無線LANクライアントに、認証したユーザに応じたVLANを割り当てる方法を紹介する。
ダイナミックVLANと呼ぶこともある。
前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
→NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。
IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。
ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。
「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
クライアントIPとVLANの割り当てもそのままでOK。
セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)
アクセスルールはロールベースを設定する。
ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
アクセスルールの「新規」をクリック。
新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
割り当てるVLAN番号を入力し、「OK」する。
同様に、VLAN210とVLAN220を作る。
次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。
同様に、VLAN210、220も作成する。
これでOK。
なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)
アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。
スポンサードリンク
ダイナミックVLANと呼ぶこともある。
前提として次の二つの作業が必要。
(1)RADIUSサーバ側で、ユーザに応じたRADIUSアトリビュートを返す設定をしておく
→NPSの設定例 FreeRADIUSでの設定例を参照のこと
(2)IAPを接続しているSWのポートに、タグVLANの設定をしておく。
簡単なのは、管理IPアドレス用のVLANはタグなし(UntagやネイティブVLANとも言う)にしておき、クライアントに割り当てるVLANについては802.1QのタグVLANを設定する方法だ。
IAPでは、RADIUSサーバから返されるアトリビュートの情報を元に、VLANを割り当てることができる。
例として、ユーザに応じてVLAN200、VLAN210、VLAN220の3つのいずれかを割り当てる設定を紹介する。
ネットワーク(SSID)は、すでに設定済みのものを変更してもよいし、新規で設定してもよい。
今回は、新規設定を例に解説する。
「ネットワーク」→「新規」をクリック。SSIDを入力する。用途は従業員でOK。
クライアントIPとVLANの割り当てもそのままでOK。
セキュリティは、WPA2エンタープライズを選択し、RADIUSサーバを指定しておく。
アクセスの設定がポイントだ。ここでは、
・どのような条件のときに(ロールの割り当てルール)→RADIUSサーバから返された属性がどのような条件か
・どのように動作するか(ロール)→VLANを割り当てる。
を設定する。(設定の順序はこの逆なので注意。)
アクセスルールはロールベースを設定する。
ロールの「新規」をクリックし、ロールの名前を決める。ここでは割り当てるVLAN名をロール名とした。
アクセスルールの「新規」をクリック。
新しいルールが表示されるので、ルールタイプを「アクセス制御」から「VLANの割り当て」に変更する。
割り当てるVLAN番号を入力し、「OK」する。
同様に、VLAN210とVLAN220を作る。
次に、ロールの割り当てルールを設定する。「ロールの割り当てルール」の「新規」をクリックする。
条件が出てくるので、
属性:「Tunnel-Private-Group-Id」(VLANIDを示す属性)
演算子:「次に一致」
文字列:VLAN番号(VLANID)
ロール:作成したロール(VLANの割り当てを行うロール)
を設定し、「OK」する。
Tunnel-Private-Group-Idとは、RADIUSサーバから返される属性値であり、VLAN番号を意味する。
同様に、VLAN210、220も作成する。
これでOK。
なお、SSID名と同じロールはデフォルトロールと呼び、どの条件にも当てはまらない場合の動作を規定する。
たとえば、認証は成功したがTunnel-Private-Group-Idが300だったような場合だ。(300はロールの割り当てルールに設定をしていない)
アクセスコントロールをシビアに設定するのであれば、デフォルトロールのアクセスルールも厳しめにしておいたほうがよいかもしれない。