Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
802.1X 認証を使用した VPN アクセス コント ロール
802.1X 認証を使用した VPN アクセス コントロール
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

802.1X 認証を使用した VPN アクセス コントロール

機能情報の確認

この章の構成

802.1X 認証を使用した VPN アクセス コントロールの前提条件

802.1X 認証を使用した VPN アクセス コントロールの制約事項

802.1X 認証を使用した VPN アクセス コントロールに関する情報

802.1X 認証を使用した VPN コントロールの動作方法

802.1X 認証のサンプル トポロジと設定

収束 802.1X オーセンティケータのサポート

802.1X サプリカント サポート

収束 802.1X サプリカントのサポート

パスワードおよび MD 5 を使用した認証

802.1X 認証を使用した VPN アクセス コントロールの設定方法

AAA RADIUS サーバの設定

ルータの設定

802.1X 認証のイネーブル化

ルータおよび RADIUS 通信の設定

802.1X パラメータ(再送信およびタイムアウト)の設定

アイデンティティ プロファイルの設定

仮想テンプレートおよび DHCP の設定

必要なアクセス コントロール ポリシーの設定

802.1x サプリカントとしての PC の設定

802.1X 認証を使用した VPN アクセス コントロールの PC への設定

Windows 2000/XP PC での 802.1X のイネーブル化

Windows 2000 PC での 802.1X のイネーブル化

Windows XP PC での 802.1X 認証のイネーブル化

Windows 2000 および Windows XP PC での 802.1X のイネーブル化

ルータを 802.1x サプリカントとして設定

トラブルシューティングのヒント

802.1X 認証を使用した VPN アクセス コントロールのモニタリング

802.1X 認証を使用した VPN アクセス コントロールの確認

802.1X 認証を使用した VPN アクセス コントロールの設定例

802.1X 認証を使用した VPN アクセス コントロールの一般的な設定例

アクセス コントロール ポリシー:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

802.1X 認証を使用した VPN アクセス コントロールの機能情報

802.1X 認証を使用した VPN アクセス コントロール

ホーム アクセス ルータを使用すると、インターネット経由の Virtual Private Network(VPN; バーチャル プライベート ネットワーク)トンネルを使用して社内ネットワークに接続できます。ホーム LAN では、社員とは別に、リモート テレワーカー本人以外の家族も同じアクセス ルータを使用できます。802.1X 認証を使用した VPN アクセス コントロール機能で、社員が企業ネットワークに家からアクセスでき、一方でリモート テレワーカー本人以外の家族はインターネットのみにアクセスできるようになります。この機能は、IEEE 802.1X プロトコル フレームワークを使用して、VPN アクセス コントロールを実現しています。認証された社員は、VPN トンネルにアクセスでき、他の家族(同じ LAN 上の認証されていないユーザ)はインターネットのみにアクセスできます。

認証マネージャが、dot1x、MAC アドレス バイパス、Web 認証などの異なる認証方式間でより柔軟に認証ができるよう追加されました。詳細については、「 802.1x Flexible Authentication 」機能を参照してください。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「802.1X 認証を使用した VPN アクセス コントロールの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

802.1X 認証を使用した VPN アクセス コントロールの前提条件

ルータの背後に接続している PC に、この PC で起動している 802.1X クライアントがある必要があります。

Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)および RADIUS の設定方法について知っている必要があります。

IP Security(IPSec; IP セキュリティ)の知識が必要です。

Dynamic Host Configuration Protocol(DHCP)の知識が必要です。

Cisco Access Control Server(ACS; アクセス コントロール サーバ)でユーザ リストを設定する方法を知っている必要があります。

802.1X 認証を使用した VPN アクセス コントロールの制約事項

Easy VPN はサポートされていません。

VLAN インターフェイスは、現在サポートされていません。

ルータとサプリカント(クライアント PC)間にスイッチが配置されている場合、Extensible Authentication Protocol over LAN(EAPOL)フレームは、スイッチで破棄されるためルータに到達しません。

802.1X 認証を使用した VPN アクセス コントロールに関する情報

802.1X 認証を使用した VPN アクセス コントロール機能を設定するには、次の概念を理解する必要があります。

「802.1X 認証を使用した VPN コントロールの動作方法」

「802.1X サプリカント サポート」

「パスワードおよび MD 5 を使用した認証」

802.1X 認証を使用した VPN コントロールの動作方法

ホーム アクセス ルータを使用すると、インターネット経由の VPN トンネルを使用して社内ネットワークに接続できます。ホーム LAN では、認証されているユーザ(社員)と認証されていないユーザ(他の家族)の両方が存在しており、両方とも社内 VPN トンネルにアクセスできます。現在、認証されていないユーザを VPN トンネルにアクセスできないようにするメカニズムはありません。

