すべてのプロダクト
Search

このプロダクト

    Secure Access Service Edge:ネットワークアクセスのベストプラクティス

    ドキュメントセンター

    Secure Access Service Edge:ネットワークアクセスのベストプラクティス

    最終更新日:Dec 16, 2025

    デジタルオフィス環境において、ネットワークアドミッションコントロールはエンタープライズネットワークセキュリティの重要な要素です。企業はネットワークのセキュリティと利便性に対する要求が高まっています。セキュアアクセスサービスエッジ (SASE) は、RADIUS (リモート認証ダイヤルイン ユーザー サービス) コンポーネントを統合して 802.1X プロトコルとポータルアクセス方式をサポートし、安全で柔軟かつ効率的なネットワークアドミッションコントロールを提供し、デバイスとユーザーのコンプライアンスに準拠したアクセスを確保し、全体的な管理効率とユーザーエクスペリエンスを向上させます。

    シナリオ 1: 従業員のワイヤレスネットワークアクセス

    SASE は 802.1X 認証を通じてネットワークアクセスのセキュリティを確保し、ワンクリックのネットワークアクセスで従業員の効率を向上させます。従業員は、SASE クライアントを通じて、あらゆるオフィスネットワークのカバレッジエリアで、迅速かつ安全にエンタープライズネットワークにアクセスできます。SASE コンソールとローカルのワイヤレスコントローラーデバイスの両方で関連する設定を完了する必要があります。

    説明

    このドキュメントで言及されているワイヤレスコントローラーとスイッチは、H3C デバイスを例として使用しています。

    ステップ 1: 認証サーバー (RADIUS) の設定

    RADIUS は、一元化された認証、権限付与、およびアカウンティング (AAA) サービスを提供するために使用されるネットワークプロトコルです。SASE は、Cloud Authentication Server を提供すると同時に、独自の認証サーバーの柔軟な設定もサポートします。

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Basic Configurationsを選択します。

    3. Authentication Server タブで、Cloud Authentication Serverの情報を表示するか、Add Authentication Serverします。

      • クラウド認証サーバーの表示

        1. ページの右上隅にある Cloud Authentication Server をクリックします。

          image

        2. Cloud Authentication Server パネルで、SASE が提供するクラウド認証サーバーに関する情報を表示します。

      • 認証サーバーの追加

        1. Add Authentication Server をクリックします。

        2. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

          説明

          User Wi-Fi Authentication Interface はデフォルトで 1812、User Wi-Fi Billing Interface はデフォルトで 1813 です。

        3. Deployment and Installation タブで、RADIUS のデプロイに必要な Recommended Server SpecificationsServer Deployment Commands を表示します。

        4. Server Deployment Commands をコピーし、独自のサーバーに RADIUS をデプロイします。

        5. デプロイが完了したら、リストでデプロイステータスを表示します。

          image

    ステップ 2: ネットワークデバイス情報の設定

    ワイヤレスコントローラーは、ワイヤレスアクセスポイント (AP) を一元的に管理および制御するために使用されるネットワークデバイスであり、ワイヤレスネットワークを統一的に設定、監視、および最適化する機能を備えています。ワイヤレスコントローラーに関連する情報を設定する必要があります。

    1. Network Device タブで、Add Network Device をクリックします。

    2. Add Network Device ダイアログボックスで、次の情報を設定し、OK をクリックします。

      パラメーター

      説明

      Device Name

      デバイスの名前を入力します。

      Device Brand

      ワイヤレスコントローラーのブランドを選択します。

      Device Type

      ワイヤレスコントローラーを選択します。

      IP Address

      ワイヤレスコントローラーの IP または IP 範囲を設定します。

      MAC Address

      ワイヤレスコントローラーの MAC アドレスを設定します。

      CoA Port

      ワイヤレスコントローラーの CoA ポートを設定します。

    ステップ 3: Wi-Fi 管理の設定

    1. Wi-Fi Management タブで、Create Network Instance をクリックします。

    2. Enterprise Wireless Network Configuration ダイアログボックスで、従業員のネットワークアクセス用の [ネットワーク SSID]Authentication Mode (現在 EAP-TLS のみがサポートされています) を設定し、OK をクリックします。

