すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:ネットワークアクセスのベストプラクティス

最終更新日:Jun 03, 2026

ネットワーク アドミッション コントロールは、デジタルワークプレイスにおいて企業のセキュリティとユーザーの利便性を両立させます。SASE (セキュア アクセス サービス エッジ) は、RADIUS (リモート認証ダイヤルイン ユーザー サービス) を統合し、802.1X プロトコルとポータルアクセスをサポートすることで、準拠デバイスとユーザーアクセスを確保しながら管理効率とユーザーエクスペリエンスを向上させる、安全で柔軟、かつ効率的なネットワーク アドミッション コントロールを実現します。

ワイヤレスネットワークアクセスの設定

Secure Access Service Edge (SASE) は 802.1X 認証を使用して、ワンクリック接続でワイヤレスネットワークアクセスを保護します。従業員は SASE クライアントを使用して、オフィスネットワークの範囲内の任意のエリアから企業ネットワークにアクセスします。SASE コンソールとローカルのワイヤレスコントローラーの両方を設定します。

説明

本トピックで説明するワイヤレスコントローラーとスイッチは、H3C デバイスを例としています。

手順1:認証サーバー (RADIUS) の設定

RADIUS は、一元化された認証、認可、アカウンティング (AAA) を提供します。SASE は[Cloud Authentication Server]を提供し、カスタム認証サーバーをサポートします。

  1. Secure Access Service Edge コンソールにログインします。

  2. 左側メニューで、Network Access Control > Basic Configurations を選択します。

  3. Authentication Server タブで、Cloud Authentication Server の情報を表示するか、Add Authentication Server をクリックします。

    • クラウド認証サーバーの表示

      1. ページの右上隅にある Cloud Authentication Server をクリックします。

        image

      2. Cloud Authentication Server パネルで、SASE が提供するクラウド認証サーバーの情報を表示します。

    • 認証サーバーの追加

      1. Add Authentication Server をクリックします。

      2. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

        説明

        デフォルトの User Wi-Fi Authentication Interface は 1812、デフォルトの User Wi-Fi Billing Interface は 1813 です。

      3. Deployment and Installation タブで、RADIUS デプロイ用の Recommended Server SpecificationsServer Deployment Commands を表示します。

      4. Server Deployment Commands をコピーし、サーバーで実行して RADIUS をデプロイします。

      5. デプロイが完了したら、リストでデプロイステータスを確認します。

        image

手順2:ネットワークデバイスの設定

ワイヤレスコントローラーは、ワイヤレスアクセスポイント (AP) を一元管理します。ワイヤレスコントローラーを次のように設定します。

  1. Network Device タブで、Add Network Device をクリックします。

  2. Add Network Device ダイアログボックスで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    Device Name

    デバイスの名前を入力します。

    Device Brand

    ワイヤレスコントローラーのブランドを選択します。

    Device Type

    [Wireless Controller] を選択します。

    IP Address

    ワイヤレスコントローラーの IP アドレスまたは IP アドレス範囲を入力します。

    MAC Address

    ワイヤレスコントローラーの MAC アドレスを入力します。

    CoA Port

    ワイヤレスコントローラーの CoA ポートを入力します。

手順3:Wi-Fi 管理の設定

  1. Wi-Fi Management タブで、Create Network Instance をクリックします。

  2. Enterprise Wireless Network Configuration ダイアログボックスで、ユーザーのネットワークアクセス用に [Network SSID]Authentication Mode を設定します。現在、EAP-TLS のみがサポートされています。その後、OK をクリックします。

手順4:証明書管理の設定

SASE を介して企業のオフィスネットワークに接続すると、システムは SASE CA 証明書とネットワークアクセス証明書を SASE アプリに自動的に発行します。これらの証明書がインストールされているデバイスのみが、企業のワイヤレスネットワークを使用して内部アプリケーションにアクセスできます。自動発行された証明書がビジネスシナリオに適さない場合は、証明書のインストール範囲、有効期間、または組織名を変更できます。

  1. Certificate Management タブをクリックします。

  2. Certificate Management タブで、Network Access Certificate ConfigurationCA Certificate Configuration、および Global Settings を設定します。

