2007年12月19日
著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 07-1219
前回は無線環境のみで802.1xのNAPの強制を試してみたが、無線/有線の混在環境でのユースカジノ 新vipを試す前に、有線環境だけで802.1xのNAPの強制を試してみることにする。
ネットワーク構成を少々複雑に
Vol.6までは、2つのVLANを用意して、VLANが切り替わるかどうかを確認するだけであった。だがしかし、現実に導入する場合、そのような単純なネットワークは構成できないため、改めて有線のネットワークだけで少々複雑なネットワークを構成してみることにする。今回はアラクサラネットワークスのAX2430S(802.1xに対応)とWindows Vistaユースカジノ 新vipPCを用意した。
設定概要
左記のようなユースカジノ 新vip環境を用意した。スイッチで802.1x用のRADIUSとしてNPSを指定し、クライアントの接続時に条件に応じてVLANを変更するように設定する。 NPS側ではウィザードを使い必要なポリシーを作成させ微調整を行う。今回の環境では、まずクライアントは認証用のVLANに接続する。このタイミングで802.1xによる許可されたコンピュータであるかのチェックが行われ、認証を通れば次にネットワークポリシーサーバで正常性の確認が行われる。接続が認められたクライアントでありセキュリティポリシーに合致すれば、クライアントVLANに接続できる。正常性の確認で問題が見つかるとクライアントは検疫VLANに接続される。スイッチにはアクセス制御リストが設定されており、検疫VLANからサーバVLANへのアクセスはHTTPとDHCPしか通らないように設定をしている。なお、コンピュータ認証を通らないクライアントは、一切ネットワークに接続できない(認証用VLANにとどまる)。 今回使用したアラクサラネットワークスのスイッチでは、802.1x非対応のハブなどに接続されたクライアントであっても端末ごとの認証が可能になっている。Windows Server 2008でのNAPをお試しで導入したいが、ネットワークの構成は大きく変更したくない場合などは効果的な導入が可能な製品である。
動作確認
スイッチの設定は、機種やメーカーが変わろうとNAPを動作させるために必要な部分は多くなく、手順さえ理解してしまえば簡単といっても差し支えないだろう。 動作確認の方法は前回と同じ。スイッチのコンソール上で確認する限りWindows VistaでWindowsファイアウォールを無効にするとすぐに検疫用のVLANに隔離される。その後修復が行われると(自動修復もしくは手動)瞬時に正常なVLANに接続される。特に何の問題もない。
クライアントへのユースカジノ 新vip提供
ユーザーが詳細ユースカジノ 新vipボタンをクリックするとポップアップウィンドウが表示され、設定していたWebサーバ上のユースカジノ 新vipが表示される。中央の「ネットワークに接続できない方へ」をクリックすると、ユーザーへの案内が表示される。今回は、Windows Server 2008に標準で搭載されているWindows SharePoint Serviceを使用してみた。 あとはユーザーが表示されたユースカジノ 新vipを見ながらクライアントの状態を修復すればよい。もちろん、自動修復が有効ならばこのような画面を確認する必要はないと思うが、特定の作業をユーザーに行わせたい場合には有効である。 次回こそは有線・無線の混在などを試してみたいと思っている。