2010 年 3 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 3 月 19 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
設定
      ネットワーク ダイアグラム
      Catalyst スイッチでの 802.1x 認証の設定
      RADIUS サーバの設定
      802.1x 認証を使用するための PC クライアントの設定
確認
      PC クライアント
      Catalyst 6500
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報


概要

このドキュメントでは、ハイブリッド モード(スーパーバイザ エンジン上の CatOS と MSFC 上の Cisco IOS(R) ソフトウェア)で稼働する Catalyst 6500/6000 および Remote Authentication Dial-In User Service(RADIUS)サーバ上で、認証および VLAN 割り当てのために IEEE 802.1x を設定する方法について説明します。

Return to Top


前提条件

要件

このドキュメントの読者は次の項目に関する知識が必要です。

Return to Top


使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

Return to Top


表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

Return to Top


背景説明

IEEE 802.1x 標準では、認証されていないデバイスが一般的にアクセス可能なポートを介して LAN に接続することを制限する、クライアントサーバ ベースのアクセス制御と認証プロトコルが定義されています。802.1x では、バーチャル アクセス ポイントを各ポートに 2 つ作成することで、ネットワーク アクセスが制御されます。片方のアクセス ポイントは制御されないポートであり、もう片方のアクセス ポイントは制御されたポートです。単一のポートを通過するすべてのトラフィックは、どちらのアクセス ポイントでも使用できます。802.1x では、スイッチ ポートに接続された各ユーザ デバイスが認証され、スイッチまたは LAN によって提供されるサービスが使用可能になる前にそのポートが VLAN に割り当てられます。802.1x アクセス制御では、デバイスが認証されるまで、そのデバイスが接続されているポートを通過する Extensible Authentication Protocol(EAP) over LAN(EAPOL)トラフィックのみが許可されます。認証に成功すると、通常のトラフィックはポートを通過できるようになります。

Return to Top


設定

このセクションでは、このドキュメントで説明する 802.1x 機能を設定するための情報を提供します。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定には次の手順が必要です。

Return to Top


ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

8021xauth-cat65k1.gif

Return to Top


Catalyst スイッチでの 802.1x 認証の設定

このスイッチ設定のサンプルには次のものが含まれます。

802.1x 認証の設定方法に関するガイドラインについては、『認証の設定に関するガイドライン』を参照してください。

注:RADIUS サーバは常に認証済みポートの背後に接続してください。

Catalyst 6500

Console (enable) set system name Cat6K 
System name set.

!--- スイッチのホスト名を設定します。

Cat6K> (enable) set localuser user admin password cisco
Added local user admin.
Cat6K> (enable) set localuser authentication enable
LocalUser authentication enabled

!--- スイッチにアクセスするためにローカル ユーザの認証を使用します。

Cat6K> (enable) set vtp domain cisco
VTP domain cisco modified

!--- ドメイン名は、VLAN の設定に合わせて設定する必要があります。

Cat6K> (enable) set vlan 2 name VLAN2
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 2 configuration successful

!--- 認証に成功するには、VLAN が 
!--- スイッチ内に存在している必要があります。

Cat6K> (enable) set vlan 3 name VLAN3
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 3 configuration successful

!--- RADIUS サーバでは、VLAN の割り当て用に VLAN 名が使用されます。

Cat6K> (enable) set vlan 4 name AUTHFAIL_VLAN
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 4 configuration successful

!--- 非 802.1x 対応ホスト用の VLAN。

Cat6K> (enable) set vlan 5 name GUEST_VLAN
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 4 configuration successful

!--- 失敗した認証ホストの VLAN。

Cat6K> (enable) set vlan 10 name RADIUS_SERVER
VTP advertisements transmitting temporarily stopped,
and will resume after the command finishes.
Vlan 10 configuration successful

!--- これは、RADIUS サーバの専用 VLAN です。

Cat6K> (enable) set interface sc0 10 172.16.1.2 255.255.255.0
Interface sc0 vlan set, IP address and netmask set.

!--- 注:802.1x 認証では、RADIUS サーバとやり取りする際、  
!--- sc0 インターフェイスをオーセンティケータの ID として  
!--- 常に使用します。

Cat6K> (enable) set vlan 10 3/1
VLAN 10 modified.
VLAN 1 modified.
VLAN  Mod/Ports
---- -----------------------
10    3/1

!--- RADIUS サーバに接続されているポートを、VLAN 10 に割り当てます。

Cat6K> (enable) set radius server 172.16.1.1 primary
172.16.1.1 with auth-port 1812 acct-port 1813 
added to radius server table as primary server.