手順5:オンプレミスコントローラーの設定

オンプレミスコントローラーで、RADIUS スキーム、ISP ドメイン、および 802.1X ワイヤレス認証を設定する必要があります。

RADIUS の設定

  1. H3C ワイヤレスコントローラーコンソールにログインします。

  2. ページの下部で [Network] を選択します。左側メニューで、 を選択します。

  3. [RADIUS] タブで、image をクリックして RADIUS スキームを追加します。

    image

  4. [Add RADIUS Scheme] ページで、RADIUS 情報を設定し、OK をクリックします。

    パラメーター

    説明

    [Scheme Name]

    RADIUS スキームのカスタム名を入力します。

    sase-r1

    [Authentication Server]

    プライマリ認証サーバーを設定します。複数の認証サーバーがある場合は、バックアップサーバーとして追加できます。

    認証サーバー情報については、SASE コンソールのNetwork Access Control > Basic Configurations > Authentication Server タブで、Cloud Authentication Server または追加した Add Authentication Server の情報を表示できます。

    image

    • [VRF]:[Default Public Network]

    • [Type]:[Default IP Address]

    • [IP Address]:121.40.*.*

    • [Port]:1812

    • [Shared Key]:キーを入力します。

    • [Status]:[Active]

    [Accounting Server]

    • アカウンティングサーバーを設定します。複数のアカウンティングサーバーがある場合は、バックアップサーバーとして追加できます。

    • アカウンティングサーバーの IP アドレスと共有キーは認証サーバーと同じですが、ポートは 1813 です。

    • [VRF]:[Default Public Network]

    • [Type]:[Default IP Address]

    • [IP Address]:121.40.*.* (認証サーバーと同じ)

    • [Port]:1813

    • [Shared Key]:キーを入力します (認証サーバーと同じ)。

    • [Status]:[Active]

    [Advanced Settings]

    [Show Advanced Settings] をクリックし、[Real-time Accounting Interval] を 60 秒に設定します。

    image

    60

ISP ドメインの設定

  1. 左側メニューで、 を選択します。[ISP Domains] タブで、image をクリックして ISP ドメイン設定を追加します。

  2. [Add ISP Domains] ページで、次の図に示すように ISP ドメインを設定し、OK をクリックします。

    image

ワイヤレスネットワークの設定 (802.1X 認証)

  1. 左側メニューで、 を選択します。

  2. [Wireless Network] タブで、image をクリックしてワイヤレスネットワークを追加します。

  3. [Add Wireless Network] ページで、[Wireless Service Name][SSID]、および [Default VLAN] を設定し、[Wireless Service] を有効にします。次に、[Apply and Configure Advanced Settings] をクリックします。

    image

    説明

    ネットワークインスタンスの SSID 情報は、SASE コンソールの Network Access Control > Basic Configurations > Wi-Fi Management タブで確認できます。

  4. [Link Layer Authentication] タブで、[Authentication Mode][802.1X] に設定し、[Domain Name] には設定した ISP ドメインを選択します。他の設定はデフォルト値のままにします。次に、OK をクリックします。

    image

  5. [Binding] タブで、バインドする AP を選択し、OK をクリックします。

    image

  6. 左側メニューで、 を選択します。

  7. ページの右上隅にある image をクリックします。[802.1X] ページで、[Authentication Method] の横にある設定アイコンをクリックし、ドロップダウンリストから [EAP] を選択して、OK をクリックします。

    image

手順6:動的認可 (CoA) の有効化

CoA (Change of Authorization) は、RADIUS CoA-Request メッセージを使用して動的認可の変更をトリガーします。ワイヤレスコントローラーはセッションパラメーターを更新し、CoA-ACK または CoA-NAK を RADIUS サーバーに返します。

  1. コンソールケーブルを使用してワイヤレスコントローラー (AC) に接続します。

  2. 次のコマンドを実行して CoA を有効にします:

    [AC] radius dynamic-author server
    [ac-radius-da-server] client ip <radius_server_ip> key simple <shared_key>

    ここで、<radius_server_ip> は RADIUS サーバーの IP アドレス、<shared_key> は対応するデバイスの共有キーです。

    説明

    [RADIUS Server IP Address][Shared Key] は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで確認できます。

