日本語フォーラム

 View Only
Back to discussions
Expand all | Collapse all

[CX-Switch] 認証リクエストにポートのVLAN情報も含める方法

This thread has been viewed 5 times

  • 1.  [CX-Switch] 認証リクエストにポートのVLAN情報も含める方法

    Posted 2 days ago
    Edited by namishingo 2 days ago

    802.1X 認証や MAC 認証を行うとき、端末を接続すると RADIUS Request が RADIUS Server へ送信されますが、
    デフォルトでは 認証ポートの VLAN 情報は含まれておりません。

    お客様の要件によっては、VLAN 情報を元にコントロールしたいこともあるため、RADIUS Request に VLAN 情報を含める方法について説明します。

    下記は認証ポートが VLAN184 の Access ポートで MAC 認証したときの RADIUS Request (HPE Aruba Networking ClearPass での表示例)になります。
    RADIUS Request にポートの情報などは含まれていますが、VLAN の情報は含まれていません。

    image

    下記の設定をグローバルレベルで RADIUS Server グループに設定します。

    aaa radius-attribute group clearpass
    tunnel-private-group-id value static
    tunnel-private-group-id request-type authentication

    上記設定がある状態で再度 MAC 認証を行ったときの RADIUS Request は下記のようになります。
    Tunnel-Private-Group-Id の Attribute が追加され、認証ポートの VLAN 情報が含まれるようになりました。

    image
    上記では、Tunnel-Private-Group-Id の Attribute を RADIUS Request に含める方法になりますが、下記のように Accounting Request に含めることもできます。
    6000(config-radius-attr)# tunnel-private-group-id request-type
  accounting      Include the attribute in accounting-request packets.
  authentication  Include the attribute in access-request packets.
  both            Include the attribute in access-request and
                  accounting-request packets.

    Accounting に含めるようにした場合、ClearPass で見た場合ですが、下記のようになります。

    VLAN 情報を含めない場合(デフォルト)

    image
    上記には Tunnel-Private-Group-Id が含まれていませんが、含めるようにすると、下記のように情報が追加されるようになります。
    image



    ------------------------------
    Shingo Namitoko
    HPE Networking Employee
    ------------------------------



Related Content