ユーザを区別するため、802.1X 認証機能を使用した VPN アクセス コントロール機能では、エンド ホストからネットワーク オペレーティング システムのレイヤ 2 のユーザ証明書を送信できる IEEE 802.1X を使用します。認証されていないトラフィック ユーザは、インターネットはパススルーできますが、社内 VPN トンネルへのアクセスはブロックされます。802.1X 認証を使用した VPN アクセス コントロール機能では 802.1X 標準のスコープを拡張し、ポート以外のデバイスを認証するようにしました。これにより、複数デバイスを、特定のポートで個別に認証することができます。この機能は、異なるアクセス ポリシーが適用されるよう、トラフィックを認証ユーザと非認証ユーザに分けます。

802.1X 対応のホストが起動すると、イーサネット タイプや長さを 0x888E に設定した EAPOL-Start 802.1X Protocol Data Unit(PDU; プロトコル データ ユニット)を、予約済み IEEE マルチキャスト MAC アドレス(01-80-C2-00-00-03)に送信して認証フェーズを開始します。

すべての 802.1X PDU は、イーサネット ドライバで行われるのと同じように識別され、802.1X プロセスで処理されるよう入力キューに追加されます。プラットフォームの中には、EAPOL パケットを受信できるよう、イーサネット ドライバでインターフェイス アドレス フィルタをプログラムする必要があるものがあります。

ルータでは、EAPOL-Start メッセージを受信すると、発信元 MAC アドレスが「記憶」され、EAPOL-request または identity PDU がホストに送信されます。ルータはすべてのホストアドレス PDU を、マルチキャスト アドレスではなくホストの個別の MAC アドレスに送信します。

802.1X 認証のサンプル トポロジと設定

図 1に、802.1X 認証を使用した VPN アクセス コントロールが行われる一般的なシナリオを図示します。

図 1 一般的な 802.1X 認証設定

 

図 1では、すべての PC が 802.1X 対応ホストで、Cisco ルータがオーセンティケータです。PC はすべて、組み込みハブまたは外部ハブに接続されています。PC が 802.1X 認証をサポートしていない場合、MAC ベースの認証が Cisco ルータでサポートされます。Cisco ルータ WAN を越えて、あらゆる種類の接続やネットワークを使用できます。


) • ルータとサプリカント(クライアント PC)間にスイッチが配置されている場合、EAPOL フレームは、スイッチで破棄されるためルータに到達しません。

サプリカントは、ポイントツーポイント LAN セグメントの片端のエンティティで、もう片端に接続されたオーセンティケータにより認証されています。


 

収束 802.1X オーセンティケータのサポート

Cisco IOS リリース 12.4(6)T の、802.1X オーセンティケータ用 Cisco IOS コマンドが、さまざまな Cisco IOS プラットフォームで同じように動作するよう標準化されました。

802.1X サプリカント サポート

ネットワーク デバイス(802.1X オーセンティケータとして動作するルータ)が安全でない場所に配置され、オーセンティケータとして信頼できない場合の導入シナリオです。このシナリオでは、他のネットワーク デバイスに対し、ネットワーク デバイスが自身を認証できる必要があります。802.1X サプリカント サポート機能で、この要件を解決する次の方法を使用できます。

Extensible Authentication Protocol(EAP)フレームワークが含まれているため、サプリカントが EAP 要求を「理解」し、これに「対応」できます。EAP-Message Digest 5(EAP-MD5)が現在サポートされています。

イーサネット リンクを使用して接続されている 2 つのネットワーク デバイスが、1 つのサプリカントとして動作し、同時にオーセンティケータとして動作するため、相互認証が可能です。

サプリカントとして動作するネットワーク デバイスは、複数のオーセンティケータを使用して、デバイス自身を認証できます(つまり、サプリカント上の単一ポートを複数のオーセンティケータに接続できます)。

次の図は、802.1X サプリカント サポートの例です。この図では、単一のサプリカント ポートが複数のオーセンティケータに接続されています。ルータ A は、LAN 上の、ルータ A 背後にあるデバイスのオーセンティケータとして動作する一方、これらのデバイスがサプリカントとして動作します。同時に、ルータ B は、サプリカントとして動作するルータ A のオーセンティケータとなります。RADIUS サーバは、企業ネットワークに配置されています。

ルータ A が LAN 上のデバイスを認証しようとする際、RADIUS サーバと「会話」する必要がありますが、その背後にあるデバイスへのアクセスが許可される前にルータ B のアイデンティティを証明する必要があります。ルータ B は、ルータ A のクレデンシャルを確認し、アクセスを許可します。

図 2 サプリカント サポートの複数インスタンス

 

収束 802.1X サプリカントのサポート

Cisco IOS リリース 12.4(6)T の、802.1X サプリカント用 Cisco IOS コマンドが、さまざまな Cisco IOS プラットフォームで同じように動作するよう標準化されました。「ルータを 802.1x サプリカントとして設定」を参照してください。

