セキュリティ : Cisco Secure Access Control System

NAC: ACS 5.x 以降との LDAP 統合の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料は認証されたネットワークの non-802.1X 可能なデバイスを認証するために MAC 認証 バイパス(MAB)のために効果的かつ効率的に設定される Ciscoデバイスを有効に するためにビーコンおよび Cisco Secure Access Control System (ACS) 5.x およびそれ以降を設定するために設定 例を提供したものです。

Cisco はスイッチの MAB と、また 802.1X によって認証できない 802.1X 有効に された ネットワークのエンドポイントを取り扱うために ACS の必要なサポートを呼ばれる、機能実装しました。 この機能性はように 802.1X 有効に された ネットワークに接続するように試みる 802.1X 機能性が、たとえば、持たなかったり機能 802.1X サプリカントを、接続全体実施される許可の前に、またある基本的なネットワーク 使用状況 ポリシーが認証することができたり装備されていないエンドポイントします。

MAB では、識別されたデバイスが 802.1X プロトコルに加わることができない場合に、MAC アドレスをプライマリ クレデンシャルとして使用することをそのデバイスに許可するようにネットワークを設定できます。 効果的に展開され、利用される MAB のために環境はように移動します、追加します 802.1X 認証が可能識別し、これらのデバイスの最新 データベースを一定時間にわたり維持する方法がなければなり、ではない変更は発生します環境のデバイスを。 このリストは MAC で認証するデバイスがおよび有効ないずれかの時点で完了するようにするために認証サーバ(ACS)で、またはいくつかの別 の 方法によって手動で読み込まれ、保持される必要があります。

ビーコン エンドポイント プロファイラは、エンドポイント プロファイリングおよび動作監視機能によって、認証されていないエンドポイントとその中で 802.1X サプリカントを保持していないエンドポイントの識別、およびさまざまな規模のネットワーク内におけるこれらのエンドポイントの有効性の管理を自動化できます。 ビーコン システムは、標準の LDAP インターフェイスを通じて、MAB を介して認証されるエンドポイントの外部データベースまたはディレクトリとして機能できます。 MAB 要求がエッジ インフラストラクチャから届くとき、ACS はある特定のエンドポイントがビーコンによって知られているエンドポイントについての最新情報に基づいてネットワークに是認する必要があるかどうか判別するためにビーコン システムを問い合わせることができます。 これはマニュアル設定のための必要を防ぎます。

先のバージョン ACS 5.x よりを使用して同じような設定に関しては、NAC を参照して下さい: ACS 設定例の LDAP 統合

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 3750 スイッチ Cisco IOS を実行するか。 ソフトウェア リリース 12.2(25)SEE2

  • Cisco Secure ACS 5.x およびそれ以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

背景説明

MAB は環境 post-802.1X 配備のプリンタ、IP 電話、ファクシミリおよび他の non-802.1X 可能なデバイスのようなデバイスのダイナミック サポートのための必要な機能性です。 MAB 機能がない場合は、802.1X 認証を試行しないように静的に、またはかなり限定されたポリシー オプションを提供するその他の機能を使用して、802.1X 非対応のエンドポイントに接続を提供するネットワーク アクセス ポートをプロビジョニングする必要があります。 明らかに、これでは大規模なエンタープライズ環境において本質的に拡張性に欠けています。 すべてのアクセス ポートにおいて MAB と 802.1X を組み合わせて使用すると、802.1X 非対応のエンドポイントを環境内の任意の場所に移動でき、信頼できる(セキュリティで保護された)ネットワークへの接続を維持できます。 ネットワークに是認されるデバイスが認証されているので、異なるポリシーはさまざまなデバイスに適用することができます。

さらに、訪問者や契約作業員が所有するラップトップなどの環境内で把握されていない 802.1X 非対応のアンドポイントにも、必要な場合は、限定されたネットワークへのアクセス権を提供できます。

名前が示すとおり、MAC 認証バイパスは、エンドポイントの MAC アドレスをプライマリ クレデンシャルとして使用します。 アクセス ポートで有効に されて MAB がエンドポイントが接続し、802.1X 認証 チャレンジに応答しなければポートは MAB モードに戻します。 エンドポイントの MAB を試行したスイッチは、ステーションの MAC を使用して ACS への標準 RADIUS 要求を作成します。 それはネットワークに接続するように試み、エンドポイントの許可の前に ACS からのネットワークにエンドポイントの認証を要求します。

設定

フローチャート ダイアグラム

このフローチャートは新しいエンドポイントがネットワークに接続するように試みると同時に MAB が Cisco エッジ インフラストラクチャで 802.1X 認証と共にどのように利用されるか説明します。

