13.2.3 ネットワーク制御機器を設定する(動的VLAN環境の場合)
ネットワーク制御機器(IEEE802.1X認証方式対応のスイッチ)の設定をします。なお,スイッチの設定についての詳細は,各スイッチのマニュアルを参照してください。
- IEEE802.1X認証の有効化の設定
IEEE802.1X認証を有効にします。
- 認証間隔の設定
IEEE802.1X認証の再認証間隔,EAP要求フレーム送信間隔,再認証回数などを設定します。
再認証間隔,EAP要求フレーム送信間隔を設定すると,スイッチからクライアントに対して認証要求を送信して,定期的にクライアントを認証できます。定期的にクライアントを認証することで,接続制御リストが更新されたあと,クライアントのネットワーク接続をタイムリーに制御できます。
- RADIUSサーバの設定
認証サーバのIPアドレス,ポート番号および共有キーを設定します。なお,共有キーには,Microsoft Internet Authentication ServiceまたはNetwork Policy ServerのRADIUSクライアントの設定で指定した共有キーと同じ文字列を設定します。
- VLANの設定
社内ネットワーク,検疫ネットワークなどの各種VLANを設定します。なお,社内ネットワークはMicrosoft Internet Authentication ServiceまたはNetwork Policy ServerのリモートアクセスポリシーのTunnel-Pvt-Group-IDに指定したVLAN-IDで設定します。
次にスイッチに設定するVLANと,VLAN間の通信の設定について説明します。
- <この項の構成>
- (1) スイッチに設定するVLANとVLAN間の通信の設定
(1) スイッチに設定するVLANとVLAN間の通信の設定
推奨するVLANの設定を次の図に示します。
図13-10 推奨するVLANの設定
![[図データ]](figure/zu131400.gif)
- VLANは次の四つを設定しています。
- 社内VLAN
安全なクライアントが接続する社内ネットワークです。業務サーバ,Webサーバなどを配置します。
- 検疫VLAN
危険レベルの高いクライアントが接続する検疫ネットワークです。
- 治療サーバVLAN
治療サーバが属するネットワークです。
- サーバVLAN
管理サーバおよび認証サーバが属するネットワークです。
-
VLAN間の通信の設定を次の表に示します。
表13-8 VLAN間の通信の設定
項番 | VLAN名称 | 社内VLAN | 検疫VLAN | サーバVLAN | 治療サーバVLAN |
---|
1 | 社内VLAN | ○ | × | ○ | ○ |
2 | 検疫VLAN | × | ○ | × | ○ |
3 | サーバVLAN | ○ | × | ○ | ○ |
4 | 治療サーバVLAN | ○ | ○ | ○ | ○ |
- (凡例)
- ○:通信できる。
- ×:通信できない。
- 注意
- VLAN間の通信の設定は表13-8のとおりにしてください。
- クライアントのセキュリティ対策の実施およびクライアントのインベントリ情報の通知は,次に示すように,どちらの場合も治療サーバVLANを経由して通信します。
- クライアントのセキュリティ対策の実施
サーバVLAN → 治療サーバVLAN → 検疫VLAN
- クライアントのインベントリ情報の通知
検疫VLAN → 治療サーバVLAN → サーバVLAN