アクセス・セキュリティガイド

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download アクセス・セキュリティガイド

Transcript

アクセス・セキュリティガイド

ProCurve Switch 2810 シリーズ
2007 年 2 月
アクセスセキュリティガイド
© Copyright 2001-2007 Hewlett-Packard Company,
L..P. All right reserved. 日本ヒューレット・パッカード
株式会社、2007. All rights reserved.
本書の内容は、将来予告なしに変更される場合がありま
す。
出版番号
5991-4734JP
2007 年 2 月
対象製品
書に記載された内容の誤りに対して、また提供物、性能、
または本書の使用に関連した付随的または重大な損害に
対して、一切の責任を負わないものとします。
本書の内容につきましては万全を期しておりますが、本
書中の技術的あるいは校正上の誤り、省略に対して、い
かなる責任も負いかねますのでご了承ください。本書の
内容は、そのままの状態で提供されるもので、いかなる
保証も含みません。本書の内容は、将来予告なしに変更
される場合があります。 HP 製品に対する保証について
は、当該製品に付属の保証書に記載されています。本書
のいかなる内容も、新たな保証を追加するものではあり
ません。
ProCurve Switch 2810-24 (J9021A)
ProCurve Switch 2810-48 (J9022A)
ヒューレット・パッカードは、ヒューレット・パッカー
ドが提供しない機器のソフトウェアの使用または信頼性
に対して一切責任を負いません。
商標表示
保証
Windows NT 、 Windows 、および MS Windows は米国
における Microsoft Corporation の登録商標です。
製品に同梱のカスタマサポート / 保証に関する小冊子を
ご参照ください。
ソフトウェアクレジット
Procurve Switch の SSH 機能は、 OpenSSH ソフトウェア
ツールキットに基づいています。この製品には、
OpenSSH ツールキットで使用するための、 OpenSSH
Project が開発したソフトウェアが含まれています。
OpenSSH については、 http://www.openssh.com ( 英語 ) ま
たは http://www.openssh.com/ja/ ( 日本語 ) を参照してくだ
さい。
Procurve Switch の SSL 機能は、 OpenSSL ソフトウェア
ツールキットに基づいています。この製品には、 OpenSSL
ツールキットで使用するための、 OpenSSL Project が開発
したソフトウェアが含まれています。 OpenSSL について
は、 http://www.openssl.org ( 英語 ) を参照してください。
この製品には、 Eric Young ([email protected]) が開発した
暗号ソフトウェアが含まれています。
この製品には、 Tim Hudson ([email protected]) が開発した
ソフトウェアが含まれています。
免責条項
ヒューレット・パッカード社は、商品性と特定の目的に
対する適合性の暗黙の保証、およびそれ以外の任意の要
素を含めて、本書の内容に関していかなる保証も与える
ものではありません。ヒューレット・パッカードは、本
Hewlett-Packard Company
8000 Foothills Boulevard, m/s 5551
Roseville, California 95747-5551
http://www.procurve.com
ご利用の HP 製品に適用できる個別の保証規約の書面およ
び交換用部品は、 HP セールス担当者とサービスオフィ
ス、または認定販売代理店から入手いただけます。
Contents
製品マニュアル
付属のスイッチマニュアルセットについて . . . . . . . . . . . . . . . . . . . . xi
機能インデックス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii
1 はじめに
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 2
アクセスセキュリティ機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . 1- 2
管理アクセスセキュリティ保護 . . . . . . . . . . . . . . . . . . . . . . . . 1- 3
スイッチトラフィックセキュリティの基本ガイドライン . . . . . 1- 4
表記例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
モデルごとの機能説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
コマンド構文の表記法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 5
コマンドプロンプト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
画面の表示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
ポート識別の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 7
詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 8
すぐにご使用になる場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 9
IP アドレスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1- 9
ネットワークにスイッチをセットアップおよび設置するには . . . 1- 10
2 ユーザ名およびパスワードセキュリティの設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 2
ローカルパスワードセキュリティの設定 . . . . . . . . . . . . . . . . . . . 2- 4
メニュー : パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 4
CLI: パスワードとユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2- 5
Web: パスワードとユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2- 6
iii
前面パネルのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 7
セキュリティが重要となるケース . . . . . . . . . . . . . . . . . . . . . . 2- 7
前面パネルボタンの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 8
前面パネルのセキュリティ設定 . . . . . . . . . . . . . . . . . . . . . . . . 2- 10
パスワードリカバリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2- 15
パスワードリカバリプロセス . . . . . . . . . . . . . . . . . . . . . . . . . 2- 17
3 Web 認証および MAC 認証
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 2
クライアントオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 4
Web 認証および MAC 認証の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 5
オーセンティケータオペレーション . . . . . . . . . . . . . . . . . . . . 3- 5
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 9
動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 10
Web/MAC 認証の基本的な設定手順 . . . . . . . . . . . . . . . . . . . . . . . . 3- 12
Web/MAC 認証を設定する前に以下の手順を実行する . . . . . . . . 3- 12
RADIUS サーバでの MAC 認証サポート設定に関する追加情報 . . 3- 14
RADIUS サーバへアクセスするためのスイッチ設定 . . . . . . . . . . . . . 3- 15
Web 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 17
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 17
スイッチでの Web 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 18
スイッチの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 22
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 22
スイッチでの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 23
Web 認証のステータスと設定の表示 . . . . . . . . . . . . . . . . . . . . . . . . 3- 26
MAC 認証のステータスと設定の表示 . . . . . . . . . . . . . . . . . . . . . . . 3- 28
クライアントステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . 3- 30
iv
4 TACACS+ 認証
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 2
TACACS アプリケーションで使用される用語 . . . . . . . . . . . . . . . . . 4- 3
基本的なシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 5
基本的な認証の設定手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 5
スイッチでの TACACS+ 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 8
始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 8
この項で説明する CLI コマンド . . . . . . . . . . . . . . . . . . . . . . . . 4- 9
現在のスイッチの認証設定の表示 . . . . . . . . . . . . . . . . . . . . . . 4- 9
現在のスイッチの TACACS+ サーバ接続設定の表示 . . . . . . . . . 4- 10
スイッチの認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 11
スイッチの TACACS+ サーバアクセスの設定 . . . . . . . . . . . . . . 4- 15
認証の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 20
TACACS+ サーバを使用する基本的な認証プロセス . . . . . . . . . . 4- 20
ローカル認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 22
暗号キーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 23
TACACS+ 認証での Web ブラウザインタフェースのアクセス制御 . . 4- 24
TACACS+ オペレーションに関連したメッセージ . . . . . . . . . . . . . . 4- 25
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4- 26
5 RADIUS 認証およびアカウンティング
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 3
RADIUS のスイッチ運用ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 4
基本的な RADIUS 設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 5
スイッチでの RADIUS 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 6
RADIUS 認証設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 7
1. アクセス手段ごとの RADIUS 認証設定 . . . . . . . . . . . . . . . . . 5- 8
2. RADIUS サーバへアクセスするためのスイッチ設定 . . . . . . . . 5- 10
3. スイッチのグローバル RADIUS パラメータの設定 . . . . . . . . . 5- 12
v
ローカル認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 16
RADIUS 認証での Web ブラウザインタフェースのアクセス制御 . . . 5- 17
RADIUS アカウンティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 17
RADIUS アカウンティングの運用ルール . . . . . . . . . . . . . . . . . . 5- 19
RADIUS アカウンティングの設定手順 . . . . . . . . . . . . . . . . . . . . 5- 19
RADIUS 統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 26
基本的な RADIUS 統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 26
RADIUS 認証統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5- 28
RADIUS アカウンティング統計 . . . . . . . . . . . . . . . . . . . . . . . . . 5- 30
RADIUS サーバへのアクセス順序の変更 . . . . . . . . . . . . . . . . . . . . . 5- 32
RADIUS オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . 5- 34
6 セキュアシェル (SSH) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 4
SSH を使用する前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 5
公開キーフォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 5
スイッチおよびクライアント認証の SSH 設定および使用手順 . . . . . 6- 6
基本的な動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 8
SSH オペレーションのスイッチ設定 . . . . . . . . . . . . . . . . . . . . . . . . 6- 9
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レベルのローカル
パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 9
2. スイッチの公開キー / 秘密キーのペアの生成 . . . . . . . . . . . . 6- 10
3. スイッチの公開キーをクライアントに提供する . . . . . . . . . . . 6- 13
4. スイッチの SSH の有効化および SSH クライアントとの通信 . . 6- 15
5. SSH 認証のスイッチ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6- 18
6. スイッチへのアクセスに SSH クライアントを使用する . . . . . 6- 22
SSH クライアント公開キー認証の詳細 . . . . . . . . . . . . . . . . . . . . . . 6- 22
SSH オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . . . . 6- 28
vi
7 セキュアソケットレイヤ (SSL) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 3
SSL を使用する前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 5
スイッチおよびクライアント認証の SSL 設定および使用手順 . . . . . . 7- 5
基本的な動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 6
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レベルのローカル
パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7- 7
2. スイッチのサーバホスト証明情報の生成 . . . . . . . . . . . . . . . 7- 9
3. スイッチの SSL の有効化および SSL ブラウザとの通信 . . . . . . 7- 17
SSL セットアップの一般的なエラー . . . . . . . . . . . . . . . . . . . . . . . . 7- 21
8 ポートベースのアクセス制御 (802.1x) の設定
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 3
ポートベースのアクセス制御を使用する理由 . . . . . . . . . . . . . . 8- 3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 3
802.1x の認証動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 6
オーセンティケータの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 6
スイッチポートでのサプリカントオペレーション . . . . . . . . . . 8- 7
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 8
基本的な運用ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 10
ポートベースのアクセス制御 (802.1x) の基本的な設定手順 . . . . . . . 8- 12
802.1x オペレーションを設定する前に以下の手順を実行する . . . 8- 12
概要 : スイッチでの 802.1x 認証の設定 . . . . . . . . . . . . . . . . . . . 8- 13
スイッチポートを 802.1x オーセンティケータとして設定する . . . . . 8- 15
1. 選択したポートで 802.1x 認証を有効にする . . . . . . . . . . . . . . 8- 15
2. 802.1x 認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 19
3. RADIUS ホスト IP アドレスの入力 . . . . . . . . . . . . . . . . . . . . . 8- 20
4. スイッチで 802.1x 認証を有効にする . . . . . . . . . . . . . . . . . . . 8- 20
802.1x Open VLAN モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 21
vii
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 21
802.1x Open VLAN モードモデルを使用する . . . . . . . . . . . . . . . 8- 22
認可クライアントおよび未認可クライアント VLAN の動作ルール . .
8- 26
802.1x Open VLAN モードの設定と構成 . . . . . . . . . . . . . . . . . . 8- 28
802.1x Open VLAN の運用上の注記 . . . . . . . . . . . . . . . . . . . . . . 8- 32
オーセンティケータポートのオプション : 802.1x 機器でのみ許可される
ポートセキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8- 33
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
8- 35
802.1x の設定、統計、およびカウンタの表示 . . . . . . . . . . . . . . . . . 8- 39
ポートアクセスオーセンティケータ用の Show コマンド . . . . . . 8- 39
802.1x Open VLAN モードのステータス表示 . . . . . . . . . . . . . . . 8- 41
ポートアクセスサプリカント用の Show コマンド . . . . . . . . . . . 8- 45
RADIUS/802.1x 認証の VLAN オペレーションへの影響 . . . . . . . . . . . 8- 46
802.1x オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . . 8- 50
9 ポートセキュリティの設定およびモニタリング
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 2
基本的な動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 2
未認可トラフィックのブロック . . . . . . . . . . . . . . . . . . . . . . . . 9- 3
トランクグループの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 4
ポートセキュリティの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 5
ポートセキュリティのコマンドオプションと動作 . . . . . . . . . . . . . 9- 6
スタティック MAC アドレスの保持 . . . . . . . . . . . . . . . . . . . . . 9- 10
現在のポートセキュリティの設定の表示 . . . . . . . . . . . . . . . . . 9- 10
ポートセキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 12
MAC ロックダウン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 17
MAC ロックダウンとポートセキュリティの違い . . . . . . . . . . . 9- 19
MAC ロックダウンの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 21
MAC ロックアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 25
ポートセキュリティと MAC ロックアウト . . . . . . . . . . . . . . . . 9- 27
viii
Web: ポートセキュリティの機能の表示および設定 . . . . . . . . . . . . . 9- 28
侵入アラートの読み取りとアラートフラグのリセット . . . . . . . . . . 9- 28
セキュリティ違反の通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 28
侵入ログの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 29
アラートフラグをリセットして侵入ログを最新の状態に保つ . . 9- 30
イベントログを使用した侵入アラートの検索 . . . . . . . . . . . . . . 9- 35
Web: 侵入のチェック、侵入アラートの一覧表示、およびアラートフ
ラグのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9- 36
ポートセキュリティの運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . 9- 36
10 トラフィック / セキュリティフィルタ
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 2
ソースポートフィルタの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10- 3
ソースポートフィルタの動作ルール . . . . . . . . . . . . . . . . . . . . 10- 3
ソースポートフィルタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 10- 5
ソースポートフィルタの表示 . . . . . . . . . . . . . . . . . . . . . . . . . 10- 8
フィルタのインデックス番号付け . . . . . . . . . . . . . . . . . . . . . . 10- 9
ソースポートフィルタの編集 . . . . . . . . . . . . . . . . . . . . . . . . 10- 10
名前付きソースポートフィルタの使用 . . . . . . . . . . . . . . . . . 10- 10
11 オーソライズド IP マネージャの使用
章の内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 1
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 2
設定オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 3
アクセスレベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 3
認可管理ステーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 4
IP マスクの動作の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 5
メニュー : オーソライズド IP マネージャの表示および設定 . . . . 11- 5
CLI: オーソライズド IP マネージャの表示および設定 . . . . . . . . 11- 7
Web: オーソライズド IP マネージャの設定 . . . . . . . . . . . . . . . . . . . 11- 9
IP マスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 10
ix
オーソライズドマネージャ IP エントリ 1 件で 1 台のステーションを
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 10
オーソライズドマネージャ IP エントリ 1 件で複数台のステーション
を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 11
複数ステーションの認可のその他の例 . . . . . . . . . . . . . . . . . . 11- 13
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11- 13
索引
x
製品マニュアル
付属のスイッチマニュアルセットにつ
いて
スイッチには次のマニュアルが付属しています。
注記
■
『Read Me First』－印刷物のガイドがスイッチに同梱されていま
す。ソフトウェア更新情報や製品ノートといった情報が記述され
ています。
■
『インストレーション / スタートアップガイド』－印刷物のガイド
がスイッチに同梱されています。このガイドでは、物理的なイン
ストールとネットワークへの接続に関する準備および実施方法に
ついて説明します。
■
『マネジメント / コンフィギュレーションガイド』－ ProCurve
Networking Web サイトから入手可能な PDF ファイルです。このガ
イドでは、基本的なスイッチ操作の設定、管理、監視の方法につ
いて説明します。
■
『高度なトラフィック管理ガイド』－ ProCurve Networking Web サイ
トから入手可能な PDF ファイルです。このガイドでは、スパニン
グツリーや VLAN といったトラフィック管理機能の設定およびオ
ペレーションについて説明します。
■
『アクセスセキュリティガイド』－ ProCurve Networking Web サイ
トから入手可能な PDF ファイルです。このガイドでは、スイッチ
のアクセスセキュリティととユーザー認証機能の設定およびオペ
レーションについて説明します。
■
『リリースノート』－ ProCurve Web サイトに掲載され、ソフトウェ
ア更新情報が記載されています。リリースノートでは、上記ガイ
ドの改訂までに施された新機能、修正、拡張について説明します。
最新の追加機能に関するリリースノートなどの ProCurve Switch マニュア
ルの最新版については、 ProCurve Networking Web サイト http://
www.procurve.com をご覧ください。 [Technical support] をクリック
し、 [Product manuals (all)] をクリックします。
xi
製品マニュアル
機能インデックス
下表の機能インデックスでは、ご使用のスイッチモデルに対応するマニュ
アルセットにおいて、各ソフトウェア機能の解説が記述されているマニュ
アルを示しています。
機能
マネジメント /
コンフィギュ
レーションガイ
ド
高度なトラ
フィック管理
ガイド
アクセスセ
キュリティガ
イド
802.1Q VLAN タグ
-
X
-
802.1p プライオリティ
X
-
-
802.1x 認証
-
-
X
オーソライズド IP マネージャ
-
-
X
Config ファイル
X
-
-
Copy コマンド
X
-
-
デバッグ
X
-
-
DHCP 設定
-
X
-
DHCP/Bootp オペレーション
X
-
-
診断ツール
X
-
-
ソフトウェアのダウンロード
X
-
-
イベントログ
X
-
-
工場出荷時の設定
X
-
-
ファイル管理
X
-
-
ファイル転送
X
-
-
GVRP
-
X
-
IGMP
-
X
-
インタフェースアクセス (Telnet、コンソール /
シリアルリンク、 Web)
X
-
-
xii
製品マニュアル
機能
マネジメント /
コンフィギュ
レーションガイ
ド
高度なトラ
フィック管理
ガイド
アクセスセ
キュリティガ
イド
IP アドレスの設定
X
-
-
LACP
X
-
-
リンク
X
-
-
LLDP
X
-
-
MAC アドレス管理
X
-
-
MAC ロックダウン
-
-
X
MAC ロックアウト
-
-
X
MAC ベース認証
-
-
X
モニタリングと分析
X
-
-
マルチキャストのフィルタリング
-
X
-
ネットワーク管理アプリケーション (LLDP、
SNMP)
X
-
-
パスワード
-
-
X
Ping
X
-
-
ポート設定
X
-
-
ポートセキュリティ
-
-
X
ポートステータス
X
-
-
ポートトランク (LACP)
X
-
-
ポートベースアクセス制御
-
-
X
ポートベースプライオリティ (802.1Q)
X
-
-
サービス品質 (QoS)
-
X
-
RADIUS 認証およびアカウンティング
-
-
X
Secure Copy
X
-
-
SFTP
X
-
-
SNMP
X
-
-
xiii
製品マニュアル
機能
マネジメント /
コンフィギュ
レーションガイ
ド
高度なトラ
フィック管理
ガイド
アクセスセ
キュリティガ
イド
ソフトウェアダウンロード (SCP/SFTP、 TFTP、
Xmodem)
X
-
-
ソースポートフィルタ
-
-
X
スパニングツリー (MSTP)
-
X
-
SSH ( セキュアシェル ) 暗号化
-
-
X
SSL ( セキュアソケットレイヤ )
-
-
X
スタック管理 ( スタッキング )
-
X
-
Syslog
X
-
-
システム情報
X
-
-
TACACS+ 認証
-
-
X
Telnet アクセス
X
-
-
TFTP
X
-
-
タイムプロトコル (TimeP、 SNTP)
X
-
-
トラフィック / セキュリティフィルタ
-
-
X
トラブルシューティング
X
-
-
VLAN
-
X
-
Web ベース認証
-
-
X
Xmodem
X
-
-
xiv
1
はじめに
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
アクセスセキュリティ機能の概要 . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
管理アクセスセキュリティ保護 . . . . . . . . . . . . . . . . . . . . . . . . 1-3
スイッチトラフィックセキュリティの基本ガイドライン . . . . . 1-4
表記例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
モデルごとの機能説明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
コマンド構文の表記法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-5
コマンドプロンプト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
画面の表示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
ポート識別の例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-7
詳細情報について . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-8
すぐにご使用になる場合 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
IP アドレスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-9
ネットワークにスイッチをセットアップおよび設置するには . . . 1-10
1-1
はじめに
概要
概要
この『アクセスセキュリティガイド』では、 ProCurve のスイッチセキュ
リティ機能を用いてスイッチへのアクセスを保護する方法について説明し
ます。このガイドは、次のスイッチモデルを対象としています。
■
ProCurve Switch 2810
上記スイッチのその他の製品ドキュメントについては、 xi ページの「製品
マニュアル」を参照してください。
また、 ProCurve Networking Web サイト http://www.procurve.com ( 英語 ) か
ら、 PDF バージョンのファイルをダウンロードできます。
アクセスセキュリティ機能の概要
このガイドで扱うアクセスセキュリティ機能は以下の通りです。
1-2
■
ローカルの管理者およびオペレータパスワード (2- 1 ページ ): CLI、
メニュー、 Web ブラウザインタフェースへのアクセスおよび権限
をコントロールします。
■
TACACS+ 認証 (4- 1 ページ ): サーバ上の認証アプリケーションを
用いて、スイッチへのアクセスを許可または拒否します。
■
RADIUS 認証およびアカウンティング (5- 1 ページ ): TACACS+ と同
様に、中央サーバ上の認証アプリケーションを用いて、スイッチ
へのアクセスを許可または拒否します。 RADIUS は、ユーザアク
ティビティとシステムイベントに関するデータを RADIUS サーバ
に送信するためのアカウンティングサービスも提供します。
■
セキュアシェル (SSH) 認証 (6- 1 ページ ): スイッチ管理機能へのリ
モートアクセス用に、暗号化されたパスを提供します。
■
セキュアソケットレイヤ (SSL) (7- 1ページ): SSL/TLS機能をサポー
トする管理ステーションクライアントから、暗号化された認証パ
スを介してスイッチにリモート Web アクセスできます。
■
ポートベースアクセス制御 (802.1x) (8- 1 ページ ): ポイントツー
ポイント接続において、ポートとスイッチへのアクセスを試みる
802.1x 対応機器 ( サプリカント ) との間のトラフィックを、スイッ
はじめに
アクセスセキュリティ機能の概要
チが許可または拒否できるようにします。また、スイッチは他の
802.1x 対応スイッチへの接続用サプリカントとして動作できるよ
うになります。
■
ポートセキュリティ (9- 1 ページ ): スイッチポートに固有の MAC ア
ドレスリストを保持させることで、そのポートを介してネット
ワークにアクセスできる特定の機器を定義できます。また、ポー
トにおいて、未認可の機器によるアクセスの試みを検出、防止、
ログ記録できます。
■
トラフィック / セキュリティフィルタ (10- 1 ページ ): ソースポート
フィルタリング機能によって、スイッチのアウトバウンド宛先
ポートが指定ソースポートからのトラフィックを転送または破棄
できるようになり、インバンドセキュリティが向上します ( 同一
VLAN 内 )。
■
オーソライズド IP マネージャ (11- 1 ページ ): スイッチに「認可」と
して設定済みの IP アドレスを持つネットワーク機器からのスイッ
チへのアクセスを許可します。
管理アクセスセキュリティ保護
スイッチで管理アクセスセキュリティを検討するに当たり、保護するべき
要素は主に次の 2 つです。
■
スイッチ管理機能への未認可クライアントアクセス
■
ネットワークへの未認可クライアントアクセス
1-4 ページの表 1-1 は、各スイッチセキュリティ機能による保護の種類を
まとめた表です。
注記
ローカルパスワードとそれ以外のスイッチセキュリティ機能を併用する
ことをお勧めします。それによって、ローカルパスワードのみを使用した
場合よりもセキュリティが向上します。
1-3
はじめに
アクセスセキュリティ機能の概要
表 1-1.
管理アクセスセキュリティ保護
セキュリティ機能
ローカルの管理者およびオペ
レータのユーザ名およびパス
ワード 1
TACACS+
RADIUS
SSH
SSL
ポートベースアクセス制御
(802.1x)
ポートセキュリティ (MAC アド
レス )
オーソライズド IP マネージャ
スイッチ管理機能への未認可クライアントからの
アクセスに対する保護機能をサポート
接続
Telnet
SNMP
Web ブ SSH ク
( ネット管ラウザライア
理)
ント
ポイント Yes
No
Yes
Yes
ツーポイ
ント :
リモート : Yes
No
Yes
Yes
ポイント Yes
No
No
Yes
ツーポイ
ント :
リモート : Yes
No
No
Yes
ポイント Yes
No
No
Yes
ツーポイ
ント :
リモート : Yes
No
No
Yes
ポイント Yes
No
No
Yes
ツーポイ
ント :
リモート : Yes
No
No
Yes
ポイント
No
No
Yes
No
ツーポイ
ント :
リモート :
No
No
Yes
No
ポイント Yes
Yes
Yes
Yes
ツーポイ
ント :
リモート :
No
No
No
No
ポイント Yes
Yes
Yes
Yes
ツーポイ
ント :
リモート : Yes
Yes
Yes
Yes
ポイント Yes
Yes
Yes
Yes
ツーポイ
ント :
リモート : Yes
Yes
Yes
Yes
ネットワークへの
未認可クライアン
トからのアクセス
に対する保護機能
をサポート
No
No
No
No
No
No
No
No
No
No
Yes
No
Yes
Yes
No
No
スイッチトラフィックセキュリティの基本ガイドラ
イン
スイッチが複数のセキュリティオプションを実行する場合、スイッチはセ
キュリティ機能の最下位から最上位まで、個々のオプションの OSI (Open
Systems Interconnection モデル ) 順位に基づいてネットワークトラフィック
1-4
はじめに
表記例
セキュリティを実装します。次のリストは、あるポートを介して転送され
るトラフィックに対して、設定されたセキュリティ機能をスイッチが実装
する順序を表しています。
1.
物理ポートの無効または有効の設定
2.
MAC ロックアウト ( スイッチの全ポートに適用 )
3.
MAC ロックダウン
4.
ポートセキュリティ
5.
オーソライズド IP マネージャ
6.
SSH など、 OSI モデルの上位レベルにおけるアプリケーション機能
( 上記のリストは、一部のセキュリティ機能間における排他的関係を考慮
していません。 )
表記例
このガイドでは、コマンド構文と表示情報を次の表記法で記述します。
モデルごとの機能説明
特定のソフトウェア機能がこのガイドの対象スイッチモデルでサポートさ
れていない場合は、その機能をサポートする製品または製品シリーズを項
の見出しに明記します。
たとえば次のようになります ( スイッチモデルは太字斜体で示します )。
「Switch 2810 の Web 認証および MAC 認証」
コマンド構文の表記法
構文 : aaa port-access authenticator < port-list >
[ control < authorized | auto | unauthorized >]
■
縦棒 ( | ) は、相互に排他的な二者択一の要素を区切ります。
■
角括弧 ( [ ] ) は、オプションの要素を表します。
■
括弧 ( < > ) は、必須の要素です。
■
角括弧の内側にある括弧 ( [ < > ] ) は、オプションに含まれる必須
要素を示します。
1-5
はじめに
表記例
■
太字は、 CLI コマンド、 CLI コマンド構文の一部、その他通常テキ
ストで表示される要素を表します。たとえば以下のようになりま
す。
「copy tftp コマンドを使用して、 TFTP サーバからクライアント公
開キーファイルをダウンロードしてください。」
■
斜体は、コマンドを実行する際に値を与える必要のある変数を表
します。たとえば、次のコマンド構文で、 <port-list > は１つまた
は複数のポート番号を指定します。
構文 : aaa port-access authenticator <port-list >
1-6
はじめに
表記例
コマンドプロンプト
工場出荷時の設定では、スイッチは次の CLI プロンプトを表示します。
ProCurve Switch 2810#
このガイドでは、読みやすいように全モデルのコマンドプロンプトとして
次のように ProCurve を用います。たとえば以下のようになります。
ProCurve#
(hostname コマンドを使って、 CLI プロンプトのテキストを変更できます。 )
画面の表示例
画面に表示されるテキストおよびコマンド出力を表す図は、次のように示
します。
ProCurve(config)# show version
Image stamp:
/sw/code/build/bass(ppne_swt)
Mar 17 2006 11:44:02
N.10.XX
2624
Boot Image:
Primary
Build Options:
QA
Watchdog:
ENABLED
図 1-1. 画面表示図の例
短いコマンド出力が続く場合、次のように図番号を付けないことがありま
す。たとえば以下のようになります。
ProCurve(config)# ip default-gateway 18.28.152.1/24
ProCurve(config)# vlan 1 ip address 18.28.36.152/24
ProCurve(config)# vlan 1 ip igmp
ポート識別の例
このガイドでは、シャーシベースとスタッカブルの両タイプの ProCurve
スイッチに適用されるソフトウェアについて説明します。ある例でポート
を識別する必要がある場合、このガイドでは "A1"、 "B3 - B5"、 "C7" と
1-7
はじめに
詳細情報について
いった、シャーシベースのポート識別システムを用います。ただし、特別
な注記がない限り、このような例は "1"、 "3 - 5"、 "15" といった数字のみ
をポート識別に使用するスタッカブルスイッチにも同様に適用できます。
詳細情報について
このガイドで説明されていないスイッチの操作や機能については、以下の
情報をご覧ください。
■
注記
各ソフトウェア機能の解説が記述されている製品マニュアルにつ
いては、 xi ページの「製品マニュアル」を参照してください。
最新の追加機能に関するリリースノートなどの ProCurve Switch マニュ
アルの最新版については、 ProCurve Networking Web サイト http://
www.procurve.com をご覧ください。 [Technical support] をクリッ
クし、 [Product manuals (all)] をクリックします。
■
メニューインタフェースの特定のパラメータに関する説明は、イ
ンタフェースに付属のオンラインヘルプを参照してください。た
とえば以下のようになります。
メニューインタフェース
のオンラインヘルプ
図 1-2. メニューインタフェースのヘルプの場所
■
1-8
CLI 内で特定のコマンドに関する情報を調べる場合は、コマンド名
に続けて「help」と入力します。たとえば以下のようになります。
はじめに
すぐにご使用になる場合
図 1-3.
CLI でのヘルプの使用
■
Web ブラウザインタフェースの機能については、ブラウザのオン
ラインヘルプを参照してください。詳細は、スイッチに付属の
『マネジメント / コンフィギュレーションガイド』を参照してくだ
さい。
■
ProCurve Networking のスイッチテクノロジ情報については、次の
ProCurve Web サイトをご覧ください。
http://www.procurve.com ( 英語 )
すぐにご使用になる場合
IP アドレスの設定
ネットワーク上で通信できるようにスイッチに手早く IP アドレスを割り
当てたい場合は ( 複数の VLAN を使用していない場合 )、[Switch Setup] 画面
の使用をお勧めします。その場合は、以下のいずれかを行ってください。
■
CLI 管理者レベルプロンプトで setup と入力します。
ProCurve# setup
■
メニューインタフェースの [Main Menu] から以下を選択します。
[8. Run Setup]
[Switch Setup] 画面の使用法については、スイッチに付属の『Quick
Installation Guide』を参照してください。
1-9
はじめに
すぐにご使用になる場合
ネットワークにスイッチをセットアップおよび設置
するには
重要！
以下の項目については、スイッチに付属の『 Quick Installation Guide』を参
照してください。
■
スイッチの設置および使用方法についての注記、注意事項、警告
■
スイッチをネットワークに物理的に設置する手順
■
IP アドレスおよびサブネットマスクを直ちに割り当てる方法、管理
者パスワードおよび ( オプションで ) 他の基本機能を設定する方法
■
LED 表示の意味
『インストレーション / スタートアップガイド』などのドキュメントの最
新版については、 ProCurve Networking Web サイトをご覧ください。 ( 詳細
は xi ページの「製品マニュアル」を参照してください。 )
1-10
2
ユーザ名およびパスワードセキュリティの
設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-2
ローカルパスワードセキュリティの設定 . . . . . . . . . . . . . . . . . . . . 2-4
メニュー : パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
CLI: パスワードとユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2-5
Web: パスワードとユーザ名の設定 . . . . . . . . . . . . . . . . . . . . . . 2-6
前面パネルのセキュリティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-7
セキュリティが重要となるケース . . . . . . . . . . . . . . . . . . . . . . 2-7
前面パネルボタンの機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8
前面パネルのセキュリティ設定. . . . . . . . . . . . . . . . . . . . . . . . 2-10
パスワードリカバリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-15
パスワードリカバリプロセス . . . . . . . . . . . . . . . . . . . . . . . . 2-17
2-1
ユーザ名およびパスワードセキュリティの設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
ユーザ名の設定
なし
―
―
2- 6 ページ
パスワードの設定
なし
2- 4 ページ 2- 5 ページ 2- 6 ページ
パスワード保護の削除
n/a
2- 5 ページ 2- 6 ページ 2- 6 ページ
show front-panel-security
n/a
front-panel-security
―
2-11 ページ
―
―
2-11 ページ
―
password-clear
有効
―
2-12 ページ
―
reset-on-clear
無効
―
2-13 ページ
―
factory-reset
有効
―
2-14 ページ
―
password-recovery
有効
―
2-15 ページ
―
コンソールにはメニューインタフェースと CLI の両方からアクセスできま
す。コンソールアクセスには管理者とオペレータの 2 つのレベルがありま
す。それぞれのレベルごとにパスワードペア ( ユーザ名とパスワード ) を
設定することで、セキュリティを確保できます。
注記
ユーザ名はオプションです。メニューインタフェースでは、パスワードは
設定できますが、ユーザ名は設定できません。ユーザ名を設定するには、
CLI インタフェースまたは Web ブラウザインタフェースを使用します。
レベル
許可されているアクション
管理者 :
コンソールインタフェース全般へのアクセス。
このレベルがデフォルトです。つまり、管理者パスワードが
設定されていない場合、コンソールにアクセスする者すべて
が、コンソールインタフェースの全般にアクセスできます。
オペレー [Status and Counters] メニュー、 [Event Log] および [Command Line
タ:
(CLI)]* へのアクセス。ただし設定変更はできません。
オペレータレベルでは、 [Main Menu] の設定に関するメニュー、
[Download OS]、および [Reboot Switch] オプションは使用できません。
*ping、 link-test、 show、 menu、 exit および logout の各コマンドのほか、
管理者パスワードを設定していれば enable コマンドも使用できます。
2-2
ユーザ名およびパスワードセキュリティの設定
概要
パスワードセキュリティを設定するには :
1.
管理者パスワードペアを設定します ( 使用するシステムで該当する場
合は、オペレータパスワードも設定します )。
2.
現在のコンソールセッションを終了します。これで、コンソールのす
べてにアクセスするには管理者パスワードペアが必要となります。
上記の手順 1 と 2 を実行してから、次回メニューインタフェースまたは
CLI でコンソールセッションを開始すると、パスワードを要求するプロン
プトが表示されます。管理者パスワードとオペレータパスワードの両方が
設定されている場合、コンソールインタフェースへのアクセスレベルは、
プロンプトに対して入力されたパスワードのレベルになります。
管理者パスワードを設定する場合、 Inactivity Time パラメータも設定でき
ます ( 詳しくは、スイッチに付属の『マネジメント / コンフィギュレーショ
ンガイド』を参照してください )。このパラメータを設定すると、指定し
た時間、非活動状態が続くとコンソールセッションが終了されます。この
ため、未許可のコンソールアクセスに対するセキュリティを強化できます。
注記
管理者パスワードとオペレータパスワード、および ( オプションの ) ユー
ザ名によって、メニューインタフェース、 CLI、 Web ブラウザインタ
フェースへのアクセスが制御されます。
管理者パスワードのみを設定した ( オペレータパスワードは設定しない )
場合、それ以降のセッションではプロンプトに対して正しい管理パスワー
ドを入力しないと、そのセッションでの管理アクセスは許可されません。
パスワードは大文字と小文字を区別します。
CAUTION
スイッチに管理者パスワードとオペレータパスワードのいずれも設定され
ていない場合、 Telent、シリアルポート、 Web ブラウザインタフェースの
いずれかを介してスイッチにアクセス可能な全員が、すべての管理者権限
を保有することになります。また、オペレータパスワードしか設定されて
いない場合は、オペレータパスワードを入力することで、完全な管理者権
限が有効になります。
この項では、以下の方法について説明します。
■
パスワードの設定
■
パスワードの削除
■
パスワードを忘れた場合のリカバリ
2-3
ユーザ名およびパスワードセキュリティの設定
ローカルパスワードセキュリティの設定
ローカルパスワードセキュリティの設定
メニュー : パスワードの設定
この項で既に述べたように、ユーザ名はオプションです。ユーザ名を設定
するには、 CLI インタフェースまたは Web ブラウザインタフェースが必
要です。
1.
[Main Menu] から以下を選択します。
[3. Console Passwords]
図 2-1. [Set Password] 画面
2.
新しいパスワードを設定するには、以下の手順に従ってください。
a.
[Set Manager Password] または [Set Operator Password] を選択
します。 [Enter new password] というプロンプトが表示されます。
b.
スペースを含めずに 16 文字 (ASCII) 以下のパスワードを入力し、
[Enter] キーを押します。 ( パスワードでは大文字と小文字が区別
されることに注意してください。 )
c.
[Enter new password again] というプロンプトが表示されたら、新
しいパスワードをもう一度入力し、 [Enter] キーを押します。
パスワードの設定後、続けて新しいコンソールセッションを開始すると、
パスワードの入力を要求されます。 (CLI または Web ブラウザインタ
フェースを使ってオプションのユーザ名を設定する場合、ユーザ名の入
力、次いでパスワード入力を求めます。 )
2-4
ユーザ名およびパスワードセキュリティの設定
ローカルパスワードセキュリティの設定
パスワードを削除するには ( パスワードを忘れた場合も含めて )：この手順
によって、すべてのユーザ名 ( 設定されている場合 ) およびパスワード ( 管
理者およびオペレータ ) を削除します。
スイッチに物理的にアクセスできる場合は、スイッチ前面にある [Clear] ボ
タンを 1 秒以上押し続け、すべてのパスワードを消去してから、本章で説
明した手順に従って新しいパスワードを入力します。
スイッチに物理的にアクセスできない場合は、管理者レベルのアクセスが
必要となります。
1.
管理者レベルでコンソールに入ります。
2.
上記のように [Set Passwords] 画面に進みます。
3.
[Delete Password Protection] を選択します。次に以下のプロンプトが
表示されます。
Continue Deletion of password protection? No
4.
スペースバーを押して [Yes] を選択し、 [Enter] キーを押します。
5.
[Enter] キーを押して、パスワード保護に関するメッセージをクリアし
ます。
管理者パスワードを忘れた場合には：管理者パスワードを忘れたために管
理者レベルでコンソールセッションを開始できない場合は、スイッチに物
理的にアクセスして [Clear] ボタンを 1 秒以上押し続けることによって、パ
スワードを消去します。この操作を行うと、コンソールと Web ブラウザ
インタフェース双方で使用されていたすべてのパスワードとユーザ名 ( 管
理者およびオペレータ ) が削除されます。
CLI: パスワードとユーザ名の設定
この項で使用するコマンド
password
下記を参照してください。
管理者パスワードおよびオペレータパスワードの設定 .
構文 :
[ no ] password <manager | operator > [ user-name ASCII-STR ]
[ no ] password < all >
2-5
ユーザ名およびパスワードセキュリティの設定
ローカルパスワードセキュリティの設定
• パスワードの入力文
•
字列はアスタリスク
で表示されます。
パスワードは2回入力
する必要があります。
図 2-2. 管理者パスワードおよびオペレータパスワードの設定例
パスワードを削除するには。パスワードを削除すると、パスワードによる
セキュリティがなくなります。このコマンドを実行すると、一方または両
方のパスワードを削除することを確認するプロンプトが表示され、その後
指定されたパスワードが消去されます。 ( このコマンドは、削除したパス
ワードに付随するユーザ名も消去します。 ) たとえば、オペレータパス
ワード ( および設定されている場合はユーザ名 ) をスイッチから削除する
には、次の手順を実行します。
[Y] キー (Yes) を押し、 [Enter] キーを押します。
図 2-3. パスワードと付随するユーザ名の削除
図 2-3 に示されるコマンドを実行すると、オペレータレベルのパスワード
が削除されます。（つまり、スイッチコンソールにアクセスできる全員が、
ユーザ名とパスワードを入力することなくオペレータレベルでアクセスで
きることになります。）
Web: パスワードとユーザ名の設定
Web ブラウザインタフェースで、パスワードと ( オプションの ) ユーザ名
を入力できます。
Web ブラウザインタフェースでユーザ名とパスワードを設定 ( または削除
) するには。
1.
[Security] タブをクリックします。
[Device Passwords] ボタンをクリックします。
2.
2-6
以下のいずれかを実施します。
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
3.
･
ユーザ名とパスワードを設定するには、該当するフィールドに任
意のユーザ名およびパスワードを入力します。
･
ユーザ名とパスワードを削除するには、フィールドを空白にしま
す。
[Apply Changes] ボタンをクリックして、ユーザ名とパスワードを適用
します。
スイッチに関する Web ベースのヘルプにアクセスするには、 Web ブラウ
ザ画面で [?] ボタンをクリックします。
前面パネルのセキュリティ
前面パネルのセキュリティ機能により、スイッチ前面にある 2 つのボタン
の機能を独立して有効または無効に設定できます。これら 2 つのボタン
は、パスワード消去 ([Clear] ボタン ) またはスイッチを工場出荷時の設定に
戻す場合 ([Reset] ボタンと [Clear] ボタンを同時に押す ) に使用します。ス
イッチのセキュリティをさらに強化する必要があれば、パスワードリカバ
リ機能を無効にすることもできます。
前面パネルのセキュリティ機能は、悪意のあるユーザが次のような操作を
できないようにするものです。
■
[Clear] ボタンを押してパスワードをリセットする。
■
[Reset] ボタンと [Clear] ボタンを同時に押して工場出荷時の設定に戻
す。
■
スイッチに物理的にアクセスできる者が、管理者レベルでスイッチに
アクセスする。
セキュリティが重要となるケース
ユーザの利用環境によっては、より高度な情報セキュリティが求められる
場合があります。また、 1996 年に制定された米国の「医療保険の携行性と
責任に関する法律 (HIPAA)」では、機密保持の対象となる医療記録を処理
して伝送するシステムに対してセキュリティ保護を講じる措置を義務付け
ています。
これまでは、スイッチは一般に施錠された安全な場所に設置されるため、
システムおよびネットワークの管理者のみがネットワークスイッチにアク
セスできるものと考えられていました。しかし、これがまったく通用しな
いケースがあります。また、たとえスイッチにアクセスされたとしても
データの安全性が保たれる環境が必要になる場合もあります。
2-7
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
スイッチの前面パネルをセキュリティ保護しないと、前面パネルの [Clear]
ボタンが押されてユーザ定義のパスワードが削除されてしまう恐れがあり
ます。このボタンは、万一設定したパスワードを忘れても、パスワードを
リセットしてスイッチを制御できるようにするために用意されています。
しかし、不特定の人間が出入りできる場所にスイッチが設置されていると、
スイッチのセキュリティが不完全になってしまいます。 [Clear] ボタンの操
作によって、パスワードが容易に消去されてしまう可能性があります。ス
イッチに物理的にアクセスできれば、パスワードを消去して ( 新たなパス
ワード設定すら可能 ) スイッチを勝手に制御することも可能になります。
パスワードが勝手に削除されないよう、スイッチの前面にある [Clear] ボタ
ンと [Reset] ボタンの機能を無効にすることにより、スイッチのセキュリ
ティを一層高めることができます。
前面パネルボタンの機能
スイッチの前面パネルには、 [Reset] ボタンと [Clear] ボタンがあります。
Power
Fault
Locator
RPS
Act
Fan
FDx
Test
Spd
Console
[Reset] ボタン
[Clear] ボタン
図 2-4. 前面パネルボタンの配置例
[Clear] ボタン
[Clear] ボタンのみを 1 秒間押すと、スイッチに設定されているパスワード
がリセットされます。
Reset
Clear
図 2-5. [Clear] ボタンを 1 秒間押してパスワードをリセット
2-8
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
[Reset] ボタン
[Reset] ボタンのみを 1 秒間押すと、スイッチがリブートします。
Reset
Clear
図 2-6. [Reset] ボタンを 1 秒間押してスイッチをリブート
工場出荷時の設定への復元
[Reset] ボタンと [Clear] ボタンを同時に押すことにより (Reset+Clear)、ス
イッチを工場出荷時の設定に復元できます。これは、次のように行いま
す。
1.
[Reset] ボタンを押したままにします。
Reset
2.
Clear
[Reset] ボタンを押しながら、 [Clear] ボタンを押したままにします。
Rese
Reset
Clear
Clea
2-9
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
3.
[Reset] ボタンを放し、 Self-Test LED が点滅し始めるまで約 1 秒待ちます。
Reset
Clear
Self
Test
4.
Self-Test LED が点滅し始めたら、 [Clear] ボタンを放します。
Reset
Clear
Self
Test
この手順により、スイッチの設定が工場出荷時の初期状態に復元します。
前面パネルのセキュリティ設定
CLI のグローバルコンフィギュレーションコンテキストレベルから frontpanel-security コマンドを用いて、以下を実行できます。
2-10
･
[Clear] ボタンのパスワード消去機能を無効または再有効にできま
す。 [Clear] ボタンを無効にすると、 [Clear] ボタンを押してもパス
ワードはスイッチから削除されません。 ( この操作は [Clear] ボタ
ンのみを押す場合に効果がありますが、 2- 9 ページの「工場出荷
時の設定への復元」で説明した Reset+Clear の操作には影響しませ
ん。 )
･
任意のローカルのユーザ名とパスワードを消去した後にスイッチ
がリブートするように、 [Clear] ボタンを設定できます。こうする
ことで、スイッチに設定されていたユーザ名とパスワードがすべ
て消去されたかどうかを ( イベントログメッセージに加えて ) 直
ちに視認することができます。
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
･
Reset+Clear を同時に押した場合の機能 (2- 9 ページ ) を、スイッチ
がリブートしても工場出荷時の設定を復元しないように変更でき
ます。 ( スイッチをリブートするだけの [Reset] ボタン単独の操作
には影響しません。 )
･
パスワードリカバリ機能を無効にするか、または再有効にします。
Syntax: show front-panel-security
現在の前面パネルセキュリティ設定を表示します。
Clear Password: スイッチ前面パネルにある [Clear] ボタンの
状態を示します。 Enabled は、 [Clear] ボタンを押すとスイッ
チに設定されているユーザ名とパスワードが消去されること
を意味します ( つまりローカルパスワードによるスイッチの
保護がなくなります )。 Disabled は、 [Clear] ボタンを押して
も、スイッチに設定されているユーザ名とパスワードが削除
されないことを意味します。 ( デフォルト : Enabled)
Reset-on-clear: reset-on-clear オプションの状態を示します
(Enabled または Disabled)。 reset-on-clear が無効で Clear
Password が有効な場合は、 [Clear] ボタンを押すとローカル
のユーザ名とパスワードがスイッチから消去されます。
reset-on-clear が有効な場合は、 [Clear] ボタンを押すとス
イッチからローカルのユーザ名とパスワードが消去されてス
イッチがリブートします。 (reset-on-clear を有効にすると
clear-password が自動的に有効になります。 ) ( デフォルト :
Disabled) ：
Factory Reset: スイッチ前面パネルにある [Reset] ボタンの
状態を示します。 Enabled は、 [Reset] ボタンを押すとスイッ
チがリブートすること、および [Reset] ボタンと [Clear] ボタ
ンを同時に押すと (2- 9 ページ参照 ) スイッチを工場出荷時の
設定にリセットできることを意味します。 ( デフォルト :
Enabled)
Password Recovery: パスワードを忘れてしまってもリカバ
リできるようにスイッチが設定されているかどうかを示しま
す。 (2- 17 ページの「パスワードリカバリプロセス」を参
照。 )( デフォルト : Enabled)
CAUTION: このオプションを無効にすると、パスワード
リカバリ機能が解除されます。このオプションを無効にす
るのは最終的な手段であり、セキュリティ上の緊急性がな
い限りお勧めできません。パスワードリカバリ機能が無
効になっているときにパスワードを忘れてしまった場合
は、 [Reset] ボタンおよび [Clear] ボタンを操作して（2- 9
ページを参照）スイッチを工場出荷時の設定に戻してか
ら、新しいパスワードを設定する必要があります。
2-11
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
たとえば、スイッチの前面パネルセキュリティ機能がデフォルトに設定さ
れている場合、 show front-panel-security コマンドを実行すると次の出力
が表示されます。
図 2-7. デフォルトの前面パネルセキュリティ設定
スイッチ前面パネルの [Clear] ボタンのパスワード消去機能
の無効化
Syntax: no front-panel-security password-clear
工場出荷時の設定では、スイッチ前面パネルにある [Clear]
ボタンを押すと、スイッチに設定されているローカルのユー
ザ名とパスワードがすべて消去されます。このコマンドを実
行すると [Clear] ボタンのパスワード消去機能が無効になり、
[Clear] ボタンを押してもローカルのユーザ名とパスワードは
そのまま保持されます。 ( デフォルト : Enabled)
注記 : [Clear] ボタンを無効に設定すると、このボタンを
押してもパスワードは消去されませんが、 2- 9 ページの
「工場出荷時の設定への復元」に記載のように、 [Reset]
ボタンと同時に押して (Reset + Clear) スイッチを工場出
荷時の設定に戻すことは可能です。
このコマンドを実行すると、 CLI に CAUTION ( 注意 ) メッセージが表示さ
れます。 [Clear] ボタンを無効にしたままにする場合は [Y] キーを、そうで
ない場合は [N] キーを押します。たとえば以下のようになります。
このコマンドによってスイッチ前面パネルの
[Clear] ボタンが無効になったことを示します。
[Clear Password] が無効に設定されている場
合、 Show コマンドを実行しても [Reset-onclear] ステータスは操作不能のため表示され
ません。 [Clear Password] を再有効にするとき
に必ず再設定する必要があります。
図 2-8. [Clear] ボタンを無効にした場合の新しい設定の表示例
2-12
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
スイッチ前面パネルの [Clear] ボタンを再有効にして
[Reset-On-Clear] 機能を設定または変更する
Syntax: [no] front-panel-security password-clear reset-on-clear
このコマンドは、次の両方を実行します。
･スイッチ前面パネルにある [Clear] ボタンのパスワード消
去機能を再有効にします。
･ [Clear] ボタンを押したときにスイッチをリブートするか
どうかを指定します。
パスワード消去機能を再有効にするには、 reset-on-clear オ
プションを有効または無効のいずれにするのかを指定する必
要があります。
デフォルト :
- password-clear: Enabled
- reset-on-clear: Disabled
したがって、次のようになります。
･ password-clear を有効に、なおかつ reset-on-clear を無効
にするには、次の構文を使用します。
no front-panel-security password-clear reset-on-clear
･ password-clear を有効に、なおかつ reset-on-clear も有効
にするには、次の構文を使用します。
front-panel-security password-clear reset-on-clear
( いずれのコマンドも、 password-clear は有効になります。 )
注記 : [password-clear] と [password-recovery] の両方の
オプションを無効にしても、リブート時に [Reset] ボタン
と [Clear] ボタンを同時に押すことにより、パスワードを
忘れてしまった場合のリカバリが可能です (2- 9 ページを
参照 )。 [Clear] ボタンを無効に設定すると、このボタンを
押してもパスワードは消去されませんが、 [Reset] ボタン
と同時に押して (Reset + Clear) スイッチを工場出荷時の設
定に戻すことは可能です。それによって、スイッチにアク
セスして新しいパスワードを設定できます。
たとえば、 [password-clear] が無効の状態でスイッチを工場出荷時の設定
に戻すとします ([reset-on-clear] が無効のまま [password-clear] を有効にす
る )。
2-13
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
[password-clear] が無効になっていることを示します。
コマンドの冒頭に "no" を付けて、
[reset-on-clear] が無効のまま
[password-clear] を有効にします。
[password-clear] が有効で [reset-onclear] が無効である状態を示します。
図 2-9.
[Clear] ボタンのデフォルト機能を再有効にする例
Reset+Clear 機能の変更
デフォルトの設定では、 [Reset] ボタンと [Clear] ボタンを同時に押すと
(2- 9 ページの「工場出荷時の設定への復元」を参照 )、スイッチの現在の
startup-config ファイルが工場出荷時の startup-config ファイルに戻され、
続いてスイッチがリブートしてローカルのパスワードが削除されます。つ
まり、スイッチに物理的にアクセスできる全員が、 2 つのボタンを同時に
押してスイッチの現行設定を工場出荷時設定に入れ替えて、ユーザ名とパ
スワードを入力せずにスイッチを操作できるように変更できてしまうこと
になります。 factory-reset コマンドを用いることにより、こうした目的で
[Reset] ボタンと [Clear] ボタンを同時に使用できないように設定できます。
Syntax: [no] front-panel-security factory-reset
[Reset] ボタンと [Clear] ボタンの同時使用 (2- 9 ページの「工場
出荷時の設定への復元」を参照 ) に関連する次のような機能
を、無効または再有効にします。
･現在の startup-config ファイルを工場出荷時の startup-config
ファイルと入れ替える。
･スイッチに設定されているローカルのユーザ名とパスワー
ドをすべて消去する。
( デフォルト : 両機能ともに有効）
注記 : [Reset] ボタンと [Clear] ボタンを同時に押すと、 "no"
形式のコマンドを使用して上記 2 つの機能を無効にしてい
るかどうかにかかわらず、必ずスイッチがリブートします。
また、 [factory-reset] を無効にする場合に [passwordrecovery] オプションを無効にすることはできず、その逆も
できません。
2-14
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
[factory-reset] 機能を無効にするコマンドを実行すると、この注意事項が表示され
ます。コマンドを実行する場合は [Y] キーを、中止する場合は [N] キーを押します。
コマンドを実行して
[factory reset] オプションを
無効にします。
[Factory Reset] が無効に
なった前面パネルセキュリ
ティ設定が表示されます。
図 2-10.
Factory Reset オプションを無効にする例
パスワードリカバリ
パスワードリカバリ機能はデフォルトでは有効に設定されています。これ
により、システム管理者がローカルの管理者ユーザ名 ( 設定されている場
合 ) またはパスワードを忘れた場合でも、 ( スイッチを工場出荷時の設定に
リセットすることなく ) スイッチの管理機能に再びアクセスできるように
なります。パスワードリカバリ機能を用いるには、以下の措置が必要で
す。
■
ユーザ名 / パスワードを忘れてしまった場合にリカバリを試みる前に、
スイッチで [password-recovery] を有効 ( デフォルト ) にします。
■
ProCurve カスタマ・ケア・センタにお問い合わせいただき、ワンタイ
ムパスワードを取得します。
パスワードリカバリ機能の無効化または再有効化
パスワードリカバリプロセスを無効にすると、管理者のユーザ名 ( 設定さ
れている場合 ) とパスワードを忘れてしまった場合の対処法は、スイッチ
を工場出荷時の設定にリセットする方法のみとなり、この場合デフォルト
以外の設定はすべて削除されます。
CAUTION
[password-recovery] を無効にするには [factory-reset] が有効になってい
る必要があります。 [password-recovery] を無効にすると、スイッチの管理
者ユーザ名 ( 設定されている場合 ) とパスワードを忘れてしまった場合の
リカバリ機能が使用できなくなります。この場合、スイッチを工場出荷時
の設定にリセットする以外に、管理者ユーザ名 / パスワードを忘れたとき
の対処方法はなくなります。このとき、ネットワーク運用が中断され、ス
イッチを再設定する間に未認可アクセスなどの問題を防ぐためにスイッチ
を一時的にネットワークから切り離さなければならないことがありますま
た、 [factory-reset] が有効になっている場合は、未認可のユーザが [Reset]
2-15
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
ボタンと [Clear] ボタンを同時に押してスイッチを工場出荷時設定にリセッ
トし、スイッチへの管理アクセスが行えるようになってしまう恐れがあり
ます。
Syntax: [no] front-panel-security password-recovery
パスワードを忘れた場合のリカバリ機能を有効または ("no" 形
式のコマンドで ) 無効にします。
この機能が有効になっている場合、スイッチは下記のパス
ワードリカバリプロセスを通じて管理機能へのアクセスを許
可します。これにより、管理者のユーザ名 ( 設定されている
場合 ) とパスワードを忘れた場合でも、スイッチを再び管理
することができます。この機能が無効になっている場合は、
パスワードリカバリプロセスが無効となり、スイッチを再び
管理できるようにする方法は、 [Reset] ボタンと [Clear] ボタン
を同時に押して (2- 9 ページ参照 ) スイッチを工場出荷時の設
定に戻す方法のみとなります。
注記 : [password-recovery] を無効にするには、次の条件
があります。
-スイッチの前面パネルに物理的にアクセスできること。
-[factory-reset] パラメータを有効にすること ( デフォル
ト )。
( デフォルト : Enabled)
パスワードリカバリを無効にする手順。
1.
CLI をグローバルインタフェースコンテキストレベルに設定します。
2.
show front-panel-security コマンドを実行して、 [factory-reset] パラ
メータが有効かどうかを確認します。 [factory-reset] パラメータが無効
になっている場合は、 front-panel-security factory-reset コマンドを用
いて有効にします。
3.
スイッチ前面パネルの [Clear] ボタンを押し、放します。
4.
[Clear] ボタンを押してから 60 秒以内に、次のコマンドを入力します。
no front-panel-security password-recovery
5.
ٛ CAUTION メッセージが表示された後、以下のいずれかを行います。
･
コマンドを実行する場合は、 [Y] キー (Yes を意味 ) を押します。
･
コマンドを中止する場合は、 [N] キー (No を意味 ) を押します。
図 2-11 は、 [password-recovery] パラメータを無効にする例を示していま
す。
2-16
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
図 2-11. パスワードリカバリを無効にする手順の例
パスワードリカバリプロセス
スイッチの管理者ユーザ名 / パスワードを忘れてしまっても、 [passwordrecovery] が有効であれば、パスワードリカバリプロセスと ProCurve か
ら取得する代用パスワードによって、再びスイッチの管理機能にアクセス
できます。
注記
[password-recovery] を無効にした場合、スイッチの管理者ユーザ名 / パ
スワードペアのリカバリ機能は使用できなくなり、管理者ユーザ名 / パス
ワードのリカバリ方法は、 [Reset] ボタンと [Clear] ボタンを同時に押す
(2- 9 ページの「工場出荷時の設定への復元」を参照 ) 方法のみとなります。
このとき、ネットワーク運用が中断され、スイッチを再設定する間に未認
可アクセスなどの問題を防ぐためにスイッチを一時的にネットワークから
切り離さなければならないことがあります
[password-recovery] オプションを用いてパスワードをリカバリするには :
1.
スイッチのベース MAC アドレスをメモします。この MAC アドレス
は、スイッチ前面右上角に貼付されたラベルに記載されています。
2.
以降の手順については、 ProCurve カスタマ・ケア・センタまでお問い
合わせください。 ProCurve カスタマ・ケア・センタは、スイッチの
MAC アドレスに基づいて、 1 回のみ使用可能な代用パスワードを発行
します。このパスワードを使用して、スイッチの管理機能にアクセス
することができます。スイッチにアクセスした段階で、新しいパス
ワードを設定できます。
2-17
ユーザ名およびパスワードセキュリティの設定
前面パネルのセキュリティ
注記
ProCurve カスタマ・ケア・センタが発行する代用パスワードは、ログイン
1 回のみ有効です。
再びそのパスワードを紛失した場合は、同じワンタイムパスワードは使用
できません。パスワードのアルゴリズムは、スイッチの MAC アドレスに
基づいてランダム化されるため、 ProCurve カスタマ・ケア・センタが発行
するワンタイムパスワードを使用した直後に、パスワードが変わります。
2-18
3
Web 認証および MAC 認証
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-2
クライアントオプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-4
Web 認証および MAC 認証の動作 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-5
オーセンティケータオペレーション . . . . . . . . . . . . . . . . . . . . 3-5
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-9
動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-10
Web/MAC 認証の基本的な設定手順 . . . . . . . . . . . . . . . . . . . . . . . . 3-12
Web/MAC 認証を設定する前に以下の手順を実行する . . . . . . . . 3-12
RADIUS サーバでの MAC 認証サポート設定に関する追加情報 . . 3-14
RADIUS サーバへアクセスするためのスイッチ設定 . . . . . . . . . . . . . 3-15
Web 認証の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-17
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-17
スイッチでの Web 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18
スイッチの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22
スイッチでの MAC 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-23
Web 認証のステータスと設定の表示 . . . . . . . . . . . . . . . . . . . . . . . . 3-26
MAC 認証のステータスと設定の表示 . . . . . . . . . . . . . . . . . . . . . . . 3-28
クライアントステータスの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . 3-30
3-1
Web 認証および MAC 認証
概要
概要
機能
デフォルト
メニュー
CLI
Web
Web 認証の設定
n/a
―
3- 17
―
MAC 認証の設定
n/a
―
3- 22
―
Web 認証のステータスと設定の表示
n/a
―
3- 26
―
MAC 認証のステータスと設定の表示
n/a
―
3- 28
―
Web 認証と MAC 認証は、プライベートネットワークとスイッチ自身を無
許可のアクセスから保護するためのポートベースセキュリティを実現する
機能で、ネットワークの「エッジ」で使用されます。いずれの方式も特別
なサプリカントソフトウェアをクライアントで実行する必要がないため、
サプリカントソフトウェアのインストールが望ましくないレガシーシス
テムや一時アクセス環境に適しています。両方式とも、認証に RADIUS
サーバを使用します。これにより、 1 台のサーバのマスターデータベース
でアクセスを制御できるため、アクセスセキュリティ管理が容易になりま
す。 ( プライマリサーバに障害が発生した場合のバックアップとして、
RADIUS サーバを最大 3 台まで用いることができます。 ) また、どのスイッ
チまたはスイッチポートが LAN への現在のアクセスポイントになってい
ても、同一の証明情報を認証に用いることができます。
Web 認証 (Web-Auth)。この方式では、ネットワークへアクセスするユー
ザの認証に Web ページログインを使用します。ユーザがスイッチに接続
して Web ブラウザを開くと、スイッチは自動的にログインページを表示
させます。ここでユーザがユーザ名とパスワードを入力すると、スイッチ
はそれを RADIUS サーバに転送して認証を行います。認証が完了すると、
スイッチはセキュアネットワークへのアクセスを許可します。 Web ブラウ
ザ以外に、クライアントで必要となる特別なサプリカントソフトウェアは
ありません。
注記
クライアント Web ブラウザでネットワークへのアクセスにプロキシサー
バを使用することはできません。
MAC 認証 (MAC-Auth)。この方式では、ネットワークへアクセスする機
器を認証して、セキュアネットワークへのアクセスを許可します。機器が
ダイレクトリンクかネットワーク経由でスイッチに接続すると、スイッチ
は機器の MAC アドレスを RADIUS サーバに転送して認証を行います。
3-2
Web 認証および MAC 認証
概要
RADIUS サーバは、機器の MAC アドレスをユーザ名およびパスワードと
して使用し、ユーザに対するインタラクティブなログオンと同じ方法で
ネットワークへのアクセスを許可または拒否します。 ( このプロセスでは、
クライアントの機器設定もログオンセッションも使用しません。 )MAC 認
証は、電話機、プリンタ、無線アクセスポイントなど、インタラクティブ
なログオンができないクライアントに適しています。また、大抵の
RADIUS サーバでは、クライアントがネットワークへの接続に用いる送信
元のスイッチおよびポートに基づいた認証が行えるため、 MAC 認証を用
いて個々の機器を特定のスイッチやポートに固定することができます。
注記
1 つのポートに設定できる認証方式は 1 種類のみです。つまり、ある 1 つ
のポートで Web 認証、 MAC 認証、 802.1x、 MAC ロックダウン、 MAC
ロックアウト、およびポートセキュリティを混在させることはできませ
ん。また、これらの認証方式のいずれか 1 つが設定されたポートでは、
LACP を無効にする必要があります。
クライアントオプション
Web 認証と MAC 認証はポートベースのソリューションであり、ポートは
一度に 1 つのタグ無 VLAN にしか属することができません。ただし、すべ
てのクライアントを同一の VLAN 上で運用可能な場合、スイッチはポート
あたり最大 32 台の同時クライアントをサポートすることができます。 ( ス
イッチが複数のクライアントセッションを別々な VLAN で同時にサポート
できるようにする場合は、クライアントが別々のスイッチポートを使用す
るようにシステムを設計してください。 )
デフォルトの構成では、スイッチは RADIUS サーバで未認可のクライアン
トへのアクセスをブロックします。ただし、未認可のクライアントに対し
てセッション中に特定の「未認可」 VLAN を割り当てることで、そうした
クライアントに限定サービスを提供するよう個々のポートを構成すること
が可能です。未認可 VLAN の割り当ては、未認可のクライアントに対して
許可するサービスやアクセスに応じて、全ポートで同一にすることも、
別々にすることもできます。
ポートに Web 認証および MAC 認証を設定すると、オプションの未認可
VID へのアクセスがスイッチに設定されます。
3-3
Web 認証および MAC 認証
概要
主要な機能
Web 認証と MAC 認証には、次のような機能があります。
3-4
■
Web 認証または MAC 認証が設定されているポートでは、スイッチ
は RADIUS サーバと CHAP プロトコルを用いるポートアクセス
オーセンティケータとして機能します。認証が発生するまでは、
スイッチ単体でインバウンドトラフィックを処理します。認証前
の段階では一部のトラフィック、例えばブロードキャストや宛先
不明パケットはスイッチから未認証のクライアントへ送られます。
■
Web 認証が設定されたポートを通じてスイッチにアクセスするブ
ラウザでは、プロキシサーバを使用できません。
■
「認可」および「未認可」 VLAN のメンバシップを一時的にポート
ごとに割り当てて、認証済みのクライアントと未認証のクライア
ントに別々のサービスやアクセスを提供するように、スイッチを
設定することができます。
■
Web 認証を用いた場合、ユーザ名およびパスワード入力用 Web ペー
ジと許可ステータス画面が表示されます。
■
RADIUS サーバを用いることで、ポートを一時的に 1 つのスタ
ティック VLAN に割り当てて、認証済クライアントをサポートす
ることができます。 RADIUS サーバがクライアントを認証する際、
クライアントの接続中におけるスイッチポートメンバシップは次
の階層に従って決定されます。
1.