    ステップ 4: 証明書管理の設定

    SASE を介してエンタープライズオフィスネットワークにアクセスした後、システムは自動的に SASE の CA 証明書とネットワークアクセス証明書を SASE アプリに発行します。証明書がインストールされているデバイスのみが、エンタープライズワイヤレスネットワークを介してエンタープライズ内部アプリケーションを使用およびアクセスできます。自動的に発行された証明書がビジネスシナリオに適していない場合は、証明書のインストール範囲、有効期間を変更したり、証明書の組織名をカスタマイズしたりできます。

    1. Certificate Management をクリックします。

    2. Certificate Management タブで、Network Access Certificate ConfigurationCA Certificate Configuration、および Global Settings を設定します。

    ステップ 5: ローカルワイヤレスコントローラーの設定 (H3C を例として)

    ローカルコンソールで RADIUS スキーム、ISP ドメイン、およびワイヤレス 802.1X 認証を設定する必要があります。

    RADIUS の設定

    1. H3C ワイヤレスコントローラーデバイスコンソールにログインします。

    2. ページの下部で [ネットワーク] を選択し、左側のナビゲーションウィンドウで [ネットワークセキュリティ] > [認証] を選択します。

    3. [RADIUS] タブで、image をクリックして新しい RADIUS スキームを追加します。

      image

    4. [RADIUS スキームの追加] ページで、RADIUS 情報を設定し、OK をクリックします。

      パラメーター

      説明

      スキーム名

      RADIUS スキーム名をカスタマイズします。

      sase-r1

      認証サーバー

      認証サーバー情報を設定します。複数の認証サーバーがある場合は、バックアップサーバーに追加できます。

      認証サーバーに関する情報については、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで Cloud Authentication Server の情報または Add Authentication Server の情報を表示できます。

      image

      • VRF: デフォルトのパブリックネットワーク

      • タイプ: デフォルトの IP アドレス

      • IP アドレス: 121.40.*.*

      • ポート: 1812

      • 共有キー: キーを入力します

      • ステータス: アクティブ

      アカウンティングサーバー

      • 認証サーバー情報を設定します。複数のアカウンティングサーバーがある場合は、バックアップサーバーに追加できます。

      • アカウンティングサーバーの IP アドレスと共有キーは認証サーバーと同じで、ポートは 1813 です。

      • VRF: デフォルトのパブリックネットワーク

      • タイプ: デフォルトの IP アドレス

      • IP アドレス: 121.40.*.* (認証サーバーと同じ)

      • ポート: 1813

      • 共有キー: キーを入力します (認証サーバーと同じ)

      • ステータス: アクティブ

      詳細設定

      [詳細設定の表示] をクリックし、パラメーターでリアルタイムアカウンティング間隔を 60 秒に設定します。

      image

      60

    ISP ドメインの設定

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [認証] を選択します。[ISP ドメイン] タブで、image をクリックして新しい ISP ドメイン設定を追加します。

    2. [ISP ドメインの追加] ページで、次の図に示すように ISP ドメインを設定し、OK をクリックします。

      image

    ワイヤレスネットワークの設定 (802.1X 認証)

    1. 左側のナビゲーションウィンドウで、[ワイヤレス設定] > [ワイヤレスネットワーク] を選択します。

    2. [ワイヤレスネットワーク] タブで、image をクリックして新しいワイヤレスネットワークを追加します。

    3. [ワイヤレスサービスの追加] ページで、[ワイヤレスサービス名][SSID][デフォルト VLAN] を設定し、[ワイヤレスサービス] を有効にします。設定が完了したら、[適用して詳細設定を構成] をクリックします。

      image

      説明

      SSID 関連の情報については、SASE コンソールの Network Access Control > Basic Configurations > Wi-Fi Management タブで設定したネットワークインスタンスの SSID を取得できます。