手順7:ネットワークアクセスポリシーの設定

SASE でネットワークアクセスポリシーを設定することで、従業員やデバイスに対してきめ細かなアクセス制御を実施します。

  1. Secure Access Service Edge コンソールにログインします。

  2. 左側メニューで、Network Access Control > Office Network を選択します。

  3. Network Access Permissions タブで、Create Policy をクリックします。

  4. Create Policy パネルで、次のパラメーターを設定し、OK をクリックします。

    パラメーター

    説明

    Policy Name

    ポリシーの名前を入力します。

    Effective Scope

    Effective Scope には、Applicable User を選択します。

    ビジネスニーズに応じて、Select をクリックして、範囲を All UsersSpecific User GroupSpecific Device、または Specific Device Tag に絞り込むことができます。

    [VLAN ID]

    ワイヤレスコントローラーで定義された VLAN ID を指定します。値は 1 から 4094 までの整数である必要があります。

    [ACL ID]

    ワイヤレスコントローラーで定義された ACL ID を指定します。この値の有効範囲は、ネットワークデバイスのブランドとモデルによって異なります。

    Terminal Type

    ポリシーを適用する端末タイプを選択します。

    Network Permissions

    ワイヤレスネットワークを選択します。

    Wi-Fi Network Scope

    要件に応じて、All Wi-Fi Networks または Specific Wi-Fi Networks を選択します。

    Priority

    ポリシーの優先度を設定します。数値が小さいほど優先度が高くなります。

    Policy Status

    ポリシーを有効にします。

    Advanced Settings

    ポリシーが適用される Authentication ServerNetwork Device for Access Control を指定します。

手順8:SASE アプリのインストールとログイン

インターネットに接続されたデバイスで、「SASE アプリのインストールとログイン」で説明されているように、SASE アプリをインストールしてログインします。

手順9:認証履歴とアクセス履歴の表示

上記の手順を完了すると、SASE コンソールでネットワークアクセス履歴またはユーザー認証ログを表示できます。

  • ユーザー認証ログの表示

    1. 左側メニューで、Log Analysis > Log Audit を選択します。

    2. Access Logs > User Authentication Logs タブで、ユーザーのネットワーク認証のステータスを表示します。

  • ネットワークアクセス履歴の表示

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側メニューで、Network Access Control > Office Network を選択します。

    3. Network Access History タブで、ユーザーのネットワークアクセスステータスを表示します。アクセスを Disable または Enable にすることもできます。

ユースケース 2:従業員の有線ネットワークアクセスの構成

Secure Access Service Edge (SASE) コンソールとオンプレミススイッチの両方で、有線ネットワークアクセス用の 802.1X 認証を構成します。

手順1:認証サーバー (RADIUS) の設定

RADIUS は、一元化された認証、認可、アカウンティング (AAA) を提供します。SASE は[Cloud Authentication Server]を提供し、カスタム認証サーバーをサポートします。

  1. Secure Access Service Edge コンソールにログインします。

  2. 左側メニューで、Network Access Control > Basic Configurations を選択します。

  3. Authentication Server タブで、Cloud Authentication Server の情報を表示するか、Add Authentication Server をクリックします。

    • クラウド認証サーバーの表示

      1. ページの右上隅にある Cloud Authentication Server をクリックします。

        image

      2. Cloud Authentication Server パネルで、SASE が提供するクラウド認証サーバーの情報を表示します。

    • 認証サーバーの追加

      1. Add Authentication Server をクリックします。

      2. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

        説明

        デフォルトの User Wi-Fi Authentication Interface は 1812、デフォルトの User Wi-Fi Billing Interface は 1813 です。

      3. Deployment and Installation タブで、RADIUS デプロイ用の Recommended Server SpecificationsServer Deployment Commands を表示します。

      4. Server Deployment Commands をコピーし、サーバーで実行して RADIUS をデプロイします。

      5. デプロイが完了したら、リストでデプロイステータスを確認します。

        image

ステップ 2:ネットワークデバイス情報の構成

有線ポートで 802.1X 認証を有効にするために、オンプレミススイッチを構成します。

  1. Network Device タブで、Add Network Device をクリックします。

  2. Add Network Device ダイアログボックスで、次のパラメーターを構成し、OK をクリックします。

    パラメーター

    説明

    [Device Name]