パスワードおよび MD 5 を使用した認証

パスワードおよび Message Digest 5(MD5; メッセージ ダイジェスト 5)の使用に関する情報については、Cisco.com の次の資料を参照してください。

「Improving Security on Cisco Routers」

802.1X 認証を使用した VPN アクセス コントロールの設定方法

ここでは、次の手順について説明します。

「AAA RADIUS サーバの設定」

「ルータの設定」

「802.1x サプリカントとしての PC の設定」

「802.1X 認証を使用した VPN アクセス コントロールのモニタリング」

「802.1X 認証を使用した VPN アクセス コントロールの確認」

AAA RADIUS サーバの設定

AAA RADIUS サーバを設定するには、次の手順を実行します。


ステップ 1 ネットワーク アクセス サーバおよび関連付けられた共有秘密のエントリを設定します。

(注) AAA サーバとして、FreeRADIUS または Cisco Secure ACS、あるいは 802.1X をサポートするその他の同様の製品を使用できます。

ステップ 2 ユーザ名を追加し、そのユーザのパスワードを設定します。

ステップ 3 グローバルまたはユーザ単位の認証スキームを設定します。


 

802.1X 認証のイネーブル化

802.1X ポートベース認証をイネーブルにするには、ルータを、AAA サーバと通信できるように設定し、802.1X をグローバルにイネーブルにし、インターフェイスで 802.1X をイネーブルにする必要があります。802.1X ポートベース認証をイネーブルにするには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa new-model

4. aaa authentication dot1x { default | listname } method1 [ method2... ]

5. dot1x system-auth-control

6. identity profile default

7. interface type slot / port

8. dot1x port-control auto

手順の詳細

 

コマンド
説明

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

 

Router (config)# aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authentication dot1x { default | listname } method1 [ method2... ]

 

Router (config)# aaa authentication dot1x default group radius

イネーブル コマンド レベルにアクセスするためのユーザ権限の定義に使用する認証方式を作成します。

ステップ 5

dot1x system-auth-control

 

Router (config)# dot1x system-auth-control

802.1X ポートベース認証をグローバルにイネーブルにします。

ステップ 6

identity profile default

 

Router (config)# identity profile default

アイデンティティ プロファイルを作成し、dot1x プロファイル コンフィギュレーション モードを開始します。

ステップ 7

interface type slot / port

 

Router (config-identity-prof)# interface fastethernet 0/1

インターフェイス コンフィギュレーション モードを開始し、802.1X ポートベース認証をイネーブルにするインターフェイスを指定します。

ステップ 8

dot1x port-control auto

 

Router (config-if)# dot1x port-control auto

802.1X ポートベース認証をインターフェイスでイネーブルにします。

ここでは、次の例について説明します。

「802.1X 設定」

「802.1X 認証の確認」

802.1X 設定

次は、802.1X 認証をルータで設定した例です。

Router# configure terminal
Router(config)# aaa new-model
Router(config)# aaa authentication dot1x default group radius group radius
Router(config)# dot1x system-auth-control
Router(config)# interface fastethernet 1
Router(config-if)# dot1x port-control auto

802.1X 認証の確認

次は、 show dot1x コマンドのサンプル出力で、ルータで設定した 802.1X 認証を示しています。

Router# show dot1x all
 
Sysauthcontrol Enabled
Dot1x Protocol Version 2
 
Dot1x Info for FastEthernet1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = MULTI_HOST
ReAuthentication = Enabled
QuietPeriod = 600
ServerTimeout = 60
SuppTimeout = 30
ReAuthPeriod = 1800 (Locally configured)
ReAuthMax = 2
MaxReq = 3
TxPeriod = 60
RateLimitPeriod = 60

ルータおよび RADIUS 通信の設定

RADIUS サーバ パラメータを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip radius source-interface interface-name

4. radius-server host { hostname | ip-address }

5. radius-server key string

手順の詳細

 

コマンド
説明

ステップ 1

enable

 
Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip radius source-interface interface-name

 

Router (config)# ip radius source-interface fastethernet1

RADIUS で、すべての発信 RADIUS パケットで指定したインターフェイスの IP アドレスを強制的に使用するようにします。

ステップ 4

radius-server host { hostname | ip-address }

 

Router (config)# radius-server host 192.0.2.0

RADIUS サーバ ホスト名またはルータの IP アドレスを設定します。

複数の RADIUS サーバを使用するには、このコマンドをサーバごとに再入力します。

ステップ 5

radius-server key string

 

Router (config)# radius-server key radiuskey

ルータと RADIUS サーバで実行される RADIUS デーモン間で使用される認証と暗号化キーを設定します。

キーはテキスト ストリングで、RADIUS サーバで使用される暗号化キーと一致する必要があります。

次は、ルータで設定した RADIUS サーバ パラメータの例です。

Router# configure terminal
Router(config)# ip radius source-interface ethernet1
Router(config)# radius-server host 192.0.2.1
Router(config)# radius-server key radiuskey