    4. [リンク層認証] タブで、[認証モード][802.1X] として選択し、[ドメイン名] を設定した ISP ドメインとして選択します。他の設定はデフォルトのままにします。次に、OK をクリックします。

      image

    5. [バインディング] タブで、バインドする必要がある AP をクリックし、OK をクリックします。

      image

    6. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [アクセス制御] を選択します。

    7. ページの右上隅にある image をクリックします。802.1X ページで、[認証方式] の右側にあるパラメーターをクリックし、ドロップダウンリストから [EAP] を選択して、OK をクリックします。

      image

    ステップ 6: 動的認可 (CoA) の有効化

    CoA は通常、RADIUS プロトコルに基づいて実装され、RADIUS CoA-Request メッセージを送信して権限付与の変更をトリガーします。ワイヤレスコントローラーがこのようなリクエストを受信すると、リクエストの内容に従ってユーザーのセッションパラメーターを更新し、CoA-ACK (承認) または CoA-NAK (拒否) メッセージを RADIUS サーバーに返します。

    1. コンソール回線を使用してワイヤレスコントローラー (AC) に接続します。

    2. 次のコマンドを使用して CoA を有効にします。

      [AC] radius dynamic-author server
[ac-radius-da-server] client ip <Radius Server IP> key simple <Sharesecret>

      ここで、{Radius_ip} は Radius サーバーの IP アドレスとして設定する必要があり、{secret} は対応するデバイスの共有キーとして設定する必要があります。

      説明

      Radius サーバーの IP アドレスSharedSecret (共有キー) は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで表示できます。

    ステップ 7: ネットワークアクセス権限ポリシーの設定

    SASE を介してエンタープライズオフィスネットワークにアクセスする際に、ネットワークアクセス権限ポリシーを設定することで、従業員やデバイスのネットワークアクセス権限を詳細に隔離および制御し、ネットワークセキュリティと管理効率を向上させることができます。

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Office Networkを選択します。

    3. Network Access Permissions タブで、Create Policy をクリックします。

    4. Create Policy パネルで、次の設定を行い、OK をクリックします。

      パラメーター

      説明

      Policy Name

      ポリシー名を設定します。

      Effective Scope

      Effective Scope には、Applicable User を選択します。

      実際のビジネスニーズに基づき、Select をクリックし、All UsersSpecific User GroupSpecific Device、または Specific Device Tag に従って有効範囲を絞り込みます。

      VLAN ID

      ワイヤレスコントローラーで分割された VLAN ID を設定します。サポートされる入力範囲: 1~4094。

      ACL ID

      ワイヤレスコントローラーで分割された ACL ID を設定します。値の範囲は、使用するネットワークデバイスのブランドとモデルに基づいて決定する必要があります。

      Terminal Type

      有効な端末タイプを選択します。

      Network Permissions

      ワイヤレスネットワークを選択します。

      Wi-Fi Network Scope

      All Wi-Fi Networks を選択するか、実際の状況に基づいて Specific Wi-Fi Networks を選択します。

      Priority

      ポリシーの有効優先度を設定します。数値が小さいほど優先度が高くなります。

      Policy Status

      ポリシーステータスを有効にします。

      Advanced Settings

      ポリシーを有効にするための Authentication ServerNetwork Device for Access Control を設定します。

    ステップ 8: SASE クライアントのインストールとログイン

    インターネットに接続された端末デバイスに SASE アプリをインストールしてログインする必要があります。クライアントにログインした後の具体的な操作については、「SASE アプリのインストールとログイン」をご参照ください。

    ステップ 9: 認証とネットワークアクセスレコードの表示

    上記の手順を完了した後、SASE コンソールでネットワークアクセスレコードまたは従業員の認証ログを表示できます。

    • 従業員の認証ログの表示

      1. 左側のナビゲーションウィンドウで、Log Analysis > Log Auditを選択します。

      2. Access Logs > User Authentication Logs タブで、従業員のネットワーク認証ステータスを表示します。

    • ネットワークアクセスレコードの表示

      1. Secure Access Service Edge コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、Network Access Control > Office Networkを選択します。

      3. Network Access History タブで、従業員のネットワークアクセスステータスを表示し、Disable および Enable 操作を実行できます。

    シナリオ 2: 従業員の有線ネットワークアクセス

    このシナリオでは、802.1X 認証を使用した有線ネットワークアクセスの設定について説明します。SASE 管理コンソールとローカルスイッチの両方を設定する必要があります。