    デバイスの名前を入力します。

    [Device Brand]

    スイッチのブランドを選択します。

    [Device Type]

    [Wired Switch] を選択します。

    [IP Address]

    スイッチの IP アドレスまたは IP アドレス範囲を入力します。

    [MAC Address]

    スイッチの MAC アドレスを入力します。

    [CoA Port]

    スイッチの CoA ポートを入力します。

ステップ 3:証明書管理の構成

企業ネットワークに接続すると、SASE は自動的に SASE CA 証明書とネットワークアクセス証明書SASE App に発行します。これらの証明書がインストールされているデバイスのみが、有線ネットワークを介して内部アプリケーションにアクセスできます。必要に応じて、インストール範囲、有効期間、または組織名を変更できます。

  1. Certificate Management をクリックします。

  2. Certificate Management タブで、Network Access Certificate ConfigurationCA Certificate Configuration、および Global Settings を構成します。

ステップ 4:オンプレミススイッチの構成

オンプレミススイッチコンソールで、RADIUS スキーム、ISP ドメイン、および 802.1X 認証を構成します。

RADIUS の構成

  1. H3C スイッチのコンソールにログインします。

  2. ページの下部で、[Network] を選択します。左側のナビゲーションペインで、 の順に選択します。

  3. [RADIUS] タブで、image をクリックして RADIUS スキームを追加します。

    image

  4. [Add RADIUS scheme] ページで、RADIUS 情報を構成し、OK をクリックします。

    パラメーター

    説明

    値の例

    Scheme name

    RADIUS スキームのカスタム名を入力します。

    sase-r1

    Authentication server

    プライマリ認証サーバーを構成します。複数の認証サーバーをバックアップとして追加できます。

    この情報は、Network Access Control > Basic Configurations > Authentication Server タブから、SASE コンソールで確認できます。Cloud Authentication Server または Add Authentication Server の情報を表示できます。

    image

    • VRF:Default Public Network

    • Type:Default IP Address

    • IP address:121.40.*.*

    • Port:1812

    • Shared key:キーを入力します。

    • Status:Active

    Accounting server

    • アカウンティングサーバーを構成します。複数のアカウンティングサーバーをバックアップとして追加できます。

    • アカウンティングサーバーの IP アドレスと共有キーは認証サーバーと同じですが、ポートは 1813 です。

    • VRF:Default Public Network

    • Type:Default IP Address

    • IP address:121.40.*.* (認証サーバーと同じ)

    • Port:1813

    • Shared key:キーを入力します (認証サーバーと同じ)。

    • Status:Active

    Advanced settings

    [Show advanced settings] をクリックし、[Real-time accounting update interval] を 60 秒に設定します。

    image

    60

ISP ドメインの構成

  1. 左側のナビゲーションペインで、 の順に選択します。[ISP domain] タブで、image をクリックして ISP ドメイン構成を追加します。

  2. [Add ISP domain] ページで、次の図のように ISP ドメインを構成し、OK をクリックします。

    image

スイッチポート (802.1X 認証) の構成

  1. 左側のナビゲーションペインで、 の順に選択します。

  2. [802.1X] ページで、ポートベース認証用のポート ([GE1/0/3] など) を選択し、OK をクリックします。

    image

  3. [Advanced settings] をクリックします。[Advanced settings] ページで、[Mandatory ISP domain of the port] を構成し、OK をクリックします。

    image

  4. ページの右上隅で image をクリックします。[802.1X] ページで、[Authentication method] の横にある構成アイコンをクリックし、ドロップダウンリストから [EAP] を選択して、OK をクリックします。

    image

ステップ 5:動的認可 (CoA) の有効化

CoA は、RADIUS ベースのプロトコルであり、動的な認可変更を可能にします。アクセスコントローラー (AC) が CoA-Request を受信すると、ユーザーセッションを更新し、確認応答 (CoA-ACK) または拒否 (CoA-NAK) を返します。

  1. コンソールケーブルを使用してアクセスコントローラー (AC) に接続します。

  2. 次のコマンドを実行して CoA を有効にします。

    [AC] radius dynamic-author server
    [ac-radius-da-server] client ip <radius_server_ip> key simple <shared_key>