!--- RADIUS サーバの IP アドレスを設定します。

Cat6K> (enable) set radius key cisco
Radius key set to cisco

!--- このキーは RADIUS サーバで使用されるキーと一致する必要があります。

Cat6K> (enable) set dot1x system-auth-control enable
dot1x system-auth-control enabled.
Configured RADIUS servers will be used for dot1x authentication.

!--- 802.1x をグローバルに有効にします。
!--- RADIUS サーバを少なくとも 1 つ指定しないと、 
!--- スイッチ上で 802.1x 認証を有効にすることができません。

Cat6K> (enable) set port dot1x 3/2-48 port-control auto
Port 3/2-48 dot1x port-control is set to auto.
Trunking disabled for port 3/2-48 due to Dot1x feature.
Spantree port fast start option enabled for port 3/2-48.

!--- すべてのファストイーサネット ポート上で、802.1x を有効にします。
!--- これにより自動的に、トランキングが無効になり、PortFast が有効になります。

Cat6K> (enable) set port dot1x 3/2-48 auth-fail-vlan 4
Port 3/2-48 Auth Fail Vlan is set to 4

!--- ポートは、認証の試行に 3 回失敗すると、 
!--- VLAN 4 に入れられます。

Cat6K> (enable) set port dot1x 3/2-48 guest-vlan 5
Ports 3/2-48 Guest Vlan is set to 5

!--- 接続対象の非 802.1x 対応ホスト、またはオーセンティケータ  
!--- からのユーザ名およびパスワード認証要求に応答しなかった  
!--- 802.1x 対応ホストは、60 秒後、ゲスト VLAN に 
!--- 格納されます。
!--- 注:認証失敗の VLAN は、 
!--- ゲスト VLAN から独立しています。ただし、ゲスト VLAN は、認証失敗の VLAN と
!--- 同じ VLAN にすることができます。非 802.1x 対応ホストと認証失敗ホストを 
!--- 区別しない場合は、両方のホストを  
!--- 同一の VLAN(ゲスト VLAN または  
!--- 認証失敗 VLAN )に設定します。
!--- 詳細は、 
!--- 『ゲスト VLAN に対する 802.1x 認証の動作方式』を参照してください。

Cat6K> (enable) switch console
Trying Router-16...
Connected to Router-16.
Type ^C^C^C to switch back...

!--- ルーティング モジュール(MSFC)に制御を渡します。

Router>enable
Router#conf t
Enter configuration commands, one per line.End with CNTL/Z.
Router(config)#interface vlan 10
Router(config-if)#ip address 172.16.1.3 255.255.255.0

!--- これは、RADIUS サーバ内でゲートウェイ アドレスとして使用されます。

Router(config-if)#no shut
Router(config-if)#interface vlan 2
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shut

!--- これは、VLAN 2 のクライアントのゲートウェイ アドレスです。

Router(config-if)#interface vlan 3
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shut

!--- これは、VLAN 3 のクライアントのゲートウェイ アドレスです。

Router(config-if)#exit
Router(config)#ip dhcp pool vlan2_clients
Router(dhcp-config)#network 172.16.2.0 255.255.255.0
Router(dhcp-config)#default-router 172.16.2.1

!--- このプールは、VLAN 2 内のクライアントに IP アドレスを割り当てます。

Router(dhcp-config)#ip dhcp pool vlan3_clients
Router(dhcp-config)#network 172.16.3.0 255.255.255.0
Router(dhcp-config)#default-router 172.16.3.1

!--- このプールは、VLAN 3 内のクライアントに IP アドレスを割り当てます。

Router(dhcp-config)#exit
Router(config)#ip dhcp excluded-address 172.16.2.1
Router(config)#ip dhcp excluded-address 172.16.3.1

!--- スイッチング モジュールに戻るには、
!--- Ctrl+C キーを 3 回押します。

Router#
Router#^C
Cat6K> (enable)
Cat6K> (enable) show vlan
VLAN Name               Status    IfIndex Mod/Ports, Vlans
---- ------------------ --------- ------- ------------------------


1    default                          active    6       2/1-2
                                                        3/2-48               
2    VLAN2                            active    83
3    VLAN3                            active    84
4    AUTHFAIL_VLAN                    active    85      
5    GUEST_VLAN                       active    86
10   RADIUS_SERVER                    active    87      3/1
1002 fddi-default                     active    78
1003 token-ring-default               active    81
1004 fddinet-default                  active    79
1005 trnet-default                    active    80

