有線クライアントのアクセス制限
概要
ここでは、有線クライアントに適用するためのアクセス制限 (IEEE 802.1X モード) を、UniFi Switchに設定する方法について説明します。
事前に以下の記事を確認してください。
UniFi Switchで802.1Xを有効にする方法
コントローラの[デバイス]から目的のスイッチを選択し、[構成] > [サービス] > [セキュリティ]から、[802.1X制御を有効]にし、構成済みの[RADIUSプロファイル]を選択します。
[フォールバックVLAN]は、クライアントがユーザー名とパスワードまたはMAC認証バイパスによる認証に失敗したときに、ここで選択しておいた ネットワークへクライアントを接続します。
802.1Xによるアクセス制御の有効化は、スイッチ毎に行われます。
これが有効になっていない場合、UniFi SwitchはオーセンティケータとしてRADIUS認証メッセージをRADIUSサーバに渡すことができません。
ポートプロファイルの定義
各ポートに手動で802.1Xポリシーを適用する代わりに、迅速な展開のためにポートプロファイルを定義しておくことが推奨されます。
[設定] > [プロファイル] > [スイッチポート]から、[802.1X コントロール]のための新しいプロファイルを作成します。
-
[802.1X コントロール]モードの違い
- [自動 (Auto)]:認証が正常に行われるまで、ポートは無許可です。
- [強制認可 (Force Authorized)]:ポートは、認証なしで通常のトラフィックを送受信します。
- [無認可として固定 (Force Unauthorized)]:ポートはサプリカント認証の試行を無視し、クライアントに認証サービスを提供しません。
-
[MACベース (Mac-based)]:同じポートに接続された複数のサプリカントがそれぞれ個別に認証できます。
ポートに接続されている各ホストは、ネットワークにアクセスするために個別に認証する必要があります。
ホストはMACアドレスによって区別されます。
RADIUSで動的VLAN割り当てを使用する場合、[タグネットワーク]にて使用されるVLANを選択しておく必要があります。