Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
IEEE 802.1x ポートベースの認証の設定
IEEE 802.1x ポートベースの認証の設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

IEEE 802.1x ポートベースの認証の設定

機能情報の確認

この章の構成

IEEE 802.1x ポートベースの認証の設定に関する前提条件

IEEE 802.1x ポートベースの認証の設定に関する制約事項

IEEE 802.1x 認証の設定

VLAN 割り当ての設定

ゲスト VLAN の設定

前のソフトウェア リリースからのアップグレード

IEEE 802.1x ポートベースの認証に関する情報

IEEE 802.1x オーセンティケータ

装置のロール

認証の開始およびメッセージ交換

認証プロセス

許可ステートおよび無許可ステートのポート

IEEE 802.1x ホスト モード

IEEE 802.1x RADIUS アカウンティング

IEEE 802.1x RADIUS アカウンティング

IEEE 802.1x アカウンティングのアトリビュート値ペア

IEEE 802.1x 認証と他の機能を併用する方法

IEEE 802.1x 認証と VLAN の割り当て

IEEE 802.1x VLAN 割り当てに関する前提条件

IEEE 802.1x VLAN 割り当てに関する制約事項

VLAN 割り当ての設定

IEEE 802.1x 認証とゲスト VLAN

IEEE 802.1x と RADIUS 指定のセッション タイムアウト

IEEE 802.1x 認証と音声 VLAN ポート

IEEE 802.1x SNMP 通知のイネーブル化

IEEE 802.1x MIB サポート

IEEE 802.1x 機能の設定例

ポートでの IEEE 802.1x および AAA のイネーブル化:例

IEEE 802.1x RADIUS アカウンティングのイネーブル化:例

IEEE 802.1x とゲスト VLAN の設定:例

RADIUS によって指定されたセッション タイムアウト:例

IEEE 802.1x と音声 VLAN の設定:例

IEEE 802.1x 統計情報とステータス:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

IEEE 802.1x ポートベースの認証の設定に関する機能情報

IEEE 802.1x ポートベースの認証の設定

このマニュアルでは、シスコ サービス統合型ルータ(ISR)で IEEE 802.1x ポートベースの認証を設定する方法について説明します。 IEEE 802.1x 認証によって、無許可の装置(サプリカント)によるネットワークへのアクセスを回避できます。

Cisco ISR は固定設定またはインストールされているモジュールに基づいて、ルータ、スイッチ、およびアクセス ポイントの機能を組み合わせることができます。組み込みのスイッチ ポート、またはスイッチ ポートを備えるプラグイン モジュールによって、スイッチ機能が提供されます。


) このマニュアルでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「IEEE 802.1x ポートベースの認証の設定に関する機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

IEEE 802.1x ポートベースの認証の設定に関する前提条件

このマニュアルで説明する機能は、シスコ ISR ルータにインストールされているスイッチ ポートでだけ使用できます。IEEE 802.1x ポートベースの認証機能は、スイッチ ポートをサポートする Cisco 800、870、1800、2800、および 3800 シリーズでの Cisco IOS リリース 12.4(11)T で使用できます。

固定設定型 Cisco 1800 シリーズ ルータ プラットフォームおよび Cisco 870 シリーズ ルータは、4 ポート スイッチおよび 8 ポート スイッチを統合しました。

次のカードまたはモジュールはスイッチ ポートをサポートします。

High-Speed WAN Interface Card(HWIC; 高速 WAN インターフェイス カード)

HWIC-4ESW

HWICD-9ESW

EtherSwitch ネットワーク モジュール

NM-16ESW

NMD-36ESW


) 一部のシスコ ISR ルータは一覧のすべてのコンポーネントをサポートしていません。特定のルータ プラットフォームのモジュールの互換性については、『Cisco EtherSwitch Modules Comparison』を参照してください。


IEEE 802.1x ポートベースの認証機能を使用して設定できるスイッチ ポートがルータにあるかどうかを確認するには、 show interfaces switchport コマンドを使用します。

IEEE 802.1x ポートベースの認証を設定するには、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)をイネーブルにし、認証方式リストを指定します。方式リストには、ユーザの認証時に照会されるシーケンスと認証方式について記述されています。

IEEE 802.1x ポートベースの認証の設定に関する制約事項

ここでは、次の機能の設定に関する制約事項について説明します。

「IEEE 802.1x 認証の設定」

「VLAN 割り当ての設定」

「ゲスト VLAN の設定」

「前のソフトウェア リリースからのアップグレード」

IEEE 802.1x 認証の設定

次に、IEEE 802.1x 認証の設定に関する制約事項を示します。

IEEE 802.1x 認証をイネーブルにすると、ポートの認証後に、他のレイヤ 2 またはレイヤ 3 機能がイネーブルになります。

IEEE 802.1x 対応ポートのモードを変更する場合(たとえば、アクセスからトランクへ)、エラー メッセージが表示され、ポート モードは変更されません。

IEEE 802.1x 対応ポートを割り当てる VLAN を変更する場合、この変更は透過的で、スイッチ ポートに影響がありません。たとえば、RADIUS サーバによって割り当てられた VLAN にポートが割り当てられ、それから再認証後に異なる VLAN に割り当てられると、この変更が発生します。

IEEE 802.1x ポートを割り当てる VLAN がシャット ダウン、ディセーブル、または削除されると、ポートは無許可になります。たとえば、ポートが割り当てられているアクセス VLAN がシャット ダウンまたは削除されると、ポートは無許可になります。

IEEE 802.1x プロトコルは、レイヤ 2 スタティックアクセス ポート、音声 VLAN 対応ポート、およびレイヤ 3 ルーテッド ポートでサポートされますが、次のポート タイプではサポートされません。

ダイナミックアクセス ポート:ダイナミックアクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック VLAN 割り当てに変更しようとすると、エラー メッセージが表示され、VLAN 設定は変更されません。

ダイナミック ポート:ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとすると、エラー メッセージが表示され、ポート モードは変更されません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)と Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートで、IEEE 802.1x 認証をイネーブルにできます。ただし、SPAN または RSPAN 宛先ポートとしてのポートが削除されるまで、IEEE 802.1x 認証はディセーブルです。SPAN または RSPAN 送信元ポートで IEEE 802.1x 認証をイネーブルにできます。