この資料はこのフローチャート作業の流れを使用します:

図 1: 認証フロー

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-01.gif

ACS は自身の内部データベースか MAC アドレス ユーザー要求を認証するために外部 LDAPサーバを利用するために設定することができます。 ビーコン エンドポイント型彫機システムはデフォルトで十分に LDAP 対応で、ACS によって標準 LDAP 機能性によって MAC アドレス ユーザー要求を認証するために利用することができます。 ビーコンがグループ化しネットワークのすべてのエンドポイントのディスカバリ、またプロファイルを両方自動化するので、ACS は LDAP によって MAC がネットワークにべきである是認された、エンドポイント マッピング する必要があるかどうか確認するためにビーコンを問い合わせることができます。 これはかなり大きい企業環境の MAB 機能を、特に自動化し、高めます。

ビーコンが提供する動作監視機能を通じて、MAB 対応のプロファイルに反した動作が監視されたデバイスは、4 つの LDAP 対応プロファイルから移行され、その後、次回の定期的な再認証試行に失敗します。

MAB 用のビーコン エンドポイント プロファイラ システムの設定

MAB をサポートするために ACS との統合をビーコン システムに設定するのは、デフォルトで LDAP 機能が有効なため簡単に実行できます。 主な設定タスクは、環境内で MAB 認証する必要のあるエンドポイントを含むプロファイルを識別し、これらのプロファイルを LDAP 対応にすることです。 通常、デバイスが含まれているビーコン プロファイルは組織によって、ポートで見られたときけれども 802.1X によって認証することができないと、提供されたネットワーク アクセスである必要がありましたり知られています所有しました。 通常、これらは一般的な例としてプリンタ、IP 電話または処理しやすい UPS が含まれているプロファイルです。

ビーコンによってプロファイルされたプリンタがプロファイルに置かれたらそれらのプロファイルに置かれるエンドポイントが MAB によって環境の既知 IP Phone およびプリンタとして認証の成功という結果に終ること Printers および IP 電話と LDAP のために有効に される Ipphones、たとえば、これらのプロファイル必要をそのような物指名しましたプロファイルで指名されて。 LDAP のためのプロファイルを有効に する場合、これはこの例に示すようにエンドポイント プロファイル設定の LDAP オプション ボタンを選択することを、必要とします:

図 2: プロファイルの LDAP に対する有効化

http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-02.gif

LDAP によって標識を設置するべき ACS プロキシ MAC 認証が 2 つの補助的なクエリでクエリ構成されている時。 両方は有効な、NULL 以外の結果を返す必要があります。 ビーコンへの最初のクエリでは、MAC がビーコンにとって既知かどうか、たとえば、それが検出されビーコン データベースに追加されているかどうかを確認します。 まだエンドポイントがビーコンによって検出されていない場合は、エンドポイントは不明と見なされます。

2 番目のクエリは、ビーコンが未検出のエンドポイントの場合は、データベースに存在しないため必要ありません。 エンドポイントが検出済みでビーコン データベースに存在する場合は、次のクエリでエンドポイントの現在のプロファイルを判別します。 エンドポイントがまだプロファイルされることを持っていなかったりまたは LDAP のために有効に なる プロファイル 5 に現在ある場合未知結果は ACS に返され、ビーコンによるエンドポイントの認証は失敗します。 それはこれがネットワークにアクセスの否定のデバイスという結果に全体で終る場合がある設定されたりまたはポリシーを与えられるか ACS がによって決まります未知数またはゲスト デバイスのために適切である。

MAC がビーコンによって検出され LDAP 対応プロファイルに含まれるエンドポイントである場合のみ、エンドポイントはビーコンによって既知でプロファイルされているという応答が ACS に返されます。 何よりも大事なことは、なぜならこれらのエンドポイント ビーコン現在の Profile Name をつけます。 これは Cisco SecureAccess グループに既知エンドポイントをマッピング することを ACS が可能にします。 これによって、必要に応じて、ビーコン LDAP 対応プロファイルごとに個別のポリシーと同様のきめ細かさでポリシーを判別できます。

MAB 用の ACS 設定と外部ユーザ データベースとしてのビーコンの使用

MAB 用に ACS を設定し、ビーコンを外部ユーザ データベースとして使用するには、3 つの個別の手順を実行する必要があります。 このドキュメントで示す順序は MAB 設定全体を実行する際に効率的なワークフローに準じてしますが、すでに設定されたその他の認証モードが稼働しているシステムでは異なる場合があります。

