source-port 5 drop trk1,10-15
10-5
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
後か ら 、 こ のフ ィ ル タ のデス テ ィ ネーシ ョ ン ポー ト の範囲を 2 ポー ト 分移
し て、 ポー ト 5 が受信す る ト ラ フ ィ ッ ク の う ち、 ポー ト 12 ~ 17 の範囲の
任意のポー ト をデス テ ィ ネーシ ョ ン と す る ト ラ フ ィ ッ ク をすべて破棄す る
フ ィ ル タ に変更す る と し ます。 (Trk1 デス テ ィ ネーシ ョ ンはすでに フ ィ ル
タ に設定 さ れてお り 、 その ま ま維持で き ます。 )1 つの コ マ ン ド で、 ポー ト
10 お よ び 11 への転送を復活 さ せ る と 同時に、 ポー ト 16 お よ び 17 を 「破
棄」 リ ス ト に加え る こ と がで き ます。
ProCurve(config)# filter source-port 5 forward 10-11 drop
16-17
ポート トランクでのフィルタの設定。 ポー ト ト ラ ン ク に フ ィ ル タ を設定
す る場合 も 、 個別のポー ト への フ ィ ル タ 設定に使用 し た も の と 同一の コ マ
ン ド を使用 し ます。 ただ し 、 設定プ ロ セ ス は次の 2 段階 と な り ます。
1.
ポー ト ト ラ ン ク を設定 し ます。
2.
ポー ト 名の代わ り に ト ラ ン ク 名 (trk1、trk2、... trk6) を用いて、 ポー ト
ト ラ ン ク に フ ィ ル タ を設定 し ます。
た と えば、 ト ラ ン ク 2 お よ びポー ト 10 ~ 15 への イ ンバ ウ ン ド ト ラ フ ィ ッ
ク を破棄す る フ ィ ル タ を ポー ト ト ラ ン ク 1 に設定す る には、 次の コ マ ン ド
を使用 し ます。
ProCurve(config)# filter source-port trk1 drop trk2,10-15
ポー ト に フ ィ ル タ を設定 し てか ら ト ラ ン ク にそのポー ト を追加す る と 、
ポー ト の フ ィ ル タ 設定はその ま ま維持 さ れますが、 ポー ト が ト ラ ン ク の メ
ンバであ る間は フ ィ ル タ リ ン グ動作が一時停止 と な る こ と に注意 し て く だ
さ い。 こ のため、 ト ラ ン ク はポー ト 設定か ら フ ィ ル タ リ ン グ を引 き 継ぎ ま
せん。 ポー ト ト ラ ン ク に明示的に フ ィ ル タ を設定す る必要があ り ます。
ソ ース ポー ト を ト ラ ン ク に加え る前に作成 さ れた フ ィ ル タ に対 し て show
filter < index > コ マ ン ド を使用す る と 、 ポー ト 番号がア ス タ リ ス ク (*) に挟
ま れて表示 さ れ ます。 こ のア ス タ リ ス ク は、 その フ ィ ル タ のフ ィ ル タ リ ン
グ動作が一時停止にな っ てい る こ と を示 し ます。 た と えば、 ポー ト 5 で
10-6
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
フ ィ ル タ を作成 し 、 次にポー ト 5 お よ び 6 で ト ラ ン ク を作成 し て結果を表
示す る と 、 次の よ う な画面が表示 さ れます。
*5* は、 ポー ト 5 に フ ィ ル タ が
設定 さ れてい るが、 そのポー ト
が ト ラ ン ク の メ ンバであ る間は
フ ィ ル タ リ ン グ動作が一時停止
にな っ てい る こ と を示 し ます。
ポー ト 5 の属する ト ラ ン ク が ト
ラ フ ィ ッ ク を フ ィ ルタ フ ィ ング
する よ う に設定する には、 その
ト ラ ン ク で明示的に フ ィ ル タ を
設定する必要があ り ます。
注記 : 既存の ト ラ ン ク に フ ィ ル
タ リ ン グ を設定 し 、 後でその ト
ラ ン ク に新 し いポー ト を追加す
る と 、 ス イ ッ チはその ト ラ ン ク
の任意の リ ン ク を流れる全 ト ラ
フ ィ ッ ク に対 し て フ ィ ル タ リ ン
グ を適用 し ます。 ト ラ ン ク か ら
ポー ト を削除する と 、 そのポー
ト は、 ト ラ ン ク に追加 さ れる前
の設定に戻 り ます。
図 10-3. フィルタが設定されたソース ポートをトランクに追加した場合の
スイッチの応答例
10-7
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ソ ー ス ポー ト フ ィ ル タ の表示
ス イ ッ チに設定 さ れてい る すべての ソ ース ポー ト フ ィ ル タ を一覧表示 し
た り 、 オプシ ョ ン で特定の フ ィ ル タ の詳細情報を参照す る こ と がで き ます。
構文 :
show filter [index]
設定 さ れてい る フ ィ ル タ の一覧を表示 し ます。 各フ ィ ル
タ エ ン ト リ には、 IDX ( イ ンデ ッ ク ス ) 番号、 フ ィ ル タ タ
イ プ、 値が表示 さ れます。
IDX: 自動的に割 り 当て ら れ る イ ンデ ッ ク ス番号で、 詳
細情報の一覧表示で フ ィ ル タ を識別す る ために使用 さ
れます。 フ ィ ル タ は、 ス イ ッ チで削除 さ れ る ま で、 割
り 当て ら れた IDX 番号を保持 し ます。 ス イ ッ チは、 割
り 当て可能な最 も 若い IDX 番号を新 し い フ ィ ル タ に割
り 当て ます。 こ の と き 、 以前の ( ソ ース ポー ト ) フ ィ ル
タ を削除 し た こ と で フ ィ ル タ リ ス ト にギ ャ ッ プが生 じ
た場合は、 古い フ ィ ル タ よ り も 若い IDX 番号が新 し い
フ ィ ル タ に割 り 当て ら れ る 可能性があ り ます。
Filter Type: IDX 番号に割 り 当て ら れ る フ ィ ル タ の タ
イ プを示 し ます。
Value: フ ィ ルタ に割 り 当て られた ソース ポー ト または ト
ラ ン ク のポー ト 番号またはポー ト ト ラ ン ク 名を示し ます。
show filter を実行 し て、 詳細を調べたい特定の フ ィ ル タ
の イ ンデ ッ ク ス番号を確認で き ます。
[ index ]
イ ンデ ッ ク ス番号を指定 し て、 フ ィ ル タ の詳細デー タ を
表示 し ます。 ソ ース ポー ト フ ィ ル タ の ソ ース ポー ト 番
号、 ス イ ッ チの全ポー ト お よ び ト ラ ン ク の一覧 ( ポー ト
タ イ プを含む )、 各ポー ト ま たは ト ラ ン ク に設定 さ れた
フ ィ ル タ リ ン グ動作 ( デフ ォ ル ト の Forward、 ま たは
Drop) が表示 さ れます。
た と えば、 次の 3 つの フ ィ ル タ が ス イ ッ チに設定 さ れてい る と し ます。
10-8
ソース ポー
ト
デスティ
ネーション
ポート
フィルタリング動作
1
6-7
Drop、 他のポー ト / ト ラ ン ク では
すべて Forward
2
8-9
Drop、 他のポー ト / ト ラ ン ク では
すべて Forward
3
1-2
Drop、 他のポー ト / ト ラ ン ク では
すべて Forward
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ソ ース ポー ト 3 のフ ィ ル タ について、 その イ ンデ ッ ク ス番号を確認 し てか
ら 詳細情報を表示す る には、 図 10-4 の よ う に show filter お よ び show
filter [ index ] コ マ ン ド を使用 し ます。
show filter コ マ ン ド で ソ ース
ポー ト 3 のイ ンデ ッ ク ス番号を
確認 し ます。
ソ ース
ポー ト
番号
show filter 4 コ マ ン ド で ソ ース
ポー ト 3 の フ ィ ル タ 詳細を表示
し ます。
図 10-4. フィルタの一覧表示および特定フィルタの詳細情報表示の例
フ ィ ル タ の イ ンデ ッ ク ス番号付け
ス イ ッ チは、 個々の新 し い ソ ース ポー ト フ ィ ル タ に対 し て、 割 り 当て可
能な最 も 若い イ ンデ ッ ク ス (IDX) 番号を自動的に割 り 当て ます。 フ ィ ル タ
が設定 さ れていない状態で 3 つのフ ィ ル タ を連続 し て作成す る と 、 こ れ ら
の イ ンデ ッ ク ス番号は 1 ~ 3 と な り ます。 その後、 イ ンデ ッ ク ス番号 "2"
の フ ィ ル タ を削除 し 、 新たに 2 つの フ ィ ル タ を設定す る と 、 1 つ目の新
フ ィ ル タ の イ ンデ ッ ク ス番号は "2" と な り 、 2 つ目の イ ンデ ッ ク ス番号は
"4" と な り ます。 こ れは、 先に フ ィ ル タ を削除 し た こ と で空 き と な っ た イ
ンデ ッ ク ス番号 "2" が、 次の新 し い フ ィ ル タ に割 り 当て可能な最 も 若い イ
ンデ ッ ク ス番号 と な っ たためです。
10-9
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ソ ー ス ポー ト フ ィ ル タ の編集
1 つのフ ィ ル タ には、所定の ソ ース ポー ト に設定 さ れてい る 全デス テ ィ ネー
シ ョ ン ポー ト ま たは ト ラ ン ク 、 あ る いはその両方に対す る ア ク シ ョ ンが含
ま れてい ます。 ソ ース ポー ト フ ィ ル タ がすでに設定 さ れ、 い く つかのデス
テ ィ ネーシ ョ ン ポー ト ま たは ト ラ ン ク に対 し て現在設定 さ れてい る ア ク
シ ョ ン を変更す る には、filter source-port コ マ ン ド を用いて既存の フ ィ ル タ
を更新 し ます。 た と えば、 ポー ト 8 が受信す る ト ラ フ ィ ッ ク の う ち、 ポー
ト 1 お よ びポー ト 2 がデス テ ィ ネーシ ョ ン と な っ てい る ト ラ フ ィ ッ ク を破
棄す る フ ィ ル タ を設定す る と し ます。 こ の よ う に設定 さ れた フ ィ ル タ は、図
10-5 の左側の よ う にな り ます。 その後、 ポー ト 8 が受信す る ト ラ フ ィ ッ ク
の う ち、 ポー ト 3 ~ 5 がデス テ ィ ネーシ ョ ン と な っ てい る ト ラ フ ィ ッ ク を
破棄す る よ う に フ ィ ル タ を更新する と し ます。 1 つの ソ ース ポー ト に存在
す る フ ィ ル タ は 1 つのみであ る ため、 ポー ト 8 か ら 送信 さ れ る ト ラ フ ィ ッ
ク に適用 さ れ る フ ィ ル タ は、 図 10-5 の右側の よ う にな り ます。
図 10-5. 既存フィルタへのデスティネーション ポートの追加割り当て
名前付 き ソ ース ポー ト フ ィ ル タ の使用
名前付きソース ポート フィルタは、 複数のポートおよびポート トランクで使用でき
るフィルタです。 通常のソース ポート フィルタと同様に、 ポートまたはポート トラ
ンクに設定できるソース ポート フィルタは 1 つだけですが、この新しい機能では、
ソース ポート フィルタを 1 回定義し、 それを複数のポートおよびポート トランクに
適用することが可能です。 これにより、 スイッチでのソース ポート フィルタの設定
および管理が容易になります。 名前付きソース ポート フィルタのステータスを定
義、 設定、 適用、 および表示するためのコマンドについて以下に説明します。
10-10
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
名前付き ソ ース ポー ト フ ィ ル タ の動作ルール
■
名前の有無にかかわ ら ず、 ポー ト ま たはポー ト ト ラ ン ク に設定で