    ステップ 1: 認証サーバー (RADIUS) の設定

    RADIUS は、一元化された認証、権限付与、およびアカウンティング (AAA) サービスを提供するために使用されるネットワークプロトコルです。SASE は、Cloud Authentication Server を提供すると同時に、独自の認証サーバーの柔軟な設定もサポートします。

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Basic Configurationsを選択します。

    3. Authentication Server タブで、Cloud Authentication Serverの情報を表示するか、Add Authentication Serverします。

      • クラウド認証サーバーの表示

        1. ページの右上隅にある Cloud Authentication Server をクリックします。

          image

        2. Cloud Authentication Server パネルで、SASE が提供するクラウド認証サーバーに関する情報を表示します。

      • 認証サーバーの追加

        1. Add Authentication Server をクリックします。

        2. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

          説明

          User Wi-Fi Authentication Interface はデフォルトで 1812、User Wi-Fi Billing Interface はデフォルトで 1813 です。

        3. Deployment and Installation タブで、RADIUS のデプロイに必要な Recommended Server SpecificationsServer Deployment Commands を表示します。

        4. Server Deployment Commands をコピーし、独自のサーバーに RADIUS をデプロイします。

        5. デプロイが完了したら、リストでデプロイステータスを表示します。

          image

    ステップ 2: ネットワークデバイス情報の設定

    スイッチは、コンピューター、サーバー、プリンター、ルーターなどのさまざまな種類のネットワークデバイスを接続するために使用され、これらのデバイス間の通信とデータ交換を可能にします。ローカルスイッチに関連する情報を設定する必要があります。

    1. Network Device タブで、Add Network Device をクリックします。

    2. Add Network Device ダイアログボックスで、次の情報を設定し、OK をクリックします。

      パラメーター

      説明

      Device Name

      デバイス名を設定します。

      Device Brand

      vSwitch のブランドを選択します。

      Device Type

      有線 vSwitch を選択します。

      IP Address

      vSwitch の IP アドレスまたは IP セグメントを設定します。

      MAC Address

      vSwitch の MAC アドレスを設定します。

      CoA Port

      vSwitch の coa ポートを設定します。

    ステップ 3: 証明書管理の設定

    SASE を介してエンタープライズオフィスネットワークにアクセスした後、システムは自動的に SASE の CA 証明書とネットワークアクセス証明書を SASE アプリに発行します。証明書がインストールされているデバイスのみが、エンタープライズ有線ネットワークを介してエンタープライズ内部アプリケーションを使用およびアクセスできます。自動的に発行された証明書がビジネスシナリオに適していない場合は、証明書のインストール範囲、有効期間を変更したり、証明書の組織名をカスタマイズしたりできます。

    1. Certificate Management をクリックします。

    2. Certificate Management タブで、Network Access Certificate ConfigurationCA Certificate Configuration、および Global Settings を設定します。

    ステップ 4: ローカルスイッチの設定 (H3C を例として)

    ローカルコンソールで RADIUS スキーム、ISP ドメイン、および有線 802.1X 認証を設定する必要があります。

    RADIUS の設定

    1. H3C ワイヤレスコントローラーデバイスコンソールにログインします。

    2. ページの下部で [ネットワーク] を選択し、左側のナビゲーションウィンドウで [ネットワークセキュリティ] > [認証] を選択します。

    3. [RADIUS] タブで、image をクリックして新しい RADIUS スキームを追加します。

      image

    4. [RADIUS スキームの追加] ページで、RADIUS 情報を設定し、OK をクリックします。

      パラメーター

      説明

      スキーム名

      RADIUS スキーム名をカスタマイズします。

      sase-r1

      認証サーバー

      認証サーバー情報を設定します。複数の認証サーバーがある場合は、バックアップサーバーに追加できます。

      認証サーバーに関する情報については、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで Cloud Authentication Server の情報または Add Authentication Server の情報を表示できます。