!--- 出力を省略。
!--- すべてのアクティブなポートは、認証前に VLAN 1(3/1 は除く)内にあります。

Cat6K> (enable) show dot1x
PAE Capability             Authenticator Only
Protocol Version           1
system-auth-control        enabled
max-req                    2
quiet-period               60 seconds
re-authperiod              3600 seconds
server-timeout             30 seconds
shutdown-timeout           300 seconds
supp-timeout               30 seconds
tx-period                  30 seconds

!--- 認証前に dot1x のステータスを確認します。

Cat6K> (enable)

Return to Top


RADIUS サーバの設定

RADIUS サーバには、172.16.1.1/24 という固定 IP アドレスが割り当てられています。AAA クライアントに RADIUS サーバを設定するには、次のステップを実行します。

  1. AAA クライアントを設定するために、ACS 管理ウィンドウで Network Configuration をクリックします。

  2. AAA クライアントのセクションの下部にある Add Entry をクリックします。

    8021xauth-cat65k2.gif

  3. 次のように、AAA クライアント ホスト名、IP アドレス、共有秘密鍵、および認証タイプを設定します。

    • AAA クライアント ホスト名 = スイッチ ホスト名(Cat6K

    • AAA クライアントの IP アドレス = スイッチの管理インターフェイス(sc0)の IP アドレス(172.16.1.2

    • 共有秘密鍵 = スイッチで設定されている Radius キー(cisco

    • Authenticate Using = RADIUS IETF

    注:正しく動作するためには、AAA クライアントと ACS の間で共有秘密鍵が一致している必要があります。キーの大文字と小文字は区別されます。

  4. これらの変更を有効にするには、次の例に示すように Submit + Apply をクリックします。

    8021xauth-cat65k3.gif

RADIUS サーバの認証、VLAN、および IP アドレスの割り当てを設定するには、後述のステップを実行します。

VLAN 2 および VLAN 3 に接続されるクライアント用に、2 つのユーザ名を別々に作成する必要があります。ここでは、VLAN 2 に接続するクライアント用にユーザ user_vlan2 を、VLAN 3 に接続するクライアント用にユーザ user_vlan3 を作成します。

注:ここでは、VLAN 2 に接続するクライアント用のユーザ設定のみを示します。VLAN 3 に接続するユーザの場合も、同じ手順を実行してください。

  1. ユーザを追加し、設定するために User Setup をクリックし、ユーザ名とパスワードを定義します。

    8021xauth-cat65k4.gif

    8021xauth-cat65k5.gif

  2. Assigned by AAA client pool としてクライアント IP アドレス割り当てを定義します。VLAN 2 クライアントのスイッチ上で設定された IP アドレス プールの名前を入力します。

    8021xauth-cat65k6.gif

    注:AAA クライアント上で設定された IP アドレス プールによって割り当てられた IP アドレスがユーザに提供される場合にだけ、このオプションを選択して AAA クライアント IP プール名を入力します。

  3. Internet Engineering Task Force(IETF)の属性 64 および 65 を定義します。

    この例のように、値のタグには 1 を設定してください。Catalyst は 1 以外のタグを無視します。ユーザを特定の VLAN に割り当てるには、対応する VLAN を使用して、属性 81 も定義する必要があります。

    注:VLAN は、スイッチで設定したものとまったく同じでなければなりません。

    注:VLAN 番号に基づく VLAN 割り当ては、CatOS でサポートされていません。

    8021xauth-cat65k7.gif

    これらの IETF 属性の詳細については、『RFC 2868: RADIUS Attributes for Tunnel Protocol Support leavingcisco.com』を参照してください。

    注:ACS サーバの初期設定では、IETF RADIUS 属性が User Setup に表示されない場合があります。IETF 属性を有効にするために、ユーザ設定画面で Interface configuration > RADIUS (IETF) の順に選択します。次に、User and Group 列で属性 6465、および 81 にチェックを付けます。

Return to Top


802.1x 認証を使用するための PC クライアントの設定

この設定例は、Microsoft Windows XP の Extensible Authentication Protocol(EAP)over LAN(EAPOL)クライアント固有のものです。次の手順を実行します。