き る ソ ース ポー ト フ ィ ル タ は 1 つだけです。
■
名前付 き ソ ース ポー ト フ ィ ル タ は、 複数のポー ト ま たはポー ト ト
ラ ン ク に適用で き ます。
■
名前付 き ソ ース ポー ト フ ィ ル タ を定義 し た後の変更では、 フ ィ ル
タ のア ク シ ョ ンだけが変更 さ れ、 フ ィ ル タ 自体は置 き 換え ら れま
せん。
■
ポー ト ま たはポー ト ト ラ ン ク で使用 さ れてい る名前付 き ソ ース
ポー ト フ ィ ル タ を変更す る には、 まず、 no filter source-port
named-filter <filter-name > コ マ ン ド を使用 し て現在の フ ィ ル タ
を削除す る必要があ り ます。
■
名前付 き ソ ース ポー ト フ ィ ル タ は、 どのポー ト に も 適用 さ れてい
ない場合にのみ削除で き ます。
名前付き ソ ース ポー ト フ ィ ル タ の定義 と 設定
名前付きソース ポート フィルタ コマンドは、 グローバル コンフィギュレーション レ
ベルで実行します。
構文 : [no] filter source-port named-filter <filter-name>
名前付 き ソ ース ポー ト フ ィ ル タ を定義ま たは削除 し ます。
filter-name には、 最大 20 文字の英数字を含め る こ と がで き
ます ( こ れ よ り 長い名前 も 指定で き ますが、 表示 さ れませ
ん )。 filter-name を、 有効なポー ト ま たはポー ト ト ラ ン ク の
名前にす る こ と はで き ません。
使用可能な名前付 き ソ ース ポー ト フ ィ ル タ の最大数は、 ス
イ ッ チ上のポー ト の数 と 同 じ です。
名前付 き ソ ース ポー ト フ ィ ル タ は、 使用 さ れていない場合
にのみ削除で き ます ( ス テー タ ス を確認す る には、 show
filter source-port コ マ ン ド を使用 し ます )。 名前付 き ソ ース
ポー ト フ ィ ル タ は、 使用 さ れな く な っ て も 自動的には削除
さ れません。
未使用の名前付 き ソ ース ポー ト フ ィ ル タ を削除す る には、
no オプシ ョ ン を使用 し ます。
10-11
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
構文 : filter source-port named-filter <filter-name > drop < destination-port-list
>
< destination-port-list > 内のポー ト ま たはポー ト ト ラ ン ク が
デス テ ィ ネーシ ョ ンにな っ てい る ト ラ フ ィ ッ ク を破棄す る
よ う に名前付 き ソ ース ポー ト フ ィ ル タ を設定 し ます。 以前
に drop に設定 さ れていて、 forward に変更 し たいデス テ ィ
ネーシ ョ ン ポー ト ま たはポー ト ト ラ ン ク があ る 場合は、
forward オプシ ョ ン を追加す る こ と で可能 と な り ます。 た
と えば以下の よ う にな り ます。
filter source-port named-filter <filter-name > drop < destinationport-list > forward < destination-port-list>
destination-port-list には、 ポー ト 、 ポー ト ト ラ ン ク 、 お よ
び範囲 ( た と えば、 3-7 や trk4-trk9) を コ ン マで区切っ て並
べ る こ と がで き ます。
構文 : filter source-port named-filter < filter-name > forward < destination-portlist >
< destination-port-list > 内のポー ト ま たはポー ト ト ラ ン ク が
デス テ ィ ネーシ ョ ンにな っ てい る ト ラ フ ィ ッ ク を フ ォ ワー
デ ィ ン グす る よ う に名前付 き ソ ース ポー ト フ ィ ル タ を設定
し ます。 フ ィ ル タ のデス テ ィ ネーシ ョ ンは "forward" がデ
フ ォ ル ト であ る ため、 既存の フ ィ ル タ でデス テ ィ ネーシ ョ
ンが "drop" に設定 さ れ、それを "forward" に変更す る 場合に
こ の コ マ ン ド が便利です。 forward の設定を drop に変更 し
たいデス テ ィ ネーシ ョ ン ポー ト が他にあ る 場合は、 drop オ
プシ ョ ン を追加す る こ と で可能 と な り ます。 た と えば以下
の よ う にな り ます。
filter source-port named-filter <filter-name > forward <
destination-port-list > drop < destination-port-list >
名前付きソース ポート フィルタを適用するには、 まず定義と設定を行う必要があ
ります。 次の例では、 web-only と accounting という、 2 つの名前付きソース
ポート フィルタが定義されています。
ProCurve(config)# filter source-port named-filter webonly
ProCurve(config)# filter source-port named-filter
accounting
デフォルトでは、 これらの 2 つの名前付きソース ポート フィルタにより、 トラ
フィックがすべてのポートおよびポート トランクにフォワーディングされます。
インバウンド トラフィックが特定のデスティネーション スイッチ ポートまたはポート ト
ランクにフォワーディングされないように名前付きソース ポート フィルタを設定する
には、 drop オプションを使用します。 たとえば、 26 ポートのスイッチで、 デス
ティネーション ポート 1 および 2 を除くポートへのトラフィックをすべて破棄するよ
うに名前付きソース ポート フィルタ web-only を設定するには、 次のコマンドを
使用します。
10-12
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ProCurve(config)# filter source-port named-filter webonly drop 3-26
名前付きソース ポート フィルタの定義と設定を 1 つのコマンドで行うには、 drop
オプションと必要な destination-port-list を追加します。
名前付き ソ ース ポー ト フ ィ ル タ の表示
ス イ ッ チに設定 さ れたすべての ソ ース ポー ト フ ィ ル タ ( 名前付 き と 名前な
し の両方 ) と そのア ク シ ョ ン を一覧表示す る には、 次の show コ マ ン ド を
使用 し ます。
構文 :
show filter source-port
設定 さ れてい る ソ ース ポー ト フ ィ ル タ の一覧を表示 し ま
す。 各フ ィ ル タ エン ト リ には、 Filter Name、 Port List、 お
よび Action が含まれてい ます。
Filter Name: 名前付 き ソ ース ポー ト フ ィ ル タ を定義す
る 場合は、 filter-name を使用 し ます。 名前のない ソ ー
ス ポー ト フ ィ ル タ には、 ソ ース ポー ト のポー ト ま た
はポー ト ト ラ ン ク 番号が自動的に割 り 当て ら れます。
Port List: フ ィ ル タ を使用す る ポー ト お よ びポー ト ト
ラ ン ク のデス テ ィ ネーシ ョ ン を一覧表示 し ます。 使用
さ れていない名前付 き ソ ース ポー ト フ ィ ル タ には、
[NOT USED] が表示 さ れます。
Action: フ ィ ル タ に よ っ て破棄 さ れ る ポー ト お よ び
ポー ト ト ラ ン ク を一覧表示 し ます。 名前付 き ソ ース
ポー ト フ ィ ル タ が定義 さ れてはい る が、 設定 さ れてい
ない場合、 こ の フ ィ ール ド は空白です。
index
指定 さ れた イ ンデ ッ ク ス (IDX) について、 ス イ ッ チ上の
各デス テ ィ ネーシ ョ ン ポー ト で実行 さ れ る ア ク シ ョ ン
([Drop] ま たは [Forward]) が表示 さ れます。
名前付き ソ ース ポー ト フ ィ ル タ の設定例
ある企業が、 インターネットと自社のアカウンティング サーバへのトラフィックを
26 ポートのスイッチで管理したいと考えています。 そのネットワークを図 10-6 に
示します。 スイッチ ポート 1 は、 WAN およびインターネットへの接続を提供す
るルータに接続されています。 スイッチ ポート 7 は、 アカウンティング サーバに
接続されています。 アカウンティング内の 2 つのワークステーションが、 スイッチ
ポート 10 および 11 に接続されています。
10-13
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ネットワーク設計
1. ア カ ウ ン テ ィ ン グ ワー ク ス テーシ ョ ンは、 ア カ ウ ン テ ィ ン グ サーバにのみ ト ラ フ ィ ッ ク を送信で き ます。
2. イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を、 ア カ ウ ン テ ィ ン グ サーバま たはワー ク ス テーシ ョ ン に送信する こ と は
で き ません。
3. 他のすべてのス イ ッ チ ポー ト は、 ポー ト 1 にのみ ト ラ フ ィ ッ ク を送信で き ます。
ポー ト 1
ア カ ウ ン テ ィ ン グ ワー
ク ス テーシ ョ ン 1
ア カ ウ ン テ ィ ン グ ワー
ク ス テーシ ョ ン 2
イ ン タ ーネ ッ ト
へのルー タ
ポー ト 10
ポー ト 11
ポー ト 7
ア カウン テ ィ ング
サーバ 1
図 10-6. 名前付きソース ポート フィルタの例でのネットワーク設定
この企業は、 名前付きソース ポート フィルタを使用して、 インバウンド トラフィッ
クをインターネットにのみ送信するとともに、 2 つのアカウンティング ワークステー
ションとアカウンティング サーバがインターネットではなく、 互いの間でのみ通信
できるようにしたいと考えています。
名前付きソース ポート フィルタの例の定義と設定。. 名前付 き ソ ース
ポー ト フ ィ ル タ は、 2 つの手順を使用 し て定義お よ び設定で き ますが、 そ
の必要はあ り ません。 こ こ では、 ネ ッ ト ワー ク 例の名前付 き ソ ース ポー ト
フ ィ ル タ のそれぞれを 1 つの手順で定義お よ び設定 し ます。
10-14
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ProCurve(config)# filter source-port named-filter web-only drop 2-26
ProCurve(config)# filter source-port named-filter accounting drop
1-6,8,9,12-26
ProCurveconfig)# filter source-port named-filter no-incoming-web drop 7,10,11
ProCurve(config)#
フ ィ ル タ を使用するポー ト お よ
ProCurve(config)# show filter source-port
びポー ト ト ラ ン ク 。[NOT USED]
が表示 さ れてい る場合、 名前付
き ソ ース ポー ト フ ィ ル タ は削除
さ れてい る可能性があ り ます。
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