RADIUS が割り当てる VLAN
2.
対象ポートに対する Web 認証または MAC 認証の設定時に指定さ
れた認可 VLAN
3.
ポートに設定されているスタティックポートベースタグ無 VLAN。
RADIUS が割り当てる VLAN は、どの VLAN のスイッチポートメ
ンバシップよりも優先度が高い。
■
Web/MAC 認証制御の下、スイッチポート間における無線クライア
ントの移動が可能になります。クライアントは、ある Web 認証
ポートから別の Web 認証ポートへ、またはある MAC 認証ポート
から別の MAC 認証ポートへ移動することができます。この機能に
よって、無線クライアントは再認証の必要なく、あるアクセスポ
イントから別のアクセスポイントへ移動できます。
■
802.1x の動作とは異なり、クライアントに Web 認証または MAC 認
証用のサプリカントソフトウェアをインストールする必要はあり
ません。必要となるのは Web ブラウザ (Web 認証の場合 ) または
MAC アドレス (MAC 認証の場合 ) のみです。
■
“Show” コマンドを用いると、セッションステータスやポートアク
セス設定を表示できます。
Web 認証および MAC 認証
Web 認証および MAC 認証の動作
Web 認証および MAC 認証の動作
オーセンティケータオペレーション
ネットワークへのアクセス許可を得る際、クライアントはまずスイッチに
認証証明を提示します。するとスイッチは、提示された証明情報を
RADIUS 認証サーバで検証します。認証に成功したクライアントは、シス
テム管理者の定義内容に沿ってネットワークへのアクセスが許可されま
す。認証に失敗したクライアントは、同じくシステム管理者の定義内容に
沿って、ネットワークへのアクセスが一切拒否されるか、またはネット
ワークへの限定アクセスが許可されます。
Web ベース認証
Web 認証が有効になっているポートにクライアントが接続すると、通信は
スイッチにリダイレクトされます。スイッチから一時 IP アドレスが割り
当てられ、クライアントが証明情報を入力するためのログイン画面が表示
されます。
図 3-1. ユーザログイン画面の例
aaa port-access web-based コマンドの dhcp-addr および dhcp-lease オプ
ションを用いて、一時 IP アドレスプールを指定することができます。ス
イッチ上で SSL が有効で、ポートで ssl-login が使用できる場合、クライア
ントはセキュアなログインページ (https://...) にリダイレクトされます。
スイッチは、入力されたユーザ名とパスワードを RADIUS サーバに転送し
て認証を行います。
3-5
Web 認証および MAC 認証
Web 認証および MAC 認証の動作
図 3-2. 認証中の進捗メッセージ
クライアントが認証され、ポートで許容されるクライアントの最大数
(client-limit) に達していない場合、ポートはスタティックタグ無 VLAN に
割り当てられてネットワークにアクセスします。 URL が指定されている場
合、クライアントは特定の URL にリダイレクトされます (redirect-url)。
図 3-3. 認証完了
割り当てられる VLAN は、次の優先順で決定されます。
1.
RADIUS が割り当てる VLAN がある場合、クライアントセッションの
継続中、ポートはこの VLAN に属して他の VLAN メンバシップを一時
的にすべて排除します。
2.
RADIUS が割り当てる VLAN がない場合は、クライアントセッション
の継続中、ポートは認可 VLAN ( 設定されている場合 auth-vid) に属し、
他の VLAN メンバシップはすべて一時的に排除します。
3.
上記の 1 または 2 に該当せず、ポートがスタティックに設定されてい
るポートベース VLAN のタグ無メンバである場合、ポートはこの
VLAN にとどまります。
4.
上記 1、 2、 3 のいずれにも該当しない場合は、クライアントセッショ
ンはスタティックに設定されたタグ無 VLAN のいずれにもアクセスで
きず、クライアントアクセスはブロックされます。
割り当てられたポート VLAN は、セッションが終了するまで存続します。
一定の時間 (reauth-period) が経過した後、またはセッション中いつでも、
クライアントを強制的に再認証させることができます (reauthenticate)。
所定の時間が経過した後にクライアントから一切アクティビティがない場
合、暗黙的なログオフ時限を設定できます (logoff-period)。また、ポート
上のリンクが失われて全クライアントの再認証が必要な場合、セッション
3-6
Web 認証および MAC 認証
Web 認証および MAC 認証の動作
は終了します。さらに、クライアントがあるポートから別のポートに移動
し、そのポートでクライアントの移動が有効に設定されていない場合
(client-moves)、セッションは終了し、クライアントはネットワークにアク
セスするために再認証を受ける必要があります。セッションが終了する
と、ポートは認証前の状態に戻ります。ポートが許可済みになっている間
にポートの VLAN メンバシップに対して施された変更はすべて、セッショ
ン終了時に有効になります。
無効な証明情報や RADIUS サーバのタイムアウトが原因で、クライアント
が認証されないことがあります。 max-retries パラメータは、認証が失敗
するまでにクライアントが証明情報を入力できる回数を指定します。
server-timeout パラメータは、タイムアウトが発生することなく RADIUS
サーバから応答を受信するまでのスイッチの待ち時間を設定します。 maxrequests パラメータは、認証が失敗しない範囲で何回認証を試みると
RADIUS サーバがタイムアウトするのかを指定します。スイッチは、指定
された時間 (quiet-period) 待機してから、クライアントからの任意の新しい
認証要求を処理します。
ネットワーク管理者は、未認可のクライアントを特定のスタティックタグ
無 VLAN (unauth-vid) に割り当てて、特定の ( ゲスト用 ) ネットワークリ
ソースへのアクセスを許可することができます。未認証クライアントに
VLAN が割り当てられていない場合、ポートはブロックされ、ネットワー
クには一切アクセスできません。そのポートを通じて他のクライアントが
認証された場合、 unauth-vid に属するすべての未認証クライアントがポー
トから排除されます。
MAC ベース認証
MAC 認証が有効になっているポートにクライアントが接続すると、トラ
フィックはブロックされます。スイッチは直ちに、証明情報としてクライ
アントの MAC アドレス (addr-format で指定されたフォーマット ) を
RADIUS サーバに提示して、認証を行います。
クライアントが認証され、ポートで許容される MAC アドレスの最大数
(addr-limit) に達していない場合、ポートはスタティックタグ無 VLAN に割
り当てられてネットワークにアクセスします。
割り当てられる VLAN は、次の優先順で決定されます。
1.
RADIUS が割り当てる VLAN がある場合、クライアントセッションの
継続中、ポートはこの VLAN に属して他の VLAN メンバシップを一時
的にすべて排除します。
2.
RADIUS が割り当てる VLAN がない場合は、クライアントセッション
の継続中、ポートは認可 VLAN ( 設定されている場合 auth-vid) に属し、
他の VLAN メンバシップはすべて一時的に排除します。
3-7
Web 認証および MAC 認証
Web 認証および MAC 認証の動作
3.
上記の 1 または 2 に該当せず、ポートがスタティックに設定されてい
るポートベース VLAN のタグ無メンバである場合、ポートはこの
VLAN にとどまります。
4.
上記 1、 2、 3 のいずれにも該当しない場合は、クライアントセッショ
ンはスタティックに設定されたタグ無 VLAN のいずれにもアクセスで
きず、クライアントアクセスはブロックされます。
割り当てられたポート VLAN は、セッションが終了するまで存続します。
一定の時間 (reauth-period) が経過した後、またはセッション中いつでも、
クライアントを強制的に再認証させることができます (reauthenticate)。
所定の時間が経過した後にクライアントから一切アクティビティがない場
合、暗黙的なログオフ時限を設定できます (logoff-period)。また、ポート
上のリンクが失われて全クライアントの再認証が必要な場合、セッション
は終了します。さらに、クライアントがあるポートから別のポートに移動
し、そのポートでクライアントの移動が有効に設定されていない場合
(addr-moves)、セッションは終了し、クライアントはネットワークにアク
セスするために再認証を受ける必要があります。セッションが終了する
と、ポートは認証前の状態に戻ります。ポートが認証済みになっている間
にポートの VLAN メンバシップに対して施された変更はすべて、セッショ
ン終了時に有効になります。
無効な証明情報や RADIUS サーバのタイムアウトが原因で、クライアント
が認証されないことがあります。 server-timeout パラメータは、タイムア
ウトが発生することなく RADIUS サーバから応答を受信するまでのスイッ
チの待ち時間を設定します。 max-requests パラメータは、認証が失敗しな
い範囲で何回認証を試みると RADIUS サーバがタイムアウトするのかを指
定します。スイッチは、指定された時間 (quiet-period) 待機してから、クラ
イアントからの任意の新しい認証要求を処理します。
ネットワーク管理者は、未認可のクライアントを特定のスタティックタグ
無 VLAN (unauth-vid) に割り当てて、特定の ( ゲスト用 ) ネットワークリ
ソースへのアクセスを許可することができます。未認証クライアントに
VLAN が割り当てられていない場合、ポートは元の VLAN 設定のままとど
まります。そのポートを通じて他のクライアントが認証された場合、すべ
ての未認証クライアントがポートから切り離されます。
3-8
Web 認証および MAC 認証
用語
用語
CHAP: Challenge Handshake Authentication Protocol ( チャレンジハンドシェ
イク認証プロトコル )。別名「CHAP-RADIUS」。
オーセンティケータ : ProCurve Switch の場合、ネットワークへのアクセス
許可を行う前に、適切な証明情報 (MAC アドレス、またはユーザ名と
パスワード ) をクライアントまたは機器に要求する機器。
クライアント : ここでは、ポイントツーポイントリンクを介してスイッチ
に接続されている、管理ステーション、ワークステーション、モバイ
ル PC などエンドノード機器。
スタティック VLAN: CLI の vlan < vid > コマンドまたはメニューインタ
フェースを使用して、スイッチで設定された VLAN。
認可クライアント VLAN: 未認可クライアント VLAN と同じく、システム
管理者が前もってスイッチに設定した従来のスタティックタグ無ポー
トベース VLAN。この VLAN は、認証されたクライアントに対して
ネットワークアクセスおよびサービスを提供するために用いられま
す。クライアント接続が終了すると、ポートは認可クライアント
VLAN のメンバシップを破棄します。
認証サーバ : スイッチに認証サービスを提供します。たとえば RADIUS
サーバがこれにあたります。
未認可クライアント VLAN: システム管理者が前もってスイッチに設定し
た従来のスタティックタグ無ポートベース VLAN。未認可のクライア
ントに対して限定されたネットワークアクセスおよびサービスを提供
するために使用されます。
リダイレクト URL: Web 認証が無事完了したクライアントに表示される、
システム管理者指定の Web ページ。 ProCurve はスイッチに Web 認証を
設定する場合にこの URL を指定することをお勧めします。 3- 21 ページ
の aaa port-access web-based [e] < port-list > [redirect-url < url >] を参照
ください。
3-9
Web 認証および MAC 認証
動作ルールおよび注記
動作ルールおよび注記
■
1 つのポートに設定できる認証方式は 1 種類のみです。したがって、
以下の認証方式は適用するポートで互いに排他的となります。
•
•
•
■
Web 認証
MAC 認証
802.1x
ポートアクセス管理の優先順位 ( 最上位から最下位 )
•
•
•
MAC ロックアウト
MAC ロックダウンまたはポートセキュリティ
ポートベースアクセス制御 (802.1x) または Web 認証または MAC 認
証
ポートアクセスポートに Web 認証または MAC 認証を設定する際は、より優先順位の高い
管理に関する注ポートアクセス管理機能をそのポートで有効にしないでください。たとえ
ば、ポートセキュリティが無効になっていることを確認してから、その
記
ポートに Web 認証または MAC 認証を設定する必要があります。誤って
ポートセキュリティが有効のままになっていると、 Web または MAC 認証
を実行できなくなります。
■
3-10
VLAN: LAN で複数の VLAN を使用しない場合、 RADIUS サーバに
VLAN 割り当てを設定したり、認可または未認可 VLAN のいずれ
を用いるのか検討したりする必要はありません。 LAN で複数の
VLAN を使用する場合は、 Web 認証または MAC 認証を用いる上で
次のいずれかの項目が該当する場合があります。
•
Web 認証および MAC 認証は、ポートベース VLAN でのみ動作しま
す。プロトコル VLAN での動作はサポートされないため、 Web 認
証および MAC 認証のセッション中、クライアントはプロトコル
VLAN にはアクセスできません。
•
クライアントセッション中に、ポートは 1 つのタグ無 VLAN に属す
ることができます。複数の認証済クライアントが同じポートを同
時に使用する場合は、その全クライアントが同一の VLAN 上で動
作できなければなりません。
•
認証済クライアントのセッション中、次の階層によってポートの
VLAN メンバシップが決定されます。
1. RADIUS が割り当てる VLAN がある場合、クライアントセッ
ションの継続中、ポートはこの VLAN に属して他の VLAN メ
ンバシップを一時的にすべて排除します。
Web 認証および MAC 認証
動作ルールおよび注記
2.
3.
4.
RADIUS が割り当てる VLAN がない場合は、クライアント
セッションの継続中、ポートは認可 VLAN ( 設定されている場
合 ) に属し、他の VLAN メンバシップはすべて一時的に排除し
ます。
上記の 1 または 2 に該当せず、ポートがスタティックに設定
されているポートベース VLAN のタグ無メンバである場合、
ポートはこの VLAN にとどまります。
上記 1、 2、 3 のいずれにも該当しない場合は、クライアント
セッションはスタティックに設定されたタグ無 VLAN のいず
れにもアクセスできず、クライアントアクセスはブロックさ
れます。
•
あるポートで認可クライアントのセッションが開始した後は、そ
のポートの VLAN メンバシップは変わりません。同じポート上の
他のクライアントが、最初のクライアントとは異なる VLAN を割
り当てられて認証されるようになると、ポートは最初のクライア
ントセッションが終了するまで他のクライアントへのアクセスを
ブロックします。
•
Web 認証または MAC 認証に対して設定可能なオプションの「認可」
VLAN (auth-vid) および「未認可」 VLAN (unauth-vid) は、スイッチ
でスタティックに設定された VLAN でなければなりません。また、
これらのいずれか一方または両方のオプションを設定する場合、
どちらのカテゴリであってもそれに属するクライアントからアク
セスするすべてサービスが、それらの VLAN 上で利用可能になっ
ている必要があります。
■
あるポートに未認可クライアント VLAN が割り当てられている場
合、そのポートは、認証済クライアントのセッションから要求が
ない間だけ、未認証クライアントのセッションを許可できます。
この場合、認可クライアントから適切な認証要求を受けると、ス
イッチは未認証クライアントのセッションを終了して、認可クラ
イアントのセッションを開始します。
■
スイッチのポートに Web 認証または MAC 認証が設定されていて、
そのポートが現在他の機器とのセッションをサポートしている場
合、スイッチをリブートするとその接続の再認証が必要になりま
す。
■
スイッチのポートが Web ベースまたは MAC ベースオーセンティ
ケータに設定されている場合、適切な認証証明情報を提供しない
クライアントへのアクセスをブロックします。ポートにオプショ
ンの未認可 VLAN (unauth-vid) が設定されていて、別の VLAN に割
り当てられたポートを使用している認可クライアントがない場合、
ポートは一時的に未認可 VLAN に属します。認可クライアントが
3-11
Web 認証および MAC 認証
Web/MAC 認証の基本的な設定手順
別の VLAN が割り当てられたポートを使用しているか、または未
認可 VLAN が設定されていない場合、未認可クライアントはネッ
トワークにアクセスできません。
■
Web/MAC 認証
および L A CP に
関する注記
Web/MAC 認証と LACP の両方を同一のポートで有効にすることは
できません。
スイッチは Web/MAC 認証と LACP を同じポートで同時に有効にできませ
ん。スイッチは自動的に、 Web/MAC 認証が設定されたポートの LACP を
無効にします。
Web/MAC 認証の基本的な設定手順
Web/MAC 認証を設定する前に以下の手順を実行する
3-12
1.
オペレータ (login) および管理者 (enable) アクセスレベルの両方のロー
カルユーザ名とパスワードをスイッチに設定します。 ( これは Web ま
たは MAC ベースの設定で必要であるかどうかによらず、 ProCurve で
は他のセキュリティが実装されるまでローカルユーザ名とパスワード
のペアを使用して、スイッチ設定を未認可アクセスから保護すること
をお勧めします。 )
2.
オーセンティケータとして動作させるポートを決定します。 LACP ト
ランクで動作するポートに Web 認証または MAC 認証を設定する前に、
ポートをトランクから削除する必要があることに注意してください。
(3-12 ページの「Web/MAC 認証および LACP に関する注記」を参照し
てください。 )
3.
認証済クライアントに VLAN の割り当てが必要かどうかを判断しま
す。
a.
認証済クライアントに VLAN を割り当てるように RADIUS サーバ
を設定する場合、認証済クライアントのセッションが継続してい
る間、 RADIUS サーバによる割り当てによってスイッチに設定され
ている VLAN 割り当てが無効になります。 VLAN はスイッチでス
タティックに設定されている必要があることに注意してください。
b.
RADIUS が割り当てる VLAN がない場合は、クライアントセッ
ションの継続中、ポートは「認可 VLAN」に参加できます ( 認可
VLAN が設定されている場合 )。この場合、スイッチでスタティッ
クに設定されたポートベース VLAN であることが必要です。
Web 認証および MAC 認証
Web/MAC 認証の基本的な設定手順
c.
ポートでの認証済クライアントセッションに RADIUS が割り当て
た VLAN も「認可 VLAN」もない場合、認証済クライアントセッ
ションの継続中、ポートの VLAN メンバシップは変りません。こ
の場合、クライアントセッション中に機能させる VLAN にポート
を設定します。
VLAN を割り当てるように RADIUS サーバを設定する際、 VLAN 名ま
たは VID のいずれか一方を使用できることに注意してください。たと
えば、スイッチに設定されている VLAN に 100 という VID と vlan100
という名前が付けられている場合、 "100" または "vlan100" のいずれか
一方を用いてその VLAN を特定するように RADIUS サーバを設定でき
ます。
4.
RADIUS サーバが認証しないクライアントにオプションの「未認可
VLAN」モードを使用するかどうかを決定します。この VLAN はス
イッチでスタティックに設定されている必要があります。「未認可
VLAN」を設定しない場合、スイッチはそのポートを使おうとする未
認証クライアントへのアクセスをブロックします。
5.
認証ポリシーを決定して RADIUS サーバに設定します。 RADIUS アプ
リケーションに付属するマニュアルを参照して、以下の項目を各クラ
イアントまたはクライアント機器のポリシーに含めます。
• CHAP-RADIUS 認証方式
• 暗号キー
• 以下のいずれか
- Web 認証を設定する場合は、各認可クライアントのユーザ名
およびパスワードを含めます。
- ・ MAC 認証を設定する場合は、機器の MAC アドレスを
RADIUS ポリシー設定のユーザ名フィールドおよびパスワード
フィールドの両方に入力します。また、特定の機器が指定の
ポートとスイッチを介してのみ認証を受けられるようにする
場合は、これをポリシーに含めます。
6.
Web 認証または MAC 認証に使用する RADIUS サーバの IP アドレスを
設定します。 (RADIUS サーバにアクセスするようにスイッチを設定す
る手順については、 3-15 ページの「RADIUS サーバへアクセスするた
めのスイッチ設定」を参照してください。 )
3-13
Web 認証および MAC 認証
Web/MAC 認証の基本的な設定手順
RADIUS サーバでの MAC 認証サポート設定に関する
追加情報
RADIUS サーバでは、他のクライアントと同じ方法でクライアント機器の
認証を設定します。ただし以下の点は異なります。
■
クライアント機器の (16 進 ) MAC アドレスを、ユーザ名およびパス
ワードの両方として設定します。必ず、 RADIUS サーバが使用する
のと同一のフォーマットを用いるようにスイッチを設定してくだ
さい。そうでない場合、サーバはアクセスを拒否します。スイッ
チには、次の 4 種類のフォーマットオプションがあります。
aabbccddeeff ( デフォルトのフォーマット )
aabbcc-ddeeff
aa-bb-cc-dd-ee-ff
aa:bb:cc:dd:ee:ff
MA C アドレス
に関する注記
MAC アドレスには小文字を使用する必要があります。
■
3-14
その機器が認証 (オーセンティケータ ) スイッチやその他のVLAN対
応機器である場合、その機器に割り当てられたベース MAC アドレ
スを使用します。機器がオーセンティケータスイッチとの通信で
経由する VLAN に割り当てられた MAC アドレスは使用しません。
このガイドが対象とする各スイッチでは、設定されるすべての
VLAN に単一の MAC アドレスを適用することに注意してくださ
い。したがって、ある 1 台のスイッチにおいて、 MAC アドレスは
そのスイッチで設定されるすべての VLAN で同一です。 ( 使用する
スイッチの『高度なトラフィック管理ガイド』の章「スタティッ
ク VLAN」を参照してください。 )
Web 認証および MAC 認証
RADIUS サーバへアクセスするためのスイッチ設定
RADIUS サーバへアクセスするための
スイッチ設定
RADIUS サーバ設定コマンド
radius-server
[host <ip-address>]
下記
[key < global-key-string >]
下記
radius-server host <ip-address> key <server-specific key-string>
3- 15
この項では、 Web 認証および MAC 認証をサポートするように RADIUS
サーバを設定するための、最小限のコマンドについて説明します。その他
の RADIUS コマンドオプションについては、第 5 章「RADIUS 認証および
アカウンティング」を参照してください。
構文 :
[no] radius-server
[host < ip-address >]
サーバを RADIUS 設定に追加したり、 (no を付けて )
RADIUS 設定から削除します。最大 3 台の RADIUS サー
バのアドレスを設定できます。スイッチは最初にアク
セスしたサーバを使用します。 (5-1 ページの「RADIUS
認証およびアカウンティング」を参照してください。 )
[key < global-key-string >]
サーバ固有のキーが割り当てられていないサーバとの
接続セッションでスイッチが使用するグローバル暗号
キーを設定します ( 下記 )。 radius host コマンドですべて
の RADIUS サーバにサーバ固有の暗証キーを設定してい
る場合は、グローバル暗号キーを設定する必要はあり
ません。 ( デフォルト : 未設定 )
構文 :
radius-server host < ip-address > key <server-specific key-string >
[no] radius-server host < ip-address > key
3-15
Web 認証および MAC 認証
RADIUS サーバへアクセスするためのスイッチ設定
オプション。指定したサーバでの認証 ( またはアカウン
ティング ) セッション中に使用する暗号キーを指定しま
す。このキーは RADIUS サーバで使用される暗号キーと
一致する必要があります。指定したサーバがグローバ
ル暗号キー ( 上記 ) として設定されているキーとは異な
る暗号キーを要求する場合のみ、このコマンドを使用
します。
コマンドの [no] 形式は、特定のサーバに設定された
キーを削除します。
たとえば、サーバ固有の共有キー・ Pzo22 ・を用いて、 IP アドレス
192.168.32.11 の RADIUS サーバにアクセスするようにスイッチを設定する
場合、次のようになります。
ProCurve(config)# radius-server host 192.168.32.11 key
2Pzo22
ProCurve(config)# show radius
Status and Counters - General RADIUS Information
Deadtime(min) : 0
Timeout(secs) : 5
Retransmit Attempts : 3
Global Encryption Key :
Auth Acct
Server IP Addr Port Port Encryption Key
--------------- ----- ----- ------------------------------192.168.32.11
1812
1813
2Pzo22
ProCurve(config)#
図 3-4. RADIUS サーバにアクセスするためのスイッチの設定例
3-16
Web 認証および MAC 認証
Web 認証の設定
Web 認証の設定
概要
1.
ローカルのユーザ名およびパスワードをスイッチに設定します ( まだ
設定していない場合 )。
2.
認証済クライアントが使用するリダイレクト URL を指定または作成し
ます。 Web 認証を使用する場合は、リダイレクト URL を設定すること
をお勧めします。リダイレクト URL を指定しない場合、認証に続く
Web ブラウザの動作に不具合が生じることがあります。
3.
Web 認証で複数の VLAN を使用する場合は、これらの VLAN がスイッ
チに設定され、ポートが適切に割り当てられていることを確認してく
ださい。また、認可クライアントが使用する VLAN がリダイレクト
URL にアクセスできることも確認します。
4.
スイッチのコンソールインタフェースで ping コマンドを使用して、
Web 認証をサポートするように設定した RADIUS サーバと通信できる
ことを確認します。
5.
RADIUS サーバにアクセスするための正しい IP アドレスおよび暗号
キーを、スイッチに設定します。
6.
Web 認証についてスイッチを次のように設定します。
7.
注記
a.
使用するスイッチポートに Web 認証を設定します。
b.
セキュアネットワークとのアドレスの競合を回避する必要がある
場合は、スイッチが一時的な DHCP アドレスとして使用するベー
ス IP アドレスおよびマスクを指定します。一時 IP アドレスのリー
ス期間も設定できます。
c.
ログインに SSL を使用する場合は、スイッチで SSL を設定および
有効にしてから、 Web 認証で使用できるように SSL を指定します。
d.
認可クライアントに対してリダイレクト URL を使用するように、
スイッチを設定します。
ポートアクセスを設定したポートで Web 認証が適切に機能することを
確認するために、システムへの認可アクセスと未認可アクセスの両方
のテストを行います。
クライアント Web ブラウザでネットワークへのアクセスにプロキシサー
バを使用することはできません。
3-17
Web 認証および MAC 認証
Web 認証の設定
スイッチでの Web 認証設定
コマンド
ページ
設定レベル
aaa port-access web-based dhcp-addr
3- 18
aaa port-access web-based dhcp-lease
3- 18
[no] aaa port-access web-based [e] < port-list >
構文 :
3- 19
[auth-vid]
3- 19
[client-limit]
3- 19
[client-moves]
3- 19
[logoff-period]
3- 20
[max-requests]
3- 20
[max-retries]
3- 20
[quiet-period]
3- 20
[reauth-period]
3- 20
[reauthenticate]
3- 20
[redirect-url]
3- 21
[server-timeout]
3- 21
[ssl-login]
3- 22
[unauth-vid]
3- 22
aaa port-access web-based dhcp-addr <ip-address/mask>
DHCP が使用する一時 IP プールのベースアドレス /
マスクを指定します。ベースアドレスは、任意の有
効な IP アドレスを使用できます ( マルチキャストア
ドレスを除く )。マスクの有効範囲は、 <255.255.240.0
～ 255.255.255.0> です。
( デフォルト : 192.168.0.0/255.255.255.0)
構文 :
aaa port-access web-based dhcp-lease <5 - 25>
Web 認証ログイン用として発行される一時 IP アドレ
スのリース期間を、秒単位で指定します。 ( デフォル
ト : 10 秒 )
3-18
Web 認証および MAC 認証
Web 認証の設定
構文 :
[no] aaa port-access web-based [e] < port-list>
指定されたポートで Web 認証を有効にします。指定
されたポートで Web 認証を無効にする場合は、 [no]
形式を使用します。
構文 :
aaa port-access web-based [e] < port-list> [auth-vid <vid>]
no aaa port-access web-based [e] < port-list> [auth-vid]
認可クライアント用に使用する VLAN を指定します。
RADIUS サーバは、この値を無効にできます (acceptresponse は vid を含む )。 auth-vid が 0 の場合、
RADIUS サーバによって何らかの vid が与えられない
限り、 VLAN は変更されません。
auth-vid を 0 に設定するには、 [no] 形式を使用しま
す。
( デフォルト : 0)
構文 :
aaa port-access web-based [e] < port-list > [client-limit <1-32>]
ポートに受け入れ可能な認証クライアントの最大数を
指定します。 ( デフォルト : 1)
構文 :
[no] aaa port-access web-based [e] < port-list > [client-moves]
Web 認証の制御下で、クライアントが指定のポート
間を移動できるようにします。これが有効に設定され
ている場合、クライアントは再認証を必要とすること
なく移動することができます。無効に設定されている
場合、スイッチは移動を許可しません。移動が発生し
た場合には、ユーザは強制的に再認証を求められま
す。必ず 2 ポート ( 移行元ポートおよび移動先ポート
) 以上を指定します。
Web 認証の制御下におけるポート間でのクライアン
トの移動を無効にするには、 [no] 形式を使用します。
( デフォルト : Disabled - 移動を不許可 )
3-19
Web 認証および MAC 認証
Web 認証の設定
構文 :
aaa port-access web-based [e] < port-list > [logoff-period] <609999999>]
暗黙的なログオフをスイッチが強制する時間間隔を、
秒単位で指定します。このパラメータは、通常のス
イッチにおける MAC エージング間隔に相当します。
logoff-period 間隔が経過した後にスイッチがアクティ
ビティを認識しない場合は、クライアントは認証前の
状態に戻ります。 ( デフォルト : 300 秒 )
構文 :
aaa port-access web-based [e] < port-list > [max-requests <1-10>]
認証試行回数を設定します。 1 回以上認証に失敗し、
試行回数がこの値に達した場合、タイムアウトが開始
されます。
( デフォルト : 2)
構文 :
aaa port-access web-based [e] < port-list > [max-retries <1-10>]
クライアントがユーザ名およびパスワードを入力でき
る回数を指定します。試行回数がこの値に達した場
合、認証が失敗します。この指定により、必要に応じ
てユーザ名およびパスワードの再入力が可能になりま
す。
( デフォルト : 3)
構文 :
aaa port-access web-based [e] < port-list > [quiet-period <1 65535>]
認証に失敗したクライアントに対して、認証要求を再
度受け付けるまでスイッチが待機する時間の間隔を、
秒で指定します。
( デフォルト : 60 秒 )
構文 :
aaa port-access web-based [e] < port-list > [reauth-period <0 9999999>]
スイッチがクライアントに再認証を強制する時間間隔
を、秒で指定します。 0 に設定すると、再認証が無効
になります。 ( デフォルト : 300 秒 )
3-20
Web 認証および MAC 認証
Web 認証の設定
構文 :
aaa port-access web-based [e] < port-list > [reauthenticate]
ポートに接続している全クライアントの再認証を、強
制的に実施します。
構文 :
aaa port-access web-based [e] < port-list > [redirect-url <url>]
no aaa port-access web-based [e] < port-list > [redirect-url]
ログインに成功した後にユーザがリダイレクトされる
URL を指定します。 http://welcome-server/
welcome.htm や http://192.22.17.5 など、有効な完全形
式の任意の URL を使用できます。 Web 認証を使用す
る場合は、リダイレクト URL を設定することをお勧
めします。
指定されたリダイレクト URL を削除するには、 [no]
形式を使用します。
( デフォルト : デフォルトの URL はありません。認証
済クライアントのブラウザ動作に不具合が生じること
があります。 )
構文 :
aaa port-access web-based [e] < port-list > [server-timeout <1 300>]
スイッチの認証要求に対するサーバの応答待ち時間
を、秒単位で指定します。現在の max-requests 値に
よって、スイッチは新しい認証要求を送信するか認証
セッションを終了するかを決定します。 ( デフォルト
: 30 秒 )
3-21
Web 認証および MAC 認証
スイッチの MAC 認証設定
構文 :
[no] aaa port-access web-based [e] < port-list > [ssl-login]
SSL ログインを有効または無効にします ( ポート 443
の http)。 SSL をスイッチで有効に設定する必要があ
ります。
SSL ログインが有効の場合、ユーザはセキュアページ
にリダイレクトされ、そこでユーザ名およびパスワー
ドを入力します。 SSL ログインが無効の場合、ユーザ
は証明情報を入力するためのセキュアページにリダ
イレクトされません。
SSL ログインを無効にするには、 [no] 形式を使用しま
す。
( デフォルト : Disabled)
構文 :
aaa port-access web-based [e] < port-list > [unauth-vid <vid>]
no aaa port-access web-based [e] < port-list > [unauth-vid]
認証に失敗したクライアント用に使用する VLAN を
指定します。 unauth-vid が 0 の場合、 VLAN は変更さ
れません。
unauth-vid を 0 に設定するには、 [no] 形式を使用しま
す。
( デフォルト : 0)
スイッチの MAC 認証設定
概要
3-22
1.
ローカルのユーザ名およびパスワードをスイッチに設定します ( まだ
設定していない場合 )。
2.
MAC 認証で複数の VLAN を使用する場合は、これらの VLAN がス
イッチに設定され、ポートが適切に割り当てられていることを確認し
てください。
3.
スイッチのコンソールインタフェースで ping コマンドを使用して、
MAC 認証をサポートするように設定した RADIUS サーバと通信できる
ことを確認します。
4.
RADIUS サーバにアクセスするための正しい IP アドレスおよび暗号
キーを、スイッチに設定します。
Web 認証および MAC 認証
スイッチの MAC 認証設定
5.
MAC 認証についてスイッチを次のように設定します。
1.
6.
使用するスイッチポートに MAC 認証を設定します。
ポートアクセスを設定したポートで MAC 認証が適切に機能すること
を確認するために、システムへの認可アクセスと未認可アクセスの両
方のテストを行います。
スイッチでの MAC 認証設定
コマンド
ページ
設定レベル
aaa port-access mac-based addr-format
3- 23
[no] aaa port-access mac-based [e] < port-list >
3- 24
構文 :
[addr-limit]
3- 24
[addr-moves]
3- 24
[auth-vid]
3- 24
[logoff-period]
3- 25
[max-requests]
3- 25
[quiet-period]
3- 25
[reauth-period]
3- 25
[reauthenticate]
3- 25
[server-timeout]
3- 25
[unauth-vid]
3- 26
aaa port-access mac-based addr-format
<no-delimiter|single-dash|multi-dash|multi-colon>
RADIUS 要求メッセージで使用する MAC アドレスの
フォーマットを指定します。このフォーマットは、
RADIUS サーバに MAC アドレスを保存するために用い
られるフォーマットと一致しなければなりません。 ( デ
フォルト : 区切り文字なし )
no-delimiter ― aabbccddeeff フォーマットを指定します。
single-dash ― aabbcc-ddeeff フォーマットを指定します。
multi-dash ― aa-bb-cc-dd-ee-ff フォーマットを指定し
ます。
multi-colon ― aa:bb:cc:dd:ee:ff フォーマットを指定しま
す。
3-23
Web 認証および MAC 認証
スイッチの MAC 認証設定
構文 :
[no] aaa port-access mac-based [e] < port-list >
指定されたポートで MAC 認証を有効にします。指定
されたポートで MAC 認証を無効にする場合は、 [no]
形式を使用します。
構文 :
aaa port-access mac-based [e] < port-list > [addr-limit <1-32>]
ポートに受け入れ可能な認証済み MAC アドレスの最
大数を指定します。 ( デフォルト : 1)
構文 :
[no] aaa port-access mac-based [e] < port-list > [addr-moves]
MAC 認証の制御下で、クライアントが指定のポート
間を移動できるようにします。これが有効に設定され
ている場合、 MAC アドレスは再認証を必要とするこ
となく移動することができます。無効に設定されてい
る場合、スイッチは移動を許可しません。移動が発生
した場合には、ユーザは強制的に再認証を求められま
す。必ず 2 ポート ( 移行元ポートおよび移動先ポート
) 以上を指定します。
MAC 認証の制御下におけるポート間での MAC アド
レスの移動を無効にするには、 [no] 形式を使用しま
す。
( デフォルト : Disabled - 移動を不許可 )
構文 :
aaa port-access mac-based [e] < port-list > [auth-vid <vid>]
no aaa port-access mac-based [e] < port-list > [auth-vid]
認可クライアント用に使用する VLAN を指定します。
RADIUS サーバは、この値を無効にできます (acceptresponse は vid を含む )。 auth-vid が 0 の場合、
RADIUS サーバによって何らかの vid が与えられない
限り、 VLAN は変更されません。
auth-vid を 0 に設定するには、 [no] 形式を使用しま
す。
( デフォルト : 0).
3-24
Web 認証および MAC 認証
スイッチの MAC 認証設定
構文 :
aaa port-access mac-based [e] < port-list >
[logoff-period] <60-9999999>]
暗黙的なログオフをスイッチが強制する時間間隔を、
秒単位で指定します。このパラメータは、通常のス
イッチにおける MAC エージング間隔に相当します。
logoff-period 間隔が経過した後にスイッチがアクティ
ビティを認識しない場合は、クライアントは認証前の
状態に戻ります。 ( デフォルト : 300 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [max-requests <1-10>]
認証試行回数を設定します。 1 回以上認証に失敗し、
試行回数がこの値に達した場合、タイムアウトが開始
されます。
( デフォルト : 2)
構文 :
aaa port-access mac-based [e] < port-list > [quiet-period <1 65535>]
認証に失敗した MAC アドレスに対して、認証の再要
求を受け付けるまでスイッチが待機する時間の間隔
を、秒で指定します。
( デフォルト : 60 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [reauth-period <0 9999999>]
スイッチがクライアントに再認証を強制する時間間隔
を、秒で指定します。 0 に設定すると、再認証が無効
になります。 ( デフォルト : 300 秒 )
構文 :
aaa port-access mac-based [e] < port-list > [reauthenticate]
ポートに接続している全クライアントの再認証を、強
制的に実施します。
構文 :
aaa port-access mac-based [e] < port-list > [server-timeout <1 300>]
スイッチの認証要求に対するサーバの応答待ち時間
を、秒単位で指定します。現在の max-requests 値に
よって、スイッチは新しい認証要求を送信するか認証
セッションを終了するかを決定します。 ( デフォルト
: 30 秒 )
3-25
Web 認証および MAC 認証
Web 認証のステータスと設定の表示
構文 :
aaa port-access mac-based [e] < port-list > [unauth-vid <vid>]
no aaa port-access mac-based [e] < port-list > [unauth-vid]
認証に失敗したクライアント用に使用する VLAN を
指定します。 unauth-vid が 0 の場合、 VLAN は変更さ
れません。
unauth-vid を 0 に設定するには、 [no] 形式を使用しま
す。
( デフォルト : 0)
Web 認証のステータスと設定の表示
コマンド
ページ
show port-access [port-list] web-based
3- 26
[clients]
3- 26
[config]
3- 27
[config [auth-server]]
3- 27
[config [web-server]]
show port-access port-list web-based config detail
構文 :
3- 27
3- 27
show port-access [port-list] web-based
Web 認証が有効になっているすべてのポートまたは
指定のポートの状態を表示します。各ポートの認証ク
ライアント数および未認証クライアント数が、ポート
の現在の VLAN ID とともに一覧表示されます。 Web
認証が有効になっていないポートは一覧表示されませ
ん。
構文 :
show port-access [port-list] web-based [clients]
全ポートまたは指定ポートに接続されたクライアント
のポートアドレス、 Web アドレス、セッションス
テータス、セッション経過時間を表示します。複数の
クライアントが接続しているポートでは、各クライア
ントの項目が表示されます。クライアントが接続され
ていないポートは、一覧表示されません。
3-26
Web 認証および MAC 認証
Web 認証のステータスと設定の表示
構文 :
show port-access [port-list] web-based [config]
一時 DHCP ベースアドレスおよびマスクなど、全
ポートまたは指定されたポートの Web 認証設定を表
示します。認可および未認可 VLAN ID が示されます。
認可または未認可 VLAN ID が 0 の場合、 RADIUS サー
バによって何らかの vid が与えられない限り、 VLAN
は変更されません。
構文 :
show port-access [port-list] web-based [config [auth-server]]
全ポートまたは指定されたポートの Web 認証設定を、
タイムアウト待機、認証失敗までのタイムアウト失敗
回数、再認証要求までの時間間隔などの RADIUS サー
バ固有の設定とともに表示します。
構文 :
show port-access [port-list] web-based [config [web-server]]
全ポートまたは指定されたポートの Web 認証設定を、
パスワード再入力、 SSL ログインステータス、リダイ
レクト URL などの Web 固有の設定 ( 指定されている
場合 ) とともに表示します。
構文 :
show port-access port-list web-based config detail
RADIUS サーバ固有の設定など、指定されたポートの
すべての Web 認証設定を表示します。
3-27
Web 認証および MAC 認証
MAC 認証のステータスと設定の表示
MAC 認証のステータスと設定の表示
コマンド
ページ
show port-access [port-list] mac-based
3- 28
[clients]
3- 28
[config]
3- 28
[config [auth-server]]
3- 28
show port-access port-list mac-based config detail
構文 :
3- 29
show port-access [port-list] mac-based
MAC 認証が有効になっているすべてのポートまたは
指定のポートの状態を表示します。各ポートの認証ク
ライアント数および未認証クライアント数が、ポート
の現在の VLAN ID とともに一覧表示されます。 MAC
認証が有効になっていないポートは一覧表示されませ
ん。
構文 :
show port-access [port-list] mac-based [clients]
全ポートまたは指定ポートに接続されたクライアント
のポートアドレス、 MAC アドレス、セッションス
テータス、セッション経過時間を表示します。複数の
クライアントが接続しているポートでは、各クライア
ントの項目が表示されます。クライアントが接続され
ていないポートは、一覧表示されません。
構文 :
show port-access [port-list] mac-based [config]
使用される MAC アドレスフォーマットなど、全ポー
トまたは指定されたポートの MAC 認証設定を表示し
ます。認可および未認可 VLAN ID が示されます。認
可または未認可 VLAN ID が 0 の場合、 RADIUS サーバ
によって何らかの vid が与えられない限り、 VLAN は
変更されません。
構文 :
show port-access [port-list] mac-based [config [auth-server]]
全ポートまたは指定されたポートの MAC 認証設定
を、タイムアウト待機、認証失敗までのタイムアウト
失敗回数、再認証要求までの時間間隔など、 RADIUS
サーバ固有の設定とともに表示します。
3-28
Web 認証および MAC 認証
MAC 認証のステータスと設定の表示
構文 :
show port-access port-list mac-based config detail
RADIUS サーバ固有の設定など、指定されたポートの
すべての MAC 認証設定を表示します。
3-29
Web 認証および MAC 認証
クライアントステータスの表示
クライアントステータスの表示
Web 認証または MAC 認証の "show... clients" コマンドを使用すると、下表
のクライアントステータス情報がレポートされます。
3-30
レポートされるス
テータス
利用可能なネット
ワーク接続
説明
authenticated
認可 VLAN
クライアントは認証されていま
す。ログオフ期限または再認証
期限が終了するまで、接続を維
持します。
authenticating
スイッチのみ
RADIUS 要求待ちです。
rejected-no vlan
ネットワークアクセ 1. 無効な証明情報が送信されてい
スなし
ます。
2. RADIUS サーバに問題がありま
す。ログファイルを参照してく
ださい。
3. unauth-vid が指定されている場
合、ポートに正しく適用できま
せん。そのポートの認可クライ
アントが優先されます。
rejected-unauth vlan
未認可 VLAN のみ
timed out-no vlan
ネットワークアクセ
スなし
1. 無効な証明情報が送信されてい
ます。
2. RADIUS サーバに問題がありま
す。ログファイルを参照してく
ださい。
RADIUS 要求がタイムアウトしま
した。 unauth-vid が指定されてい
る場合、ポートに正しく適用で
きません。そのポートの認可ク
ライアントが優先されます。
quiet-period が終了した後に、証
明情報が再送信されます。
timed out-unauth vlan 未認可 VLAN のみ
RADIUS 要求がタイムアウトしま
した。 quiet-period が切れた後、
クライアントからトラフィック
が発生すると、証明情報が再送
信されます。
unauthenticated
ユーザの証明情報を待ちます。
スイッチのみ
4
TACACS+ 認証
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-2
TACACS アプリケーションで使用される用語 . . . . . . . . . . . . . . . . . 4-3
基本的なシステム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
基本的な認証の設定手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-5
スイッチでの TACACS+ 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-8
始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-8
この項で説明する CLI コマンド . . . . . . . . . . . . . . . . . . . . . . . . 4-9
現在のスイッチの認証設定の表示 . . . . . . . . . . . . . . . . . . . . . . 4-9
現在のスイッチの TACACS+ サーバ接続設定の表示 . . . . . . . . . 4-10
スイッチの認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-11
スイッチの TACACS+ サーバアクセスの設定 . . . . . . . . . . . . . . 4-15
認証の動作方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-20
TACACS+ サーバを使用する基本的な認証プロセス . . . . . . . . . . 4-20
ローカル認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-22
暗号キーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-23
TACACS+ 認証での Web ブラウザインタフェースのアクセス制御 . . 4-24
TACACS+ オペレーションに関連したメッセージ . . . . . . . . . . . . . . 4-25
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-26
4-1
TACACS+ 認証
スイッチでの TACACS+ 設定
概要
機能
デフォ
ルト
メ
CLI
ニュー
Web
スイッチの認証設定の表示
n/a
―
4- 9
ページ
―
スイッチの TACACS+ サーバ接続設定の表示
n/a
―
4- 10
ページ
―
スイッチの認証方式の設定
無効
―
4- 11
ページ
―
スイッチの TACACS+ サーバ接続の設定
無効
―
4- 15
ページ
―
TACACS+ 認証は、ネットワークで中央サーバを使用したスイッチ ( および
他の TACACS 対応機器 ) へのアクセス制御 ( 許可と拒否 ) を可能にします。
つまり、中央データベースを使用して、スイッチのコンソールポート (
ローカルアクセス ) または Telnet ( リモートアクセス ) からスイッチにア
クセスする必要があるユーザごとに、固有のユーザ名 / パスワードのペア
を権限レベルと共に設定できます。
A4
A3 また
は B3
プライマ
リ
TACACS
+ サーバ
A1
TACACS+ オペ
レーションが設
定された
A2 また
は B2
ProCurve Switch
スイッチはターミナル A お
よび B からのログイン要求
を認証用の TACACS+ サー
バに送信します。 TACACS+
サーバは、受信したアクセ
ス要求に対して、スイッチ
へのアクセスを許可するか
どうか、およびどの権限レ
ベルで許可するかを決定し
ます。
B4
B1
A
ターミナル「A」
はスイッチのコ
ンソールポート
を経由して直接
スイッチにアク
セス
B
ターミナル「B」は Telnet 経由でスイッ
チにリモートアクセス
アクセス要求
A1 - A4: ターミナル A からの
要求パス ( コンソールポート経由 )
TACACS サーバ応答
B1 - B4: ターミナル B からの要求パス
(Telnet 経由 )
図 4-1. TACACS+ オペレーションの例
スイッチの TACACS+ は、コンソールポートまたは Telnet を介したログオ
ン試行の認証を管理します。 TACACS+ では、 (1) TACACS+ サーバで割り
当てられたリモートパスワードと、 (2) スイッチに設定さされたローカル
パスワード、からなる認証階層を使用します。つまり、スイッチに
4-2
TACACS+ 認証
スイッチでの TACACS+ 設定
TACACS+ が設定されている場合、スイッチはまず、指定の TACACS+ サー
バに接続して認証サービスを受けるよう試みます。スイッチがまったく
TACACS+ サーバと通信できず、デフォルトでローカルに割り当てられて
いるパスワードを使用して認証制御を行うように設定されている場合は、
これを実行します。コンソールおよび telnet アクセスに対して、 login
(Read-Only( 読み取り専用 )) および enable (Read/Write( 読み取りと書き込み
)) 権限レベルのアクセスを設定できます。
注記
このソフトウェアでは、 TACACS+ による認可またはアカウンティング
サービスはサポートされていません。
TACACS+ は Web ブラウザのインタフェースアクセスをサポートしませ
ん。 4- 24 ページの「TACACS+ 認証での Web ブラウザインタフェースのア
クセス制御」を参照してください。
TACACS アプリケーションで使用され
る用語
■
NAS (Network Access Server): 認証サービス用に TACACS サーバ
と通信する TACACS 対応機器の業界用語です。 TACACS オペレー
ションを説明する用語には、他に通信サーバ、リモートアクセス
サーバ、ターミナルサーバなどがあります。 TACACS+ がスイッ
チで有効な場合 ( つまり、スイッチが TACACS+ 対応の場合 ) に、
これらの用語が該当します。
■
TACACS+ サーバ: TACACS対応機器でアクセス制御サーバとして
設定されたサーバまたは管理ステーション。スイッチとネット
ワーク内の他の TACACS 対応機器で TACACS+ を使用するには、
TACACS+ サーバアプリケーションを購入して、ネットワークに接
続されているサーバまたは管理ステーションにインストールし、
設定する必要があります。インストールした TACACS+ サーバア
プリケーションには、アクセス制御およびアクセス通知について
のさまざまなオプションがあります。 TACACS+ サービスについて
は、使用する TACACS+ サーバアプリケーションに付属のマニュ
アルを参照してください。
4-3
TACACS+ 認証
スイッチでの TACACS+ 設定
■
4-4
認証 : 機器に対するユーザアクセスを許可するプロセスで、入力さ
れたユーザ名とパスワードのペアをあらかじめ保存されている
ユーザ名 / パスワードデータと比較します。また認証では、 ( 管理
者によって ) あらかじめユーザ名とパスワードのペアに割り当て
られている権限に応じたアクセスレベルも付与されます。
•
ローカル認証 : この方法では、スイッチにローカルに設定され
るユーザ名 / パスワードのペアを使用します。管理者レベルと
オペレータレベルのスイッチアクセスごとに、それぞれ 1 ペ
アずつ設定できます。ローカルユーザ名とパスワードは、 CLI
または Web ブラウザインタフェースを使用して設定できま
す。( メニューインタフェースからはローカルパスワードは設
定できますが、ユーザ名は設定できません。 ) この方法では、
スイッチにアクセスするユーザにではなく、スイッチにパス
ワードを設定するため、各スイッチのパスワード情報をス
イッチにアクセスする必要があるすべてのユーザに配布し、
スイッチごとにパスワードを設定して管理する必要がありま
す。（ローカル認証の詳細は、 2- 1 ページの「ユーザ名および
パスワードセキュリティの設定」を参照してください。）
•
TACACS+ 認証 : この方法では、TACACS+ サーバを使用して、
1 つまたは複数のスイッチや他の TACACS 対応機器への接続を
必要とするユーザごと、またはグループに対して、固有のパス
ワード、ユーザ名および権限レベルを設定できます。中央サー
バで 1 次認証を管理するため、ローカル認証のみを使用する場
合と比べ、より多くのオプションが使用できます。 (TACACS+
サーバが使用できない場合に備えて、バックアップとしてロー
カル認証も使用する必要があります。 ) たとえば、中央の
TACACS+ サーバをすれば、スイッチのローカルユーザ名とパ
スワード設定を変更することなく、また変更を他のユーザに知
らせることなく、特定のユーザに対するアクセス許可、アクセ
ス変更、アクセス拒否を実行できるということです。
TACACS+ 認証
スイッチでの TACACS+ 設定
基本的なシステム要件
TACACS+ 認証を使用するには、以下が必要です。
注記
■
TACACS+ サーバアプリケーションがネットワーク上の１つまたは
複数のサーバ管理ステーションにインストールされていること。 (
使用可能な TACACS+ ソフトウェアパッケージがいくつかありま
す。 )
■
1 つまたは複数の TACACS+ サーバにアクセスする TACACS+ 認証
用に設定されたスイッチ。
TACACS+ セキュリティは、TACACS+ サーバアプリケーションが適切に用
いられていないと、効果を発揮しません。このため、ネットワークで用い
るすべての TACACS+ 設定を十分にテストすることをお勧めします。
ProCurve の TACACS+ 対応スイッチには、複数のバックアップ TACACS+
サーバを設定する機能があります。冗長バックアップインストールをサ
ポートする TACACS+ サーバアプリケーションを使用することをお勧めし
ます。これにより、第 1 候補の TACACS+ サーバへのアクセスが失われた
場合に、バックアップ TACACS+ サーバを使用できるようにスイッチを設
定できます。
TACACS+ は Web ブラウザのインタフェースアクセスをサポートしませ
ん。 (4- 24 ページの「TACACS+ 認証での Web ブラウザインタフェースの
アクセス制御」を参照してください。 )
基本的な認証の設定手順
TACACS+ サービスを完全に導入する前に、テストを行うことが重要です。
TACACS+ に設定したパラメータや認証動作テストで使用したプロセスに
よっては、自身も含め、すべてのユーザをロックアウトしてスイッチにア
クセスできなくなることがあります。復旧は簡単ですが、できる限りこの
ようなことは避けるべきです。スイッチで意図しないロックアウトを避け
るために、最初は 1 つのアクセス手段 ( たとえば、 Telnet アクセス ) のみ
4-5
TACACS+ 認証
スイッチでの TACACS+ 設定
に TACACS+ の設定を行い、他のアクセス手段 ( この場合、コンソール接
続 ) には TACACS+ の設定をしないようにしてください。以下の手順は、
基本的なセットアップ手順を概説したものです。
注記
TACACS+ 設定の結果としてスイッチでアクセスロックアウトが発生した
場合、復旧方法については、使用するスイッチの『マネジメント / コン
フィギュレーションガイド』で、トラブルシューティングの章の
「TACACS+ オペレーションのトラブルシューティング」の項を参照してく
ださい。
1.
スイッチと組み合わせて使用するために、 TACACS+ サーバアプリ
ケーションの設定要件をよく理解する必要があります。 (TACACS+
サーバソフトウェアに付属のマニュアルを参照してください。 ) これ
には、暗号キーを設定する必要があるかどうかを判断する知識も含ま
れます。 (4-23 ページの「暗号キーの使用」を参照してください。 )
2. 以下のことを設定します。
•
•
•
スイッチが認証に使用する
TACACS+ サーバの IP アドレ
ス。複数のサーバを使用する場
合、どのサーバが認証サーバの
第 1 候補であるかを設定しま
す。
スイッチがサーバと通信するの
に使用する暗号キー ( 必要な場
合 )。 TACACS+ サーバにおける
暗号化の設定に応じて、グロー
バルキーまたはサーバ固有の
キーのいずれかを使用できま
す。
ログインの試行回数。この回数
を超えるとログインセッショ
ンを閉じるように設定できま
す。 ( デフォルト : 3)
•
•
•
•
別のサーバを試行するまでス
イッチが認証要求の応答を待つ
時間。
TACACS+ サーバがスイッチの
アクセス制御に使用するユーザ
名 / パスワードのペア。
スイッチのアクセス制御を
TACACS+ サーバで管理する際
に各ユーザ名 / パスワードのペ
アに付与する権限レベル。
ローカル認証に使用するユーザ
名 / パスワードのペア ( オペ
レータレベルおよび管理者レベ
ルにそれぞれ 1 ペアずつ )。
3. スイッチへの Telnet アクセス (login および enable) で使用する
TACACS+ オペレーション向けに TACACS+ サーバの設定をスイッチに
入力します。これには、オペレータ (Read-Only ( 読み取り専用 )) 権限
レベルおよび管理者 (Read/Write ( 読み取りと書き込み )) 権限レベルご
とのログインユーザ名 / パスワードのペアの設定が含まれます。
4-6
TACACS+ 認証
スイッチでの TACACS+ 設定
権限レベルにつ
いての注記
TACACS+ サーバがスイッチのアクセス要求を認証する際、スイッチの
応答には、アクセスを要求するターミナルの権限レベルをスイッチが
判断するのに使用する権限レベルコードが含まれています。スイッチ
は、権限レベルコード「15」を管理者 (Read/Write ( 読み取りと書き込
み )) 権限レベルのアクセス許可と解釈します。 14 以下の権限レベル
コードは、オペレータ (Read-Only ( 読み取り専用 )) アクセスになりま
す。したがって、 TACACS+ サーバで、管理者権限を持つユーザ名 / パ
スワードのペアを含む要求への応答を設定する場合には、権限レベル
15 を使用する必要があります。このトピックについては、使用する
TACACS+ サーバアプリケーションに付属のマニュアルを参照してく
ださい。
TACACS+ サーバを初めて使用する場合は、お使いのネットワーク環境
で、 TACACS+ アプリケーションがサービスを提供するのに最低限必要
な機能のみを設定することをお勧めします。最低限の機能で正しく動
作することを確認してから、アプリケーションで提供されている機能
を追加してみてください。
4. スイッチに管理者アクセス用の正しいローカルユーザ名とパスワード
が設定されていることを確認します。 ( スイッチが指定した TACACS+
サーバを検出できなかった場合に、ローカルの管理者およびオペレー
タのユーザ名 / パスワードのペアが代替のアクセス制御方法として使
用されます。 )
CAUTION
スイッチにローカルの管理者パスワードが設定されていることを確認
する必要があります。ない場合、 TACACS+ サーバを介した認証が何ら
かの理由で失敗すると、コンソールポートまたは Telnet を介した未認
可アクセスを許可することになります。
5.
スイッチのコンソールポートに接続されているターミナル機器を使用
して、 telnet login アクセスおよび telnet enable アクセスに限定した
TACACS+ 認証をスイッチに設定します。この段階では、スイッチへ
のコンソールアクセスには TACACS+ 認証を設定しません。 Telnet 方
式の設定のデバッグが必要な場合にコンソールアクセスを使用する必
要があるためです。
6.
スイッチがネットワークで動作するように設定されており、第 1 候補
の TACACS+ サーバと通信できることを確認します。 ( 少なくとも、 IP
アドレスが設定されており、スイッチからサーバへの ping テストに成
功する必要があります。 )
7.
リモートターミナル機器で、スイッチへのアクセスに Telnet を使用
します。アクセスに失敗した場合、コンソールアクセスを使用してス
イッチの TACACS+ 設定を確認します。スイッチの設定を変更した場
合、 Telnet アクセスを再び確認します。それでも Telnet アクセスに失
4-7
TACACS+ 認証
スイッチでの TACACS+ 設定
敗する場合、 TACACS+ サーバアプリケーションの設定を確認し、
サーバのスイッチとの相互運用に影響する設定の誤りまたはデータの
誤りがないかを調べます。
8. TACACS+ サーバを使用した Telnet アクセスのテストが成功したら、
コンソールアクセスに TACACS+ サーバを設定します。次にコンソー
ルアクセスのテストを行います。アクセスに問題が発生したら、ス
イッチの設定を確認して問題を修正し、再びコンソールアクセスを確
認します。それでも問題がある場合、 TACACS+ サーバアプリケー
ションを確認してコンソールアクセスに影響する設定の誤りやデータ
の誤りがないかを調べます。
9.