トランク ポート:トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとすると、エラー メッセージが表示され、ポート モードは変更されません。


) ダイナミック モードのポートはネイバーとネゴシエートして、トランク ポートに変更できます。


VLAN 割り当ての設定

次に、ISR ルータのスイッチ ポートで VLAN 割り当てとゲスト VLAN 機能を設定するときの制約事項を示します。

ポートで IEEE 802.1x 認証をイネーブルにすると、音声 VLAN と同じポート VLAN を設定できません。

ゲスト VLAN の設定

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。サポートされるのはアクセス ポートだけです。

DHCP クライアントを接続する IEEE 802.1x ポート用にゲスト VLAN を設定した後は、場合によって DHCP サーバからホスト IP アドレスを取得する必要があります。クライアントの DHCP プロセスが期限切れになり、DHCP サーバからホスト IP アドレスの取得を試行する前に、スイッチで IEEE 802.1x 認証プロセスを再起動できます。IEEE 802.1x 認証プロセスの設定を減らします( dot1x max-reauth-req および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。減らす量は、接続される IEEE 802.1x クライアントの種類によって変わります。

前のソフトウェア リリースからのアップグレード

Cisco IOS リリース 12.4(11)T では、以前のリリースから IEEE 802.1x 認証の実装が変わりました。IEEE 802.1x 認証をイネーブルにすると、Port Fast に関する情報は設定に追加されなくなります。


) ポートで任意の IEEE 802.1x 関連のコマンドを入力すると、その情報は実行コンフィギュレーションへ自動的に追加され、すべての下位互換性の問題に対処できます。
dot1xpae authenticator


IEEE 802.1x ポートベースの認証に関する情報


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


IEEE 802.1x 規格には、クライアント/サーバベースのアクセス コントロールと認証プロトコルが定義されています。この認証プロトコルによって、無許可のクライアントは、適切に認証されない限り、公にアクセス可能なポートを使用して LAN に接続できません。認証サーバは、ポートに接続する各クライアントを認証してから、装置またはネットワークが提供するサービスの使用を許可します。

クライアントが認証されるまで、IEEE 802.1x アクセス コントロールでは、クライアントの接続先であるポートを介して、Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、および Spanning Tree Protocol(STP; スパニング ツリー プロトコル)トラフィックだけが許可されます。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

次に、IEEE 802.1x ポートベースの認証について説明します。

「IEEE 802.1x オーセンティケータ」

「IEEE 802.1x RADIUS アカウンティング」

装置のロール

IEEE 802.1x ポート ベースの認証では、図 1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図 1 IEEE 802.1x 装置のロール

 

サプリカント :LAN およびスイッチ サービスへのアクセスを要求し、ルータからの要求に応答する装置(ワークステーション)。ワークステーションでは、Microsoft Windows XP が動作するシステムで提供されるような、IEEE 802.1x 準拠のクライアント ソフトウェアが動作している必要があります( サプリカント はクライアントと呼ばれることもあります)。


Windows XP ネットワークの接続と IEEE 802.1x 認証に関する問題を解決するには、http://support.microsoft.com/kb/q303597/ の Microsoft Knowledge Base の記事を参照してください。


認証サーバ :サプリカントの実際の認証を実行する装置。認証サーバは、サプリカントの ID を検証し、LAN およびスイッチ サービスへのアクセスをサプリカントに許可するかどうかをルータに通知します。ネットワーク アクセス装置(この例では ISR ルータ)は、サプリカントと認証サーバ間で認証パスを透過的に渡し、サプリカントと認証サーバ間で認証プロセスが実行されます。サプリカントと認証サーバ(RADIUS サーバ)間で使用される EAP 方式が決定されます。EAP 拡張機能を搭載した RADIUS セキュリティ システムは、Cisco Secure Access Control Server Version 3.0 以降で使用できます。RADIUS はクライアントおよびサーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

オーセンティケータ サービス統合型ルータ (ISR)またはワイヤレス アクセス ポイント):サプリカントの認証ステータスに基づいて、ネットワークに対する物理アクセスを制御するルータ。ルータは、サプリカントと認証サーバ間で仲介装置として動作し、サプリカントからの ID 情報を要求し、その情報を認証サーバで確認し、応答をサプリカントにリレーします。ルータには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

オーセンティケータが EAPOL フレームを受信し、それを認証サーバにリレーすると、EAPOL が取り除かれ、残りの EAP フレームは RADIUS 形式で再カプセル化されます。カプセル化時に EAP フレームは変更されません。また、認証サーバはネイティブ フレーム形式内で EAP をサポートする必要があります。オーセンティケータが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAP フレームが残されます。そのフレームはイーサネット用にカプセル化され、クライアントに送信されます。

認証の開始およびメッセージ交換

IEEE 802.1x 認証中に、ルータまたはサプリカントは認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポートで認証をイネーブルにしている場合、リンクがダウンからアップの状態に変化したとき、またはポートがアップ状態で未認証の場合は定期的に、ルータは認証を開始します。ルータから識別情報を要求するサプリカントに対して、EAP-Request/Identity フレームを 送信します。フレームの受信時に、サプリカントは EAP-Response/Identity フレームで応答します

ただし、ブートアップ時にサプリカントがルータから EAP-Request/Identity フレームを受信しなかった場合、サプリカントは EAPOL-start フレームを送信することにより認証を開始することができます。この開始フレームにより、ルータはサプリカントの識別情報を要求します。


) IEEE 802.1x 認証がネットワーク アクセス装置でイネーブルではない場合、またはサポートされていない場合、サプリカントのすべての EAPOL フレームはドロップされます。サプリカントが、認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、サプリカントはポートが許可ステートにあるものとしてフレームを送信します。ポートが許可ステートになっている場合は、実質的に、サプリカントの認証が成功したことを意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


サプリカントが自己の識別情報を提示すると、ルータは仲介装置としてのロールを開始し、認証が成功または失敗するまで、サプリカントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、ルータのポートは許可ステートになります。認証に失敗した場合、認証を再試行して、VLAN に制限されたサービスを提供するポートを割り当てることができます。または、ネットワーク アクセスは許可されません。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