-------------------NOT USED
NOT USED
NOT USED
|
+
|
|
|
Action
-------------------------drop 2-26
drop 1-6,8-9,12-26
フ ィ ル タ に よ っ て破棄 さ れ
drop 7,10-11
る ポー ト お よ びポー ト ト ラ
ン ク を一覧表示 し ます。 表
示 さ れていないポー ト お よ
びポー ト ト ラ ン ク は、 フ ィ
ル タ に よ っ て フ ォ ワーデ ィ
ン グ さ れます。
ProCurve(config)#
一覧か ら ポー ト ま たはポー
ト ト ラ ン ク を削除する に
は、 forward オ プ シ ョ ン を
使用 し て名前付き ソ ース
ポー ト フ ィ ル タ の定義を更
新 し ます。
図 10-7. ソース ポート フィルタの設定と定義
名前付きソース ポート フィルタの例の適用。
名前付きソース ポート フィルタの定義と設定を終了したら、 次はそれをスイッチ
ポートに適用します。
ProCurve(config)# filter source-port 2-6,8,9,12-26 named-filter web-only
ProCurve(config)# filter source-port 7,10,11 named-filter accounting
ProCurve(config)# filter source-port 1 named-filter no-incoming-web
ProCurve(config)#
図 10-8. ソース ポート フィルタのポートへの摘要
10-15
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
show filter コマンドを使用すると、 どのポートにフィルタが適用されているかが
表示されます。
ProCurve(config)# show filter
Traffic/Security Filters
IDX
--1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Filter Type
-----------Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
|
+
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Value
------------------2
3
4
5
6
8
9
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
7
図 10-9. フィルタとソース ポートの表示
10-16
フ ィ ル タ に割 り 当て ら れた ソ ー
ス ポー ト ま たは ト ラ ン ク のポー
ト 番号ま たはポー ト ト ラ ン ク 名
を示 し ます。
自動的に割 り 当て ら れる イ ンデ ッ ク
ス番号で、 詳細情報の一覧表示で
フ ィ ル タ を識別する ために使用 さ れ
ます。 フ ィ ル タ は、 ス イ ッ チ で削除
さ れる ま で、 割 り 当て ら れた IDX 番
号を保持 し ます。 ス イ ッ チは、 割 り
当て可能な最 も 若い IDX 番号を新 し
い フ ィ ル タ に割 り 当て ます。 こ の と
き、 以前の ( ソ ースポー ト ま たは名
前付き ソ ース ポー ト ) フ ィ ル タ を削
除し たこ と で フ ィ ルタ リ ス ト に
ギ ャ ッ プが生 じ た場合は、 古い フ ィ
ル タ よ り も 若い IDX 番号が新 し い
フ ィ ル タ に割 り 当て ら れる可能性が
あ り ます。
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
show filter コマンドで IDX 値を使用すると、 特定のポート (Value) でトラフィック
がどのようにフィルタリングされるかを表示できます。 次の 2 つの出力は、 アカ
ウンティング以外とアカウンティングのスイッチ ポートを示しています。
ProCurve(config)# show filter 4
Traffic/Security Filters
ProCurve(config)# show filter 24
Traffic/Security Filters
Filter Type : Source Port
Source Port : 5
Filter Type : Source Port
Source Port : 10
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Drop
Drop
Drop
Drop
Drop
Drop
Forward
Drop
Drop
Forward
Forward
Drop
図 10-10. 特定ポートのフィルタの表示
10-17
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
IDX に 26 を指定して同じコマンドを実行すると、 インターネットからのトラフィック
がどのように処理されるかが表示されます。
ProCurve(config)# show filter 26
Traffic/Security Filters
Filter Type : Source Port
Source Port : 1
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Forward
Forward
Forward
Forward
Forward
Forward
Drop
Forward
Forward
Drop
Drop
Forward
図 10-11. インターネット トラフィックに対するフィルタの表示
企業の成長に伴い、 アカウンティングにはより多くのリソースが必要になります。 2
つのアカウンティング ワークステーションが追加され、 ポート 12 および 13 に接続
されました。 さらに 2 番目のサーバが追加され、 ポート 8 に接続されました。
ネ ッ ト ワー ク 設計
1. ア カ ウ ン テ ィ ン グ ワー ク ス テーシ ョ ンは、 ア カ ウ ン テ ィ ン グ サーバにのみ ト ラ フ ィ ッ ク を送信で き ます。
2. イ ン タ ーネ ッ ト ト ラ フ ィ ッ ク を、 ア カ ウ ン テ ィ ン グ サーバま たはワー ク ス テーシ ョ ン に送信する こ と はで き
ません。
3. 他のすべてのス イ ッ チ ポー ト は、 ポー ト 1 にのみ ト ラ フ ィ ッ ク を送信で き ます。
ア カ ウ ン テ ィ ン グ ワー ク ス
テーシ ョ ン 1
ポー ト 10
ア カ ウ ン テ ィ ン グ ワー ク ス
テーシ ョ ン 2
ポー ト 11
ア カ ウン テ ィ ン グ ワー ク ス
テーシ ョ ン 3
ポー ト 12
ア カ ウ ン テ ィ ン グ ワー ク ス
テーシ ョ ン 4
ポー ト 13
ポー ト 1
イ ン タ ーネ ッ ト
へのルー タ
ポー ト 7
ア カ ウン テ ィ ン グ サーバ 1
ポー ト 8
ア カ ウ ン テ ィ ン グ サーバ 2
図 10-12. 名前付きソース ポート フィルタの例での拡張されたネットワーク設定
名前付きソース ポート フィルタの定義への次の変更では、 show コマンドの
[Action] カラムに示されているように、 望ましいネットワーク トラフィック管理が維
持されています。
10-18
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
ProCurve(config)# filter source-port named-filter accounting forward 8,12,13
ProCurve(config)# filter source-port named-filter no-incoming-web drop 8,12,13
ProCurve(config)#
ProCurve(config)# show filter source-port
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
| Action
-------------------- + -------------------------2-6,8-9,12-26
| drop 2-26
7,10-11
| drop 1-6,9,14-26
1
| drop 7-8,10-13
ProCurve(config)#
図 10-13. 名前付きソース ポート フィルタによるトラフィック管理の維持
次に、 この更新された名前付きソース ポート フィルタを該当するスイッチ ポート
に適用します。 1 つのポートには ( 名前の有無にかかわらず ) ソース ポート フィ
ルタを 1 つしか設定できないため、 新しい名前付きソース ポート フィルタを適用
する前に、 まずポート上の既存のソース ポート フィルタを削除します。
ProCurve(config)# no filter source-port 8,12,13
ProCurve(config)# filter source-port 8,12,13 named-filter accounting
ProCurve(config)#
図 10-14. 名前付きソース ポート フィルタのスイッチ ポートへの摘要
show filter source-port コマンドを使用すると、 名前付きソース ポート フィルタ
では現在、 スイッチ ポート上のトラフィックが次のように管理されています。
ProCurve(config)# show filter source-port
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
-------------------2-6,9,14-26
7-8,10-13
1
|
+
|
|
|
Action
-------------------------drop 2-26
drop 1-6,9,14-26
drop 7-8,10-13
図 10-15. 名前付きソース ポート フィルタによるトラフィックの管理
10-19
ト ラ フ ィ ッ ク / セキ ュ リ テ ィ フ ィ ル タ
ソ ース ポー ト フ ィ ル タ の使用
10-20
11
オー ソ ラ イ ズ ド IP マネージ ャ の使用
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-2
設定オプシ ョ ン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3
ア ク セ ス レベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3
認可管理ス テーシ ョ ンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-4
IP マ ス ク の動作の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-5
メ ニ ュ ー : オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ び設定 . . . . 11-5
CLI: オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ び設定 . . . . . . . . 11-7
Web: オー ソ ラ イ ズ ド IP マネージ ャ の設定 . . . . . . . . . . . . . . . . . . . 11-9
IP マ ス ク の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-10
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で 1 台の ス テーシ ョ ン を
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-10
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で複数台の ス テーシ ョ ン