802.1X パラメータ(再送信およびタイムアウト)の設定

さまざまな 802.1X 再送信およびタイムアウト パラメータを設定できます。これらのパラメータにはすべて、デフォルト値があるため、この設定は任意です。再送信およびタイムアウト パラメータを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. interface type slot / port

4. dot1x max-req number-of-retries

5. dot1x port-control [ auto | force-authorized | force-unauthorized ]

6. dot1x control-direction { both | in }

7. dot1x reauthentication

8. dot1x timeout tx-period seconds

9. dot1x timeout server-timeout seconds

10. dot1x timeout reauth-period seconds

11. dot1x timeout quiet-period seconds

12. dot1x timeout ratelimit-period seconds

手順の詳細

 

コマンド
説明

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type slot / port

 

Router (config)# interface FastEthernet 0/1

インターフェイス コンフィギュレーション モードを開始し、802.1X ポートベース認証をイネーブルにするインターフェイスを指定します。

ステップ 4

dot1x max-req number-of-retries

 

Router (config-if)# dot1x max-req 3

サプリカントが 802.1X をサポートしていないと判断されるまでにルータが EAP 要求/アイデンティティ フレームをサプリカントに送信する(応答が受信されないと見なされます)最大回数を設定します。

ステップ 5

dot1x port-control [ auto | force-authorized | force-unauthorized ]

 

Router (config-if)# dot1x port-control auto

ポート コントロール値を設定します。

auto(任意) :サプリカントの認証ステータスは認証プロセスで決定されます。

force-authorized(任意) :インターフェイス上のすべてのサプリカントが認証されます。デフォルトは force-authorized キーワードです。

force-unauthorized(任意) :インターフェイス上のすべてのサプリカントが認証されません。

ステップ 6

dot1x control-direction { both | in }

 

Router (config-if)# dot1x control-direction both

ポート コントロールを単一方向または双方向に変更します。

ステップ 7

dot1x reauthentication

 

Router (config-if)# dot1x reauthentication

インターフェイス上のサプリカントの定期的な再認証をイネーブルにします。

再認証の間隔は、 dot1x timeout コマンドを使用して設定できます。

ステップ 8

dot1x timeout tx-period seconds

 

Router (config-if)# dot1x timeout tx-period 60

サプリカントのリトライのタイムアウトを設定します。

802.1X パケットがサプリカントに送信され、そのサプリカントが応答しなかった場合、そのパケットは、 seconds 引数を使用して設定した時間経過後に再度送信されます。

値は 1 ~ 65535 秒です。デフォルトは 30 秒です。

ステップ 9

dot1x timeout server-timeout seconds

 

Router (config-if)# dot1x timeout server-timeout 60

RADIUS のリトライのタイムアウトを設定します。

802.1X パケットがサーバに送信され、そのサーバが応答しなかった場合、そのパケットは、 seconds 引数を使用して設定した時間経過後に再度送信されます。

値は 1 ~ 65535 秒です。デフォルトは 30 秒です。

ステップ 10

dot1x timeout reauth-period seconds

 

Router (config-if)# dot1x timeout reauth-period 1800

自動再認証が開始される時間を設定します。

値は 1 ~ 65535 秒です。デフォルトは 3600 秒です。

ステップ 11

dot1x timeout quiet-period seconds

 

Router (config-if)# dot1x timeout quiet-period 600

認証失敗後、認証を再度開始する時間です。

値は 1 ~ 65535 秒です。デフォルト値は 120 秒です。

ステップ 12

dot1x timeout ratelimit-period seconds

 

Router (config-if)# dot1x timeout ratelimit-period 60

レート制限時間中、誤動作したサプリカントからの EAP-START パケットを抑制します。

値は 1 ~ 65535 秒です。

次は、さまざまな再送信およびタイムアウト パラメータが設定されている設定例です。

Router# configure terminal

Router(config)# interface FastEthernet1

Router(config-if)# dot1x port-control auto

Router(config-if)# dot1x reauthentication

Router(config-if)# dot1x timeout reauth-period 1800

Router(config-if)# dot1x timeout quiet-period 600

Router(config-if)# dot1x timeout supp-timeout 60

Router(config-if)# dot1x timeout server-timeout 60

アイデンティティ プロファイルの設定

identity profile default コマンドで、802.1X をサポートしていないクライアントのスタティック MAC アドレスを設定し、スタティックに認証または非認証できます。802.1X 認証を使用した VPN アクセス コントロール機能で、認証されたユーザと認証されなかったユーザを、異なるインターフェイスにマッピングできます。 dot1x プロファイル コンフィギュレーション モードで、非認証サプリカントがマッピングされる仮想アクセス インターフェイスの作成に使用される仮想テンプレート インターフェイスを指定できます。仮想アクセス インターフェイスの作成に使用する仮想テンプレート インターフェイスを指定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. identity profile default