EAP フレームの具体的な交換方法は、使用する認証方式によって変わります。図 2 に、RADIUS サーバで One-Time-Password(OTP; ワンタイムパスワード)認証方式を使用して、サプリカントがメッセージ交換を開始する例を示します。

図 2 メッセージ交換

 

認証プロセス

IEEE 802.1x ポートベースの認証を設定するには、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)をイネーブルにし、認証方式リストを指定します。方式リストには、ユーザの認証時に照会されるシーケンスと認証方式について記述されています。

AAA プロセスは認証から始まります。IEEE 802.1x ポートベースの認証がイネーブルで、認証を試行する装置が IEEE 802.1x 対応の場合(つまり、サプリカント機能をサポートする場合)、次のイベントが発生します。

サプリカントの識別情報が有効で、IEEE 802.1x 認証に成功すると、ルータはサプリカントに対してネットワークのアクセス権を付与します。

次のいずれかの状況が発生した場合、ルータはサプリカントを再認証します。

定期的な再認証がイネーブルで、再認証タイマーが期限切れになった場合。

ルータ固有の値を使用するか、RADIUS サーバの値に基づいて、再認証タイマーを設定できます。

RADIUS サーバを使用して IEEE 802.1x 認証を設定した後、Session-Timeout RADIUS アトリビュート(Attribute[27])および Termination-Action RADIUS アトリビュート(Attribute [29])に基づくタイマーがルータに使用されます。

Session-Timeout RADIUS アトリビュート(Attribute [27])には、再認証の発生後の時間を指定します。

Termination-Action RADIUS アトリビュート(Attribute [29])には、再認証時に実行する処理を指定します。指定できる処理は Initialize または ReAuthenticate です。 Initialize 処理を設定すると(アトリビュート値は DEFAULT )、再認証時に IEEE 802.1x セッションは終了し、接続は失われます。 ReAuthenticate 処理を設定すると(アトリビュート値は RADIUS-Request)、再認証時にセッションは影響を受けません。

手動でサプリカントを再認証するには、 dot1x re-authenticate interface interface-id 特権 EXEC コマンドを使用します。

許可ステートおよび無許可ステートのポート

IEEE 802.1x 認証時は、ポートのステートに応じて、ルータはサプリカントに対してネットワークのアクセス権を付与できます。ポートの初期ステートは 無許可 です。無許可ステートの場合、音声 VLAN ポートとして設定されていないポートは、IEEE 802.1x 認証、CDP、および STP パケットを除き、すべての入力トラフィックを不許可にします。サプリカントの認証に成功すると、ポートは 許可 ステートに変化し、サプリカントのすべてのトラフィック送受信を通常どおりに許可します。ポートを音声 VLAN ポートとして設定する場合、サプリカントを認証する前に、ポートは VLAN トラフィックと IEEE 802.1x プロトコル パケットを許可します。

IEEE 802.1x 認証をサポートしないクライアントが、無許可の IEEE 802.1x ポートに接続する場合、ルータはクライアントの識別情報を要求します。この状況では、クライアントが要求に応答しない場合、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、IEEE 802.1x 対応のサプリカントが、IEEE 802.1x 規格の動作していないポートに接続すると、サプリカントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答がなければ、サプリカントは同じ要求を所定の回数だけ送信します。応答がないため、サプリカントはポートが許可ステートであるものとしてフレーム送信を開始します。

ポート認可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと次のキーワードを使用します。

force-authorized :IEEE 802.1x 認証をディセーブルにし、ポートの認可ステートを変更します。このとき、認証の交換は不要です。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force unauthorized :ポートが無許可ステートのままになり、サプリカントからの認証の試みをすべて無視します。ルータはこのポートを介して、サプリカントに認証サービスを提供できません。

auto :IEEE 802.1x 認証をイネーブルにし、ポートを無許可ステートで開始します。ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに変化したとき、または EAPOL 開始フレームを受信したときに、認証プロセスが開始します。ルータは、サプリカントの識別情報を要求し、サプリカントと認証サーバとの間で認証メッセージのリレーを開始します。ルータはサプリカントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各サプリカントを一意に識別します。

サプリカントの認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたサプリカントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、ルータは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは認可されません。

サプリカントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、ルータのポートは無許可ステートに変化します。

ポートのリンク ステートがアップからダウンに変化した場合、または EAPOL ログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1x ポートベースの認証の設定については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring IEEE 802.1x Port-Based Authentication」の「 Configuring IEEE 802.1x Authentication 」を参照してください。

IEEE 802.1x ホスト モード


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


シングルホスト モードまたはマルチホスト モード用に IEEE 802.1x ポートを設定できます。シングルホスト モード(図 1 を参照してください)の場合、IEEE 802.1x 対応スイッチ ポートでは 1 つのサプリカントだけを認証できます。ポート リンク ステートがアップ ステートに変化すると、ルータは EAPOL フレームを送信してサプリカントを検出します。サプリカントがログオフしたとき、または別のサプリカントに代わったときには、ルータはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モードの場合、単一の IEEE 802.1x 対応ポートに複数のホストを接続できます。このモードの場合、ネットワーク アクセスを許可するすべてのサプリカントについて、接続サプリカントの 1 つだけを認可する必要があります。ポートが無許可になった場合(再認証が失敗するか、EAPOL ログオフ メッセージを受信した場合)、すべての接続サプリカントに対するネットワーク アクセスはルータから拒否されます。


) Cisco 870 シリーズ プラットフォームはシングルホスト モードをサポートしません。


IEEE 802.1x ホスト モードの設定については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring IEEE 802.1x Port-Based Authentication」の「 Configuring the Host Mode 」を参照してください。

IEEE 802.1x RADIUS アカウンティング


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


ここでは、IEEE 802.1x RADIUS アカウンティングと次の内容について説明します。

「IEEE 802.1x RADIUS アカウンティング」

「IEEE 802.1x アカウンティングのアトリビュート値ペア」

IEEE 802.1x RADIUS アカウンティング


システム全体でアカウンティングを実装する予定の場合、IEEE 802.1x アカウンティングも設定する必要があります。さらに、このシステム上で未処理の IEEE 802.1x セッションがすべて終了したことをアカウンティング サーバが各実に認識するように、システムをリロードする場合、アカウンティング サーバにシステム リロード イベントについて通知する必要があります。



