有線LANアクセス-パスワード認証

文書更新日:2025-04-09

目的

• SingleIDのユーザで、SubGateへアクセスします。
• 接続する際の認証方式は、パスワード（PEAP、EAP-TTLS-PAP）です。
• SingleIDの標準RADIUSサーバを利用します。
• ユーザ/グループによるアクセス制限をします。

設定方法

SingleIDのグループの作成

1. SingleID 管理者ポータル＞グループ画面へ移動します。
2. グループ追加をクリックします。グループ追加画面がポップアップします。
3. グループ名を入力し、登録ボタンをクリックします。

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。グループタブをクリックします。
4. メンバーとなるグループを選択し、登録ボタンをクリックします。

SingleIDのRADIUSサイトの登録

1. SingleID 管理者ポータル＞認証＞RADIUS＞簡易設定タブへ移動します。
2. カタログ表示ボタンをクリックします。
3. カタログからSubGateの登録ボタンをクリックします。SubGate画面がポップアップします。

4. 基本情報タブに、以下を設定します。

   設定項目	設定内容
   有効/無効	有効を選択します。
   サーバ	標準を選択します。
   サーバ番号	適切なサーバ番号を選択します。選択するサーバの番号により、RADIUSサーバのポート番号が異なります。SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞RADIUSポート番号にサーバの番号と通信ポート番号の対応が記載されています。
   IP or ホスト名	SubGate側のグローバルIPアドレスです。インターネットに出ていくときの送信元のIPアドレスです。
   シークレット	任意の文字列を設定します。英大文字、英小文字、数字、記号を組み合わせて、最低でも14文字以上の複雑な文字列を設定することをお勧めします。

5. ネットワークアクセスの認証タブへ移動します。

6. 許可したいユーザおよび許可したいグループをダブルクリックし、許可へ移動させます。

   Info

   認証したユーザおよびグループにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。

7. MACアドレス認証バイパスタブへ移動します。

8. 802.1x認証をサポートしていないデバイスのMACアドレスを大文字英数字のハイフン区切りで入力します。（例：00-E1-5C-68-16-04）

   Info

   MACアドレスにVLAN IDを割り当てたい場合には、VLAN ID入力欄に、割り当てたいVLAN IDを入力します。

9. 登録ボタンをクリックします。

SubGateの設定

1. SubGateにCLIでログインして設定します。

   Info

   GUIでは、802.1x認証の設定を行うことはできません。

2. mac-floodingを無効化します。

   Info

   mac-floodingが有効の状態では、802.1x認証を有効にできません。

   SG2412G(config)#no mds mac-flooding enable
   

3. 送信元のIPアドレスとデフォルトルートの設定を行います。SingleIDのクラウドRADIUSと通信するために、デフォルトVLAN(vlan1.1)に送信元となるIPアドレス　および　デフォルトルートを設定します。送信元となるIPアドレスおよびデフォルトルートは、環境により異なるため適切なIPアドレスを設定します。

   送信元のIPアドレス設定

   SG2412G(config)interface vlan1.1
   SG2412G(config-if)ip address <送信元のIPアドレス>/<送信元のIPアドレスのネットマスク>
   

   デフォルートの設定

   SG2412G(config)ip route 0.0.0.0/0 <デフォルトゲートウェイのIPアドレス>
   

4. （ダイナミックVLANを利用する場合）VLANを作成します。

   VLANの作成

   SG2412G(config)#vlan database
   SG2412G(config-vlan)#vlan <VLAN ID> bridge 1
   

5. （ダイナミックVLANを利用する場合）アップリンクポートをトランクポートに設定します。

   設定項目	設定内容
   アップリンクポートのインターフェース名	アップリンクポートのインターフェース名です。（例: ge8）

   トランクポートの設定

   SG2412G(config)#interface <アップリンクポートのインターフェース名>
   SG2412G(config-if)#switchport mode trunk
   SG2412G(config-if)##switchport trunk allowed vlan add <VLAN ID>
   