Telnet およびスイッチのコンソールを介した TACACS+ アクセスが適切
に動作していることを確認できたら、write memory コマンドを使用して
スイッチの running-config ファイルをフラッシュメモリに保存します。
スイッチでの TACACS+ 設定
始める前に
TACACS+ 認証をはじめて使用する場合は、 4- 5 ページの「基本的な認証の
設定手順」を読んで TACACS+ サーバを設定してからスイッチの認証機能
を設定することをお勧めします。
スイッチには、 TACACS+ オペレーション用に以下の 3 つのタイプのコマ
ンドがあります。
4-8
■
show authentication および show tacacs: スイッチの TACACS+ 設
定およびステータスを表示します。
■
aaa authentication: スイッチの認証方式を設定するコマンド
■
tacacs-server: TACACS+ サーバとスイッチとの接続を設定するコ
マンド
TACACS+ 認証
スイッチでの TACACS+ 設定
この項で説明する CLI コマンド
コマンド
ページ
show authentication
4- 9
show tacacs
4- 10
aaa authentication
4- 11 ～ 4- 14
console
Telnet
num-attempts <1-10 >
tacacs-server
4- 15
host < ip-addr >
4- 15
key
4- 19
timeout < 1-255 >
4- 20
現在のスイッチの認証設定の表示
このコマンドは、 1 つのログインセッションでスイッチが許可するログイ
ン試行回数と、各アクセス手段ごとに設定されている 1 次 /2 次アクセス
手段を一覧表示します。
構文 :
show authentication
この例は、デフォルトの認証設定を示しています。
スイッチコンソールポート
を介したスイッチへの login お
よび enable アクセスの設定
Telnet を介したスイッチへの
login および enable アクセス
の設定
図 4-2. スイッチの認証設定の一覧表示例
4-9
TACACS+ 認証
スイッチでの TACACS+ 設定
現在のスイッチの TACACS+ サーバ接続設定の表示
このコマンドは、タイムアウト時間、暗号キー、およびスイッチが通信す
る第 1 候補およびバックアップ TACACS+ サーバの IP アドレスを一覧表示
します。
構文 :
show tacacs
たとえば、スイッチに第 1 候補と 2 つのバックアップ TACACS+ サーバの
IP アドレス、デフォルトのタイムアウト時間および ( グローバル ) 暗号キー
の [paris-1] を設定した場合、show tacacs は以下のように一覧表示します。
第 1 候補
TACACS+ サーバ
第 2 候補
TACACS+ サーバ
第 3 候補
TACACS+ サーバ
図 4-3. スイッチの TACACS+ 設定の一覧表示例
4-10
TACACS+ 認証
スイッチでの TACACS+ 設定
スイッチの認証方式の設定
aaa authentication は、スイッチへのコンソールポートのアクセスと Telnet
アクセスの制御を設定するコマンドです。 aaa authentication コマンドを使
用すれば、両方のアクセス手段に対して、認証方式に TACACS+ サーバと
スイッチのローカル認証のどちらを使用するか、1 次認証に失敗した後の認
証はどうするか ( アクセスを拒否するか ) を指定できます。またこのコマン
ドでは、最初の試行で誤ったユーザ名 / パスワードのペアが入力された場
合に、セッションで許可するアクセス試行回数も再設定できます。
構文 :
aaa authentication
< console | telnet >
設定に使用する手段としてコンソール ( シリアルポート )
または Telnet のいずれかのアクセス方法を選択します。
< enable | login >
管理者 (enable) またはオペレータ (login) のいずれかのア
クセスレベルを選択します。
< local | tacacs | radius >
以下の中からセキュリティアクセスのタイプを選択します。
local ― スイッチで設定される管理者またはオペレー
タパスワードで認証。
tacacs ― TACACS+ サーバに設定されたパスワード
などのデータで認証。
radius ― RADIUS サーバに設定されたパスワードな
どのデータで認証。 (5- 1 ページの「RADIUS 認証およ
びアカウンティング」を参照してください。 )
[< local | none >]
1 次認証方式で失敗した場合は、 2 次認証方式として
ローカルパスワードを用いいるか、あるいはアクセス
を禁じるのかを決定します。
注記 : 1 次認証が [local] の場合、 2 次認証アクセス方式
に対して [local] を使用できません。
aaa authentication num-attempts < 1-10 >
現在のセッションで許可する最大のログイン試行回数を指定
します。デフォルト : 3
4-11
TACACS+ 認証
スイッチでの TACACS+ 設定
表 4-1.
aaa authentication のパラメータ
名前
デフォ
ルト
範囲
機能
console
n/a
n/a
コマンドで、コンソールポートと Telnet アクセス手段のどちらの認証
を設定するかを指定します。
n/a
n/a
設定するアクセス手段に対する権限レベルを指定します。
login: オペレータ (Read-Only( 読み取り専用 )) 権限
enable: 管理者 (Read/Write ( 読み取りと書き込み )) 権限
local
n/a
設定するアクセス手段に対する 1 次認証方式を指定します。
local: 設定する権限レベルに対してスイッチのローカルに設定された
ユーザ名 / パスワードのペアを使用します。
tacacs: TACACS+ サーバを使用します。
none
n/a
設定する認証の 2 次 ( バックアップ ) タイプを指定します。
local: 設定する権限レベルに対してスイッチのローカルに設定されたユー
ザ名 / パスワードのペア。 1 次認証が [local] の場合は使用できません。
none: 設定する方式 / 権限パスに対する 2 次認証は設定しません。 ( 設
定するアクセス手段の 1 次認証方式が [local] の場合のみ適用可能 )
注記 : コマンドラインにこのパラメータを指定しない場合、スイッチは
以下のように自動的に 2 次認証方式を割り当てます。
• 1 次認証方式が [tacacs] の場合、 2 次方式は [local] のみです。
• 1 次認証方式が [local] の場合、 2 次方式は [none] のみです。
1 - 10
認証セッションで、アクセスを拒否し、セッションを終了するまでに
許可する ( ユーザ名 / パスワードのペアを入力する ) 試行回数を指定し
ます。
または
telnet
enable
または
login
local
または
tacacs
local
または
none
num-attempts 3
以下の表で示しているように、スイッチのコンソールポートへのターミナ
ル接続を介した login および enable アクセスは、常に使用できます。一方、
Telnet アクセスでは、 TACACS+ サーバがダウンした場合などスイッチか
ら使用できなくなった場合、アクセスを拒否するように TACACS+ を設定
できます。
4-12
TACACS+ 認証
スイッチでの TACACS+ 設定
表 4-2.
1 次 /2 次認証表
アクセス手段と権
限レベル
Console ― Login
Console ― Enable
Telnet ― Login
Telnet ― Enable
認証オプション
アクセス試行時の動作
1次
2次
local
none*
tacacs
local
local
none*
tacacs
local
local
none*
tacacs
local
TACACS+ サーバが使用できない場合は、ローカルのユーザ名
/ パスワードアクセスを使用します。
tacacs
none
TACACS+ サーバが使用できない場合は、アクセスを拒否しま
す。
local
none*
ローカルのユーザ名 / パスワードアクセスのみ
tacacs
local
TACACS+ サーバが使用できない場合は、ローカルのユーザ名
/ パスワードアクセスを使用します。
tacacs
none
TACACS+ サーバが使用できない場合は、アクセスを拒否しま
す。
ローカルのユーザ名 / パスワードアクセスのみ
TACACS+ サーバが使用できない場合は、ローカルのユーザ名
/ パスワードアクセスを使用します。
ローカルのユーザ名 / パスワードアクセスのみ
TACACS+ サーバが使用できない場合は、ローカルのユーザ名
/ パスワードアクセスを使用します。
ローカルのユーザ名 / パスワードアクセスのみ
* 2 次オプションにも「local」を選択することはできます。ただし、スイッチのローカルレベルのユーザ
名 / パスワード保護は (login、 enable ごとに ) 1 つしかないため、 2 次オプションに「local」を選択しても
意味がありません。
Login レベルの 1
次認証で「local」
を使用する場合の
注意
ローカル認証 (TACACS+ サーバではなく、スイッチに設定されているパス
ワードを使用 ) を行っている間、スイッチはオペレータパスワードが入力
された場合には Read-Only ( 読み取り専用 ) アクセスを、また管理者パス
ワードが入力された場合には Read/Write ( 読み取りと書き込み ) アクセス
を、それぞれ許可します。たとえば、 Telnet － Login レベルの 1 次認証に
「local」を、また Telnet － Enable レベルの 1 次認証に「tacacs」をスイッ
チに設定した場合、スイッチに Telnet 接続を試みると、ローカルパス
ワードの入力を求めるプロンプトが表示されます。スイッチのローカル管
理者パスワードを入力すると（またはスイッチにローカル管理者パスワー
ドが設定されていない場合）、 Telnet － Enable レベルの 1 次認証に対して
TACACS+ サーバ認証が行われずに、直接 Read/Write ( 読み取りと書き込
み ) ( 管理者 ) アクセスができてしまうことになります。したがって、
Telnet 方式とコンソールアクセス方式のいずれに対しても、ローカル認証
には Login レベルの 1 次認証を設定し、なおかつ TACACS+ 認証には
4-13
TACACS+ 認証
スイッチでの TACACS+ 設定
Enable レベルの 1 次認証を設定することは、お勧めできません。こうする
と、 TACACS+ 認証を用いる意味がなくなるためです。 TACACS+ サーバに
アクセスするために Enable レベルの 1 次認証ログインを試行する場合は、
ローカル認証に Login レベルの 1 次認証を設定するのではなく、 Tacacs 認
証に対して Login レベルの 1 次認証と Enable レベルの 1 次認証の両方を設
定する必要があります。
たとえば、アクセスオプションとの対応する設定コマンドは以下の通りです。
Console Login ( オペレータ (Read-Only ( 読み取り専用 ))) アクセス : 1 次認証に TACACS+ サー
バを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication console login tacacs local
Console Enable ( 管理者 (Read/Write ( 読み取りと書き込み ))) アクセス : 1 次認証に TACACS+
サーバを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication console enable tacacs local
Telnet Login ( オペレータ (Read-Only ( 読み取り専用 ))) アクセス : 1 次認証に TACACS+ サー
バを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication Telnet login tacacs local
Telent Enable ( 管理者 (Read/Write ( 読み取りと書き込み ))) アクセス : 1 次認証に TACACS+
サーバを使用します。
2 次認証に local を使用します。
ProCurve(config)# aaa authentication telnet enable tacacs local
2 回連続でユーザ名 / パスワードによる認証が失敗したら、アクセスを拒否し、セッションを
終了します。
ProCurve(config)# aaa authentication num-attempts 2
4-14
TACACS+ 認証
スイッチでの TACACS+ 設定
スイッチの TACACS+ サーバアクセスの設定
tacacs-server コマンドで、以下のパラメータを設定します。
注記
■
最大3台の TACACS+ サーバのホスト IPアドレス: 1台が第1候補で、
バックアップは 2 台までです。バックアップサーバを指定するの
は、スイッチが第 1 候補のサーバに接続できない場合でも認証
サービスを継続するためです。
■
オプションの暗号キー : このキーは、セキュリティの向上に役立つ
もので、 TACACS+ サーバアプリケーションで使用する暗号キーと
一致している必要があります。アプリケーションによっては、「暗
号キー」を「秘密キー」、「シークレット」などと言う場合もあり
ます。 TACACS+ サーバを介したすべての認証で使用するスイッチ
の暗号キーを 1 つにする場合は、グローバルキーを設定してくだ
さい。各 TACACS+ サーバごとに異なる暗号キーが設定されてい
る場合は、それぞれに対応した暗号キーを使用するようにスイッ
チを設定できます。
■
TACACS+ サーバとの通信を試行する際のタイムアウト値 ( 単位：
秒 ): スイッチが認証要求を送信した後、指定したタイムアウト時
間内に応答がない場合、スイッチは Server IP Addr 一覧に
TACACS+ サーバが存在すれば、その一覧にある次のサーバに要求
を再送信します。スイッチがどの TACACS+ サーバからの応答も
得られない場合、スイッチは認証方式を aaa authentication コマン
ドで設定された 2 次オプションに切り替えます。 (local または
none。 4- 11 ページの「スイッチの認証方式の設定」を参照してく
ださい。 )
4- 5 ページの「基本的な認証の設定手順」に記述されているように、コン
ソールポートからアクセスして認証を設定する前に、 Telnet でアクセスし
て認証の設定、テスト、およびトラブルシューティングを行うことをお勧
めます。こうすることで、スイッチまたは TACACS+ サーバで認証を設定
する際にエラーや障害が発生してスイッチにアクセスできなくなるような
偶発的な事態を回避することができます。
4-15
TACACS+ 認証
スイッチでの TACACS+ 設定
構文 :
tacacs-server host < ip-addr > [key < key-string >]
TACACS+ サーバを追加し、オプションでサーバ専用の暗
号キーを割り当てます。
[no] tacacs-server host < ip-addr >
TACACS+ サーバ割り当てを削除します ( 存在する場合、
サーバ固有の暗号キーも削除されます ) 。
tacacs-server key <key-string>
オプションのグローバル暗号キーを入力します。
[no] tacacs-server key
オプションのグローバル暗号キーを削除します。 ( サーバ
専用の暗号キーの割り当てには影響しません。 )
tacacs-server timeout < 1-255 >
TACACS サーバの応答に対する待ち時間を変更します。 (
デフォルト : 5 秒 )
暗号キーについ
ての注記
スイッチに設定される暗号キーは、スイッチが認証に用いる TACACS+
サーバに設定されている暗号キーと完全に一致している必要があります。
グローバル暗号キーが設定されている場合、スイッチはサーバ固有のキー
が設定されていないサーバとのセッションでグローバル暗号キーのみを用
います。したがって、使用しているすべての TACACS+ サーバに同一の
キーが設定されている場合はグローバルキーが有用であり、 TACACS+
サーバごとに設定されているキーが異なる場合はサーバ固有のキーが必要
となります。
TACACS+ サーバ「X」にスイッチ用の暗号キーが設定されていない場合、
スイッチにサーバ「X」用のグローバル暗号キーまたはサーバ固有のキー
のいずれかを設定すると、サーバ「X」による認証が行われません。
4-16
TACACS+ 認証
スイッチでの TACACS+ 設定
表 4-3.
TACACS サーバおよびキー設定の詳細
名前
デフォルト範囲
tacacs-server host <ip-addr>
none
n/a
このコマンドは、 TACACS+ サーバアプリケーションが動作する機器の IP アドレスを指定します。各サー
バに固有の暗号キーが設定されている場合は、サーバごとに固有の暗号キーを指定します。暗号キーの詳
細は、 4- 23 ページの「暗号キーの使用」および使用する TACACS ＋サーバアプリケーションに付属のマ
ニュアルを参照してください。
最大 3 つの IP アドレスを入力でき、 1 つは第 1 候補で 2 つ ( オプション ) はバックアップ ( 第 2 および第 3
候補 ) になります。
show tacacs を使用して現在の IP アドレスの一覧を表示します。
第 1 候補の TACACS+ サーバが要求に応答しない場合、スイッチは show tacacs の一覧に表示される 2 番目
のアドレスを試行します ( 存在する場合 )。 2 番目のアドレスも応答しない場合、スイッチは 3 番目のアド
レスを試行します ( 存在する場合 )。
(4- 10 の図 4-3 「スイッチの TACACS+ 設定の一覧表示例」を参照してください。 )
スイッチが設定する TACACS+ サーバの優先順位 ( 第 1 候補、第 2 候補、第 3 候補 ) は、サーバ IP アドレ
スを入力した順番になります。
1.TACACS+ サーバが設定されていない場合、サーバ IP アドレスを入力するとそれが第 1 候補の
TACACS+ サーバになります。
2.既に 1 つの TACACS+ サーバが設定されている場合、もう 1 つのサーバ IP アドレスを入力するとそ
れが第 2 候補 ( バックアップ ) の TACACS+ サーバになります。
3.既に 2 つの TACACS+ サーバが設定されている場合、もう 1 つのサーバ IP アドレスを入力するとそ
れが第 3 候補 ( バックアップ ) の TACACS+ サーバになります。
•
上記の優先順位の割り当ては固定されます。したがって、 1 つのサーバを削除して別のサーバに置き換
えた場合、新しいサーバは削除したサーバの優先順位を継承します。たとえば、 3 つのサーバ A、 B、 C
を次の順番で設定したとします。
第 1 候補 : A
第 2 候補 : B
第 3 候補 : C
•
サーバ B を削除してサーバ X を入力した場合、TACACS+ サーバの優先順位は、第 1 候補 : A、第 2 候補 : X、
第 3 候補 : C、となります。
第 1 候補 : A
第 2 候補 : X
第 3 候補 : C
•
TACACS+ サーバの優先順位リストに 2 つ以上の空きスロットがある場合は、新しい IP アドレスを入力す
ると、そのアドレスは優先順位が高い方の空きスロットに反映されます。したがって、 A、 B、 C が上記
のように設定されていて、 (1) A と B を削除し、 (2) X と Y を ( この順番で ) 入力した場合、新しい
TACACS+ サーバの優先順位リストは X、 Y、 C となります。
•
優先順位リストの TACACS+ サーバの順番を変更する場合、最も簡単な方法は、リストのすべてのアドレ
スを削除して、第 1 候補のサーバのアドレスから新たにアドレスを入力し直すことです。
既に 3 つのアドレスが存在する場合に新しいアドレスを追加するには、まず現在一覧表示されているアド
レスの 1 つを削除する必要があります。
4- 20 ページの「TACACS+ サーバを使用する基本的な認証プロセス」を参照してください。
4-17
TACACS+ 認証
スイッチでの TACACS+ 設定
名前
デフォルト範囲
[ key <key-string> ]
なし
( 未設定 )
n/a
グローバル「暗号キー」を指定します ( オプション )。このキーは、スイッチが認証用にアクセスする
TACACS+ サーバにも割り当てられます。ただし、このキーは、「サーバごと」に設定される暗号キーの下
位に位置するもので、使用されるのは、スイッチがサーバ固有のキーを持たない TACACS+ サーバにアクセ
スする場合のみです。( この表の最初にある host <ip-addr> [key <key-string> エントリを参照してください。)
暗号キーの詳細は、 4- 23 ページの「暗号キーの使用」および使用する TACACS ＋サーバアプリケーショ
ンに付属のマニュアルを参照してください。
timeout <1 - 255>
5秒
1 ～ 255 秒
スイッチの認証要求に対する TACACS+ サーバの応答待ち時間を指定します。スイッチがタイムアウト時
間内に応答を得られなかった場合、リストにある次の TACACS+ サーバに新たに要求を送信します。リス
トにあるすべての TACACS+ サーバがタイムアウト時間内に応答しなかった場合、スイッチは ( 設定され
ている場合 ) ローカル認証を使用するか、または ( ローカル認証に [none] が設定されている場合 ) アクセ
スを拒否します。
TACACS+ サーバの優先順位の設定、削除、変更。スイッチにあらかじめ
TACACS+ サーバ 10.28.227.10 および 10.28.227.15 が設定されているとしま
す。この場合、 10.28.227.15 が最初に入力されたため、第 1 候補のサーバ
として一覧表示されています。
第 1 候補 TACACS+ サーバ
図 4-4. スイッチに 2 つの TACACS+ サーバのアドレスが設定されている例
「第 1 候補」ステータスを「10.28.227.15」サーバから「10.28.227.10」サー
バに変更するには、 no tacacs-server host <ip-addr> コマンドを使用して両
方のサーバを削除し、 tacacs-server host <ip-addr> を使用して
「10.28.227.10」サーバを最初に入力し、次に「10.28.227.15」サーバを入力
します。
以下のように、「第 1 候補」サーバが新しくなったサーバ一覧が表示され
ます。
4-18
TACACS+ 認証
スイッチでの TACACS+ 設定
「10.28.227.10」サーバが「第 1 候補」TACACS+ 認証機器となりました。
図 4-5. 別の「第 1 候補」サーバを割り当てた後のスイッチの例
TACACS+ サーバ 10.28.227.15( 機器 ) を削除するには、以下のコマンドを
使用します。
ProCurve (config)# no tacacs-server host 10.28.227.15
暗号キーの設定。スイッチが TACACS+ サーバに認証を要求するには、暗
号キーが必要です。 ( サーバがキーを要求してスイッチがそれを提供でき
ない場合や、間違ったキーを提供すると認証試行は失敗します。 ) スイッ
チが認証に使用する TACACS+ サーバすべてに同じキーを適用する場合は、
グローバル暗号キーを使用します。各サーバごとにそれぞれ異なるキーを
適用する場合は、サーバ固有の暗号キーを使用します。 ( 暗号キーの詳細
は、 4- 23 ページの「暗号キーの使用」を参照してください。 )
[north01] をグローバル暗号キーとして設定するには、以下のコマンドを使
用します。
ProCurve(config) tacacs-server key north01
[north01] をサーバ固有の暗号キーとして設定するには、以下のコマンドを
使用します。
ProCurve(config)# tacacs-server host 10.28.227.63 key
north01
暗号キーには、スペースなしで 100 文字まで使用でき、ほとんどの
TACACS+ アプリケーションで大文字小文字が区別されます。
グローバル暗号キーをスイッチから削除するには、以下のコマンドを使用
します。
ProCurve(config)# no tacacs-server key
4-19
TACACS+ 認証
スイッチでの TACACS+ 設定
スイッチからサーバ固有の暗号キーを削除するには、キーパラメータなし
で tacacs-server ホストコマンドを再入力します。たとえば、 IP アドレスが
10.28.227.104 の TACACS+ サーバの暗号キー [north01] を削除するには、
以下のコマンドを使用します。
ProCurve(config)# tacacs-server host 10.28.227.104
注記
show tacacs コマンドは、グローバル暗号キーが設定されている場合にそれ
を表示します。サーバ固有の暗号キーを表示するには、 show config また
は show running-config を使用してください (write mem を実行せずに
TACACS+ の設定を変更した場合 )。
タイムアウト時間の設定 : タイムアウト時間には、スイッチの認証要求に
対する TACACS+ サーバからの応答の待ち時間を指定します。時間内に応
答が得られない場合、スイッチは新しい要求をサーバ IP アドレスリスト
にある次のサーバに送信するか、またはローカル認証オプションを使用し
ます。たとえば、タイムアウト時間を 5 秒 ( デフォルト ) から 3 秒に変更
するには、以下のコマンドを実行します。
ProCurve(config)# tacacs-server timeout 3
認証の動作方法
TACACS+ サーバを使用する基本的な認証プロセス
TACACS+ サーバを介した認証では、基本的には以下のように動作します。
特定の動作の詳細は、 TACACS+ サーバアプリケーションに付属のマニュ
アルを参照してください。
第 1 候補の
TACACS+ サーバ
第 2 候補の
TACACS+ サーバ
( オプション )
第 3 候補の
TACACS+ サーバ
( オプション )
TACACS+ オペ
レーションが設
定された
ProCurve Switch
TACACS+ オペ
レーションが設
定された
ProCurve Switch
図 4-6. 認証用の TACACS+ サーバの使用
4-20
ターミナル「A」はこのスイッ
チのコンソールポートを経由
して直接スイッチにアクセス
A
ターミナル「B」は Telnet 経由で
このスイッチにリモートアクセス
B
TACACS+ 認証
スイッチでの TACACS+ 設定
上記の図 4-6 を例に、スイッチがリモートまたは直接接続されているター
ミナルからオペレータのログオン要求を検出すると、以下のようなイベン
トが発生します。
1.
スイッチはその要求の認証を「第 1 候補」の TACACS+ サーバに問い
合わせます。
•
第 1 候補の TACACS+ サーバからの応答が得られなかった場合、
スイッチは第 2 候補のサーバに問い合わせます。どの
TACACS+ サーバからも応答が得られなかった場合、スイッチ
はローカルのユーザ名 / パスワードのペアを使用してログオ
ン要求を認証します。 (4- 22 ページの「ローカル認証プロセ
ス」を参照してください。 )
•
TACACS+ サーバがスイッチを認識すると、サーバは認証を要
求するターミナルにスイッチを介してユーザ名のプロンプト
を返します。
2. 認証を要求するターミナルがユーザ名のプロンプトに応答すると、ス
イッチはそれを TACACS+ サーバに転送します。
3.
サーバがユーザ名の入力を受信した後、サーバは認証を要求するター
ミナルにスイッチを介してパスワードのプロンプトを返します。
4. 認証を要求するターミナルがパスワードのプロンプトに応答すると、
スイッチはそれを TACACS+ サーバに転送して、以下のいずれかのア
クションが発生します。
•
認証を要求するターミナルから受信したユーザ名 / パスワード
のペアが、あらかじめサーバに保存されているユーザ名 / パ
スワードと一致した場合、サーバはスイッチを介してターミ
ナルにアクセス許可を送信します。
•
認証を要求するターミナルで入力されたユーザ名 / パスワード
のペアが、あらかじめサーバに保存されているユーザ名 / パ
スワードのペアと一致しない場合、アクセスは拒否されます。
この場合、ターミナル上でユーザ名 / パスワードの再入力が
要求され、手順 2 ～ 4 を繰り返します。デフォルト設定では、
スイッチはログインセッションの認証試行を 3 回まで許可し
ます。認証を要求するターミナルが TACACS+ 認証に成功する
ことなく認証試行の制限数に達した場合、ログインセッショ
ンは終了します。再び認証を試行するには、認証を要求する
ターミナルのオペレータは、新しいセッションを開始し直す
必要があります。
4-21
TACACS+ 認証
スイッチでの TACACS+ 設定
ローカル認証プロセス
スイッチが TACACS+ を使用するように設定されている場合、以下の条件
に当てはまる場合、ローカル認証が実行されます。
■
「Local」が、アクセス手段の認証オプションに設定されている。
■
TACACS+ が、アクセス手段の 1 次認証方式に設定されている。し
かし、スイッチは TACACS+ サーバに接続できず ( またはサーバが
設定されていない )、なおかつ「Local」が 2 次認証方式となって
いる。
( 認証オプションの一覧表示の詳細は、 4- 13 ページの表 4-2、「1 次 /2 次認
証表」を参照してください。 )
ローカル認証では、スイッチはあらかじめスイッチのローカルに設定され
ているオペレータレベルおよび管理者レベルのユーザ名 / パスワードを使
用します。 ( これらは、 CLI password コマンド、 Web ブラウザインタ
フェース、またはメニューインタフェースを使用して設定するローカルの
ユーザ名とパスワードです。 )
注記
4-22
■
認証を要求するターミナルのオペレータがいずれかのアクセスレ
ベルに応じた正しいユーザ名 / パスワードのペアを入力した場合、
アクセスが許可されます。
■
認証を要求するターミナルで入力されたユーザ名 / パスワードのペ
アが、あらかじめローカルに設定されているユーザ名 / パスワー
ドのペアと一致しない場合、アクセスは拒否されます。この場合、
ターミナルでユーザ名とパスワードの再入力を要求されます。デ
フォルト設定では、試行回数は 3 回までに制限されています。要
求ターミナルで、認証に失敗した回数が設定されている試行回数
に達すると、ログインセッションは終了します。再度ログインす
る場合は、新しいセッションを開始する必要があります。
スイッチのメニューから設定できるのは、ローカルオペレータおよび管理
者パスワードのみです。ユーザ名は設定できません。この場合、ローカル
認証のプロンプトが要求するのはローカルパスワードのみとなります。た
だし、 CLI または Web ブラウザインタフェースを使ってローカルアクセ
スのユーザ名を設定する場合、ローカル認証の実行中、ローカルユーザ名
とローカルパスワードの両方の入力を求めるプロンプトが表示されます。
TACACS+ 認証
スイッチでの TACACS+ 設定
暗号キーの使用
基本動作
暗号キー ( 「キー」、「秘密キー」、または「シークレット」とも呼ばれる )
を使用することで、ネットワーク上の未許可の侵入者がスイッチと
TACACS+ サーバとの間で流れる TACACS+ パケットからユーザ名とパス
ワード情報を読み取れないようにします。 TACACS+ サーバでは、以下の 2
つのキーが使用されます。
注記
■
グローバルキー : 個別キーが設定されていないすべての TACACS
対応機器に割り当てられる汎用キー。
■
サーバ固有のキー: 特定の TACACS 対応機器に割り当てられる固有
のキー。
スイッチに設定するキーは、 TACACS ＋サーバアプリケーションがスイッ
チに対して設定しているキーと同じである必要があります。つまり、ス
イッチ「X」のキーパラメータと、 TACACS ＋サーバアプリケーションで
スイッチ「X」に対して設定されているキーとが一致しない場合、スイッ
チと TACACS ＋サーバ間の通信は失敗します。
したがって、 TACACS+ サーバ側では、キーの設定方法を選択し、スイッ
チ側では、そのサーバ内のキーと一致するキーパラメータを入力する必要
があります。グローバルキーまたは個別キーを TACACS+ サーバに設定す
る方法については、アプリケーションに付属のマニュアルを参照してくだ
さい。
スイッチの暗号化オプション
暗号キーを設定すると、スイッチはサーバに送信する TACACS+ パケット
を暗号化します。未設定の場合、 TACACS+ パケットはクリアテキストで
送信されます。スイッチに設定した暗号キー ( または「キー」 ) は、対応す
る TACACS+ サーバに設定されている暗号キーと同一でなければなりませ
ん。スイッチが認証に使用するすべての TACACS+ サーバで同一のキーを
設定する場合、スイッチにグローバルキーを設定します。これらのサーバ
の 1 つまたは複数でキーが異なる場合、スイッチに「サーバ固有」のキー
を使用します。 ( グローバルキーとサーバ固有のキーを設定した場合、
サーバにはグローバルキーよりもサーバ固有のキーが優先されます。 )
4-23
TACACS+ 認証
スイッチでの TACACS+ 設定
たとえば、 2 つの TACACS+ サーバの [north40campus] というキーと一致す
るグローバル暗号キーをスイッチに設定するには、以下のコマンドを使用
します。 ( つまり、両方のサーバはスイッチと同じキーを使用します。 ) ス
イッチにグローバルキーを設定する際、サーバ IP アドレスが不要である
ことに注意してください。
ProCurve(config)# tacacs-server key north40campus
その後、暗号キー [south10campus] が設定されている 3 番目の TACACS+
サーバ (IP アドレスは 10.28.227.87) を追加するとします。このキーは前の
例の 2 つのサーバのものとは異なるため、スイッチにはこのサーバに固有
のキーを設定する必要があります。
ProCurve(config)# tacacs-server host 10.28.227.87 key
south10campus
上記 2 つのキーがスイッチに設定されている場合、 10.28.227.87 というア
ドレスの TACACS+ サーバにアクセスしようとする場合のみ、
[south10campus] キーが [north40campus] キーよりも優先されます。
TACACS+ 認証での Web ブラウザイン
タフェースのアクセス制御
スイッチで TACACS+ 認証を設定しても、 Web ブラウザインタフェースへ
のアクセスには影響しません。 Web ブラウザインタフェース経由での未認
可アクセスを防ぐために、以下のいずれかを実行します。
4-24
■
スイッチでローカル認証 ( 管理者のユーザ名 / パスワードおよびオ
プションでオペレータのユーザ名 / パスワード ) を設定します。
■
スイッチのオーソライズド IP マネージャ機能を設定して、認可管
理ステーションのみから Web ブラウザアクセスが実行できるよう
にします。 ( オーソライズド IP マネージャ機能は TACACS+ オペ
レーションをサポートしません。 )
■
メニューインタフェースの [System Information] 画面で [Web Agent
Enabled] パラメータを [No] に設定し、 Web ブラウザからのスイッ
チへのアクセスを無効にします。
TACACS+ 認証
スイッチでの TACACS+ 設定
TACACS+ オペレーションに関連した
メッセージ
スイッチは、以下の CLI メッセージを生成します。この他にも、
TACACS+ サーバアプリケーションが生成するメッセージがあります。そ
のようなメッセージについては、アプリケーションに付属のマニュアルを
参照してください。
CLI メッセージ
意味
Connecting to Tacacs server スイッチは、 tacacs-server で設定した第 1 候補の ( または唯一の )
TACACS+ サーバとの通信を試行中です。
Connecting to secondary
Tacacs server
スイッチが第 1 候補の TACACS+ サーバに接続できず、 tacacs-server で設
定した次の ( 第 2 候補 ) TACACS+ サーバとの通信を試行中です。
Invalid password
システムがユーザ名またはパスワード、またはその両方を承認しません。認
証方式 ([tacacs] または [local]) により、 TACACS+ サーバアプリケーションが
そのユーザ名 / パスワードのペアを承認しなかったか、スイッチに設定され
ているユーザ名 / パスワードのペアと一致しなかったことを示しています。
No Tacacs servers
responding
スイッチは指定された TACACS+ サーバと通信できませんでした。このメッ
セージの後にユーザ名のプロンプトが表示される場合、スイッチはローカル
認証を試行します。
Not legal combination of
authentication methods
コンソールアクセスに対して、[tacacs] を 1 次認証方式として選択した場合、
[local] を 2 次認証方式として選択する必要があります。これにより、スイッチ
がすべての TACACS+ サーバにアクセスできない場合でも、ロックアウトされ
なくなります。
Record already exists
tacacs-server host<ip addr> コマンドの結果としてこのメッセージが表示さ
れた場合、重複した TACACS+ サーバ IP アドレスを入力しようとしたことを
示しています。
4-25
TACACS+ 認証
スイッチでの TACACS+ 設定
運用上の注記
4-26
■
オーソライズド IP マネージャをスイッチに設定した場合、オーソ
ライズドマネージャリストに TACACS+ サーバとして使用する機
器を含める必要はありません。つまり、 TACACS+ サーバとスイッ
チとの間の認証トラフィックは、スイッチに設定されているオー
ソライズド IP マネージャの制御に影響されません。またスイッチ
は、オーソライズド IP マネージャリストで除外されている管理ス
テーションに対して TACACS+ 認証を試行しません。これは、
TACACS+ とは無関係のスイッチによって、既にそうしたステー
ションへのアクセスが拒否されているためです。
■
TACACS+ がスイッチで有効でない場合、またはスイッチが唯一の
TACACS+ サーバにアクセスできなかった場合、 ( スイッチに管理
者パスワードが設定されておらず ) ローカルのオペレータパス
ワードしか設定されていないと、未認可ユーザの管理者レベルア
クセスを許可することになり危険です。
5
RADIUS 認証およびアカウンティング
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-3
RADIUS のスイッチ運用ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-4
基本的な RADIUS 設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-5
スイッチでの RADIUS 認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-6
RADIUS 認証設定の手順 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-7
1. アクセス手段ごとの RADIUS 認証設定 . . . . . . . . . . . . . . . . . 5-8
2. RADIUS サーバへアクセスするためのスイッチ設定 . . . . . . . . 5-10
3. スイッチのグローバル RADIUS パラメータの設定 . . . . . . . . . 5-12
ローカル認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-16
RADIUS 認証での Web ブラウザインタフェースのアクセス制御 . . . 5-17
RADIUS アカウンティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 5-17
RADIUS アカウンティングの運用ルール . . . . . . . . . . . . . . . . . . 5-19
RADIUS アカウンティングの設定手順 . . . . . . . . . . . . . . . . . . . . 5-19
RADIUS 統計の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
基本的な RADIUS 統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-26
RADIUS 認証統計 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-28
RADIUS アカウンティング統計 . . . . . . . . . . . . . . . . . . . . . . . . . 5-30
RADIUS サーバへのアクセス順序の変更 . . . . . . . . . . . . . . . . . . . . . 5-32
RADIUS オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . 5-34
5-1
RADIUS 認証およびアカウンティング
概要
概要
機能
デフォルト
メニュー
CLI
Web
RADIUS 認証の設定
なし
n/a
5- 6
n/a
RADIUS アカウンティングの設定
なし
n/a
5- 17
n/a
RADIUS 統計の表示
n/a
n/a
5- 26
n/a
RADIUS (Remote Authentication Dial-In User Service) では、最大 3 台のサー
バ (1 台のプライマリサーバおよび 1 台または 2 台のバックアップサーバ )
を使用して、認証およびアカウンティング機能を提供します。各 RADIUS
サーバでは、個別にこれらのサービスを提供できます。認証では、ユーザ
ごとに異なるパスワードが使用できるため、各スイッチで個別にパスワー
ドを管理する必要がなくなり、ユーザに各スイッチで設定されたパスワー
ドを配布する必要もなくなります。アカウンティングは、ネットワークリ
ソースの使用状況の追跡に役立ちます。
認証。 RADIUS を使用して ProCurve Switch にアクセスする場合、以下のア
クセス手段での 1 次パスワードによるユーザ認証ができます。
注記
■
シリアルポート ( コンソール )
■
Telnet
■
SSH
■
Web
■
ポートアクセス
スイッチは、 SNMP ( ネットワーク管理 ) アクセスに対する RADIUS セキュ
リティをサポートしていません。 Web ブラウザインタフェースを経由する
未認可アクセスをブロックする手順については、 5- 17 ページの「RADIUS
認証での Web ブラウザインタフェースのアクセス制御」を参照してくだ
さい。
アカウンティング。スイッチの RADIUS アカウンティングは、リソースの
利用状況のデータを収集して、 RADIUS サーバにフォワーディングします。
このデータは、トレンド分析、キャパシティプランニング、課金、監査、
およびコスト分析に使用できます。
5-2
RADIUS 認証およびアカウンティング
用語
用語
CHAP (Challenge-Handshake Authentication Protocol): RADIUS サーバ
からのチャレンジへの応答を暗号化するために MD5 (Message Digest 5) ハッ
シュスキームを使用するチャレンジ応答認証プロトコル。
EAP (Extensible Authentication Protocol): 複数の認証メカニズムをサ
ポートする基本的な PPP 認証プロトコル。 EAP には、 MD5-Challenge、
Generic Token Card、 TLS (Transport Level Security) などの、特定の認証メカ
ニズムがあります。
NAS (Network Access Server): ここでは、RADIUS セキュリティオペレー
ションのために設定された ProCurve Switch。
RADIUS (Remote Authentication Dial In User Service):
RADIUS クライアント : 指定された RADIUS サーバにユーザ情報を送信す
る機器
RADIUS サーバ : ネットワークで使用する RADIUS アプリケーションを実
行するサーバ。このサーバはスイッチからユーザの接続要求を受信し、
ユーザを認証してから、すべての必要な情報をスイッチに返します。
ProCurve Switch については、 RADIUS サーバはアカウンティング機能も実
行できます。 RADIUS ホストと呼ばれることもあります。
RADIUS ホスト : RADIUS サーバを参照してください。
共有キー : RADIUS パケットのデータの暗号化に使用される文字列。
RADIUS クライアントおよび RADIUS サーバにはキーのコピーが存在し、
キーがネットワーク上に送信されることはありません。
ホスト : RADIUS サーバを参照してください。
5-3
RADIUS 認証およびアカウンティング
RADIUS のスイッチ運用ルール
RADIUS のスイッチ運用ルール
5-4
■
スイッチにアクセスできる RADIUS サーバが最低 1 台必要です。
■
スイッチは最大 3 台の RADIUS サーバを使用した認証およびアカウ
ンティングをサポートします。スイッチは、 show radius コマンド
(5- 26 ページ ) で一覧表示される順番でサーバにアクセスします。
最初のサーバが応答しない場合、スイッチは次のサーバに順次ア
クセスを試みます。 ( スイッチが RADIUS サーバにアクセスする順
番を変更する方法については、 5- 32 ページの「RADIUS サーバへ
のアクセス順序の変更」を参照してください。 )
■
各種アクセス手段の 1 次認証方式として RADIUS を選択できます。(
各アクセス手段の 1 次および 2 次認証方式には、認証方式をそれ
ぞれ 1 つだけ指定できます。 )
■
ProCurve Switch では、EAP RADIUS は MD5 および TLS を使用して、
RADIUS サーバからのチャレンジへの応答を暗号化します。
RADIUS 認証およびアカウンティング
基本的な RADIUS 設定の手順
基本的な RADIUS 設定の手順
準備：
表 5-1.
1.
スイッチをサポートするために 1 ～ 3 台の RADIUS サーバを設定しま
す。 (1 台のプライマリサーバおよび 1 台または 2 台のバックアップ
サーバ。 ) RADIUS サーバアプリケーションに付属のマニュアルを参照
してください。
2.
スイッチを設定する前に、以下の情報を収集します。
スイッチで RADIUS を設定するための準備
･ 1 次認証方式に RADIUS を使用するアクセス手段 ( コンソール、 Telnet、ポートアクセス (802.1x)、およ
び Web ブラウザ、またはこれらのうちのいずれか ) を選択します。また、権限レベル ( オペレータ
(login) または管理者 (enable)) に関しても考慮します。 RADIUS 認証失敗時または RADIUS から応答がな
い場合に使用する 2 次認証方式 (local または none) についても検討します。
ProCurve> show authentication
Status and Counters - Authentication Information
Login Attempts : 3
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
Web-Auth
MAC-Auth
コンソールアクセス
では 2 次認証方式に
[local] を指定する必要
Login
Login
Enable
Enable
Primary
Secondary Primary
Secondary があります。これは、
RADIUS サーバがアク
---------- ---------- ---------- ---------- セス不能になるか、
Radius
Local
Radius
Local
サーバに別の問題が発
生するなどして
Radius
None
Radius
None
RADIUS による 1 次認
EapRadius
証が失敗した時に発生
Radius
None
Radius
None
するコンソールアク
Radius
None
Radius
None
セスのロックアウトを
ChapRadius
防ぐために必要です。
|
|
+
|
|
|
|
|
|
| ChapRadius
図 5-1. RADIUS アクセスの設定例
•
スイッチに RADIUS サーバの IP アドレスを設定します。( スイッチに最大 3 台の RADIUS サーバを設定でき
ます。 )
•
スイッチが特定の RADIUS サーバに認証を要求する際に使用するデフォルト UDP ポート (1812) を変更す
る場合は、設定プロセスを開始する前に行います。
•
スイッチが特定の RADIUS サーバにアカウンティングを要求する際に使用するデフォルト UDP ポート
(1813) を変更する場合は、設定プロセスを開始する前に行います。
5-5
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
•
すべての RADIUS サーバで１つのグローバル暗号キーを使用するか、特定のサーバでサーバ固有のキー
を使用するかを検討します。複数の RADIUS サーバで、 1 つのキーを使用する場合、グローバル暗号
キーとして設定できます。グローバルキーと異なるサーバキーを使用する場合、スイッチに RADIUS
サーバの IP アドレスを設定するのと同じコマンドでサーバ固有のキーを指定する必要があります。
•
スイッチからの要求に対するサーバの応答を待つ時間 ( タイムアウト時間 ) を検討します。デフォルト (5
秒 ) に設定することをお勧めします。
•
スイッチが別の RADIUS サーバへの通信を試行する前に、RADIUS サーバに通信を試行する回数を検討し
ます。 ( 推奨値は、スイッチがアクセスする RADIUS サーバの数によって異なります。 )
•
サービス要求に応答しない RADIUS サーバを無視するかどうかを検討します。認証時間を短縮するため、
応答しないサーバについて 1 ～ 1440 分の範囲で無視する時間を設定できます。この場合、サービス要
求に対応する複数の RADIUS サーバが必要です。
スイッチでの RADIUS 認証設定
RADIUS 認証コマンド
aaa authentication
< console | telnet | ssh | web > < enable | login > radius
< local | none >
[no] radius-server host < IP-address >
5- 8
5- 8
5- 8
5- 10
[auth-port < port-number >]
5- 10
[acct-port < port-number >]
5- 10, 5- 20
[key < server-specific key-string >]
5- 10
[no] radius-server key < global key-string >
5- 12
radius-server timeout < 1 - 15>
5- 12
radius-server retransmit < 1 - 5 >
5- 12
[no] radius-server dead-time < 1 - 1440 >
5- 14
show radius
5- 26
[< host < ip-address>]
5-6
ページ
5- 27
show authentication
5- 29
show radius authentication
5- 29
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
RADIUS 認証設定の手順
RADIUS 認証設定には、大きく分けて 3 つの手順があります。
1.
以下のうちの 1 つまたは複数のアクセス手段でアクセス制御できるよ
うに RADIUS 認証を設定します。
•
•
•
•
•
2.
注記
シリアルポート
Telnet
SSH
Web ブラウザインタフェース
ポートアクセス (802.1x)
スイッチが 1 台または複数の RADIUS サーバにアクセスするように以
下の情報を設定します (1 台のプライマリサーバおよび 2 台までのバッ
クアップサーバ )。
この手順は、スイッチが使用する RADIUS サーバが既に設定されてい
ることを前提としています。 RADIUS サーバに付属のマニュアルを参
照してください。
•
•
•
•
3.
サーバの IP アドレス
( オプション ) 認証要求の UDP ポート ( デフォルト : 1812、推奨 )
( オプション ) アカウンティング要求の UDP ポート ( デフォルト :
1813、推奨 )
(オプション) RADIUSサーバとの認証セッション中に使用する暗号キー。
このキーはスイッチで設定可能なグローバル暗号キーよりも優先され
ます。また、このキーは特定の RADIUS サーバで使用する暗号キーと
一致している必要があります。 ( デフォルト : 未設定 )
以下のグローバル RADIUS パラメータを設定します。
•
Server Key: このキーは、サーバごとにキーを設定しない限り指定
する必要があり、スイッチに認証およびアカウンティングサービ
スを提供する RADIUS サーバの暗号キーと一致している必要があ
ります。 ( デフォルト : 未設定 )
•
Timeout Period: スイッチが RADIUS サーバからの応答を待つタイ
ムアウト時間 ( デフォルト : 5 秒、範囲 :1 ～ 15 秒 )
•
Retransmit Attempts:RADIUS 認証要求に対してサーバの応答がな
い場合の再送信回数 ( デフォルト : 3 回、範囲 : 1 ～ 5 回 )
•
Server Dead-Time: スイッチが前回の要求に応答しなかった
RADIUS サーバに新しい認証要求を送信しない時間。これによっ
て、利用不可能なサーバでの要求のタイムアウトを待つことがな
くなります。この機能を使用する場合、デッドタイム 1 ～ 1440 分
を設定します。 ( デフォルト : 0 －無効、範囲 : 1 ～ 1440 分 )。最も
優先度が高いサーバが最初は利用不可能であったが、デッドタイ
5-7
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
ムが終了する前に利用可能になった場合、デッドタイムを 0 にリ
セットして無効にすると、再度そのサーバにログオンを試みるこ
とができます。この代わりに、スイッチをリブートして ( つまり、
デッドタイムカウンタをリセットして、サーバを利用可能にして
)、再度ログオンを試みることもできます。
•
Number of Login Attempts: これは、 aaa authentication コマン
ドで設定します。 1 回のセッションで RADIUS クライアント ( およ
び他の認証方式を使用するクライアント ) がユーザ名とパスワー
ドを入力してログインを試行できる回数をコントロールします。 (
デフォルト : 1 セッションにつき 3 回 )
(RADIUS アカウンティング機能については、 5- 17 ページの「RADIUS アカ
ウンティングの設定」を参照してください。 )
1. アクセス手段ごとの RADIUS 認証設定
この項では、以下のアクセス手段に対してスイッチに RADIUS 認証を設定
する方法を説明します。
■
コンソール : シリアルポートによる直接接続またはモデム接続のい
ずれか。
■
Telnet: インバウンド Telnetが有効である必要があります (デフォルト )。
■
SSH: SSH アクセスに RADIUS を使用するには、事前に SSH オペレー
ションをスイッチに設定する必要があります。 (6- 1 ページの「セ
キュアシェル (SSH) の設定」を参照してください。 )
■
Web: Web ブラウザインタフェース。
ポートベースのアクセス認証にも RADIUS を使用できます。 (8- 1 ページの
「ポートベースのアクセス制御 (802.1x) の設定」を参照してください。 )
上記のアクセス手段で、 RADIUS を 1 次認証方式として設定できます。そ
の場合、 [local] または [none] のいずれかを 2 次認証方式として設定しま
す。コンソールアクセスに、 [radius] ( または [tacacs]) を 1 次認証方式と
して設定する場合、 [local] を 2 次認証方式として設定する必要があること
に注意してください。これにより、すべてのアクセス手段で 1 次認証に失
敗しても、スイッチから完全にロックアウトされることはありません。
5-8
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
構文 :
aaa authentication < console | telnet | ssh | web > < enable | login > <
radius >
RADIUS をコンソール、 Telnet、 SSH、および Web ブラウザイ
ンタフェースのいずれかの 1 次認証方式として設定します。 (1
次 < enable | login > 認証方式のデフォルトは、 [local] です。
[< local | none >]
2 次認証方式のデフォルトは [none] です。コンソール
アクセスでは、 1 次認証方式に [local] 以外で設定されて
いる場合、 2 次認証方式に [local] を設定する必要がある
ことに注意してください。これにより、他のアクセス手
段で認証に失敗しても、スイッチから完全にロックアウ
トされることはありません。
スイッチで既にローカルパスワードが設定されていて、 Telnet および SSH
のアクセス手段で 1 次認証方式に [radius] を設定し、2 次認証方式に [none]
( これはスイッチのローカルパスワードによる認証を行わない設定になり
ます ) を設定する例を以下に示します。
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
ProCurve(config)#
aaa authentication telnet login radius none
aaa authentication telnet enable radius none
aaa authentication ssh login radius none
aaa authentication ssh enable radius none
show authentication
Status and Counters - Authentication Information
Login Attempts : 3
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
|
|
+
|
|
|
|
|
Login
Primary
---------Local
Radius
Local
Local
Radius
Login
Secondary
---------None
None
Enable
Primary
---------Local
Radius
Enable
Secondary
---------None
None
None
None
Local
Radius
None
None
スイッチは、 Telnet
および SSH 認証に
RADIUS を使用しま
す。
図 5-2. RADIUS 認証設定の例
注記
上記の例で、 login レベルの 1 次認証方式に [radius] ではなく [local] が指定
されていて、ローカルパスワードがスイッチに設定されている場合、
enable レベルの 1 次認証方式に RADIUS を指定しても、オペレータまたは
管理者レベルのいずれの場合でも RADIUS 認証は行われません。 (5- 16
ページの「ローカル認証プロセス」を参照してください。 )
5-9
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
2. RADIUS サーバへアクセスするためのスイッチ設定
この項では、認証およびアカウンティングサービスを提供する RADIUS
サーバと通信するスイッチの設定方法について説明します。
注記
スイッチで RADIUS アカウンティングを設定する場合は、 5- 17 ページ :
「RADIUS アカウンティングの設定」を参照してください。
構文 :
[no] radius-server host < ip-address >
サーバを RADIUS 設定に追加したり、 (no を付けて )
RADIUS 設定から削除します。最大 3 台の RADIUS サー
バのアドレスを設定できます。スイッチは最初にアクセ
スしたサーバを使用します。 (5- 32 ページの「RADIUS
サーバへのアクセス順序の変更」を参照してください。 )
[auth-port < port-number >]
オプション。指定した RADIUS サーバ ( ホスト ) への認証
要求を行う UDP ポートを変更します。このオプションを
radius-server host コマンドと共に使用しない場合は、ス
イッチが自動的にデフォルトの認証ポート番号を割り当
てます。 auth-port 番号はサーバの認証ポート番号と一致
している必要があります。 ( デフォルト : 1812)
[acct-port < port-number >]
オプション。指定した RADIUS サーバへのアカウンティ
ング要求を行う UDP ポートを変更します。このオプショ
ンを radius-server host コマンドと共に使用しない場合
は、スイッチが自動的にデフォルトのアカウンティング
ポート番号を割り当てます。 acct-port 番号はサーバのア
カウンティングポート番号と一致する必要があります。 (
デフォルト : 1813)
[key < key-string >]
オプション。指定したサーバでの認証 ( またはアカウン
ティング ) セッション中に使用する暗号キーを指定しま
す。このキーは RADIUS サーバで使用される暗号キーと
一致する必要があります。指定したサーバがグローバル
暗号キーとして設定されているキーとは異なる暗号キー
を要求する場合のみ、このコマンドを使用します。
no radius-server host < ip-address > key
コマンドの [no] 形式を使用して、指定したサーバに対す
るキーを削除します。
5-10
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
たとえば、図 5-3 に示すようにスイッチを設定していて、以下の変更を行
う必要があるとします。
1.
IP アドレスが 10.33.18.127 のサーバの暗号キーを「source0127」に変
更します。
2.
IP アドレスが 10.33.18.119 で、サーバ固有の暗号キーが「source0119」
である RADIUS サーバを追加します。
図 5-3. キーの変更および他のサーバを追加する前の RADIUS サーバの設定例
図 5-3 の前に記載されている変更を実行するためには、以下のコマンドを
入力します。
既存のサーバの
キーを「source0127」
に変更します (上記、
手順 1)。
新しい RADIUS サー
バを、アクセスに必
要な「source0119」
キーと共に追加しま
す。
スイッチの新しい
RADIUS サーバ設定
を一覧表示します。
これを図 5-3 のもの
と比較します。
図 5-4. キーの変更および他のサーバを追加した後の RADIUS サーバの設定例
スイッチが RADIUS サーバにアクセスする順番を変更する方法について
は、 5- 32 ページの「RADIUS サーバへのアクセス順序の変更」を参照して
ください。
5-11
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
3. スイッチのグローバル RADIUS パラメータの設定
スイッチには以下のグローバル RADIUS パラメータを設定できます。
■
Number of login attempts: 各ログインセッションで、アクセスが
拒否されてセッションが終了するまでのログインの試行回数を指
定します。 ( これは一般的な aaa authentication パラメータで、
RADIUS に固有のものではありません。 )
■
Global server key: サーバ固有のキー (radius-server host < ipaddress > key < key-string > で設定 ) が設定されていないすべての
RADIUS サーバと通信するためにスイッチが使用するサーバキー
です。スイッチに設定する各 RADIUS サーバにサーバ固有のキー
を設定する場合、このキーはオプションとなります。 (5- 10 ページ
の「2. RADIUS サーバへアクセスするためのスイッチ設定」を参照
してください。 )
5-12
■
Server timeout: 認証を試行する時間 ( 単位 : 秒 ) を設定します。応
答を受信する前にタイムアウト時間が経過すると、認証は失敗し
ます。
■
Server dead time: スイッチが前回の要求に応答しなかったサーバ
に対して認証要求を行わない時間 ( 単位 : 分 ) を設定します。
■
Retransmit attempts: RADIUS サーバへの最初のアクセスに失敗し
てからスイッチがそのサーバへのアクセスを試行する回数を設定
します。
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
構文 :
aaa authentication num-attempts < 1 - 10 >
入力エラーで認証セッションを終了するまでのユーザ
名とパスワードの入力試行回数を設定します。 ( デ
フォルト : 3 回、範囲 : 1 - 10).
[no] radius-server
key < global-key-string >
サーバ固有のキーが割り当てられていないサーバとの
接続セッションでスイッチが使用するグローバル暗号
キーを設定します。 radius host コマンドですべての
RADIUS サーバにサーバ固有の暗証キーを設定してい
る場合は、グローバル暗号キーを設定する必要はあり
ません。 ( デフォルト : 未設定 )
dead-time < 1 - 1440 >
オプション。スイッチが前回の要求に応答しなかった
RADIUS サーバに認証要求を行わない時間 ( 単位 : 分 )
を設定します。 ( デフォルト : 0 回、範囲 :1 ～ 1440 分
)。
radius-server timeout < 1 - 15 >
スイッチが認証に失敗したと判断するまでに、認証要
求の応答を待つ最長時間を設定します。 ( デフォルト :
3 秒、範囲 :1 ～ 15 秒 )
radius-server retransmit < 1 - 5 >
RADIUS サーバが認証要求に応答しない場合、セッ
ションを終了するまでに要求を試行する回数を設定し
ます。 ( デフォルト : 3 回、範囲 : 1 - 5)
注記
認証要求に応答する複数の RADIUS サーバがスイッチに設定されている場
合、最初のサーバが応答しないと、スイッチはサーバ一覧に表示されてい
る順番でサーバに認証要求を行います。応答するサーバがない場合、ス
イッチは試行しているアクセス手段 ( コンソール、 Telnet、または SSH) に
設定されている 2 次認証方式を使用します。この場合は、使用するスイッ
チの『マネジメント / コンフィギュレーションガイド』にあるトラブル
シューティングの章の「RADIUS 関連の問題」を参照してください。
5-13
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
たとえば、スイッチが、 Telnet および SSH を経由するアクセスの認証に 3
台の RADIUS サーバを使用するように設定されており、 3 台のサーバのう
ちの 2 台は同じ暗号キーを使用しているとします。この場合に、スイッチ
に以下のグローバル認証パラメータを設定します。
■
正しいユーザ名とパスワードを入力するまでの試行回数を 2 回に制
限します
■
グローバル暗号キーを使用して、同じキーを使用する 2 台のサーバ
をサポートします。 ( この例では、 2 台のサーバにサーバ固有の
キーを設定しなかったとします。 )
■
認証要求に応答しないサーバに対しては、デッドタイムを 5 分に設
定します。
■
認証要求タイムアウトは 3 秒に設定します。
■
認証要求の応答がない場合、さらに 2 回試行するようにします。
図 5-5. グローバル RADIUS 認証設定の例
5-14
RADIUS 認証およびアカウンティング
スイッチでの RADIUS 認証設定
ProCurve# show authentication
Status and Counters - Authentication Information
Login Attempts : 2
Respect Privilege : Disabled
Access Task
----------Console
Telnet
Port-Access
Webui
SSH
Web-Auth
MAC-Auth
|
|
+
|
|
|
|
|
|
|
Login
Primary
---------Local
Radius
Local
Local
Radius
ChapRadius
ChapRadius
Login
Secondary
---------None
None
Enable
Primary
---------Local
Radius
Enable
Secondary
---------None
None
None
None
Local
Radius
None
None
ユーザ名またはパスワード
の入力エラーで 2 回の試行
に失敗すると、スイッチは
セッションを終了します。
ProCurve# show radius
Status and Counters - General RADIUS Information
Deadtime(min) : 5
Timeout(secs) : 3
Retransmit Attempts : 2
Global Encryption Key : My-Global-Key-1099
図 5-5 で設定したグロー
バル RADIUS パラメータ
グローバル暗号キーを使用
Auth
Server IP Addr Port
--------------- ----10.33.18.127
1812
10.33.18.119
1812
10.33.18.151
1812
しない RADIUS サーバの
Acct
サーバ固有の暗号キー
Port Encryption Key
----- -------------------------------1813 source0127
これら 2 台のサーバは同じ
グローバル暗号キーを使用
1813
しています。
1813
図 5-6. 図 5-5 で設定されたグローバル RADIUS パラメータの一覧
5-15
RADIUS 認証およびアカウンティング
ローカル認証プロセス
ローカル認証プロセス
スイッチが RADIUS を使用するように設定されている場合、以下の 2 つの
条件のいずれかにあてはまる場合のみにローカル認証が使用されます。
■
「Local」が、アクセス手段の認証オプションに設定されている。
■
スイッチには1次認証に1台または複数のRADIUSサーバが設定され
ているが、認証要求に対する応答がなく、 2 次認証に [local] が設定
されている。
ローカル認証では、スイッチであらかじめ設定されているオペレータレベ
ルおよび管理者レベルのローカルユーザ名 / パスワードを使用します。 (
これらは、 CLI password コマンド、 Web ブラウザインタフェース、または
メニューインタフェースを使用して設定するローカルのユーザ名とパス
ワードです。 )
5-16
■
要求ターミナルでオペレータまたは管理者のユーザ名とパスワー
ドを正しく入力すると、入力したユーザ名とパスワードの権限レ
ベルでスイッチにアクセスできます。たとえば、 Telnet の 1 次認
証方式に [RADIUS] を設定し、 2 次認証方式に [local] を設定すると
します。 1 次認証で RADIUS サーバにアクセスできない場合、ス
イッチのオペレータまたは管理者のローカルユーザ名とパスワー
ドを入力するとアクセスできます。
■
要求ターミナルで入力したユーザ名 / パスワードが、スイッチであ
らかじめ設定されているローカルのユーザ名 / パスワードと異な
る場合、スイッチへのアクセスは拒否されます。この場合、ター
ミナルでユーザ名とパスワードの再入力を要求されます。デフォ
ルト設定では、試行回数は 3 回までに制限されています。要求
ターミナルで、認証に失敗した回数が設定されている試行回数に
達すると、ログインセッションは終了します。再度ログインする
場合は、新しいセッションを開始する必要があります。
RADIUS 認証およびアカウンティング
RADIUS 認証での Web ブラウザインタフェースのアクセス制御
RADIUS 認証での Web ブラウザインタ
フェースのアクセス制御
Web ブラウザインタフェース経由での未認可アクセスを防ぐために、以下
のいずれかを実行します。
■
スイッチでローカル認証 ( 管理者のユーザ名 / パスワードおよびオ
プションでオペレータのユーザ名 / パスワード ) を設定します。
■
スイッチのオーソライズド IP マネージャ機能を設定して、認可管
理ステーションのみから Web ブラウザアクセスが実行できるよう
にします。 ( オーソライズド IP マネージャ機能は TACACS+ オペ
レーションをサポートしません。 )
■
Web ブラウザからのスイッチへのアクセスを無効にします。
RADIUS アカウンティングの設定
RADIUS アカウンティングコマンド
ページ
[no] radius-server host < ip-address >
5- 20
[acct-port < port-number >]
5- 20
[key < key-string >]
5- 20
[no] aaa accounting < exec | network | system >
< start-stop | stop-only> radius
5- 24
[no] aaa accounting update
periodic < 1 - 525600 > ( 単位 : 分 )
5- 24
[no] aaa accounting suppress null-username
5- 24
show accounting
5- 30
show accounting sessions
5- 31
show radius accounting
5- 30
5-17
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
注記
この項では、以下が既に設定されているものとします。
■
スイッチへの 1 つまたは複数のアクセス手段に RADIUS 認証を設定
■
スイッチをサポートするように1台または複数のRADIUSサーバを設定
これらの設定を行っていない場合、まず 5- 5 ページの「基本的な RADIUS
設定の手順」を参照してください。
RADIUS アカウンティングは、ユーザアクティビティおよびシステムイベ
ントのデータを収集し、ログオフまたはリブートなどの特定のイベントが
スイッチで発生した場合に RADIUS サーバにこれらのデータを送信しま
す。このガイドの対象スイッチは、以下の 3 つのタイプのアカウンティン
グサービスをサポートしています。
■
Networkアカウンティング: スイッチのポートに直接接続されてい
て、ポートベースのアクセス制御 (802.1x) によって動作している
クライアントについての下記の情報を提供します。
•
•
•
•
•
•
Acct-Session-Id
Acct-Status-Type
Acct-TerminateCause
Acct-Authentic
Acct-Delay-Time
Acct-Input-Packets
•
•
•
•
•
•
Acct-Output-Packets
Acct-Input-Octets
Nas-Port
Acct-Output-Octets
Acct-Session-Time
Username
•
•
•
•
Service-Type
NAS-IP-Address
NAS-Identifier
Called-Station-Id
( スイッチの 802.1x 情報については、 8- 1 ページの「ポートベースの
アクセス制御 (802.1x) の設定」を参照してください。 )
■
Exec アカウンティング : スイッチへのログインセッション ( コン
ソール、 Telnet、および SSH) について下記の情報を提供します。
•
•
•
•
■
•
•
•
•
Acct-Delay-Time
Acct-Session-Time
Username
Service-Type
•
•
•
NAS-IP-Address
NAS-Identifier
Calling-Station-Id
System アカウンティング : スイッチでリセット、リブートおよび
System アカウンティング設定の変更 ( 有効 / 無効 ) などのシステム
イベントが発生した場合に、下記の情報を提供します。
•
•
•
•
5-18
Acct-Session-Id
Acct-Status-Type
Acct-Terminate-Cause
Acct-Authentic
Acct-Session-Id
Acct-Status-Type
Acct-TerminateCause
Acct-Authentic
•
•
•
•
Acct-Delay-Time
Username
Service-Type
NAS-IP-Address
•
•
NAS-Identifier
Calling-Station-Id
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
スイッチは、収集したアカウンティング情報を指定された RADIUS サーバ
にフォワードします。その情報は RADIUS サーバに保存され、管理されま
す。 RADIUS アカウンティングの詳細は、 RADIUS サーバに付属のマニュ
アルを参照してください。
RADIUS アカウンティングの運用ルール
■
アカウンティングは 3 つのタイプ (Exec、 System、 Network) を設定
でき、同時に実行できます。
■
RADIUS サーバはアカウンティングに使用され、認証にも使用され
ます。
■
スイッチは少なくとも 1 台の RADIUS サーバにアクセスするように
設定されている必要があります。
■
RADIUS サーバには、スイッチで IP アドレスが設定されている順番
でアクセスします。順番を表示するには、 show radius コマンドを
使用します。最初のサーバがアクセス可能で、スイッチからの認
証要求に応答する限り、 2 番目または 3 番目のサーバへのアクセ
スは行われません。 ( このトピックについては、 5- 32 ページの
「RADIUS サーバへのアクセス順序の変更」を参照してください。 )
■
クライアントが認証されてから RADIUS サーバとの通信が途絶えて
も、スイッチは引き続きサーバにアカウンティングデータを送信
します。つまり、セッション中にサーバとの通信が途絶えると、
スイッチから送信されたアカウンティングデータは受信されませ
ん。
RADIUS アカウンティングの設定手順
1.
スイッチを RADIUS サーバにアクセスするように設定します。
スイッチには最大 3 台の RADIUS サーバ (1 台のプライマリサーバ、 2
台のバックアップサーバ ) を設定できます。 RADIUS サーバがアカウ
ンティングモードおよび認証モードで動作できるという前提でスイッ
チを設定します。 ( 使用する RADIUS サーバのマニュアルを参照してく
ださい。 )
•
RADIUS 認証を設定する場合と同一の radius-server host コマンドを
使用します。 (5- 10 ページの「2. RADIUS サーバへアクセスするた
めのスイッチ設定」を参照してください。 )
•
以下のものを準備します。
- RADIUS サーバの IP アドレス
- オプション－認証要求の UDP ポート。これがない場合、スイッ
チはデフォルトの UDP ポート (1812、推奨 ) を割り当てます。
5-19
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
-
2.