4. description line-of-description

5. template virtual-template

6. device [ authorize | not-authorize ] mac-address mac-address

7. device authorize type device-type

手順の詳細

 

コマンド
説明

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

identity profile default

 

Router (config)# identity profile default

アイデンティティ プロファイルを作成し、アイデンティティ プロファイル コンフィギュレーション モードを開始します。

ステップ 4

description line-of-description

 

Router (config-identity-prof)# description description 1

説明用のテキストをプロファイルに関連付けます。

ステップ 5

template virtual-template

 

Router (config-identity-prof)# template virtual-template 1

認証されたユーザに動的に作成される仮想インターフェイス向けの設定の複製元として使用する仮想テンプレート インターフェイスを指定します。

ステップ 6

device [ authorize | not-authorize ] mac-address mac-address

 

Router (config-identity-prof)# device authorize mac-address 1.1.1

サプリカントが 802.1X を「理解」しない場合は、MAC アドレスを指定して、サプリカントをスタティックに認証または非認証します。

ステップ 7

device authorize type device-type

 

Router (config-identity-prof)# device authorize type cisco ip phone

デバイスのタイプをスタティックに認証または非認証します。

次は、Cisco IP Phone と特定の MAC アドレスがスタティックに認証される例です。

Router# configure terminal

Router (config)# identity profile default

Router(config-1x-prof)# description put the description here

Router(config-1x-prof)# template virtual-template1

Router(config-1x-prof)# device authorize type cisco ip phone

Router(config-1x-prof)# device authorize mac-address 0001.024B.B4E7

仮想テンプレートおよび DHCP の設定

802.1X 認証を使用した VPN アクセス コントロール機能は、1 つまたは 2 つの DHCP で設定できます。プールが 2 つある場合、認証されないデバイスと認証されるデバイスは、別々の DHCP プールからアドレスを取得します。たとえば、パブリック プールにはローカルでのみ有効なアドレス ブロックを保持し、プライベート プールには VPN トンネル上でルーティング可能なアドレスを保持できます。ルータをプライベート プールおよびパブリック プールで設定するには、次の手順を実行します。

手順の概要

アイデンティティ プロファイルの設定

1. enable

2. configure terminal

3. identity profile default

4. description description-string

5. template virtual-template

6. exit

DHCP プライベート プールの設定

1. ip dhcp pool name

2. network network-number [ mask ]

3. default-router address

DHCP パブリック プールの設定

1. ip dhcp pool name

2. network network-number [ mask ]

3. default-router address

4. exit

インターフェイスの設定

1. configure terminal

2. interface type slot/port

3. ip address ip-address mask [ secondary ]

4. interface virtual-template number

5. ip address ip-address mask [ secondary ]

6. exit

インターフェイスに明示的に IP アドレスを割り当てないインターフェイスの設定

1. enable

2. configure terminal

3. interface type slot/port

4. ip unnumbered type number

手順の詳細

アイデンティティ プロファイルの設定

 

コマンド
説明

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

identity profile default

 

Router (config)# identity profile default

アイデンティティ プロファイルを作成し、アイデンティティ プロファイル コンフィギュレーション モードを開始します。

ステップ 4

description description-string

 

Router (config-identity-prof)# description description_string_goes_here

説明用のテキストをアイデンティティ プロファイルに関連付けます。

ステップ 5

template virtual-template

 

Router (config-identity-prof)# template virtualtemplate1

認証されたユーザに動的に作成される仮想インターフェイス向けの設定の複製元として使用する仮想テンプレート インターフェイスを指定します。

ステップ 6

exit

 

Router (config-template)# exit

アイデンティティ プロファイル コンフィギュレーション モードを終了します。

DHCP プライベート プールの設定

 

コマンド
説明

ステップ 1

ip dhcp pool name

 

Router (config)# ip dhcp pool private

DHCP プライベート アドレス プールを Cisco IOS DHCP サーバで設定し、DHCP プール コンフィギュレーション モードを開始します。

ステップ 2

network network-number [ mask ]

 

Router (dhcp-config)# network 209.165.200.225 255.255.255.224

Cisco IOS DHCP サーバで DHCP プライベート アドレス プールのサブネット番号およびマスクを設定します。

ステップ 3

default-router address

 

Router (dhcp-config)# default-router 192.0.2.2

DHCP クライアントでデフォルト ルータ リストを指定します。

DHCP パブリック プールの設定

 

コマンド
説明

ステップ 1

ip dhcp pool name

 