6. 以下の内容で、RADIUSサーバを登録します。

   設定項目	設定内容
   RADIUSサーバのプライマリIPアドレス	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのプライマリです。
   RADIUSサーバのセカンダリIPアドレス	SingleID 管理者ポータル＞認証＞RADIUS＞基本情報タブの標準RADIUSサーバ＞IPアドレスのセカンダリです。
   RADIUSサーバのポート番号	SingleIDのRADIUSサイトの登録の手順のサーバ番号に対応したポート番号です。
   RADIUSクライアントのシークレット	SingleIDのRADIUSサイトの登録の手順のシークレットに設定した文字列です。
   送信元のIPアドレス	SubGateの設定の手順で設定した送信元のIPアドレスです。

   SG2412G(config)#aaa system-aaa-ctrl
   SG2412G(config)#radius-server host <RADIUSサーバのプライマリIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
   SG2412G(config)#radius-server host <RADIUSサーバのセカンダリIPアドレス> auth-port <RADIUSサーバのポート番号> key <RADIUSクライアントのシークレット>
   SG2412G(config)#ip radius source-interface <送信元のIPアドレス> 1023
   

7. 802.1x認証を有効化します。

   設定項目	設定内容
   802.1x認証の有効化する物理ポート名	802.1x認証の有効化する物理ポート名です。（例: ge1-6）

   ダイナミックVLANを利用する場合

   SG2412G(config)#dot1x system-auth-ctrl
   SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
   SG2412G(config-if-range)#dot1x port-control auto
   SG2412G(config-if-range)#dot1x extension multi-user
   SG2412G(config-if-range)#dot1x extension mac-auth-bypass
   

   ダイナミックVLANを利用しない場合

   SG2412G(config)#dot1x system-auth-ctrl
   SG2412G(config)#interface range <802.1x認証の有効化する物理ポート名>
   SG2412G(config-if-range)#dot1x port-control auto
   SG2412G(config-if-range)#dot1x extension mac-auth-bypass
   SG2412G(config-if-range)#dot1x extension dynamic-vlan
   

   Info

   dot1x extension multi-userとdot1x extension dynamic-vlanの両方を同一の物理ポートで同時に有効にできません。

8. 設定を保存します。

   SG2412G(config)#write memory
   

SubGateのサンプルコンフィグ1 ダウンロード

SubGateのサンプルコンフィグ2 ダウンロード

SubGateのサンプルコンフィグ3 ダウンロード

動作確認方法

Windows端末からパスワードによるネットワークアクセスの認証が可能なことを確認します。

設定

1. PCのネットワークインターフェースの802.1x認証を有効化する必要があります。Windowsのサービス設定画面からWired AutoConfigサービスをダブルクリックします。

   

2. PC起動時に、ネットワークインターフェースの802.1x認証を有効化するために、Wired AutoConfigサービスのスタートアップの種類を自動に変更します。そして、開始ボタンをクリックして、802.1x認証を有効化します。

   

3. PCをSubGateの802.1x認証を有効にしたポートへ接続します。

4. ログイン要求がポップアップします。サインインをクリックします。

   

5. 認証設定の編集ボタンをクリックします。

   

6. 以下を設定し、保存ボタンをクリックします。

   設定項目	設定内容
   EAPメソッド	保護されたEAP(PEAP)
   認証方法	セキュリティで保護されたパスワード(EAP-MSCHAP v2)

   

接続

1. サインインをクリックします。

   

2. 認証情報を入力し、OKボタンをクリックします。

   設定項目	設定内容
   ユーザ名	SingleIDのRADIUSサイトの登録の手順で許可したユーザです。
   パスワード	ユーザのパスワードです。

   

3. 接続先が正しいかどうかの確認を要求されます。証明書の詳しい内容の表示でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。接続先が正しければ、接続ボタンをクリックします。

   項目	内容
   発行先	SingleID 管理者ポータル＞認証＞RADIUS画面の基本情報タブのホスト名です。
   発行元	R3

   

4. 接続成功したことを確認します。

   

MACアドレス認証バイパス

1. 802.1x認証を無効にしたPCをSubGateの802.1x認証を有効にしたポートへ接続します。

2. １分間ほど待ち、ネットワークへ接続できたことを確認します。

   Info

   SubGateで#show dot1x briefコマンドを実行して、接続状況を確認できます。