3.
オプション－スイッチに RADIUS 認証を設定しており、指定
した RADIUS サーバとの認証セッション中に使用する固有の
暗号キーが必要な場合は、サーバ固有のキーを設定します。
このキーはスイッチで設定可能なグローバル暗号キーよりも
優先されます。また、このキーは特定の RADIUS サーバで使
用する暗号キーと一致している必要があります。詳細は、
5- 10 ページの key < key-string > パラメータを参照してくださ
い。 ( デフォルト : 未設定 )
アカウンティングのタイプ、および RADIUS サーバに送信するレポー
トの送信モードを設定します。
•
アカウンティングのタイプ : Exec (5- 18 ページ )、Network (5- 18 ペー
ジ )、または System (5- 18 ページ )
•
アカウンティングレポートを RADIUS サーバに送信するためのト
リガ : セッションの開始時および終了時、またはセッションの終了
時のみ
( オプション ) セッションのブロックおよび更新オプションを設定しま
す。
•
更新 : 進行中のセッションのアカウンティングデータを定期的に更
新します。
•
アカウンティングの抑制 : ユーザ名がないユーザがスイッチにアク
セスする場合のアカウンティングセッションをブロックします。
1. RADIUS サーバへアクセスするためのスイッチ設定
アカウンティングパラメータを設定する前に、スイッチが RADIUS サーバ
を使用するように設定する必要があります。これは、 5- 10 ページで説明し
たプロセスと同じです。 RADIUS サーバを使用するようにスイッチを設定
していない場合、サーバデータが変更された場合、またはアカウンティン
グ要求にデフォルト以外の UDP ポートを指定する場合のみに、この手順
を繰り返す必要があります。スイッチは、 RADIUS サーバが認証およびア
カウンティングに対応しているという前提で動作することに注意してくだ
さい。
5-20
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
構文 :
[no] radius-server host < ip-address >
サーバを RADIUS 設定に追加したり、 (no を付けて )
RADIUS 設定から削除します。
[acct-port < port-number >]
オプション。指定した RADIUS サーバへのアカウン
ティング要求を行う UDP ポートを変更します。この
オプションを使用しない場合、スイッチはデフォルト
のアカウンティングポート番号を自動的に割り当てま
す。 ( デフォルト : 1813)
[key < key-string >]
オプション。指定したサーバとのアカウンティング
セッションまたは認証セッション中に使用する暗号
キーを設定します。このキーは RADIUS サーバで使用
される暗号キーと一致する必要があります。指定した
サーバがグローバル暗号キーとして設定されている
キーとは異なる暗号キーを要求する場合のみ、このコ
マンドを使用します。
(radius-server コマンドおよびそのオプションの詳しい説明は、 5- 10 ペー
ジに記載されています。 )
たとえば、スイッチが認証およびアカウンティングで、以下に説明する
RADIUS サーバを使用するとします。
■
IP アドレス : 10.33.18.151
■
アカウンティングに使用するデフォルト以外の UDP ポート番号
1750
この例では、 RADIUS サーバにアクセスするための他の RADIUS 認証パラ
メータがすべてデフォルト設定で、 RADIUS サーバはスイッチへの 1 つま
たは複数のアクセス手段 (Telnet、コンソールなど ) の認証方式として設定
されています。
5-21
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
radius-server コマンドでアカウンティ
ングポート (acct-port) にデフォルト以
外の UDP ポート番号 1750 が設定され
ています。 auth-port コマンドは radiusserver コマンドに含まれていないため、
認証 UDP ポートはデフォルト値の 1812
に設定されています。
図 5-7. RADIUS サーバにデフォルト以外のアカウンティング UDP ポート番号を設定する例
上記の図 5-7 に示す radius-server コマンドにより、 IP アドレス
10.33.18.151、 ( デフォルト以外の ) UDP アカウンティングポート 1750 お
よびサーバ固有のキーである「source0151」で RADIUS サーバを使用する
ようにスイッチが設定されました。
2. アカウンティングのタイプ、および RADIUS サーバに送
信するレポートの送信モードの設定
以下の中からアカウンティングのタイプを選択します。
■
Exec: コンソール、 Telent、または SSH 経由でのスイッチへのログ
インセッションについてアカウンティング情報を収集する場合は、
[exec] を使用します。 (5- 2 ページの「アカウンティング」も参照
してください。）
■
System: 以下のアカウンティングデータを収集する場合は [system]
を使用します。
•
•
システムがリブートまたはリロードする場合
System アカウンティングを有効または無効にする場合
[system] オプションを使用する場合、 Start-Stop モードでは実行され
ないことに注意してください。上記のいずれかのイベントが発生する
と、スイッチは現在所有しているアカウンティングデータを送信しま
す。
5-22
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
■
Network: スイッチの物理ポートに接続して、802.1x ポートベース
アクセスを行うユーザのアカウンティング情報を収集する場合に
は [Network] を使用します。 (2 ページの「アカウンティング」も参
照してください。） ( この機能については、 8- 1 ページの「ポート
ベースのアクセス制御 (802.1x) の設定」を参照してください。 )
スイッチがアカウンティングデータを RADIUS サーバに送信する際の送信
モードを設定します。
■
Start-Stop:
･
アカウンティングセッションの最初にアカウンティングの開始通
知を送信し、セッションの最後にアカウンティングの停止通知を
送信します。どちらの通知にも、設定したアカウンティングのタ
イプ (Network、 Exec、 System) でスイッチが収集した最新データが
含まれています。
･
通知を RADIUS サーバが受信したか確認しません。
[System] オプション (5- 22 ページ ) の場合は、リブート、リロード、ま
たはアカウンティング設定の変更 ( 有効 / 無効 ) が発生した場合のみス
イッチが累積データを送信するため、 [start-stop] を無視します。
■
Stop-Only:
･
アカウンティングセッションの最後にアカウンティングの停止通
知を送信します。通知には、設定したアカウンティングのタイプ
(Network、 Exec、 System) でスイッチが収集した最新データが含ま
れています。
･
通知を RADIUS サーバが受信したか確認しません。
[System] オプション (5- 22 ページ ) の場合は、リブート、リロード、ま
たはアカウンティング設定の変更 ( 有効 / 無効 ) が発生した場合のみス
イッチが累積データを送信するので、常に [stop-only] になります。
構文 :
[no] aaa accounting < exec | network | system > < start-stop | stoponly > radius
RADIUS アカウンティングのタイプおよび RADIUS サーバ
へのデータの送信モードを設定します。
5-23
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
たとえば、以下のように、スイッチの RADIUS アカウンティングで、 Exec
機能には [start-stop] を、 System 機能には [stop-only] を設定します。
Exec アカウンティング
と System アカウンティ
ング、およびアカウン
ティングレポートの送
信モードを設定します。
スイッチのアカウンティ
ング設定の情報です。
Exec アカウンティングおよび
System アカウンティングはアク
ティブです。 ( スイッチは通信可
能な RADIUSサーバにアクセスす
るように設定されています。 )
図 5-8. アカウンティングのタイプの設定例
3. ( オプション ) セッションのブロックおよび更新オプ
ションの設定
これらのオプションパラメータによって、アカウンティングデータをさ
らに細かくコントロールできます。
■
updates: [Start-Stop] または [Stop-Only] に加えて、スイッチが
RADIUS サーバにアカウンティングレコードの更新を定期的に送
信するように設定できます。
■
suppress: スイッチは、ユーザ名のない未知のユーザに対するアカ
ウンティングを抑制できます。
構文 :
[no] aaa accounting update periodic < 1 - 525600 >
スイッチのすべてのアカウンティングセッションに対し
てアカウンティング更新時間を設定します。 ([no] 形式を
使用すると、更新機能を無効にし、値をリセットして 0 に
します。 )( デフォルト : 0 、無効 )
構文 :
[no] aaa accounting suppress null-username
ユーザ名がない未知のユーザに対するアカウンティングを
無効にします。 ( デフォルト : 抑制無効 )
図 5-8 の例の続きとして、スイッチが以下の動作を行うものとします。
5-24
RADIUS 認証およびアカウンティング
RADIUS アカウンティングの設定
■
進行中のアカウンティングセッションの更新を 10 分ごとに送信し
ます。
■
未知のユーザ ( ユーザ名がない ) に対するアカウンティングをブ
ロックします。
•
更新時間
•
未知のユーザに対するア
カウンティングを抑制
図 5-9. アカウンティング更新時間および未知のユーザに対するアカウンティング抑制 ( オプショ
ン ) の例
5-25
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
RADIUS 統計の表示
基本的な RADIUS 統計
構文 :
show radius [host < ip-addr >]
サーバの IP アドレスを含む RADIUS の基本設定を表示しま
す。オプションの構文では、特定の RADIUS ホストのデー
タを表示します。 show radius コマンドを使用するには、
サーバの IP アドレスがスイッチに設定されている必要があ
ります。 radius-server host コマンドを使用する前にもこの
設定が必要です。 (5- 17 ページの「RADIUS アカウンティン
グの設定」を参照してください。 )
図 5-10. show radius コマンドで表示された RADIUS の基本情報の例
5-26
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
図 5-11. show radius host コマンドで表示された RADIUS サーバ情報
表 5-2.
show radius host コマンドで出力される値 ( 図 5-11)
項目
定義
Round Trip Time
最新の Accounting-Request がアカウンティングを提供する RADIUS サーバに送信
されてから、その Accounting-Request に対応する Accounting-Response を受信す
るまでの間隔。
Pending Requests
RADIUS サーバに送信されてから、応答を受信していないか、タイムアウトして
いない RADIUS の Accounting-Request パケットの数。この変数は、 AccountingRequest が送信されると増加し、 Accounting-Response の受信、タイムアウトまた
は再送信によって減少します。
Retransmissions
アカウンティングを提供する RADIUS サーバに再送信された RADIUS の
Accounting-Request パケットの数。再送信には、 NAS-Identifer および AcctDelay-Time が更新された再試行と更新されていない再試行が含まれます。
Timeouts
RADIUS サーバに対するアカウンティングタイムアウト数。タイムアウト後に、
クライアントは同じ RADIUS サーバに再試行するか、または異なる RADIUS サー
バに送信するか、送信を中止します。同じ RADIUS サーバへの再試行は、再送信
およびタイムアウトとしてカウントされます。異なる RADIUS サーバへの送信
は、 Accounting-Request およびタイムアウトとしてカウントされます。
Malformed Responses
RADIUS サーバから受信した不正な形式の Accounting-Response パケットの数。
不正な形式のパケットには、無効な長さのパケットが含まれます。無効なオーセ
ンティケータを含むパケットおよび未知のタイプのパケットは、 Malformed
Responses には含まれません。
Bad Authenticators
RADIUS サーバから受信した無効なオーセンティケータを含む RADIUS
Accounting-Response パケットの数。
Unknown Types
RADIUS サーバのアカウンティングポートから受信した未知のタイプの RADIUS
Accounting-Response パケットの数。
5-27
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
項目
定義
Packets Dropped
RADIUS サーバのアカウンティングポートから受信し、何らかの理由で破棄され
た RADIUS パケットの数。
Access Requests
最後にリブートしてからスイッチが送信した RADIUS の Access-Request パケッ
トの数。 ( 再送信されたパケットは含まれません。 )
Accounting Requests
RADIUS サーバに送信された RADIUS の Accounting-Request パケットの数。これ
には、再送信されたパケットは含まれません。
Access Challenges
RADIUS サーバから受信した ( 有効または無効な ) RADIUS Access-Chanllenge パ
ケットの数。
Access Accepts
RADIUS サーバから受信した ( 有効または無効な ) RADIUS Access-Accept パケッ
トの数。
Access Rejects
RADIUS サーバから受信した ( 有効または無効な ) RADIUS Access-Reject パケット
の数。
Accounting Responses
RADIUS サーバのアカウンティングポートから受信した RADIUS の AccountingResponse パケットの数。
RADIUS 認証統計
構文 :
show authentication
スイッチへのアクセス手段 ( コンソール、 Telnet 、ポート
アクセス (802.1x) 、および SSH に設定した 1 次および 2 次
認証方式を表示します。また、セッションで現在許可され
ているログイン試行回数も表示します。
show radius authentication
NAS Identifier、設定された RADIUS サーバに関するデータ、
および RADIUS サーバとスイッチの通信状況を表示します。
( このコマンドを実行する前に、 radius-server host コマン
ドを使用して、スイッチに RADIUS サーバの IP アドレスを
設定する必要があります。 5- 17 ページの「RADIUS アカウ
ンティングの設定」を参照してください。 )
5-28
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
図 5-12. show authentication コマンドで表示されるログイン試行および 1
次 /2 次認証情報の例
図 5-13. 特定のサーバの RADIUS 認証情報の例
5-29
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
RADIUS アカウンティング統計
構文 :
show accounting
設定されたアカウンティングの間隔、「未知のユーザ」抑制
の設定、アカウンティングのタイプ、方法、およびモード
を一覧表示します。
show radius accounting
(radius-server host コマンドを使用して ) スイッチで設定さ
れた RADIUS サーバのアカウンティング統計情報を一覧表
示します。
show accounting sessions
スイッチで現在アクティブなアカウンティングセッション
を一覧表示します。
図 5-14. スイッチでのアカウンティング設定の一覧表示
図 5-15. 特定のサーバの RADIUS アカウンティング情報の例
5-30
RADIUS 認証およびアカウンティング
RADIUS 統計の表示
図 5-16. アクティブな RADIUS アカウンティングセッションの一覧表示の
例
5-31
RADIUS 認証およびアカウンティング
RADIUS サーバへのアクセス順序の変更
RADIUS サーバへのアクセス順序の変更
スイッチは、 show radius コマンドで表示される IP アドレスの順序で、
RADIUS サーバにアクセスを試みます。また、新しいサーバの IP アドレス
を追加する場合は、一覧の空いている中で一番上の順番に追加されます。
RADIUS サーバの IP アドレスを削除すると削除した位置が空きますが、一
覧の他のサーバアドレスの位置は変化しません。たとえば、最初に 3 つの
サーバアドレスを設定すると、そのアドレスは入力した順に一覧に表示さ
れます。一方、一覧の 2 番目のサーバアドレスを削除して新しいサーバ
アドレスを追加すると、新しいアドレスは一覧の 2 番目の位置に配置され
ます。
したがって、一覧でサーバアドレスの順位を上げるには、最初にサーバ
アドレスを一覧から削除し、移動先が空いていることを確認してから、そ
のサーバアドレスを再度追加します。たとえば、スイッチで以下の 3 つの
RADIUS サーバの IP アドレスを既に設定しているとします。
スイッチがアクセスを試行する順に表示さ
れている RADIUS サーバの IP アドレス。
この場合、 IP アドレス 10.10.10.1 のサーバ
が最初です。
注記 : スイッチが問題なく最初の RADIUS
サーバにアクセスすると、たとえ、クライ
アントが最初の RADIUS サーバからアクセ
スを拒否されても、スイッチは一覧の他の
RADIUS サーバにはアクセスしません。
図 5-17. RADIUS サーバの検索順序
IP アドレス 10.10.10.3 のサーバが最初にアクセスされ、 IP アドレス
10.10.10.1 のサーバが最後にアクセスされるようにアドレスの位置を変更
するには、以下の作業を行います。
5-32
1.
一覧から 10.10.10.3 を削除します。これによって、一覧の 3 番目 ( 一
番下 ) の位置が空きます。
2.
一覧から 10.10.10.1 を削除します。これによって、一覧の最初 ( 一番
上 ) の位置が空きます。
RADIUS 認証およびアカウンティング
RADIUS サーバへのアクセス順序の変更
3.
10.10.10.3 を再入力します。スイッチは空いている中で一番上の位置
に新しく入力されたアドレスを配置するため、このアドレスは一覧の
最初になります。
4.
10.10.10.1 を再入力します。唯一空いている場所は 3 番目の位置であ
るため、このアドレスは一覧の最後になります。
RADIUS サーバの一覧から「10.10.10.3」
および「10.10.10.1」のアドレスを削除し
ます。
「10.10.10.3」のアドレスを RADIUS サーバ
の一覧の最初の位置に挿入し、
「10.10.10.1」のアドレスを一覧の最後の
位置に挿入します。
スイッチが RADIUS サーバを検索する新
しい順序が表示されています。
図 5-18. 新しい RADIUS サーバの検索順序の例
5-33
RADIUS 認証およびアカウンティング
RADIUS オペレーションに関連したメッセージ
RADIUS オペレーションに関連した
メッセージ
メッセージ
意味
Can’t reach RADIUS server < x.x.x.x >.
指定した RADIUS サーバが認証要求に応答しませ
ん。サーバに ping テストを実行し、スイッチにア
クセス可能であるかどうかを確認します。サーバ
がアクセス可能な場合、スイッチが正しい暗号
キーを使用していて、サーバがスイッチから認証
要求を受信するように正しく設定されていること
を確認します。
No server(s) responding.
スイッチに RADIUS 認証が設定されており、
RADIUS 認証を試みますが、 RADIUS サーバからの
応答を受信しません。スイッチが少なくとも 1 つ
の RADIUS サーバにアクセスできるように設定さ
れていることを確認します。 (show radius を使用
します。 ) また、メッセージ「CanÅft reach
RADIUS server< x.x.x.x >」が表示される場
合は、そのメッセージに表示されている指示に従
います。
Not legal combination of authentication
methods.
1 次および 2 次認証方式を共に [local] に設定しよ
うとしていることを示しています。 1 次認証方式
が [local] の場合、 2 次認証方式を [none] にする必
要があります。
5-34
6
セキュアシェル (SSH) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-4
SSH を使用する前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5
公開キーフォーマット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-5
スイッチおよびクライアント認証の SSH 設定および使用手順 . . . . . 6-6
基本的な動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-8
SSH オペレーションのスイッチ設定 . . . . . . . . . . . . . . . . . . . . . . . . 6-9
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レベルのローカル
パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-9
2. スイッチの公開キー / 秘密キーのペアの生成 . . . . . . . . . . . . 6-10
3. スイッチの公開キーをクライアントに提供する . . . . . . . . . . . 6-13
4. スイッチの SSH の有効化および SSH クライアントとの通信 . . 6-15
5. SSH 認証のスイッチ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-18
6. スイッチへのアクセスに SSH クライアントを使用する . . . . . 6-22
SSH クライアント公開キー認証の詳細 . . . . . . . . . . . . . . . . . . . . . . 6-22
SSH オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . . . . 6-28
6-1
セキュアシェル (SSH) の設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
スイッチの公開キー / 秘密キーを生成する
No
n/a
6- 10 ページ
n/a
スイッチの公開キーを使用する
n/a
n/a
6- 13 ページ
n/a
SSH を有効にする
無効
n/a
6- 15 ページ
n/a
クライアント公開キーの認証を有効にする
無効
n/a
6- 19、 6- 22
ページ
n/a
ユーザ認証を有効にする無効
無効
n/a
6- 18 ページ
n/a
このガイドの対象となる ProCurve Switch では、 SSH バージョン 2 (SSHv2)
をサポートする管理ステーションクライアントから、暗号化されたパスを
介してスイッチの管理機能にリモートアクセスできます。
SSH には Telnet と同様の機能がありますが、 SSH は Telnet とは異なり、暗
号化、認証機能があります。認証方式には以下のものがあります。
■
クライアント公開キー認証
■
スイッチ SSH およびユーザのパスワード認証
クライアント公開キー認証 (login/ オペレータレベル ) とユーザパスワー
ド認証 (enable/ 管理者レベル )。このオプションでは、スイッチに保存さ
れている 1 つまたは複数の ( クライアントの ) 公開キーを使用します。ス
イッチへのアクセスは、保存されている公開キーと対になる秘密キーを持
つクライアントのみが許可されます。 (1 つの秘密キーを複数のクライアン
トで共有 [ 保存 ] することができます。 )
1. スイッチからクライアントへの SSH 認証
ProCurve
Switch
(SSH
サーバ )
2.クライアントからスイッチへの (login rsa) 認証
3.ユーザからスイッチへの (enable レベルパス
ワード ) 認証オプション :
- ローカル
- TACACS+
- RADIUS
- なし
図 6-1. クライアント公開キー認証モデル
6-2
SSH クラ
イアント
ワークス
テーション
セキュアシェル (SSH) の設定
概要
注記
ProCurve の SSH 機能は、 OpenSSH ソフトウェアツールキットを使用して
います。 OpenSSH については、 http://www.openssh.com ( 英語 ) または
http://www.openssh.com/ja/ ( 日本語 ) を参照してください。
スイッチ SSH およびユーザのパスワード認証。このオプションは、図 61 のクライアント公開キー認証のサブセットです。使用するのは、スイッ
チの SSH は有効であるが、クライアントのキーを認証するためのログイン
アクセス (login public-key) 機能が設定されていない場合です。図 6-1 に示
すように、スイッチは自身を SSH クライアントで認証します。次に SSH
クライアントのユーザが、スイッチのローカル、 TACACS+ または RADIUS
サーバに保存されているパスワードを使用して、自身をスイッチで認証し
ます ( オペレータ / 管理者レベル )。つまり、クライアントはスイッチでの
認証にキーを使用しません。
1. スイッチからクライアントへの SSH 認証
ProCurve
Switch
2.ユーザからスイッチへの (login レベル
パスワード /enable レベルパスワード
認証 ) オプション :
- ローカル
- TACACS+
- RADIUS
(SSH
サーバ )
SSH クラ
イアント
ワークス
テーション
図 6-2. スイッチ / ユーザ認証
このガイドが対象とする ProCurve Switch の SSH は以下のデータ暗号化方
式をサポートしています。
注記
■
3DES (168 ビット )
■
DES (56 ビット )
このガイドが対象とする ProCurve Switch では、内部におけるキーの生成
(v2 共有ホストキー ) に RSA アルゴリズムを使用します。ただし、
ProCurve Switch はクライアント認証について RSA と DSA/DSS キーの両方
をサポートします。公開キーと秘密キーは、いずれもこのアルゴリズムを
使用して生成されます。
6-3
セキュアシェル (SSH) の設定
用語
用語
6-4
■
enable レベル : スイッチの管理者権限。
■
login レベル : スイッチのオペレータ権限。
■
SSH サーバ : SSH が有効な ProCurve Switch。
■
PEM (Privacy Enhanced Mode): 移植性と効率を高めるためにエ
ンコードされた ASCII フォーマットのクライアント公開キーです。
一般に、 SSHv2 クライアント公開キーは PEM フォーマットで保存
されます。 PEM エンコードキー (ASCII) の例については、図 6-3
を参照してください。
■
キーペア: スイッチまたはSSH クライアントアプリケーションで生
成されるキーのペア。各ペアには、誰でも読み取れる公開キーと、
スイッチ内部またはクライアントによって保持される秘密キーが
あります。
■
公開キー : 秘密キーに対応するキー。機器の公開キーは他の機器で
認証する際に使用されます。
■
秘密キー : 認証プロセスに使用されるキー。スイッチで生成される
秘密キーの表示およびコピーはできません。一般に、 SSH クライ
アントアプリケーションが生成する秘密キーは対応する公開キー
と共にクライアント機器のファイルに保存され、複数の機器でコ
ピーおよび保存が可能です。
■
有効な SSH: (1) 公開キー / 秘密キーのペアをスイッチで生成し
(crypto key generate ssh [rsa])、 (2) SSH を有効 (ip ssh) にします。
(SSH を有効にせずにキーペアを生成することはできますが、最初
にキーペアを生成せずに SSH を有効にすることはできません。
(6- 10 ページの「2. スイッチの公開キー / 秘密キーのペアの生成」
および 6- 15 ページの「4. スイッチの SSH の有効化および SSH ク
ライアントとの通信」参照してください。 )
■
ローカルパスワードまたはユーザ名 : スイッチで設定される管理者
レベルまたはオペレータレベルのパスワード
セキュアシェル (SSH) の設定
SSH を使用する前提条件
SSH を使用する前提条件
SSH サーバとしてスイッチを使用する前に、スイッチの管理機能にアクセ
スするコンピュータに公開版または商用版 SSH クライアントアプリケー
ションをインストールする必要があります。クライアント公開キー認証
(6- 2 ページ ) の場合、クライアントプログラムに、公開キー / 秘密キーの
ペアを生成する機能が必要です。
公開キーフォーマット
スイッチのクライアント公開キー認証に使用するクライアントアプリケー
ションは、公開キーをエクスポートできなければなりません。スイッチ
は、 PEM エンコードフォーマット (ASCII) または非エンコードフォーマッ
ト (ASCII) のキーをサポートします。
公開キーの識別
情報のコメント
PEM エンコードフォーマッ
ト (ASCII) の SSHv2 公開キー
の実際の開始位置
図 6-3. SSHv2 クライアントに共通の PEM エンコードフォーマット (ASCII) の公開キーの例
6-5
セキュアシェル (SSH) の設定
スイッチおよびクライアント認証の SSH 設定および使用手順
スイッチおよびクライアント認証の
SSH 設定および使用手順
スイッチと SSH クライアントの双方向認証には、 login ( オペレータ ) レベ
ルを使用する必要があります。
表 6-1.
スイッチ
アクセス
レベル
オペレー
タ
(Login)
レベル
管理者
(enable)
レベル
SSH オプション
1 次 SSH 認証
SSH クライアントスイッチはクラ
はスイッチの公開イアントの公開
キーで認証する
キーで認証する
1 次スイッチパ
スワード認証
2 次スイッチパス
ワード認証
ssh login rsa
Yes
Yes1
No1
local または none
ssh login Local
Yes
No
Yes
none
ssh login TACACS
Yes
No
Yes
local または none
ssh login RADIUS
Yes
No
Yes
local または none
ssh enable local
Yes
No
Yes
none
ssh enable tacacs
Yes
No
Yes
local または none
ssh enable radius
Yes
No
Yes
local または none
1
ssh login public-key の場合は、スイッチはスイッチパスワードの代わりにクライアント公開キーを 1 次認
証に使用します。
SSH 設定の基本的な手順は以下の通りです。
A. クライアント側の準備
1.
スイッチへのアクセスに使用する管理ステーションに SSH クライ
アントアプリケーションをインストールします。 (SSH クライアン
トアプリケーションに付属のマニュアルを参照してください。 )
2.
オプション－スイッチがクライアントの公開キーを認証する場合、
以下のようになります。
a. クライアントコンピュータで公開キー / 秘密キーのペアを生成
する ( 使用するクライアントアプリケーションで可能な場合 )
か、または他の SSH アプリケーションを使用して生成したクラ
イアントのキーペアをインポートします。
b. スイッチにアクセス可能な TFTP サーバ上で ASCII ファイルに
クライアント公開キーをコピーし、クライアント公開キーファ
イルをスイッチにダウンロードします。 ( クライアント公開
キーファイルには、最高 10 個のクライアントキーを保存でき
ます。 ) このトピックについては 6- 24 ページの「クライアント
公開キーテキストファイルの作成」で説明しています。
6-6
セキュアシェル (SSH) の設定
スイッチおよびクライアント認証の SSH 設定および使用手順
B. スイッチ側の準備
1.
スイッチに login ( オペレータ ) および enable ( 管理者 ) パスワード
を割り当てます (6- 9 ページ )。
2.
スイッチで公開キーおよび秘密キーのペアを生成します (6- 10
ページ )。
これは一度生成すれば十分です。スイッチを工場出荷時の設定に
リセットしても、キーはスイッチに保存されています。 ( 必要に応
じて、このキーペアは削除したり置換できます。 )
3.
スイッチの公開キーをスイッチにアクセスする SSH クライアント
にコピーします (6- 13 ページ )。
4.
スイッチの SSH を有効にします (6- 15 ページ )。
5.
スイッチで使用する 1 次および 2 次認証方式を設定します。すべ
ての場合において、クライアントとの SSH セッションを開始する
際、スイッチは自身のホスト公開キーを使用して自分自身を認証
します。
･ SSH login ( オペレータ ) レベルオプション
- オプション A
1 次 : ローカル、 TACACS+、または RADIUS パスワード
2 次 : ローカルパスワード、またはなし。 1 次認証方
式が [local] の場合、 2 次方式は [none] です。
- オプション B
1 次 : クライアント公開キー認証 (login public-key －
6- 22 ページ )
2 次 : なし
スイッチでクライアント公開キー認証を行うには、オプショ
ン B でスイッチを設定する必要があることに注意してくださ
い。
･ SSH enable ( 管理者 ) レベルオプション
1 次 : ローカル、 TACACS+、 RADIUS
2 次 : ローカルパスワード、またはなし。 1 次認証方式が
[local] の場合、 2 次方式は [none] です。
6.
SSH クライアントでスイッチの IP アドレスまたは DNS 名 ( 使用す
る SSH クライアントアプリケーションで可能な場合 ) を使用して
スイッチにアクセスします。クライアントアプリケーションに付
属のマニュアルを参照してください。
6-7
セキュアシェル (SSH) の設定
基本的な動作ルールおよび注記
基本的な動作ルールおよび注記
6-8
■
SSH クライアントで生成される公開キーはスイッチにエクスポート
できなければなりません。スイッチが保存できるクライアント
キーペアは 10 組までです。
■
スイッチ自身の公開キー/秘密キーのペアおよび ( オプションの ) ク
ライアント公開キーファイルはスイッチのフラッシュメモリに保
存されます。リブートまたは erase startup-config コマンドによる
影響は受けません ( 消去されません )。
■
一度スイッチでキーペアを生成したら、やむを得ない理由がある
場合を除きキーペアの再生成は避けてください。スイッチへの
SSH アクセスが設定されているすべての管理ステーション ( クライ
アント ) にスイッチの公開キーをコピーし直す必要があります。
これによって、セキュリティが侵害される可能性があります。
■
スタックをサポートする ProCurve スイッチにおいて、スタックが
有効に設定されている場合、 SSH は SSH クライアントとスタック
マネージャ間のみにセキュリティを提供します。スタックコマン
ダとスタックメンバの間の通信はセキュリティで保護されません。
■
スイッチはアウトバウンド SSH セッションをサポートしていませ
ん。したがって、 SSH が設定されたスイッチから他の SSH が設定
されたスイッチへの Telnet 接続は安全ではありません。
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
SSH オペレーションのスイッチ設定
この項で使用する SSH 関連のコマンド
ページ
show ip ssh
6- 17
show crypto client-public-key [manager | operator] [keylist-str]
[< babble | fingerprint >]
6- 26
show crypto host-public-key [< babble | fingerprint >]
6- 14
show authentication
6- 21
crypto key < generate | zeroize > ssh [rsa]
6- 11
ip ssh
6- 16
port < 1 - 65535 | default >
6- 16
timeout <5 - 120>
6- 16
aaa authentication ssh
login < local | tacacs | radius | public-key >
< local | none >
enable < tacacs | radius | local >
< local | none >
6- 18, 6- 20
6- 18
6- 18
6- 18
copy tftp pub-key-file <tftp server IP> <public key file> [<append
| manager | operator>]
6- 26
clear crypto client-public-key [keylist-str]
6- 27
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レ
ベルのローカルパスワードの設定
少なくとも、管理者パスワードはスイッチに常に設定されていることをお
勧めします。状況によっては、 Telnet、 Web、またはシリアルポートアク
セスを使用してスイッチの設定を変更されてしまう可能性があります。
ローカルパスワードの設定。オペレータおよび管理者のパスワードは 1
つのコマンドで設定できます。
構文 :
password < manager | operator | all >
6-9
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
図 6-4. ローカルパスワードの設定例
2. スイッチの公開キー / 秘密キーのペアの生成
スイッチで公開キー / 秘密キーのホストキーペアを生成する必要があり
ます。スイッチと SSH クライアントとのセッションでは、このキーペア
と暗号化方式とセッションのネゴシエート用に動的に生成されるセッショ
ンキーペアが使用されます。
ホストキーペアはスイッチのフラッシュメモリに保存され、このうち、
公開キーのみが読み取り可能です。この公開キーは、スイッチにアクセス
する SSH クライアントの「既知ホスト」ファイル ( たとえば、 UNIX シス
テムの $HOME/.ssh/known_hosts) に追加する必要があります。 SSH ク
ライアントアプリケーションの中には、スイッチの公開キーを「既知ホス
ト」ファイルに自動的に追加するものもあります。また、他の SSH アプリ
ケーションでは、既知ホストのファイルを手動で生成して、そのファイル
にスイッチの公開キーをコピーする必要があるものもあります。 (SSH クラ
イアントアプリケーションに付属のマニュアルを参照してください。 )
( 前述のセッションキーペアをスイッチで表示することはできません。こ
れは、特定のスイッチ / クライアントセッション向けに一時的にスイッチ
内部で生成されるキーペアであり、セッション終了後に削除されます。 )
6-10
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
注記
スイッチでホストキーペアを生成する場合、スイッチはキーペアを
(running-config ファイルではなく ) フラッシュメモリに保存します。また、
スイッチはリブートを行ったり、パワーをオフにしてもキーペアを記憶し
ています。このキーペアは「固定」と考えて、やむを得ない理由がある場
合を除き、キーペアの再生成は避けてください。スイッチへの SSH アク
セスが設定されているすべての管理ステーション ( クライアント ) にス
イッチの公開キーをコピーし直す必要があります。
スイッチの公開キー / 秘密キーのペアを削除 ( ゼロ化 ) すると、スイッチは
SSH オペレーションを停止し、自動的にスイッチの IP SSH が無効になりま
す。 (SSH が有効であるかどうかを確認するには、 show ip ssh コマンドを実
行します。 ) しかし、アクティブな SSH セッションは、 CLI で kill コマンド
を入力して明示的に終了しない限り、オペレーションを継続します。
スイッチの公開 / 秘密 RSA ホストキーペアの生成または消去。ホスト
キーペアは running-config ファイルではなく、フラッシュメモリに保存さ
れるため、キーペアを保存するために write memory コマンドを使用する
必要はありません。また、キーペアを消去すると、 SSH は自動的に無効に
なります。
構文 :
crypto key generate ssh [rsa]
スイッチの公開キー / 秘密キーのペアを生成します。
キーペアが既に存在する場合、新しいキーペアと置
換されます。 ( 上の注記を参照してください。 )
crypto key zeroize ssh [rsa]
スイッチの公開キー / 秘密キーのペアを消去し、 SSH
オペレーションを無効にします。
show crypto host-public-key
スイッチの公開キーを、バージョン１およびバージョ
ン 2 のフォーマットで表示します。
[ babble ]
スイッチの公開キーのハッシュをフォネティッ
クフォーマットで表示します。 (6- 14 ページの
「公開キーの表示」を参照してください。 )
[ fingerprint ]
スイッチの公開キーの「指紋」を 16 進フォー
マットで表示します。 (6- 14 ページの「公開キー
の表示」を参照してください。 )
6-11
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
たとえば、新しいキーを生成して表示するには以下のようにします。
スイッチのホ
スト公開キー
同一のホスト公開キーのバージョ
ン１およびバージョン 2 での表示
図 6-5. スイッチの公開 / 秘密のホストキーペアの生成例
show crypto host-public-key コマンドを実行すると、 2 種類のフォーマット
でデータが表示されます。これは、キーを学習した後にクライアントがそ
のどちらかのフォーマットでデータを保存できるためです。スイッチの
キーをクライアントの既知ホストファイルに保存されたキーと比較する場
合は、フォーマットとコメントが一致する必要はないことに注意してくだ
さい。バージョン 1 のキーでは、 3 桁の数値ビットサイズ、指数 <e>、お
よび係数 <n> が一致する必要があります。 PEM キーでは、 PEM エンコード
文字列自身のみ一致する必要があります。
注記
6-12
スイッチのキーを「ゼロ化」すると、 SSH は自動的に無効になります (no
ip ssh コマンドと同義 )。したがってキーをゼロ化した後、スイッチの SSH
オペレーションを再開するには、まず新しいキーを生成し、次に ip ssh コ
マンドを実行して SSH を再度有効にする必要があります。
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
3. スイッチの公開キーをクライアントに提供する
SSH クライアントがスイッチと初めて通信する際、クライアントは、スイッ
チの公開キーが「既知ホスト」ファイルにコピーされている場合を除き、
チャレンジを開始します。スイッチのキーをコピーしておくと、スイッチ
を装った未認証機器によって、ユーザのアクセスパスワードが盗まれる危
険性を減らすことができます。スイッチの公開キーをクライアントに配布
する最も安全な方法は、スイッチと管理機器 ( ラップトップ、 PC、または
UNIX ワークステーション ) をシリアルポートで直接接続することです。
スイッチが生成する公開キーは、 2 つの空白スペースで区切られた 3 つの
部分から構成されています。
ビットサイズ
指数 <e>
係数 <n>
896 35 427199470766077426366625060579924214851527933248752021855126493
2934075407047828604329304580321402733049991670046707698543529734853020
0176777055355544556880992231580238056056245444224389955500310200336191
3610469786020092436232649374294060627777506601747146563337525446401
図 6-6. スイッチで生成された公開キーの例
( スイッチで生成される公開キーは常に 896 ビットです。 )
管理ステーションからスイッチのシリアルポートに直接接続して、以下の
作業を行います。
1. ハイパーターミナルなどのターミナルアプリケーションを使用し、
show crypto host-public-key コマンドでスイッチの公開キーを表示しま
す ( 図 6-5)。
2. メモ帳などのテキストエディタで SSH クライアントの「既知ホスト」
ファイルを通常の ASCII テキストとして開き、スイッチの公開キーを
ファイルにコピーします。
3. テキストの文字列が変更されていないことを確認します。 ( 公開キーは
連続した ASCII 文字列でなければなりません。改行は認められません。
行が変わると、キーが破損します。 ) たとえば、 Windows のメモ帳を使
用している場合、 [ 右端で折り返す ] ([ 書式 ] メニュー ) が無効になっ
ていて、キーテキストが 1 行で表示されていることを確認します。
図 6-7. 正しいフォーマットの公開キーの例
6-13
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
4. SSH クライアントアプリケーションで要求されるデータを追加しま
す。たとえば、 SSH クライアントの「既知ホスト」ファイルにキーを
保存する前に、スイッチの IP アドレスを挿入しなければならない場合
があります。
挿入され
た IP ア
ドレス
ビット
サイズ
指数 <e>
係数 <n>
図 6-8. スイッチの IP アドレスを含むスイッチの公開キーの例
このトピックについては、 SSH クライアントアプリケーションに付属のマ
ニュアルを参照してください。
公開キーの表示。スイッチは、 3 種類のフォーマットで公開キーを表示で
きます。これにより、スイッチがクライアントで自分自身を認証する際に
使用する公開キーと、クライアントの「既知ホスト」ファイルに保存され
ているスイッチの公開キーとが一致しているかを確認するのに役立ちま
す。
■
非エンコード ASCII 数列 : クライアントは「既知ホスト」ファイル
内のキーを ASCII フォーマットで表示できなければなりません。
この方法では、キーが長いため、面倒であり間違いを起こしやす
くなります。 (6- 13 ページの図 6-7 を参照してください。 )
■
フォネティックハッシュ : キーを比較的短い連続した英字グルー
プとして表示します。クライアントに、キーをこのフォーマット
に変換する機能が必要です。
■
16 進ハッシュ : キーを比較的短い連続した 16 進数で表示します。
クライアントに、キーをこのフォーマットに変換する機能が必要
です。
たとえば、図 6-7 で生成した、スイッチの公開キーをフォネティックおよ
び 16 進数バージョンで生成すると以下のようになります。
6-14
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
スイッチの公開キーのフォネ
ティック「ハッシュ」
同じスイッチの
公開キーの16進
数「Fingerprint」
図 6-9. スイッチの公開キーのフォネティックおよび 16 進数ハッシュの例
図 6-9 に示す 2 つのコマンドは、スイッチの公開キーとクライアントの「既
知ホスト」ファイルにあるキーを簡単に目視比較できるように、スイッチ
の ( ホスト ) 公開キーの表示フォーマットを変換するものです。スイッチが
持つのは RSA ホストキーのみです。[babble] および [fingerprint] オプション
を用いると、キーに対して 2 つのハッシュが生成されます。 1 つは v1 クラ
イアントと接続する場合に用いられるチャレンジハッシュに対応し、もう
1 つは v2 クライアントと接続する場合に用いられるチャレンジハッシュに
対応するものです。これらのハッシュは異なるキーには対応しません。こ
れは、同じ RSA キーのハッシュを計算するにも、 v1 クライアントと v2 ク
ライアントとではその方法が異なるためです。スイッチは、公開キーのファ
イル保存およびデフォルト表示に常に ASCII フォーマット ([babble] または
[fingerprint] フォーマットに変換されることなく ) を使用します。
4. スイッチの SSH の有効化および SSH クライアント
との通信
ip ssh コマンドは、スイッチの SSH の有効 / 無効を設定し、スイッチがク
ライアントとのトランザクションに使用するパラメータを変更できます。
SSH を有効にすると、スイッチは SSH クライアントで自身を認証できるよ
うになります。
注記
スイッチの SSH を有効にする前に、スイッチの公開キー / 秘密キーのペア
を生成する必要があります。生成していない場合は、 6- 10 ページの「2. ス
イッチの公開キー / 秘密キーのペアの生成」を参照してください。
SSH が設定されている場合、スイッチは SSH クライアントで自分自身を認
証する際に自身のホスト公開キーを使用します。SSH クライアントがスイッ
チで自分自身を認証するようにするには、login ( オペレータ ) レベルのクラ
イアント公開キー認証を行うようにスイッチの SSH を設定しなければなり
ません。また、セキュリティを強化するには、 enable ( 管理者 ) レベルの認
証にローカル、 TACACS+、または RADIUS 認証を設定する必要があります。
(6- 18 ページの「5. SSH 認証のスイッチ設定」を参照してください。 )
6-15
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
SSH クライアントとの通信。スイッチと SSH クライアントの最初の通信
で、クライアントにスイッチの公開キーがコピーされていない場合、セ
キュリティ上の理由から、クライアントはスイッチへの最初の接続の際に
この接続を進めるかどうかを確認する許可 / 拒否オプションを表示しま
す。未認可機器がスイッチの IP アドレスを不正に使用し、データやネッ
トワークへのアクセスを試みていないと確信できる場合は接続を許可して
ください。 ( より安全な方法として、クライアントをスイッチのシリアル
ポートに直接接続し、スイッチの公開キーをクライアントにコピーするこ
ともできます。以下の注記を参照してください。 )
注記
SSH クライアントがスイッチに初めて接続する際は、「Man-in-the-Middle」
攻撃、すなわち、スイッチを装った未認可機器によって、スイッチのアク
セス制御に使用するユーザ名とパスワードが盗まれる可能性があります。
管理ステーションをスイッチのシリアルポートに直接接続し、 show コマ
ンドを使用してスイッチの公開キーを表示し、表示されたキーをファイル
にコピーすることで、この可能性を取り除くことができます。これには、ク
ライアントが公開キーを保存している場所、およびクライアントアプリ
ケーションで要求されるキーの編集方法とファイルフォーマットに関する
知識が必要です。クライアントとスイッチの最初の通信で、特にこのよう
なセキュリティ上の問題を意識する必要がなければ、この操作は不要です。
スイッチで SSH を有効にする。
1. 公開キー / 秘密キーのペアを生成していない場合は、公開キー / 秘密
キーのペアを生成します。 (6- 10 ページの「2. スイッチの公開キー /
秘密キーのペアの生成」を参照してください。 )
2. ip ssh コマンドを実行します。
スイッチで SSH を無効にするには、以下のいずれかの方法を実行します。
■
no ip ssh コマンドを実行します。
■
スイッチの既存のキーペアをゼロ化します。 (6- 11 ページ )
構文 :
[no] ip ssh
スイッチで SSH を有効または無効にします。
[port < 1-65535 | default >]
SSH 接続のための TCP ポート番号 ( デフォルト : 22)。
重要 : 6- 17 ページの「ポート番号についての注記」を
参照してください。
6-16
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
[timeout < 5 - 120 >]
SSH ログインタイムアウト値 ( デフォルト : 120 秒 )
ip ssh key-size コマンドは、セッションで使用される ( スイッチが自動的に
生成、使用、削除する ) 内部サーバキーのみに影響します。このキーは
ユーザインタフェースからはアクセスできません。スイッチの公開 ( ホス
ト ) キーは、常に 896 ビットの独立した、アクセス可能なキーです。
ポート番号につ
いての注記
原則としてデフォルト TCP ポート番号 (22) の使用をお勧めします。ただ
し、 ip ssh port コマンドを使用して、 SSH 接続に他の目的で予約されてい
ない任意の TCP ポートを指定できます。予約されている TCP ポートの例
としては、 23 (Telnet) や 80 (http) などがあります。 ProCurve Switch で予約
されている TCP ポートとしては、他に 49、 80、 1506、 1513 などがありま
す。
スイッチで SSH を有効にします。
現在の SSH 設定およびステータス
を一覧表示します。
スイッチは、クライアントとのトランザクション
にこれらの 5 つの設定を内部で使用します。6- 18
ページの CAUTION を参照してください。
SSH 実行時、スイッチは 1 つのコンソールセッショ
ンと最高 3 つまでの他のセッション (SSH/Telnet) を
サポートします。Web ブラウザセッションも可能で
すが、 show ip ssh コマンドで表示される一覧表示
には含まれません。
図 6-10. IP SSH を有効にし、SSH 設定およびステータスを一覧表示する例
6-17
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
CAUTION
他のユーザが秘密キーファイルにアクセスできないように保護してくださ
い。秘密キーファイルにアクセスできるユーザは、ユーザを装ってスイッ
チの SSH セキュリティへ侵入できます。
SSH は、 Web インタフェース、 Telnet、 SNMP、またはシリアルポート経
由の未認可アクセスを防ぐことができません。 Web および Telnet アクセス
はスイッチのローカルパスワードで制限できますが、パスワードによるセ
キュリティに自信が持てない場合は、 Web ベースアクセス /Telnet アクセ
スを無効にすることができます (no web-management および no telnet)。
SNMP セキュリティを強化するには、 SNMP バージョン 3 のみを使用する
必要があります。 Web インタフェースのセキュリティを強化する方法につ
いては、 7 章「セキュアソケットレイヤ (SSL) の設定」を参照してくださ
い。他のセキュリティ対策としては、スイッチの『マネジメント / コン
フィギュレーションガイド』に説明されているオーソライズド IP マネー
ジャ機能を使用する方法があります。シリアルポート ( およびローカルパ
スワードを削除する [Clear] ボタン ) へ許可なしにアクセスできないように
するために、スイッチへの物理的アクセスを許可されたユーザのみに制限
してください。
5. SSH 認証のスイッチ設定
この項では、 SSH クライアントでスイッチの公開キーを認証する方法を説
明します。ただし、 6- 19 ページのオプション B ではスイッチでクライア
ントの公開キーを認証する方法も説明します。この項のトピックの詳細
は、 6- 22 ページの「SSH クライアント公開キー認証の詳細」を参照してく
ださい。
注記
スイッチに管理者 (enable) レベルパスワードを常に設定しておくことをお
勧めします。このレベルの保護を行わない場合、 Telnet、 Web、またはシ
リアルポートでスイッチにアクセスできる者すべてが、スイッチの設定を
変更できます。また、オペレータパスワードのみの設定では、 Telnet 、
Web 、 SSH、またはシリアルポート経由でアクセスし、オペレータパス
ワードを入力するだけで、すべての管理者レベルにアクセスできてしまい
ます。 6- 9 ページの「1. login ( オペレータ ) レベルおよび enable ( 管理者 )
レベルのローカルパスワードの設定」を参照してください。 )
オプション A: SSH アクセスにパスワードのみの SSH 認証を設定する。
このオプションを設定すると、スイッチは自身の公開キーを使用して、ク
ライアントで自分自身を認証しますが、クライアント認証にはパスワード
のみ使用できます。
6-18
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
構文 :
aaa authentication ssh login < local | tacacs | radius >[< local | none >]
login ( オペレータ ) レベルアクセスの 1 次、2 次パスワード
方式を設定します。 login レベルアクセスの 2 次パスワード
方式オプションを設定しない場合は、デフォルトの [none]
になります。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定することはできません。
aaa authentication ssh enable < local | tacacs | radius>[< local | none >]
enable ( 管理者 ) レベルアクセスの 1 次、 2 次パスワード方
式を設定します。 login レベルアクセスの 2 次パスワード方
式オプションを設定しない場合は、デフォルトの [none] に
なります。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定することはできません。
オプション B: スイッチにクライアント公開キー SSH 認証を設定する。こ
のオプションを設定すると、スイッチは自身の公開キーを使用して、自分
自身をクライアントで認証しますが、クライアントもスイッチでの認証に
自身の公開キーを提供する必要があります。このオプションを使用する場
合は、 TFTP サーバからスイッチへクライアント公開キーをコピーする必
要があります。そのため、このオプションを使用する前に以下の作業を実
行する必要があります。
1. SSH クライアントでキーペアを生成します。
2. クライアント公開キーを公開キーファイル ( 最大 10 個のクライアント
公開キーが保存可能 ) にコピーします。
3. スイッチにアクセス可能な TFTP サーバに公開キーファイルをコピー
して、スイッチに公開キーファイルをダウンロードします。
( このトピックについては、 6- 22 ページの「SSH クライアント公開キー認
証の詳細」を参照してください。 )
上記の手順 1 ～ 3 が完了し、スイッチの SSH が正常に設定された状態で
SSH クライアントがスイッチと通信すると、自動的にスイッチおよびクラ
イアントの公開キーを使用した login レベル認証が実行されます。クライ
アントが login レベルにアクセスした後、管理者レベルへアクセスするに
は、 aaa authentication ssh enable コマンドで設定されたパスワードを入力
する必要があります。
6-19
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
構文 :
copy tftp pub-key-file < ip-address > < filename >
公開キーファイルをスイッチにコピーします。
aaa authentication ssh login public-key
オプションの 2 次パスワード方式によって login レベルでク
ライアント公開キーを認証するようにスイッチを設定しま
す ( デフォルト : none)。
注記 : 2 次認証方式に [local] を設定することはできません。
CAUTION
SSH アクセスを正しい公開キーを所有しているクライアントのみに許可す
るには、 [login public-key] の 2 次認証 ( パスワード ) 方式を [none] に設定
する必要があります。正しい公開キーを所有していないクライアントで
も、正しいログインレベルのローカルパスワードさえあればスイッチに
アクセス可能になります。
構文 :
aaa authentication ssh enable < local | tacacs | radius > < local | none >
enable ( 管理者 ) レベルアクセスの 1 次、 2 次パスワード方
式を設定します。 login レベルアクセスの 2 次パスワード方
式オプションを設定しない場合は、デフォルトの [none] に
なります。
注記 : 1 次認証方式が [local] の場合、2 次方式に [local] を設
定することはできません。
たとえば、スイッチへのダウンロードの準備が整っている、 ClientKeys.pub という名前のクライアント公開キー (10.38.252.195 の TFTP サー
バ上 ) を保有しているとします。 Client-Keys.pub 内の公開キーと一致する
秘密キーを持つクライアントのみにスイッチへの SSH アクセスを許可する
ようにしたいと考えています。 SSH アクセスが許可されたクライアントの
管理者レベル (enable) へのアクセス制御では、 1 次パスワード認証に
TACACS+、 2 次パスワード認証に [local] を設定し、管理者ユーザ名に
「leader」、パスワードに「m0ns00n」を使用します。このオペレーションを
設定するには、以下のような方法でスイッチを設定します。
6-20
セキュアシェル (SSH) の設定
SSH オペレーションのスイッチ設定
管理者のユーザ名とパ
スワードを設定します。
「Client-Keys.pub」という名
前の公開キーファイルをス
イッチにコピーします。
スイッチがダウ
ンロードする公
開キーファイル
内のキーと一致
する公開キーを
持つクライアン
トのみに SSH ア
クセスを許可す
るようにスイッ
チを設定します。
管理者 (enable) レベルアクセスの 1 次
および 2 次パスワード方式を設定しま
す。 (SSH アクセスが許可されたクライ
アントに対して使用されます。 )
図 6-11. クライアント公開キーの一致と管理者パスワードを必要とする SSH アクセスの設定
図 6-12 は上述のコマンドの設定結果をチェックする方法を示しています。
現在の SSH 認証の設
定を一覧表示します。
クライアントキーインデックス番号
図 6-11 の copy tftp
コマンドでダウン
ロードした公開キー
ファイルの内容を示
しています。この例
では、ファイル内に
は 2 つのクライアン
ト公開キーがありま
す。
図 6-12. SSH 設定および図 6-11 のクライアント公開キーの一覧表示
6-21
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
6. スイッチへのアクセスに SSH クライアントを使用
する
スイッチで SSH 設定のテストを行い、 SSH 設定がスイッチに必要な SSH
オペレーションのレベルに達していることを確認します。問題がある場合
は、使用するスイッチの『マネジメント / コンフィギュレーションガイ
ド』にあるトラブルシューティングの章の「RADIUS 関連の問題」を参照
してください。
SSH クライアント公開キー認証の詳細
6- 18 ページの「5. SSH 認証のスイッチ設定」の項に、スイッチで SSH 認
証を設定する手順が記載されています。 SSH を初めて使用する場合または
クライアント公開キー認証の詳細について知りたい場合は、この項を参照
してください。
SSH オペレーションを設定すると、スイッチは自動的に自身のホスト公開
キーを使用して自分自身を SSH クライアントで認証します。オプションで
スイッチでのクライアント公開キー認証も行えるように、スイッチでは、ク
ライアントの認証用として最高 10 個の RSA または DSA 公開キーを保存す
るように設定できます。これには、 TFTP サーバからコピーしたクライアン
ト公開キーファイル内の各クライアントの公開キーが ASCII フォーマット
([babble] 変換または [fingerprint] 変換なしに ) で保存されている必要があり
ます。この場合、保存されている公開キーの 1 つに対応する秘密キーを持
つクライアントのみが SSH を使用してスイッチにアクセスできます。つま
り、この機能を使用すると、スイッチに保存されているクライアント公開
キーファイル内の公開キーと一致する公開キーを持つクライアントのみ
がネットワークを介して SSH アクセスを行うことができます。 SSH login (
オペレータ ) レベルアクセスの 2 次認証方式としてローカルパスワード認
証を許可しない場合、スイッチは他の SSH クライアントを拒否します。
クライアント公開キー認証をサポートする SSH クライアントには、一般に、
キーペアを生成するためのユーティリティが付属されています。通常、秘
密キーはローカルホストのパスワードで保護されたファイルに保存され、
公開キーはパスワードで保護されていない他のファイルに保存されます。
( クライアント公開キー認証を使用しなくても、ローカルユーザ名 / パス
ワード、 TACACAS+、または RADIUS 機能で、 SSH クライアントからス
イッチへアクセスを試みるユーザを認証できることに注意してください。
6- 18 ページの「5. SSH 認証のスイッチ設定」を参照してください。 )
クライアント公開キー認証が有効な場合、クライアントが SSH を使用して
スイッチにアクセスする際に、以下のイベントが発生します。
6-22
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
1. クライアントは認証の要求と共にクライアント公開キーをスイッチに
送信します。
2. スイッチは、クライアントの公開キーをスイッチのクライアント公開
キーファイルに保存されている公開キーと比較します。 ( 前提条件と
して、スイッチの copy tftp コマンドを使用して、このファイルをフ
ラッシュメモリにダウンロードしておく必要があります。 )
3. 公開キーが一致せず、スイッチに 2 次認証方式として login レベルパ
スワードが設定されていない場合、スイッチはクライアントからの
SSH アクセスを拒否します。
4. 公開キーが一致する場合、スイッチは以下の作業を行います。
1.
ランダムなバイトシーケンスを生成します。
2.
クライアントの公開キーを使用してこのシーケンスを暗号化します。
3.
暗号化したバイトシーケンスをクライアントに送信します。
5. クライアントはクライアントの秘密キーを使用して、そのバイトシー
ケンスを復号化します。
6. 次に、クライアントは以下の作業を行います。
1.
復号化したバイトシーケンスをセッション固有のデータと組み合
わせます。
2.
セキュアなハッシュアルゴリズムを使用して、この情報のハッ
シュを生成します。
3.
そのハッシュをスイッチに返します。
7. スイッチ自身も手順 6. のデータのハッシュを計算し、これをクライ
アントが計算したハッシュと比較します。これらが一致すると、クラ
イアントは認証されます。一致しない場合、クライアントはアクセス
を拒否されます。
クライアント公開キー認証を行うには、以下の手順を実行します。
1. スイッチに SSH アクセスする各クライアントの公開キー / 秘密キーの
ペアを生成します。これには、各クライアントごとに独立したキーに
することも、それぞれのクライアントに同一のキーをコピーすること
も可能です。
2. 各クライアントの公開キーをクライアント公開キーテキストファイル
にコピーします。
3. copy tftp コマンドを使用して、クライアント公開キーファイルをス
イッチにコピーします。スイッチはキーを 10 個保持できることに注意
してください。新しいキーは、クライアント公開キーファイルの最後
に追加されます。
4. aaa authentication ssh コマンドを使用してクライアント公開キー認証
を有効にします。
6-23
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
クライアント公開キーテキストファイルの作成。以下の手順は、 RSA
チャレンジ応答認証用にスイッチにクライアント公開キーをコピーする方
法を説明しており、 SSH クライアントアプリケーションの使用方法を理解
している必要があります。
ビットサイズ
指数 <e>
係数 <n>
コメント
図 6-13. クライアント公開キーの例
注記
図 6-13 の [[email protected]] のように公開キーファイルのコメン
トが、 SSH クライアントアプリケーションで生成された公開キーに表示さ
れる場合があります。これらのコメントはキーを区別するためのもので、
複数のクライアント / ユーザでキーを共有するのを制限することはありま
せん。
図 6-13 のキーのように、通常、公開キーはキー全体が表示されるように
改行されて表示されます。しかし、実際には公開キーに改行が含まれてい
るとエラーとなり、認証は失敗します。
6-24
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
1. SSH クライアントアプリケーションで公開キー / 秘密キーのペアを生
成します。詳細は、 SSH クライアントアプリケーションに付属のマ
ニュアルを参照してください。スイッチは、以下のクライアント公開
キープロパティをサポートしています。
プロパティ
サポート値コメント
キーフォーマット ASCII
6- 13 ページの図 6-7 を参照してください。キーは 1 つの連続した文字列
(ASCII) でなければなりません。複数のクライアント公開キーをファイル
に追加する場合、各キー ( 最後のキーを除く ) の最後に <CR><LF> をつけ
ます。キーにスペースを入れて、キーのコンポーネントを区切ることが
できます。 SSH クライアントアプリケーションでスイッチの公開キーを
使用する場合とは異なり、スイッチが使用するクライアント公開キーの
フォーマットにはクライアントの IP アドレスが含まれていないことに注
意してください。
キータイプ
RSA のみ
公開キーの最長の
長さ
3072 ビッ
ト
キーの長さが短いほどオペレーションは速くなりますが、セキュリティ
は低下します。
最大キーサイズ
1024 文字
ビットサイズ、公開インデックス、係数、コメント、 <CR>、 <LF>、およ
びすべての空白スペースを含みます。
必要に応じて、エディタアプリケーションを使用して、キーのサイズを
確認できます。たとえば、 Word で Windows テキストとしてクライアント
公開キーファイルを開き、ファイル | プロパティ | 詳細情報の順にクリッ
クすると、ファイル内の文字数 ( スペースを含む ) が表示されます。
2. クライアントの公開キーをテキストファイル (filename.txt) にコピーし
ます。 ( たとえば、 Microsoft Windows ソフトウェアに含まれているエ
ディタのメモ帳を使用できます )。複数のクライアントがクライアン
ト公開キー認証を使用する場合は、クライアントごとに公開キー ( 最
大 10 個 ) をファイルにコピーします。各キーは、 <CR><LF> で区切ら
れなければなりません。
3. クライアント公開キーファイルをスイッチがアクセス可能な TFTP
サーバにコピーします。
クライアント公開キーをスイッチにコピーするには、以下の手順が必要です。
■
クライアントが生成した公開キー (1 つ以上 )。SSH クライアントア
プリケーションに付属のマニュアルを参照してください。
■
各クライアントの公開キーのコピー。これらを単一のテキスト
ファイル内にまとめて、または個別に保存して ( キーは最大 10 個
まで )、スイッチがアクセスできる TFTP サーバに置きます。ファ
イル内の最後のクライアント公開キーを除くすべてのクライアン
ト公開キーの後に <CR><LF> を付けます。
6-25
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
公開キーについ
ての注記
公開キーファイルにエントリされる公開キーの実際の内容は、キーを生成
する SSH クライアントアプリケーションで決定されます。 ( コメントは手
動で追加または編集できますが、クライアントアプリケーションは 6- 24
ページの図 6-13 の [smith@fellow] のようなコメントをキーの最後に追加
します。 )
構文 :
copy tftp pub-key-file <ip-address> <filename> [<append | manager |
operator>]
TFTP サーバからスイッチのフラッシュメモリに公開
キーファイルをコピーします。
[append] オプションは、オペレータアクセス用の
キーを追加します。
[manager] オプションは、マネージャアクセス用の
キーを追加します。キーを追加するには [append] オプ
ションを続けて指定します。
[operator] オプションは、オペレータアクセス用の
キーを置換します ( デフォルト )。キーを追加するに
は [append] オプションを続けて指定します。
show crypto client-public-key [<manager | operator>] [keylist-str]
[<babble | fingerprint>]
スイッチのクライアント公開キーファイル内のクラ
イアント公開キーを表示します。
[manager] オプションはマネージャ公開キーを選択し
ます。
[operator] オプションはオペレータ公開キーを選択し
ます。
[keylist-str] オプションを設定すると、表示 ( コンマで
区切られたリスト ) するキーを選択できます。
[babble] オプションは、キーデータを簡単に目視比較
できるフォネティックハッシュに変換します。
[fingerprint] オプションは、キーデータをフォネ
ティックハッシュに変換します。
6-26
セキュアシェル (SSH) の設定
SSH クライアント公開キー認証の詳細
たとえば、 clientkeys.txt という名前のクライアント公開キーファイルを
IP アドレス 10.38.252.195 の TFTP サーバからコピーして、ファイルの内
容を表示するには、以下のようにします。
キーインデックス番号
図 6-14. 2 個のクライアント公開キーを含むクライアント公開キーファイルのコピーおよび内容
の表示の例
公開キーファイルの置換または削除。 startup-config ファイルを削除した
り、スイッチをリセットしたり、スイッチをリブートしても、クライアン
ト公開キーファイルはスイッチのフラッシュメモリ内に維持されます。
■
clear crypto public-key コマンドを実行することで、既存のクライ
アント公開キーファイルまたは特定のキーを削除できます。
構文 :
clear crypto public-key
スイッチからクライアント公開キーファイルを削除します。
構文 :
clear crypto public-key 3
スイッチのクライアント公開キーファイルからインデックスが 3
のエントリを削除します。
クライアント公開キー認証を有効にする。スイッチにクライアント公開
キーファイルを TFTP サーバからダウンロードした後 ( 上記の手順を参照
してください )、以下を許可するように設定できます。
■
SSH クライアントの公開キーがスイッチのクライアント公開キー
ファイル内のキーと一致すれば、クライアントはスイッチへのア
クセスが許可されます。公開キーが一致しない場合、そのクライ
アントはアクセスを拒否されます。
6-27
セキュアシェル (SSH) の設定
SSH オペレーションに関連したメッセージ
構文 :
aaa authentication ssh login public-key none
クライアントの公開キーとスイッチにコピーされた最新の
クライアント公開キーファイル内のエントリとが一致した
場合のみ、 SSH クライアントアクセスを許可します。
CAUTION
クライアント公開キー認証で、スイッチにコピーされたクライアント公開
キーファイル内のキーと一致する公開キーを持たない SSH クライアント
をブロックするには、 login レベルの 2 次認証方式を [none] に設定してく
ださい。 [none] を設定しないと、オペレータレベルパスワードを使用して
アクセスを試みるクライアントを許可してしまいます。
SSH オペレーションに関連したメッ
セージ
メッセージ
意味
00000K Peer unreachable.