を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-11
複数ス テーシ ョ ン の認可のその他の例 . . . . . . . . . . . . . . . . . . 11-13
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-13
11-1
オー ソ ラ イ ズ ド IP マネージ ャ の使用
概要
概要
オーソライズド IP マネージャの機能
機能
デフォルト メニュー
CLI
Web
オー ソ ラ イズ ド マネー
ジ ャ の リ ス ト ( 表示 )
n/a
11- 5 ページ
11- 7 ページ
11- 9 ページ
オー ソ ラ イズ ド IP マ
ネージ ャ の設定
なし
11- 5 ページ
11- 7 ページ
11- 9 ページ
IP マス クの設定
n/a
11- 10 ページ 11- 10 ページ 11- 10 ページ
運用上の注記
n/a
11- 13 ページ 11- 13 ページ 11- 13 ページ
オー ソ ラ イ ズ ド IP マネージ ャ は、 IP ア ド レ ス と マ ス ク を用いて、 ネ ッ ト
ワー ク 経由で ス イ ッ チにア ク セ ス で き る ス テーシ ョ ン (PC ま たは ワー ク ス
テーシ ョ ン ) を制限す る 機能です。 以下の手段に よ る ア ク セ ス を対象 と し
ます。
- Telnet をは じ め と す る タ ー ミ ナル エ ミ ュ レーシ ョ ン アプ リ
ケーシ ョ ン
- ス イ ッ チの Web ブ ラ ウ ザ イ ン タ フ ェース
- SNMP ( 正 し い コ ミ ュ ニ テ ィ 名を持つ )
ス イ ッ チにオー ソ ラ イ ズ ド IP マネージ ャ を設定す る と 、 こ の機能は、
ロ ーカル パス ワ ー ド 、 TACACS+、 RADIUS、 ポー ト ベース ア ク セ ス制御
(802.1X)、 お よ びポー ト セキ ュ リ テ ィ よ り も 優先 さ れ ます。 つま り 、 ネ ッ
ト ワー ク 接続 さ れた管理機器の IP ア ド レ ス を認証 し てか ら でない と 、 ス
イ ッ チは他のア ク セ ス セキ ュ リ テ ィ 機能に よ る その機器の認証を試行 し ま
せん。 ス イ ッ チへのア ク セ ス がオー ソ ラ イ ズ ド IP マネージ ャ 機能に よ っ
て許可 さ れない と 、 ア ク セ ス は拒否 さ れ ます。 オー ソ ラ イ ズ ド IP マネー
ジ ャ を設定す る と 、 [Authorized IP Managers] に登録 さ れてい る ス テーシ ョ
ンか ら 正 し いパ ス ワー ド を使用 し て ア ク セ ス し ない限 り 、 ス イ ッ チへのア
ク セ ス は拒否 さ れます。
オー ソ ラ イ ズ ド IP マネージ ャ を他のア ク セ ス セキ ュ リ テ ィ 機能 と 併用す
る こ と で、 1、 2 種類のセキ ュ リ テ ィ オプシ ョ ン だけ を用い る 場合 よ り も
セキ ュ リ テ ィ が向上 し ます。 ア ク セ ス セキ ュ リ テ ィ 機能 と セキ ュ リ テ ィ 対
象の一覧については、 表 1-1、 「管理ア ク セ ス セキ ュ リ テ ィ 保護」 (1- 4 ペー
ジ ) を参照 し て く だ さ い。
11-2
オー ソ ラ イ ズ ド IP マネージ ャ の使用
ア ク セ ス レベル
設定オプシ ョ ン
以下の設定が可能です。
CAUTION
■
10個ま でのオー ソ ラ イ ズ ド ア ド レ ス (単一の管理ス テーシ ョ ン ま た
は ス テーシ ョ ン グループ )
■
管理者ま たはオペレー タ ア ク セ ス権限 (Telnet、 SNMPv1、 お よ び
SNMPv2c ア ク セ ス のみ )
オー ソ ラ イ ズ ド IP マネージ ャ を設定 し て も 、 モデム ま たは直接 コ ン ソ ー
ル (RS-232) ポー ト 接続を経由 し た ス イ ッ チへのア ク セ ス は保護で き ませ
ん。 ま た、 認可ス テーシ ョ ンが認可 IP ア ド レ ス に 「な り すま し 」 た場合、
IP ア ド レ ス の重複が存在 し た と し て も 、 その ス テーシ ョ ンは ス イ ッ チへの
管理ア ク セ ス が可能にな り ます。 こ の よ う な理由か ら 、 ス イ ッ チへの物理
ア ク セ ス を一部の ス タ ッ フ に制限 し て許可す る こ と 、 ユーザ名 / パス ワ ー
ド な ど ス イ ッ チがサポー ト す る セ キ ュ リ テ ィ 機能を使用す る こ と 、 そ し て
管理ス テーシ ョ ン上のデー タ への未認可ア ク セ ス を防止す る こ と に よ り 、
ネ ッ ト ワー ク セキ ュ リ テ ィ を強化す る 必要があ り ます。
ア ク セ ス レベル
オー ソ ラ イ ズ ド IP マネージ ャ 機能では、 Telnet、 SNMPv1、 ま たは
SNMPv2c を用いて ス イ ッ チにア ク セ スす る ス テーシ ョ ン にア ク セ ス レベ
ルを割 り 当て る こ と がで き ます。 SSH、 SNMPv3、 ま たは Web ブ ラ ウ ザ イ
ン タ フ ェース を用い る 認可ス テーシ ョ ン に対 し て ス イ ッ チが許可す る ア ク
セ ス レベルは、 オー ソ ラ イ ズ ド IP マネージ ャ 機能ではな く 、 ア ク セ ス ア
プ リ ケーシ ョ ン自体に よ っ て決定 さ れます。 IP 認可 リ ス ト はア ク セ ス権限
を設定 し ません。 こ れは、 SSH、 Web エージ ェ ン ト (SSL)、 お よ び SNMPv3
には、 IP ア ド レ ス単体 よ り も は る かに優れた ア ク セ ス制御 メ カ ニ ズ ム が備
わっ てい る ためです。 た と えば SNMPv3 では、 認証お よ び暗号化を行っ て
デー タ の保全性を確保す る だけでな く 、 ア ク セ ス制御を ユーザ レベルに至
る ま で行 う こ と がで き ます。
Telnet、 SNMPv1、 ま たは SNMPv2c を使用す る オー ソ ラ イ ズ ド マネージ ャ
ア ド レ ス のそれぞれに、 次のいずれかのア ク セ ス レベルを設定で き ます。
11-3
オー ソ ラ イ ズ ド IP マネージ ャ の使用
認可管理ス テーシ ョ ンの定義
■
管理者 : Web ブ ラ ウ ザ イ ン タ フ ェースお よ び コ ン ソ ール イ ン タ
フ ェース のすべての画面にフル ア ク セ ス し て、 表示、 設定、 その
他のその イ ン タ フ ェース で使用可能な あ ら ゆ る 操作を実行で き ま
す。
■
オペレータ : Web ブ ラ ウ ザお よ び コ ン ソ ール イ ン タ フ ェース か ら 、
Read-Only ( 読み取 り 専用 ) ア ク セ ス が可能です。 ( こ れは、 ス イ ッ
チのオペレー タ レベルのパ ス ワー ド 機能で認可 さ れ る の と 同 じ ア
ク セ ス権限です。 )
認可管理ス テーシ ョ ンの定義
■
単一ステーションの認可 : こ のテーブルへのエ ン ト リ では、 単一の
管理ス テーシ ョ ン に よ る ス イ ッ チへの IP ア ク セ ス を認可 し ます。
こ の方式を使用す る には、 [Authorized Manager IP] カ ラ ム に認可管
理ス テーシ ョ ンの IP ア ド レ ス を入力 し て、 IP マ ス ク の設定を
255,255,255,255 の ま ま に し てお く だけです。 こ れがオー ソ ラ イ ズ
ド マネージ ャ 機能を使用す る 最 も 簡便な方法です。 ( こ の ト ピ ッ
ク については、 11- 10 ページの 「オー ソ ラ イ ズ ド マネージ ャ IP エ
ン ト リ 1 件で 1 台の ス テーシ ョ ン を設定」 を参照 し て く だ さ い。 )
■
複数ステーションの認可 : こ のテーブル エ ン ト リ では、IP マ ス ク を
使用 し て、 定義済みス テーシ ョ ン のグループに ス イ ッ チへのア ク
セ ス を認可 し ます。 こ の方式は、 複数の ス テーシ ョ ン に ス イ ッ チ
へのア ク セ ス を許可す る 場合で も すべての ス テーシ ョ ンにエ ン ト
リ を入力す る 必要がないため便利です。 1 つのオー ソ ラ イ ズ ド マ
ネージ ャ IP テーブル エン ト リ と 関連付け ら れた IP マ ス ク に よ っ
て定義 さ れた グループ内の ス テーシ ョ ンはすべて、 同 じ ア ク セ ス
レベル ( 管理者ま たはオペレー タ ) にな り ます。 ( こ の ト ピ ッ ク に
ついては、 11- 11 ページの 「オー ソ ラ イ ズ ド マネージ ャ IP エン ト
リ 1 件で複数台の ス テーシ ョ ン を設定」 を参照 し て く だ さ い。 )
ス イ ッ チにオー ソ ラ イ ズ ド マネージ ャ ア ク セ ス を設定す る には、 適切な
オー ソ ラ イ ズ ド マネージ ャ IP を入力 し 、 IP マ ス ク を指定 し て、 管理者ま
たはオペレータのいずれかの ア ク セ ス レベル を選択 し ます。 IP マ ス ク は、
管理ス テーシ ョ ン に よ る ス イ ッ チへのア ク セ ス を許可ま たは拒否す る よ う
に設定す る際に、 オー ソ ラ イ ズ ド マネージ ャ IP を使用す る か を指定す る
為に使われ ます。
11-4
オー ソ ラ イ ズ ド IP マネージ ャ の使用
認可管理ス テーシ ョ ンの定義
IP マ ス ク の動作の概要
デフ ォ ル ト の IP マ ス ク は 255.255.255.255 であ り 、 [Authorized Manager IP]
パ ラ メ ー タ の値 と 等 し い IP ア ド レ ス を持つス テーシ ョ ン にのみ、 ス イ ッ
チへのア ク セ ス を許可 し ます。 ( マ ス ク のオ ク テ ッ ト の 「255」 は
[Authorized Manager IP] パ ラ メ ー タ の対応す る オ ク テ ッ ト の厳密な値だけ
が、 認可 さ れた管理ス テーシ ョ ン の IP ア ド レ ス で許可 さ れ る こ と を意味
し ます。 ) ただ し 、 認可 IP ア ド レ ス の範囲を指定す る よ う に、 マ ス ク お よ
び [Authorized Manager IP] パ ラ メ ー タ を変更す る こ と がで き ます。
た と えば、 マ ス ク が 255.255.255.0 で任意の [Authorized Manager IP] パ ラ
メ ー タ の場合、 認可 IP ア ド レ ス の第 4 オ ク テ ッ ト に 0 か ら 255 の範囲を
指定す る こ と がで き る ため、 ( ネ ッ ト ワー ク 用の 0 と ブ ロ ー ド キ ャ ス ト 用
の 255 を除 く ) 最高 254 の IP ア ド レ ス ブ ロ ッ ク を IP 管理ア ク セ ス用に許
可で き ます。 255.255.255.252 と い う マ ス ク では、 所定の [Authorized
Manager IP] ア ド レ ス の第 4 オ ク テ ッ ト を使用 し て、管理ス テーシ ョ ン ア ク
セ ス用の 4 つの IP ア ド レ ス を許可 し ます。 IP マ ス ク の使用方法について
は、 11- 10 ページの 「IP マ ス ク の設定」 を参照 し て く だ さ い。
注記
IP マ ス ク は、 所定の IP ア ド レ ス を ス イ ッ チへの管理ア ク セ ス用に許可す
る か ど う か を認識す る ための方法です。 こ のマ ス ク は、 IP サブネ ッ ト マ ス
ク と は目的 も 用途 も 異な り ます。
メ ニ ュ ー : オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ
び設定
コ ン ソ ールの [Main Menu] か ら 、 以下を選択 し ます。
[2. Switch Configuration ...]