) IEEE 802.1x アカウンティングをイネーブルにするには、まず IEEE 802.1x 認証とスイッチから RADIUS サーバへの通信を設定する必要があります。


IEEE 802.1x RADIUS アカウンティングは、重要なイベントを RADIUS サーバにリレーします(サプリカントの接続セッションなど)。このセッションは、ポートを使用する権限がサプリカントに付与されたときに開始され、サプリカントがポートの使用を停止したときに終了する間隔と定義されます。


) ユーザのログオフ時に EAP-logoff(Stop)メッセージをスイッチに送信するために、IEEE 802.1x サプリカントを設定する必要があります。IEEE 802.1x サプリカントを設定しないと、EAP-logoff メッセージはスイッチに送信されず、付随するアカウンティングの Stop メッセージも認証サーバに送信されません。http://support.microsoft.com の Microsoft Knowledge Base の記事を参照し、SupplicantMode レジストリを 3 に設定し、AuthMode レジストリを 1 に設定します。


サプリカントの認証後、スイッチは accounting-request パケットを RADIUS サーバに送信します。RADIUS サーバは、accounting-response パケットで応答して要求の受信を確認応答します。

RADIUS accounting-request パケットには、多様なイベントと関連情報を RADIUS サーバに報告する 1 つまたは複数の Attribute-Value(AV; アトリビュート値)ペアが含まれます。次のイベントが追跡されます。

ユーザの認証に成功します。

ユーザはログオフします。

IEEE 802.1x ポートでリンクのダウンが発生します。

再認証に成功します。

再認証に失敗します。

許可および無許可の間でポート ステートが移行すると、RADIUS メッセージは RADIUS サーバに送信されます。

スイッチはアカウンティング情報をログに記録しません。その代わり、アカウンティング情報は RADIUS サーバに送信されます。RADIUS サーバは、アカウンティング メッセージをログに記録するように設定する必要があります。

次に、IEEE 802.1x RADIUS アカウンティング プロセスについて説明します。

1. ユーザはルータ上のポートに接続します。

2. 認証が実行されます。

3. RADIUS サーバの設定に基づき、必要に応じて VLAN 割り当てをイネーブルにします。

4. ルータからアカウンティング サーバに対して、開始メッセージを送信します。

5. 必要に応じて再認証が実行されます。

6. ポートは、再認証の結果に基づいて、中間アカウンティングの更新をアカウンティング サーバに送信します。

7. ユーザはポートからの接続を解除します。

8. ルータからアカウンティング サーバに対して、終了メッセージを送信します。

スイッチ ポートは IEEE 802.1x アカウンティング情報のログを記録しません。その代わり、アカウンティング情報は RADIUS サーバに送信されます。RADIUS サーバは、アカウンティング メッセージをログに記録するように設定する必要があります。

IEEE 802.1x アカウンティングを設定するには、次のタスクを実行する必要があります。

RADIUS サーバでアカウンティングをイネーブルにします。

スイッチで IEEE 802.1x アカウンティングをイネーブルにします。

aaa system accounting コマンドを使用して、AAA アカウンティングをイネーブルにします。

AAA システム アカウンティングと IEEE 802.1x アカウンティングをイネーブルにすると、イベントがリロードされ、ロギングのためにアカウンティング RADIUS サーバに送信されます。アカウンティング RADIUS サーバがシステム リロード イベントの通知を受信すると、サーバは、すべてのアクティブな IEEE 802.1x セッションが適切に終了されたと推論できます。

RADIUS は信頼できないトランスポート プロトコルの User Datagram Protocol(UDP; ユーザ データグラム プロトコル)を使用するため、ネットワーク条件が悪化すると、アカウンティング メッセージが失われる可能性があります。アカウンティング要求の再送信(回数は設定可能)の後に、スイッチが RADIUS サーバからアカウンティング応答メッセージを受信しない場合、次のシステム メッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

終了メッセージの送信に成功しなかった場合、次のようなメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) %RADIUS-3-NO ACCOUNTING RESPONSE メッセージをイネーブルにするには、debug radius コマンドまたは debug radius accounting コマンドを使用します。


アカウンティング応答メッセージを受信しない RADIUS メッセージの数を表示するには、show radius statistics コマンドを使用します。

IEEE 802.1x RADIUS アカウンティングの設定については、『 Catalyst 4500 Series Switch Cisco IOS Software Configuration Guide, 12.2(31)SGA 』の「Configuring 802.1X Port-Based Authentication」の「 Enabling 802.1X Accounting 」を参照してください。

IEEE 802.1x アカウンティングのアトリビュート値ペア

RADIUS サーバに送信される情報は、AV ペアの形式で表現されます。これらの AV ペアには、さまざまなアプリケーション用のデータが用意されています(たとえば、課金情報は、RADIUS パケットの Acct-Input-Octets または Acct-Output-Octets アトリビュートに含まれる情報が必要な可能性があります)。

AV ペアは、IEEE 802.1x アカウンティング用に設定されたルータから自動的に送信されます。ルータからは 3 種類の RADIUS アカウンティング パケットが送信されます。

START:新しいユーザ セッションが開始されたときに送信されます

INTERIM:更新のために既存のセッション中に送信されます

STOP:セッションの終了時に送信されます

表 1 に、AV ペア一覧とルータから送信される場合を示します。

 

表 1 アカウンティングの AV ペア

アトリビュート番号
AV ペア名
START
INTERIM
STOP

Attribute[1]

User-Name

Always

Always

Always

Attribute[4]

NAS-IP-Address

Always

Always

Always

Attribute[5]

NAS-Port

Always

Always

Always

Attribute[6]

Service-Type

Always

Always

Always

Attribute[8]

Framed-IP-Address

Never

Sometimes1

Sometimes 1

Attribute[25]

Class

Always

Always

Always

Attribute[30]

Called-Station-ID

Always

Always

Always

Attribute[31]