ネットワークに接続するように試みる特定のエンドポイントのための MAB を試みるときビーコンが MAC を検出した、どんなプロファイル ビーコンが先に資料に説明があられるように現在 MAC アドレスを置いたかどうか確認するために ACS クエリは LDAP で標識を設置し。

この資料では、2 つの別々のプロファイルは作成されます:

  • BeaconKnownDevices —ビーコンによって検出され、プロファイルされるエンドポイントのための…

  • BeaconUnknownDevices —ビーコンによって現在知られていないデバイスのための…

ビーコンは MAC を検出しませんでしたし、または LDAP 対応 プロファイルに現在プロファイルしてしまいませんでした。 BeaconKnownDevices プロファイルは VLAN 10 にエンドポイントを置き、BeaconUnkownDevices プロファイルは VLAN 7.にエンドポイントを置きます。

この資料の以降は、ACS からのビーコン エンドポイント プロファイラーへの LDAP 接続作成され、どのでエンドポイントが BeaconKnown デバイスとして考慮される選択され、(VLAN にそれらを 10)置く BeaconKnownDevices プロファイル割り当てられますかグループ基づいてビーコン エンドポイント プロファイラーから。 ビーコンが MAC を検出しなかったし、または LDAP 対応 プロファイルに現在プロファイルしてしまわなかったことすべての未知のデバイス(VLAN にそれらを 7)置く BeaconUnkownDevices プロファイル割り当てられます。

許可 プロファイルを作成して下さい

許可 プロファイルを作成するためにこれらのステップを完了して下さい:

  1. ポリシー要素 > 許可および権限 > ネットワーク アクセス > 許可プロファイルを選択し、新しい許可 プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-03.gif

  2. 新しい許可 プロファイルの名前をつけて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-04.gif

  3. 一般的なタスクでタブは 10.としてスタティックに VLAN を設定 しました 次に Submit をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-05.gif

  4. ポリシー要素 > 許可および権限 > ネットワーク アクセス > 許可プロファイルを選択し、新しい許可 プロファイルを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-06.gif

  5. 新しい許可 プロファイルの名前をつけて下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-07.gif

  6. 一般的なタスクでタブは 7.としてスタティックVLAN を設定 しました 次に Submit をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-08.gif

LDAP データベース接続を作成して下さい

LDAP データベース接続を作成するためにステップを完了して下さい:

  1. 『Users』 を選択 すれば識別は > 外部識別保存し、> LDAP 新しい LDAP データベース接続を作成するために『Create』 をクリック します保存します

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-09.gif

  2. 名前を新しい LDAP データベース接続につけ、『Next』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-10.gif

  3. サーバ接続タブではビーコン LDAPホスト名/IP アドレスを断絶します、ポート、Admin DN、パスワード(この例の GBSbeacon)入力して下さい。 次に [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-11.gif

  4. ディレクトリ 組織タブで必要情報を入力して下さい。 次に、[Finish] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-12.gif

  5. 新しく作成された LDAP 接続(この例のビーコン)をクリックして下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-13.gif

  6. ディレクトリ Groups タブを選択し、『SELECT』 をクリック して下さい。 可能性があります。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-14.gif

  7. BeaconKnownDevices にマッピング したいと思う Next 画面のグループ全員を選択して下さい。

  8. この例ではこれらのグループは、即ち lab_laptop、3com_gear および apple_users、選択されます。 次に Submit をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-15.gif

アクセス サービスを設定して下さい

アクセス サービスを設定するためにこれらのステップを完了して下さい:

  1. アクセスポリシー > アクセス サービスを選択し、新しいアクセス サービスを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-16.gif

  2. General タブでは新しいサービスの名前をつけ、そしてサービス テンプレートに基づいての隣で『SELECT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-17.gif

  3. 選択して下さいネットワーク アクセス- MAC 認証 バイパスは『OK』 をクリック し。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-18.gif

  4. [Next] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-19.gif

  5. [Finish] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-20.gif

  6. [Yes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-21.gif

  7. 『Customize』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-22.gif

  8. UseCase を利用可能 な選択されるから移動し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-23.gif

  9. 新しいサービス セレクション ルールを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-24.gif

  10. プロトコルを選択し、値として Radius を使用して下さい。 同様に、UseCase を選択し、値としてホスト ルックアップを使用して下さい。 ビーコンAuth をサービスとして選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-25.gif

  11. 上に新しく作成されたルールを移動して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-26.gif

  12. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-27.gif

  13. アクセスポリシー > アクセスを保守し、> ビーコンAuth > 識別識別ソースの隣で『SELECT』 をクリック します選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-28.gif

