スイッチ : Cisco Catalyst 6500 シリーズ スイッチ

Cisco IOS ソフトウェアが稼動する Catalyst 6500/6000 での IEEE 802.1x 認証の設定

2005 年 3 月 24 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 3 月 27 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定手順
      Catalyst の 802.1x 用設定
      RADIUS サーバでの Catalyst の AAA クライアントの設定
      RADIUS サーバでのユーザおよびユーザ アトリビュートの設定
      802.1x 認証を使用するための PC クライアントの設定
      802.1x の動作確認
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、Cisco IOS(R) システム ソフトウェアが稼動する Catalyst 6500/6000 での IEEE 802.1x の設定例と、認証と VLAN 割り当てを行う RADIUS サーバでの設定例を紹介します。

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco IOS ソフトウェア リリース 12.1(13)E5 が稼動する Catalyst 6500/6000

    注:802.1x のポートベースの認証をサポートするには、Cisco IOS ソフトウェア リリース 12.1(13)E 以降が必要です。

  • RADIUS サーバ

    注:この例では、Cisco Secure Access Control Server(ACS)3.1 を使用します。

  • 802.1x 認証をサポートする PC クライアント

    注:この例では、Windows XP クライアントを使用します。

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書で使用するすべてのデバイスは、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定手順

設定には次の手順が必要です。

  1. Catalyst を 802.1x 用に設定する。

  2. RADIUS サーバで Catalyst の、AAA(認証、認可、アカウンティング)クライアントを設定する。

  3. RADIUS サーバでユーザおよびユーザ アトリビュートを設定する。

  4. 802.1x 認証を使用するように PC クライアントを設定する。

  5. 802.1x の動作を確認する。

Catalyst の 802.1x 用設定

この設定例では、ポート g2/16 で 802.1x 認証を有効にします。RADIUS サーバはインターフェイス g2/1 の背後にある VLAN 1 に接続します。

注:RADIUS サーバは常に認証済みポートの背後に接続してください。


 aaa new-model
 
 !--- AAA を有効にします。
 
 aaa authentication login default none
 
 !--- 802.1x にだけ AAA を使用します。これはオプションです。
 
 aaa authentication dot1x default group radius
 aaa authorization network default group radius
 
 !--- RADIUS と連携するダイナミック VLAN 割り当てのために認証を必要としています。
 
 radius-server host 10.48.66.102
 
 !--- RADIUS サーバの IP アドレスを設定します。
 
 radius-server key partak
 
 !--- これは RADIUS サーバのキーです。
 
 dot1x system-auth-control
 
 !--- 802.1x を有効にします。
 
 interface Vlan1
 
 !--- これは RADIUS サーバにアクセスするための L3 インターフェイスです。
 
  ip address 10.48.72.177 255.255.254.0
 interface gi2/1
 
 !--- RADIUS サーバはこの L2 ポートの背後にあります。
 
  switchport
  switchport mode access
  switchport access vlan 1
 interface gi2/16
 
 !--- このインターフェイスで 802.1x を有効にします。
 
  switchport
  switchport mode access
  dot1x port-control auto
 end
 

RADIUS サーバでの Catalyst の AAA クライアントの設定

次の手順に従ってください。

  1. AAA クライアントを設定するには [Network Configuration] をクリックします。

  2. AAA クライアントのセクションの下部にある [Add Entry] をクリックします。

  3. 次の例のように、AAA クライアントの IP アドレス、キー、および認証タイプを設定します。

    cat6500_1x_native_42665a.gif

  4. [Submit + Restart] をクリックして変更を有効にします。

RADIUS サーバでのユーザおよびユーザ アトリビュートの設定

次の手順に従ってください。

  1. ユーザを追加して設定するには、[User Setup] をクリックしてユーザ名とパスワードを設定します。

    cat6500_1x_native_42665b.gif

  2. Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)アトリビュート 64 および 65 を設定します。