[7. IP Authorized Managers]
11-5
オー ソ ラ イ ズ ド IP マネージ ャ の使用
認可管理ス テーシ ョ ンの定義
1. [Add] を選択 し て、 オー ソ ラ イズ ド
マネージ ャ を リ ス ト に追加 し ます。
図 11-1. オーソライズド マネージャ エントリの追加方法の例
2. こ こ にオー ソ ラ イ ズ ド マネージ ャ の IP ア ド レ ス を入力 し ま
す。
3. デ フ ォ ル ト のマ ス ク を使用 し て、 1 つの管理機器か ら のア ク
セ ス を許可するか、 管理機器グループ に よ る ア ク セ ス を許可
する よ う にマ ス ク を編集 し ます。 11- 10 ページの 「IP マス ク
の設定」 を参照 し て く だ さ い。
4. スペース バー を使用 し て管理者またはオペ
レ ー タ ア ク セ ス を選択 し ます。
5. [Enter] キー、 [S] キー (Save を表す ) の順に押 し て、 オー ソ
ラ イ ズ ド IP マネージ ャ エ ン ト リ を設定 し ます。
Telnet、 SNMPv1、 SNMPv2c に よ る ア ク セ
スのみに適用 さ れます。
図 11-2. オーソライズド マネージャ エントリの追加方法の例 ( 続き )
オーソライズド マネージャ エントリの編集または削除。 [IP Managers List]
画面に進み ( 図 11-1)、 希望のエン ト リ を強調表示 し 、 [E] キー (Edit を表す
) ま たは [D] キー (Delete を表す ) を押 し ます。
11-6
オー ソ ラ イ ズ ド IP マネージ ャ の使用
認可管理ス テーシ ョ ンの定義
CLI: オー ソ ラ イ ズ ド IP マネージ ャ の表示お よ び設定
この項で使用するオーソライズド IP マネージャ コマンド
コマンド
ページ
show ip authorized-managers
下記
ip authorized-managers
11- 8
<ip-address>
11- 8
<ip-mask-bits>
11- 9
[access <operator |
manager>]
ス イ ッ チの現在のオー ソ ラ イ ズ ド IP マネージ ャ の一覧表示
ス イ ッ チへのア ク セ ス が許可 さ れてい る IP ス テーシ ョ ン を一覧表示す る
には、 show ip authorized-managers コ マ ン ド を使用 し ます。 た と えば以下
の よ う にな り ます。
図 11-3. show ip authorized-manager による表示の例
上記のオー ソ ラ イ ズ ド IP マネージ ャ の一覧表示の例では、 ス イ ッ チへの
ア ク セ ス が許可 さ れてい る ス テーシ ョ ンは以下の よ う にな り ます。
IP マスク
認可ステーションの IP アドレス
アクセス モード
255.255.255.252
10.28.227.100 ~ 103
管理者
255.255.255.254
10.28.227.104 ~ 105
管理者
255.255.255.255
10.28.227.125
管理者
255.255.255.0
10.28.227.0 ~ 255
オペ レー タ
11-7
オー ソ ラ イ ズ ド IP マネージ ャ の使用
認可管理ス テーシ ョ ンの定義
ス イ ッ チに対する オー ソ ラ イ ズ ド IP マネージ ャ の設定
構文 :
ip authorized-managers < ip address >
1 つま たは複数の認可 IP ア ド レ ス を設定 し ます。
[< ip-mask-bits >]
< ip address > に対す る IP マ ス ク を設定 し ます。
[access <operator | manager>]
< ip address > の権限レベルを設定 し ます。 Telnet、
SNMPv1、 SNMPv2c に よ る ア ク セ ス のみに適用 さ れます。
11-3 ページの 「注記」 を参照 し て く だ さ い。
管理者アクセスを許可するには。 次の コ マ ン ド は、 IP ア ド レ ス が
10.28.227.0 ~ 10.28.227.255 の ス テーシ ョ ンの管理者レベル ア ク セ ス を許
可 し ます。
ProCurve (config)# ip authorized-managers 10.28.227.101
255.255.255.0 access manager
同様に、 次の コ マ ン ド は、 IP ア ド レ ス が 10.28.227.101 ~ 103 の ス テー
シ ョ ン の管理者レベル ア ク セ ス を許可 し ます。
ProCurve (config)# ip authorized-managers 10.28.227.101
255.255.255.252 access manager
<mask bits> を省略 し て新 し いオー ソ ラ イ ズ ド マネージ ャ を追加す る と 、 ス
イ ッ チはマ ス ク と し て 255.255.255.255 を自動的に割 り 当て ます。 ま た、
管理者ア ク セ ス ま たはオペレー タ ア ク セ ス のど ち ら も 指定 し なか っ た場
合、 ス イ ッ チは自動的に管理者ア ク セ ス を割 り 当て ます。 た と えば以下の
よ う にな り ます。
ip authorized-managers コマンドでマスクを指定しないと、 255.255.255.255 のデフォルト マスクが割り当てられ、 指定のステーションの
みが許可されます。 11- 11 ページの 「オーソライズド マネージャ IP エントリ 1 件で複数台のステーションを設定」 を参照してください。
図 11-4. デフォルト マスクによるオーソライズド IP マネージャの指定例
既存の管理者アクセス エントリを編集するには。 既存のエ ン ト リ のマ ス
ク ま たはア ク セ ス レベル を変更す る には、 そのエン ト リ の IP ア ド レ ス を
使用 し て新 し い値を入力 し ます。 ( コ マ ン ド で指定 し ないパ ラ メ ー タ は、
すべてデフ ォ ル ト 値に設定 さ れます。 )
11-8
オー ソ ラ イ ズ ド IP マネージ ャ の使用
Web: オー ソ ラ イ ズ ド IP マネージ ャ の設定
ProCurve (config)# ip authorized-managers
10.28.227.101 255.255.255.0 access operator
上記の コ マ ン ド は、 IP ア ド レ ス 10.28.227.101 の既存のマ ス ク お よ びア ク
セ ス レベルを、 それぞれ 255.255.255.0 お よ びオペレー タ に置換 し ま
す。
次の コ マ ン ド は、 マ ス ク お よ びア ク セ ス レベルのパ ラ メ ー タ が指定 さ れて
いないため、 IP ア ド レ ス 10.28.227.101 の既存のマ ス ク お よ びア ク セ ス レ
ベルを、 それぞれ 255.255.255.255 お よ び ä«óùé“ レベル ( デフ ォ ル ト
) に置換 し ます。
ProCurve (config)# ip authorized-managers 10.28.227.101
オーソライズド マネージャ エントリを削除するには。 こ の コ マ ン ド には、
削除す る オー ソ ラ イ ズ ド マネージ ャ の IP ア ド レ ス を使用 し ます。
ProCurve (config)# no ip authorized-managers
10.28.227.101
Web: オーソライズド IP マネージャの設定
Web ブ ラ ウ ザ イ ン タ フ ェ ース で、 以下の よ う にオー ソ ラ イ ズ ド IP マネー
ジ ャ を設定で き ます。
オー ソ ラ イ ズ ド IP マネージ ャ ア ド レ ス を追加、 変更ま たは削除す る には、
以下の手順に従っ て く だ さ い。
1.
[Security] タ ブ を ク リ ッ ク し ます。
2.
[Authorized Addresses] ボ タ ン を ク リ ッ ク し ます。
3.
必要な動作に適切なパ ラ メ ー タ の設定を入力 し ます。
4.