      image

      • VRF: デフォルトのパブリックネットワーク

      • タイプ: デフォルトの IP アドレス

      • IP アドレス: 121.40.*.*

      • ポート: 1812

      • 共有キー: キーを入力します

      • ステータス: アクティブ

      アカウンティングサーバー

      • 認証サーバー情報を設定します。複数のアカウンティングサーバーがある場合は、バックアップサーバーに追加できます。

      • アカウンティングサーバーの IP アドレスと共有キーは認証サーバーと同じで、ポートは 1813 です。

      • VRF: デフォルトのパブリックネットワーク

      • タイプ: デフォルトの IP アドレス

      • IP アドレス: 121.40.*.* (認証サーバーと同じ)

      • ポート: 1813

      • 共有キー: キーを入力します (認証サーバーと同じ)

      • ステータス: アクティブ

      詳細設定

      [詳細設定の表示] をクリックし、リアルタイムアカウンティング間隔を 60 秒に設定します。

      image

      60

    ISP ドメインの設定

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [認証] を選択します。[ISP ドメイン] タブで、image をクリックして新しい ISP ドメイン設定を追加します。

    2. [ISP ドメインの追加] ページで、次の図に示すように ISP ドメインを設定し、OK をクリックします。

      image

    スイッチポートの設定 (802.1X 認証)

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [アクセス制御] を選択します。

    2. [802.1X] ページで、[GE1/0/3] (ポートベース認証) を選択します。次に、OK をクリックします。

      image

    3. [詳細設定] をクリックします。[詳細設定] ページで、[ポートの必須 ISP ドメイン] を設定し、OK をクリックします。

      image

    4. ページの右上隅にある image をクリックします。802.1X ページで、[認証方式] の右側にあるパラメーターをクリックし、ドロップダウンリストから [EAP] を選択して、OK をクリックします。

      image

    ステップ 5: 動的認可 (CoA) の有効化

    CoA は通常、RADIUS プロトコルに基づいて実装され、RADIUS CoA-Request メッセージを送信して権限付与の変更をトリガーします。ワイヤレスコントローラーがこのようなリクエストを受信すると、リクエストの内容に従ってユーザーのセッションパラメーターを更新し、CoA-ACK (承認) または CoA-NAK (拒否) メッセージを RADIUS サーバーに返します。

    1. コンソール回線を使用してワイヤレスコントローラー (AC) に接続します。

    2. 次のコマンドを使用して CoA を有効にします。

      [AC] radius dynamic-author server
[ac-radius-da-server] client ip <Radius Server IP> key simple <Sharesecret>

      ここで、{Radius_ip} は Radius サーバーの IP アドレスとして設定する必要があり、{secret} は対応するデバイスの共有キーとして設定する必要があります。

      説明

      Radius サーバーの IP アドレスSharedSecret (共有キー) は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで表示できます。

    ステップ 6: ネットワークアクセス権限ポリシーの設定

    SASE を介してエンタープライズオフィスネットワークにアクセスする際に、ネットワークアクセス権限ポリシーを設定することで、従業員やデバイスのネットワークアクセス権限を詳細に隔離および制御し、ネットワークセキュリティと管理効率を向上させることができます。

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Office Networkを選択します。

    3. Network Access Permissions タブで、Create Policy をクリックします。

    4. Create Policy パネルで、次の設定を行い、OK をクリックします。

      パラメーター

      説明

      Policy Name

      ポリシー名を設定します。

      Effective Scope

      Effective Scope には、Applicable User を選択します。

      実際のビジネスニーズに基づき、Select をクリックし、All UsersSpecific User GroupSpecific Device、または Specific Device Tag に従って有効範囲を絞り込みます。

      VLAN ID

      スイッチで分割された VLAN ID を設定します。サポートされる入力範囲: 1~4094。

      ACL ID

      スイッチで分割された ACL ID を設定します。値の範囲は、使用するネットワークデバイスのブランドとモデルに基づいて決定する必要があります。

      Terminal Type

      有効な端末タイプを選択します。

      Network Permissions

      有線ネットワークを選択します。

      Priority

      ポリシーの有効優先度を設定します。数値が小さいほど優先度が高くなります。

      Policy Status

      ポリシーステータスを有効にします。

      Advanced Settings

      ポリシーを有効にするための Authentication ServerNetwork Device for Access Control を設定します。

    ステップ 7: SASE クライアントのインストールとログイン

    インターネットに接続された端末デバイスに SASE アプリをインストールしてログインする必要があります。クライアントにログインした後の具体的な操作については、「SASE アプリのインストールとログイン」をご参照ください。