  1. Start > Control Panel > Network Connections の順にクリックし、Local Area Connection を右クリックして Properties を選択します。

  2. General タブで、Show icon in notification area when connected にチェックを付けます。

  3. Authentication タブで、Enable IEEE 802.1x authentication for this network にチェックを付けます。

  4. 次の例のように、EAP の種類に MD5-Challenge を選択します。

    8021xauth-cat65k8.gif

次の手順に従って、クライアントが DHCP サーバから IP アドレスを取得できるように設定します。

  1. Start > Control Panel > Network Connections の順にクリックし、Local Area Connection を右クリックして Properties を選択します。

  2. General タブで、Internet Protocol (TCP/IP) をクリックし、Properties をクリックします。

  3. Obtain an IP address automatically を選択します。

    8021xauth-cat65k9.gif

Return to Top


確認

このセクションでは、設定が正常に動作していることを確認しています。

特定の show コマンドが、アウトプットインタープリタ登録ユーザ専用)(OIT)でサポートされています。OIT を使用して、show コマンド出力の解析を表示できます。

Return to Top


PC クライアント

正しく設定が行われると、PC クライアントにポップアップが表示され、ユーザ名とパスワードの入力をユーザに要求します。

  1. 次の例で示すプロンプトをクリックします。

    8021xauth-cat65k10.gif

    ユーザ名とパスワードを入力するウィンドウが表示されます。

  2. ユーザ名とパスワードを入力します。

    8021xauth-cat65k11.gif

    注:PC 1 と 2 で、VLAN 2 ユーザのクレデンシャルを入力します。PC 3 と 4 で、VLAN 3 ユーザのクレデンシャルを入力します。

  3. エラー メッセージが表示されなければ、ネットワーク リソースにアクセスしたり、ping コマンドを発行したりするなど、通常の方法で接続を確認します。次の図は PC 1 からの出力であり、PC 4 に対する ping が成功したことを示しています。

    8021xauth-cat65k12.gif

    次のエラーが表示された場合は、ユーザ名とパスワードが正しく入力されているかどうかを確認します。

    8021xauth-cat65k13.gif

Return to Top


Catalyst 6500

パスワードとユーザ名が正しく入力されている場合は、スイッチの 802.1x ポートの状態を確認します。

  1. authorized を示すポート状態を探します。

    Cat6K> (enable) show port dot1x 3/1-5 
     
    Port  Auth-State          BEnd-State Port-Control        Port-Status  
    ----- ------------------- ---------- ------------------- -------------
     3/1  force-authorized   idle       force-authorized    authorized    
     
    !--- これは、RADIUS サーバの接続先ポートです。
    
     3/2  authenticated       idle       auto                authorized   
    3/3 authenticated idle auto authorized
    3/4 authenticated idle auto authorized
    3/5 authenticated idle auto authorized

    Port Port-Mode Re-authentication Shutdown-timeout
    ----- ------------- ----------------- ----------------
    3/1 SingleAuth disabled disabled
    3/2 SingleAuth disabled disabled
    3/3 SingleAuth disabled disabled
    3/4 SingleAuth disabled disabled
    3/5 SingleAuth disabled disabled

    認証に成功した後、VLAN ステータスを確認します。

    Cat6K> (enable) show vlan
    VLAN Name                             Status    IfIndex Mod/Ports, Vlans
    ---- -------------------------------- --------- ------- ------------------------
    
    1    default                          active    6       2/1-2
                                                            3/6-48
    2    VLAN2                            active    83      3/2-3
    3    VLAN3                            active    84      3/4-5
    4    AUTHFAIL_VLAN                    active    85      
    5    GUEST_VLAN                       active    86
    10   RADIUS_SERVER                    active    87      3/1
    1002 fddi-default                     active    78
    1003 token-ring-default               active    81
    1004 fddinet-default                  active    79
    1005 trnet-default                    active    80
    
    !--- 出力を省略。
  2. 認証に成功した後のルーティング モジュール(MSFC)からの DHCP バインディング ステータスを確認します。

    Router#show ip dhcp binding
    IP address       Hardware address        Lease expiration        Type
    172.16.2.2       0100.1636.3333.9c       Feb 14 2007 03:00 AM    Automatic
    172.16.2.3       0100.166F.3CA3.42       Feb 14 2007 03:03 AM    Automatic
    172.16.3.2       0100.145e.945f.99       Feb 14 2007 03:05 AM    Automatic
    172.16.3.3       0100.1185.8D9A.F9       Feb 14 2007 03:07 AM    Automatic
Return to Top


トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

Return to Top


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報

Return to Top



Document ID: 81871