TFTP サーバとの通信エラーまたはダウンロードす
るファイルが見つからないことを示しています。以
下のような要因があります。
• スイッチの IP アドレス設定の誤り。
• コマンドで入力した IP アドレスの誤り。
• コマンドで入力したファイル名で大文字 / 小文字
の誤り。
• TFTP サーバ設定の誤り。
• ファイルが指定した場所に存在しない。
• ネットワーク設定の誤り。
• ネットワークにケーブルが接続されていない。
00000K Transport error.
指定されたファイルに対して copy tftp コマン
ドを実行した際に、スイッチに問題が発生した
ことを示しています。ファイルが指定された
ディレクトリにないか、コマンド内のファイル
名のスペルが誤っているか、またはファイル
パーミッションが不適当です。
6-28
セキュアシェル (SSH) の設定
SSH オペレーションに関連したメッセージ
メッセージ
意味
Cannot bind reserved TCP port
<port-number>.
ip ssh ポートコマンドで予約 TCP ポートの設定が試
行されました。デフォルトの番号または別のポート
番号を使用してください。 6- 17 ページの「ポート番
号についての注記」を参照してください。
Client public key file corrupt or
not found.Use 'copy tftp pub-keyfile <ip-addr> <filename>' to
download new file.
Download failed:overlength key in
key file.
クライアント公開キーがスイッチに存在しませ
ん。 copy tftp コマンドを使用して、 TFTP サー
バからクライアント公開キーファイルをダウ
ンロードしてください。
Download failed:too many keys in key
file.
Download failed:one or more keys is
not a valid public key.
ダウンロードしようとしている公開キーファイルに
は、次のいずれかの問題があります。
• ファイル内のキーが長すぎる。キーの最大長は、
スペースを含めて 1024 文字です。また、 2 つ以
上のキーが、 <CR><LF> で区切られずに結合され
ている可能性もあります。
• キーファイル内に 10 個以上の公開キーが存在し
ている。スイッチまたはファイルからキーをいく
つか削除してください。スイッチは重複している
キーを削除しません。
• ファイル内の 1 つ以上のキーが壊れているか、ま
たは有効な rsa 公開キーではない。
クライアント公開キーのプロパティについては、 24
ページの「クライアント公開キーテキストファイ
ルの作成」を参照してください。
Error: Requested keyfile does not exist. クライアント公開キーがスイッチに存在しませ
ん。 copy tftp コマンドを使用して、 TFTP サー
バからクライアント公開キーファイルをダウ
ンロードしてください。
Generating new RSA host key.If the
cache is depleted, this could take
up to two minutes.
crypto key generate ssh [rsa] コマンドを実行し
た後、スイッチがキーを生成している間この
メッセージが表示されます。
Host RSA key file corrupt or not
found.Use 'crypto key generate ssh
rsa' to create new host key.
スイッチのキーが見つからないか、または壊れ
ています。 crypto key generate ssh [rsa] コマ
ンドを使用して、スイッチの新しいキーを生成
します。
6-29
セキュアシェル (SSH) の設定
SSH オペレーションに関連したメッセージ
6-30
7
セキュアソケットレイヤ (SSL) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-2
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-3
SSL を使用する前提条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-5
スイッチおよびクライアント認証の SSL 設定および使用手順 . . . . . . 7-5
基本的な動作ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-6
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レベルのローカル
パスワードの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-7
2. スイッチのサーバホスト証明情報の生成 . . . . . . . . . . . . . . . 7-9
3. スイッチの SSL の有効化および SSL ブラウザとの通信 . . . . . . 7-17
SSL セットアップの一般的なエラー . . . . . . . . . . . . . . . . . . . . . . . . 7-21
7-1
セキュアソケットレイヤ (SSL) の設定
概要
概要
デフォルト
メニュー
CLI
Web
スイッチの自己署名ホスト証明情報の生成
機能
No
n/a
7- 9 ページ
7- 13 ページ
スイッチの証明情報要求の生成
No
n/a
n/a
7- 15 ページ
無効
n/a
SSL の有効設定
7- 17 ページ 7- 19 ページ
このガイドが対象とする ProCurve Switch では、 SSL バージョン 3 (SSLv3)
と Transport Layer Security (TLSv1) をサポートする管理ステーションクラ
イアントから、暗号化されたパスを介してスイッチにリモートアクセスで
きます。
注記
ProCurve Switch は、すべてのセキュア Web トランザクションで SSL およ
び TLS を使用します。 SSL は、これらのアルゴリズムのいずれかを使用し
ます。
SSL はすべての Web 機能に対応しますが、通常の Web アクセスとは異な
り、暗号化された認証トランザクションを提供します。認証の種類とし
て、ユーザパスワード認証によるサーバ証明情報認証などがあります。
注記
ProCurve Switch の SSL 機能は、 OpenSSL ソフトウェアツールキットを使
用しています。 OpenSSL については、 http://www.openssl.org ( 英語 ) を参
照してください。
ユーザパスワード認証によるサーバ証明情報認証。このオプションは、
ユーザおよびホストの完全な証明情報認証のサブセットです。スイッチで
SSL が有効になっている場合のみ実行されます。図 7-1 に示すように、ス
イッチは SSL 対応 Web ブラウザで自分自身の認証を行います。次に SSL
ブラウザのユーザが、スイッチのローカル、 TACACS+ または RADIUS
サーバに保存されているパスワードを使用して、自身をスイッチで認証し
ます ( オペレータ / 管理者レベル )。つまり、クライアントはスイッチでの
認証に証明情報を使用しません。
7-2
セキュアソケットレイヤ (SSL) の設定
用語
1. スイッチからクライアントへの SSL 証明情報
ProCurve
Switch
2.ユーザからスイッチへの (login レベル
パスワード /enable レベルパスワード
認証 ) オプション :
- ローカル
- TACACS+
- RADIUS
(SSL
サーバ )
SSL クラ
イアント
ブラウザ
図 7-1. スイッチ / ユーザ認証
ProCurve Switch の SSL は以下のデータ暗号化方式をサポートしています。
注記
■
3DES (168 ビット、 112 有効ビット )
■
DES (56 ビット )
■
RC4 (40 ビット、 128 ビット )
ProCurve Switch は、 RSA 公開キーアルゴリズムおよび Diffie-Hellman を使
用します。キーはすべて、これらのアルゴリズムを使用して生成されます。
用語
■
CA 署名証明情報 : 第三者機関の認証局 (CA) によって証明されてい
る証明情報。 CA 署名証明情報の信憑性は、信頼されたルート証明
情報につながる監査証跡によって証明することができます。
■
SSLが有効: (1) 証明情報のキーペアがスイッチで生成されています
(Web インタフェースまたは CLI コマンド : crypto key generate
cert [key size]、 (2) 証明情報がスイッチで生成されています (Web
インタフェースまたは CLI コマンド : crypto host-cert generate
self-signed [arg-list])、 (3) SSL が有効になっています (Web インタ
フェースまたは CLI コマンド : web-management ssl)。 (SSL を有
効にせずに証明情報を生成することはできますが、最初に証明情
報を生成せずに SSL を有効にすることはできません。 )
■
SSL サーバ : SSL が有効な ProCurve Switch
■
オペレータレベル : スイッチのオペレータ権限。
■
管理者レベル : スイッチの管理者権限。
7-3
セキュアソケットレイヤ (SSL) の設定
用語
7-4
■
キーペア : スイッチが生成する RSA 公開キーおよび秘密キーのペ
ア。このうち公開キーはサーバホスト証明情報の一部を構成し、
秘密キーはスイッチのフラッシュメモリに保存されます ( ユーザ
はアクセスできません )。
■
自己署名証明情報: 第三者機関の認証局 (CA) によって証明されてい
ない証明情報。自己署名証明情報は、 CA 署名証明情報に比べてセ
キュリティレベルが劣ります。
■
デジタル証明情報 : 証明情報は電子的な「パスポート」であり、発
行された証明情報の持ち主の信頼性を立証するために使用されま
す。この証明情報には、証明情報の持ち主の名前、シリアル番号、
有効日付、証明情報の持ち主の公開キー、証明情報を発行した認
証局のデジタル署名の情報が含まれます。 ProCurve Switch の証明
情報は、証明情報のフォーマットを定義する X.509v3 標準に準拠
しています。
■
ルート証明情報:認証局が証明情報 (CA署名証明情報) に署名するた
めに使用し、その後に署名付き証明情報の信憑性を証明するため
に用いられる、信頼された証明情報。信頼された証明情報は、最
も普及している Web クライアントの不可欠な要素として配布され
ます。 ( インストール済みのルート証明情報については、ブラウザ
のマニュアルを参照してください。 )
■
ローカルパスワードまたはユーザ名 : スイッチで設定される管理者
レベルまたはオペレータレベルのパスワード
セキュアソケットレイヤ (SSL) の設定
SSL を使用する前提条件
SSL を使用する前提条件
SSL サーバとしてスイッチを使用する前に、スイッチの管理機能にアクセ
スするコンピュータに、 SSL 対応の公開版または商用版 Web ブラウザア
プリケーションをインストールする必要があります。
スイッチおよびクライアント認証の
SSL 設定および使用手順
SSL 設定の基本的な手順は以下の通りです。
A. クライアント側の準備
1.
注記
スイッチへのアクセスに使用する管理ステーションに、 SSL 対応
ブラウザアプリケーションをインストールします。 ( 使用するブ
ラウザに付属するマニュアルを参照してください。 )
最新バージョンの Microsoft Internet Explorer および Netscape Web ブラウザ
は、 SSL および TLS 機能をサポートします。詳細については、ブラウザの
マニュアルを参照してください。
B. スイッチ側の準備
1.
スイッチに login ( オペレータ ) および enable ( 管理者 ) パスワード
を割り当てます (7- 7 ページ )。
2.
スイッチでホスト証明情報を生成します (7- 9 ページ )。
i. 証明情報のキーペアを生成します。
ii. ホスト証明情報を生成します。
これは一度生成すれば十分です。スイッチ自身の証明情報公開
キー / 秘密キーのペアおよび証明情報は、スイッチのフラッシュ
メモリに保存されます。リブートまたは erase startup-config コマン
ドによる影響は受けません ( 消去されません )。 ( 必要に応じて、
この証明情報は削除または置換できます。 ) 証明情報のキーペア
および SSH キーペアはそれぞれ独立しています。そのため、 2 種
類のキーペアをスイッチのフラッシュメモリに保存できます。
3.
スイッチで SSL を有効にします (7- 17 ページ )。
4.
SSL 対応ブラウザでスイッチの IP アドレスまたは DNS 名 ( 使用す
るブラウザで可能な場合 ) を使用してスイッチにアクセスします。
ブラウザアプリケーションに付属のマニュアルを参照してくださ
い。
7-5
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
基本的な動作ルールおよび注記
7-6
■
一度スイッチで証明情報を生成したら、やむを得ない理由がある
場合を除き証明情報の再生成は避けてください。再生成すると、
スイッチへの SSL アクセスが設定されているすべての管理ステー
ション ( クライアント ) にスイッチの証明情報をコピーし直す必要
があります。これによって、セキュリティが侵害される可能性が
あります。
■
スイッチ自身の証明情報公開キー / 秘密キーのペアおよび証明情
報は、スイッチのフラッシュメモリに保存されます。リブートま
たは erase startup-config コマンドによる影響は受けません ( 消去さ
れません )。
■
証明情報の公開キー / 秘密キーのペアは、 SSH の公開キー / 秘密
キーのペアと混同されることはありません。証明情報のキーペア
および SSH キーペアはそれぞれ独立しています。そのため、 2 種
類のキーペアをスイッチのフラッシュメモリに保存できます。
■
スタックをサポートする ProCurve Switch において、スタックが有
効に設定されている場合、 SSL は SSL クライアントとスタックマ
ネージャ間のみにセキュリティを提供します。スタックコマンダ
とスタックメンバの間の通信はセキュリティで保護されません。
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
SSL オペレーションのスイッチ設定
この項で使用する SSL 関連のコマンド
ページ
web-management ssl
7- 19 ページ
show config
7- 19 ページ
show crypto host-cert
7- 12 ページ
crypto key
generate cert [rsa] <512 | 768 |1024>
7- 10 ページ
zeroize cert
7- 10 ページ
crypto host-cert
generate self-signed [arg-list]
7- 10 ページ
zeroize
7- 10 ページ
1. login ( オペレータ ) レベルおよび enable ( 管理者 ) レ
ベルのローカルパスワードの設定
少なくとも、管理者パスワードはスイッチに常に設定されていることをお
勧めします。状況によっては、 Telnet、 Web、またはシリアルポートアク
セスを使用してスイッチの設定を変更されてしまう可能性があります。
7-7
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
Web ブラウザインタフェースでのローカルパスワードの設定。オペレー
タおよび管理者のパスワードは、 1 つの画面で設定できます。 Web ブラウ
ザインタフェースへのアクセス方法については、使用するスイッチモデ
ルの『マネジメント / コンフィギュレーションガイド』の章「Web ブラウ
ザインタフェースの使用」を参照してください。
セキュリティ
タブ
パスワードボタン
図 7-2. ローカルパスワードの設定例
1. [Security] タブを表示して、 [Device Passwords] ボタンを選択します。
2. [Device Passwords] ウィンドウの適切なボックスをクリックしてユーザ
名とパスワードを入力します。確認用のボックスにパスワードを再入
力する必要があります。
ユーザ名とパスワードは両方とも ASCII に準拠した印刷可能文字で、
16 文字まで入力できます。
3.　[Apply Changes] ボタンをクリックして、ユーザ名とパスワードを有
効にします。
7-8
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
2. スイッチのサーバホスト証明情報の生成
SSL を有効にする前に、スイッチでサーバ証明情報を生成する必要があり
ます。スイッチは、動的に生成されたセッションキーペアに加えてこの
サーバ証明情報を用いて、 SSL を介してスイッチとの接続を試みるブラウ
ザとの暗号方式およびセッションをネゴシエートします。 ( 前述のセッ
ションキーペアをスイッチで表示することはできません。これは、特定
のスイッチ / クライアントセッション向けに一時的にスイッチ内部で生成
されるキーペアであり、セッション終了後に削除されます。 )
サーバ証明情報は、スイッチのフラッシュメモリに保存されます。サーバ
証明情報は、スイッチへのアクセスを許可する SSL クライアントの証明書
フォルダに追加する必要があります。ほとんどのブラウザアプリケーショ
ンは、最初の使用時にスイッチのホスト証明情報を証明情報フォルダに自
動的に追加します。これは、スイッチへの最初のアクセスでセキュリティ
違反を招く可能性があります。 ( ブラウザアプリケーションに付属のマ
ニュアルを参照してください。 )
スイッチのホスト証明情報として使用できる証明情報には、 2 つの種類が
あります。 1 つは、スイッチが生成してデジタル署名する自己署名証明情
報です。自己署名証明情報は第三者機関である認証局によって署名されな
いため、ルート CA 証明情報への監査証跡がなく、証明情報の信憑性を容
易に証明できません。もう 1 つは、 CA 署名証明情報です。これは認証局
がデジタル署名し、ルート CA 証明情報への監査証跡もあるため、信憑性
を明確に証明することが可能です。
注記
通常、信憑性が証明された証明情報の獲得には費用が発生し、証明情報を
発行するルート認証局によって有効期間が限定されています。
スイッチで証明情報キーペアおよび証明情報の双方またはいずれかを生成
する場合、スイッチはキーペアおよび証明情報を (running-config ファイル
ではなく ) フラッシュメモリに保存します。またスイッチは、リブートを
行ったり、パワーをオフにしても証明情報を記憶しています。この証明情
報は「固定」と考えて、やむを得ない理由がある場合を除き、証明情報の
再生成は避けてください。さもないと、以前の証明情報を用いてスイッチ
への SSL アクセスが設定されているすべての管理ステーション ( クライア
ント ) にスイッチのホスト証明情報をコピーし直す必要があります。
スイッチの証明情報キーペアまたは証明情報を削除 ( ゼロ化 ) すると、ス
イッチは SSL オペレーションを停止し、自動的にスイッチの SSL が無効に
なります。 (SSL が有効であるかどうかを確認するには、 show config コマ
ンドを実行します。 )
7-9
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
CLI コマンドによるスイッチのサーバ証明情報の生成また
は消去
ホスト証明情報は running-config ファイルではなく、フラッシュメモリに
保存されるため、証明情報を保存するために write memory コマンドを使
用する必要はありません。また、ホスト証明情報を消去すると、 SSL は自
動的に無効になります。
サーバホスト証明情報を生成するための CLI コマンド .
構文 :
crypto key generate cert [rsa] < 512 | 768 |1024 >
証明情報で使用するキーペアを生成します。
crypto key zeroize cert
スイッチの証明情報キーを消去し、 SSL オペレーションを
無効にします。
crypto host-cert generate self-signed [arg-list]
スイッチの自己署名ホスト証明情報を生成します。スイッ
チの証明情報がすでに存在する場合、新しい証明情報と置
換されます。 (7- 9 ページの注記を参照してください。 )
crypto host-cert zeroize
スイッチのホスト証明情報を消去し、 SSL オペレーション
を無効にします。
CLI でホスト証明情報を生成するには。
i. 証明情報のキーペアを生成します。これには、 crypto key
generate cert コマンドを使用します。デフォルトのキーサイ
ズは、 512 です。
注記
証明情報キーペアがスイッチにすでに存在する場合、証明情報を新たに生
成する際に新しいキーペアを生成する必要はありません。既存のキーペ
アを再利用できるため、 crypto key generate cert コマンドを実行する必要は
ありません。
ii.
注記
7-10
新しい自己署名ホスト証明情報を生成します。これには、
crypto host-cert generate self-signed [ Arg-List ] コマンドを使
用します。
CLI で自己署名証明情報を生成する際に、証明情報キーが生成されていな
いと、このコマンドは機能しません。
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
証明情報フィールドについてのコメント
サーバ証明情報の生成には多くの引数が用いられます。これらの引数につ
いては、表 7-1、「証明情報フィールドの説明」を参照してください。
表 7-1.
証明情報フィールドの説明
フィールド名
説明
Valid Start Date SSL 機能の使用を開始する日付を入力します。
Valid End Date
将来の任意の日付を設定できますが、セキュリティを確保
するために、パスワードおよびキーの更新までの有効期間
を約 1 年間とすることをお勧めします。
Common name
スイッチに付随する IP アドレスまたはドメイン名を入力し
ます。スイッチにアクセスしたときに、このフィールドの
内容が Web ブラウザに入力された URL と一致しない場合、
Web ブラウザが警告を表示することがあります。
Organization
スイッチを使用している組織体の名称 ( 社名など ) を入力し
ます。
Organizational
Unit
スイッチを使用している下部組織体の名称 ( 部署名など )
を入力します。
City or location
スイッチが設置されている都市名を入力します。
State name
スイッチが設置されている都道府県を入力します。
Country code
スイッチが設置されている、 2 文字の ISO 国コードを入
力します。
キーおよび新規ホスト証明情報を生成するには、たとえば次のように入力
します。
新規キーの生成
新規証明情報の生成
証明情報の引数を入力
図 7-3. CLI を用いたサーバホスト自己署名証明情報の生成例
7-11
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
注記
スイッチのサーバホスト証明情報またはキーを「ゼロ化」すると、 SSL が
自動的に無効になります (no web-management ssl と同義 )。したがって、
サーバホスト証明情報またはキーをゼロ化した後、スイッチの SSL オペ
レーションを再開するには、新しいキーおよびサーバ証明情報を生成し、
次に web-management ssl コマンドを実行して SSL を再度有効にする必要が
あります。
ホスト証明情報を表示する CLI コマンド .
構文 :
show crypto host-cert
スイッチのホスト証明情報を表示します。
CLI で現在のホスト証明情報を表示するには、 show crypto host-cert コマ
ンドを使用します。
新しいサーバホスト証明情報を表示するには、たとえば次のように入力し
ます。
ホスト証明情報を表示するコマンド
図 7-4. show crypto host-cert コマンドの例
7-12
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
Web ブラウザインタフェースでの自己署名ホスト証明情報
の生成
Web ブラウザインタフェースで SSL を設定できます。 Web ブラウザイン
タフェースへのアクセス方法については、使用するスイッチモデルの『マ
ネジメント / コンフィギュレーションガイド』の章「Web ブラウザイン
タフェースの使用」を参照してください。
Web ブラウザインタフェースで自己署名ホスト証明情報を生成するには。
i. [Security] タブを選び、 [SSL] ボタンをクリックします。 SSL
設定画面は、 2 分割表示されます。左半分は、新しい証明情報
キーペアおよび ( 自己署名 /CA 署名 ) 証明情報の生成に使用
します。右半分は、現在インストールされている証明情報の
情報を表示します。
ii. [Create Certificate/Certificate Request] ラジオボタンを選択
します。
iii. [Certificate Type] ドロップダウンリストで、 [Self-Signed] を
選択します。
iv. 必要な RSA キーサイズを選択します。現在の証明情報キーを
再利用する場合は、このリストで [Current] を選択します。
v. その他の証明情報引数を入力します。 (7- 11 ページの「証明情
報フィールドについてのコメント」を参照してください。 )
vi. [Apply Changes] ボタンをクリックして、新しい証明情報およ
びキー ( 選択されている場合 ) を生成します。
注記
自己署名ホスト証明情報を生成する際に、キーが存在せず、 RSA キーサイ
ズのボックスで [Current] オプションが選択されていると、エラーが発生し
ます。キーのキューが空のときは、新しいキーの生成に最長 2 分かかりま
す。
7-13
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
Web ブラウザインタフェースで新しいホスト証明情報を生成するには、た
とえば次のように入力します。
[Security] タブ
[SSL] ボタン
[Create Certificate] ボタン
[Certificate Type] ボックス
キーサイズを選択
証明情報の引数を入力
図 7-5. SSL Web ブラウザインタフェース画面での自己署名証明情報の生成
Web ブラウザインタフェースで現在のホスト証明情報を表示するには。
1. [Security] タブを選択する
2. [SSL] ボタンをクリックします。
7-14
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
現在の SSL ホスト証明情報
図 7-6. 現在の SSL ホスト証明情報を表示する Web ブラウザインタフェース
Web ブラウザインタフェースでの CA 署名サーバホスト
証明情報の生成
この項では、 CA 署名サーバホスト証明情報を Web ブラウザインタフェー
スでインストールする方法について説明します。 (Web ブラウザインタ
フェースへのアクセス方法については、使用するスイッチモデルの『マネ
ジメント / コンフィギュレーションガイド』の章「Web ブラウザインタ
フェースの使用」を参照してください。 )
CA 署名証明情報のインストールは、他機関とのやり取りを交えて 3 段階
で行います。第 1 段階では、 CA 証明情報要求を作成し、認証局への提出
用としてこれをスイッチからコピーします。第 2 段階は実際の提出プロセ
スです。認証局に証明情報要求の検証を依頼し、証明情報要求にデジタル
7-15
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
署名して証明情報応答 ( 利用可能なサーバホスト証明情報 ) を生成しても
らいます。第 3 段階はダウンロードフェーズです。証明情報応答をスイッ
チ Web サーバにコピーすると、スイッチによってその証明情報応答が確
認され、 SSL の有効後に実際に使用されることになります。
Web ブラウザインタフェースで証明情報要求を生成するには。
i. [Security] タブを選び、 [SSL] ボタンをクリックします。
ii. [Create Certificate/Certificate Request] ラジオボタンを選択
します。
iii. [Certificate Type] ドロップダウンリストで、 [Create CA
Request] を選択します。
iv. [RSA Key Size] ドロップダウンリストで、キーのサイズを選
択します。現在の証明情報キーを再利用する場合は、このリ
ストで [Current] を選択します。
v. その他の証明情報引数を入力します。 (7- 11 ページの「証明情
報フィールドについてのコメント」を参照してください。 )
vi. [Apply Changes] ボタンをクリックして、証明情報要求を作成し
ます。 2 つのテキストボックスで構成された新しい Web ブラ
ウザページが表示されます。上段のテキストボックスには、
証明情報要求テキストが表示されます。下段のテキストボッ
クスは、空の状態で表示されます。認証局から証明情報の応
答を受け取った後、下段のテキストボックスにそれを貼り付
けます。 ( 認証局は、非 PEM エンコード証明情報要求の応答
を返す必要があります。 )
vii. 認証局で要求が処理され、証明情報の応答 ( インストール可能
な証明情報 ) を受信した後、その証明情報をコピーして下段の
テキストボックスに貼り付けます。
viii. [Apply Changes] ボタンをクリックして、証明情報をインストー
ルします。
7-16
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
証明情報要求
証明情報要求の応答
-----BEGIN CERTIFICATE----MIICZDCCAc2gAwIBAgIDMA0XMA0GCSqGSIb3DQEBBAUAMIGHMQswCQYDVQQGEwJa
QTEiMCAGA1UECBMZRk9SIFRFU1RJTkcgUFVSUE9TRVMgT05MWTEdMBsGA1UEChMU
VGhhd3RlIENlcnRpZmljYXRpb24xFzAVBgNVBAsTDlRFU1QgVEVTVCBURVNUMRww
GgYDVQQDExNUaGF3dGUgVGVzdCBDQSBSb290MB4XDTAyMTEyMjIyNTIxN1oXDTAy
MTIxMzIyNTIxN1owgYQxCzAJBgNVBAYTAlpBMRUwEwYDVQQIEwxXZXN0ZXJuIENh
cGUxEjAQBgNVBAcTCUNhcGUgVG93bjEUMBIGA1UEChMLT3Bwb3J0dW5pdGkxGDAW
BgNVBAsTD09ubGluZSBTZXJ2aWNlczEaMBgGA1UEAxMRd3d3LmZvcndhcmQuY28u
emEwWjANBgkqhkiG9w0BAQEFAANJADBGAkEA0+aMcXgVruVixw/xuASfj6G4gvXe
0uqQ7wI7sgvnTwJy9HfdbV3Zto9fdA9ZIA6EqeWchkoMCYdle3Yrrj5RwwIBA6Ml
MCMwEwYDVR0lBAwwCgYIKwYBBQUHAwEwDAYDVR0TAQH/BAIwADANBgkqhkiG9w0B
図 7-7. 証明情報要求および応答の例
3. スイッチの SSL の有効化および SSL ブラウザとの
通信
web-management ssl コマンドは、スイッチで SSL を有効にし、スイッチ
がクライアントとのトランザクションに使用するパラメータを変更しま
す。 SSL を有効にした後、スイッチは SSL 対応ブラウザで自身の認証を行
えます。スイッチで SSL を無効にするには、 no webmanagement ssl コマ
ンドを使用します。
7-17
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
注記
スイッチで SSL を有効にする前に、スイッチのホスト証明情報およびキー
を生成する必要があります。生成していない場合は、 7- 9 ページの「2. ス
イッチのサーバホスト証明情報の生成」を参照してください。
SSL の設定時、スイッチはホスト証明情報を使用して SSL クライアントで
自分自身を認証しますが、 no web-management コマンドを用いて標準の
Web ブラウザインタフェースを無効にしない限り、安全性の低いトランザ
クションが実行可能な状態が続きます。
SSL クライアントとの通信。スイッチと SSL クライアントの最初の通信
で、ブラウザの証明情報フォルダにスイッチのホスト証明情報がコピーさ
れていない場合、セキュリティ上の理由から、ブラウザはスイッチへの最
初の接続の際にこの接続をすすめるかどうかを確認する許可 / 拒否するオ
プションを表示します。クライアントブラウザ側にスイッチのルート証明
情報が存在し、スイッチで CA 署名証明情報を使う場合、ブラウザは証明
情報が信頼できることの確認を促すプロンプトを表示しません。ブラウザ
は、スイッチサーバ証明情報の証明情報チェーンについて、ブラウザにイ
ンストールされたルート証明情報まで検証できるため、スイッチを明確に
認証できます。未認可機器がスイッチの IP アドレスを不正に使用し、
データやネットワークへのアクセスを試みていないと確信できる場合は接
続を許可してください。
注記
SSL クライアントがスイッチに初めて接続する際は、「Man-in-the-Middle」
攻撃、すなわち、スイッチを装った未認可機器によって、スイッチのアク
セス制御に使用するユーザ名とパスワードが盗まれる可能性があります。
スイッチで自己署名証明情報を使用する際、初回の接続でスイッチを装う
未認可機器による「man-in-the-middle」攻撃を受け、スイッチのアクセス
制御に使用するユーザ名とパスワードが盗まれる可能性があります。自己
署名証明情報を使って初めてスイッチに接続するときは、注意が必要で
す。証明情報を受け入れる前に、証明情報の内容を十分に検証してくださ
い ( 証明情報の内容を表示する方法については、ブラウザのマニュアルを
参照してください )。
Web ブラウザがすでに信頼している認証局によって生成された CA 署名証
明情報を使用する場合は、上記のようなセキュリティについて配慮する必
要はありません。
7-18
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
CLI で SSL を有効にする
構文 :
[no] web-management ssl
スイッチで SSL を有効または無効にします。
[port < 1-65535 | default:443 >]
SSL 接続のための TCP ポート番号 ( デフォルト : 443).
重要 : 7- 20 ページの「ポート番号についての注記」を
参照してください。
show config
SSL サーバのステータスを表示します。有効に設定す
ると、 config list に webmanagement ssl が表示されま
す。
スイッチで SSL を有効にするには。
1. ホスト証明情報を生成していない場合は、生成します。 (7- 9 ページの
「2. スイッチのサーバホスト証明情報の生成」を参照してください。 )
2. web-management ssl コマンドを実行します。
スイッチで SSL を無効にするには、以下のいずれかを実行します。
■
no web-management ssl を実行します。
■
スイッチのホスト証明情報または証明情報キーをゼロ化します
(7- 10 ページ )
Web ブラウザインタフェースで SSL を有効にする
スイッチで SSL を有効にするには。
i. [Security] タブを表示して、 [SSL] ボタンをクリックします。
ii. [SSL Enable] を [On] に設定し、接続する TCP ポートを入力し
ます。
iii. [Apply Changes] ボタンをクリックして、指定ポートで SSL を
有効にします。
スイッチで SSL を無効にするには、以下のいずれかを実行します。
i. [Security] タブを表示して、 [SSL] ボタンをクリックします。
ii. [SSL Enable] を [Off] に設定します。
iii. [Apply Changes] ボタンをクリックして、指定ポートで SSL を
有効にします。
7-19
セキュアソケットレイヤ (SSL) の設定
基本的な動作ルールおよび注記
SSL を有効に設定し、ポート番号を指定
図 7-8. Web ブラウザインタフェースでの SSL の有効設定および TCP ポート番号の指定
ポート番号につ
いての注記
原則としてデフォルト TCP ポート番号 (443) の使用をお勧めします。ただ
し、 web-management ssl tcp-port コマンドを使用して、 SSL 接続に他の目
的で予約されていない任意の TCP ポートを指定できます。予約されてい
る TCP ポートの例としては、 23 (Telnet) や 80 (http) などがあります。ス
イッチで予約されている TCP ポートとしては、他に 49、 80、 1506、 1513
などがあります。
CAUTION
SSL は、 Telnet、 SNMP、またはシリアルポート経由の未認可アクセスを防
ぐことができません。 Telnet アクセスはスイッチのローカルパスワードで
制限できますが、パスワードによるセキュリティに不安を感じる場合は、
Telnet アクセスを無効にできます (no telnet)。 SNMP セキュリティを強化す
るには、 SNMP アクセスに対して SNMP バージョン 3 のみを使用します。
他のセキュリティ対策としては、スイッチの『セキュリティガイド』に記
述されているオーソライズド IP マネージャ機能を使用する方法がありま
す。シリアルポート ( およびローカルパスワードを削除する [Clear] ボタ
ン ) へ許可なしにアクセスできないようにするために、スイッチへの物理
的アクセスを許可されたユーザのみに制限してください。
7-20
セキュアソケットレイヤ (SSL) の設定
SSL セットアップの一般的なエラー
SSL セットアップの一般的なエラー
エラーが発生する作業
原因
CLI でのホスト証明情報の生成
証明情報キーが生成されていませ
ん。 (7- 10 ページの「サーバホス
ト証明情報を生成するための CLI
コマンド」を参照してください。
)
CLI インタフェースまたは Web インタフェー
スでの SSL の有効設定
ホスト証明情報が生成されていま
せん。 (7- 13 ページの「Web ブラ
ウザインタフェースでの自己署
名ホスト証明情報の生成」を参照
してください。 )
予約済み TCP ポートを使用して
いる可能性があります。 (7- 20
ページの「ポート番号についての
注記」を参照してください。 )
SSL に接続できない
SSL を有効にしていない可能性が
あります。 (7- 17 ページの「3. ス
イッチの SSL の有効化および
SSL ブラウザとの通信」を参照し
てください。 )
ブラウザが、 SSLv3 または TLSv1
をサポートしていないか、または
無効になっている可能性がありま
す。 ( ブラウザに付属するマニュ
アルを参照してください。 )
7-21
セキュアソケットレイヤ (SSL) の設定
SSL セットアップの一般的なエラー
7-22
8
ポートベースのアクセス制御 (802.1x) の設定
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
ポートベースのアクセス制御を使用する理由 . . . . . . . . . . . . . . 8-3
主要な機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-3
802.1x の認証動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6
オーセンティケータの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-6
スイッチポートでのサプリカントオペレーション . . . . . . . . . . 8-7
用語 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-8
基本的な運用ルールおよび注記 . . . . . . . . . . . . . . . . . . . . . . . . . . 8-10
ポートベースのアクセス制御 (802.1x) の基本的な設定手順 . . . . . . 8-12
802.1x オペレーションを設定する前に以下の手順を実行する . . 8-12
概要 : スイッチでの 802.1x 認証の設定 . . . . . . . . . . . . . . . . . . 8-13
スイッチポートを 802.1x オーセンティケータとして設定する . . . . 8-15
1. 選択したポートで 802.1x 認証を有効にする . . . . . . . . . . . . . 8-15
2. 802.1x 認証方式の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-19
3. RADIUS ホスト IP アドレスの入力 . . . . . . . . . . . . . . . . . . . .
8-20
5. スイッチで 802.1x 認証を有効にする . . . . . . . . . . . . . . . . . . 8-20
802.1x Open VLAN モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-21
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-21
802.1x Open VLAN モードモデルを使用する . . . . . . . . . . . . . . 8-22
認可クライアントおよび未認可クライアント VLAN の動作ルール
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-26
802.1x Open VLAN モードの設定と構成 . . . . . . . . . . . . . . . . . .
8-28
802.1x Open VLAN の運用上の注記 . . . . . . . . . . . . . . . . . . . . . 8-32
オーセンティケータポートのオプション : 802.1x 機器でのみ許可される
ポートセキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-33
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-35
8-1
ポートベースのアクセス制御 (802.1x) の設定
章の内容
802.1x の設定、統計、およびカウンタの表示. . . . . . . . . . . . . . . . . 8-39
ポートアクセスオーセンティケータ用の Show コマンド . . . . . 8-39
802.1x Open VLAN モードのステータス表示. . . . . . . . . . . . . . . 8-41
ポートアクセスサプリカント用の Show コマンド . . . . . . . . . . 8-45
RADIUS/802.1x 認証の VLAN オペレーションへの影響 . . . . . . . . . . 8-46
802.1x オペレーションに関連したメッセージ . . . . . . . . . . . . . . . . . 8-50
8-2
ポートベースのアクセス制御 (802.1x) の設定
概要
概要
機能
デフォルト
メニュー
CLI
Web
スイッチポートを 802.1x オーセンティケータとして
設定する
無効
n/a
page 8- 15
n/a
802.1x Open VLAN モードを設定する
無効
n/a
8- 21 ページ
n/a
スイッチポートを 802.1x サプリカントとして設定す
る
無効
n/a
8- 35 ページ
n/a
802.1x の設定、統計、およびカウンタの表示
n/a
n/a
8- 39 ページ
n/a
n/a
n/a
8- 46 ページ
n/a
802.1x の VLAN オペレーションへの影響
RADIUS 認証およびアカウンティング
5- 1 ページの「RADIUS 認証およびアカウンティン
グ」を参照してください。
ポートベースのアクセス制御を使用する理由
ローカルエリアネットワークでは、未認可クライアントでもネットワー
ク機器に接続できたり、未認可ユーザがネットワークに未接続のクライア
ントにアクセスできることがよくあります。また、 DHCP サービスおよび
ゼロ設定を使用するとネットワークサービスに簡単にアクセスできます。
これでは、ネットワークの不正使用を許し、ネットワークを悪質な攻撃に
さらしているようなものです。ネットワークへのアクセスは簡単にすべき
ですが、未認可アクセスをコントロールしないことは通常望ましくありま
せん。 802.1x では、ネットワークの複数のポイントからのユーザアクセス
を許可すると同時に、中央の RADIUS サーバのユーザプロファイルもコン
トロールできます。
主要な機能
このガイドが対象とする ProCurve Switch の 802.1x には以下の機能が含ま
れています。
■
( スイッチとポイントツーポイント接続されているサプリカントの
) オーセンティケータとしてのスイッチ動作と、他の 802.1x 対応
スイッチとポイントツーポイント接続されているサプリカントと
してのスイッチ動作。
•
RADIUSサーバと EAP またはCHAPプロトコルを使用する 802.1x クラ
イアントの認証
•
802.1x サプリカントソフトウェアを持たないクライアントを使用
可能にするための手段。これにより、必要なソフトウェアをダウ
ンロードし、認証プロセスを開始するためのパスとしてスイッチ
を使用できます (802.1x Open VLAN モード )。
8-3
ポートベースのアクセス制御 (802.1x) の設定
概要
•
各ポートごとに独立したユーザ名とパスワードで CHAP 認証を行
うサプリカント機能
■
未許可ポートでの両方向のトラフィックフローの防止
■
(RADIUS 認証の代わりに ) スイッチのローカルユーザ名とパスワー
ドを使用した 802.1x クライアントのローカル認証
■
ポートの VLAN メンバシップステータスを必要に応じて一時的に
変更。これにより、現在のクライアントセッションをサポートし
ます。 ( これには、トランクメンバのポートは含みません。 )
■
アカウントの更新間隔を含む、 RADIUS サーバでのセッションア
カウンティング。
■
セッションカウンタを表示する Show コマンド。
■
ポートアクセスをコントロールするポートセキュリティを有効に
することで、アクセス可能な 802.1x クライアントセッションを 1
つに限定。
ユーザの認証。ポートベースのアクセス制御 (802.1x) は、スイッチレベル
のセキュリティを提供します。 802.1x 対応クライアント ( サプリカント )
で適切な RADIUS ユーザ名とパスワードを入力したユーザのみに LAN ア
クセスが許可されます。これにより、 ( プライマリサーバへアクセスでき
ない場合のバックアップとして 3 台までの RADIUS サーバを使用できます
) 単一のサーバ上のマスターデータベースでアクセスをコントロールでき
るため、セキュリティ管理が簡素化されます。また、 LAN への接続がどの
スイッチからでも、ユーザは認証用に同じユーザ名とパスワードが使用で
きます。 RADIUS サーバの代わりにスイッチのローカルユーザ名とパス
ワードでも 802.1x を設定できますが、この場合、管理上の負担の増加、
ユーザ名 / パスワード管理の分散化、また、すべてのユーザ認証を 1 つの
オペレータ / 管理者パスワードセットで行うことによるセキュリティの低
下に注意してください。
802.1x サプリカントソフトウェアのダウンロードパスの提供。 802.1x サ
プリカントソフトウェアを持たないユーザ用に、 802.1x Open VLAN モー
ドを設定するオプションがあります。このモードでは、そのようなクライ
アントに隔離 VLAN を割り当て、この VLAN を介して認証プロセスの開始
に必要なサプリカントソフトウェアを提供できます。 (8- 21 ページの
「802.1x Open VLAN モード」を参照してください。 )
あるスイッチから別のスイッチへの認証。 802.1x 認証では、 802.1x 認証を
実行する他のスイッチのポートに接続されている場合、スイッチをサプリ
カントとして動作させることもできます。
8-4
ポートベースのアクセス制御 (802.1x) の設定
概要
802.1x を実行するオーセン
ティケータスイッチ
802.1x 対応クラ
イアント ( サプ
リカント )
LAN コア
サプリカントとして接続されてい
る 802.1x を実行するスイッチ
RADIUS サーバ
図 8-1. 802.1x アプリケーションの例
アカウンティング。スイッチは、 802.1x アクセス用の RADIUS ネットワー
クアカウンティングも提供します。 5- 1 ページの「RADIUS 認証およびア
カウンティング」を参照してください。
8-5
ポートベースのアクセス制御 (802.1x) の設定
802.1x の認証動作
802.1x の認証動作
オーセンティケータの動作
このオペレーションでは、クライアントと認証スイッチが 802.1x 対応機器
である場合、両者のポイントツーポイントリンクにセキュリティを提供
します。 ( 対象クライアントに 802.1x サプリカントソフトウェアが実装さ
れていない場合、 802.1x Open VLAN モードを使用することで、認証プロセ
スに必要なソフトウェアのダウンロードパスを提供できます。 8- 21 ペー
ジの「802.1x Open VLAN モード」を参照してください。 ) たとえば、
802.1x 認証オペレーション用にスイッチのポートを 1 つ設定し、その後、
802.1x 対応クライアント ( サプリカント ) をポートに接続してログオンし
ようとすると、以下のようになります。
8-6
1.
スイッチは、ポートでクライアントを検出すると、そのポートからの
LAN へのアクセスをブロックします。
2.
スイッチは認証情報を要求します。
3.
クライアントは自身に割り当てられている固有のユーザ名を返します。
4.
スイッチは以下のいずれかの方法で応答します。
･
スイッチの 802.1x ( ポートアクセス ) が RADIUS 認証に設定されて
いる場合、スイッチは要求を RADIUS サーバに転送します。
i. サーバはスイッチがクライアントに転送するアクセスチャレ
ンジで応答します。
ii. 次に、クライアントは証明情報 ( ユーザ証明情報など ) を提供
します。
iii. RADIUS サーバはクライアントからの証明情報をチェックしま
す。
iv. クライアントの認証に成功してネットワークへの接続が認可
された場合、サーバはスイッチにクライアントのアクセスを
許可するように通知します。許可しない場合、アクセスは拒
否されてポートはブロックされたままです。
•
スイッチの 802.1x ( ポートアクセス ) がローカル認証に設定されて
いる場合は、以下のようになります。
i. スイッチがクライアントの証明情報とスイッチ ( オペレータ /
管理者レベル ) 内に設定されているユーザ名およびパスワード
とを比較します。
ii. クライアントの認証に成功してネットワークへの接続が認可
された場合、スイッチはクライアントのアクセスを許可しま
す。許可しない場合、アクセスは拒否されてポートはブロッ
クされたままです。
ポートベースのアクセス制御 (802.1x) の設定
802.1x の認証動作
スイッチポートでのサプリカントオペレーション
このオペレーションは、 802.1x 対応スイッチ間のリンクにおけるセキュリ
ティを提供します。たとえば、以下のような 2 つのスイッチに接続すると
します。
■
スイッチ「A」には、 802.1x サプリカントオペレーションが設定さ
れたポート A1 があります。
■
スイッチ「A」のポート A1 とスイッチ「B」のポート B5 を接続する
とします。
スイッチ「B」
ポート B5
ポート A1
スイッチ「A」
802.1x サプリカントとして
設定されたポート A1
LAN コア
RADIUS サーバ
図 8-2. サプリカントオペレーションの例
1.
2.
スイッチ「A」のポート A1 をはじめてスイッチ「B」のポートに接続
する際、もしくはポートは既に接続されていて、いずれかのスイッチ
がリブートされた場合に、ポート A1 はスイッチ「B」のポート B5 に
開始パケットを送信します。
•
サプリカントポートは、設定された回数の開始パケットを送信後、
その応答が得られなかった場合、スイッチ「B」は 802.1x に対応
しておらず、また認証は不要であると判断します。スイッチ「B」
が 802.1x 対応ではなく、正常に動作していればリンクは通常に確
立されますが、 802.1x セキュリティは実装されません。
•
1 回以上の開始パケット送信後に、ポート A1 がポート B5 から要求
パケットを受信した場合、スイッチ「B」は、 802.1x オーセンティ
ケータとして動作しています。サプリカントポートは次に応答 /
ID パケットを返します。スイッチ「B」はこの要求を RADIUS サー
バに転送します。
次に RADIUS サーバは、 MD5 アクセスチャレンジで応答し、スイッチ
「B」を介してスイッチ「A」のポート A1 に転送されます。
8-7
ポートベースのアクセス制御 (802.1x) の設定
用語
注記
3.
ポート A1 は、ユーザ名およびパスワードまたは他の証明情報の MD5
ハッシュを返します。スイッチ「B」はこの応答を RADIUS サーバに転
送します。
4.
RADIUS サーバは応答を分析して、スイッチ「B」を介してポート A1
に「success」または「failure」パケットのいずれかを送信します。
•
「success」応答は、ポート A1 からの通常のトラフィックに対して
ポート B5 のブロックを解除します。
•
「failure」応答の場合、ポート B5 のブロックは継続され、ポート A1
は「held-time」時間経過後に、ポート B5 を介して再び認証を試行
します。
スイッチポートは、サプリカントおよびオーセンティケータとして同時に
動作するように設定できます。
用語
802.1x 対応 : 802.1x 認証ソフトウェアまたは 802.1x クライアントソフト
ウェアのいずれかが動作する機器で、 IEEE802.1x 規格に準拠した他の
機器と対話できます。
CHAP (MD5): Challenge Handshake Authentication Protocol ( チャレンジハ
ンドシェイク認証プロトコル )。
EAP (Extensible Authentication Protocol): EAP は、複数の認証方式をサポー
トするネットワークアクセスを可能にします。
EAPOL: Extensible Authentication Protocol Over LAN。 802.1x 規格で定義さ
れています。
MD5: バイトのストリームから固有なデジタル署名を計算するアルゴリズ
ム。これは、共有キー ( パスワード ) が盗み見られる心配がない CHAP
による認証で使用されます。
PVID (Port VID): 802.1x ポートが所属するタグ無 VLAN の VLAN ID。
オーセンティケータ : ProCurve Switch の説明で用いられる場合、ネットワー
クへのアクセス許可を求めるサプリカントに対して、適切な証明情報 (
ユーザ名とパスワード ) を要求するスイッチなどの機器を指します。
8-8
ポートベースのアクセス制御 (802.1x) の設定
用語
クライアント : ここでは、ポイントツーポイントリンクを介してスイッチ
に接続されている、管理ステーション、ワークステーション、モバイ
ル PC などエンドノード機器。
サプリカント : ネットワークへのアクセスが許可される前に、スイッチに
適切な証明情報を提供する必要のあるエンティティ。これは通常エン
ドユーザのワークステーションを指しますが、スイッチ、ルータ、そ
の他ネットワークサービスを要求する機器である場合もあります。
スタティック VLAN: CLI の vlan < vid > コマンドまたはメニューインタ
フェースを使用して、スイッチで設定された VLAN。
タグ付 VLAN メンバシップ : このタイプの VLAN メンバシップを使用する
と、 1 つのポートを複数の VLAN メンバに同時に設定できます。ポー
トに接続されているクライアントに 802.1q タグ付き VLAN をサポート
するオペレーティングシステムが実装されている場合、クライアント
はポートにタグ付メンバとして設定されている VLAN にアクセスでき
ます。クライアントがタグ付き VLAN をサポートしていない場合は、
ポートがタグ無メンバである VLAN へのアクセスのみが可能になりま
す。 ( ポートがタグ無メンバになれるのは 1 つの VLAN のみです。 )
802.1x Open VLAN モードは、未認可クライアントまたは認可クライア
ント VLAN として設定されている VLAN のメンバにポートが静的に設
定されていない限り、ポートのタグ付 VLAN へのアクセスには影響し
ません。「タグ無 VLAN メンバシップ」も参照してください。
タグ無 VLAN メンバシップ : ポートがタグ無メンバになれるのは 1 つの
VLAN のみです。 ( 工場出荷時の設定では、スイッチのすべてのポート
がデフォルト VLAN のタグ無メンバになっています。 ) タグ無 VLAN
メンバシップは、 802.1q タグ付き VLAN をサポートしないクライアン
トとの接続に必要です。ポートは、同時に 1 つのタグ無 VLAN メンバ
シップと複数のタグ付 VLAN メンバシップを持つことができます。
802.1x Open VLAN モードの設定方法により、ポートに 802.1x クライア
ントセッションが存在する間は静的に設定されたタグ無 VLAN メンバ
シップが使用できなくなる場合があります。「タグ付 VLAN メンバ
シップ」も参照してください。
認可クライアント VLAN: 未認可クライアント VLAN と同様に、システム
管理者によってあらかじめスイッチに設定される通常のスタティック
VLAN。この VLAN を使用する目的は、ポートに静的に設定された
VLAN メンバシップまたは RADIUS 認証プロセス中に割り当てられた
VLAN メンバシップが使用できない認証クライアントにネットワーク
サービスを提供するためです。 802.1x ポートがこの VLAN のメンバの
場合、ポートはタグ無になります。クライアント接続が終了すると、
ポートは認可クライアント VLAN のメンバシップを破棄します。
8-9
ポートベースのアクセス制御 (802.1x) の設定
基本的な運用ルールおよび注記
認証サーバ : オーセンティケータとして動作するように設定されているス
イッチに認証サービスを提供します。 ProCurve Switch で 802.1x が動作
している場合、 ( スイッチがサプリカントの認証に自身のユーザ名と
パスワードを使用してこの機能を実行するようなローカル認証が使用
されていない限り ) これは RADIUS サーバを指します。
フレンドリクライアント：スイッチやネットワークへのアクセスを許可し
てもセキュリティリスクとはならないクライアント。
未認可クライアント VLAN: システム管理者によってあらかじめスイッチ
に設定される通常のスタティック VLAN。認証前のクライアントのア
クセスを提供するのに使用します。この VLAN は、未認証クライアン
トが認証アクセスを確立するのに必要な初期設定サービス、および未
認証クライアントでも、ネットワークのセキュリティに脅威を及ぼさ
ないサービスにアクセスできるようにする用途で設定します。 ( 未認
証クライアントは、未認可クライアント VLAN として指定した VLAN
に属するネットワークリソースすべてにアクセスできることに注意し
てください。 ) スイッチの少なくとも 1 つのポートが同じ未認可クライ
アント VLAN のタグ付またはタグ無メンバとして静的に設定されてい
る限り、未認可クライアント VLAN を使用するように設定したポート
を、その VLAN のメンバとして静的に設定する必要はありません。
基本的な運用ルールおよび注記
8-10
■
スイッチのポートがオーセンティケータまたはサプリカントに設
定されていて他の機器に接続される場合、スイッチをリブートす
るとリンクの再認証が必要になります。
■
スイッチのポートがオーセンティケータに設定されている場合、
適切な認証証明情報を提供しないクライアントと、 802.1x 対応で
ないクライアントへのアクセスをブロックします。 ( オプションの
802.1x Open VLAN モードを使用することで 802.1x サプリカントソ
フトウェアのダウロードパスを提供できます。これにより、クラ
イアントは認証手順を開始できます。 8- 21 ページの「802.1x Open
VLAN モード」を参照してください。 )
■
スイッチ「A」のポートが 802.1x サプリカントに設定されていて、
802.1x に対応していない他のスイッチ「B」のポートに接続されて
いる場合、スイッチ「B」へのアクセスには 802.1x のセキュリ
ティが適用されません。
■
ポートを 802.1xオーセンティケータと 802.1xサプリカントの両方に
設定できます。
ポートベースのアクセス制御 (802.1x) の設定
基本的な運用ルールおよび注記
■
スイッチ「A」のポートが 802.1x オーセンティケータおよびサプリ
カントに設定されていて、 802.1x に対応していない他のスイッチ
「B」のポートに接続されている場合、スイッチ「B」へのアクセ
スには 802.1x のセキュリティが適用されず、スイッチ「B」はス
イッチ「A」にアクセスできません。つまり、 2 つのスイッチ間の
リンクでは「A」から「B」へトラフィックは流れますが、逆方向
には流れません。
■
ポートを 802.1x オーセンティケータオペレーションに設定する際
に、クライアントが既にスイッチポートにアクセスしている場合、
ポートはクライアントが認証されるまで以降のネットワークアク
セスをブロックします。
■
802.1x を RADIUS で認証するように設定されたポートでは、RADIUS
サーバがサプリカント用に VLAN を指定した場合、ポートがトラン
クメンバであるとそのポートはブロックされます。その後ポート
がトランクから削除されると、ポートはサプリカントの認証を試行
します。認証に成功した場合、ポートはブロックを解除します。同
様に、サプリカントが認証されたあと、ポートがトランクメンバ
になった場合、ポートはブロックされます。その後ポートがトラン
クから削除されると、ポートはサプリカントの再認証を試行しま
す。認証に成功した場合、ポートはブロックを解除します。
■
セキュリティ上の理由から、802.1x と LACP は同じポートで同時に
有効にできません。既に LACP に設定されているポートで 802.1x
を設定する ( またはその逆の ) 場合、以下のようなメッセージが表
示されます。
Error configuring port X:LACP and 802.1X cannot be run together.
80 2 . 1x および
L A C P に関する
注記
セキュリティ上の理由から、スイッチは 802.1x と LACP を同じポートで同
時に有効にできません。 8- 50 ページの「802.1X オペレーションメッセー
ジ」を参照してください。
8-11
ポートベースのアクセス制御 (802.1x) の設定
ポートベースのアクセス制御 (802.1x) の基本的な設定手順
ポートベースのアクセス制御 (802.1x)
の基本的な設定手順
802.1x オペレーションを設定する前に以下の手順を
実行する
8-12
1.
オペレータ (login) および管理者 (enable) アクセスレベルの両方のロー
カルユーザ名とパスワードをスイッチに設定します。 ( これは 802.1x
設定で必要であるかどうかによらず、他のセキュリティ手段が実装さ
れるまでローカルユーザ名とパスワードのペアを使用することをお勧
めします。 )
2.
スイッチのどのポートをオーセンティケータまたはサプリカントとし
て動作させるかを決定し、これらのポートで LACP を無効にします。
(8- 11 ページの「802.1x および LACP に関する注記」を参照してくだ
さい。 )
3.
802.1x 対応でないクライアントにオプションの 802.1x Open VLAN モー
ドを使用するかを決定します。つまり、 802.1x サプリカントソフト
ウェアを実行していないクライアント用の設定です。 ( この設定では、
認証セッションを有効にするためにクライアントが使用するダウン
ロード可能なソフトウェアを用意する必要があります。 ) このトピック
については、 8- 21 ページの「802.1x Open VLAN モード」を参照してく
ださい。
4.
サプリカントとして動作させる各ポートに対して、ユーザ名とパス
ワードのペアを決定します。各ポートに同じペアを使用することも、
個々のポートやポートのサブグループに固有のペアを使用することも
できます。 ( また、スイッチに割り当てたのと同じローカルユーザ名
とパスワードのペアも使用できます。 )
5.
802.1x 認証にスイッチのローカルユーザ名とパスワードのみを使用す
る場合を除き、 (802.1x サプリカントとして動作するスイッチポートを
含む ) 外部サプリカントからスイッチのポートを介して受け取るアク
セス要求を認証するために、少なくとも 1 つの RADIUS サーバを設定
します。認証用に最大 3 つの RADIUS サーバ (1 つがプライマリで 2 つ
がバックアップ ) を使用できます。使用する RADIUS アプリケーショ
ンに付属のマニュアルを参照してください。
ポートベースのアクセス制御 (802.1x) の設定
ポートベースのアクセス制御 (802.1x) の基本的な設定手順
概要 : スイッチでの 802.1x 認証の設定
ここでは、スイッチでの 802.1x の設定手順について概説します。各手順の
詳細は、 5- 1 ページの「RADIUS 認証およびアカウンティング」または
8- 35 ページの「802.1x サプリカントとしてスイッチポートを設定し、他
のスイッチと接続」を参照してください。
1.
オーセンティケータとして機能させる個々のポートで 802.1x 認証を有
効にします。オーセンティケータとして使用するポートで、デフォルト
の 802.1x 設定を使用するか、必要に応じて変更します。デフォルトで、
スイッチのすべてのポートでポート制御パラメータは [auto] に設定さ
れていることに注意してください。この場合、クライアントが 802.1x
認証をサポートし、ネットワークアクセスを取得するために有効な証明
情報を提供する必要があります。 8- 15 ページを参照してください。
2.
802.1x サプリカントソフトウェアがないクライアントに対して、認証
セッションを開始できるソフトウェアをダウンロードするためのパス
を提供するポートで 802.1x Open VLAN モードを有効にします。 8- 21
ページを参照してください。
3.
802.1x 認証方式を設定します。オプションには次のものがあります。
•
ローカルオペレータのユーザ名とパスワード ( デフォルト ): このオ
プションにより、クライアントはスイッチのローカルユーザ名と
パスワードをネットワークアクセス用の 802.1x 証明情報として使
用できます。
•
EAP RADIUS: このオプションでは、 RADIUS サーバのアプリケー
ションが 802.1x 用の EAP 認証をサポートしている必要がありま
す。
•
CHAP (MD5) RADIUS : このオプションでは、 RADIUS サーバのアプ
リケーションが CHAP (MD5) 認証をサポートしている必要があり
ます。
8- 19 ページを参照してください。
注記
4.
手順 3 で [eap-radius] または [chap-radius] を選択した場合、 radius
host コマンドを使用して最大 3 つの RADIUS サーバの IP アドレスをス
イッチに設定できます。 8- 20 ページを参照してください。
5.
スイッチで802.1x認証を有効にします。8- 15ページを参照してください。
6.
ポートアクセスを設定したポートで 802.1x 認証が適切に機能すること
を確認するために、システムへの認可アクセスと未認可アクセスの両
方のテストを行います。
スイッチにオプションのポートセキュリティ機能 ( 手順 7) を実装する場
合、まず 802.1x オーセンティケータとして設定したポートが正しく動作す
ることを確認します。
8-13
ポートベースのアクセス制御 (802.1x) の設定
ポートベースのアクセス制御 (802.1x) の基本的な設定手順
8-14
7.
スイッチでポートセキュリティを使用する場合、スイッチの 802.1x オ
ペレーション用に設定したポートでは、 802.1x アクセスのみを許可す
るように設定し、 ( 必要に応じて ) 未認可機器が 802.1x ポートを介し
てアクセスしようとした場合に実行する処置を設定します。 8- 33 ペー
ジを参照してください。
8.