    ステップ 8: 認証とネットワークアクセスレコードの表示

    上記の手順を完了した後、SASE コンソールでネットワークアクセスレコードまたは従業員の認証ログを表示できます。

    • 従業員の認証ログの表示

      1. 左側のナビゲーションウィンドウで、Log Analysis > Log Auditを選択します。

      2. Access Logs > User Authentication Logs タブで、従業員のネットワーク認証ステータスを表示します。

    • ネットワークアクセスレコードの表示

      1. Secure Access Service Edge コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、Network Access Control > Office Networkを選択します。

      3. Network Access History タブで、従業員のネットワークアクセスステータスを表示し、Disable および Enable 操作を実行できます。

    シナリオ 3: ビジターのワイヤレスネットワークアクセス

    SASE は、従業員とビジターの SSID を区別することでネットワークセキュリティを確保し、ビジターのインターネット体験を最適化する、安全で便利なビジターネットワークアクセスソリューションを企業に提供します。従業員とビジターのネットワークアクセスを同時に設定することをサポートしており、異なる SSID 設定とバックエンド統合戦略のみが必要です。現在、SASE ビジター Wi-Fi へのビジターアクセスは、ポータルページのショートメッセージ確認コード認証のみをサポートしています。

    ステップ 1: ポータル認証設定

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Guest Networkを選択します。

    3. ページの右上隅にある Authentication Configuration をクリックします。

    4. Authentication Configuration ページで、Authentication Portal SettingsCustom Settings on Authentication Page を設定します。

    ステップ 2: 認証サーバー (RADIUS) の設定

    RADIUS (リモート認証ダイヤルイン ユーザー サービス) は、一元化された認証、権限付与、およびアカウンティング (AAA) サービスを提供するために使用されるネットワークプロトコルです。SASE は、独自の認証サーバーの柔軟な設定をサポートしています。

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Network Access Control > Basic Configurationsを選択します。

    3. Authentication Server タブで、Add Authentication Server をクリックします。

    4. Add Authentication Server パネルで、Authentication Server Name とサーバーの IP Address を設定し、Save をクリックします。

      説明

      User Wi-Fi Authentication Interface はデフォルトで 1812、User Wi-Fi Billing Interface はデフォルトで 1813 です。

    5. Deployment and Installation タブで、Recommended Server SpecificationsServer Deployment Commands を表示します。

    6. Server Deployment Commands をコピーし、独自のサーバーに RADIUS をデプロイします。

    7. デプロイが完了したら、リストでデプロイステータスを表示します。

      image

    ステップ 3: Wi-Fi 管理の設定

    1. Wi-Fi Management タブで、Create Network Instance をクリックします。

    2. Enterprise Wireless Network Configuration ダイアログボックスで、ゲストアクセス用の [ネットワーク SSID]Authentication Mode (EAP-TLS のみがサポートされています) を設定し、OK をクリックします。

    ステップ 4: ローカルワイヤレスコントローラーの設定 (H3C を例として)

    RADIUS の設定

    1. H3C ワイヤレスコントローラーデバイスコンソールにログインします。

    2. ページの下部で [ネットワーク] を選択し、左側のナビゲーションウィンドウで [ネットワークセキュリティ] > [認証] を選択します。

    3. [RADIUS] タブで、image をクリックして新しい RADIUS スキームを追加します。

      image

    4. [RADIUS スキームの追加] ページで、RADIUS 情報を設定し、OK をクリックします。

      パラメーター

      説明

      スキーム名

      RADIUS スキーム名をカスタマイズします。

      sase-r1

      認証サーバー

      認証サーバー情報を設定します。複数の認証サーバーがある場合は、バックアップサーバーに追加できます。

      認証サーバーに関する情報については、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで Add Authentication Server の情報を表示できます。

      image

      • VRF: デフォルトのパブリックネットワーク

      • タイプ: デフォルトの IP アドレス

      • IP アドレス: 121.40.*.* (認証サーバーと同じ)