Calling-Station-ID

Always

Always

Always

Attribute[40]

Acct-Status-Type

Always

Always

Always

Attribute[41]

Acct-Delay-Time

Always

Always

Always

Attribute[42]

Acct-Input-Octets

Never

Always

Always

Attribute[43]

Acct-Output-Octets

Never

Always

Always

Attribute[44]

Acct-Session-ID

Always

Always

Always

Attribute[45]

Acct-Authentic

Always

Always

Always

Attribute[46]

Acct-Session-Time

Never

Never

Always

Attribute[47]

Acct-Input-Packets

Never

Always

Always

Attribute[48]

Acct-Output-Packets

Never

Always

Always

Attribute[49]

Acct-Terminate-Cause

Never

Never

Always

Attribute[61]

NAS-Port-Type

Always

Always

Always

1.Framed-IP-Address AV ペアが送信されるのは、DHCP スヌーピング バインディング テーブルに、ホストの有効な Dynamic Host Control Protocol(DHCP; 動的ホスト制御プロトコル)バインディングが存在する場合だけです。

ISR を設定して、シスコ Vendor-Specific Attribute(VSA; ベンダー固有アトリビュート)を RADIUS サーバに送信できます。 表 2 に、使用できるシスコの AV ペア一覧を示します。


) アカウンティング レコードで VSA を送信できるようにするには、radius-server vsa send accounting コマンドを設定する必要があります。


 

表 2 シスコ ベンダー固有属性

アトリビュート番号
AV ペア名
START
INTERIM
STOP

Attribute[26,9,1]

Cisco-Avpair: connect-progress

Always

Always

Always

Attribute[26,9,2]

cisco-nas-port

Always

Always

Always

Attribute[26,9,1]

Cisco-Avpair: disc-cause

Never

Never

Always

ルータから送信されている AV ペアを表示するには、 debug radius accounting 特権 EXEC コマンドを入力します。このコマンドの詳細については、『 Cisco IOS Debug Command Reference 』を参照してください。AV ペアの詳細については、RFC 3580 「 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 」を参照してください。

IEEE 802.1x 認証と他の機能を併用する方法

ここでは、IEEE 802.1x 認証を、ISR ルータのスイッチ ポートで他の機能と組み合わせて使用する方法について説明します。

「IEEE 802.1x 認証と VLAN の割り当て」

「IEEE 802.1x 認証とゲスト VLAN」

「IEEE 802.1x と RADIUS 指定のセッション タイムアウト」

「IEEE 802.1x 認証と音声 VLAN ポート」

「IEEE 802.1x SNMP 通知のイネーブル化」

「IEEE 802.1x MIB サポート」

IEEE 802.1x 認証と VLAN の割り当て


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


Cisco IOS リリース 12.4(11)T 以降のリリースでは、スイッチ ポートは IEEE 802.1x 認証と VLAN 割り当てをサポートします。ポートの IEEE 802.1x 認証に成功した後、スイッチ ポートを設定するために RADIUS サーバから VLAN 割り当てが送信されます。VLAN 割り当て機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

RADIUS サーバ データベースにはユーザ名から VLAN へのマッピングが保持され、スイッチ ポートに接続するサプリカントのユーザ名に基づいて、VLAN が割り当てられます。

ここでは、IEEE 802.1x VLAN 割り当てに関する次の情報について説明します。

「IEEE 802.1x VLAN 割り当てに関する前提条件」

「IEEE 802.1x VLAN 割り当てに関する制約事項」

「VLAN 割り当ての設定」

IEEE 802.1x VLAN 割り当てに関する前提条件

VLAN 割り当て機能を自訴する前に、次の条件を満たす必要があります。

スイッチ ポートで IEEE 802.1x をイネーブルにする必要があります。

EAP のサポートを RADIUS サーバでイネーブルにする必要があります。

すべてのネットワーク関連のサービス要求について、ポートの AAA 認可を設定する必要があります。

ポートの認証に成功する必要があります。

IEEE 802.1x VLAN 割り当てに関する制約事項

次に、VLAN 割り当て機能に適用される制約事項を示します。

次のいずれかの条件が発生すると、スイッチ ポートは常に設定済みアクセス VLAN に割り当てられます。

RADIUS サーバから VLAN が指定されなかった場合。

RADIUS サーバからの VLAN 情報が無効だった場合。

IEEE 802.1x 認証がポートでディセーブルだった場合。

ポートのステートが、force authorized、force unauthorized、unauthorized、または shutdown のいずれかだった場合。


) アクセス VLAN とは、アクセス ポートに割り当てられた VLAN です。このポートで送受信されたすべてのパケットは、この VLAN に属します。


設定済みアクセス VLAN に割り当てることで、設定エラーによって不適切な VLAN でポートが予期せず表示される問題を回避できます。たとえば、次のような設定エラーがあります。

存在しない、または不正な VLAN ID

音声 VLAN ID に対する割り当ての試行

IEEE 802.1x 認証と VLAN 割り当て機能の併用は、トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)を介するダイナミックアクセス ポートの割り当てではサポートされません。

IEEE 802.1x ポートでマルチホスト モードがイネーブルの場合、すべてのホストは、最初に認証されたホストと同じ VLAN(RADIUS サーバによって指定されます)に配置されます。

IEEE 802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置されると、ポート アクセス VLAN 設定のすべての変更は有効になりません。

VLAN 割り当ての設定


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


スイッチ ポートで VLAN 割り当てを設定するには、次のタスクを実行する必要があります。

network キーワードを使用して RADIUS サーバからのインターフェイス設定を許可するように、AAA 認可をイネーブルにします。詳細な手順については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring Switch-Based Authentication」の「 Configuring RADIUS Authorization for User Privileged Access and Network Services 」を参照してください。

IEEE 802.1x 認証をイネーブルにします。詳細な手順については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring Switch-Based Authentication」の「 Configuring RADIUS Login Authentication 」を参照してください。


) アクセス ポートで IEEE 802.1x 認証を設定すると、VLAN 割り当て機能は自動的にイネーブルになります。


RADIUS サーバでベンダー固有の tunnel アトリビュートを割り当てます。RADIUS サーバは、次のようにそのアトリビュートをルータに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN name or VLAN ID