他の機器の 802.1x オーセンティケータとして動作するポートと接続し
て、スイッチのポートをサプリカントとして動作させる場合、サプリ
カントオペレーションを設定します。 (8- 35 ページの「802.1x サプリ
カントとしてスイッチポートを設定し、他のスイッチと接続」を参照
してください。 )
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
スイッチポートを 802.1x オーセンティ
ケータとして設定する
802.1x 認証コマンド
[no] aaa port-access authenticator < [ethernet] < port-list >
[control | quiet-period | tx-period | supplicant-timeout |
server-timeout | max-requests | reauth-period | auth-vid |
unauth-vid | initialize | reauthenticate | clear-statistics]
aaa authentication port-access
ページ
8- 15
8- 15
8- 19
< local | eap-radius | chap-radius >
[no] aaa port-access authenticator active
8- 15
[no] port-security [ethernet] < port-list > learn-mode portaccess
8- 33
802.1x Open VLAN モードコマンド
8- 21
802.1x サプリカントコマンド
8- 35
802.1x 関連の show コマンド
8- 39
RADIUS サーバの設定
8- 20
1. 選択したポートで 802.1x 認証を有効にする
このタスクでは、 802.1x 対応クライアントまたはスイッチとのポイント
ツーポイントリンクで接続しているポートに、 802.1x オーセンティケー
タの設定を行います。 ( 実際の 802.1x オペレーションは、 8- 13 ページの手
順 5 を実行してスイッチで 802.1x 認証をアクティブにしないと開始されま
せん。 )
注記
802.1x 認証をポートで有効にすると、スイッチは自動的にポートの LACP
を無効にします。ただし、ポートが既に LACP トランクで動作している場
合、 802.1x 認証を設定する前にポートをトランクから削除する必要があり
ます。
8-15
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
構文 :
aaa port-access authenticator < port-list >
802.1x オーセンティケータとして動作させるポートを
指定します。 ( オーセンティケータのオプション設定
はポートごとに設定可能です。 ) 設定した 802.1x オペ
レーションをアクティブにするには、 802.1x 認証を有
効にする必要があります。 8- 13 ページの「5. スイッ
チで 802.1x 認証を有効にします。」を参照してくださ
い。
[control < authorized | auto | unauthorized >]
以下のように、指定したポートで認証モードをコント
ロールします。
authorized: 強制認可を意味します。ポートに接続さ
れているどの機器にもアクセスを認可します。この場
合、機器は 802.1x 証明情報の提供および 802.1x 認証
のサポートは必要ありません。 ( ただし、ポートにコ
ンソール、 telnet、または SSH のセキュリティは設定
できます。 )
auto ( デフォルト ): ポートに接続されている機器は
802.1x 認証をサポートし、ネットワークにアクセスす
るために有効な証明情報を提供する必要があります。
(802.1x サプリカントソフトウェアが実装されていな
いクライアントには、 Open VLAN モードオプション
を使用することで、サプリカントソフトウェアをダ
ウンロードさせ、認証プロセスを開始させることがで
きます。 8- 21 ページの「802.1x Open VLAN モード」
を参照してください。 )
unauthorized: 強制未認可を意味します。機器の提供
する証明情報が正しいかどうか、 802.1x をサポートし
ているかどうかによらず、ネットワークアクセスは
認可されません。この場合、ポートはどの接続機器へ
のアクセスもブロックします。
[quiet-period < 0 - 65535 >]
ポートがサプリカントの要求を受け付けない時間を設
定します。このタイムアウトは、 [max-requests] パラ
メータ ( 次ページ ) の試行回数に達した時点から開始
されます。 ( デフォルト : 60 秒 )
[tx-period < 0 - 65535 >]
認証セッション中に次の EAPOL PDU を転送するまで
の待ち時間を設定します。 ( デフォルト : 30 秒 )
8-16
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
[supplicant-timeout < 1 - 300 >]
EAP 要求へのサプリカント応答に対するスイッチの
待ち時間を設定します。設定した時間内にサプリカン
トから応答がなかった場合、セッションはタイムアウ
トになります。 ( デフォルト : 30 秒 )
aaa port-access authenticator < port-list >
[server-timeout < 1 - 300 >]
認証要求へのサーバ応答に対するスイッチの待ち時間
を設定します設定した時間内に応答がない場合、ス
イッチは認証試行がタイムアウトしたものと判断しま
す。現在の [max-requests] 設定によって、スイッチ
は新しい要求をサーバに送信するか認証セッションを
終了するかを決定します。 ( デフォルト : 30 秒 )
[max-requests < 1 - 10 >]
認証試行回数を設定します。 1 回以上認証に失敗し、
試行回数がこの値に達した場合、認証セッションが終
了した時点からタイムアウトが開始されます。ローカ
ル認証オプションを使用している場合か、 1 台のサー
バのみで RADIUS 認証を実行している場合、クライア
ントが新しいアクセス試行を行うまでスイッチは新た
なセッションを開始しません。 2 台または 3 台のサー
バで RADIUS 認証を実行している場合、認証プロセス
が開始されるか試行するサーバがなくなるまでスイッ
チは各サーバで順番にセッションを開始します。
[quiet-period] ( 前ページ ) にタイムアウト時間が設定
されている場合、この時間中に [max-requests] のパラ
メータ設定を変更することはできません。 ( デフォル
ト : 2)
[reauth-period < 1 - 9999999 >]
接続されているクライアントを再認証するまでの時間
を設定します。タイムアウトが 0 に設定されている場
合、再認証は行われません。 ( デフォルト : 0 秒 )
[unauth-vid < vlan-id >]
既存のスタティック VLAN を未認可クライアント
VLAN に設定します。これにより、サプリカントソフ
トウェアを持たないクライアントに、認証セッション
が開始できるソフトウェアをダウンロードさせるため
のパスを提供できます。 8- 21 ページの「802.1x Open
VLAN モード」を参照してください。
8-17
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
[auth-vid < vid >
既存のスタティック VLAN を認可クライアント VLAN
に設定します。 8- 21 ページの「802.1x Open VLAN
モード」を参照してください。
aaa port-access authenticator < port-list >
[initialize]
特定のポートで、インバウンドおよびアウトバウンド
トラフィックをブロックして、 802.1x 認証プロセスを
再起動します。これは [control auto] に設定されてい
るポートで、 802.1x オーセンティケータとして動作中
のポートのみに実行されます。注記 : 指定するポート
に [control authorized] および [port-security] が設定さ
れていて、このポートが認可アドレスを学習していた
場合、ポートはこのアドレスを削除し、その後受信し
た最初のパケットから新しいアドレスを学習します。
[reauthenticate]
( オーセンティケータが「HELD」状態になっていな
い限り ) 強制的に再認証します。
[clear-statistics]
オーセンティケータの統計カウンタをクリアします。
8-18
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
2. 802.1x 認証方式の設定
このタスクでは、サプリカントからの証明情報を 802.1x オーセンティケー
タとして設定されたスイッチが認証する方法を指定します。
構文 :
aaa authentication port-access < local | eap-radius | chap-radius >
使用する RADIUS 認証のタイプを決定します。
local: サプリカントの認証に、スイッチのローカルユーザ
名とパスワードを使用します。
eap-radius: EAP-RADIUS 認証を使用します。 ( 使用する
RADIUS サーバのマニュアルを参照してください。 )
chap-radius: CHAP-RADIUS (MD-5) 認証を使用します。 ( 使
用する RADIUS サーバのマニュアルを参照してください。 )
たとえば、スイッチで 1 つまたは複数の EAP 対応 RADIUS サーバを使用し
て 802.1x 認証を実行できるようにするには、以下のようにします。
EAP-RADIUS 認証用
の設定コマンド
EAP-RADIUS 認証用
に設定された 802.1x (
ポートアクセス )
図 8-3. 802.1x ( ポートアクセス ) 認証の例
8-19
ポートベースのアクセス制御 (802.1x) の設定
スイッチポートを 802.1x オーセンティケータとして設定する
3. RADIUS ホスト IP アドレスの入力
認証方式に [eap-radius] または [chap-radius] を選択する場合、認証用に 1
～ 3 台の RADIUS サーバをスイッチに設定できます。以下は基本的なコマ
ンドの構文です。 RADIUS サーバに関連するすべてのコマンドを参照する
には、 5- 1 ページの「RADIUS 認証およびアカウンティング」を参照して
ください。
構文 :
radius host < ip-address >
サーバを RADIUS の設定に追加します。
[key < server-specific key-string >]
オプション。指定したサーバでの認証 ( またはアカウ
ンティング ) セッション中に使用する暗号キーを指定
します。このキーは、 RADIUS サーバで使用される
キーと一致しなければなりません。グローバル暗号
キーとは別のキーをサーバに指定する場合のみこのオ
プションを使用します。
radius-server key < global key-string >
スイッチがサーバ固有のキーを持たないサーバとの
セッションで使用するグローバル暗号キーを指定しま
す。 radius host コマンドですべての RADIUS サーバに
サーバ固有の暗証キーを設定している場合は、グロー
バル暗号キーを設定する必要はありません。
4. スイッチで 802.1x 認証を有効にする
前述の 4 つの項で説明されているように 802.1x 認証を設定した後、以下の
コマンドで認証機能をアクティブにします。
構文 :
aaa port-access authenticator active
オーセンティケータとして設定したポートで 802.1x ポート
アクセスをアクティブにします。
8-20
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x Open VLAN モード
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカントコマンド
8- 36 ページ
802.1x Open VLAN モードコマンド
[no] aaa port-access authenticator [e] < port-list >
8- 31 ページ
[auth-vid < vlan-id >]
[unauth-vid < vlan-id >]
802.1x 関連の show コマンド
8- 39 ページ
RADIUS サーバの設定
8- 20 ページ
この項では、 802.1x オーセンティケータとして設定したポートに未認可ク
ライアントと認可クライアント VLAN を設定する、 802.1x Open VLAN モー
ドの使用方法について説明します。
はじめに
ポートに 802.1x Open VLAN モードを設定すると、新しいクライアントを
検出した際のポートの応答方法が変わります。以前のリリースでは、
802.1x サプリカントソフトウェアを実行していない「フレンドリ」クライ
アントコンピュータは、 802.1x アクセスセキュリティで保護されたポー
トでは認証できませんでした。ポートがブロックされ、クライアントは
ネットワークにアクセスできず、その結果、以下のようなことが実行でき
ませんでした。
■
DHCP サーバからの IP アドレスの取得
■
認証セッションに必要な 802.1x サプリカントソフトウェアのダウ
ンロード
802.1x Open VLAN モードでは、ポートの静的なタグ付およびタグ無 VLAN
のメンバシップを一時的に無効にし、このポートを、指定された未許可ク
ライアント VLAN に配置することで、この問題を解決します。これによ
り、クライアントは IP アドレスや 802.1x ソフトウェアの取得、および認
証プロセスが開始できるような初期設定用サービスを開始できます。
802.1x によるクライアント認証に成功すると、ポートは未許可クライアン
ト VLAN ( タグ無 ) の一時的なメンバシップを廃棄し、タグ無メンバとして
次のいずれかに参加 ( 再参加 ) します。
8-21
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
1.
第 1 優先 : ポートは、 RADIUS サーバが認証プロセスで割り当てる
VLAN に参加します。
2.
第 2 優先 : RADIUS 認証でポートに VLAN が割り当てられなかった場
合、スイッチは、認証ポートの 802.1x 設定に認可クライアント VLAN
が設定されていれば、その VLAN をポートに割り当てます。
3.
第 3 優先 : ポートに認可クライアント VLAN は設定されていないが、
静的なタグ付メンバシップが設定されている場合、スイッチはこの
VLAN にポートを割り当てます。
ポートに上記のいずれも設定されていない場合、認証ポートは少なくとも
1 つのスタティック VLAN のタグ付メンバに設定されているはずです。ク
ライアントがタグ付 VLAN での動作をサポートしていれば、その VLAN に
アクセスできます。そうでない場合、接続は失敗します。
注記
クライアント認証の完了後、ポートは設定されている任意のタグ付 VLAN
のメンバシップを再開します。ポートが上記の 1 または 2 として用いられ
ているタグ付 VLAN に属している場合、クライアントが接続されている
間、ポートはその VLAN のタグ無メンバとして動作します。クライアント
が切断されると、ポートはこの VLAN のタグ付メンバシップに戻ります。
802.1x Open VLAN モードモデルを使用する
複数の方法で 802.1x Open VLAN モードを適用できます。使用方法によっ
ては、スイッチに各 802.1x Open VLAN モード認証専用の 1 つまたは 2 つ
のスタティック VLAN を作成する必要があります。
8-22
■
未認可クライアントVLAN: 未認証のフレンドリクライアントが認
証される前にアクセスしなければならないサービスがいくつかあ
る場合、この VLAN を設定します。
■
認可クライアント VLAN: 認証ポートがクライアント向けのタグ無
メンバとして静的に設定されていない場合、もしくは認証ポート
がクライアント向けではないタグ無メンバとして設定されている
場合に、認証済クライアント用としてこの VLAN を設定します。
(1 つのポートに設定できるタグ無 VLAN は 1 つのみです。認可ク
ライアント VLAN は常にタグ無メンバで、ポートに静的に設定さ
れている別のタグ無 VLAN からのポートの使用をブロックします。
) クライアント認証の完了後、ポートは設定されている任意のタグ
付 VLAN のメンバシップに戻ることに注意してください。上の
「注記」を参照してください。
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
Table 8-1. 802.1x Open VLAN モードオプション
802.1x ポートごとの設定
ポートの応答
Open VLAN モード
なし :
ポートは認証セッションを開始できないクライアントを自
動的にブロックします。
以下の両方が設定されている Open VLAN モード :
未認可クライアント
VLAN:
• ポートがクライアントを検出した場合、ポートは自動的
にこの VLAN のタグ無メンバになります。あらかじめ
ポートが VLAN の静的なタグ付メンバとして設定されて
いる場合、クライアントが認証されるまでの間、メンバ
シップは一時的にタグ無に変更されます。
• 既にポートが別の VLAN のタグ無メンバとして静的に設定
されている場合、ポートが未認可クライアント VLAN に
設定されている間、一時的に他の VLAN へのアクセスを
クローズします。
• セキュリティリスクを抑制するために、未認可クライア
ント VLAN で提供するネットワークサービスおよびアク
セスは、クライアントが認証セッションを開始するのに
必要なものだけに留めてください。またポートが他の
VLAN のタグ付メンバとして静的に設定されている場合、
ポートが未認可クライアント VLAN のメンバである間は、
これらの VLAN へのアクセスはブロックされます。
認可クライアント VLAN: ･クライアントが認証されたら、ポートは未認可クライア
ント VLAN のメンバシップを破棄し、この VLAN のタグ
無メンバになります。
注記 : RADIUS 認証で VLAN が割り当てられる場合、クラ
イアントが接続されている間、ポートは一時的に認可ク
ライアント VLAN の代わりに RADIUS から割り当てられた
VLAN のメンバになります。
･ポートが VLAN のタグ付メンバとして静的に設定されて
いて、この VLAN が認可クライアント VLAN として使用
されている場合、クライアントが認証される際にポート
は一時的にこの VLAN のタグ無メンバになります。クラ
イアントが切断されると、ポートはこの VLAN のタグ付
メンバシップに戻ります。
･ポートが 802.1x Open VLAN モードに使用されない VLAN
のタグ付メンバとして静的に設定されている場合、ポー
トは認証に成功し次第、この VLAN のタグ付メンバシッ
プに戻ります。これは、 RADIUS サーバがポートを別の認
可 VLAN に割り当てた場合でも同様です。ポートが VLAN
のタグ付メンバとしてすでに設定されていて、この VLAN
が RADIUS によって認可 VLAN として割り当てられてい
る場合、クライアントの接続中、ポートはこの VLAN の
タグ無メンバになります。クライアントが切断されると、
ポートはこの VLAN のタグ付メンバシップに戻ります。
8-23
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x ポートごとの設定
ポートの応答
未認可クライアント VLAN のみが設定されている Open VLAN モード
• ポートがクライアントを検出した場合、ポートは自動的に
この VLAN のタグ無メンバになります。セキュリティリス
クを軽減するために、未認可クライアント VLAN で提供す
るネットワークサービスおよびアクセスは、クライアント
が認証セッションを開始するのに必要なものだけに留め
てください。既にポートが別の VLAN のタグ無メンバとし
て静的に設定されている場合、スイッチは未認可クライア
ント VLAN にメンバシップが存在する間、一時的にこの他
の VLAN のメンバシップからポートを削除します。
• クライアントが認証された後に、ポートが他の VLAN のタ
グ無メンバとして静的に設定された場合、この他の VLAN
へのポートアクセスは復元されます。
注記 : RADIUS 認証でポートに VLAN が割り当てられる場
合、 ( クライアントが接続されている間 ) この割り当ては、
このポートに静的に設定されているタグ無 VLAN メンバ
シップを無効にします。
• ポートが 802.1x Open VLAN モードに使用されない VLAN の
タグ付メンバとして静的に設定されている場合、ポートは
クライアント認証に成功し次第、この VLAN のタグ付メン
バシップに戻ります。これは、 RADIUS サーバがポートを
別の認可 VLAN に割り当てた場合でも同様です。ポートが
VLAN のタグ付メンバとしてすでに設定されていて、この
VLAN が認可 VLAN として割り当てられている場合、クラ
イアントの接続中、ポートはこの VLAN のタグ無メンバに
なることに注意してください。クライアントが切断される
と、ポートはこのVLANのタグ付メンバシップに戻ります。
8-24
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x ポートごとの設定
ポートの応答
認可クライアント VLAN のみが設定されている Open VLAN モード
• ポートは認証セッションを開始できないクライアントを
自動的にブロックします。
• クライアントが正常に認証セッションを終了すると、
ポートはこの VLAN のタグ無メンバとなります。
注記 : RADIUS 認証で VLAN が割り当てられる場合、クラ
イアントが接続されている間、ポートは一時的に認可ク
ライアント VLAN の代わりに RADIUS から割り当てられ
た VLAN のタグ無メンバになります。
• ポートが他の VLAN のタグ付メンバとして静的に設定され
ている場合、ポートはクライアント認証に成功し次第、
この VLAN のタグ付メンバシップに戻ります。これは、
RADIUS サーバがポートを別の認可 VLAN に割り当てた場
合でも同様です。ポートが VLAN のタグ付メンバとして
すでに設定されていて、この VLAN が RADIUS によって
認可 VLAN として割り当てられている場合、クライアン
トの接続中、ポートはこの VLAN のタグ無メンバになり
ます。クライアントが切断されると、ポートはこの VLAN
のタグ付メンバシップに戻ります。
8-25
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
認可クライアントおよび未認可クライアント VLAN
の動作ルール
状態
規則
認可クライアントまたは未認可
クライアント VLAN として使用
802.1x オーセンティケータポートを設定してこれらの VLAN
を使用する前に、これらの VLAN をスイッチに設定する必要
があります。 (vlan < vlan-id > コマンドを使用するか、メ
ニューインタフェースの [VLAN Menu] 画面を使用します。 )
するスタティック VLAN
RADIUS サーバから受信した
VLAN 割り当て
RADIUS サーバが 802.1x オーセンティケータポートに接続さ
れている認証済サプリカントに VLAN を指定する場合、オー
センティケータポートに設定されている認可クライアント
VLAN よりも、こちらの VLAN の割り当てが優先されます。
これは、両方の VLAN がタグ無で、スイッチはポートごとに
タグ無 VLAN を 1 つのみ許可するためです。たとえば、ポー
ト A4 を VLAN 20 の認証済サプリカントに設定したとします。
RADIUS サーバがサプリカント「A」を認証し、このサプリカ
ントを VLAN 50 に割り当てると、ポートはクライアントセッ
ション中はタグ無メンバとして VLAN 50 にアクセスできま
す。クライアントがポートから切断された場合、ポートはこ
の割り当てを破棄して、このポート用に静的に設定されてい
るタグ無 VLAN メンバシップを使用します。 ( クライアント
認証の完了後、ポートは設定されている任意のタグ付 VLAN
のメンバシップを再開します。詳細は、 8- 22 ページの「注
記」を参照してください。 )
クライアントセッション中の一
時的な VLAN メンバシップ
• 未認可クライアント VLAN として動作するように割り当て
られる VLAN のポートメンバシップは一時的なもので、ク
ライアントが認証を受けるか、クライアントがポートから
切断されると終了します。
• 認可クライアント VLAN として動作するように割り当てら
れる VLAN のポートメンバシップも一時的なもので、クラ
イアントがポートから切断されると終了します。 RADIUS
サーバからの VLAN 割り当てが代わりに使用される場合
も、同じ規則が適用されます。
タグ無ポート VLAN メンバシッ
プへの未認可クライアント VLAN
セッションの影響
• 既に静的なタグ無 VLAN に設定されているポートに未認可
クライアントを接続すると、スイッチは一時的に ( タグ無
の ) 未認可クライアント VLAN にポートを設定します。 ( 未
認可クライアント VLAN が使用中の間は、ポートは静的な
タグ無 VLAN にはアクセスできません。
• クライアントが認証された、または切断された場合、ポー
トは未認可クライアント VLAN から離れて静的に設定され
た VLAN のタグ無メンバシップを再取得します。
8-26
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
状態
規則
タグ無ポート VLAN メンバシッ
プへの認可クライアント VLAN
セッションの影響
• 既に静的なタグ無 VLAN に設定されているポートの認可ク
ライアントになった場合、スイッチは一時的にポートを (
タグ無の ) 認可クライアント VLAN に設定します。認可ク
ライアント VLAN が使用中の間は、ポートは静的に設定さ
れたタグ無 VLAN にはアクセスできません。
• 認証済のクライアントが切断されると、スイッチは認可ク
ライアント VLAN からポートを削除して、ポートを静的に
設定されている VLAN 内のタグ無メンバシップに戻しま
す。 ( クライアント認証の完了後、ポートは設定されてい
る任意のタグ付 VLAN のメンバシップを再開します。詳細
は、 8- 22 ページの「注記」を参照してください。 )
複数のオーセンティケータポー
トが同じ未認可クライアントお
よび認可クライアント VLAN を
使用する
スイッチに設定されているすべての 802.1x オーセンティケー
タポートに対して、同じスタティック VLAN を未認可クライ
アント VLAN として設定できます。同様に、スイッチに設定
されているすべての 802.1x オーセンティケータポートに対し
て、同じスタティック VLAN を認可クライアント VLAN とし
て設定できます。
CAUTION: 未認可と認可クライアント VLAN で同じスタ
ティック VLAN を使用しないでください。両方で 1 つの
VLAN を使用すると、未認可クライアントを隔離できなくな
り、セキュリティリスクが生じます。
失敗したクライアント認証試行
の影響
802.1x オーセンティケータポートに未認可クライアント
VLAN が設定されている場合、ポートに接続されている未認
可クライアントは、未認可クライアント VLAN に所属する
ネットワークリソースのみにアクセスできます。クライアン
トがポートから切断されるまで、このアクセスは継続されま
す。 ( オーセンティケータポートに未認可クライアント
VLAN が設定されていない場合、ポートは単に認証されてい
ない未認可クライアントのアクセスをブロックします。 )
802.1x Open VLAN モードに設定
されているポートに接続するク
ライアントの IP アドレス
クライアントは、 DHCP サーバから取得した IP アドレスか、
スイッチに接続する前にあらかじめ手動で設定された IP ア
ドレスのどちらかを使用できます。
802.1x Open VLAN モードに設定
されているポートに接続するク
ライアントの 802.1x サプリカン
トソフトウェア
802.1x サプリカントソフトウェアを持たないフレンドリクライ
アントをオーセンティケータポートに接続する場合は、認証が
開始できるように未認可クライアント VLANからこのソフトウェ
アをダウンロードできるようになっている必要があります。
注記
すべてのオーセンティケータポートに、同一の未認可クライアント VLAN を
設定すると、別のポートの未認証クライアントと互いに通信できるようにな
ります。このとき、スイッチのソースポートフィルタリング機能を用いるこ
とで、オーセンティケータポート間のセキュリティを強化できます。たとえ
ば、同じ未認可クライアント VLAN のオーセンティケータポートとしてポー
ト B1 と B2 を使用している場合、ポート B1 にソースポートフィルタを設定
して、ポート B2 と送受信するすべてのパケットを破棄することができます。
8-27
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x Open VLAN モードの設定と構成
準備。この項では、未認可クライアントおよび認可クライアント VLAN の
両方を使用するものとします。他のオプションについては、 8-23 ページの
表 8-1 を参照してください。 )
802.1x Open VLAN モードをポートに設定する前に、以下のことを実行しま
す。
■
CAUTION
スイッチに「未認可クライアント VLAN」を静的に設定します。こ
の VLAN に所属するポートは、未認証クライアントが使用するサー
ビスへのアクセスを提供するポートのみです。(802.1x オーセンティ
ケータポートをこの VLAN のメンバにする必要はありません。 )
この VLAN で、未認可クライアントにさらすとセキュリティリスクが生じ
るようなポートメンバシップやネットワークサービスは提供しないでく
ださい。
■
スイッチに認可クライアント VLAN を静的に設定します。この
VLAN に所属するポートは、認証クライアントが利用するサービ
スへのアクセスを提供するポートのみです。 802.1x オーセンティ
ケータポートをこの VLAN のメンバにする必要はありません。
802.1x オーセンティケータポートが他の VLAN のタグ無メンバである
場合、認証クライアントがポートに接続されている間、このタグ無
VLAN へのポートアクセスは一時的に削除されることに注意してくだ
さい。たとえば以下のような場合です。
i. ポート A5 が VLAN 1 ( デフォルト VLAN) のタグ無メンバ
ii. ポート A5 を 802.1x オーセンティケータポートとして設定する
iii. ポート A5 に認可クライアント VLAN を設定する
次に、クライアントがポート A5 に接続されていて認証済の場合、
ポート A5 は認可クライアント VLAN のタグ無メンバとなり、一時的
にデフォルト VLAN のメンバシップから外れます。
8-28
■
802.1x サプリカントソフトウェアを持たないフレンドリクライア
ントを接続する場合、 802.1x サプリカントソフトウェアをクライ
アントにダウンロードさせるためのサーバを未認可クライアント
VLAN 内に配置し、クライアントがダウンロードを開始できるよ
うにします。
■
クライアントは、スイッチへの接続前に有効な IP アドレスがあら
かじめ設定されているか、もしくは未認可クライアント VLAN を
介して DHCP サーバから IP アドレスを取得する必要があります。
後者の場合、未認可クライアント VLAN のクライアントに対して
DHCP サービスを提供する必要があります。
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
■
802.1x オーセンティケータとして設定されているポートを介して
受け取るクライアントからの認証要求を処理する RADIUS サーバ
が、スイッチに接続されていることを確認します。 (RADIUS サーバ
は未認可クライアント VLAN に所属しないようにします。 )
RADIUS 認証の代わりにローカルパスワード認証を使用するようにスイッ
チを設定できることに注意してください。ただし、すべてのクライアント
が同じパスワードを使用し同じアクセス権限を持つことになり、あまり望
ましくありません。また、スイッチのローカルパスワードの使用をサポー
トする 802.1x サプリカントソフトウェアを使用しなければなりません。
CAUTION
未認可クライアントがアクセスするとセキュリティが侵害される可能性の
あるネットワークサービス、およびリソースへ未認可クライアント VLAN
からアクセスできないようにしてください。
基本的な 802.1x オペレーションの設定。802.1x VLAN オペレーションを設
定する前に、これらの手順で 802.1x 認証を有効にし設定を完了する必要が
あります。
1. オーセンティケータとして機能させる個々のポートで 802.1x認証を有効
にします。 ( スイッチは自動的に、 802.1x を有効にしたポートの LACP
を無効にします。) オーセンティケータに Open VLAN の設定をするポー
トのポート制御パラメータが、 [auto] に設定されていることを確認して
ください。 (8- 15 ページの「 1. 選択したポートで 802.1x 認証を有効にす
る」を参照してください。 ) この設定では、 (802.1x サプリカントオペ
レーションの ) 802.1x 認証をサポートし、ネットワークアクセスを取得
するための有効な証明情報を提供できるクライアントが必要です。
構文 :
aaa port-access authenticator e < port-list > control auto
オーセンティケータとして設定したポートで 802.1x ポート
アクセスをアクティブにします。
2. 802.1x 認証方式を設定します。オプションには次のものがあります。
構文 :
aaa authentication port-access < local | eap-radius | chap-radius >
使用する RADIUS 認証のタイプを決定します。
local: サプリカント認証に、スイッチのローカルユーザ名
とパスワードを使用します ( デフォルト )。
eap-radius: EAP-RADIUS 認証を使用します。 ( 使用する
RADIUS サーバのマニュアルを参照してください。 )
chap-radius: CHAP-RADIUS (MD-5) 認証を使用します。 ( 使
用する RADIUS サーバソフトウェアのマニュアルを参
照してください。 )
8-29
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
3. 手順 2 で [eap-radius] または [chap-radius] を選択した場合、 radius
host コマンドを使用して最大 3 つの RADIUS サーバの IP アドレスを
スイッチに設定できます。
構文 :
radius host < ip-address >
サーバを RADIUS の設定に追加します。
[key < server-specific key-string >]
オプション。指定したサーバで使用する暗号キーを指
定します。このキーは、 RADIUS サーバで使用される
キーと一致しなければなりません。グローバル暗号
キーとは別のキーをサーバに指定する場合のみこのオ
プションを使用します。
radius-server key < global key-string >
スイッチがサーバ固有のキーを持たないサーバとの
セッションで使用するグローバル暗号キーを指定しま
す。 radius host コマンドですべての RADIUS サーバに
サーバ固有の暗証キーを設定している場合は、グロー
バル暗号キーを設定する必要はありません。
4. スイッチで 802.1x 認証をアクティブにします。
構文 :
aaa port-access authenticator active
オーセンティケータとして設定したポートで 802.1x
ポートアクセスをアクティブにします。
5. ポートアクセスを設定したポートで 802.1x 認証が適切に機能するこ
とを確認するために、システムへの認可アクセスと未認可アクセスの
両方のテストを行います。
注記
スイッチでオプションのポートセキュリティ機能を実装する場合、まず
802.1x オーセンティケータとして設定されたポートが正しく動作すること
を確認します。次に、 8- 33 ページの「オーセンティケータポートのオプ
ション : 802.1x 機器でのみ許可されるポートセキュリティの設定」を参照
してください。
手順 1 ～ 5 を終了すると、設定したポートの (VLAN オペレーションなしで )
802.1x 認証が有効になり、これで VLAN オペレーションの設定準備は完了で
す。
8-30
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x Open VLAN モードの設定。これらのコマンドを使用して実際に
Open VLAN モードを設定します。Open VLAN モードを使用するスイッチの
準備に必要な手順の一覧については、 8- 28 ページの「準備」を参照してく
ださい。
構文 :
aaa port-access authenticator [e] < port-list >
[auth-vid < vlan-id >]
既存のスタティック VLAN を認可クライアント VLAN に
設定します。
[< unauth-vid < vlan-id >]
既存のスタティック VLAN を未認可クライアント VLAN
に設定します。
たとえば、ポート A10 ～ A20 に Open VLAN モードの 802.1x ポートアクセ
スを設定します。
■
これらの 2 つのスタティック VLAN は既にスイッチに存在します。
•
•
未認可、 VID = 80
認可、 VID = 81
■
使用する RADIUS サーバの IP アドレスは 10.28.127.101 です。サーバ
固有のキー文字列として rad4all を使用します。サーバはデフォル
ト VLAN のポートに接続されています。
■
スイッチのデフォルト VLAN には既に IP アドレス 10.28.127.100 と
ネットワークマスク 255.255.255.0 が設定されています。
ProCurve(config)# aaa authentication port-access eap-radius
スイッチに EAP-RADIUS サーバを使用する 802.1x 認証を設定します。
ProCurve(config)# aaa port-access authenticator a10-a20
ポート A10 ～ A20 を 802.1x オーセンティケータポートとして設定します。
ProCurve(config)# radius host 10.28.127.101 key rad4all
IP アドレス 10.28.127.101、暗号キー rad4all の RADIUS サーバを検索するようにス
イッチを設定します。
ProCurve(config)# aaa port-access authenticator e a10-a20 unauth-vid 80
未認可クライアント VLAN としてVLAN 80を使用するようにポート A10 ～ A20を設定します。
ProCurve(config)# aaa port-access authenticator e a10-a20 auth-vid 81
認可クライアント VLAN として VLAN 81 を使用するようにポート A10 ～ A20 を設定します。
ProCurve(config)# aaa port-access authenticator active
オーセンティケータとして設定したポートで 802.1xポートアクセスをアクティブにします。
8-31
ポートベースのアクセス制御 (802.1x) の設定
802.1x Open VLAN モード
802.1x Open VLAN モードオペレーションの検査。現在の Open VLAN
モードオペレーションの表示に関する情報と例については、 8- 41 ページ
の「802.1x Open VLAN モードのステータス表示」を参照してください。
802.1x Open VLAN の運用上の注記
8-32
■
未認可クライアント VLAN と認可クライアント VLAN の Open VLAN
モードは、同じ VLAN に設定できますが、これはお勧めしません。
同じ VLAN を使用すると、認証クライアントのみを対象とする
VLAN に未認証クライアントのアクセスを許可することになり、
セキュリティが損なわれます。
■
ポートで未認可クライアント VLAN が使用されている間、スイッチ
はこのポートがメンバとして静的に設定されている他の VLAN か
ら一時的にこのポートを削除します。この場合でも、メニューイ
ンタフェースには、このポートに静的に設定された VLAN が表示
されることに注意してください。
■
未認可クライアント VLAN として用いられている VLAN には、未認
可クライアントから保護しなければならないリソースへのアクセ
スを許可しないでください。
■
ポートが、未認可クライアント VLAN、認可クライアント VLAN、
または RADIUS が割り当てる VLAN に使用されない VLAN 「X」の
タグ付メンバとして設定されている場合、ポートはクライアント
認証に成功し次第、 VLAN 「X」のタグ付メンバシップに戻ります。
これは、 RADIUS サーバがポートを別の認可 VLAN 「Y」に割り当
てた場合でも同様です。 RADIUS によって VLAN 「X」が認可
VLAN として割り当てられている場合、クライアントの接続中、
ポートは VLAN 「X」のタグ無メンバになります。クライアントが
切断されると、ポートは VLAN 「X」のタグ付メンバシップに戻り
ます。 ( 認可クライアント VLAN と RADIUS が割り当てる VLAN が
設定されていなければ、タグ付 VLAN 機能を持たない認証済クラ
イアントは、ポートに静的に設定されているタグ無 VLAN にしか
アクセスできません。 )
■
未認可クライアント VLAN でクライアントの認証試行が失敗した場
合、ポートは、クライアントが切断されるまで未認可クライアン
ト VLAN のメンバのままです。
■
802.1x Open VLAN モードのポートで、認証セッション中に RADIUS
がタグ無 VLAN のメンバシップを指定した場合、この割り当ては
ポートに設定されている認可クライアント VLAN のメンバシップ
よりも優先されます。ポートに認可クライアント VLAN が設定さ
れていない場合、 RADIUS の割り当ては、静的に設定されているい
かなるタグ無 VLAN よりも優先されます。
ポートベースのアクセス制御 (802.1x) の設定
オーセンティケータポートのオプション : 802.1x 機器でのみ許可されるポートセキュリティの設定
■
認証済クライアントが 802.1x Open VLAN モードのセッション中に
認証を喪失した場合、ポートの VLAN メンバシップは未認可クラ
イアント VLAN に戻ります。未認可クライアント VLAN が設定さ
れていない場合、クライアントは自身を再認証できるようになる
までポートへのアクセスを喪失します。
オーセンティケータポートのオプショ
ン : 802.1x 機器でのみ許可されるポー
トセキュリティの設定
オーセンティケータポートでポートセキュリティを使用すると、最初に
ポートで検出された 802.1x 対応機器の MAC アドレスのみを学習するよう
に設定できます。その後は、この特定の機器からのトラフィックのみが
ポートで許可されるようになります。この機器をログオフした場合は、別
の 802.1x 対応機器をポートで認証させることができます。
構文 :
port-security [ethernet] < port-list >
learn-mode port-access
ポートセキュリティを設定するポートを指定して、最
初に検出した 802.1x 対応機器のみを許可するようにし
ます。
action < none | send-alarm | send-disable >
( 未認可トラフィックのブロックに加えて ) 侵入者の検
知に対するポートの応答を設定します。
注記
選択したポートが 802.1x に設定されている ( つまり、ポートアクセス
オーセンティケータコマンドの [control] モードが [auto] に設定されてい
る ) 場合のみ、ポートセキュリティは前述のように 802.1x 認証と連動して
動作します。たとえば、ポート A10 を 802.1x オーセンティケータに設定
してその結果を表示する場合、以下のコマンドを実行します。
ProCurve(config)# aaa port-access authenticator e A10
control auto
ProCurve(config)# show port-access authenticator e A10
config
8-33
ポートベースのアクセス制御 (802.1x) の設定
オーセンティケータポートのオプション : 802.1x 機器でのみ許可されるポートセキュリティの設定
非 8 02 x 機器の
ブロックに関す
る注記
ポートの 802.1x オーセンティケータ [control] モードが ( 以下に示すように
[auto] ではなく ) [authorized] に設定されている場合、 802.1x 対応、未対応
にかかわらず、最初にソース MAC アドレスを取得した機器がポートで唯
一の認可機器になります。
aaa port-access authenticator < port-list > control authorized
802.1x 認証がポートで無効または [authorized] ( 強制認可 ) に設定されてい
る場合、そのポートで認可させたくない MAC アドレスを学習してしまう
場合があります。この場合、以下のいずれかのオプションを使用して未認
可の非 802.1x 機器によるアクセスをブロックできます。
■
802.1x 認証がポートで無効の場合、以下のコマンド構文を使用し
て認証を有効にし、 802.1x 対応機器のみを許可するように設定し
ます。
aaa port-access authenticator e < port-list >
ポートで 802.1x 認証を有効にします。
aaa port-access authenticator e < port-list > control auto
802.1x をサポートし有効な証明情報を提供する機器のみ、
ポートで許可するようにします。
■
802.1x認証がポートで有効であっても [authorized] (強制認可) に設
定されている場合は、以下のコマンド構文を使用して、 802.1x 対
応機器のみを許可するように設定します。
aaa port-access authenticator e < port-list > control auto
802.1x をサポートし有効な証明情報を提供する機器のみ、
ポートで許可するようにします。
8-34
ポートベースのアクセス制御 (802.1x) の設定
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
802.1x サプリカントとしてスイッチ
ポートを設定し、他のスイッチと接続
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカントコマンド
[no] aaa port-access < supplicant > [ethernet] < port-list >
8- 36 ページ
[auth-timeout | held-period | start-period | max-start | initialize | 8- 37 ページ
identity | secret | clear-statistics]
802.1x 関連の show コマンド
8- 39 ページ
RADIUS サーバの設定
8- 20 ページ
スイッチポートを他の 802.1x 対応スイッチポートに接続する際、ポート
をサプリカントとして動作するように設定すれば、 802.1x 対応スイッチ間
のリンクにセキュリティを実装できます。 ( ポートはオーセンティケータ
およびサプリカントの両方として動作できます。 )
たとえば、以下のような 2 つのスイッチに接続するとします。
■
スイッチ「A」には、 802.1x サプリカントオペレーションが設定さ
れたポート A1 があります。
■
スイッチ「A」のポート A1 とスイッチ「B」のポート B5 を接続する
とします。
スイッチ「B」
ポート B5
ポート A1
スイッチ「A」
802.1x サプリカントとして
設定されたポート A1
LAN コア
RADIUS サーバ
図 8-4. サプリカントオペレーションの例
8-35
ポートベースのアクセス制御 (802.1x) の設定
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
1.
注記
スイッチ「A」のポート A1 をはじめてスイッチ「B」のポートに接続
する際、もしくはポートは既に接続されていて、いずれかのスイッチ
がリブートされた場合に、ポート A1 はスイッチ「B」のポート B5 に
開始パケットを送信します。
•
サプリカントポートは、設定された回数の開始要求パケットを送
信後、その応答が得られなかった場合、スイッチ「B」は 802.1x
に対応しておらず、また認証は不要であると判断します。スイッ
チ「B」が 802.1x 対応ではなく、正常に動作していればリンクは
通常に確立されますが、 802.1x セキュリティは実装されません。
•
1回以上の開始要求パケット送信後に、ポート A1 がポート B5 から要
求パケットを受信した場合、スイッチ「B」は、 802.1x オーセンティ
ケータとして動作しています。サプリカントポートは次に応答 /ID
パケットを返します。スイッチ「B」が RADIUS 認証を使用するよ
うに設定されている場合、スイッチはその要求を RADIUS サーバに
転送します。スイッチ「B」がローカル 802.1x 認証 (8- 19 ページ )
に設定されている場合、オーセンティケータはスイッチ「A」の応
答と自身のローカルユーザ名 / パスワードを比較します。
2.
次に RADIUS サーバは、アクセスチャレンジで応答し、スイッチ「B」
を介してスイッチ「A」のポート A1 に転送されます。
3.
ポート A1 は固有の証明情報に基づいたハッシュを返します。スイッ
チ「B」はこの応答を RADIUS サーバに転送します。
4.
RADIUS サーバは応答を分析して、スイッチ「B」を介してポート A1
に「success」または「failure」パケットのいずれかを送信します。
•
「success」応答は、ポート A1 からの通常のトラフィックに対して
ポート B5 のブロックを解除します。
•
「failure」応答の場合、ポート B5 のブロックは継続され、ポート A1 は
「held-time」時間経過後に、ポート B5 を介して再び認証を試行します。
スイッチポートは、サプリカントおよびオーセンティケータとして同時に
動作するように設定できます。
サプリカントとして動作するようにスイッチポートを有効にする。他の
802.1x 対応スイッチポートへのポイントツーポイントリンクに、 802.1x
サプリカントとして動作するスイッチポートを 1 つまたは複数設定できま
す。サプリカントに関するパラメータを設定する前に、まずポートをサプ
リカントとして設定する必要があります。
構文 :
[no] aaa port-access supplicant [ethernet] < port-list >
デフォルトのサプリカントパラメータ、または以前に設定したサプ
リカントパラメータのうち、いずれかを使用して、サプリカントとし
て動作するようにポートを設定します。このコマンドの「no」形式
は、指定したポートのサプリカントオペレーションを無効にします。
8-36
ポートベースのアクセス制御 (802.1x) の設定
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
サプリカントスイッチポートの設定。サプリカント設定を変更する前に、
ポートのサプリカントオペレーションを有効にする必要があることに注意
してください。つまり、パラメータなしでサプリカントコマンドを 1 度実
行し、設定するサプリカントパラメータと共にもう一度コマンドを実行す
る必要があります。対象のオーセンティケータポートで RADIUS 認証が使
用されている場合、 [identity] および [secret] オプションを使用して
RADIUS が要求するユーザ名とパスワードをサプリカントポートに設定し
ます。対象のオーセンティケータポートでローカル 802.1x 認証が使用さ
れている場合、 [identity] および [secret] オプションを使用してオーセン
ティケータスイッチのローカルユーザ名とパスワードをサプリカント
ポートに設定します。
構文 :
aaa port-access supplicant [ethernet] < port-list >
指定するポートのサプリカントオペレーションを有
効にするには、このコマンドを他のパラメータなしで
実行します。これを実行した後、サプリカントオペ
レーションを設定するために以下のパラメータと共に
再びこのコマンドを実行します。 ( 設定する各パラ
メータにコマンドを 1 回実行します。 ) [no] 形式は、
指定するポートのサプリカントオペレーションを無
効にします。
[identity < username >]
認証要求に対する応答でオーセンティケータポート
からチャレンジ要求パケットを受け取った際に使用す
るユーザ名とパスワードを設定します。対象のオーセ
ンティケータポートに RADIUS 認証が設定されている
場合、 < username > と < password > は RADIUS サー
バで要求されるユーザ名とパスワードでなければなり
ません。対象オーセンティケータポートがローカル
認証用に設定されている場合、 < username > と <
password > はオーセンティケータスイッチに設定さ
れているユーザ名とパスワードでなければなりませ
ん。 ( デフォルト : Null)
[secret]
Enter secret: < password >
Repeat secret: < password >
オーセンティケータから MD5 認証要求を受け取った
際にポートサプリカントが使用する秘密キー ( パス
ワード ) を設定します。コマンドを実行すると、ス
イッチは秘密キーの入力を要求します。
8-37
ポートベースのアクセス制御 (802.1x) の設定
802.1x サプリカントとしてスイッチポートを設定し、他のスイッチと接続
aaa port-access supplicant [ethernet] < port-list > ( 構文の続き )
[auth-timeout < 1 - 300 >]
オーセンティケータからチャレンジを受信するまでの
ポートの待ち時間を設定します。要求がタイムアウト
した場合、 [max-start] パラメータで指定した最大試
行回数に達するまでポートは別の認証要求を送信しま
す。 ( デフォルト : 30 秒 )
[max-start < 1 - 10 >]
サプリカントポートが認証を要求する最大回数を定
義します。オーセンティケータからの応答に対する
ポートの動作については、 8- 36 ページの手順 1 を参
照してください。 ( デフォルト : 3)
[held-period < 0 - 65535 >]
アクティブな 802.1x セッションに失敗した後、サプリ
カントポートがオーセンティケータポートに再要求
するまでの待ち時間を設定します。( デフォルト : 60 秒 )
[start-period < 1 - 300 >]
開始パケットを再送信する間隔 ( 時間 ) を設定します。
つまり、サプリカントが開始パケットを送信したあ
と、 [start-period] の間応答を待ちます。 [start-period]
の間に応答がなかった場合、サプリカントは新たに開
始パケットを送信します。 ( 上記の ) [max-start] 設定
は、セッションで許可する開始試行回数を指定するも
のです。 ( デフォルト : 30 秒 )
aaa port-access supplicant [ethernet] < port-list >
[initialize]
特定のポートで、インバウンドおよびアウトバウンド
トラフィックをブロックして、 802.1x 認証プロセスを
再起動します。 802.1x サプリカントとして設定された
ポートのみに影響します。
[clear-statistics]
802.1x サプリカント統計カウンタをクリアして再始動
します。
8-38
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
802.1x の設定、統計、およびカウンタ
の表示
802.1x 認証コマンド
8- 15 ページ
802.1x サプリカントコマンド
8- 35 ページ
802.1x Open VLAN モードコマンド
8- 21 ページ
802.1x 関連の show コマンド
show port-access authenticator
下記
show port-access supplicant
8- 45 ページ
802.1x モードステータス一覧の詳細
8- 41 ページ
RADIUS サーバの設定
8- 20 ページ
ポートアクセスオーセンティケータ用の Show コマンド
構文 : show port-access authenticator [[e] < port-list >]
[config | statistics | session-counters]
･ [< port-list > [config | statistics | session-counters]] を
指定しない場合、ポートアクセスオーセンティ
ケータがアクティブであるか (Yes /No) と、 802.1x
認証に設定されているすべてのポートのステータス
を表示します。このデータで示される
[Authenticator Backend State] は、スイッチと認証
サーバの対話のステータスを表しています。
･ < port-list > のみ指定すると、指定したポートのみ
のステータスが表示されます。指定したポートが
オーセンティケータとして有効でない場合、データ
は表示されません。
･ [< port-list > [config | statistics | session-counters]] を
指定すると、指定したポートの [config | statistics |
session-counters] データが表示されます。指定した
ポートがオーセンティケータとして有効でない場
合、データは表示されません。
･ [config | statistics | session-counters | vlan] のみを指
定した場合、オーセンティケータとして有効なすべ
てのポートの [config | statistics | session-counters]
データが表示されます。
[config | statistics | session-counters] の説明は、この表
の次の項を参照してください。
8-39
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
show port-access authenticator ( 構文の続き )
config [[e] < port-list >]
以下のものを表示します。
• ポートアクセスオーセンティケータがアクティブ
であるか
• 802.1x オーセンティケータとして設定されている
ポートの 802.1x の設定
< port-list > を指定しない場合、このコマンドは 802.1x
ポートアクセスオーセンティケータとして設定され
ているすべてのポートの情報を一覧表示します。指定
したポートがオーセンティケータとして有効でない場
合、データは表示されません。
statistics [[e] < port-list >]
以下のものを表示します。
• ポートアクセスオーセンティケータがアクティブ
であるか
• 802.1x オーセンティケータとして設定されている
ポートの統計情報。これにはポートが最後に受信し
た EAPOL フレームに含まれるサプリカントの MAC
アドレスなども表示されます。
指定したポートがオーセンティケータとして有効でな
い場合、データは表示されません。
session-counters [[e] < port-list >]
以下のものを表示します。
• ポートアクセスオーセンティケータがアクティブ
であるか
• 802.1x オーセンティケータとして設定されている
ポートのセッションステータス
また「User」カラムには各ポートごとに、サプリカン
トが応答パケットに含めたユーザ名の一覧が表示され
ます。 ( サプリカントがスイッチの場合は、 supplicant
コマンド (8- 37 ページ ) の [identity] で設定するユーザ
名です。 ) 指定したポートがオーセンティケータとし
て有効でない場合、データは表示されません。
8-40
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
802.1x Open VLAN モードのステータス表示
この項で説明する show port-access authenticator および show vlan < vlanid > コマンドを使用して、スイッチの現在の VLAN ステータスを調査でき
ます。図 8-5 は、 show port-access authenticator の出力例を示し、表 8-1
はこのコマンドが表示するデータについて説明しています。図 8-6 は、ス
イッチが 802.1x オペレーションをサポートする静的に設定された VLAN
をどのように使用しているかを確認するのに役立つ VLAN 関連のデータを
示しています。
[Unauth VLAN ID] に表示されている ID
と [Current VLAN ID] カラムの ID が同じ
です。これは、このポートに未認可クラ
イアントが接続されていることを示して
います。
( ポートは VLAN 100 の静的に設定された
メンバではありません。 )
1
2
3
1 ～ 3 の項目は、認証クライアントがポート B2 に接
続されていることを示しています。
1.[Status] カラムが [Open]
2.[Authenticator State] カラムが [Authorized]
3.[Auth VLAN ID] (101) が [Current VLAN ID] と同じ。
( ポートは VLAN 101 の静的に設定されたメンバで
はありません。 )
4
5
4.ポート B3 のラインの「0」は、ポート B3
に設定されている認可 VLAN がないこと
を示しています。
5.「No PVID」は、ポート B4 に現在タグ無
VLAN メンバシップがないことを示して
います。
図 8-5. Open VLAN モードに設定されているポートの表示例
したがって、 show port-access authenticator 出力は以下のようになります。
■
[Auth VLAN ID] が設定されていて上記のコマンド出力で [Current
VLAN ID] と一致している場合、ポートには認証クライアントが接
続されています。 ( ポートが Auth VLAN に使用する VLAN の静的
なメンバでない場合。 )
8-41
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
■
[Unauth VLAN ID] が設定されていて上記のコマンド出力で
[Current VLAN ID] と一致している場合、ポートには未認証クライ
アントが接続されています。 ( ポートが Unauth VLAN に使用する
VLAN の静的なメンバでない場合。 )
認可 VLAN/ 未認可 VLAN に割り当てられる一時的な Open VLAN ポートは
タグ無 VLAN メンバシップであるため、これらの割り当ては、このポート
に静的に設定されている他のタグ無 VLAN メンバシップを一時的に Open
VLAN に置き換えます。たとえば、ポート A12 が VLAN 1 のタグ無メンバ
として静的に設定されており、また認可 VLAN として VLAN 25 を使用する
ように設定されていると、認証済 802.1x クライアントがこのポートに接続
されている間は、 VLAN 1 のポートメンバシップは一時的に中断されます。
表 8-2.
Open VLAN モードのステータス
ステータス
インジケータ
意味
Port
802.1x ポートアクセスオーセンティケータとして設定されたポートを一覧表示します。
Status
Closed: 接続されているクライアントがないか、接続されているクライアントが 802.1x
認証にパスしていません。
Open: 認可された 802.1x サプリカントがポートに接続されています。
Access Control
この状態は、以下のポートアクセスコマンド構文でコントロールできます。
ProCurve(config)# aaa port-access authenticator < port-list > control < authorized | auto | unauthorized >
Auto: 802.1x 認証をサポートし、ネットワークアクセスを取得するのに必要な証明情報
を提供する接続機器にネットワークアクセスを許可するようにポートを設定します。 (
これがデフォルトのオーセンティケータ設定です。 )
FA (authorized): ポートを「強制認可」 (Force Authorized) に設定します。この場合、
802.1x の基準を満たしているかによらず、ポートに接続されているすべての機器のア
クセスを許可します。 ( ただし、ポートにコンソール、 telnet、または SSH セキュリ
ティは設定できます。 )
FU (unauthorized): ポートを「強制未認可」 (Force Unauthorized) に設定します。この場
合、 802.1x の基準を満たしているかによらず、ポートに接続されているすべての機器
のアクセスをブロックします。
Authenticator
State
Connecting: ポートにクライアントが接続されているが、 802.1x 認証にパスしていません。
Force Unauth: 「強制未認可」状態を示しています。クライアントが 802.1x 認証をサ
ポートしているかどうか、または 802.1x 証明情報を提供できるかどうかによらず、
ネットワークへのアクセスがブロックされています。
Force Auth: 「強制認可」状態を示しています。ポートに接続されているどの機器にも
アクセスを認可します。機器は 802.1x 認証のサポートも 802.1x 証明情報を提供する必
要もありません。
Authorized: ポートに接続されている機器が、 802.1x 認証をサポートし、証明情報を提
供することで、ネットワークへのアクセスが許可された状態です。これがアクセス制
御のデフォルトの状態です。
Disconnected: ポートに接続されているクライアントはありません。
8-42
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
ステータス
インジケータ
意味
Authenticator
Backend State
Idle: スイッチは現在 RADIUS 認証サーバと対話していません。他の状態 (Request、
Response、Success、Fail、Timeout、および Initialize) は、 RADIUS サーバとの対話のス
テータスを示すものですが、これらの対話は瞬間的に発生し、完了すると Idle に変わ
ります。
Unauthorized
VLAN ID
< vlan-id >: ポートの未認可 VLAN として設定されているスタティック VLAN の VID です。
0: ポートに未認可 VLAN は設定されていません。
< vlan-id >: ポートの認可 VLAN として設定されているスタティック VLAN の VID です。
Authorized VLAN
ID
0: ポートに認可 VLAN は設定されていません。
Current VLAN ID
< vlan-id >: ポートが現在所属しているタグ無スタティック VLAN の VID です。
No PVID: ポートはどの VLAN のタグ無メンバでもありません。
構文 :
show vlan < vlan-id >
選択した VLAN のポートステータスを表示します。どのポー
トメンバシップが Open VLAN モードで一時的に上書きされ
ているかも示されます。
8-43
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
ポート B1 およびポート B3
が上の一覧になく、
[Overridden Port VLAN
configuration] の下に含まれ
ています。これは、ポート
B1 および B3 のタグ無スタ
ティック VLAN メンバシッ
プが、認可 VLAN または未
認可 VLAN への一時的な割
り当てによって無効にされ
ていることを示していま
す。図 8-5 で示されている
show port-access
authenticator < port-list > コ
マンドを使用すると、詳細
が表示されます。
図 8-6. Open VLAN モードに設定されているポートの VLAN 表示の例
8-44
ポートベースのアクセス制御 (802.1x) の設定
802.1x の設定、統計、およびカウンタの表示
ポートアクセスサプリカント用の Show コマンド
構文 :
show port-access supplicant [[e] < port-list >] [statistics]
show port-access supplicant [[e] < port-list >]
スイッチでサプリカントとして設定されている、すべ
てのポートまたは < port-list > で指定されるポートの
(secret パラメータを除く ) ポートアクセスサプリカ
ント設定を表示します。サプリカントの状態には以下
のものがあります。
Connecting - 認証を開始します。
Authenticated - 認証が完了しました。 ( 試行が成功し
たかどうかは問いません。 )
Acquired - ポートがオーセンティケータからの要求を
受信しました。
Authenticating - 認証中です。
Held - オーセンティケータが失敗の通知を送信しまし
た。サプリカントポートはオーセンティケータの
held-period (8- 37 ページ ) の間待機します。
サプリカントパラメータの説明は、 8-37 ページの
「サプリカントスイッチポートの設定」を参照してく
ださい。
show port-access supplicant [[e] < port-list >] statistics
スイッチでサプリカントとして設定されている、すべ
てのポートまたは < port-list > で指定されるポートの
ポートアクセス統計とソース MAC アドレスを表示し
ます。以下の「サプリカント統計に関する注記」を参
照してください。
サプリカント統計に関する注記。 show port-access supplicant statistics [e]
< port-list >] は、サプリカントとして設定されている各ポートごとに、ポー
トで検出した最新のオーセンティケータ機器のソース MAC アドレスとト
ランザクションの統計を表示します。サプリカントポートとオーセンティ
ケータ機器とのリンクに障害が発生した場合、以下のいずれかの時点ま
で、サプリカントポートはオーセンティケータ機器との接続で受信した最
新のデータを表示し続けます。
■
サプリカントポートが別のオーセンティケータ機器を検出する場合
■
aaa port-access supplicant [e] < port-list > clear-statistics コマンド
を使用してサプリカントポートの統計をクリアした場合
■
スイッチをリブートした場合
8-45
ポートベースのアクセス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーションへの影響
したがって、サプリカントとオーセンティケータとのリンクに障害が発生
した場合、上記のいずれかの時点までサプリカントは受信した最新のトラ
ンザクション統計を保持します。また、オーセンティケータとのリンクを
あるサプリカントポートから別のサプリカントポートに移動した場合、
最初のポートにある統計データをクリアしないと、同じオーセンティケー
タの MAC アドレスが両方のポートのサプリカント統計に表示されます。
RADIUS/802.1x 認証の VLAN オペレー
ションへの影響
スタティック VLAN の指定。スイッチポートに接続する 802.1x クライ
アントの RADIUS 認証では、 ( スタティック ) VLAN を指定することが可能
です。 ( 使用する RADIUS アプリケーションに付属のマニュアルを参照し
てください。 ) RADIUS サーバがクライアントに割り当てるスタティック
VLAN は既にスイッチに存在するものでなければなりません。スタティッ
ク VLAN が存在しない、または (GVRP で作成される ) ダイナミック VLAN
では認証に失敗します。また、その後のセッションでも、ポートは指定さ
れた VLAN のタグ無メンバでなければなりません。そうでない場合、ス
イッチは以下のように一時的にポートを割り当てます。
クライアントが使用するポートが指定されたスタティック VLAN のタグ
無メンバとして設定されていない場合 : クライアントをポート「N」で認
証する際、ポート「N」がまだ RADIUS サーバが指定するスタティック
VLAN のタグ無メンバとして設定されていない場合、スイッチは一時的に
(802.1x セッションの間 ) ポート「N」をその VLAN のタグ無メンバに割り
当てます。その際、ポート「N」が既に別の VLAN の静的なタグ無メンバ
に設定されていると、セッションの間、ポート「N」はこの VLAN へのア
クセスを喪失します。 ( ポートは 1 つの VLAN のタグ無メンバにしかなれ
ません。 )
8-46
ポートベースのアクセス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーションへの影響
たとえば、ポート A2 に接続された RADIUS 認証済の 802.1x 対応クライア
ントが VLAN 22 にアクセスを要求したとします。このとき、ポート A2 に
VLAN22 は設定されておらず、また VLAN 33 がポート A2 のタグ無 VLAN
に設定されているとします。
シナリオ : 認可
802.1x クライアント
がポート A2 から
VLAN 22 へのアクセ
スする必要がありま
す。しかし、ポート
A2 では VLAN 22 へ
のアクセスはブロッ
クされます (VLAN22
は、タグ無にもタグ
付にも設定されてい
ません )。 VLAN 33
はポート A2 でタグ
無になっています。
図 8-7. アクティブな VLAN 設定の例
図 8-7 で、 802.1x クライアントが VLAN 22 へのアクセス要求を送信し、
RADIUS がその要求を認可した場合、以下のようになります。
■
セッションの間、VLAN 22 がタグ無 VLAN としてポート A2 で利用可
能になります。
■
セッションの間、VLAN 33 はポート A2 で利用不可になります ( いず
れのポートもタグ無 VLAN として設定できるのは 1 つの VLAN の
みです )。
以下のように、 show vlan < vlan-id > コマンドを使用して、一時的に変更さ
れたアクティブな設定を表示できます。
■
show vlan < vlan-id > コマンドで、認証済クライアントが使用して
いるスタティック VLAN の < vlan-id > を指定して、一時的な VLAN
の割り当てを参照できます。
8-47
ポートベースのアクセス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーションへの影響
このエントリは、 802.1x セッションの間、ポート
A2 が一時的に VLAN 22 のタグ無メンバになって
いることを示しています。これは、 RADIUS サー
バが、 802.1x クライアントのアクセス要求に応
じ、 VLAN22 を使用するようにクライアントに指
示した結果です。
注記 : 現在の VLAN 設定 ( 図 8-7) では、ポート A2
がこの show vlan 22 に表示されるのは、接続さ
れているクライアントの 802.1x セッション中の
みです。そうでない場合、ポート A2 は表示され
ません。
図 8-8. 802.1x セッションで一時的に変更されている VLAN 22 のアクティブな設定
■
前の内容を踏まえ、ポート A2 で ( スタティック ) VLAN 33 はタグ無
として設定されており ( 図 8-7 参照 )、またポートがタグ無メンバ
になれるのは 1 つの VLAN のみであるため、ポート A2 は VLAN
22 にアクセスできる 802.1x セッションの間、 VLAN 33 へのアクセ
スを喪失します。 VLAN 33 へのアクセスの一時的な喪失は show
vlan 33 コマンドで確認できます。
ポート A2 が ( スタ
ティック ) VLAN 33 の
タグ無メンバとして設
定されていても ( 図 87 参照 )、 802.1x セッ
ションが VLAN 22 をタ
グ無 VLAN として使用
している間、ポート
A2 は show vlan 33 には
表示されません。
VLAN 22 を使用する
802.1x セッションが終
了したら、アクティブ
な設定は、ポート A2
を VLAN 33 に戻しま
す。
図 8-9. 802.1x セッションの間、一時的にポート A2 が無効にされている VLAN 33 のアクティブ
な設定
8-48
ポートベースのアクセス制御 (802.1x) の設定
RADIUS/802.1x 認証の VLAN オペレーションへの影響
ポート A2 での 802.1x クライアントのセッションが終了すると、ポー
トは一時的なタグ無 VLAN メンバシップを破棄します。ここで、ポー
トにタグ無で設定されているスタティック VLAN が再び使用可能にな
ります。したがって、ポート A2 の RADIUS 認証 802.1x セッションが
終了すると、ポート A2 の VLAN 22 アクセスも終了し、ポート A2 で
タグ無 VLAN 33 へのアクセスが復元されます。
VLAN 22 での 802.1x
セッションの終了後、
アクティブ設定には
ポート A2 の VLAN 33
が表示されます。
図 8-10. 802.1x セッションの終了後、ポート A2 の VLAN 33 へアクセスが復元された状態のア
クティブな設定
注記
802.1x 認証セッション中に 802.1x 対応ポートで行ったポートの VLANID(VID) の変更は、セッションが終了するまで有効になりません。
GVRP を有効にすると、 802.1x 認証によってポートに作成された一時的な
タグ無スタティック VLAN の割り当ては既存の VLAN として通知されま
す。この一時的な VLAN の割り当てにより、ポートに設定されている ( タ
グ無 ) スタティック VLAN の割り当てが無効になった場合、この無効に
なった VLAN は GVRP で通知されません。 802.1x セッションが終了する
と、スイッチは以下のようになります。
■
一時的な VLAN の通知を停止し、終了します。
■
一時的に無効になった VLAN の通知を再開します。
8-49
ポートベースのアクセス制御 (802.1x) の設定
802.1x オペレーションに関連したメッセージ
802.1x オペレーションに関連したメッ
セージ
Table 8-1. 802.1X オペレーションメッセージ
メッセージ
意味
Port < port-list > is not an
authenticator.
ポートリストのポートを 802.1x オーセンティケータ
として有効にできませんでした。以下のコマンドを
使用してポートをオーセンティケータとして有効に
します。
ProCurve(config)# aaa port-access
authenticator e 10
Port < port-list > is not a
supplicant.
現在サプリカントとして有効でないポートでサプリ
カントの設定を変更しようとした場合に生成される
メッセージです。まずポートをサプリカントとして
有効にし、次にサプリカントの設定を変更します。
8- 36 ページの「サプリカントとして動作するように
スイッチポートを有効にする」を参照してくださ
い。
No server(s) responding.
このメッセージは、 EAP-RADIUS または CHAPRADIUS 認証が設定されているスイッチで、 RADIUS
サーバからの応答を得られない場合に表示されるこ
とがあります。スイッチが少なくとも 1 つの
RADIUS サーバにアクセスできるように設定されて
いることを確認します。 (show radius を使用します。
) また、メッセージ「CanÅft reach RADIUS
server< x.x.x.x >」が表示される場合は、その
メッセージに表示されている指示に従います (5- 34
ページ )。
LACP has been disabled on 802.1X
port(s).
セキュリティを維持するために、 802.1X オーセン
ティケータ動作が設定されたポートでは LACP は許
可されません。 LACP ( アクティブまたはパッシブ )
が設定されているポートでポートセキュリティを設
定すると、スイッチは LACP 設定を削除し、ポート
で LACP が無効になったことを示す警告を表示し
て、そのポートの 802.1x を有効にします。
Error configuring port < port-number
>:LACP and 802.1X cannot be run
together.