  14. ビーコンを選択し、『OK』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-29.gif

  15. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-30.gif

  16. アクセスポリシー > アクセスを保守し、> ビーコンAuth > 許可 『Customize』 をクリック します選択して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-31.gif

  17. 移動ビーコン: 利用可能からの ExternalGroups は選択し、『OK』 をクリック します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-32.gif

  18. 新しいルールを作成するために『Create』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-33.gif

  19. 条件として 3com_users、apple_users および lab_laptop および結果として許可 プロファイル BeaconKnownDevices を選択して下さい。 次に、[OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-34.gif

  20. 『DEFAULT』 をクリック して下さい。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-35.gif

  21. 条件として 3com_users、apple_users および lab_laptop および結果として許可 プロファイル BeaconUnKnownDevices を選択して下さい。 次に、[OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-36.gif

  22. [Save Changes] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/secure-access-control-system/113566-nac-ldap-acs5-config-37.gif

    これはプロシージャを完了します。

MAC 認証バイパス用のスイッチ設定

有効に なる MAB を 802.1X 認証にこのスイッチ設定が設定例および ACS から戻る RADIUS特性を適用するために必要なダイナミック VLAN 再割当に与えます。

アクセス ポイント グループ
switch#show running-config 
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime
service password-encryption
service sequence-numbers
!
!
aaa new-model
aaa authentication login default line
aaa authentication enable default enable
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!
aaa session-id common
switch 1 provision ws-c3750g-24ts
ip subnet-zero
ip routing
no ip domain-lookup
!
!
!
!
!
!
dot1x system-auth-control
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface Port-channel1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
!
interface Port-channel2
description LAG/trunk to einstein
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
!
interface Port-channel3
description "LAG to Edison"
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
!
interface GigabitEthernet1/0/1
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/3
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9,10
channel-group 1 mode passive
!
interface GigabitEthernet1/0/4
switchport access vlan 7
switchport mode access
!
interface GigabitEthernet1/0/5
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/6
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,7,9
switchport mode trunk
switchport nonegotiate
!
interface GigabitEthernet1/0/7
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet1/0/8
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,10
switchport mode trunk
channel-group 2 mode active
!
interface GigabitEthernet1/0/9
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/10
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/11
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/12
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/13
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/14
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/15
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/16
switchport access vlan 5
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/17
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
channel-group 3 mode active
spanning-tree portfast
!
interface GigabitEthernet1/0/18
switchport access vlan 5
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 5,9,11
switchport mode trunk
channel-group 3 mode active
spanning-tree portfast
!
interface GigabitEthernet1/0/19
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout reauth-period 60
dot1x timeout tx-period 10
dot1x timeout supp-timeout 10
dot1x max-req 1
dot1x reauthentication
dot1x auth-fail max-attempts 1
spanning-tree portfast
!
interface GigabitEthernet1/0/20
switchport mode access
dot1x mac-auth-bypass
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 10
dot1x timeout reauth-period 60
dot1x timeout tx-period 10
dot1x timeout supp-timeout 10
dot1x max-req 1
dot1x reauthentication
dot1x auth-fail max-attempts 1
spanning-tree portfast
!
interface GigabitEthernet1/0/21
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/22
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/23
switchport access vlan 10
spanning-tree portfast
!
interface GigabitEthernet1/0/24
switchport access vlan 10
spanning-tree portfast
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
no ip address
shutdown
!
interface Vlan5
ip address 10.1.1.10 255.255.255.0
!
interface Vlan9
ip address 10.9.0.1 255.255.0.0
!
interface Vlan10
ip address 10.10.0.1 255.255.0.0
ip helper-address 10.1.1.1
ip helper-address 10.10.0.204
!
interface Vlan11
ip address 10.11.0.1 255.255.0.0
ip helper-address 10.1.1.1
ip helper-address 10.10.0.204
!
ip default-gateway 10.1.1.1
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.30.0.0 255.255.0.0 10.10.0.2
ip route 10.40.0.0 255.255.0.0 10.10.0.2
ip http server
ip http secure-server
!
!
snmp-server community public RW
snmp-server host 10.1.1.191 public
radius-server host 10.10.0.100 auth-port 1645 acct-port 1646 key 7
05090A1A245F5E1B0C0612
radius-server source-ports 1645-1646
!
control-plane
!
!
line con 0
password 7 02020D550C240E351F1B
line vty 0 4
password 7 00001A0803790A125C74
line vty 5 15
password 7 00001A0803790A125C74
!
end

確認

現在、この設定に使用できる確認手順はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113566