      • ポート: 2000

      • 共有キー: キーを入力します (認証サーバーと同じ)

      • ステータス: アクティブ

      詳細設定

      [詳細設定の表示] をクリックし、次の設定を参照し、他の設定はデフォルトのままにします。

      • RADIUS メッセージ送信元の IPv4 アドレス: RADIUS サーバーで指定されたアクセスデバイスの IPv4 アドレスを設定します (通常は AC の管理インターフェイス IP)。

      • RADIUS サーバーに送信されるユーザー名形式: ドメイン名なし。

      image

      • RADIUS メッセージ送信元の IPv4 アドレス: 121.40.*.*

      • RADIUS サーバーに送信されるユーザー名形式: ドメイン名なし。

    ISP ドメインの設定

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [認証] を選択します。[ISP ドメイン] タブで、image をクリックして新しい ISP ドメイン設定を追加します。

    2. [ISP ドメインの追加] ページで、次の図に示すように ISP ドメインを設定し、OK をクリックします。

      image

    ポータル認証サーバーの設定

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [プロビジョニング] を選択します。

    2. [ポータル] タブで、[ポータル認証サーバー] をクリックします。

      image

    3. [ポータル] ページで、image をクリックして新しいポータル認証サーバーを追加します。

    4. [ポータル認証サーバーの作成] ページで、次の設定を参照し、他の設定はデフォルトのままにして、OK をクリックします。

      パラメーター

      説明

      サーバー名

      ポータル認証サーバー名を設定します。

      sase-newptv4

      IP アドレス

      RADIUS サーバーの IP アドレスを設定します。

      121.40.*.*

      サーバー到達可能性検出

      検出機能を有効にし、[検出期間][アクション] を設定します。

      • 検出期間: 60 秒

      • アクション: [ログ] を選択

    ポータル Web サーバーの設定

    1. 左側のナビゲーションウィンドウで、[ネットワークセキュリティ] > [プロビジョニング] を選択します。

    2. [ポータル] タブで、[ローカルポータル Web サーバー] をクリックします。

    3. [ポータル] ページで、image をクリックして新しいポータル Web サーバーを追加します。

    4. [ローカルポータル Web サーバーの作成] ページで、次の設定を参照し、OK をクリックします。

      パラメーター

      説明

      サーバー名

      サーバー名を設定します。

      sase-newptv4

      URL

      サーバーアドレスを設定します。

      121.40.*.*

      URL パラメーター

      1. ユーザーの IP アドレスを選択し、[URL パラメーター名] にパラメーター名を設定して、[追加] をクリックします。

      2. [ユーザーの MAC アドレス] を選択し、[URL パラメーター名] でパラメーター名を設定し、[追加] をクリックします。

      • ユーザーの IP アドレス: userip

      • ユーザーの MAC アドレス: usermac

    ワイヤレスサービスの設定

    1. 左側のナビゲーションウィンドウで、[ワイヤレス設定] > [ワイヤレスネットワーク] を選択します。

    2. [ワイヤレスネットワーク] タブで、image をクリックして新しいワイヤレスネットワークを追加します。

    3. [ワイヤレスサービスの追加] ページで、[ワイヤレスサービス名][SSID][デフォルト VLAN] を設定し、[ワイヤレスサービス] を有効にします。設定が完了したら、[適用して詳細設定を構成] をクリックします。

      image

      説明

      SSID 関連の情報については、SASE コンソールの Network Access Control > Basic Configurations > Wi-Fi Management タブで設定したネットワークインスタンスの SSID を取得できます。