8-50
また、ポートアクセス (802.1x) が有効なポートでは、
スイッチは LACP の設定を許可しません。
9
ポートセキュリティの設定およびモニタリ
ング
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2
基本的な動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-2
未認可トラフィックのブロック . . . . . . . . . . . . . . . . . . . . . . . . 9-3
トランクグループの除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-4
ポートセキュリティの計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-5
ポートセキュリティのコマンドオプションと動作 . . . . . . . . . . . . . 9-6
スタティック MAC アドレスの保持 . . . . . . . . . . . . . . . . . . . . . 9-10
現在のポートセキュリティの設定の表示 . . . . . . . . . . . . . . . . . 9-10
ポートセキュリティの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-12
MAC ロックダウン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-17
MAC ロックダウンとポートセキュリティの違い . . . . . . . . . . . 9-19
MAC ロックダウンの展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-21
MAC ロックアウト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-25
ポートセキュリティと MAC ロックアウト . . . . . . . . . . . . . . . . 9-27
Web: ポートセキュリティの機能の表示および設定 . . . . . . . . . . . . . 9-28
侵入アラートの読み取りとアラートフラグのリセット . . . . . . . . . . 9-28
セキュリティ違反の通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-28
侵入ログの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-29
アラートフラグをリセットして侵入ログを最新の状態に保つ . . 9-30
イベントログを使用した侵入アラートの検索 . . . . . . . . . . . . . . 9-35
Web: 侵入のチェック、侵入アラートの一覧表示、およびアラートフ
ラグのリセット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-36
ポートセキュリティの運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . 9-36
9-1
ポートセキュリティの設定およびモニタリング
概要
概要
機能
デフォ
ルト
現在のポートセキュリティ
の表示
n/a
ポートセキュリティの設定
侵入アラートとアラートフ
ラグ
メニュー
CLI
Web
―
9- 10 ペー
ジ
9- 28 ペー
ジ
無効
―
9- 12 ペー
ジ
9- 28 ペー
ジ
n/a
9- 35 ペー
ジ
9- 33 ペー
ジ
9- 36 ペー
ジ
ポートセキュリティを使用するには、スイッチポートごとに、ポートか
らネットワークへのアクセスを許可する機器の MAC アドレスリストを設
定します。この設定により、スイッチを通じた未認可機器からの通信を、
個々のポートで検出、防止、およびログ記録することができます。
注記
この機能では、侵入者によるブロードキャストトラフィックおよびマルチ
キャストトラフィックの受信は防止できません。
基本的な動作
デフォルトのポートセキュリティの動作。各ポートのデフォルトのポート
セキュリティは、オフを意味する「continuous」に設定されています。つ
まり、セキュリティ機能が働くことなく、すべての機器がポートにアクセ
スできます。
侵入者の防止。「侵入者」を検出すると、ポートは侵入側の機器がそのポー
トを通じてネットワークに送信しようとするのを阻止します。
9-2
ポートセキュリティの設定およびモニタリング
概要
ポートセキュリティの基本的な動作。ポートごとに、未認可機器をブロッ
クし、セキュリティ違反を検出した場合の通知方法を設定できます。ポー
トセキュリティを設定すると、以下のいずれかを通じてネットワークのセ
キュリティ違反をモニタリングできます。
■
ネットワーク管理ツールが捕らえるアラートフラグ
■
スイッチの Web ブラウザインタフェースのアラートログエントリ
■
コンソールインタフェースのイベントログエントリ
■
メニューインタフェース、 CLI または Web ブラウザインタフェー
スの侵入ログエントリ
すべてのポートに対して、以下を設定できます。
■
Authorized (MAC) Addresses: ポートへのインバウンドトラ
フィックの受信を許可する機器 (MAC アドレス ) を 8 個まで指定で
きます。以下の機能があります。
•
•
未認可の機器からのインバウンドトラフィックに対して、
ポートを閉じます。
ネットワーク管理ステーションにセキュリティ違反を通知す
る SNMP トラップの送信オプション、および SNMP トラップ
を送信するとともにポートを無効にするオプションを提供し
ます。 (SNMP 管理の設定については、使用するスイッチの
『マネジメント / コンフィギュレーションガイド』の「トラッ
プレシーバおよび認証トラップ」を参照してください。 )
未認可トラフィックのブロック
セキュリティ違反を検出したポートを無効にするようにスイッチを設定し
ない限り、スイッチのセキュリティ機能は、ポートを無効にすることなく
未認可のトラフィックをブロックします。この実装方法により、ハブ、ス
イッチまたはその他の機器が接続されているポートにセキュリティ設定を
適用して、オーソライズドユーザに対するネットワークアクセスを確保
しながらも、セキュリティを確保することができます。たとえば以下のよ
うになります。
9-3
ポートセキュリティの設定およびモニタリング
概要
物理トポロジ
スイッチ A
ポートセキュリ
ティ設定済み
スイッチ B
スイッチ A で認
可されている
MAC アドレス
スイッチ C
スイッチＡで認
可されていない
MAC アドレス
PC 1
スイッチ A で認可さ
れている MAC アドレ
ス
PC 2
スイッチＡで認可
されていない MAC
アドレス
PC 3
スイッチＡで認可
されていない MAC
アドレス
スイッチ A へのアクセスの論理トポロジ
スイッチ A
ポートセキュリ
ティ設定済み
PC 1
スイッチ A で認可さ
れている MAC アド
レス
スイッチ B
スイッチ A で認
可されている
MAC アドレス
• PC1 はスイッチ A にアクセスできます。
• PC2 および PC3 は、スイッチ B とスイッチ C にア
クセスできますが、スイッチ A のポートセキュ
リティ設定によりスイッチ A にはアクセスでき
ません。
• スイッチ C は、スイッチ A へのアクセスは許可さ
れていません。
図 9-1. ポートセキュリティによるアクセス制御の例
注記
ブロードキャストトラフィックおよびマルチキャストトラフィックは
「未認可」トラフィックではないため、これらはポートセキュリティを設
定したポートに接続されている未認可の機器にも送信されます。
トランクグループの除外
ポートセキュリティは、スタティックおよびダイナミックトランクグ
ループでは機能しません。トランクグループにポートを追加するポートセ
キュリティの設定は、工場出荷時の設定にリセットされます。 ( アクティ
ブまたはパッシブ LACP に設定されているポートで、トランクのメンバで
ないものには、ポートセキュリティを設定できます。 )
9-4
ポートセキュリティの設定およびモニタリング
ポートセキュリティの計画
ポートセキュリティの計画
1. ポートセキュリティの設定およびモニタリングを以下の基準にした
がって計画します。
a.
どのポートにポートセキュリティを設定するか。
b. 各ポートでどの機器 (MAC アドレス ) を許可し、ポートあたり何
台の機器を許可するか (8 台まで )。
c.
ポートがサポートする最大の機器数の範囲内で、ポートが検出す
る機器に対して自動的にアクセスを許可するか、または明示的に
指定した機器のみを許可するか。（たとえば、あるポートに 3 台の
機器によるアクセスを許可し、なおかつそのポートに MAC アド
レスを 1 つだけ指定した場合、そのポートで残り 2 台を検出順に
自動的に許可するのかどうか。）
d. 各ポートで、どのようなセキュリティアクションを実行するか。 (
スイッチは、ポートで検出した未認可の機器によるネットワーク
への侵入を自動的にブロックします。 ) スイッチでは、次を設定で
きます。 (1) SNMP 管理ステーションへの侵入アラートの送信、 (2)
侵入を検出したポートの無効化 ( オプション )。
e.
スイッチによって検出されたセキュリティ違反を、どのように通
知させるか。以下の中から 1 つ以上の方法を使用できます。
-
ネットワーク管理経由 ( この場合、ポートがセキュリティ
違反を検出したときに SNMP トラップをネットワーク管理
ステーションに送信するかどうか。 )
-
CLI、メニュー、および Web ブラウザインタフェースから
利用可能な、スイッチの侵入ログ経由。
-
イベントログ経由 ( メニューインタフェースまたは CLI
の show log コマンドを使用 )。
2. CLI または Web ブラウザインタフェースを使用して、ポートセキュ
リティの動作とアドレス制御を設定できます。以下の表はパラメータ
を示しています。
9-5
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
ポートセキュリティのコマンドオプ
ションと動作
この項で使用するポートセキュリティコマンド
show port-security
9- 11
port-security
9- 12
< [ethernet] port-list > 9- 12
[learn-mode]
9- 12
[address-limit]
9- 12
[mac-address]
9- 12
[action]
9- 12
[clear-intrusion-flag]
no port-security
9- 12
9- 12
この項では、 CLI ポートセキュリティコマンドについて、およびスイッチ
が認可アドレスを取得し維持する方法について説明します。
注記
9-6
ポートセキュリティ設定コマンドの実行には、グローバルコンフィギュ
レーションレベルを使用してください。
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
構文 :
port-security [e] < port-list >
learn-mode < continuous | static | configured | port-access >
Continuous ( デフォルト ) : 工場出荷時の設定値です。ま
たは no port-security を実行すると表示されます。ポートが、
接続されているすべての機器からのインバウンドトラ
フィックからアドレスを学習できるようにします。この
状態では、ポートは接続されているすべての機器からの
トラフィックを受け入れます。こうして学習されたアド
レスは、スイッチおよびポートアドレステーブルに表
示され、メニューインタフェースの [System Information]
設定画面の [MAC Age Interval]、または show systeminformation listing リストに従って、削除されます。
Static: static-learn オプションにより、 mac-address パラ
メータを使用して許可する機器のMACアドレスをポート
に指定したり、address-limit パラメータを使用してポート
に許可する MAC アドレスの数を指定できます。そのポー
トに特定の機器を許可しながら、設定されたアドレス制
限数に達するまで、ポートは指定外の機器を許可するこ
とができます。つまり、指定した MAC アドレスの数が許
可する数より少ない場合、ポートは自動的に学習した
MAC アドレスに対し、許可数に達するまでアクセスを許
可します。たとえば、認可機器を 3 台までとし、なおか
つ認可 MAC アドレスを 1 つだけ指定した場合、ポートは
明示的に認可されたその 1 つの MAC アドレスとともに、
検出した MAC アドレス 2 つ ( 検出順 ) を自身の認可機器
リストに加えます。たとえば次のようになります。
- ポート A4 で MAC アドレス 0060b0-880a80 を許可
したとします。
- またポート A4 で許可する機器を 3 台までと設定し、
ポートが次のMACアドレスを順に検出したとします。
1. 080090-1362f2　3.080071-0c45a1
2. 00f031-423fc1 4.0060b0-880a80 ( 指定した認可
アドレス )
この場合、ポート A4 には次の認可アドレスのリスト
が作成されます。
080090-1362f2( 最初に検出されたアドレス )
00f031-423fc1 (2 番目に検出されたアドレス )
0060b0-880a80 ( 指定した認可アドレス )
残りの MAC アドレス 080071-0c45a1 は、侵入者となり
ます。 9- 10 ページの「スタティックアドレスの保持」
も参照してください。
CAUTION: mac-address パラメータで指定した MAC アド
レスの数を超える機器の制限数を指定して learn-mode
static を使用すると、不要な機器が「許可」される場合
があります。これは、ポートが address-limit パラメー
タによって許可される機器数を満たそうとして、指定の
アドレス制限数に達するまで検出した機器を自動的に加
えてしまうためです。
9-7
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
構文 :
port-security [e] < port-list > (- 続き -)
learn-mode < continuous | static | configured | port-access >
Configured: static-configured オプションは、アドレス制
限数に余分があっても、指定外のアドレスを許可しませ
ん。これを除いて、前のページで説明した static-learn オ
プションと同様に動作します。したがって、アドレス制
限数を 3 つに設定し、 MAC アドレスを 2 つだけ指定した
場合、スイッチは検出した指定外の MAC アドレスについ
てはすべて侵入者として扱います。
Port-Access: (802.1X) ポートベースのアクセス制御による
ポートセキュリティを使用できます。 8- 1 ページの
「ポートベースのアクセス制御 (802.1x) の設定」を参照し
てください。
address-limit < integer >
Learn Mode が static (static-learn) または configured
(static-configured) に設定されている場合、このパラメー
タは許可する認可機器 (MAC アドレス ) の数を指定しま
す。デフォルト : 1 回、範囲 :1 ～ 8
mac-address < mac-addr >
static (static-learn および configured-learn) モードで設定で
きます。 address-limit パラメータで指定した値によって、
ポートあたり 8 台まで許可する機器 (MAC アドレス ) を指
定できます。
• learn-mode configured で mac-address を使用し、なおか
つ許可した機器の数が address-limit フィールドで指定
した値よりも少ない場合、ポートは mac-address で指
定した機器のみを許可します。 ( 上の注記を参照してく
ださい。 )
• learn-mode static で mac-address を使用し、なおかつ許可
した機器の数が address-limit フィールドで指定した値
よりも少ない場合、ポートは指定の機器に加えて、機
器の制限数に余分がある限り他の機器も許可します。
9-8
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
構文 :
port-security [e] < port-list > (- 続き -)
action < none | send-alarm | send-disable >
SNMP トラップをネットワーク管理ステーションに送信す
るかどうかを指定します。次の場合に、機能します。
• Learn modeが learn-mode static (static-learn) または learnmode configured (static-configured) に設定されており、
ポートが未認可機器を検出したとき。
• Learn mode が learn-mode continuous に設定されており、
ポートで MAC アドレスの変更があったとき。
none ( デフォルト ): SNMP トラップは送信されません。
send alarm: ネットワーク管理ステーションに SNMP ト
ラップを送信します。
send-disable: learn-mode configured および learn-mode
static を使用している場合のみ設定できます。ネットワー
ク管理ステーションに SNMP トラップを送信し、ポート
を無効にします。ポートの侵入フラグを消去せずにポー
トを再度有効にした場合、ポートは侵入者をブロックし
ますが、侵入フラグをリセットしない限り、スイッチが
ポートを再度無効にすることはありません。 9- 30 ページ
の CAUTION を参照してください。
SNMP 管理の設定については、使用するスイッチの『マネ
ジメント / コンフィギュレーションガイド』を参照して
ください。
clear-intrusion-flag
特定のポートの侵入フラグを削除します。 (9- 28 ページの
「侵入アラートの読み取りとアラートフラグのリセット」
を参照してください。 )
9-9
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
スタティック MAC アドレスの保持
学習した MAC アドレス
以下の 2 つの場合、スイッチをリブートした後や、そのポートのポートセ
キュリティを無効にしても、ポートはスタティック学習モード (learnmode static) で学習した MAC アドレスを保持しています。
■
(write memory コマンドを使用して ) startup-config ファイルおよび
running-config ファイルでポートを learn-mode static に設定した後
で、ポートが MAC アドレスを学習する。
■
running-config ファイルでのみポートを learn-mode static に設定し、
ポートが MAC アドレスを学習した後、 write memory コマンドを
実行して running-config ファイルの内容を startup-config ファイル
に保存する。
割り当て / 認可 MAC アドレス
(mac-address < mac-addr > を使用して ) 手動で MAC アドレスを割り当て
た後、 write memory コマンドを実行した場合、割り当てた MAC アドレス
は次のいずれかの方法で削除するまでメモリに残ります。
学習したスタティック MAC アドレスおよび割り当てたス
タティック MAC アドレスの削除
スタティック MAC アドレスを削除するには、以下のいずれかを行います。
■
no port-security < port-number > mac-address < mac-addr > を使用
してアドレスを削除する。
■
不要な MAC アドレス割り当てを含まないコンフィギュレーション
ファイルをダウンロードする。
■
スイッチを工場出荷時のデフォルト設定にリセットする。
現在のポートセキュリティの設定の表示
CLI は同一のコマンドを使用して、次の 2 つのタイプのポートセキュリ
ティリストを表示します。
9-10
■
スイッチのすべてのポートの [Learn Mode] および [( 警告 ) Action]
■
指定したポートのみの [Learn Mode]、 [Address Limit]、 [( 警告 )
Action] および [Authorized Addresses]
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
CLI を使用したポートセキュリティの設定の表示。
構文 :
show port-security
show port-security [e] <port number>
show port-security [e] [<port number>-<port number].. .[,<port number>]
ポートパラメータを設定せずに show port-security を実行すると、スイッ
チの全ポートの動作制御設定が表示されます。たとえば以下のようになり
ます。
図 9-2. ポートセキュリティリストの例 ( ポート A7 および A8 はデフォル
ト設定 )
コマンドにポート番号を指定して show port-security を実行すると、ス
イッチの指定したポートの [Learn Mode]、 [Address Limit]、 [( 警告 ) Action]
および [Authorized Addresses] を表示します。次の例では、単一ポートの完
全なポートセキュリティの設定が一覧表示されています。
図 9-3. 単一ポートのポートセキュリティ設定の表示の例
9-11
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
次のコマンド例は、連続しないポートを含む、ポート範囲を入力するオプ
ションを示しています。コマンド文字列のポート番号部分にスペースを指
定することはできません。
ProCurve(config)# show port-security A1-A3,A6,A8
ポートセキュリティの設定
CLI を使用して、以下の操作が実行できます。
■
ポートセキュリティの設定およびセキュリティの設定の編集
■
1 つ以上のポートの [Authorized Addresses] リストへの機器の追加ま
たは削除
■
特定のポートの侵入フラグの削除
構文 :
port-security [e] < port-list >
[learn-mode < continuous | static | configured | port-access >]
[address-limit < integer >]
[mac-address < mac-addr >] [< mac-addr > .. . < mac-addr >]
[action < none | send-alarm | send-disable >]
[clear-intrusion-flag]
( 上記の configured オプションについては、 9- 6 ページの「注　記」を参照してください。 )
no port-security < port-list > mac-address < mac-addr > [< mac-addr > . . .
< mac-addr >]
認可機器および侵入応答の指定
Learn-Mode Static。次の例では、ポート A1 において、検出した最初の機
器 (MAC アドレス ) をそのポートで唯一の認可機器として自動的に許可す
るように設定しています。 ( デフォルトの機器制限値は 1 です。 ) ポートで
未認可の機器を検出した場合は、ネットワーク管理ステーションに警告を
送信し、ポートを無効化するように設定しています。
ProCurve(config)# port-security a1 learn-mode static
action send-disable
次の例では、前の例と同じ処理を行いますが、最初に検出した機器を自動
的に認可機器として受け入れさせるのではなく、許可する機器として
MAC アドレス 0c0090-123456 を指定している点が異なります。
9-12
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
ProCurve(config)# port-security a1 learn-mode static
mac-address 0c0090-123456 action send-disable
次の例では、ポート A5 を以下のように設定しています。
■
00c100-7fec00 と 0060b0-889e00の2つのMAC アドレスを認可機器と
して許可する。
■
ポートで侵入者が検出された場合は、管理ステーションにアラー
ムを送信する。
ProCurve(config)# port-security a5 learn-mode static
address-limit 2 mac-address 00c100-7fec00 0060b0-889e00
action send-alarm
許可する機器 (MAC アドレス ) およびポートのアラームアクションの両方
または一方をポートに手動で設定した場合、これらの設定は、手動で変更
するか、またはスイッチを出荷時の設定にリセットするまで、そのまま維
持されます。ポートを continuous Learn Mode に設定すると、そのポートで
の機器の許可を「無効」にでき、その後にポートを static Learn Mode に再
設定すると、機器の許可設定は復元されます。
Learn-Mode Configured。このオプションを設定すると、 learn-mode
configured mac-address < mac-address > で設定された MAC アドレスのみ
を許可し、指定外の MAC アドレスを自動的に学習しません。次の例では、
ポート A1 を以下のように設定しています。
■
MAC アドレス 0c0090-123456 のみを、認可機器として許可する。
■
さらに 2 つの指定 MAC アドレスを、アドレス制限数の設定を変更す
る必要なく後で追加できるように予約する。
■
ポートで侵入者が検出された場合は、管理ステーションにアラー
ムを送信する。
ProCurve(config)# port-security A1 learn-mode configured
mac-address 0c0090-123456 address-limit 3 action senddisable
既存ポートリストへの MAC アドレスの追加
単純に機器 (MAC アドレス ) をポートの既存の [Authorized Addresses] リス
トに追加するには、 mac-address パラメータと機器の MAC アドレスを指
定してポート番号を入力します。この場合、 Learn Mode が static または
configured のいずれかに設定されており、 [Authorized Addresses] リストの
アドレス数にまだ余分があること ( 現在の [address-lmit] の値によって決定
9-13
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
) が前提となります。たとえば、次のように、ポート A1 で 2 台の認可機器
を許可し、なおかつ [Authorized Address] リストにまだ 1 つしかアドレスが
登録されていないとします。
[Address Limit] は
2 に設定されてい
ますが、このポート
には1つの機器しか
エントリされてい
ません。この場合
は、アドレス制限値
を増やすことなく、
別のアドレスを追
加できます。
アドレス制限値には
まだ達していません。
図 9-4. 認可機器をポートに追加する例
ポート A1 が上記のように設定されている場合、次のコマンドによって
0c0090-456456 MAC アドレスが 2 番目の認可アドレスとして追加されま
す。
ProCurve(config)# port-security a1 mac-address 0c0090456456
このコマンドを実行した後、ポート A1 のセキュリティ設定は次のように
なります。
アドレス制限値に達し
ました。
図 9-5. 2 番目の認可機器をポートに追加する例
注記
9-14
現在のアドレス制限値を超えて新しい MAC アドレスをエントリしようと
したり、既にリストに存在する機器を指定すると、 Inconsistent value とい
うメッセージが表示されます。ポートの Learn Mode を static から
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
continuous に変更すると、ポートは static モードで保持していたすべての
認可アドレスをメモリ内に保持します。その後、同じ認可アドレスを指定
してポートを static モードに戻そうとすると、それらのアドレスは既に
ポートの「認可」リストに存在するので、 Inconsistent value メッ
セージが表示されます。
[Authorized Addresses] リストが既にいっぱい ( 制限値はポートの現在の
[Address Limit] の設定により制御 ) のポートに機器 (MAC アドレス ) を追加
する場合、 1 つの機器を別の機器と置き換える場合であっても、機器を追
加するためにアドレス制限値を増やす必要があります。 CLI を使用すると、
1 つのコマンドで制限値の変更と MAC アドレスの追加が同時に行えます。
たとえば、ポート A1 の認可機器の制限数が 1 で、すでに 1 台がリストに
設定されているとします。
図 9-6. [Address Limit] 値が "1" のポート A1 におけるポートセキュリティ例
ポート A1 に 2 台目の認可機器を追加するには、ポート A1 に対して portsecurity コマンドを実行してアドレス制限数を 2 に設定し直し、追加機器
の MAC アドレスを指定します。たとえば以下のようになります。
ProCurve(config)# port-security a1 mac-address 0c0090456456 address-limit 2
Learn-Mode Static に設定されたポートの「認可」リストからの機器の削
除。このコマンドオプションは、不要な機器 (MAC アドレス ) を
[Authorized Addresses] リストから削除します。 ([Authorized Addresses] リス
トは、 [Learn Mode] が現在「static」に設定されているポートで使用できま
す。 9- 8 ページの「mac-address」指定を参照してください。 )
CAUTION
address-limit の設定は、ポートの [Authorized Addresses] リストで許可され
る MAC アドレスの数を制御します。アドレス制限数を 1 つ減らさないで
MAC アドレス 1 つを削除すると、ポートは後からユーザの意図に反して
[Authorized Address] リストに同一または別の MAC アドレスを検出して許
可してしまう可能性があります。このため、認可機器でなくなった MAC
アドレスを CLI で削除する場合は、まず [Address Limit] (address-limit) の整
9-15
ポートセキュリティの設定およびモニタリング
ポートセキュリティのコマンドオプションと動作
数値を 1 つ減らす必要があります ( 次の例を参照 )。これにより、同じ機器
またはネットワーク上の別の機器が、そのポートで「認可」機器として自
動的に許可されることはなくなります。 (learn-mode static オプションの代
わりに learn-mode configured オプションを使うことにより、ポートが未認
可 MAC アドレスを学習しないように設定できます。 9- 6 ページの「注記」
を参照してください。 )
「認可」リストから機器 (MAC アドレス ) を削除する際、現在の機器の数が
[Address Limit] と等しい場合には、先にアドレス制限値を 1 減らしてから
不要な機器を削除します。
注記
スイッチが learn-mode static に設定済みの場合は、現在ポートで許可され
ているアドレス数より少ない数にアドレス制限数を減らすことができま
す。これにより、不要な機器が自動的に認可されることなく、「認可」リ
ストから機器を削除できます。 (learn-mode configured を使用している場合、
スイッチは mac-address 設定に含まれていない機器を検出してもそれを自
動的に追加することはできません。 9- 6 ページの「注記」を参照してくだ
さい。 )
たとえば、ポート A1 が以下のように設定されており、 [Authorized Address]
リストから 0c0090-123456 を削除する場合は、次のようになります。
ProCurve(config)# show port-security 1
Port Security
Port : 1
Learn Mode [Continuous] : Static
Action [None] : None
Authorized Addresses
-------------------0c0090-123456
0c0090-456456
Address Limit [1] : 2
0c0090-123456 を削除するには、まず
アドレス制限値を 1 減らして、ポート
がネットワーク上で検出した別の機器
を自動的に追加しないようにします。
図 9-7. 認可アドレス数が 2 のポート A1 の例
次のコマンドは、 0c0090-123456 を削除し、アドレス制限値を 1 にします。
ProCurve(config)# port-security a1 address-limit 1
ProCurve(config)# no port-security a1 mac-address 0c0090123456
上記のコマンドシーケンスにより、ポート A1 の設定は次のようになります。
9-16
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
ProCurve(config)# show port-security 1
Port Security
Port : 1
Learn Mode : Static
Action: None
Address Limit : 1
Authorized Addresses
-------------------0c0090-456456
図 9-8. MAC アドレスを 1 つ削除した後のポート A1 の例
MAC ロックダウン
MAC ロックダウンは「スタティックアドレス設定」とも呼ばれ、特定の
MAC アドレス ( および VLAN) をスイッチの特定のポートに固定的に割り
当てる機能です。 MAC ロックダウンは、ステーションの移動や MAC アド
レスのハイジャックを防止するために使用されます。また、スイッチにお
けるアドレス学習も制御します。ある MAC アドレスについてロックダウ
ンを設定すると、指定されたポート以外ではその MAC アドレスを使用で
きず、クライアント機器は割り当てられた VLAN でのみアクセスを許可さ
れます。
注記
ポートセキュリティと MAC ロックダウンは、 1 つのポート上で互いに排
他的となります。ユーザは、ポートセキュリティまたは MAC ロックダウ
ンのいずれかを使用でき、同じポートで同時に使用できません。
構文 :
[no] static-mac < mac-addr > vlan < vid > interface < port-number >
ロックダウンする MAC/VLAN ペアごとに個別にコマンドを入力する必要
があります。 VLAN ID (VID) を指定しないと、スイッチは VID に "1" を挿
入します。
9-17
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
MAC ロックアウトの仕組み。機器の MAC アドレスを所定のポートに ( 通
常は VLAN とペアで ) ロックダウンすると、その MAC アドレスに送信さ
れるすべての情報は必ずロックダウンポートを経由します。その機器が別
のポートに移動すると、機器はデータを受信できません。指定された
MAC アドレスへのトラフィックは、機器がそのポートに接続されている
かどうかにかかわらず、許可されたポートにのみ送られます。
MAC ロックダウンは、侵入者が MAC アドレスを既知のユーザから「ハイ
ジャック」してデータを盗むのを防止します。 MAC ロックダウンを使用
しないと、スイッチが悪意を持つユーザのポートでアドレスを学習し、正
規のユーザに発信されたトラフィックを盗む機会を侵入者に与えることに
なります。
MAC ロックダウンによって、特定の MAC アドレス宛に発信されるトラ
フィックは、その MAC アドレスに接続された 1 つのポートしか経由でき
なくなります。侵入者がロックダウンされた MAC アドレスを使ってパ
ケットを送信することは防げませんが、そのパケットへの応答がロックダ
ウンポート以外に送信されることはなくなります。したがって、 TCP 接続
は確立できません。ロックダウンされたアドレスに送信されるトラフィッ
クはハイジャックできず、侵入者のポートに送信されません。
コンピュータ、 PDA、無線端末などの機器をスイッチの別のポートに移動
させる場合 (Ethernet ケーブルを接続し直したり、同じスイッチの異なる
ポートに接続している無線アクセスポイントがカバーする領域に機器が移
動したりするなど )、そのポートは、 MAC アドレスが適切なポートに存在
していないと判断し、アドレスがロックダウンされているポートにトラ
フィックを送信し続けます。
ある MAC アドレスを 1 つのポートに設定すると、同一スイッチの別の
ポートにそれと同じ MAC アドレスを用いてポートセキュリティを設定す
ることはできません。
1 つの MAC アドレス /VLAN ペアを複数のポートにロックダウンすること
はできませんが、複数の MAC アドレスを同じスイッチの 1 つのポートに
ロックダウンできます。
ステーションは、自分の MAC アドレスがロックダウンされているポート
から、ネットワークの他の場所に移動できます。データがロックダウンさ
れたスイッチを経由しなければならない場合、ステーションはこのデータ
を送信できますが、受信はできません。機器をネットワークの遠隔部に移
動し、そこでは機器の MAC アドレスに送信されるデータがロックダウン
されたスイッチを経由しない場合、その機器が完全な双方向通信を行える
ようになる可能性があることに注意してください。ネットワーク全域を完
全にロックダウンするためには、すべてのスイッチを適切に設定する必要
があります。
9-18
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
その他の留意事項。1 つのポートで MAC アドレス /VLAN のペアをロックダ
ウンすると、そのペアを別のポートにロックダウンすることはできません。
MAC ロックダウンと 802.1x 認証を、同じポートまたは同じ MAC アドレ
スに設定することはできません。 MAC ロックダウンと 802.1x 認証は、互
いに排他的です。
ロックダウンは、スタティックトランク ( 手動で設定されるリンクアグリ
ゲーション ) で許可されます。
MAC ロックダウンとポートセキュリティの違い
ポートセキュリティは MAC アドレスに基づいているため、 MAC ロックダ
ウン機能と混同されることが少なくありません。しかし、 MAC ロックダ
ウンはまったく異なる機能であり、実装されるアーキテクチャレベルも異
なります。
ポートセキュリティは、ポートごとに許可する MAC アドレスのリストを
保持するものです。 1 つのアドレスを、スイッチの複数のポートに設定でき
ます。ポートセキュリティは MAC アドレスのみを扱いますが、 MAC ロッ
クダウンは MAC アドレスと VLAN の両方をロックダウンに指定します。
一方、 MAC ロックダウンは「リスト」ではありません。 MAC ロックダウ
ンは、他のあらゆるセキュリティメカニズムよりも優先されるスイッチに
おけるグローバルパラメータです。 1 つの MAC アドレスは、スイッチの
特定の 1 ポートを介してのみ通信を許可されます。
MAC ロックダウンは、ポートセキュリティに代わる手法として優れてお
り、 MAC アドレスのより厳格な制御、そして使用するポートの確実な選択
を可能にします (MAC ロックダウンでは、同一スイッチで MAC アドレス 1
つにつき 1 ポートのみ )。( そのポートを他の MAC アドレスに使用できます
が、ロックダウンされた MAC アドレスは他のポートで使用できません。 )
ポートセキュリティのみを用いる場合、 1 つの MAC アドレスを同じス
イッチの別のポートでも使用できます。一方、 MAC ロックダウンでは、
MAC アドレスとポートの関係は明確に 1 対 1 となります。あるポートに
MAC アドレスをロックダウンすれば、その MAC アドレスは同じスイッチ
の別のポートには使用できません。
MAC ロックダウンとポートセキュリティを同一のポートで併用すること
はできません。
9-19
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
MAC ロックダウンの運用上の注記
制限。スイッチ 1 台に安全に設定できる MAC ロックダウンの数は最大 500
です。 MAC アドレスを確実にロックダウンするには、すべての MAC アド
レスおよび VLAN ID についてすべてのスイッチで MAC ロックダウンコマ
ンドを実行する必要があります。実際にはこれをすべて実行するネット
ワーク管理者は少数ですが、 MAC アドレスおよび VID をロックダウンした
スイッチが 1 台だけである場合、機器 ( あるいはその機器の MAC アドレス
に「なりすます」ハッカー ) はロックダウンされていない別のスイッチを
引き続き使用できる状況にあることに、十分注意する必要があります。
イベントログメッセージ。ロックダウンされた MAC アドレスの使用者が
不適切なポートを使って通信しよとすると ( 「Move attempt; 移動の試み」
)、ログファイルに次のようなメッセージが生成されます。
Move attempt (lockdown) logging:
W 10/30/03 21:33:43 maclock: module A: Move 0001e6-1f96c0
to A15 denied
W 10/30/03 21:33:48 maclock: module A: Move 0001e6-1f96c0
to A15 denied
W 10/30/03 21:33:48 maclock: module A: Ceasing move-denied
logs for 5m
ログファイルに生成されるこれらのメッセージは、問題のトラブルシュー
ティングに役立ちます。ロックダウンされている機器を不適切なポートに
接続しようしても失敗し、上記のようなエラーメッセージが生成されるの
で、問題を把握しやすくなります。
ログメッセージの頻度の制限。最初の移動の試み ( すなわち侵入 ) は、上
記の例のようにログ記録されます。さらに移動の試みが発生すると、ログ
ファイルにメッセージが送信されますが、モジュールごとにログ記録され
るメッセージの数が制限されます。つまり、ロギングシステムは当初 5 分
が経過した後に、不適切なポートに移動する新たな試みがあるかどうかを
チェックします。試みが認められる場合、ログファイルは直近の試みを記
録し、 1 時間後に再度チェックします。はじめの 5 分間に新たな試みが認め
られない場合は、 5 分おきにチェックを継続します。 1 時間の間に新たな試
みが認められた場合、ログはチェックを 1 日 1 回の頻度にするようリセッ
トします。ログメッセージの回数に制限を設ける理由は、ログファイルが
すぐに満杯にならないようするためです。スイッチには、 Syslog サーバに
同じメッセージを送信するようにも設定できます。使用するスイッチの『マ
ネジメント / コンフィギュレーションガイド』の付録 C 「デバッグおよび
Syslog メッセージングオペレーション」を参照してください。
9-20
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
MAC ロックダウンの展開
MAC ロックダウンを展開する際は、セキュリティを確保するために MAC
ロックダウンをネットワークトポロジの中でどのように用いるのかを検討
する必要があります。スパニングツリープロトコル (STP) などの手法で機
器への多重パスを構築し、ネットワークパフォーマンスを高速化している
環境では、 MAC ロックダウンが機能しないか、機能してもデータの多重
パスを設ける意味を打ち消してしまいます。
MAC ロックダウンを使用する理由は、悪意のあるユーザに認可 MAC アド
レスをハイジャックされてそのアドレスに送信されるデータトラフィック
を盗まれないようにするためです。
これまで説明したように、 MAC ロックダウンは、ある固有の MAC アドレ
スを宛先とするすべてのトラフィックが、実際の MAC アドレスを持つ機
器が接続する適切なポート以外には送信されないようにすることで、 MAC
アドレスのハイジャックを防止します。
しかし、スパニングツリーなどの多重パス技術を使用するネットワークで
MAC ロックダウンを誤って展開すると、問題が発生する可能性があります。
次に、セキュリティの確保を第一に考えながら、ネットワークで MAC
ロックダウンを有効活用する方法について説明します。
9-21
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
内部コア
ネットワーク
内部コアネットワー
クでは、スイッチに
MAC アドレスをロッ
クダウンする必要は
ありません。
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
3400cl または
Switch 5300xl
ネットワークエッジ
サーバ「A」
サーバ「A」をこれらの
ポートにロックします。
Switch 2810
Switch 2810
エッジ機器
多様なユーザ
図 9-9. ネットワークエッジに MAC ロックダウンを展開してセキュリティ
を確保
基本的な MAC ロックダウン展開。上記のネットワークトポロジモデルに
おいて、ネットワークエッジに接続されたスイッチは、コアネットワー
クへのコネクションがそれぞれ 1 つだけです。つまり、データをサーバ A
に伝送できるパスはいずれのスイッチも 1 本しかありません。 MAC ロッ
クダウンを用いることで、サーバ A の MAC アドレスを宛先とするすべて
のトラフィックがエッジスイッチの所定ポートを必ず経由するように設定
できます。これにより、エッジのユーザは他のネットワークリソースを引
き続き使用できる一方、サーバ A に「なりすまし」て、サーバ A のみを宛
先とするデータトラフィックをハイジャックすることはできません。
9-22
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
このトポロジモデルの要点をまとめると、次のようになります。
• 「ロックダウン」されたスイッチを使用することで、コアネッ
トワークがエッジから切り離され、セキュリティが確保され
ます。
•
エッジ ( 外部ユーザ ) に接続されたスイッチはすべて、コア
ネットワーク経由のサーバ A への接続に使用できるポートが
1 つのみとなります。
•
サーバAの MACアドレスをコアおよびサーバAに接続可能なス
イッチごとに 1 つのポートにロックダウンできるよう、各ス
イッチに MAC ロックダウンが設定されています。
こうした設定を施すことで、サーバ A をコアネットワークの範囲内で移
動させることができるとともに、 MAC ロックダウンは引き続きエッジの
ユーザによる MAC アドレスのハイジャックとデータの漏洩を防止します。
ただし、このシナリオでは、悪意を持つエッジのユーザがサーバ A の
MAC アドレスになりすまし、あたかもサーバ A から発信されたように見
えるデータパケットを送信することは可能であることに注意してくださ
い。効果的な点として、 MAC ロックダウンがエッジのスイッチで用いら
れているため、サーバ A に返送されるトラフィックはすべて適切な MAC
アドレスに送信されます。エッジにあるスイッチは、サーバ A のデータ
パケットを、サーバ A に接続されているポート以外には送信しません (
データが送信されるのはエッジスイッチまでとなります )。
CAUTION
MAC ロックダウンを使用しても、コアネットワークの範囲内ではハイ
ジャックを防止できません。コアネットワーク内部でサーバ A の MAC ア
ドレスのなりすましを防ぐには、エッジだけではなくコアネットワーク内
のすべてのスイッチにもロックダウンを設定する必要があります。
多重パスが設定されたネットワークで MAC ロックダウンを使用する際の
問題。次に、 MAC ロックダウンを使用すると問題が生じるネットワーク
トポロジについて説明します。次の図で、スイッチ 1 ( 左下 ) はネットワー
クのエッジに設置されています。エッジには、適正なユーザ以外にも、
ハッカーをはじめとする悪意のあるユーザが混在している可能性がありま
す。スイッチ 1 には、サーバ A に接続可能なパスが 2 本あります。ここで
MAC ロックダウンを設定してサーバ A に送信されるすべてのデータを 1
本のパスにロックダウンしようとすると、接続上の問題が発生することが
あります。これは、パスの 1 本に障害が発生した場合に備えて両方のパス
を使用可能にしておく必要があるためです。
9-23
ポートセキュリティの設定およびモニタリング
MAC ロックダウン
内部ネットワーク
問題 : このリンクに障害が発生
しても、サーバ A へのトラ
フィックにスイッチ 3 を経由
するバックアップパスが使用
されません。
スイッチ 3
サーバ A
スイッチ 4
サーバ A はスイッチ
1、アップリンク 2
にロックダウンされ
ています。
スイッチ 2
スイッチ 1
外部ネット
ワーク
多様なユーザ
図 9-10. 多重パスで MAC ロックダウンを使用する際の接続上の問題
このような状況では結果的に接続上の問題が発生するため、サーバ A をス
イッチ 1 にロックダウンすることはできません。また、 ( ブロードキャス
トストームなどの接続上の問題を回避するために ) スイッチ 1 から MAC
ロックダウンを解除すると、ネットワークのセキュリティを確保できなく
なります。上図のように MAC ロックダウンを使用すると、 STP ( スパニン
グツリープロトコル ) を使用する目的または代替パスを持つ意味がなくな
ります。
STP などの技術は、全ユーザが信頼できる内部キャンパスネットワーク環
境を主な対象としています。 STP は、 MAC ロックダウンとの親和性があ
りません。
MAC ロックダウンを図 9-9 (9- 22 ページ ) のトポロジモデルのように展開
すれば、セキュリティと接続の両方を問題なく確保できます。
9-24
ポートセキュリティの設定およびモニタリング
MAC ロックアウト
ステータスの表示。CLI で show running-config コマンドを実行すると、
ロックダウンされたポートが一覧表示されます。 show static-mac コマン
ドを実行した場合も、ロックダウンされた MAC アドレスのリストが次の
ように表示されます。
ProCurve(config)# show static-mac
VLAN MAC Address Port
1 001083-34f8fa 9
Number of locked down MAC addresses = 1
ProCurve(config)#
図 9-11. ロックダウンされたポートの一覧表示
MAC ロックアウト
MAC ロックアウトは、アクセスを不許可とする MAC アドレスをスイッチ
の全ポートおよび VLAN に設定することで、「ロックアウト」された MAC
アドレスとの間で送受信されるトラフィックをすべて破棄する機能です。
つまり、所定のアドレスとの間で送受信されるすべてのデータパケット
が、スイッチによって阻止されます。 MAC ロックアウトは、スイッチご
とに設定されます。
MAC ロックアウトは、シンプルなブラックリストともいえます。所定の
MAC アドレスが、スイッチおよびすべての VLAN からシャットアウトさ
れます。 MAC ロックアウトを設定すると、スイッチのブラックリストに
登録された MAC アドレスはデータの送受信が行えません。
VLAN1 つあたりに設定できる MAC ロックアウトの数は、以下のように、
設定されている VLAN の数に応じて異なります。
表 9-1.
VLAN の数に応じて設定できる MAC ロックアウトの数
最大 VLAN 数
ロックアウト数
8
50
16
25
>16
2
MAC アドレスをネットワークから完全に締め出すには、 MAC ロックアウ
トコマンドを全スイッチで使用する必要があります。
9-25
ポートセキュリティの設定およびモニタリング
MAC ロックアウト
MAC ロックアウトを使用するには、まずブロックする MAC アドレスを認
識しなければなりません。
構文 :
[no] lockout-mac < mac-address >
MAC ロックアウトの仕組み。たとえば、ある企業でネットワークにアク
セスさせたくない未認可の無線クライアントがあるとします。ネットワー
ク管理者は、 MAC ロックアウトコマンド (lockout-mac <mac-address>) を
実行して、その無線クライアントの MAC アドレスを「締め出し」ます。
無線クライアントがネットワークへのアクセスを試みると、スイッチは侵
入する MAC アドレスを検知して、そのクライアントがネットワークで
データを送受信できないようにします。
特定の MAC アドレスがスイッチで不要と判断されれば、 1 つのコマンド
を使って、その MAC アドレスをそのスイッチの全ポートで不許可にでき
ます。全ポートに個別に設定する必要はなく、スイッチでコマンドを実行
すれば全ポートに適用されます。
MAC ロックアウトは、 MAC ロックダウン、ポートセキュリティ、 802.1x
認証より優先されます。
MAC ロックアウトを使用しても、以下についてロックアウトすることは
できません。
•
ブロードキャストまたはマルチキャストアドレス ( スイッチは
これらを学習しません )
•
スイッチエージェント ( スイッチ自身の MAC アドレス )
ロックアウトされた MAC アドレスの使用者がスイッチ経由でデータの送
信を試みると、ログファイルに次のようなメッセージが生成されます。
Lockout logging format:
W 10/30/03 21:35:15 maclock: module A: 0001e6-1f96c0
detected on port A15
W 10/30/03 21:35:18 maclock: module A: 0001e6-1f96c0
detected on port A15
W 10/30/03 21:35:18 maclock: module A: Ceasing lock-out
logs for 5m
9-26
ポートセキュリティの設定およびモニタリング
MAC ロックアウト
MAC ロックダウンと同様に、ログファイルにログ数制限アルゴリズムを
用いることで、ログファイルがエラーメッセージで満杯にならないよう
に設定できます。 (9- 20 ページの「ログメッセージの頻度の制限」を参照
してください。 )
ステータスの表示。CLI で show running-config コマンドを実行すると、
ロックアウトされたポートが一覧表示されます。 show lockout-mac コマン
ドを実行した場合も、ロックアウトされた MAC アドレスのリストが次の
ように表示されます。
ProCurve(config)# show lockout-mac
Locked Out Addresses
007347-a8fd30
Number of locked out MAC addresses = 1
ProCurve(config)#
図 9-12. ロックアウトされたポートの一覧表示
ポートセキュリティと MAC ロックアウト
MAC ロックアウトは、ポートセキュリティとは無関係に機能しますが、
実際にはポートセキュリティより優先されます。 MAC ロックアウトは、 1
つのコマンドでスイッチの全ポートに設定できるので、既知の機器からの
アクセスを阻止するには、ポートセキュリティより望ましい手法です。
MAC ロックアウトは、ポートセキュリティと併用できます。 MAC ロック
アウトを用いることで、 1 つのアドレスを締め出し、特定機器へのアクセ
スを拒否できる一方、スイッチは引き続き他の MAC アドレスを学習でき
ます。ただし、 MAC ロックアウトとポートセキュリティを併用する場合
は次のような注意が必要です。
•
ある MAC アドレスがロックアウトされ、なおかつポートセ
キュリティの static learn テーブルに表示される場合、見かけ
上は「認可されている」アドレスであるにもかかわらずロッ
クアウトされます。
•
ポートセキュリティによって設定された MAC アドレスの内容
は MAC ロックアウトを設定した場合も維持され、ロックアウ
トが解除されると元のポートセキュリティ設定が有効になり
ます。
•
ポートセキュリティのスタティックアドレスは、ロックアウ
トアドレスとなります。この場合 (MAC ロックアウト )、ポー
トセキュリティの観点からは「認可」アドレスであっても、
そのアドレスはロックアウト (SA/DA 破棄 ) されます。
9-27
ポートセキュリティの設定およびモニタリング
Web: ポートセキュリティの機能の表示および設定
•
MAC ロックアウトエントリが削除されると、ポートセキュリ
ティはそのアドレスを後で必要なアドレスとして再学習しま
す。
Web: ポートセキュリティの機能の表示
および設定
1. [Security] タブをクリックします。
2. [Port Security] ボタンをクリックします。
3. 必要な設定を選択し、 static の Learn Mode を使用している場合は、
[Authorized Addresses] フィールドを追加または編集します。
4. [Apply Changes] ボタンをクリックすることにより、新データが反映
されます。
スイッチについて Web ベースのオンラインヘルプを参照するには、 Web
ブラウザ画面の [?] ボタンをクリックします。
侵入アラートの読み取りとアラートフ
ラグのリセット
セキュリティ違反の通知
スイッチはポートで未認可の機器を検出すると、そのポート用に「アラー
トフラグ」を設定し、以下のような手段で侵入情報を使用できるようにし
ます。スイッチは同じポートでさらに未認可の機器を検出することがあり
ますが、そのポートのアラートフラグをリセットしない限り、以降に検
出される侵入ログは一覧表示されません。
ポートセキュリティが設定されたポートでセキュリティ違反が発生した場
合、スイッチは以下の方法で応答し、ユーザに通知します。
■
■
9-28
スイッチはそのポートのアラートフラグを設定します。このフラ
グは次の処理が行われるまで維持されます。
•
CLI、メニューインタフェースまたは Web ブラウザインタ
フェースのいずれかを使用してフラグをリセットする。
•
スイッチが工場出荷時のデフォルト設定にリセットされる。
スイッチは、以下の手段を提供して侵入を通知します。
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
•
•
•
•
CLI の場合 :
-
show port-security intrusion-log コマンドで、侵入ログを表
示します。
-
log コマンドでイベントログを表示します。
メニューインタフェースの場合 :
-
[Port Status] 画面にポートごとの侵入アラートが表示され
ます。
-
イベントログには、セキュリティ違反についてポートご
とのエントリが含まれています。
Web ブラウザインタフェースの場合 :
-
アラートログの [Status | Overview] ウィンドウに、ポート
ごとのセキュリティ違反エントリが表示されます。
-
[Security | Intrusion Log] ウィンドウの [Intrusion Log] に、ポー
トごとのセキュリティ違反エントリが一覧表示されます。
アクティブなネットワーク管理環境では、ネットワーク管理ス
テーションに送信される SNMP トラップを介して通知します。
侵入ログの動作
スイッチはポートで未認可の機器を検出すると、 [Intrusion Log] にこのイベ
ントを記録します。ユーザがアラートフラグをリセットして、以前の侵入
イベントを確認するまで、そのポートで次に未認可の機器が検出されても
ログには表示されません。
アラートフラグがリセットされたかどうかに関係なく、 [Intrusion Log] に
は最新の 20 件のセキュリティ違反が一覧表示されます。この一覧表示に
よって、過去の侵入についての履歴が得られます。したがって、たとえば
ポート A1 に対して侵入アラートが 1 つあり、侵入ログにポート A1 に対す
るエントリが 2 つ以上表示されている場合、最新のエントリだけは ( ア
ラートフラグをリセットして ) 確認されていないことになります。それ以
外のエントリは、ポート A1 で検出された過去の侵入履歴を示しています。
図 9-13. 同じポートに対する複数の侵入ログエントリの例
9-29
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
このログは、最新の侵入を一覧表示の一番上に表示しています。侵入ログ
エントリは削除できません ( スイッチを工場出荷時のデフォルト設定にリ
セットしない限り )。その代わり、スイッチが新しい侵入を検出してログ
がいっぱいになると、最も古いエントリが一覧表示から削除され、最新の
エントリが一覧表示の一番上に表示されます。
アラートフラグをリセットして侵入ログを最新の状
態に保つ
ポートで違反が発生すると、そのポートに対するアラートフラグが設定さ
れ、違反が [Intrusion Log] に記録されます。スイッチはそのポートで後に
続いて発生する侵入を検出し、処理しますが、すべてのポートまたは個別
のポートのアラートフラグをリセットするまで、ポートへの侵入はログに
記録しません。
S en d - D i sa b l e
オペレーション
に関する注記
あるポートにおいて、 SNMP トラップを送信した上にポートを無効にする
(send-disable) といった侵入の挙動があり、侵入者がそのポートで検出され
た場合、スイッチは SNMP トラップを送信し、そのポートにアラートフラ
グを設定して、ポートを無効にします。アラートフラグをリセットせずに
そのポートを再度有効にすると、ポートは次のように動作します。
■
ポートが機能して、検出した未認可機器からのトラフィックをブ
ロックします。
■
ポートが別の未認可機器を検出すると、新たに SNMP トラップを送
信しますが、ポートの侵入フラグをリセットするまでは再び無効
になりません。
このオペレーションによって、ポートは認可機器に対するトラフィックの
送信を継続できるとともに、ユーザは未認可機器を特定して阻止すること
が可能になります。こうしたオペレーションが行われないと、侵入者の登
場によってポートが繰り返し無効になってしまう可能性があります。
メニュー : 侵入のチェック、侵入アラートの一覧表示およ
びアラートフラグのリセット
メニューインタフェースでは、 [Port Status] 画面にポートごとの侵入が表
示され、 [Intrusion Log] 画面に詳細とリセット機能が表示されます。
1. [Main Menu] から以下を選択します。
[1. Status and Counters]
[4. Port Status]
9-30
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
[Intrusion Alert] カ
ラムには、セ
キュリティ違反
が検出された
ポートすべてに
「Yes」が表示さ
れます。
図 9-14. ポート A3 に侵入アラートが設定された [Port Status] 画面の表示例
2. [I] キー (Intrusion log) を入力して侵入ログを表示します。
ポート A3 で
検出された侵
入機器の MAC
アドレス
ポート A3 への侵入時のシ
ステム時刻
ポート A3 へのこの侵入が、
表示の日時に行われたリ
セット ( リブート ) より前
に発生したことを示してい
ます。
図 9-15. 侵入ログの表示の例
上記の例は、ポート A3 への侵入 2 件、およびポート A1 への侵入 1 件
を示しています。この場合、ポート A3 での最新の侵入だけは確認 ( リ
セット ) されていません。これは、以下によって示されています。
•
[Port Status] 画面 (9- 31 ページの図 9-14) には、ポート A1 の侵入
は示されていません。そのため、ポート A1 への侵入のアラー
トフラグはすでにリセットされています。
•
スイッチが表示できる未消去の侵入はポートごとに 1 件のみで
あるため、この例のポート A3 の古い侵入も以前にリセットさ
れています。
9-31
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
( 侵入ログには 20 件までの侵入レコードが保持されます。ログが
いっぱいになり、その後新しい侵入が検出されると、侵入レコー
ドが 1 件削除されます。 )
最も古い侵入レコードに付けられている「prior to」というテキスト
は、表示されている時刻にスイッチがリセットされたこと、そしてリ
セット前に侵入が発生したことを意味しています。
3. ポート A3 の最新の侵入レコードを確認し、またスイッチがこのポー
トで以降に検出する侵入を記録できるようにするには、 [R] キー ( ア
ラートフラグのリセット ) を入力します。 ( 複数のポートに未確認の
侵入エントリがあり、この手順を実行すると、すべてのポートのア
ラートフラグがリセットされます。 )
続いて [Port Status] 画面を再表示すると、ポート A3 の侵入アラートエン
トリが「No」に変わっていることがわかります。つまり、侵入アラートフ
ラグが確認 ( リセット ) 済みであることの証拠として、 [Port Status] 画面に
おいて、侵入のあったポート ( この例ではポート A3) の [Intrusion Alert] カ
ラムに「Yes」が表示されていません。 ( 侵入ログには、スイッチによって
検出された最新の 20 件の侵入履歴が表示されるため、アラートフラグを
リセットしても表示内容は変わりません。したがって、侵入ログを再び表
示すると、上記、図 9-15 と同じ画面が表示されます。 )
9-32
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
CLI: 侵入のチェック、侵入アラートの一覧表示およびア
ラートフラグのリセット
以下のコマンドは、ポートの侵入アラートの有無を含むポートステータス
の表示、最新の 20 件の侵入の一覧表示、およびすべてのポートまたは侵
入が検出された特定のポートのアラートフラグをリセットするものです。
( 侵入レコードはログに維持されます。詳細は、 9- 36 ページの「ポートセ
キュリティの運用上の注記」を参照してください。
構文 :
show interfaces brief
侵入アラートのステータス ( および他のポートステータ
ス情報 ) を一覧表示します。
show port-security intrusion-log
侵入ログの内容を一覧表示します。
clear intrusion-flags
すべてのポートの侵入フラグを削除します。
port-security [e] < port-number > clear-intrusion-flag
特定のポートの侵入フラグを削除します。
次の例では、 show interfaces brief を実行してスイッチのポートステータ
スを一覧表示し、ポート A1 の侵入アラートを示しています。
ポート A1 の侵入アラート
図 9-16. [Port Status] 画面の未確認の侵入アラートの例
侵入の詳細を確認するには、 show port-security intrusion-log コマンドを実
行します。たとえば以下のようになります。
9-33
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
ポート A1 における
最新の侵入者の
MAC アドレス
侵入の日時
ポート A1 への消去
済みの以前の侵入 (
つまり、最新の侵入
が発生する前に、ア
ラートフラグが 2 回
以上リセットされて
います。 )
図 9-17. 同じポートに複数のエントリがある侵入ログの例
上記の例は、ポート A1 に 3 件の侵入があったことを示しています。ス
イッチが表示できる未消去の侵入はポートごとに 1 件のみであるため、こ
の例の古い 2 件の侵入は clear intrusion-log コマンドまたは port-security <
port-list > clear-intrusion-flag コマンドによってすでに消去されていること
がわかります。 ( 侵入ログには最大 20 件の侵入レコードが保持されます。
ログがいっぱいになり、その後新しい侵入が検出されると、侵入レコード
が削除されます。 ) また、 3 番目の侵入レコードに付けられている「prior
to」というテキストは、表示されている時刻にスイッチがリセットされた
こと、そしてリセット前に侵入が発生したことを意味しています。
ポート A1 の侵入フラグを消去して、スイッチがポート A1 における新たな
侵入を侵入ログに記録できるようにするには、 port-security clear-intrusionflag コマンドを実行します。続いて [Port Status] 画面を再表示すると、ポー
ト A1 の侵入アラートエントリが「No」に変わっていることがわかりま
す。 (show port-security intrusion-log コマンドを再度実行すると、上記と同
じ表示となり、 [Intrusion Alert] ステータスは含まれません。 )
ProCurve(config)# port-security a1 clear-intrusion-flag
ProCurve(config)# show interfaces brief
ポート A1 の侵入アラートがクリアされました。
図 9-18. アラートフラグがリセットされた後の [Port Status] 画面の例
侵入のクリアについては、 9- 30 ページの「Send-Disable オペレーションに
関する注記」を参照してください。
9-34
ポートセキュリティの設定およびモニタリング
侵入アラートの読み取りとアラートフラグのリセット
イベントログを使用した侵入アラートの検索
イベントログには、ポートセキュリティの侵入が次のように一覧表示さ
れます。
W MM/DD/YY HH:MM:SS FFI:port A3 - Security Violation
「W」はログエントリの重大度レベル、「FFI」はこのエントリを生成したシ
ステムモジュールです。詳しくは、下記のように侵入ログ画面を表示して
ください。
CLI から。管理者レベルまたはオペレータレベルで log コマンドを入力し
ます。
構文 :
log [search-text ]
[search-text] には、 ffi、security、または violation を使用できます。たとえ
ば以下のようになります。
検索文字列に「security」
を指定したログコマンド
セキュリティ違
反が検出された
ログのリスト
セキュリティ違
反が検出されな
かったログのリ
スト
図 9-19. セキュリティ違反が検出された場合およびされなかった場合のロ
グ一覧表示の例
メニューインタフェースから。[Main Menu] で、 [4. Event Log] をクリック
し、 [Next page] および [Prev page] を使用してイベントログの内容を確
認します。
イベントログ情報の詳細について。使用するスイッチの『マネジメント /
コンフィギュレーションガイド』にある「トラブルシューティング」の章
「ログを使用して問題の原因を特定する」を参照してください。
9-35
ポートセキュリティの設定およびモニタリング
ポートセキュリティの運用上の注記
Web: 侵入のチェック、侵入アラートの一覧表示、お
よびアラートフラグのリセット
1. [Status] タブ、 [Overview] ボタンの順にクリックして、アラートログ
をチェックします。「 Security Violation ( セキュリティ違反 )」エントリ
があれば、以下の手順を実行します。
a.
[Security] タブをクリックします。
b. [Intrusion Log] ボタンをクリックします。「 Ports with Intrusion Flag」
は、アラートフラグがクリアされていないポートがあることを示
しています。
c.
現在のアラートフラグをクリアするには、 [Reset Alert Flags] ボタ
ンをクリックします。
スイッチについて Web ベースのオンラインヘルプを参照するには、 Web
ブラウザ画面の [?] ボタンをクリックします。
ポートセキュリティの運用上の注記
侵入者の IP アドレスの特定。侵入ログは検出された未認可の機器を MAC
アドレス別に一覧表示します。プロキシ Web サーバ
スタティックポートセキュリティが設定されているスイッチポートを通
じてスイッチの Web ブラウザインタフェースを使用し、ブラウザアクセ
スをプロキシ Web サーバ経由で行う場合は、以下の設定が必要です。
■
PC またはワークステーションの MAC アドレスをポートの
[Authorized Addresses] リストに入力する。
■
PC またはワークステーションの IP アドレスをスイッチのオーソラ
イズド IP マネージャリストに入力する。 ( 第 11 章「オーソライズ
ド IP マネージャ」を参照してください。 )
上記のどちらも設定されていない場合、スイッチはプロキシサーバの
MAC アドレスのみを検出し、 PC やワークステーションの MAC アドレス
は検出しないため、接続は未認可であると解釈します。
侵入ログの「Prior To」エントリ。スイッチをリセット ([Reset] ボタン、
[Device Reset] ボタン、 [Reboot Switch] ボタンのいずれかを使用 ) すると、
侵入ログでは現在ログに記録されているすべての侵入日時を「prior to “ リ
セット日時”」（リセット日時より以前を意味）と表示します。
9-36
ポートセキュリティの設定およびモニタリング
ポートセキュリティの運用上の注記
侵入ログから強制削除されたエントリのアラートフラグのステータス。ア
ラートフラグがリセットされていないエントリで侵入ログが満杯になった
場合、新しい侵入が発生すると最も古いエントリが一覧表示から削除され
ますが、削除されたエントリのポートのアラートフラグのステータスは変
わりません。したがって、エントリが侵入ログから強制的に削除されて
も、アラートフラグをリセットするまでそのポートに対する新しい侵入を
ログに記録することはできません。
ポートセキュリティが設定されたポートでは LACP を使用できない。セ
キュリティを維持するために、ポートセキュリティが設定されたポートで
は LACP は許可されません。 LACP ( アクティブまたはパッシブ ) が設定さ
れているポートでポートセキュリティを設定すると、スイッチは LACP 設
定を削除し、ポートで LACP が無効になったことを示す警告を表示して、
そのポートのポートセキュリティを有効にします。たとえば以下のように
なります。
ProCurve(config)# port-security e a17 learn-mode static
address-limit 2
LACP has been disabled on secured port(s).
ProCurve(config)#
ポートセキュリティが有効になっているポートで LACP を設定することは
できません。たとえば以下のようになります。
ProCurve(config)# int e a17 lacp passive
Error configuring port A17:LACP and port security cannot
be run together.
ProCurve(config)#
ポートに LACP を復元するには、ポートセキュリティを解除して LACP (
アクティブまたはパッシブ ) を再度有効にする必要があります。
9-37
ポートセキュリティの設定およびモニタリング
ポートセキュリティの運用上の注記
9-38
10
トラフィック / セキュリティフィルタ
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-2
ソースポートフィルタの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-3
ソースポートフィルタの動作ルール . . . . . . . . . . . . . . . . . . . . 10-3
ソースポートフィルタの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 10-5
ソースポートフィルタの表示 . . . . . . . . . . . . . . . . . . . . . . . . . 10-8
フィルタのインデックス番号付け . . . . . . . . . . . . . . . . . . . . . . 10-9
ソースポートフィルタの編集 . . . . . . . . . . . . . . . . . . . . . . . . 10-10
名前付きソースポートフィルタの使用 . . . . . . . . . . . . . . . . . 10-10
10-1
トラフィック / セキュリティフィルタ
概要
概要
基本動作。ポート単位でスタティックフィルタを設定して不要なトラ
フィックを転送 ( デフォルトのアクション ) または破棄することにより、イ
ンバンドセキュリティを高め、ネットワークリソースへのアクセス管理を
強化できます。つまり、スイッチのインバンド ( ソース ) ポートまたはトラ
ンクと、任意のアウトバウンド ( デスティネーション ) ポートおよびトラン
ク (設定されている場合) との間を流れるすべてのネットワークトラフィッ
クを転送または破棄するトラフィックフィルタを設定できます。ソース
ポートフィルタは、 VLAN 間でルーティングされるトラフィックには影響
しません。
注記
スイッチは、ポートトランクをソースポートフィルタリングの単一のソー
スまたはデスティネーションとして管理します。ポートにフィルタを設定
してからそのポートをトランクに加えると、ポートのフィルタ設定はその
まま維持されますが、ポートがトランクのメンバである間はフィルタリン
グ動作が一時停止となります。トランクでフィルタリングを実行するよう
に設定するには、まずトランクを設定し、次にトランクにフィルタリング
を設定します。 10- 6 ページの「ポートトランクでのフィルタの設定」を参
照してください。
ソースポートフィルタの作成時、スイッチのすべてのポートまたはポート
トランクが、そのフィルタの一覧でデスティネーションとして表示されま
す。ユーザがトラフィックを破棄するように明示的に設定しない限り、ス
イッチは自動的にトラフィックをそれらのポートまたはトランク、あるい
はその両方に転送します。 ( トランクを構成するデスティネーションポー
トは、個別のポート名ではなく Trk1 のようなトランク名で一括表示されま
す。 ) たとえば、ワークステーション「X」が送信したトラフィックをサー
バ「A」は受信せず、他のサーバまたはエンドノードは受信するように設
定する場合、ポート 5 からポート 7 へのトラフィックを破棄するフィルタ
を設定します。このように設定されたフィルタは、ポート 5 からポート 7
へのトラフィックは破棄しますが、それ以外のソース / デスティネーショ
ンポート間のトラフィックはすべて転送します ( 図 10-1 および 10-2 を参
照してください )。
10-2
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ポート 5
ワークステーション「X」
ポート 7
サーバ「A」
ポート 8
サーバ「B」
ポート 9
サーバ「C」
図 10-1. ポート 5 からサーバ「A」へのトラフィックのみブロックする
フィルタの例
このリストは、ソースポー
ト 5 ( ワークステーション
「X」 ) からデスティネーショ
ンポート 7 ( サーバ「A」 ) へ
のトラフィックをブロック (
破棄 ) するために作成された
フィルタを示しています。
このフィルタでは、ソース
ポート 5 から、ポート 7 以
外のすべてのデスティネー
ションポートにトラフィッ
クを転送できることに注意
してください。
図 10-2. 図 10-1 の動作のフィルタ
ソースポートフィルタの使用
ソースポートフィルタの動作ルール
■
スイッチの物理ポートまたはポートトランクのそれぞれに対して1
つのソースポートフィルタを設定できます。
■
設定するソースポートフィルタは以下の要素で構成されます。
•
1 つのソースポートまたはポートトランク (trk1、trk2、...trk6)
10-3
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
•
スイッチのすべての LAN ポートおよびポートトランクを含めた、
デスティネーションポートまたはポートトランク、あるいはその
両方の 1 つのセット。
•
各デスティネーションポートまたはポートトランクに対する 1 つ
のアクション
ソースポートフィルタを作成すると、指定のソースから、明示的に
「破棄」する動作を設定していないすべてのデスティネーションへのト
ラフィックを転送するフィルタが自動的に設定されます。このため、
特定のトラフィックを破棄するフィルタが設定されていない限り、転
送させるトラフィックに対してソースポートフィルタを設定する必要
はありません。
10-4
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ソースポートフィルタの設定
ソースポートフィルタコマンドは、グローバルコンフィギュレーション
レベルで実行します。
構文 : [no] filter source-port [e] < source-port-number > [ drop | forward ]
< source-port-number > に指定されたソースポートフィル
タを作成または削除します。破棄または転送のアクション
を設定せずにソースポートフィルタを作成すると、指定の
ソースからスイッチの全デスティネーションに転送する
フィルタがスイッチによって自動的に作成します。
[ drop [e] < destination-port-list > ]
指定のソースポート ( またはソーストランク ) (< sourceport-number >) に対して、 < destination-port-list > のポート
またはポートトランクとするトラフィックを破棄するフィ
ルタを設定します。 drop の設定を forward に変更したい
デスティネーションポートが他にある場合は、 forward オ
プションを追加することで可能となります。たとえば以下
のようになります。
filter source-port <source-port-number> drop <destinationport-list > forward <destination-port-list>
[ forward [e] < destination-port-list > ]
指定ソース (< source-port-number >) に対して、 <
destination-port-list > のデスティネーションとするトラ
フィックを転送するフィルタを設定します。フィルタ
のデスティネーションは forward がデフォルトである
ため、既存のフィルタでデスティネーションが drop に
設定され、それを forward に変更する場合にこのコマ
ンドが便利です。 forward の設定を drop に変更した
いデスティネーションポートが他にある場合は、 drop
オプションを追加することで可能となります。たとえ
ば以下のようになります。
filter source-port <source-port-number > forward <
destination-port-list > drop < destination-port-list >
ソースポートフィルタの作成例。たとえば、ポート 5 が受信するトラ
フィックのうち、ポートトランク 1 (Trk1) およびポート 10 ～ 15 の範囲の
任意のポートをデスティネーションとするトラフィックをすべて破棄する
ソースポートフィルタを作成するとします。このフィルタを作成するに
は、次のコマンドを実行します。
ProCurve(config)# filter source-port 5 drop trk1,10-15
10-5
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
後から、このフィルタのデスティネーションポートの範囲を 2 ポート分移
して、ポート 5 が受信するトラフィックのうち、ポート 12 ～ 17 の範囲の
任意のポートをデスティネーションとするトラフィックをすべて破棄する
フィルタに変更するとします。 (Trk1 デスティネーションはすでにフィル
タに設定されており、そのまま維持できます。 )1 つのコマンドで、ポート
10 および 11 への転送を復活させると同時に、ポート 16 および 17 を「破
棄」リストに加えることができます。
ProCurve(config)# filter source-port 5 forward 10-11 drop
16-17
ポートトランクでのフィルタの設定。ポートトランクにフィルタを設定
する場合も、個別のポートへのフィルタ設定に使用したものと同一のコマ
ンドを使用します。ただし、設定プロセスは次の 2 段階となります。
1.