Router (config-dhcp)# ip dhcp pool public

DHCP パブリック アドレス プールを Cisco IOS DHCP サーバで設定します。

ステップ 2

network network-number [ mask ]

 

Router (config-dhcp)# network 209.165.200.226 255.255.255.224

DHCP パブリック アドレス プールのサブネット番号およびマスクを Cisco IOS DHCP サーバで設定します。

ステップ 3

default-router address

 

Router (config-dhcp)# default-router 192.0.2.3

DHCP クライアントでデフォルト ルータ リストを指定します。

ステップ 4

exit

 

Router (config-dhcp)# exit

DHCP プール コンフィギュレーション モードを終了します。

インターフェイスの設定

 

コマンド
説明

ステップ 1

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface type slot / port

 

Router (config)# interface loopback 0/1

インターフェイス コンフィギュレーション モードを開始し、イネーブルにするインターフェイスを指定します。

ステップ 3

ip address ip-address mask [ secondary ]

 

Router (config-if)# ip address 209.165.200.227 255.255.255.224

インターフェイスのプライベート IP アドレスを設定します。

ステップ 4

interface virtual-template number

 

Router (config-if)# interface virtual-template 1

仮想アクセス インターフェイスの作成で動的に作成し、適用できる仮想テンプレート インターフェイスを作成します。

ステップ 5

ip address ip-address mask [ secondary ]

 

Router (config-if)# ip address 209.165.200.227 255.255.255.224

インターフェイスのパブリック IP アドレスを設定します。

ステップ 6

exit

 

Router (config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

インターフェイスに明示的に IP アドレスを割り当てないインターフェイスの設定

 

コマンド
説明

ステップ 1

enable

 

Router# enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface type slot / port

 

Router (config)# interface virtual-template 1

インターフェイス コンフィギュレーション モードを開始し、イネーブルにするインターフェイスを指定します。

ステップ 4

ip unnumbered type number

 

Router (config-if)# ip unnumbered loopback 0

インターフェイスに IP アドレスを明示的に割り当てなくても、インターフェイスで IP 処理をイネーブルにします。

次は、仮想テンプレート 1 と認証されていないサプリカントを関連付けるアイデンティティ プロファイルの例です。仮想テンプレート 1 は、IP アドレスをインターフェイス ループバック 0 から取得し、認証されないサプリカントはパブリック プールに関連付けられます。認証されたユーザはプライベート プールと関連付けられます。

 
Router(config)# identity profile default
Router(config-identity-prof)# description put the description here
Router(config-identity-prof)# template virtual-template1
Router(config-identity-prof)# exit
 
Router(config)# ip dhcp pool private
Router(dhcp-config)# default-router 192.0.2.0
Router(dhcp-config)# exit
 
Router(config)#ip dhcp pool public
Router(dhcp-config)# default-router 192.0.2.1
Router(dhcp-config)# exit
Router(config)# interface
 
Router(dhcp-config)# network 209.165.200.225 255.255.255.224
Router(dhcp-config)# default-router 192.0.2.1
Router(dhcp-config)# exit
 
Router(config)# interface loopback0
Router(config-if)# interface ethernet0
Router(config-if)# ip address 209.165.200.226 255.255.255.224
Router(config-if)# exit
 
Router(config)# interface virtual-template1
Router(config-if)# ip unnumbered loopback 0

必要なアクセス コントロール ポリシーの設定

802.1X 認証は、認証されたデバイスからのトラフィックと、認証されていないデバイスからのトラフィックを区別します。認証されたデバイスからのトラフィックは物理インターフェイスを中継し、認証されないトラフィックは仮想テンプレート 1 を中継します。したがって、異なるポリシーがそれぞれのインターフェイスに適用されます。また、設定は、使用するのが 2 つの DHCP プールか 1 つの DHCP プールが使用されるかどうかに依存しています。DHCP プールを 1 つ使用する場合、アクセス コントロールは仮想テンプレート 1 で設定でき、認証されないデバイスがアクセスできないネットワークにトラフィックが送信されるのをブロックします。これらのネットワーク(認証されないデバイスがアクセスできないネットワーク)は、VPN で保護されたり、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)でカプセル化された社内サブネットワークになります。また、認証されたデバイスと認証されないデバイス間のアクセスを制限するアクセス コントロールも行えます。

2 つのプールを設定した場合、信頼できないプールからのトラフィックは、Network Address Translation(NAT; ネットワーク アドレス変換)を使用してインターネットにルーティングされます。これに対し、信頼できるプールのトラフィックは、VPN トンネルを通過して転送されます。ルーティングは、NAT および VPN を適宜使用して設定し、行うことができます。

アクセス コントロール ポリシー設定の例については、アクセス コントロール ポリシー:例セクションを参照してください。

802.1X 認証を使用した VPN アクセス コントロールの PC への設定

802.1X 認証を使用して VPN アクセス コントロールを PC に設定するには、次の手順を実行します。


ステップ 1 MD5 を使用する 802.1X をイネーブルにします。

ステップ 2 DHCP をイネーブルにします。


 