Attribute [64] には、値「VLAN」(タイプ 13)を含める必要があります。Attribute [65] には、値「802」(タイプ 6)を含める必要があります。Attribute [81] には、IEEE 802.1x 認証済みユーザに割り当てる VLAN 名または VLAN ID を指定します。

tunnel アトリビュートの例については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring Switch-Based Authentication」の「 Configuring the Switch to Use Vendor-Specific RADIUS Attributes 」を参照してください。

IEEE 802.1x 認証とゲスト VLAN


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


ルータ上の各 IEEE 802.1x 対応スイッチ ポートにゲスト VLAN を設定することで、IEEE 802.1x クライアントのダウンロードなど、制限されたサービスをクライアントに提供できます。IEEE 802.1x クライアントが IEEE 802.1x 認証のためにシステムをアップグレードする場合や、Windows 98 システムなどの一部のホストが IEEE 802.1x 対応ではない場合があります。

IEEE 802.1x ポートでゲスト VLAN をイネーブルにしている場合、EAP request/identity フレームに対する応答をルータが受信しないときや、クライアントから EAPOL パケットが送信されないときに、ルータはクライアントをゲスト VLAN に割り当てます。

ルータは EAPOL パケット履歴を保持します。リンクのライフタイム中にインターフェイスで EAPOL パケットが検出された場合、そのインターフェイスに接続されている装置は IEEE 802.1x 対応クライアントであることがルータで判断され、インターフェイスはゲスト VLAN ステートに変更されません。インターフェイス リンク ステータスがダウンになると EAPOL 履歴がクリアされます。インターフェイスで EAPOL パケットが検出されない場合、インターフェイスはゲスト VLAN ステータスに変更されます。

Cisco IOS リリース 12.4(11)T 以降のリリースでは、リンクのライフタイム中に装置から EAPOL パケットが送信された場合、ルータは、ゲスト VLAN に対する認証アクセスに失敗したクライアントを許可しません。


) インターフェイスがゲスト VLAN に変更された後に EAPOL パケットが検出された場合、インターフェイスは無許可ステートに戻り、IEEE 802.1x 認証が再開されます。


ルータ ポートをゲスト VLAN に移行すると、任意の数の IEEE 802.1x 非対応クライアントにアクセスが許可されます。IEEE 802.1x 対応クライアントが、ゲスト VLAN が設定されている同じポートに参加すると、ユーザ設定のアクセス VLAN のポートは無許可ステートになり、認証が再開されます。

ゲスト VLAN は、シングルホスト モードまたはマルチホスト モードの IEEE 802.1x ポートでサポートされます。

任意のアクティブ VLAN を IEEE 802.1x ゲスト VLAN に設定できます。ただし、Remote Switch Port Analyzer(RSPAN)VLAN または音声 VLAN を除きます。ゲスト VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。サポートされるのはアクセス ポートだけです。

ゲスト VLAN の設定については、『 Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE 』の「Configuring IEEE 802.1x Port-Based Authentication」の「 Configuring a Guest VLAN 」を参照してください。

IEEE 802.1x と RADIUS 指定のセッション タイムアウト


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


ローカルで設定、または RADIUS によって指定した再認証タイムアウトのどちらをスイッチ ポートに使用するかを指定できます。ローカル タイムアウトを使用するようにスイッチ ポートを設定した場合、タイマーが期限切れになるとホストは再認証されます。

RADIUS によって指定したタイムアウトを使用するようにスイッチ ポートを設定した場合、Session-Timeout アトリビュートとオプションで Termination-Action アトリビュートの RADIUS Access-Accept メッセージが確認されます。スイッチ ポートは、Session-Timeout アトリビュートの値を使用してセッションの期間を決定し、Termination-Action アトリビュートの値を使用してセッション タイマーが期限切れになったときのスイッチの処理を決定します。

Termination-Action アトリビュートが指定され、値が RADIUS-Request の場合、スイッチ ポートはホストを再認証します。Termination-Action アトリビュートが指定されていない場合、または値が Default の場合、スイッチ ポートはセッションを終了します。


) ポート上のサプリカントは、セッションが終了され、新しいセッションを開始しようとしたことを検出します。認証サーバがこの新しいセッションを区別して処理しない限り、サプリカントからは、スイッチによる新規セッションの確立時にネットワーク接続に短い中断があっただけのように見える可能性があります。


RADIUS 指定のタイムアウトを使用するようにスイッチ ポートを設定して、Access-Accept メッセージに Session-Timeout アトリビュートを含めない場合、スイッチ ポートはサプリカントを再認証しません。この動作はシスコのワイヤレス アクセス ポイントと一致しています。

IEEE 802.1x 認証と音声 VLAN ポート


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


音声 VLAN は、次の 2 つの VLAN ID と関連付けられた特殊なアクセス ポートです。

Voice VLAN Identifier(VVID; 音声 VLAN ID)。IP 電話との間で音声トラフィックを送受信します。VVID は、ポートに接続されている IP 電話の設定に使用されます。

Port VLAN Identifier(PVID; ポート VLAN ID)。IP 電話を介してルータに接続しているワークステーションとの間で音声トラフィックを送受信します。PVID はポートのネイティブ VLAN です。

IP 電話では、ポートの認可ステートに関係なく、音声トラフィックには VVID を使用します。そのため、IP 電話は IEEE 802.1x 認証と関係なく機能します。

シングルホスト モードでは、音声 VLAN 上で単一の IP 電話が許可されています。マルチホスト モードでは、PVID でサプリカントを認証した後は、音声 VLAN 上で複数の IP 電話がトラフィックを送信できます。マルチホスト モードをイネーブルにすると、サプリカントの認証は PVID と VVID の両方に影響を及ぼします。

リンクがあり、IP 電話からの最初の CDP メッセージの後に装置の MAC アドレスが表示されると、音声 VLAN ポートがアクティブになります。シスコの IP 電話は、他の装置からの CDP メッセージをリレーしません。そのため、複数の IP 電話を一連に接続している場合、ルータは直接接続されている 1 つの IP 電話だけを認識します。音声 VLAN ポートで IEEE 802.1x 認証がイネーブルの場合、ルータで認識されない複数のホップの IP 電話からのパケットは、ルータでドロップされます。