ポートトランクを設定します。
2.
ポート名の代わりにトランク名 (trk1、trk2、... trk6) を用いて、ポート
トランクにフィルタを設定します。
たとえば、トランク 2 およびポート 10 ～ 15 へのインバウンドトラフィッ
クを破棄するフィルタをポートトランク 1 に設定するには、次のコマンド
を使用します。
ProCurve(config)# filter source-port trk1 drop trk2,10-15
ポートにフィルタを設定してからトランクにそのポートを追加すると、
ポートのフィルタ設定はそのまま維持されますが、ポートがトランクのメ
ンバである間はフィルタリング動作が一時停止となることに注意してくだ
さい。このため、トランクはポート設定からフィルタリングを引き継ぎま
せん。ポートトランクに明示的にフィルタを設定する必要があります。
ソースポートをトランクに加える前に作成されたフィルタに対して show
filter < index > コマンドを使用すると、ポート番号がアスタリスク (*) に挟
まれて表示されます。このアスタリスクは、そのフィルタのフィルタリン
グ動作が一時停止になっていることを示します。たとえば、ポート 5 で
10-6
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
フィルタを作成し、次にポート 5 および 6 でトランクを作成して結果を表
示すると、次のような画面が表示されます。
*5* は、ポート 5 にフィルタが
設定されているが、そのポート
がトランクのメンバである間は
フィルタリング動作が一時停止
になっていることを示します。
ポート 5 の属するトランクがト
ラフィックをフィルタフィング
するように設定するには、その
トランクで明示的にフィルタを
設定する必要があります。
注記 : 既存のトランクにフィル
タリングを設定し、後でそのト
ランクに新しいポートを追加す
ると、スイッチはそのトランク
の任意のリンクを流れる全トラ
フィックに対してフィルタリン
グを適用します。トランクから
ポートを削除すると、そのポー
トは、トランクに追加される前
の設定に戻ります。
図 10-3. フィルタが設定されたソースポートをトランクに追加した場合の
スイッチの応答例
10-7
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ソースポートフィルタの表示
スイッチに設定されているすべてのソースポートフィルタを一覧表示し
たり、オプションで特定のフィルタの詳細情報を参照することができます。
構文 :
show filter [index]
設定されているフィルタの一覧を表示します。各フィル
タエントリには、 IDX ( インデックス ) 番号、フィルタタ
イプ、値が表示されます。
IDX: 自動的に割り当てられるインデックス番号で、詳
細情報の一覧表示でフィルタを識別するために使用さ
れます。フィルタは、スイッチで削除されるまで、割
り当てられた IDX 番号を保持します。スイッチは、割
り当て可能な最も若い IDX 番号を新しいフィルタに割
り当てます。このとき、以前の ( ソースポート ) フィル
タを削除したことでフィルタリストにギャップが生じ
た場合は、古いフィルタよりも若い IDX 番号が新しい
フィルタに割り当てられる可能性があります。
Filter Type: IDX 番号に割り当てられるフィルタのタ
イプを示します。
Value: フィルタに割り当てられたソースポートまたはト
ランクのポート番号またはポートトランク名を示します。
show filter を実行して、詳細を調べたい特定のフィルタ
のインデックス番号を確認できます。
[ index ]
インデックス番号を指定して、フィルタの詳細データを
表示します。ソースポートフィルタのソースポート番
号、スイッチの全ポートおよびトランクの一覧 ( ポート
タイプを含む )、各ポートまたはトランクに設定された
フィルタリング動作 ( デフォルトの Forward、または
Drop) が表示されます。
たとえば、次の 3 つのフィルタがスイッチに設定されているとします。
10-8
ソースポー
ト
デスティ
ネーション
ポート
フィルタリング動作
1
6-7
Drop、他のポート / トランクでは
すべて Forward
2
8-9
Drop、他のポート / トランクでは
すべて Forward
3
1-2
Drop、他のポート / トランクでは
すべて Forward
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ソースポート 3 のフィルタについて、そのインデックス番号を確認してか
ら詳細情報を表示するには、図 10-4 のように show filter および show
filter [ index ] コマンドを使用します。
show filter コマンドでソース
ポート 3 のインデックス番号を
確認します。
ソース
ポート
番号
show filter 4 コマンドでソース
ポート 3 のフィルタ詳細を表示
します。
図 10-4. フィルタの一覧表示および特定フィルタの詳細情報表示の例
フィルタのインデックス番号付け
スイッチは、個々の新しいソースポートフィルタに対して、割り当て可
能な最も若いインデックス (IDX) 番号を自動的に割り当てます。フィルタ
が設定されていない状態で 3 つのフィルタを連続して作成すると、これら
のインデックス番号は 1 ～ 3 となります。その後、インデックス番号 "2"
のフィルタを削除し、新たに 2 つのフィルタを設定すると、 1 つ目の新
フィルタのインデックス番号は "2" となり、 2 つ目のインデックス番号は
"4" となります。これは、先にフィルタを削除したことで空きとなったイ
ンデックス番号 "2" が、次の新しいフィルタに割り当て可能な最も若いイ
ンデックス番号となったためです。
10-9
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ソースポートフィルタの編集
1 つのフィルタには、所定のソースポートに設定されている全デスティネー
ションポートまたはトランク、あるいはその両方に対するアクションが含
まれています。ソースポートフィルタがすでに設定され、いくつかのデス
ティネーションポートまたはトランクに対して現在設定されているアク
ションを変更するには、filter source-port コマンドを用いて既存のフィルタ
を更新します。たとえば、ポート 8 が受信するトラフィックのうち、ポー
ト 1 およびポート 2 がデスティネーションとなっているトラフィックを破
棄するフィルタを設定するとします。このように設定されたフィルタは、図
10-5 の左側のようになります。その後、ポート 8 が受信するトラフィック
のうち、ポート 3 ～ 5 がデスティネーションとなっているトラフィックを
破棄するようにフィルタを更新するとします。 1 つのソースポートに存在
するフィルタは 1 つのみであるため、ポート 8 から送信されるトラフィッ
クに適用されるフィルタは、図 10-5 の右側のようになります。
図 10-5. 既存フィルタへのデスティネーションポートの追加割り当て
名前付きソースポートフィルタの使用
名前付きソースポートフィルタは、複数のポートおよびポートトランクで使用でき
るフィルタです。通常のソースポートフィルタと同様に、ポートまたはポートトラ
ンクに設定できるソースポートフィルタは 1 つだけですが、この新しい機能では、
ソースポートフィルタを 1 回定義し、それを複数のポートおよびポートトランクに
適用することが可能です。これにより、スイッチでのソースポートフィルタの設定
および管理が容易になります。名前付きソースポートフィルタのステータスを定
義、設定、適用、および表示するためのコマンドについて以下に説明します。
10-10
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
名前付きソースポートフィルタの動作ルール
■
名前の有無にかかわらず、ポートまたはポートトランクに設定で
きるソースポートフィルタは 1 つだけです。
■
名前付きソースポートフィルタは、複数のポートまたはポートト
ランクに適用できます。
■
名前付きソースポートフィルタを定義した後の変更では、フィル
タのアクションだけが変更され、フィルタ自体は置き換えられま
せん。
■
ポートまたはポートトランクで使用されている名前付きソース
ポートフィルタを変更するには、まず、 no filter source-port
named-filter <filter-name > コマンドを使用して現在のフィルタ
を削除する必要があります。
■
名前付きソースポートフィルタは、どのポートにも適用されてい
ない場合にのみ削除できます。
名前付きソースポートフィルタの定義と設定
名前付きソースポートフィルタコマンドは、グローバルコンフィギュレーションレ
ベルで実行します。
構文 : [no] filter source-port named-filter <filter-name>
名前付きソースポートフィルタを定義または削除します。
filter-name には、最大 20 文字の英数字を含めることができ
ます ( これより長い名前も指定できますが、表示されませ
ん )。 filter-name を、有効なポートまたはポートトランクの
名前にすることはできません。
使用可能な名前付きソースポートフィルタの最大数は、ス
イッチ上のポートの数と同じです。
名前付きソースポートフィルタは、使用されていない場合
にのみ削除できます ( ステータスを確認するには、 show
filter source-port コマンドを使用します )。名前付きソース
ポートフィルタは、使用されなくなっても自動的には削除
されません。
未使用の名前付きソースポートフィルタを削除するには、
no オプションを使用します。
10-11
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
構文 : filter source-port named-filter <filter-name > drop < destination-port-list
>
< destination-port-list > 内のポートまたはポートトランクが
デスティネーションになっているトラフィックを破棄する
ように名前付きソースポートフィルタを設定します。以前
に drop に設定されていて、 forward に変更したいデスティ
ネーションポートまたはポートトランクがある場合は、
forward オプションを追加することで可能となります。た
とえば以下のようになります。
filter source-port named-filter <filter-name > drop < destinationport-list > forward < destination-port-list>
destination-port-list には、ポート、ポートトランク、およ
び範囲 ( たとえば、 3-7 や trk4-trk9) をコンマで区切って並
べることができます。
構文 : filter source-port named-filter < filter-name > forward < destination-portlist >
< destination-port-list > 内のポートまたはポートトランクが
デスティネーションになっているトラフィックをフォワー
ディングするように名前付きソースポートフィルタを設定
します。フィルタのデスティネーションは "forward" がデ
フォルトであるため、既存のフィルタでデスティネーショ
ンが "drop" に設定され、それを "forward" に変更する場合に
このコマンドが便利です。 forward の設定を drop に変更し
たいデスティネーションポートが他にある場合は、 drop オ
プションを追加することで可能となります。たとえば以下
のようになります。
filter source-port named-filter <filter-name > forward <
destination-port-list > drop < destination-port-list >
名前付きソースポートフィルタを適用するには、まず定義と設定を行う必要があ
ります。次の例では、 web-only と accounting という、 2 つの名前付きソース
ポートフィルタが定義されています。
ProCurve(config)# filter source-port named-filter webonly
ProCurve(config)# filter source-port named-filter
accounting
デフォルトでは、これらの 2 つの名前付きソースポートフィルタにより、トラ
フィックがすべてのポートおよびポートトランクにフォワーディングされます。
インバウンドトラフィックが特定のデスティネーションスイッチポートまたはポートト
ランクにフォワーディングされないように名前付きソースポートフィルタを設定する
には、 drop オプションを使用します。たとえば、 26 ポートのスイッチで、デス
ティネーションポート 1 および 2 を除くポートへのトラフィックをすべて破棄するよ
うに名前付きソースポートフィルタ web-only を設定するには、次のコマンドを
使用します。
10-12
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ProCurve(config)# filter source-port named-filter webonly drop 3-26
名前付きソースポートフィルタの定義と設定を 1 つのコマンドで行うには、 drop
オプションと必要な destination-port-list を追加します。
名前付きソースポートフィルタの表示
スイッチに設定されたすべてのソースポートフィルタ ( 名前付きと名前な
しの両方 ) とそのアクションを一覧表示するには、次の show コマンドを
使用します。
構文 :
show filter source-port
設定されているソースポートフィルタの一覧を表示しま
す。各フィルタエントリには、 Filter Name、 Port List、お
よび Action が含まれています。
Filter Name: 名前付きソースポートフィルタを定義す
る場合は、 filter-name を使用します。名前のないソー
スポートフィルタには、ソースポートのポートまた
はポートトランク番号が自動的に割り当てられます。
Port List: フィルタを使用するポートおよびポートト
ランクのデスティネーションを一覧表示します。使用
されていない名前付きソースポートフィルタには、
[NOT USED] が表示されます。
Action: フィルタによって破棄されるポートおよび
ポートトランクを一覧表示します。名前付きソース
ポートフィルタが定義されてはいるが、設定されてい
ない場合、このフィールドは空白です。
index
指定されたインデックス (IDX) について、スイッチ上の
各デスティネーションポートで実行されるアクション
([Drop] または [Forward]) が表示されます。
名前付きソースポートフィルタの設定例
ある企業が、インターネットと自社のアカウンティングサーバへのトラフィックを
26 ポートのスイッチで管理したいと考えています。そのネットワークを図 10-6 に
示します。スイッチポート 1 は、 WAN およびインターネットへの接続を提供す
るルータに接続されています。スイッチポート 7 は、アカウンティングサーバに
接続されています。アカウンティング内の 2 つのワークステーションが、スイッチ
ポート 10 および 11 に接続されています。
10-13
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ネットワーク設計
1. アカウンティングワークステーションは、アカウンティングサーバにのみトラフィックを送信できます。
2. インターネットトラフィックを、アカウンティングサーバまたはワークステーションに送信することは
できません。
3. 他のすべてのスイッチポートは、ポート 1 にのみトラフィックを送信できます。
ポート 1
アカウンティングワー
クステーション 1
アカウンティングワー
クステーション 2
インターネット
へのルータ
ポート 10
ポート 11
ポート 7
アカウンティング
サーバ 1
図 10-6. 名前付きソースポートフィルタの例でのネットワーク設定
この企業は、名前付きソースポートフィルタを使用して、インバウンドトラフィッ
クをインターネットにのみ送信するとともに、 2 つのアカウンティングワークステー
ションとアカウンティングサーバがインターネットではなく、互いの間でのみ通信
できるようにしたいと考えています。
名前付きソースポートフィルタの例の定義と設定。. 名前付きソース
ポートフィルタは、 2 つの手順を使用して定義および設定できますが、そ
の必要はありません。ここでは、ネットワーク例の名前付きソースポート
フィルタのそれぞれを 1 つの手順で定義および設定します。
10-14
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ProCurve(config)# filter source-port named-filter web-only drop 2-26
ProCurve(config)# filter source-port named-filter accounting drop
1-6,8,9,12-26
ProCurveconfig)# filter source-port named-filter no-incoming-web drop 7,10,11
ProCurve(config)#
フィルタを使用するポートおよ
ProCurve(config)# show filter source-port
びポートトランク。[NOT USED]
が表示されている場合、名前付
きソースポートフィルタは削除
されている可能性があります。
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
-------------------NOT USED
NOT USED
NOT USED
|
+
|
|
|
Action
-------------------------drop 2-26
drop 1-6,8-9,12-26
フィルタによって破棄され
drop 7,10-11
るポートおよびポートトラ
ンクを一覧表示します。表
示されていないポートおよ
びポートトランクは、フィ
ルタによってフォワーディ
ングされます。
ProCurve(config)#
一覧からポートまたはポー
トトランクを削除するに
は、 forward オプションを
使用して名前付きソース
ポートフィルタの定義を更
新します。
図 10-7. ソースポートフィルタの設定と定義
名前付きソースポートフィルタの例の適用。
名前付きソースポートフィルタの定義と設定を終了したら、次はそれをスイッチ
ポートに適用します。
ProCurve(config)# filter source-port 2-6,8,9,12-26 named-filter web-only
ProCurve(config)# filter source-port 7,10,11 named-filter accounting
ProCurve(config)# filter source-port 1 named-filter no-incoming-web
ProCurve(config)#
図 10-8. ソースポートフィルタのポートへの摘要
10-15
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
show filter コマンドを使用すると、どのポートにフィルタが適用されているかが
表示されます。
ProCurve(config)# show filter
Traffic/Security Filters
IDX
--1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Filter Type
-----------Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
Source Port
|
+
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Value
------------------2
3
4
5
6
8
9
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
7
図 10-9. フィルタとソースポートの表示
10-16
フィルタに割り当てられたソー
スポートまたはトランクのポー
ト番号またはポートトランク名
を示します。
自動的に割り当てられるインデック
ス番号で、詳細情報の一覧表示で
フィルタを識別するために使用され
ます。フィルタは、スイッチで削除
されるまで、割り当てられた IDX 番
号を保持します。スイッチは、割り
当て可能な最も若い IDX 番号を新し
いフィルタに割り当てます。このと
き、以前の ( ソースポートまたは名
前付きソースポート ) フィルタを削
除したことでフィルタリストに
ギャップが生じた場合は、古いフィ
ルタよりも若い IDX 番号が新しい
フィルタに割り当てられる可能性が
あります。
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
show filter コマンドで IDX 値を使用すると、特定のポート (Value) でトラフィック
がどのようにフィルタリングされるかを表示できます。次の 2 つの出力は、アカ
ウンティング以外とアカウンティングのスイッチポートを示しています。
ProCurve(config)# show filter 4
Traffic/Security Filters
ProCurve(config)# show filter 24
Traffic/Security Filters
Filter Type : Source Port
Source Port : 5
Filter Type : Source Port
Source Port : 10
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Forward
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Drop
Drop
Drop
Drop
Drop
Drop
Forward
Drop
Drop
Forward
Forward
Drop
図 10-10. 特定ポートのフィルタの表示
10-17
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
IDX に 26 を指定して同じコマンドを実行すると、インターネットからのトラフィック
がどのように処理されるかが表示されます。
ProCurve(config)# show filter 26
Traffic/Security Filters
Filter Type : Source Port
Source Port : 1
Dest Port
--------1
2
3
4
5
6
7
8
9
10
11
12
Type
--------100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
100/1000T
|
+
|
|
|
|
|
|
|
|
|
|
|
|
Action
------Forward
Forward
Forward
Forward
Forward
Forward
Drop
Forward
Forward
Drop
Drop
Forward
図 10-11. インターネットトラフィックに対するフィルタの表示
企業の成長に伴い、アカウンティングにはより多くのリソースが必要になります。 2
つのアカウンティングワークステーションが追加され、ポート 12 および 13 に接続
されました。さらに 2 番目のサーバが追加され、ポート 8 に接続されました。
ネットワーク設計
1. アカウンティングワークステーションは、アカウンティングサーバにのみトラフィックを送信できます。
2. インターネットトラフィックを、アカウンティングサーバまたはワークステーションに送信することはでき
ません。
3. 他のすべてのスイッチポートは、ポート 1 にのみトラフィックを送信できます。
アカウンティングワークス
テーション 1
ポート 10
アカウンティングワークス
テーション 2
ポート 11
アカウンティングワークス
テーション 3
ポート 12
アカウンティングワークス
テーション 4
ポート 13
ポート 1
インターネット
へのルータ
ポート 7
アカウンティングサーバ 1
ポート 8
アカウンティングサーバ 2
図 10-12. 名前付きソースポートフィルタの例での拡張されたネットワーク設定
名前付きソースポートフィルタの定義への次の変更では、 show コマンドの
[Action] カラムに示されているように、望ましいネットワークトラフィック管理が維
持されています。
10-18
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
ProCurve(config)# filter source-port named-filter accounting forward 8,12,13
ProCurve(config)# filter source-port named-filter no-incoming-web drop 8,12,13
ProCurve(config)#
ProCurve(config)# show filter source-port
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
| Action
-------------------- + -------------------------2-6,8-9,12-26
| drop 2-26
7,10-11
| drop 1-6,9,14-26
1
| drop 7-8,10-13
ProCurve(config)#
図 10-13. 名前付きソースポートフィルタによるトラフィック管理の維持
次に、この更新された名前付きソースポートフィルタを該当するスイッチポート
に適用します。 1 つのポートには ( 名前の有無にかかわらず ) ソースポートフィ
ルタを 1 つしか設定できないため、新しい名前付きソースポートフィルタを適用
する前に、まずポート上の既存のソースポートフィルタを削除します。
ProCurve(config)# no filter source-port 8,12,13
ProCurve(config)# filter source-port 8,12,13 named-filter accounting
ProCurve(config)#
図 10-14. 名前付きソースポートフィルタのスイッチポートへの摘要
show filter source-port コマンドを使用すると、名前付きソースポートフィルタ
では現在、スイッチポート上のトラフィックが次のように管理されています。
ProCurve(config)# show filter source-port
Traffic/Security Filters
Filter Name
-------------------web-only
accounting
no-incoming-web
|
+
|
|
|
Port List
-------------------2-6,9,14-26
7-8,10-13
1
|
+
|
|
|
Action
-------------------------drop 2-26
drop 1-6,9,14-26
drop 7-8,10-13
図 10-15. 名前付きソースポートフィルタによるトラフィックの管理
10-19
トラフィック / セキュリティフィルタ
ソースポートフィルタの使用
10-20
11
オーソライズド IP マネージャの使用
章の内容
概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-2
設定オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3
アクセスレベル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-3
認可管理ステーションの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-4
IP マスクの動作の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-5
メニュー : オーソライズド IP マネージャの表示および設定 . . . . 11-5
CLI: オーソライズド IP マネージャの表示および設定 . . . . . . . . 11-7
Web: オーソライズド IP マネージャの設定 . . . . . . . . . . . . . . . . . . . 11-9
IP マスクの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-10
オーソライズドマネージャ IP エントリ 1 件で 1 台のステーションを
設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-10
オーソライズドマネージャ IP エントリ 1 件で複数台のステーション
を設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-11
複数ステーションの認可のその他の例 . . . . . . . . . . . . . . . . . . 11-13
運用上の注記 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11-13
11-1
オーソライズド IP マネージャの使用
概要
概要
オーソライズド IP マネージャの機能
機能
デフォルトメニュー
CLI
Web
オーソライズドマネー
ジャのリスト ( 表示 )
n/a
11- 5 ページ
11- 7 ページ
11- 9 ページ
オーソライズド IP マ
ネージャの設定
なし
11- 5 ページ
11- 7 ページ
11- 9 ページ
IP マスクの設定
n/a
11- 10 ページ 11- 10 ページ 11- 10 ページ
運用上の注記
n/a
11- 13 ページ 11- 13 ページ 11- 13 ページ
オーソライズド IP マネージャは、 IP アドレスとマスクを用いて、ネット
ワーク経由でスイッチにアクセスできるステーション (PC またはワークス
テーション ) を制限する機能です。以下の手段によるアクセスを対象とし
ます。
- Telnet をはじめとするターミナルエミュレーションアプリ
ケーション
- スイッチの Web ブラウザインタフェース
- SNMP ( 正しいコミュニティ名を持つ )
スイッチにオーソライズド IP マネージャを設定すると、この機能は、
ローカルパスワード、 TACACS+、 RADIUS、ポートベースアクセス制御
(802.1X)、およびポートセキュリティよりも優先されます。つまり、ネッ
トワーク接続された管理機器の IP アドレスを認証してからでないと、ス
イッチは他のアクセスセキュリティ機能によるその機器の認証を試行しま
せん。スイッチへのアクセスがオーソライズド IP マネージャ機能によっ
て許可されないと、アクセスは拒否されます。オーソライズド IP マネー
ジャを設定すると、 [Authorized IP Managers] に登録されているステーショ
ンから正しいパスワードを使用してアクセスしない限り、スイッチへのア
クセスは拒否されます。
オーソライズド IP マネージャを他のアクセスセキュリティ機能と併用す
ることで、 1、 2 種類のセキュリティオプションだけを用いる場合よりも
セキュリティが向上します。アクセスセキュリティ機能とセキュリティ対
象の一覧については、表 1-1、「管理アクセスセキュリティ保護」 (1- 4 ペー
ジ ) を参照してください。
11-2
オーソライズド IP マネージャの使用
アクセスレベル
設定オプション
以下の設定が可能です。
CAUTION
■
10個までのオーソライズドアドレス (単一の管理ステーションまた
はステーショングループ )
■
管理者またはオペレータアクセス権限 (Telnet、 SNMPv1、および
SNMPv2c アクセスのみ )
オーソライズド IP マネージャを設定しても、モデムまたは直接コンソー
ル (RS-232) ポート接続を経由したスイッチへのアクセスは保護できませ
ん。また、認可ステーションが認可 IP アドレスに「なりすまし」た場合、
IP アドレスの重複が存在したとしても、そのステーションはスイッチへの
管理アクセスが可能になります。このような理由から、スイッチへの物理
アクセスを一部のスタッフに制限して許可すること、ユーザ名 / パスワー
ドなどスイッチがサポートするセキュリティ機能を使用すること、そして
管理ステーション上のデータへの未認可アクセスを防止することにより、
ネットワークセキュリティを強化する必要があります。
アクセスレベル
オーソライズド IP マネージャ機能では、 Telnet、 SNMPv1、または
SNMPv2c を用いてスイッチにアクセスするステーションにアクセスレベ
ルを割り当てることができます。 SSH、 SNMPv3、または Web ブラウザイ
ンタフェースを用いる認可ステーションに対してスイッチが許可するアク
セスレベルは、オーソライズド IP マネージャ機能ではなく、アクセスア
プリケーション自体によって決定されます。 IP 認可リストはアクセス権限
を設定しません。これは、 SSH、 Web エージェント (SSL)、および SNMPv3
には、 IP アドレス単体よりもはるかに優れたアクセス制御メカニズムが備
わっているためです。たとえば SNMPv3 では、認証および暗号化を行って
データの保全性を確保するだけでなく、アクセス制御をユーザレベルに至
るまで行うことができます。
Telnet、 SNMPv1、または SNMPv2c を使用するオーソライズドマネージャ
アドレスのそれぞれに、次のいずれかのアクセスレベルを設定できます。
11-3
オーソライズド IP マネージャの使用
認可管理ステーションの定義
■
管理者 : Web ブラウザインタフェースおよびコンソールインタ
フェースのすべての画面にフルアクセスして、表示、設定、その
他のそのインタフェースで使用可能なあらゆる操作を実行できま
す。
■
オペレータ : Web ブラウザおよびコンソールインタフェースから、
Read-Only ( 読み取り専用 ) アクセスが可能です。 ( これは、スイッ
チのオペレータレベルのパスワード機能で認可されるのと同じア
クセス権限です。 )
認可管理ステーションの定義
■
単一ステーションの認可 : このテーブルへのエントリでは、単一の
管理ステーションによるスイッチへの IP アクセスを認可します。
この方式を使用するには、 [Authorized Manager IP] カラムに認可管
理ステーションの IP アドレスを入力して、 IP マスクの設定を
255,255,255,255 のままにしておくだけです。これがオーソライズ
ドマネージャ機能を使用する最も簡便な方法です。 ( このトピッ
クについては、 11- 10 ページの「オーソライズドマネージャ IP エ
ントリ 1 件で 1 台のステーションを設定」を参照してください。 )
■
複数ステーションの認可 : このテーブルエントリでは、IP マスクを
使用して、定義済みステーションのグループにスイッチへのアク
セスを認可します。この方式は、複数のステーションにスイッチ
へのアクセスを許可する場合でもすべてのステーションにエント
リを入力する必要がないため便利です。 1 つのオーソライズドマ
ネージャ IP テーブルエントリと関連付けられた IP マスクによっ
て定義されたグループ内のステーションはすべて、同じアクセス
レベル ( 管理者またはオペレータ ) になります。 ( このトピックに
ついては、 11- 11 ページの「オーソライズドマネージャ IP エント
リ 1 件で複数台のステーションを設定」を参照してください。 )
スイッチにオーソライズドマネージャアクセスを設定するには、適切な
オーソライズドマネージャ IP を入力し、 IP マスクを指定して、管理者ま
たはオペレータのいずれかのアクセスレベルを選択します。 IP マスクは、
管理ステーションによるスイッチへのアクセスを許可または拒否するよう
に設定する際に、オーソライズドマネージャ IP を使用するかを指定する
為に使われます。
11-4
オーソライズド IP マネージャの使用
認可管理ステーションの定義
IP マスクの動作の概要
デフォルトの IP マスクは 255.255.255.255 であり、 [Authorized Manager IP]
パラメータの値と等しい IP アドレスを持つステーションにのみ、スイッ
チへのアクセスを許可します。 ( マスクのオクテットの「255」は
[Authorized Manager IP] パラメータの対応するオクテットの厳密な値だけ
が、認可された管理ステーションの IP アドレスで許可されることを意味
します。 ) ただし、認可 IP アドレスの範囲を指定するように、マスクおよ
び [Authorized Manager IP] パラメータを変更することができます。
たとえば、マスクが 255.255.255.0 で任意の [Authorized Manager IP] パラ
メータの場合、認可 IP アドレスの第 4 オクテットに 0 から 255 の範囲を
指定することができるため、 ( ネットワーク用の 0 とブロードキャスト用
の 255 を除く ) 最高 254 の IP アドレスブロックを IP 管理アクセス用に許
可できます。 255.255.255.252 というマスクでは、所定の [Authorized
Manager IP] アドレスの第 4 オクテットを使用して、管理ステーションアク
セス用の 4 つの IP アドレスを許可します。 IP マスクの使用方法について
は、 11- 10 ページの「IP マスクの設定」を参照してください。
注記
IP マスクは、所定の IP アドレスをスイッチへの管理アクセス用に許可す
るかどうかを認識するための方法です。このマスクは、 IP サブネットマス
クとは目的も用途も異なります。
メニュー : オーソライズド IP マネージャの表示およ
び設定
コンソールの [Main Menu] から、以下を選択します。
[2. Switch Configuration ．．．]
[7. IP Authorized Managers]
11-5
オーソライズド IP マネージャの使用
認可管理ステーションの定義
1. [Add] を選択して、オーソライズド
マネージャをリストに追加します。
図 11-1. オーソライズドマネージャエントリの追加方法の例
2. ここにオーソライズドマネージャの IP アドレスを入力しま
す。
3. デフォルトのマスクを使用して、 1 つの管理機器からのアク
セスを許可するか、管理機器グループによるアクセスを許可
するようにマスクを編集します。 11- 10 ページの「IP マスク
の設定」を参照してください。
4. スペースバーを使用して管理者またはオペ
レータアクセスを選択します。
5. [Enter] キー、 [S] キー (Save を表す ) の順に押して、オーソ
ライズド IP マネージャエントリを設定します。
Telnet、 SNMPv1、 SNMPv2c によるアクセ
スのみに適用されます。
図 11-2. オーソライズドマネージャエントリの追加方法の例 ( 続き )
オーソライズドマネージャエントリの編集または削除。 [IP Managers List]
画面に進み ( 図 11-1)、希望のエントリを強調表示し、 [E] キー (Edit を表す
) または [D] キー (Delete を表す ) を押します。
11-6
オーソライズド IP マネージャの使用
認可管理ステーションの定義
CLI: オーソライズド IP マネージャの表示および設定
この項で使用するオーソライズド IP マネージャコマンド
コマンド
ページ
show ip authorized-managers
下記
ip authorized-managers
11- 8
<ip-address>
11- 8
<ip-mask-bits>
11- 9
[access <operator |
manager>]
スイッチの現在のオーソライズド IP マネージャの一覧表示
スイッチへのアクセスが許可されている IP ステーションを一覧表示する
には、 show ip authorized-managers コマンドを使用します。たとえば以下
のようになります。
図 11-3. show ip authorized-manager による表示の例
上記のオーソライズド IP マネージャの一覧表示の例では、スイッチへの
アクセスが許可されているステーションは以下のようになります。
IP マスク
認可ステーションの IP アドレス
アクセスモード
255.255.255.252
10.28.227.100 ～ 103
管理者
255.255.255.254
10.28.227.104 ～ 105
管理者
255.255.255.255
10.28.227.125
管理者
255.255.255.0
10.28.227.0 ～ 255
オペレータ
11-7
オーソライズド IP マネージャの使用
認可管理ステーションの定義
スイッチに対するオーソライズド IP マネージャの設定
構文 :
ip authorized-managers < ip address >
1 つまたは複数の認可 IP アドレスを設定します。
[< ip-mask-bits >]
< ip address > に対する IP マスクを設定します。
[access <operator | manager>]
< ip address > の権限レベルを設定します。 Telnet、
SNMPv1、 SNMPv2c によるアクセスのみに適用されます。
11-3 ページの「注記」を参照してください。
管理者アクセスを許可するには。次のコマンドは、 IP アドレスが
10.28.227.0 ～ 10.28.227.255 のステーションの管理者レベルアクセスを許
可します。
ProCurve (config)# ip authorized-managers 10.28.227.101
255.255.255.0 access manager
同様に、次のコマンドは、 IP アドレスが 10.28.227.101 ～ 103 のステー
ションの管理者レベルアクセスを許可します。
ProCurve (config)# ip authorized-managers 10.28.227.101
255.255.255.252 access manager
<mask bits> を省略して新しいオーソライズドマネージャを追加すると、ス
イッチはマスクとして 255.255.255.255 を自動的に割り当てます。また、
管理者アクセスまたはオペレータアクセスのどちらも指定しなかった場
合、スイッチは自動的に管理者アクセスを割り当てます。たとえば以下の
ようになります。
ip authorized-managers コマンドでマスクを指定しないと、 255.255.255.255 のデフォルトマスクが割り当てられ、指定のステーションの
みが許可されます。 11- 11 ページの「オーソライズドマネージャ IP エントリ 1 件で複数台のステーションを設定」を参照してください。
図 11-4. デフォルトマスクによるオーソライズド IP マネージャの指定例
既存の管理者アクセスエントリを編集するには。既存のエントリのマス
クまたはアクセスレベルを変更するには、そのエントリの IP アドレスを
使用して新しい値を入力します。 ( コマンドで指定しないパラメータは、
すべてデフォルト値に設定されます。 )
11-8
オーソライズド IP マネージャの使用
Web: オーソライズド IP マネージャの設定
ProCurve (config)# ip authorized-managers
10.28.227.101 255.255.255.0 access operator
上記のコマンドは、 IP アドレス 10.28.227.101 の既存のマスクおよびアク
セスレベルを、それぞれ 255.255.255.0 およびオペレータに置換しま
す。
次のコマンドは、マスクおよびアクセスレベルのパラメータが指定されて
いないため、 IP アドレス 10.28.227.101 の既存のマスクおよびアクセスレ
ベルを、それぞれ 255.255.255.255 および ä«óùé“ レベル ( デフォルト
) に置換します。
ProCurve (config)# ip authorized-managers 10.28.227.101
オーソライズドマネージャエントリを削除するには。このコマンドには、
削除するオーソライズドマネージャの IP アドレスを使用します。
ProCurve (config)# no ip authorized-managers
10.28.227.101
Web: オーソライズド IP マネージャの設定
Web ブラウザインタフェースで、以下のようにオーソライズド IP マネー
ジャを設定できます。
オーソライズド IP マネージャアドレスを追加、変更または削除するには、
以下の手順に従ってください。
1.
[Security] タブをクリックします。
2.
[Authorized Addresses] ボタンをクリックします。
3.
必要な動作に適切なパラメータの設定を入力します。
4.
[Add] ボタン、 [Replace] ボタン、または [Delete] ボタンをクリックし
て、設定の変更を適用します。
Web ブラウザインタフェース画面の使用方法について、 Web ベースのオ
ンラインヘルプを参照するには、 Web ブラウザ画面の [?] ボタンをクリッ
クします。
11-9
オーソライズド IP マネージャの使用
IP マスクの設定
IP マスクの設定
[IP Mask] パラメータを使用することで、スイッチに設定するオーソライズ
ドマネージャステーションの IP アドレスを制御できます。
オーソライズドマネージャ IP エントリ 1 件で 1 台の
ステーションを設定
これがマスクを適用する最も簡便な方法です。 10 台以下の管理ステーショ
ンおよびオペレータステーションを使用している場合、対応するマスクと
して 255.255.255.255 を設定し、単に各ステーションのアドレスを
[Authorized Manager IP] リストに追加するだけで、すばやく設定できます。
たとえば、 11- 7 ページの図 11-3 のように、 IP アドレスを 10.28.227.125、
それに付随する IP マスクを 255.255.255.255 と設定した場合、 IP アドレス
が 10.28.227.125 のステーションのみがスイッチへの管理アクセスを許可
されます。
表 11-1.
単一ステーションのエントリの IP マスクの分析
第1オク第2オク第3オク第4オク管理者レベルまたはオペレータレベルの機器アクセス
テットテットテットテット
IP マスク
255
オーソライ 10
ズドマネー
ジャ IP
11-10
255
255
255
28
227
125
マスクの各オクテットの「255」は、対応する IP アドレ
スのそのオクテットの厳密な値だけが許可されることを
意味します。このマスクでは、 10.33.248.5 という IP アド
レスを持つステーションにのみ管理アクセスが許可され
ます。
オーソライズド IP マネージャの使用
IP マスクの設定
オーソライズドマネージャ IP エントリ 1 件で複数台
のステーションを設定
マスクを使用すれば、ネットワーク上のステーションの IP アドレスに特定の条件を
付加することができます。つまり、オーソライズドマネージャエントリで、 IP アド
レスにマスクを指定すると、管理アクセス用に認可する IP アドレスの範囲を設定
することができます。上記のように、その範囲には 1 つの IP アドレス ( マスクの
すべてのオクテットが 255 に設定されている場合 ) を指定することも、複数の IP
アドレス ( マスクの 1 つ以上のオクテットが 255 未満に設定されている場合 ) を含
めて指定することもできます。
マスクのあるオクテットのビットが「オン」 (1 に設定されている ) である場
合、認可ステーション候補の IP アドレスの対応するビットは、 [Authorized
Manager IP] リストに入力した IP アドレスの同じビットと一致している必要
があります。逆に、マスクのあるオクテットのビットが「オフ」 (0 に設定
されている ) である場合、認可ステーション候補の IP アドレスの対応する
ビットは、[Authorized Manager IP] リストに入力した IP アドレスの同じビッ
トと一致している必要はありません。したがって、上記の例で、 IP マスク
の 1 つのオクテットが「255」 ( オクテット内のすべてのビットが「オン」 )
に設定されている場合は、そのオクテットに対して 1 つの値 ([Authorized
Manager IP] リストの対応するオクテットで指定した値 ) のみが許可される
ことを意味します。「0」 ( オクテット内のすべてのビットが「オフ」 ) の場
合は、 0 ～ 255 までの値が認可ステーションの IP アドレスの対応するオク
テットで許可されることを意味します。0 より大きく 255 より小さい値を使
用して、 0 ～ 255 の範囲内で値を指定することもできます。
表 11-2.
複数ステーションのエントリの IP マスクの分析
第1オク第2オク第3オク第4オク管理者レベルまたはオペレータレベルの機器アクセス
テットテットテットテット
IP マスク
255
オーソライ 10
ズドマネー
ジャ IP
IP マスク
255
認可 IP アド 10
レス
255
255
0
28
227
125
255
255
249
28
227
125
マスクの最初の 3 つのオクテットの「255」は、対応する IP
アドレスのそのオクテットにおいて指定された値だけが許
可されることを意味します。ただし、マスクの第 4 オクテッ
トのゼロ (0 ) は、対応する IP アドレスのそのオクテットにお
いて 0 ～ 255 までの任意の値を許可します。このマスクの場
合、IP アドレスが 10.28.227.xxx (xxx は 0 ～ 255 の任意の値 ) の
機器にスイッチへのアクセスが許可されます。
この例 ( 下記の図 11-5) では、 IP マスクは最高 4 つの管理
ステーションからなるグループにスイッチへのアクセスを許可
します。これは、マスクで許可されている IP アドレスグルー
プの機器だけが管理ステーションである場合に便利です。第
4 オクテットの「249」は、第 4 オクテットのビット 0 および 3
～ 7 が固定であることを意味します。逆に第 4 オクテットの
ビット 1 と 2 は可変です。固定ビットの認可 IP アドレスの設
定と一致する任意の値が、スイッチへの IP 管理ステーション
アクセスを許可されます。したがって、 I P
アドレスが
10.28.227.121、 123、 125、または 127 の管理ステーション
がスイッチにアクセスできます。
11-11
オーソライズド IP マネージャの使用
IP マスクの設定
IP マスクの第 4 オクテット :
認可 IP アドレスの第 4 オク
テット :
249
5
ビット番号
ビット
7
ビット
6
ビット
5
ビット
4
ビット
3
ビット
2
ビット
1
ビット
0
ビット値
128
64
32
16
8
4
2
1
IP マスクの
第 4 オク
テット (249)
IP 認可アド
レスの第 4
オクテット
(125)
マスク内のビット 1 およびビット 2 が「オ
フ」、ビット 0 およびビット 3 ～ 7 が「オ
ン」、つまりマスクの第 4 オクテットの値は
249 となっています。
マスクビットが「オン」の場合、認可ス
テーション候補のアドレスの対応するビッ
ト設定は、 IP 認可アドレスの同じビットの
設定と一致している必要があります。マス
クビットが「オフ」の場合、アドレスの対
応するビット設定は「オン」でも「オフ」
でも構いません。この例で、ステーション
がスイッチへのアクセスを認可されるには、
以下の条件があります。
• ステーションのIPアドレスの最初の3つの
オクテットが、認可 IP アドレスと一致し
ている必要があります。
• ステーションのアドレスの第4オクテット
のビット 0 およびビット 3 ～ 6 は「オン」
( 値が 1) である必要があります。
• ステーションのアドレスの第4オクテット
のビット 7 は「オフ」 ( 値が 0) である必要
があります。
• ビット 1 と 2 は「オン」でも「オフ」でも
構いません。
したがって、 IP アドレスが 13.28.227.X (X は
121、 123、 125 または 127) のステーション
が認可されます。
図 11-5. IP マスクのビットマップによるオーソライズドマネージャアドレスの定義の仕方の例
11-12
オーソライズド IP マネージャの使用
運用上の注記
複数ステーションの認可のその他の例
IP マスク
オーソライズド
マネージャリストの
エントリ
結果
255 255 0
この組み合わせは、 10.33.xxx.1 という IP アドレスを指定します。た
とえば、各サブネットが第 3 オクテットによって定義されていて、
ステーションの IP アドレスの第 4 オクテットの「1」の値で定義さ
れている管理ステーションを含む、サブネットネットワークに適用
されます。
オーソライ 10
ズドマネー
ジャ IP
IP マスク
33
255
248 1
255 238 255 250
オーソライ 10
ズドマネー
ジャ IP
247 100 195
第 2 オクテットで 230、 231、 246、 247、および第 4 オクテットで
194、 195、 198、 199 が許可されます。
運用上の注記
■
ネットワークセキュリティに関する安全対策 : スイッチに組み込み
のパスワード機能を使用する、スイッチに物理的にアクセスでき
るユーザを限定する、このマニュアルに記載のセキュリティ機能
を使用する、およびステーションのデータへの未許可アクセスを
防止することで、ネットワークのセキュリティを強化できます。
■
モデムおよび直接コンソールアクセス : オーソライズド IP マネー
ジャを設定しても、モデムまたは直接コンソール (RS-232) ポート
接続を経由したスイッチへのアクセスは保護できません。
■
IP アドレスの重複 : 認可管理ステーションの IP アドレスを別のス
テーションに設定 ( または「なりすまし」 ) すると、 IP アドレスの
重複が存在したとしても、そのステーションはスイッチへの管理
アクセスが許可されます。
■
Webプロキシサーバ: Webブラウザインタフェースを使用してオー
ソライズド IP マネージャステーションからスイッチにアクセスす
る際、ステーションとスイッチ間のパスにおいて Web プロキシ
サーバを使用しないことをお勧めします。 Web プロキシサーバを
経由したスイッチへのアクセスには、あらかじめその Web プロキ
シサーバを [Authorized Manager IP] リストに追加しておく必要があ
るためです。その場合、 Web プロキシサーバを使用するすべての
ユーザにスイッチへのアクセスを開放することになり、セキュリ
11-13
オーソライズド IP マネージャの使用
運用上の注記
ティが損なわれることになります。ステーションとスイッチ間の
パスから Web プロキシサーバを除外する場合は、以下の 2 つのオ
プションがあります。
•
•
11-14
他のアプリケーション用にプロキシサーバへのアクセスを有
効にする必要がある場合でも、スイッチへの Web アクセスか
らプロキシサービスを除外することができます。それには、
スイッチの IP アドレスまたは DNS 名を、認可ステーションで
使用する Web ブラウザインタフェースの非プロキシリストま
たは「例外」リストに追加します。
認可ステーションでプロキシサーバへのアクセスがまったく
不要な場合は、ステーションの Web ブラウザインタフェース
のプロキシサーバ機能を無効にします。
索引
数字
K
3DES … 6-3, 7-3
802.1X
kill コマンド … 6-11
ポートベースアクセス制御を参照 … 8-1
L
LACP
A
802.1x との併用不可 … 8-11, 8-15, 8-50
aaa authentication … 4-8
aaa port-access
Web 認証または MAC 認証を参照
C
M
MAC 認証
CHAP
使用 … 3-4
定義 … 3-9
LACP との併用不可 … 3-12
オーセンティケータオペレーション … 3-5
機能 … 3-4
基本的な設定 … 3-12
クライアントステータス … 3-30
ステータスと設定の表示 … 3-28
設定
RADIUS アクセスのスイッチ設定 … 3-15
RADIUS サーバ … 3-14
スイッチでの設定 … 3-22
設定コマンド … 3-23
動作ルール … 3-10
ブロックされるトラフィック … 3-4
用語 … 3-9
Clear ボタン
パスワードを削除するには … 2-5
D
DES … 6-3, 7-3
G
GVRP、通知されないスタティック VLAN … 8-49
I
Inactivity Time パラメータ … 2-3
Inconsistent value … 9-14
IP
オーソライズド IP マネージャ … 11-1
予約ポート番号 … 6-17
IP アドレスの重複
オーソライズド IP マネージャへの影響 … 1113
IP マスク
1 台のオーソライズドマネージャステーショ
ン … 11-10
設定 … 11-10
動作 … 11-5
複数台のオーソライズドマネージャステー
ション … 11-11
MD5
RADIUS を参照
O
Open VLAN モード
ポートアクセス制御を参照
OpenSSH … 6-3
OpenSSL … 7-2
P
prior to … 9-32, 9-34, 9-36
Privacy Enhanced Mode (PEM)
SSH を参照
Index – 1
R
RADIUS
MD5 … 5-4
Network アカウンティング … 5-18
RADIUS 認証の省略 … 5-9
show accounting … 5-30
show authentication … 5-28
TLS … 5-4
Web ブラウザアクセス制御 … 5-17
Web ブラウザ認証 … 5-7
アカウンティング … 5-2, 5-17
アカウンティング、Exec … 5-18, 5-22
アカウンティング、Network … 5-22–5-23
アカウンティング、Sstart-Stop … 5-23
アカウンティング、Stop-Only … 5-23
アカウンティング、System … 5-18, 5-22
アカウンティング、運用ルール … 5-19
アカウンティング、更新オプション … 5-24
アカウンティング、サーバアクセスの障
害 … 5-19
アカウンティング、サーバアクセスの設
定 … 5-20
アカウンティング、セッションのブロッ
ク … 5-24
アカウンティング、設定概要 … 5-19
アカウンティングタイプの選択 … 5-22
アカウンティング、統計項目 … 5-27
運用ルール、スイッチ … 5-4
オーソライズド IP マネージャ、優先 … 11-2
基本的な設定 … 5-5
グローバルパラメータの設定 … 5-12
コマンド、アカウンティング … 5-17
コマンド、スイッチ … 5-6
サーバアクセス順序の変更 … 5-32
サーバアクセスの順序 … 5-19
サーバ、複数 … 5-13
セキュリティ … 5-9
セキュリティに関する注記 … 5-2
設定概要 … 5-7
設定、サーバアクセス … 5-10
統計、表示 … 5-26
認証オプション … 5-2
認証、ローカル … 5-16
非サポートの SNMP アクセスセキュリ
ティ … 5-2
非サポートの Web ブラウザセキュリティ … 52, 5-17
メッセージ … 5-34
2 – Index
用語 … 5-3
ローカル認証 … 5-9
RADIUS アカウンティング
RADIUS を参照
S
show
MAC アドレスのロックアウト … 9-27
MAC アドレスのロックダウン … 9-25
SSH
CAUTION、アクセスの制限 … 6-20
CAUTION、セキュリティ … 6-18
CLI コマンド … 6-9
crypto key … 6-11
Man-in-the-Middle スプーフィング … 6-16
OpenSSH … 6-3
PEM … 6-4
SSHv2 … 6-2
安全ではないアウトバウンド SSH … 6-8
キー、[babble] … 6-11
キー、[fingerprint] … 6-11
キーサイズ … 6-17
キー、ゼロ化 … 6-11
キーのゼロ化 … 6-11
キーペアの生成 … 6-10
既知ホストファイル … 6-13, 6-15
クライアント公開キー認証 … 6-19, 6-22
クライアント公開キーの削除 … 6-27
クライアント公開キー、表示 … 6-26
クライアント公開キーファイルの作成 … 6-24
クライアントとの通信 … 6-15–6-16
公開キー … 6-5, 6-13
公開キー、表示 … 6-14
サポートされる暗号化方式 … 6-3
スイッチのキーをクライアントに提供 … 6-13
スイッチの認証 … 6-3
スタック、セキュリティ … 6-8
セキュリティ … 6-18
設定手順 … 6-6
ゼロ化 … 6-11
前提条件 … 6-5
認証、クライアント公開キー … 6-2
認証の設定 … 6-18
認証、ユーザパスワード … 6-2
バージョン … 6-2
パスワードセキュリティ … 6-18
パスワード、設定 … 6-9
パスワードのみの認証 … 6-18
ホストキーペア … 6-11
ホストキーペアの消去 … 6-11
ホストキーペアの生成 … 6-11
未認可アクセス … 6-20, 6-28
無効化 … 6-11
メッセージ、オペレーション関連 … 6-28
有効化 … 6-15–6-16, 7-19
用語 … 6-4
予約 IP ポート番号 … 6-17
動作ルール … 6-8
SSL
CA 署名 … 7-4, 7-15
CA 署名証明情報 … 7-4, 7-15
CA 署名証明情報の生成 … 7-15
CLI コマンド … 7-7
crypto key … 7-10
Man-in-the-Middle スプーフィング … 7-18
OpenSSL … 7-2
SSLv3 … 7-2
SSL サーバ … 7-3
TLSv1 … 7-2
運用上の注記 … 7-6
キー、[ babble ] … 7-12
キー、[fingerprint] … 7-12
クライアントとの通信 … 7-17–7-18
サーバホスト証明情報 … 7-10
サーバホスト証明情報の消去 … 7-10
サーバホスト証明情報の生成 … 7-10
サポートされる暗号化方式 … 7-3
証明情報キーペアの消去 … 7-10
自己署名 … 7-3, 7-13
自己署名証明情報 … 7-3, 7-10, 7-13
自己署名証明情報の消去 … 7-10
自己署名証明情報のせいせい … 7-10, 7-13
自己署名の生成 … 7-13
スタック、セキュリティ … 7-6
設定手順 … 7-5
ゼロ化 … 7-10, 7-12
前提条件 … 7-5
トラブルシューティング … 7-21
動作ルール … 7-6
バージョン … 7-2
パスワード、設定 … 7-7
ホストキーペア … 7-10
ホストキーペアの消去 … 7-10
ホストキーペアの生成 … 7-10
ホスト証明情報の生成 … 7-9
無効化 … 7-10
有効化 … 7-17
用語 … 7-3
予約 TCP ポート番号 … 7-20
ルート … 7-4
ルート証明情報 … 7-4
T
TACACS
aaa パラメータ … 4-12
IP アドレス、サーバ … 4-15
NAS … 4-3
show authentication … 4-8
TACACS+ サーバ … 4-3
Web アクセスの制御 … 4-24
Web アクセスの非サポート … 4-5
暗号キー … 4-6, 4-15–4-16, 4-19
暗号キー、基本的な動作 … 4-23
暗号キー、グローバル … 4-20
オーソライズド IP マネージャの影響 … 4-26
オーソライズド IP マネージャ、優先 … 11-2
概要 … 1-2
基本動作 … 4-2
権限レベルコード … 4-7
サーバアクセス … 4-15
サーバの優先順位 … 4-18
システム要件 … 4-5
スイッチロックアウトの防止 … 4-15
設定、暗号キー … 4-19
設定、基本 … 4-5
設定、サーバアクセス … 4-15
設定、タイムアウト … 4-20
設定、認証 … 4-11
設定の準備 … 4-8
設定、表示 … 4-10
タイムアウト … 4-15
注意 … 4-5
テスト … 4-5
トラブルシューティング … 4-6
認証 … 4-4
認証プロセス … 4-20
認証、ローカル … 4-22
未認可アクセスの防止 … 4-7
メッセージ … 4-25
ローカル管理者パスワードの必要性 … 4-26
tacacs-server … 4-8
TCP
Index – 3
予約ポート番号 … 7-20
い
RADIUS を参照
イベントログ
侵入アラート … 9-35
TLS
V
う
VLAN
802.1X … 8-46
802.1x、ID 変更 … 8-49
802.1x、タグ無 VLAN の一時中断 … 8-42
GVRP で通知されない VLAN … 8-49
運用上の注記
オーソライズド IP マネージャ … 11-13
ポートセキュリティ … 9-36
お
W
Web サーバ、プロキシ … 9-36
Web 認証
CHAP
使用 … 3-4
定義 … 3-9
LACP との併用不可 … 3-12
オーセンティケータオペレーション … 3-5
機能 … 3-4
基本的な設定 … 3-12
クライアントステータス … 3-30
ステータスと設定の表示 … 3-26
設定
RADIUS アクセスのスイッチ設定 … 3-15
スイッチでの設定 … 3-17
設定コマンド … 3-18
動作ルール … 3-10
ブロックされるトラフィック … 3-4
用語 … 3-9
リダイレクト URL … 3-9
Web ブラウザインタフェース、設定
オーソライズド IP マネージャ … 11-8–11-9
Web ブラウザインタフェース、ポートセキュリ
ティ設定 … 9-28, 9-36
オーソライズド IP マネージャ
IP マスクの設定 … 11-10
IP マスクの動作 … 11-5
Web ブラウザインタフェースでの設定 … 118–11-9
アクセスレベル … 11-3
運用上の注記 … 11-13
概要 … 11-1
コンソールでの設定 … 11-5
重複 IP アドレスの影響 … 11-13
他のセキュリティとの優先順位 … 11-2
単一および複数ステーションの定義 … 11-4
単一ステーションの IP マスク … 11-10
トラブルシューティング … 11-13
複数ステーションの IP マスク … 11-11
オペレータパスワード … 2-2, 2-4–2-5
か
管理者パスワード … 2-2, 2-4–2-5
管理者パスワード、推奨 … 4-7
こ
コンソール、設定
オーソライズド IP マネージャ … 11-5
あ
アカウンティング
RADIUS を参照
アクセスレベル、オーソライズド IP マネー
ジャ … 11-3
アドレス
ポートセキュリティのための認可アドレ
ス … 9-3
4 – Index
し
証明情報
CA 署名 … 7-4
自己署名 … 7-3
ルート … 7-4
侵入アラーム
prior to … 9-36
イベントログ … 9-35
ログから削除されたエントリ … 9-37
侵入ログ
prior to … 9-32, 9-34
す
すぐにご使用になる場合 … 1-9
スタック
SSH セキュリティ … 6-8
SSL セキュリティ … 7-6
せ
セキュリティ
オーソライズド IP マネージャ … 11-1
各ポート … 9-2
セキュリティ違反
通知 … 9-28
セキュリティ、パスワード
SSH を参照
設定
RADIUS
RADIUS を参照
SSH
SSH を参照
ポートセキュリティ … 9-5
設定画面 … 1-9
と
トラブルシューティング
オーソライズド IP マネージャ … 11-13
トランク
LACP、802.1x との併用不可 … 8-15
LACP を参照
フィルタ、ソースポート … 10-2, 10-6
に
認可アドレス
IP 管理セキュリティ … 11-4
ポートセキュリティ … 9-3
認証
TACACS を参照
は
パスワード
CAUTION … 2-3
Clear ボタンによる削除 … 2-5
オーソライズド IP マネージャ、優先 … 11-2
大文字小文字の区別 … 2-4
オペレータ用のみ設定した場合、CAUTION … 23
削除 … 2-5
設定 … 2-4
長さ … 2-4
パスワードを忘れた場合 … 2-5
不正確な入力 … 2-3
ブラウザ / コンソールアクセス … 2-3
ペア … 2-2
パスワードペア … 2-2
パスワードセキュリティ … 6-18
パスワードの設定 … 2-4
ふ
フィルタ、ソースポート
idx … 10-8–10-9
show … 10-8, 10-13
値 … 10-8
インデックス … 10-8–10-9
設定 … 10-5
動作 … 10-2
動作ルール … 10-3, 10-11
名前付きソースポートフィルタ … 10-10
表示 … 10-8, 10-13
フィルタタイプ … 10-8
フィルタのインデックス番号付け … 10-9
編集 … 10-10
ポートトランク … 10-2, 10-6
プロキシ
Web サーバ … 9-36
ほ
保証 … 1-iv
ポート
セキュリティ設定 … 9-2
ポートセキュリティ
prior to … 9-36
Web ブラウザインタフェースでの設定 … 9-28,
9-36
イベントログ … 9-35
運用上の注記 … 9-36
オーソライズド IP マネージャ、優先 … 11-2
概要 … 9-2
Index – 5
基本的な動作 … 9-2
セキュリティ違反の通知 … 9-28
設定 … 9-5
認可アドレス定義 … 9-3
プロキシ Web サーバ、… 9-36
ポートベースアクセス制御
Authenticator Backend State … 8-39
CHAP … 8-3
chap-radius … 8-19
EAP … 8-3
eap-radius … 8-19
EAPOL … 8-9
local … 8-19
MD5 … 8-9
RADIUS … 8-3
Open VLAN
PVID、no … 8-41
VLAN、
タグ付 … 8-21–8-23, 8-27, 8-32, 8-44
VLAN、認証後 … 8-22, 8-27, 8-32
運用上の注記 … 8-32
基本動作 … 8-21
ステータス表示 … 8-41
セキュリティ違反 … 8-32
設定 … 8-29, 8-31
セットアップ … 8-28
動作ルール … 8-26
認可クライアント … 8-22
未認可クライアント … 8-22
モード … 8-21
モデルの使用 … 8-22
GVRP の影響 … 8-49
LACP との併用不可 … 8-50
Open VLAN
一時中断された VLAN … 8-42
RADIUS ホスト IP アドレス … 8-20
show コマンド … 8-39
show コマンド、サプリカント … 8-45
VLAN オペレーション … 8-46
オーセンティケータ、show コマンド … 8-39
オーセンティケータの動作 … 8-6, 8-8
オーソライズド IP マネージャ、優先 … 11-2
カウンタ … 8-39
概要 … 8-3
機能 … 8-3
基本的な設定 … 8-12
サプリカントオペレーション … 8-8
サプリカントオペレーション、スイッチポー
ト … 8-7
6 – Index
サプリカント、スイッチポートの設定 … 8-37
サプリカント統計に関する注記 … 8-45
サプリカントの状態 … 8-45
サプリカントの設定 … 8-35
サプリカントの有効化 … 8-36
スイッチでの有効化 … 8-20
スイッチの認証 … 8-4
スイッチユーザ名およびパスワード … 8-4
設定概要 … 8-13
設定コマンド … 8-15
設定、表示 … 8-39
統計 … 8-39
トラフィックのブロック … 8-4
トラブルシューティング、GVRP … 8-46
動作 … 8-6
運用ルール … 8-10
非 802.1x 機器のブロック … 8-34
方式の設定 … 8-19
ポートセキュリティ、802.1x … 8-33
ポートセキュリティの使用 … 8-33
ポートでの有効化 … 8-15
メッセージ … 8-50
ユーザの認証 … 8-4
用語 … 8-8
ローカルユーザ名およびパスワード … 8-4
め
メッセージ
Inconsistent value … 9-14
メッセージ「inconsistent value」… 9-14
免責条項 … 1-iv
ゆ
ユーザ名
削除 … 2-5
よ
予約ポート番号 … 6-17, 7-20
本書の技術内容は、将来予告なしに変更される場
合があります。
© Copyright 2006 Hewlett-Packard Development
Company, L.P. All right reserved. 日本ヒューレッ
ト・パッカード株式会社、 2006. All rights
reserved. 書面による事前の許可なく複製、翻案、
翻訳する事は、著作権法の下で許可されている場
合を除き、禁止されています。
2007 年 2 月
マニュアル P/N
5991-4734JP

アクセス・セキュリティ ガイド

Comments

Description

Transcript

アクセス・セキュリティガイド