[Add] ボ タ ン、 [Replace] ボ タ ン、 ま たは [Delete] ボ タ ン を ク リ ッ ク し
て、 設定の変更を適用 し ます。
Web ブ ラ ウ ザ イ ン タ フ ェ ース画面の使用方法について、 Web ベース のオ
ン ラ イ ン ヘルプ を参照す る には、 Web ブ ラ ウ ザ画面の [?] ボ タ ン を ク リ ッ
ク し ます。
11-9
オー ソ ラ イ ズ ド IP マネージ ャ の使用
IP マ ス ク の設定
IP マ ス ク の設定
[IP Mask] パ ラ メ ー タ を使用す る こ と で、 ス イ ッ チに設定す る オー ソ ラ イ ズ
ド マネージ ャ ス テーシ ョ ン の IP ア ド レ ス を制御で き ます。
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で 1 台の
ス テーシ ョ ン を設定
こ れがマ ス ク を適用す る 最 も 簡便な方法です。 10 台以下の管理ス テーシ ョ
ンお よ びオペレー タ ス テーシ ョ ン を使用 し てい る 場合、 対応す る マ ス ク と
し て 255.255.255.255 を設定 し 、 単に各ス テーシ ョ ンのア ド レ ス を
[Authorized Manager IP] リ ス ト に追加す る だけで、 すばや く 設定で き ます。
た と えば、 11- 7 ページの図 11-3 の よ う に、 IP ア ド レ ス を 10.28.227.125、
それに付随す る IP マ ス ク を 255.255.255.255 と 設定 し た場合、 IP ア ド レ ス
が 10.28.227.125 の ス テーシ ョ ン のみが ス イ ッ チへの管理ア ク セ ス を許可
さ れ ます。
表 11-1.
単一ステーションのエントリの IP マスクの分析
第1オク 第2オク 第3オク 第4オク 管理者レベルまたはオペレータ レベルの機器アクセス
テット テット テット テット
IP マスク
255
オーソライ 10
ズド マネー
ジャ IP
11-10
255
255
255
28
227
125
マス クの各オ ク テ ッ ト の 「255」 は、 対応する IP ア ド レ
スのそのオ ク テ ッ ト の厳密な値だけが許可 さ れる こ と を
意味 し ます。 このマス ク では、 10.33.248.5 と い う IP ア ド
レ ス を持つステーシ ョ ンにのみ管理ア ク セスが許可 さ れ
ます。
オー ソ ラ イ ズ ド IP マネージ ャ の使用
IP マ ス ク の設定
オー ソ ラ イ ズ ド マネージ ャ IP エ ン ト リ 1 件で複数台
の ス テーシ ョ ン を設定
マスクを使用すれば、 ネットワーク上のステーションの IP アドレスに特定の条件を
付加することができます。 つまり、 オーソライズド マネージャ エントリで、 IP アド
レスにマスクを指定すると、 管理アクセス用に認可する IP アドレスの範囲を設定
することができます。 上記のように、 その範囲には 1 つの IP アドレス ( マスクの
すべてのオクテットが 255 に設定されている場合 ) を指定することも、 複数の IP
アドレス ( マスクの 1 つ以上のオクテットが 255 未満に設定されている場合 ) を含
めて指定することもできます。
マ ス ク のあ る オ ク テ ッ ト のビ ッ ト が 「オ ン」 (1 に設定 さ れてい る ) であ る 場
合、 認可ス テーシ ョ ン候補の IP ア ド レ ス の対応す る ビ ッ ト は、 [Authorized
Manager IP] リ ス ト に入力 し た IP ア ド レ ス の同 じ ビ ッ ト と 一致 し てい る必要
があ り ます。 逆に、 マ ス ク のあ る オ ク テ ッ ト のビ ッ ト が 「オ フ」 (0 に設定
さ れてい る ) であ る 場合、 認可ス テーシ ョ ン候補の IP ア ド レ ス の対応す る
ビ ッ ト は、[Authorized Manager IP] リ ス ト に入力 し た IP ア ド レ ス の同 じ ビ ッ
ト と 一致 し てい る必要はあ り ません。 し たが っ て、 上記の例で、 IP マ ス ク
の 1 つのオ ク テ ッ ト が 「255」 ( オ ク テ ッ ト 内の すべて のビ ッ ト が 「オ ン」 )
に設定 さ れてい る 場合は、 そのオ ク テ ッ ト に対 し て 1 つの値 ([Authorized
Manager IP] リ ス ト の対応す る オ ク テ ッ ト で指定 し た値 ) のみが許可 さ れ る
こ と を意味 し ます。 「0」 ( オ ク テ ッ ト 内のすべての ビ ッ ト が 「オ フ」 ) の場
合は、 0 ~ 255 ま での値が認可ス テーシ ョ ンの IP ア ド レ ス の対応す る オ ク
テ ッ ト で許可 さ れ る こ と を意味 し ます。0 よ り 大 き く 255 よ り 小 さ い値を使
用 し て、 0 ~ 255 の範囲内で値を指定す る こ と も で き ます。
表 11-2.
複数ステーションのエントリの IP マスクの分析
第1オク 第2オク 第3オク 第4オク 管理者レベルまたはオペレータ レベルの機器アクセス
テット テット テット テット
IP マスク
255
オーソライ 10
ズド マネー
ジャ IP
IP マスク
255
認可 IP アド 10
レス
255
255
0
28
227
125
255
255
249
28
227
125
マスクの最初の 3 つのオクテ ッ ト の 「255」 は、 対応する IP
ア ド レ スのそのオ ク テ ッ ト において指定さ れた値だけが許
可される こ と を意味し ます。 ただ し、 マスクの第 4 オク テ ッ
ト のゼロ (0 ) は、対応する IP ア ド レスのそのオクテ ッ ト にお
いて 0 ~ 255 までの任意の値を許可し ます。 このマスクの場
合、IP ア ド レスが 10.28.227.xxx (xxx は 0 ~ 255 の任意の値 ) の
機器にスイ ッ チへのアクセスが許可されます。
この例 ( 下記の図 11-5) では、 IP マスクは最高 4 つの管理
ステーションからなるグループにスイッチへのアクセスを許可
します。 これは、 マスクで許可されている IP アドレス グルー
プの機器だけが管理ステーションである場合に便利です。 第
4 オクテットの 「249」 は、 第 4 オクテットのビット 0 および 3
~ 7 が固定であることを意味します。 逆に第 4 オクテットの
ビット 1 と 2 は可変です。 固定ビットの認可 IP アドレスの設
定と一致する任意の値が、 スイッチへの IP 管理ステーション
アク セスを 許可 され ます。 し た がっ て、 I P
アド レスが
10.28.227.121、 123、 125、 または 127 の管理ステーション
がスイッチにアクセスできます。
11-11
オー ソ ラ イ ズ ド IP マネージ ャ の使用
IP マ ス ク の設定
IP マスクの第 4 オクテット :
認可 IP アドレスの第 4 オク
テット :
249
5
ビット番号
ビット
7
ビット
6
ビット
5
ビット
4
ビット
3
ビット
2
ビット
1
ビット
0
ビット値
128
64
32
16
8
4
2
1
IP マスクの
第 4 オク
テット (249)
IP 認可アド
レスの第 4
オクテット
(125)
マス ク内のビ ッ ト 1 およびビ ッ ト 2 が 「オ
フ 」、 ビ ッ ト 0 お よびビ ッ ト 3 ~ 7 が 「オ
ン」、 つま り マス クの第 4 オ ク テ ッ ト の値は
249 と な っ ています。
マス ク ビ ッ ト が 「オ ン」 の場合、 認可ス
テーシ ョ ン候補のア ド レ スの対応する ビ ッ
ト 設定は、 IP 認可ア ド レ スの同 じ ビ ッ ト の
設定 と 一致 し ている必要があ り ます。 マス
ク ビ ッ ト が 「オ フ 」 の場合、 ア ド レ スの対
応する ビ ッ ト 設定は 「オ ン」 で も 「オ フ 」
で も 構いません。 この例で、 ステーシ ョ ン
がス イ ッ チへのア ク セス を認可 さ れるには、
以下の条件があ り ます。
• ステーシ ョ ンのIPア ド レ スの最初の3つの
オ ク テ ッ ト が、 認可 IP ア ド レ ス と 一致 し
ている必要があ り ます。
• ステーシ ョ ンのア ド レ スの第4オ ク テ ッ ト
のビ ッ ト 0 およびビ ッ ト 3 ~ 6 は 「オ ン」
( 値が 1) である必要があ り ます。
• ステーシ ョ ンのア ド レ スの第4オ ク テ ッ ト
のビ ッ ト 7 は 「オ フ 」 ( 値が 0) である必要
があ り ます。
• ビ ッ ト 1 と 2 は 「オン」 で も 「オ フ 」 で も
構いません。
し たがっ て、 IP ア ド レ スが 13.28.227.X (X は
121、 123、 125 または 127) のス テーシ ョ ン
が認可 さ れます。
図 11-5. IP マスクのビットマップによるオーソライズド マネージャ アドレスの定義の仕方の例
11-12
オー ソ ラ イ ズ ド IP マネージ ャ の使用
運用上の注記
複数 ス テーシ ョ ンの認可のその他の例
IP マスク
オーソライズド
マネージャ リストの
エントリ
結果
255 255 0
この組み合わせは、 10.33.xxx.1 と い う IP ア ド レ ス を指定 し ます。 た
と えば、 各サブネ ッ ト が第 3 オ ク テ ッ ト によ っ て定義 さ れていて、
ス テーシ ョ ンの IP ア ド レ スの第 4 オ ク テ ッ ト の 「1」 の値で定義 さ
れてい る管理ス テーシ ョ ン を含む、 サブネ ッ ト ネ ッ ト ワー ク に適用
さ れます。
オーソライ 10
ズド マネー
ジャ IP
IP マスク
33
255
248 1
255 238 255 250
オーソライ 10
ズド マネー
ジャ IP
247 100 195
第 2 オ ク テ ッ ト で 230、 231、 246、 247、 および第 4 オ ク テ ッ ト で
194、 195、 198、 199 が許可 さ れます。
運用上の注記
■
ネットワーク セキュリティに関する安全対策 : ス イ ッ チに組み込み