Windows 2000/XP PC での 802.1X のイネーブル化

Windows 2000/XP PC での 802.1X の実装は安定していません。より安定性のある 802.1X クライアントの Microsoft Windows 用 AEGIS(ベータ)が www.mtghouse.com の Meetinghouse Data CommunicationsWeb サイトから使用できます。

Windows 2000 PC での 802.1X のイネーブル化

お使いの Windows 2000 PC で 802.1X 認証をイネーブルにするには、次の手順を実行します。


ステップ 1 PC がサービス パック 3 以上であることを確認します。

次の URL の、Microsoft Windows 2000 Web サイトの「Microsoft 802.1x 認証クライアント」ページに移動します。

http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/8021xclient.asp

上記のサイトで、Windows 2000 用 802.1X クライアントをダウンロードしてインストールします。

上記のサイトを表示できない場合、次の URL の、Microsoft Windows 2000 Web サイトの「Q313664: Recommended Update」ページを検索してください。http://www.microsoft.com/windows2000/downloads/recommended/q313664/default.asp

ステップ 2 クライアントをインストールしたら、PC を再起動します。

ステップ 3 Microsoft Windows レジストリに移動し、次のエントリを追加またはインストールします。

「HKLM¥Software¥Microsoft¥EAPOL¥Parameters¥General¥Global¥SupplicantMode REG_DWORD 3」

(「SupplicantMode」キー エントリは、デフォルトではレジストリの Global オプション配下にはありません。したがって、「SupplicantMode」という名前の新しいエントリを REG_DOWORD として追加し、その値を 3 に設定します。)

ステップ 4 PC を再起動します。


 

Windows XP PC での 802.1X 認証のイネーブル化

Windows XP PC で 802.1X 認証をイネーブルにするには、次の手順を実行します。


ステップ 1 Microsoft Windows レジストリに移動し、次のエントリをインストールします。

「HKLM¥Software¥Microsoft¥EAPOL¥Parameters¥General¥Global¥SupplicantMode REG_DWORD 3」

ステップ 2 PC を再起動します。


 

Windows 2000 および Windows XP PC での 802.1X のイネーブル化

Windows 2000 および Windows XP PC で 802.1X 認証をイネーブル化、つまり両方を同時に動作させる場合、次の手順を実行します。


ステップ 1 ネットワークを開き、コンピュータでダイヤルアップ接続ウィンドウを開きます。

ステップ 2 イーサネット インターフェイス(ローカル エリア接続)を右クリックしてプロパティ ウィンドウを開きます。「Authentication」という名前のタブがあります。

[Authentication] タブをクリックします。「Enable network access control using IEEE 802.1X」という名前のチェックボックスをオンにします。

少ししてから、選択を行うダイアログ ボックス(Windows 2000 の場合)またはフローティング ウィンドウが表示されます。選択し、次のウィンドウが表示された場合は、ユーザ名とパスワードをそのダイアログ ボックスに入力します。図 3 を参照してください。


 

図 3 ローカル エリア接続プロパティ ウィンドウ

 

ルータを 802.1x サプリカントとして設定

ルータを 802.1x サプリカントとして設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. aaa authentication dot1x { default | listname } method1 [ method2... ]

4. dot1x credentials name

5. username name

6. password [ 0 | 7 ] password

7. interface type number

8. dot1x pae supplicant

9. dot1x credentials name

10. end

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa authentication dot1x { default | listname } method1 [ method2... ]

 

Router(config)# aaa authentication dot1x default group radius

IEEE 802.1X を実行するインターフェイスで 1 つまたは複数の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)方式を指定します。

ステップ 4

dot1x credentials name

 

Router(config)# dot1x credentials name1

サプリカントを設定する際に使用する 802.1X クレデンシャル プロファイルを指定します。

ステップ 5

username name

 

Router(config-dot1x-creden)# username username1

802.1X クレデンシャル プロファイルのユーザ名を指定します。

ステップ 6

password [ 0 | 7 ] password

 

Router(config-dot1x-creden)# password 0 password1

802.1X クレデンシャル プロファイルのパスワードを指定します。

ステップ 7

exit

 

Router(config-dot1x-creden)# exit

グローバル コンフィギュレーション モードを開始します。

ステップ 8

interface type number

 

Router(config)# interface Fastethernet0/0

インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

dot1x pae supplicant

 

Router(config-if)# dot1x pae supplicant

Port Access Entity(PAE; ポート アクセス エンティティ)のタイプをサプリカントとして設定します。

ステップ 10

dot1x credentials name

 

Router(config-if)# dot1x credentials name1

サプリカントを設定する際に使用する 802.1X クレデンシャル プロファイルを指定します。

ステップ 11

end

 