ポートで IEEE 802.1x 認証をイネーブルにすると、音声 VLAN と同じポート VLAN を設定できません。


) 音声 VLAN を設定し、シスコ IP 電話を接続しているアクセス ポートで、IEEE 802.1x 認証がイネーブルの場合、シスコ IP 電話からルータへの接続は、最大 30 秒間失われます。


IEEE 802.1x と音声 VLAN を設定する方法については、『Catalyst 3750 Switch Software Configuration Guide, 12.2(25)SEE』の「 Configuring Voice VLAN 」を参照してください。

IEEE 802.1x SNMP 通知のイネーブル化


) ここでは、シスコ ISR のスイッチ ポートでだけ使用できる IEEE 802.1x セキュリティ機能について説明します。


スイッチ ポートでの IEEE 802.1x 機能について Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)通知をイネーブルにするには、次のタスクを実行します。

手順の概要

1. enable

2. configure terminal

3. snmp-server enable traps dot1x

手順の詳細

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードなど、高位の権限レベルをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

snmp-server enable traps dot1x notification-type

 

Router (config)# snmp-server enable traps dot1x no-guest-vlan

ゲスト VLAN を設定または使用可能にしない場合、SNMP ロギングとレポート処理をイネーブルにします。

IEEE 802.1x MIB サポート

Cisco IOS リリース 12.4(11)T は、IEEE 802.1x 機能コンポーネントに対して SNMP アクセスを提供する次の MIB をサポートしています。

IEEE8021-PAE-MIB

Cisco-PAE-MIB

IEEE8021-PAE-MIB は、次の情報のレポートをサポートします。

特定のポート上の IEEE 802.1x ステート マシンのステート

IEEE 802.1x ステート マシンのステートと関連する統計情報

Cisco-PAE-MIB は、次のような SNMP イベントのロギングおよびレポート処理をサポートしています。

ポート モード

ゲスト VLAN 番号(ポートに設定されているゲスト VLAN 番号に関する詳細)

InGuestVLAN(ポートがゲスト VLAN 内にあるかどうかを示します)

IEEE 802.1x 機能の設定例

ここでは、次の設定例について詳しく説明します。

「ポートでの IEEE 802.1x および AAA のイネーブル化:例」

「IEEE 802.1x RADIUS アカウンティングのイネーブル化:例」

「IEEE 802.1x とゲスト VLAN の設定:例」

「RADIUS によって指定されたセッション タイムアウト:例」

「IEEE 802.1x と音声 VLAN の設定:例」

「IEEE 802.1x 統計情報とステータス:例」

ポートでの IEEE 802.1x および AAA のイネーブル化:例


) ポートで任意の IEEE 802.1x パラメータを設定すると、dot1x オーセンティケータはポートに自動作成されます。そのため、dot1x pae authenticator が設定に表示され、以前の設定を手動で変更しなくても、IEEE 802.1x 認証は機能します。設定の IEEE 802.1x 情報の形式は、今後のリリースで変わる可能性があります。


次に、ファスト イーサネット ポート 2/1 で IEEE 802.1x および AAA をイネーブルにし、設定を確認する例を示します。

Router# configure terminal
Router(config)# dot1x system-auth-control
Router(config)# aaa new-model
Router(config)# aaa authentication dot1x default group radius
Router(config)# interface fastethernet2/1
Router(config-if)# switchport mode access
Router(config-if)# dot1x pae authenticator
Router(config-if)# dot1x port-control auto
Router(config-if)# end
Router# show dot1x interface fastethernet7/1 details
 
Dot1x Info for FastEthernet7/1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
 
Dot1x Authenticator Client List
-------------------------------
Supplicant = 1000.0000.2e00
Auth SM State = AUTHENTICATED
Auth BEND SM Stat = IDLE
Port Status = AUTHORIZED
Authentication Method = Dot1x
Authorized By = Authentication Server
Vlan Policy = N/A

IEEE 802.1x RADIUS アカウンティングのイネーブル化:例

次に、IP アドレスが 172.20.39.46 のサーバを RADIUS サーバとして指定する例を示します。最初のコマンドで RADIUS サーバを設定し、ポート 1612 を認可ポート、1813 をアカウンティング用の UDP ポート、rad123 を暗号化キーとして指定します。

Router# configure terminal
Router(config)# radius-server host 172.20.39.46 auth-port 1812 acct-port 1813 key rad123
Router(config)# aaa accounting dot1x default start-stop group radius
Router(config)# aaa accounting system default start-stop group radius
Router(config)# end
Router#

) RADIUS サーバを設定してアカウンティング タスクを実行します。


IEEE 802.1x とゲスト VLAN の設定:例

次に、ゲスト VLAN 機能をイネーブルにし、ゲスト VLAN として VLAN 5 を指定する例を示します。

Router# configure terminal
Router(config)# interface gigabitethernet0/1
Router(config-if)# switchport mode access
Router(config-if)# dot1x pae authenticator
Router(config-if)# dot1x guest-vlan 5
Router(config-if)# dot1x port-control auto
Router(config-if)# end
Router#
 

RADIUS によって指定されたセッション タイムアウト:例

次に、IEEE 802.1x 再認証をイネーブルにしたと仮定し、スイッチ ポートを設定してサーバから再認証期間を取得し、設定を確認する例を示します。

Router# configure terminal
Router(config)# interface fastethernet7/1
Router(config-if)# switchport mode access
Router(config-if)# dot1x pae authenticator
Router(config-if)# dot1x timeout reauth-period server
Router(config-if)# end
Router#

IEEE 802.1x と音声 VLAN の設定:例

次に、ファスト イーサネット インターフェイス 5/9 で、IEEE 802.1x と音声 VLAN 機能をイネーブルにする例を示します。

Router# configure terminal
Router(config)# interface fastethernet5/9
Router(config-if)# switchport access vlan 2
Router(config-if)# switchport mode access
Router(config-if)# switchport voice vlan 10
Router(config-if)# dot1x pae authenticator
Router(config-if)# dot1x port-control auto
Router(config-if)# end
Router(config# end
Router#