    コマンド内の <radius_server_ip> を RADIUS サーバーの IP アドレスに、<shared_key> をデバイスの共有キーに置き換えます。

    説明

    [RADIUS Server IP Address][Shared Key] は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで確認できます。

ステップ 6:ネットワークアクセス権限ポリシーの構成

SASE でネットワークアクセスポリシーを構成して、有線ネットワーク上の従業員またはデバイスに対するきめ細かなアクセス制御を実施します。

  1. Secure Access Service Edge コンソールにログインします。

  2. 左側のナビゲーションペインで、Network Access Control > Office Network の順に選択します。

  3. Network Access Permissions タブで、Create Policy をクリックします。

  4. Create Policy パネルで、次のパラメーターを構成し、OK をクリックします。

    パラメーター

    説明

    [Policy Name]

    ポリシーの名前を入力します。

    [Effective Scope]

    Effective Scope で、Applicable User を選択します。

    ビジネスニーズに基づいて、Select をクリックして、範囲を All UsersSpecific User GroupSpecific Device、または Specific Device Tag に絞り込みます。

    VLAN ID

    スイッチで定義されている VLAN ID を指定します。値は 1 から 4094 までの整数である必要があります。

    ACL ID

    スイッチで定義されている ACL ID を指定します。この値の有効範囲は、ネットワークデバイスのブランドとモデルによって異なります。

    [Terminal Type]

    ポリシーを適用する端末タイプを選択します。

    [Network Permissions]

    [Wired Network] を選択します。

    [Priority]

    ポリシーの優先度を設定します。数値が小さいほど優先度が高くなります。

    [Policy Status]

    ポリシーを有効にします。

    [Advanced Settings]

    ポリシーを適用する Authentication ServerNetwork Device for Access Control を指定します。

ステップ 7:SASE App のインストールとログイン

インターネットに接続されたデバイスで、SASE App をインストールしてログインします。詳細については、「SASE App のインストールとログイン」をご参照ください。

ステップ 8:認証およびネットワークアクセス記録の表示

SASE コンソールで、ネットワークアクセス記録または従業員の認証ログを表示できます。

  • ユーザー認証ログの表示

    1. 左側メニューで、Log Analysis > Log Audit を選択します。

    2. Access Logs > User Authentication Logs タブで、ユーザーのネットワーク認証のステータスを表示します。

  • ネットワークアクセス履歴の表示

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側メニューで、Network Access Control > Office Network を選択します。

    3. Network Access History タブで、ユーザーのネットワークアクセスステータスを表示します。アクセスを Disable または Enable にすることもできます。

ユースケース 3:ゲストワイヤレスネットワークアクセス

SASE は、安全なゲストアクセスのために従業員用とビジター用の SSID を分離します。それぞれに異なる SSID とバックエンドポリシーを設定します。現在、SASE のビジター Wi-Fi に接続するビジターが利用できる認証方法は、SMS 認証を伴うポータルページ認証のみです。

手順1:ポータル認証の設定

  1. Secure Access Service Edge コンソールにログインします。

  2. ナビゲーションペインで、Network Access Control > Guest Network を選択します。

  3. ページの右上隅にある Authentication Configuration をクリックします。

  4. Authentication Configuration ページで、Authentication Portal SettingsCustom Settings on Authentication Page を設定します。

手順2:認証サーバー (RADIUS) の設定

RADIUS は一元化された AAA サービスを提供します。SASE はカスタム認証サーバー設定をサポートします。

  1. Secure Access Service Edge コンソールにログインします。

  2. ナビゲーションペインで、Network Access Control > Basic Configurations を選択します。

  3. Authentication Server タブで、Add Authentication Server をクリックします。

  4. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

    説明

    デフォルトの User Wi-Fi Authentication Interface は 1812、デフォルトの User Wi-Fi Billing Interface は 1813 です。

  5. Deployment and Installation タブで、RADIUS をデプロイするための Recommended Server SpecificationsServer Deployment Commands を確認します。

  6. Server Deployment Commands をコピーし、お使いのサーバーで実行して RADIUS をデプロイします。

  7. デプロイが完了したら、リストでデプロイステータスを確認します。

    image

手順3:Wi-Fi管理の設定

  1. Wi-Fi Management タブで、Create Network Instance をクリックします。

  2. Enterprise Wireless Network Configuration ダイアログボックスで、ゲストアクセス用に [Network SSID]Authentication Mode を設定し、OK をクリックします。

手順4:ローカルワイヤレスコントローラーの設定 (H3C の例)

