13.2.4 ネットワーク制御機器を設定する(固定VLAN環境の場合)

ネットワーク制御機器(IEEE802.1X認証方式またはMAC認証方式対応のスイッチ)の設定をします。なお,スイッチの設定についての詳細は,各スイッチのマニュアルを参照してください。

IEEE802.1X認証方式の場合
  • IEEE802.1X認証の有効化の設定
    IEEE802.1X認証を有効にします。
  • 認証間隔の設定
    IEEE802.1X認証の再認証間隔,EAP要求フレーム送信間隔,再認証回数などを設定します。
    再認証間隔,EAP要求フレーム送信間隔を設定すると,スイッチからクライアントに対して認証要求を送信して,定期的にクライアントを認証できます。定期的にクライアントを認証することで,接続制御リストが更新されたあと,クライアントのネットワーク接続をタイムリーに制御できます。
  • RADIUSサーバの設定
    認証サーバのIPアドレス,ポート番号および共有キーを設定します。なお,共有キーには,Microsoft Internet Authentication ServiceまたはNetwork Policy ServerのRADIUSクライアントの設定で指定した共有キーと同じ文字列を設定します。
  • アクセスリストの設定
    認証前ネットワークに接続されたクライアントの接続制御の設定情報となる,アクセスリストを設定します。
     
MAC認証方式の場合
  • MAC認証の有効化の設定
    MAC認証を有効にします。
  • 最大接続時間の設定
    MAC認証の最大接続時間を設定します。
    MAC認証の最大接続時間を設定すると,スイッチからクライアントに対して認証要求を送信して,定期的にクライアントを認証できます。定期的にクライアントを認証することで,接続制御リストが更新されたあと,クライアントのネットワーク接続をタイムリーに制御できます。
  • RADIUSサーバの設定
    認証サーバのIPアドレス,ポート番号および共有キーを設定します。なお,共有キーには,Microsoft Internet Authentication ServiceまたはNetwork Policy ServerのRADIUSクライアントの設定で指定した共有キーと同じ文字列を設定します。
  • アクセスリストの設定
    認証前ネットワークに接続されたクライアントの接続制御の設定情報となる,アクセスリストを設定します。

次にネットワークの構成とアクセスリストの設定について説明します。

<この項の構成>
(1) ネットワークの構成とアクセスリストの設定

(1) ネットワークの構成とアクセスリストの設定

推奨するネットワークの構成を次の図に示します。

図13-11 推奨するネットワークの構成

[図データ]

ネットワークの構成は次のとおりです。
  • 社内ネットワーク
    安全なクライアントが接続する社内ネットワークです。業務サーバ,Webサーバなどを配置します。
  • 認証前ネットワーク
    危険レベルの高いクライアントが接続するセキュリティ対策用のネットワークです。
  • 治療サーバネットワーク
    治療サーバが属するネットワークです。
  • サーバネットワーク
    管理サーバおよび認証サーバが属するネットワークです。
アクセスリストの設定は次のとおりです。
  • 認証前ネットワークと治療サーバネットワークは接続可とする。
  • 認証前ネットワークとサーバネットワークは接続不可とする。
  • 認証前ネットワークと社内ネットワークは接続不可とする。