    この例のように、値のタグには 1 を設定してください。 Catalyst では 1 以外のタグは無視されます。ユーザを特定の VLAN に割り当てるには、アトリビュート 81 で、対応する VLAN を指定します。 VLAN 番号は使用しないでください。

    cat6500_1x_native_42665c.gif

    注:IETF アトリビュートの詳細については、『RFC 2868: RADIUS Attributes for Tunnel Protocol Support』を参照してください。leavingcisco.com

    注:ACS サーバの初期設定では、IETF RADIUS アトリビュートが表示されない場合があります。 ユーザ設定の画面で IETF アトリビュートを有効にするには、[Interface configuration] > [RADIUS (IETF)] の順にクリックします。 次に、[User and Group] の列でアトリビュート 6465、および 81 にチェックを付けます。

    注:IETF アトリビュート 81 を設定していない場合で、ポートがアクセス モードのスイッチ ポートである場合、クライアントはそのポートのアクセス VLAN に割り当てられています。 ダイナミック VLAN 割り当てのためにアトリビュート 81 を設定している場合で、ポートがアクセス モードのスイッチ ポートである場合、スイッチで aaa authorization network default group radius コマンドを発行する必要があります。 このコマンドによって、ポートが RADIUS サーバから提供される VLAN に割り当てられます。 このコマンドを発行しない場合、802.1x により、ポートはユーザ認証後に AUTHORIZED 状態に移行しますが、ポートのデフォルト VLAN のままになるため、接続を確立できないことがあります。 アトリビュート 81 を設定していて、ポートをルーテッド ポートとして設定していると、アクセス拒否が発生します。 次のエラー メッセージが表示されます。

    %DOT1X-SP-5-ERR_VLAN_NOT_ASSIGNABLE:
     RADIUS attempted to assign a VLAN to Dot1x port GigabitEthernet2/15 whose
     VLAN cannot be assigned.

802.1x 認証を使用するための PC クライアントの設定

この設定例は、Windows XP の Extensible Authentication Protocol(EAP)over LAN(EAPOL)クライアント固有のものです。

  1. [Start] > [Control Panel] > [Network Connections] の順にクリックし、[Local Area Connection] を右クリックして [Properties] を選択します。

  2. [General] タブで、[Show icon in notification area when connected] にチェックを付けます。

  3. [Authentication] タブで、[Enable IEEE 802.1x authentication for this network] にチェックを付けます。

  4. 次の例のように、EAP の種類に [MD5-Challenge] を選択します。

    cat6500_1x_native_42665d.gif

802.1x の動作確認

正しく設定が行われると、PC クライアントにポップアップが表示され、ユーザ名とパスワードの入力をユーザに要求します。

次の手順に従ってください。

  1. 次の例で示すプロンプトをクリックします。

    cat6500_1x_native_42665e.gif

    ユーザ名とパスワードを入力するウィンドウが表示されます。

  2. ユーザ名とパスワードを入力します。

    cat6500_1x_native_42665f.gif

  3. エラー メッセージが表示されなければ、ネットワーク リソースにアクセスしたり、ping を発行するなどの通常の方法で、接続を確認します。

    次のエラーが表示された場合は、ユーザ名とパスワードが正しく入力されているかどうかを確認します。

    cat6500_1x_native_42665g.gif

  4. パスワードとユーザ名が正しく入力されている場合は、スイッチの 802.1x ポートの状態を確認します。

    AUTHORIZED を示すポート状態を探します。

    Farto# show dot1x
     Sysauthcontrol                    = Enabled
     Dot1x Protocol Version            = 1
     Dot1x Oper Controlled Directions  = Both
     Dot1x Admin Controlled Directions = Both
     Farto# show dot1x interface g2/16
     AuthSM State      = HELD
     BendSM State      = IDLE
     PortStatus        = UNAUTHORIZED
     MaxReq            = 2
     MultiHosts        = Disabled
     Port Control      = Auto
     QuietPeriod       = 60 Seconds
     Re-authentication = Disabled
     ReAuthPeriod      = 3600 Seconds
     ServerTimeout     = 30 Seconds
     SuppTimeout       = 30 Seconds
     TxPeriod          = 30 Seconds
  5. さらにトラブルシューティングを実施する場合は、次の debug コマンドの出力を収集します。

    • debug dot1x event

    • debug radius


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 42665