RADIUS の設定

  1. H3C ワイヤレスコントローラーコンソールにログインします。

  2. ページの下部で [Network] を選択し、ナビゲーションペインで を選択します。

  3. [RADIUS] タブで、image をクリックして RADIUS スキームを追加します。

    image

  4. [Add RADIUS Scheme] ページで、RADIUS 情報を設定し、OK をクリックします。

    パラメーター

    説明

    [Scheme Name]

    RADIUS スキームの任意の名前。

    sase-r1

    [Authentication Server]

    認証サーバーを設定します。複数の認証サーバーがある場合は、バックアップサーバーとして追加できます。

    認証サーバーに関する情報については、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで Add Authentication Server の詳細を確認できます。

    image

    • [VRF]:[Default Public Network]

    • [Type]:[Default IP Address]

    • [IP address]:121.40.*.* (認証サーバーと同じ)

    • [Port]:1812

    • [Shared Key]:キーを入力します (認証サーバーの共有キーと同一)

    • [Status]:[Active]

    [Advanced Settings]

    [Show Advanced Settings] をクリックし、次の設定を使用します。他の設定はデフォルト値のままにします。

    • [Source IPv4 Address for Sending RADIUS Messages]:RADIUS サーバーで指定したアクセスデバイスの IPv4 アドレスを設定します。これは通常、AC の管理インターフェイスの IP アドレスです。

    • [Username Format Sent to RADIUS Server]:ドメイン名なし。

    image

    • [Source IPv4 Address for Sending RADIUS Messages]:121.40.*.*

    • [Username Format Sent to RADIUS Server]:[without domain name]

ISP ドメインの設定

  1. ナビゲーションペインで、 を選択します。[ISP Domain] タブで、image をクリックして ISP ドメイン設定を追加します。

  2. [Add ISP Domain] ページで、次の図に示すように ISP ドメインを設定し、OK をクリックします。

    image

ポータル認証サーバーの設定

  1. ナビゲーションペインで、 を選択します。

  2. [Portal] タブで、[Portal Authentication Server] をクリックします。

    image

  3. [Portal] ページで、image をクリックしてポータル認証サーバーを追加します。

  4. [Create Portal Authentication Server] ページで、次の設定を適用し、他の設定はデフォルトのままにして、OK をクリックします。

    パラメーター

    説明

    [Server Name]

    ポータル認証サーバーの名前。

    sase-newptv4

    [IP Address]

    RADIUS サーバーの IP アドレス。

    121.40.*.*

    [Server Reachability Detection]

    検出機能を有効にし、[Detection Duration][Action] を設定します。

    • [Detection Duration]:60 秒

    • [Action][Log] を選択

ポータル Web サーバーの設定

  1. ナビゲーションペインで、 を選択します。

  2. [Portal] タブで、[Local Portal Web Server] をクリックします。

  3. [Portal] ページで、image をクリックしてポータル Web サーバーを追加します。

  4. [Create Local Portal Web Server] ページで、次の設定を適用し、OK をクリックします。

    パラメーター

    説明

    [Server Name]

    サーバーの名前。

    sase-newptv4

    [URL]

    サーバーのアドレス。

    121.40.*.*

    [URL Parameters]

    1. [User's IP Address] を選択し、[URL Parameter Name] フィールドにパラメーター名を入力して [Add] をクリックします。

    2. [User's MAC Address] を選択し、[URL Parameter Name] フィールドにパラメーター名を入力して [Add] をクリックします。

    • [User's IP Address]: userip

    • [User's MAC Address]: usermac

ワイヤレスサービスの設定

  1. ナビゲーションペインで、 を選択します。

  2. [Wireless Network] タブで、image をクリックしてワイヤレスネットワークを追加します。

  3. [Add Wireless Service] ページで、[Wireless Service Name][SSID]、および [Default VLAN] を設定し、[Wireless Service] を有効にします。設定が完了したら、[OK and Go to Advanced Settings] をクリックします。

    image

    説明

    設定したネットワークインスタンスの SSID は、SASE コンソールの Network Access Control > Basic Configurations > Wi-Fi Management タブで確認できます。