    4. [リンク層認証] タブで、[認証モード][IPv4 ポータル認証] として選択し、[ドメイン名] を設定した ISP ドメイン名として選択し、[Web サーバー名] を選択し、[BAS-IP] を設定し、他の設定はデフォルトのままにします。次に、OK をクリックします。

      image

    5. [バインディング] タブで、バインドする必要がある AP をクリックし、OK をクリックします。

      image

    追加設定

    コンソール回線を使用して AC に接続して設定します。

    # ワイヤレスポータルローミング機能を有効にします。
[AC] portal roaming enable
# ワイヤレスポータルクライアントの ARP エントリ固定機能を無効にします。
[AC] undo portal refresh arp enable
# ワイヤレスポータルクライアントの正当性チェック機能を有効にします。
[AC] portal host-check enable
# ポータル認証サーバーのタイプを CMCC として設定します
[AC] portal server sase-newptv4
[AC-portal-server-newpt] server-type cmcc
[AC-portal-server-newpt] quit
# ポータル Web サーバーを設定します
[AC] portal web-server sase-newptv4
[AC-portal-websvr-newpt] url http://192.168.XX.XX:8080/portal
# ユーザーのポータル Web サーバーにリダイレクトされる URL に ssid と wlan パラメーターを含めるようにデバイスを設定します。値はそれぞれ AP の SSID と vlan です
[AC-portal-websvr-newpt] url-parameter ssid ssid
[AC-portal-websvr-newpt] url-parameter vlan vlan
[AC-portal-websvr-newpt]  url-parameter acip value  <AC's originating IP> 
# ポータル Web サーバーのタイプを CMCC として設定します。
[AC-portal-websvr-newpt] server-type cmcc
# ios captive-bypass 適応を設定します
[AC-portal-websvr-newpt] captive-bypass ios optimize enable
[AC-portal-websvr-newpt] quit
# RADIUS セッション制御機能を有効にします。
[AC] radius session-control enable
# Radius CoA 機能を設定します
[AC] radius dynamic-author server
[AC-radius-da-server] client ip <Radius Server IP> key simple <SharedSecret>
    説明

    Radius サーバーの IP アドレスSharedSecret (共有キー) は、SASE コンソールの Network Access Control > Basic Configurations > Authentication Server タブで表示できます。

    ステップ 5: ビジターのログイン

    端末デバイスでビジター Wi-Fi に接続すると、自動的にポータル認証ページにリダイレクトされます。電話番号を入力し、ショートメッセージから確認コードを取得して入力し、ログインする必要があります。認証が成功した後にのみ、エンタープライズ内部アプリケーションにアクセスできます。

    ステップ 6: ビジターログの表示

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Log Analysis > Log Auditを選択します。

    3. Access Logs > Guest Authentication Logs タブで、ビジターのネットワーク認証ステータスを表示します。

    シナリオ 4: ダム端末のネットワークアクセス

    ダム端末は、有線またはワイヤレスネットワークを介してエンタープライズオフィス環境にアクセスできます。まず SASE コンソールでダム端末を追加し、次にローカルスイッチでネットワークアクセスを設定する必要があります。

    ステップ 1: ダム端末の追加

    1. Secure Access Service Edge コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、Terminal Management > Terminalsを選択します。

    3. 左側のリストで、[ダム端末] を選択します。ビジネスニーズに応じて、Add Terminal または Import Devices を選択できます。

      image

      • Add Terminal: Add Terminal パネルで、端末の MAC AddressMAC Address MaskDevice VendorDevice NameDevice Type、およびその他の情報を入力し、OK をクリックします。

      • Import Devices: Import Devices ダイアログボックスで、[インポートテンプレートのダウンロード] をクリックし、デバイス情報を入力し、Upload Local File をクリックし、アップロードが完了したら OK をクリックします。

    ステップ 2: アクセス設定

    ダム端末デバイスの種類に応じて、ワイヤレスネットワークと有線ネットワークをサポートするダム端末デバイスのネットワークアクセス設定方法は異なります。

    説明

    ダム端末デバイスは証明書管理と SASE クライアントのインストールを必要としないため、これらのステップはスキップできます。

    ステップ 3: ダム端末の認証ログの表示

    1. 左側のナビゲーションウィンドウで、Log Analysis > Log Auditを選択します。

    2. Access Logs > Dumb Terminal Authentication Logs タブで、ダム端末デバイスのネットワーク認証ステータスを表示します。