IEEE 802.1x 統計情報とステータス:例

すべてのポートについて IEEE 802.1x の統計情報を表示するには、 show dot1x all statistics 特権 EXEC コマンドを使用します。特定のポートについて IEEE 802.1x の統計情報を表示するには、 show dot1x statistics interface interface-id 特権 EXEC コマンドを使用します。

スイッチの IEEE 802.1x 管理ステータスおよび動作ステータスを表示するには、 show dot1x all [ details | statistics | summary ] 特権 EXEC コマンドを使用します。特定のポートの IEEE 802.1x 管理ステータスおよび動作ステータスを表示するには、 show dot1x interface interface-id 特権 EXEC コマンドを使用します。表示されるフィールドの詳細については、このリリースのコマンド リファレンスを参照してください。

次に、 show dot1x all コマンドの出力例を示します。

Router-871# show dot1x all
 
Sysauthcontrol Enabled
Dot1x Protocol Version 2
 
Dot1x Info for FastEthernet1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = MULTI_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
Router-871#
 

次に、 show dot1x summary コマンドの出力例を示します。

Router-871# show dot1x all summary
 
Interface PAE Client Status
------------------------------------------------------------------------------------------
Fa1 AUTH 000d.bcef.bfdc AUTHORIZED
 

その他の参考資料

ここでは、IEEE 802.1x ポートベースの認証機能に関連する参考資料を紹介します。

関連資料

内容
参照先

IEEE 802.1x ポートベースの認証の設定

Catalyst 3750 Series Switch Cisco IOS Software Configuration Guide, 12.2(31)SEE』の「 Configuring 802.1X Port-Based Authentication

IEEE 802.1x コマンド:コマンド構文、コマンド モード、コマンド履歴、デフォルト設定、使用に関する注意事項および例

Catalyst 4500 Series Switch Cisco IOS Command Reference, Release 12.2(25)SGA』

Catalyst 3750 Switch Command Reference , Cisco IOS Release 12.2(25)SEE』

IEEE 802.1x 認証を使用した VPN アクセス コントロール

VPN Access Control Using 802.1X Authentication 」フィーチャ モジュール

規格

規格
タイトル

IEEE 802.1x

Port Based Network Access Control

MIB

MIB
MIB リンク

IEEE8021-PAE-MIB

Cisco-PAE-MIB

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 3580

IEEE 802.1x Remote Authentication Dial In User Service (RADIUS) Usage Guidelines

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

IEEE 802.1x ポートベースの認証の設定に関する機能情報

表 3 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 3 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 3 IEEE 802.1x ポートベースの認証の設定に関する機能情報

機能名
リリース
機能情報

IEEE 802.1x オーセンティケータ

12.3(4)T

無許可の装置(サプリカント)がネットワークにアクセスできないように、この機能が導入されました。

スイッチ ポートがあるカードまたはモジュールを搭載した次のシスコ ISR で、この機能を使用できます。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

Cisco IOS リリース 12.4(11)T では、 表 3 に記載される他の機能一覧を含めるために、この機能は変更されました。

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x オーセンティケータ」

「ポートでの IEEE 802.1x および AAA のイネーブル化:例」

aaa accounting、dot1x guest-vlan、snmp-server enable traps コマンドが導入または変更されました。

IEEE 802.1x RADIUS アカウンティング

12.4(11)T

この機能は、重要なイベントを RADIUS サーバにリレーします(サプリカントの接続セッションなど)。この情報は、セキュリティおよび課金のために使用されます。

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x RADIUS アカウンティング」

「IEEE 802.1x RADIUS アカウンティングのイネーブル化:例」

IEEE 802.1x--VLAN 割り当て

12.4(11)T

この機能を使用すると、 RADIUS サーバは VLAN 割り当てを送信してスイッチ ポートを設定できます。

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x 認証と VLAN の割り当て」

「VLAN 割り当ての設定」

IEEE 802.1x ゲスト VLAN

12.4(11)T

この機能を使用すると、 ルータ上の各 IEEE 802.1x 対応スイッチ ポートにゲスト VLAN を設定することで、IEEE 802.1x クライアントのダウンロードなど、制限されたサービスをクライアントに提供できます。

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x 認証とゲスト VLAN」

「IEEE 802.1x とゲスト VLAN の設定:例」

IEEE 802.1x RADIUS 指定のセッション タイムアウト

12.4(11)T

この機能を使用すると、 ローカルで設定、または RADIUS によって指定した再認証タイムアウトのどちらをスイッチ ポートに使用するかを指定できます。

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x と RADIUS 指定のセッション タイムアウト」

「RADIUS によって指定されたセッション タイムアウト:例」

IEEE 802.1x 音声 VLAN

12.4(11)T

この機能を使用すると、2 の VLAN ID に関連付けられた 特殊なアクセス ポートを設定できます。

Voice VLAN Identifier(VVID; 音声 VLAN ID)。IP 電話との間で音声トラフィックを送受信します。VVID は、ポートに接続されている IP 電話の設定に使用されます。

Port VLAN Identifier(PVID; ポート VLAN ID)。IP 電話を介してルータに接続しているワークステーションとの間で音声トラフィックを送受信します。PVID はポートのネイティブ VLAN です。

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x 認証と音声 VLAN ポート」

「IEEE 802.1x と音声 VLAN の設定:例」

IEEE 802.1x MIB サポート

12.4(11)T

この機能は、次の MIB をサポートします。

IEEE8021-PAE-MIB

Cisco-PAE-MIB

Cisco IOS リリース 12.4(11)T では、スイッチ ポートがあるカードまたはモジュールを搭載した次の ISR で、この機能が導入されました。

Cisco 800 Series ISR

Cisco 870 Series ISR

Cisco 1800 Series ISR

Cisco 2800 Series ISR

Cisco 3800 Series ISR

この機能に関する詳細については、次の各項を参照してください。

「IEEE 802.1x MIB サポート」

「IEEE 802.1x SNMP 通知のイネーブル化」

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2006-2010 Cisco Systems, Inc.
All rights reserved.