のパ ス ワー ド 機能を使用する 、 ス イ ッ チに物理的にア ク セ ス で き
る ユーザを限定す る 、 こ のマニ ュ アルに記載のセキ ュ リ テ ィ 機能
を使用す る、 お よ びス テーシ ョ ン のデー タ への未許可ア ク セ ス を
防止す る こ と で、 ネ ッ ト ワー ク のセキ ュ リ テ ィ を強化で き ます。
■
モデムおよび直接コンソール アクセス : オー ソ ラ イ ズ ド IP マネー
ジ ャ を設定 し て も 、 モデム ま たは直接 コ ン ソ ール (RS-232) ポー ト
接続を経由 し た ス イ ッ チへのア ク セ ス は保護で き ません。
■
IP アドレスの重複 : 認可管理ス テーシ ョ ンの IP ア ド レ ス を別の ス
テーシ ョ ン に設定 ( ま たは 「な り すま し 」 ) す る と 、 IP ア ド レ ス の
重複が存在 し た と し て も 、 その ス テーシ ョ ンは ス イ ッ チへの管理
ア ク セ ス が許可 さ れ ます。
■
Webプロキシ サーバ: Webブ ラ ウ ザ イ ン タ フ ェース を使用 し てオー
ソ ラ イ ズ ド IP マネージ ャ ス テーシ ョ ン か ら ス イ ッ チにア ク セ スす
る 際、 ス テーシ ョ ン と ス イ ッ チ間のパ ス において Web プ ロ キ シ
サーバを使用 し ない こ と をお勧め し ます。 Web プ ロ キ シ サーバを
経由 し た ス イ ッ チへのア ク セ ス には、 あ ら か じ めその Web プ ロ キ
シ サーバを [Authorized Manager IP] リ ス ト に追加 し てお く 必要があ
る ためです。 その場合、 Web プ ロ キ シ サーバを使用す るすべての
ユーザに ス イ ッ チへのア ク セ ス を開放す る こ と にな り 、 セキ ュ リ
11-13
オー ソ ラ イ ズ ド IP マネージ ャ の使用
運用上の注記
テ ィ が損なわれ る こ と にな り ます。 ス テーシ ョ ン と ス イ ッ チ間の
パ ス か ら Web プ ロ キ シ サーバを除外す る 場合は、 以下の 2 つのオ
プシ ョ ンがあ り ます。
•
•
11-14
他のア プリ ケ ーショ ン 用にプロ キ シ サーバへのア ク セス を 有
効にする 必要があ る 場合でも 、 ス イ ッ チへの Web ア ク セス か
ら プロ キ シ サービ ス を 除外する こ と ができ ま す。 それには、
ス イ ッ チの IP ア ド レ ス ま たは DNS 名を 、 認可ス テーショ ン で
使用する Web ブラ ウ ザ イ ン タ フ ェ ース の非プロ キ シ リ ス ト ま
たは「 例外」 リ ス ト に追加し ま す。
認可ス テーショ ン でプロ キ シ サーバへのア ク セス がま っ たく
不要な場合は、 ス テ ーショ ン の Web ブラ ウ ザ イ ン タ フ ェ ース
のプロ キ シ サーバ機能を 無効にし ま す。
索引
数字
K
3DES … 6-3, 7-3
802.1X
kill コマンド … 6-11
ポート ベース アクセス制御を参照 … 8-1
L
LACP
A
802.1x との併用不可 … 8-11, 8-15, 8-50
aaa authentication … 4-8
aaa port-access
Web 認証または MAC 認証を参照
C
M
MAC 認証
CHAP
使用 … 3-4
定義 … 3-9
LACP との併用不可 … 3-12
オーセンティケータ オペレーション … 3-5
機能 … 3-4
基本的な設定 … 3-12
クライアント ステータス … 3-30
ステータスと設定の表示 … 3-28
設定
RADIUS アクセスのスイッチ設定 … 3-15
RADIUS サーバ … 3-14
スイッチでの設定 … 3-22
設定コマンド … 3-23
動作ルール … 3-10
ブロックされるトラフィック … 3-4
用語 … 3-9
Clear ボタン
パスワードを削除するには … 2-5
D
DES … 6-3, 7-3
G
GVRP、通知されないスタティック VLAN … 8-49
I
Inactivity Time パラメータ … 2-3
Inconsistent value … 9-14
IP
オーソライズド IP マネージャ … 11-1
予約ポート番号 … 6-17
IP アドレスの重複
オーソライズド IP マネージャへの影響 … 1113
IP マスク
1 台のオーソライズド マネージャ ステーショ
ン … 11-10
設定 … 11-10
動作 … 11-5
複数台のオーソライズド マネージャ ステー
ション … 11-11
MD5
RADIUS を参照
O
Open VLAN モード
ポート アクセス制御を参照
OpenSSH … 6-3
OpenSSL … 7-2
P
prior to … 9-32, 9-34, 9-36
Privacy Enhanced Mode (PEM)
SSH を参照
Index – 1
R
RADIUS
MD5 … 5-4
Network アカウンティング … 5-18
RADIUS 認証の省略 … 5-9
show accounting … 5-30
show authentication … 5-28
TLS … 5-4
Web ブラウザ アクセス制御 … 5-17
Web ブラウザ認証 … 5-7
アカウンティング … 5-2, 5-17
アカウンティング、Exec … 5-18, 5-22
アカウンティング、Network … 5-22–5-23
アカウンティング、Sstart-Stop … 5-23
アカウンティング、Stop-Only … 5-23
アカウンティング、System … 5-18, 5-22
アカウンティング、運用ルール … 5-19
アカウンティング、更新オプション … 5-24
アカウンティング、サーバ アクセスの障
害 … 5-19
アカウンティング、サーバ アクセスの設
定 … 5-20
アカウンティング、セッションのブロッ
ク … 5-24
アカウンティング、設定概要 … 5-19
アカウンティング タイプの選択 … 5-22
アカウンティング、統計項目 … 5-27
運用ルール、スイッチ … 5-4
オーソライズド IP マネージャ、優先 … 11-2
基本的な設定 … 5-5
グローバル パラメータの設定 … 5-12
コマンド、アカウンティング … 5-17
コマンド、スイッチ … 5-6
サーバ アクセス順序の変更 … 5-32
サーバ アクセスの順序 … 5-19
サーバ、複数 … 5-13
セキュリティ … 5-9
セキュリティに関する注記 … 5-2
設定概要 … 5-7
設定、サーバ アクセス … 5-10
統計、表示 … 5-26
認証オプション … 5-2
認証、ローカル … 5-16
非サポートの SNMP アクセス セキュリ
ティ … 5-2
非サポートの Web ブラウザ セキュリティ … 52, 5-17
メッセージ … 5-34
2 – Index
用語 … 5-3
ローカル認証 … 5-9
RADIUS アカウンティング
RADIUS を参照
S
show
MAC アドレスのロックアウト … 9-27
MAC アドレスのロックダウン … 9-25
SSH
CAUTION、アクセスの制限 … 6-20
CAUTION、セキュリティ … 6-18
CLI コマンド … 6-9
crypto key … 6-11
Man-in-the-Middle スプーフィング … 6-16
OpenSSH … 6-3
PEM … 6-4
SSHv2 … 6-2
安全ではないアウトバウンド SSH … 6-8
キー、[babble] … 6-11
キー、[fingerprint] … 6-11
キー サイズ … 6-17
キー、ゼロ化 … 6-11
キーのゼロ化 … 6-11
キー ペアの生成 … 6-10
既知ホスト ファイル … 6-13, 6-15
クライアント公開キー認証 … 6-19, 6-22
クライアント公開キーの削除 … 6-27
クライアント公開キー、表示 … 6-26
クライアント公開キーファイルの作成 … 6-24
クライアントとの通信 … 6-15–6-16
公開キー … 6-5, 6-13
公開キー、表示 … 6-14
サポートされる暗号化方式 … 6-3
スイッチのキーをクライアントに提供 … 6-13
スイッチの認証 … 6-3
スタック、セキュリティ … 6-8
セキュリティ … 6-18
設定手順 … 6-6
ゼロ化 … 6-11
前提条件 … 6-5
認証、クライアント公開キー … 6-2
認証の設定 … 6-18
認証、ユーザ パスワード … 6-2
バージョン … 6-2
パスワード セキュリティ … 6-18
パスワード、設定 … 6-9
パスワードのみの認証 … 6-18
ホスト キー ペア … 6-11
ホスト キー ペアの消去 … 6-11
ホスト キー ペアの生成 … 6-11
未認可アクセス … 6-20, 6-28
無効化 … 6-11
メッセージ、オペレーション関連 … 6-28
有効化 … 6-15–6-16, 7-19
用語 … 6-4
予約 IP ポート番号 … 6-17
動作ルール … 6-8
SSL
CA 署名 … 7-4, 7-15
CA 署名証明情報 … 7-4, 7-15
CA 署名証明情報の生成 … 7-15
CLI コマンド … 7-7
crypto key … 7-10
Man-in-the-Middle スプーフィング … 7-18
OpenSSL … 7-2
SSLv3 … 7-2
SSL サーバ … 7-3
TLSv1 … 7-2
運用上の注記 … 7-6
キー、[ babble ] … 7-12
キー、[fingerprint] … 7-12
クライアントとの通信 … 7-17–7-18
サーバ ホスト証明情報 … 7-10
サーバ ホスト証明情報の消去 … 7-10
サーバ ホスト証明情報の生成 … 7-10
サポートされる暗号化方式 … 7-3
証明情報キー ペアの消去 … 7-10
自己署名 … 7-3, 7-13
自己署名証明情報 … 7-3, 7-10, 7-13
自己署名証明情報の消去 … 7-10
自己署名証明情報のせいせい … 7-10, 7-13
自己署名の生成 … 7-13
スタック、セキュリティ … 7-6
設定手順 … 7-5
ゼロ化 … 7-10, 7-12
前提条件 … 7-5
トラブルシューティング … 7-21
動作ルール … 7-6
バージョン … 7-2
パスワード、設定 … 7-7