  4. [Link Layer Authentication] タブで、[Authentication Mode][IPv4 Portal Authentication] に設定し、[Domain Name] に設定した ISP ドメイン名を選択し、[Web Server Name] を選択して、[BAS-IP] を設定します。他の設定はデフォルト値のままにして、OK をクリックします。

    image

  5. [Binding] タブで、バインドする AP をクリックし、OK をクリックします。

    image

追加設定

コンソールケーブルで AC に接続し、次のコマンドを実行します。

# ワイヤレスポータルローミング機能を有効にします。
[AC] portal roaming enable
# ワイヤレスポータルクライアントの ARP エントリ固定機能を無効にします。
[AC] undo portal refresh arp enable
# ワイヤレスポータルクライアントのホスト有効性チェックを有効にします。
[AC] portal host-check enable
# ポータル認証サーバーのタイプを CMCC に設定します。
[AC] portal server sase-newptv4
[AC-portal-server-newpt] server-type cmcc
[AC-portal-server-newpt] quit
# ポータル Web サーバーを設定します。
[AC] portal web-server sase-newptv4
[AC-portal-websvr-newpt] url http://121.40.*.*:8080/portal
# AP の SSID と VLAN をそれぞれ表す ssid と vlan パラメーターを含むようにリダイレクト URL を設定します。
[AC-portal-websvr-newpt] url-parameter ssid ssid
[AC-portal-websvr-newpt] url-parameter vlan vlan
[AC-portal-websvr-newpt]  url-parameter acip value  <AC's_actual_IP> 
# ポータル Web サーバーのタイプを CMCC に設定します。
[AC-portal-websvr-newpt] server-type cmcc
# iOS のキャプティブバイパス適応を設定します。
[AC-portal-websvr-newpt] captive-bypass ios optimize enable
[AC-portal-websvr-newpt] quit
# RADIUS セッション制御機能を有効にします。
[AC] radius session-control enable
# RADIUS CoA 機能を設定します。
[AC] radius dynamic-author server
[AC-radius-da-server] client ip <RADIUS_server_IP> key simple <SharedSecret> 
説明

[RADIUS Server IP Address][Shared Key] は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで確認できます。

手順5:ゲストのログイン

デバイスでゲスト Wi-Fi に接続すると、自動的にポータル認証ページにリダイレクトされます。電話番号を入力し、SMS 認証コード を取得して入力してから [Login] をクリックします。認証に合格した後にのみ、社内のエンタープライズアプリケーションにアクセスできます。

手順6:ゲストログの表示

  1. Secure Access Service Edge コンソールにログインします。

  2. ナビゲーションペインで、Log Analysis > Log Audit を選択します。

  3. Access Logs > Guest Authentication Logs タブで、ゲストネットワークの認証ステータスを確認します。

ユースケース 4:ダム端末のネットワークアクセス

SASE コンソールでダム端末を追加し、ローカルスイッチでネットワークアクセスを構成します。

ステップ 1:ダム端末の追加

  1. Secure Access Service Edge (SASE) コンソールにログインします。

  2. 左側メニューで、Endpoint Management > Terminals の順に選択します。

  3. 左側のリストで [ダム端末] を選択します。次に、Add Terminal または Import Devices を選択します。

    image

    • [Add Terminal]: Add Terminal パネルで、MAC AddressMAC Address MaskDevice VendorDevice Name、および Device Type を入力し、OK をクリックします。

    • [Import Devices]: Import Devices ダイアログボックスで Download Import Template をクリックします。デバイス情報を入力した後、Upload Local File をクリックし、OK をクリックします。

ステップ 2:ネットワークアクセスの構成

ダム端末のネットワークアクセス構成は、有線ネットワークと無線ネットワークのどちらで接続するかによって異なります。

説明

ダム端末では、証明書管理や SASE クライアントのインストールは不要です。これらのステップはスキップできます。

ステップ 3:ダム端末認証ログの表示

  1. 左側メニューで、Log Analysis > Log Audit の順に選択します。

  2. Access Logs > Dumb Terminal Authentication Logs タブで、ダム端末のネットワーク認証ステータスを確認します。