ホスト キー ペア … 7-10
ホスト キー ペアの消去 … 7-10
ホスト キー ペアの生成 … 7-10
ホスト証明情報の生成 … 7-9
無効化 … 7-10
有効化 … 7-17
用語 … 7-3
予約 TCP ポート番号 … 7-20
ルート … 7-4
ルート証明情報 … 7-4
T
TACACS
aaa パラメータ … 4-12
IP アドレス、サーバ … 4-15
NAS … 4-3
show authentication … 4-8
TACACS+ サーバ … 4-3
Web アクセスの制御 … 4-24
Web アクセスの非サポート … 4-5
暗号キー … 4-6, 4-15–4-16, 4-19
暗号キー、基本的な動作 … 4-23
暗号キー、グローバル … 4-20
オーソライズド IP マネージャの影響 … 4-26
オーソライズド IP マネージャ、優先 … 11-2
概要 … 1-2
基本動作 … 4-2
権限レベル コード … 4-7
サーバ アクセス … 4-15
サーバの優先順位 … 4-18
システム要件 … 4-5
スイッチ ロックアウトの防止 … 4-15
設定、暗号キー … 4-19
設定、基本 … 4-5
設定、サーバ アクセス … 4-15
設定、タイムアウト … 4-20
設定、認証 … 4-11
設定の準備 … 4-8
設定、表示 … 4-10
タイムアウト … 4-15
注意 … 4-5
テスト … 4-5
トラブルシューティング … 4-6
認証 … 4-4
認証プロセス … 4-20
認証、ローカル … 4-22
未認可アクセスの防止 … 4-7
メッセージ … 4-25
ローカル管理者パスワードの必要性 … 4-26
tacacs-server … 4-8
TCP
Index – 3
予約ポート番号 … 7-20
い
RADIUS を参照
イベント ログ
侵入アラート … 9-35
TLS
V
う
VLAN
802.1X … 8-46
802.1x、ID 変更 … 8-49
802.1x、タグ無 VLAN の一時中断 … 8-42
GVRP で通知されない VLAN … 8-49
運用上の注記
オーソライズド IP マネージャ … 11-13
ポート セキュリティ … 9-36
お
W
Web サーバ、プロキシ … 9-36
Web 認証
CHAP
使用 … 3-4
定義 … 3-9
LACP との併用不可 … 3-12
オーセンティケータ オペレーション … 3-5
機能 … 3-4
基本的な設定 … 3-12
クライアント ステータス … 3-30
ステータスと設定の表示 … 3-26
設定
RADIUS アクセスのスイッチ設定 … 3-15
スイッチでの設定 … 3-17
設定コマンド … 3-18
動作ルール … 3-10
ブロックされるトラフィック … 3-4
用語 … 3-9
リダイレクト URL … 3-9
Web ブラウザ インタフェース、設定
オーソライズド IP マネージャ … 11-8–11-9
Web ブラウザ インタフェース、ポート セキュリ
ティ設定 … 9-28, 9-36
オーソライズド IP マネージャ
IP マスクの設定 … 11-10
IP マスクの動作 … 11-5
Web ブラウザ インタフェースでの設定 … 118–11-9
アクセス レベル … 11-3
運用上の注記 … 11-13
概要 … 11-1
コンソールでの設定 … 11-5
重複 IP アドレスの影響 … 11-13
他のセキュリティとの優先順位 … 11-2
単一および複数ステーションの定義 … 11-4
単一ステーションの IP マスク … 11-10
トラブルシューティング … 11-13
複数ステーションの IP マスク … 11-11
オペレータ パスワード … 2-2, 2-4–2-5
か
管理者パスワード … 2-2, 2-4–2-5
管理者パスワード、推奨 … 4-7
こ
コンソール、設定
オーソライズド IP マネージャ … 11-5
あ
アカウンティング
RADIUS を参照
アクセス レベル、オーソライズド IP マネー
ジャ … 11-3
アドレス
ポート セキュリティのための認可アドレ
ス … 9-3
4 – Index
し
証明情報
CA 署名 … 7-4
自己署名 … 7-3
ルート … 7-4
侵入アラーム
prior to … 9-36
イベント ログ … 9-35
ログから削除されたエントリ … 9-37
侵入ログ
prior to … 9-32, 9-34
す
すぐにご使用になる場合 … 1-9
スタック
SSH セキュリティ … 6-8
SSL セキュリティ … 7-6
せ
セキュリティ
オーソライズド IP マネージャ … 11-1
各ポート … 9-2
セキュリティ違反
通知 … 9-28
セキュリティ、パスワード
SSH を参照
設定
RADIUS
RADIUS を参照
SSH
SSH を参照
ポート セキュリティ … 9-5
設定画面 … 1-9
と
トラブルシューティング
オーソライズド IP マネージャ … 11-13
トランク
LACP、802.1x との併用不可 … 8-15
LACP を参照
フィルタ、ソース ポート … 10-2, 10-6
に
認可アドレス
IP 管理セキュリティ … 11-4
ポート セキュリティ … 9-3
認証
TACACS を参照
は
パスワード
CAUTION … 2-3
Clear ボタンによる削除 … 2-5
オーソライズド IP マネージャ、優先 … 11-2
大文字小文字の区別 … 2-4
オペレータ用のみ設定した場合、CAUTION … 23
削除 … 2-5
設定 … 2-4
長さ … 2-4
パスワードを忘れた場合 … 2-5
不正確な入力 … 2-3
ブラウザ / コンソール アクセス … 2-3
ペア … 2-2
パスワード ペア … 2-2
パスワード セキュリティ … 6-18
パスワードの設定 … 2-4
ふ
フィルタ、ソース ポート
idx … 10-8–10-9
show … 10-8, 10-13
値 … 10-8
インデックス … 10-8–10-9
設定 … 10-5
動作 … 10-2
動作ルール … 10-3, 10-11
名前付きソース ポート フィルタ … 10-10
表示 … 10-8, 10-13
フィルタ タイプ … 10-8
フィルタのインデックス番号付け … 10-9
編集 … 10-10
ポート トランク … 10-2, 10-6
プロキシ
Web サーバ … 9-36
ほ
保証 … 1-iv
ポート
セキュリティ設定 … 9-2
ポート セキュリティ
prior to … 9-36
Web ブラウザ インタフェースでの設定 … 9-28,
9-36
イベント ログ … 9-35
運用上の注記 … 9-36
オーソライズド IP マネージャ、優先 … 11-2
概要 … 9-2
Index – 5
基本的な動作 … 9-2
セキュリティ違反の通知 … 9-28
設定 … 9-5
認可アドレス定義 … 9-3
プロキシ Web サーバ、… 9-36
ポート ベース アクセス制御
Authenticator Backend State … 8-39
CHAP … 8-3
chap-radius … 8-19
EAP … 8-3
eap-radius … 8-19
EAPOL … 8-9
local … 8-19
MD5 … 8-9
RADIUS … 8-3
Open VLAN
PVID、no … 8-41
VLAN、
タグ付 … 8-21–8-23, 8-27, 8-32, 8-44
VLAN、認証後 … 8-22, 8-27, 8-32
運用上の注記 … 8-32
基本動作 … 8-21
ステータス表示 … 8-41
セキュリティ違反 … 8-32
設定 … 8-29, 8-31
セットアップ … 8-28
動作ルール … 8-26
認可クライアント … 8-22
未認可クライアント … 8-22
モード … 8-21
モデルの使用 … 8-22
GVRP の影響 … 8-49
LACP との併用不可 … 8-50
Open VLAN
一時中断された VLAN … 8-42
RADIUS ホスト IP アドレス … 8-20
show コマンド … 8-39
show コマンド、サプリカント … 8-45
VLAN オペレーション … 8-46
オーセンティケータ、show コマンド … 8-39
オーセンティケータの動作 … 8-6, 8-8
オーソライズド IP マネージャ、優先 … 11-2
カウンタ … 8-39
概要 … 8-3
機能 … 8-3
基本的な設定 … 8-12
サプリカント オペレーション … 8-8
サプリカント オペレーション、スイッチ ポー
ト … 8-7
6 – Index
サプリカント、スイッチ ポートの設定 … 8-37
サプリカント統計に関する注記 … 8-45
サプリカントの状態 … 8-45
サプリカントの設定 … 8-35
サプリカントの有効化 … 8-36
スイッチでの有効化 … 8-20
スイッチの認証 … 8-4
スイッチ ユーザ名およびパスワード … 8-4
設定概要 … 8-13
設定コマンド … 8-15
設定、表示 … 8-39
統計 … 8-39
トラフィックのブロック … 8-4
トラブルシューティング、GVRP … 8-46
動作 … 8-6
運用ルール … 8-10
非 802.1x 機器のブロック … 8-34
方式の設定 … 8-19
ポート セキュリティ、802.1x … 8-33
ポート セキュリティの使用 … 8-33
ポートでの有効化 … 8-15
メッセージ … 8-50
ユーザの認証 … 8-4
用語 … 8-8
ローカル ユーザ名およびパスワード … 8-4
め
メッセージ
Inconsistent value … 9-14
メッセージ「inconsistent value」… 9-14
免責条項 … 1-iv
ゆ
ユーザ名
削除 … 2-5
よ
予約ポート番号 … 6-17, 7-20
本書の技術内容は、 将来予告な し に変更 さ れ る 場
合があ り ます。
© Copyright 2006 Hewlett-Packard Development
Company, L.P. All right reserved. 日本 ヒ ュ ー レ ッ
ト ・ パ ッ カー ド 株式会社、 2006. All rights
reserved. 書面に よ る 事前の許可な く 複製、 翻案、
翻訳す る 事は、 著作権法の下で許可 さ れてい る 場
合を除 き 、 禁止 さ れてい ま す。
2007 年 2 月
マ ニ ュ アル P/N
5991-4734JP
Fly UP