Router(config-if)# end

(任意)現在のコンフィギュレーション モードを終了します。

トラブルシューティングのヒント

802.1X 認証を使用した VPN アクセス コントロールのモニタリングセクションのコマンドを使用して、サプリカントをデバッグします。

802.1X 認証を使用した VPN アクセス コントロールのモニタリング

802.1X 認証を使用した VPN アクセス コントロールをモニタリングするには、次の手順を実行します。この手順で示されるコマンドは、個別に使用でき、決まった順番はありません。

手順の概要

1. enable

2. clear dot1x { all | interface }

3. clear eap sessions [ credentials credentials-name | interface interface-name | method method-name | transport transport-name ]]

4. debug dot1x [ all | errors | events | feature | packets | redundancy | registry | state-machine ]

5. debug eap [ all | method ] [ authenticator | peer ] { all | errors | events | packets | sm }

6. dot1x initialize [ interface interface-name ]

7. dot1x re-authenticate interface-type interface-number

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear dot1x { all | interface }

 

Router# clear dot1x all

802.1X インターフェイス情報を消去します。

ステップ 3

clear eap sessions [ credentials credentials-name | interface interface-name | method method-name | transport transport-name ]]

 

Router# clear eap sessions credentials type1

スイッチの、または特定のポートの EAP 情報を消去します。

ステップ 4

debug dot1x [ all | errors | events | feature | packets | redundancy | registry | state-machine ]

 

Router# debug dot1x all

802.1X デバッグ情報を表示します。

all :すべての 802.1X デバッグ メッセージをイネーブルにします。

errors :すべての 802.1X エラーに関する情報を表示します。

events :すべての 802.1X イベントに関する情報を表示します。

feature :スイッチの 802.1X 機能のみに関する情報を表示します。

packets :すべての 802.1X パケットに関する情報を表示します。

redundancy :802.1X 冗長性に関する情報を表示します。

registry :802.1X レジストリに関する情報を表示します。

state-machine :802.1X ステート マシンに関する情報を表示します。

ステップ 5

debug eap [ all | method ] [ authenticator | peer ] { all | errors | events | packets | sm }

 

Router# debug eap all

EAP に関する情報を表示します。

ステップ 6

dot1x initialize [ interface interface-name ]

 

Router# dot1x initialize interface FastEthernet1

インターフェイスを初期化します。

ステップ 7

dot1x re-authenticate interface-type interface-number

 

Router# dot1x re-authenticate FastEthernet1

指定したインターフェイスに接続されている認証されたデバイスをすべて再認証します。

802.1X 認証を使用した VPN アクセス コントロールの確認

802.1X 認証を使用した VPN アクセス コントロールを確認するには、次の手順を実行します。

手順の概要

1. enable

2. show dot1x [ interface interface-name [ details ]]

3. show eap registrations [ method | transport ]

4. show eap sessions [ credentials credentials-name | interface interface-name | method method-name | transport transport-name ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show dot1x [ interface interface-name [ details ]]

 

Router# show dot1x interface FastEthernet 1 details

アイデンティティ プロファイルの詳細を表示します。

ステップ 3

show eap registrations [ method | transport ]

 

Router# show eap registrations method

EAP 登録情報を表示します。

ステップ 4

show eap sessions [ credentials credentials-name | interface interface-name | method method-name | transport transport-name ]

 

Router# show eap sessions interface gigabitethernet1/0/1

アクティブな EAP セッション情報を表示します。

802.1X 認証を使用した VPN アクセス コントロールの設定例

ここでは、次の例について説明します。

「802.1X 認証を使用した VPN アクセス コントロールの一般的な設定例」

「アクセス コントロール ポリシー:例」

802.1X 認証を使用した VPN アクセス コントロールの一般的な設定例

次のサンプル出力で、802.1X 認証を使用した VPN アクセス コントロールの設定を示します。ルータおよびゲートウェイでの出力例です。

ルータ

Router# show running-config
 
Building configuration...
 
Current configuration : 2457 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 871-1
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
aaa authentication dot1x default group radius group radius
!
!
aaa session-id common
!
!
dot11 syslog
ip source-route
!
ip dhcp pool private
network 209.165.200.225 255.255.255.224
default-router 192.0.2.18
!
ip dhcp pool public
network 209.165.200.226 255.255.255.224
default-router 192.0.2.17
!
ip dhcp pool name
default-router 192.0.2.16
!
!
ip cef
no ip domain lookup
ip host sjc-tftp02 192.0.2.15
ip host sjc-tftp01 192.0.2.14
ip host dirt 192.0.2.13
!
!
!
template virtualtemplate1
!
dot1x system-auth-control
dot1x credentials basic-user
description This credentials profile should be used for most configured ports
username router1
password 0 secret
!
identity profile default
description description 1
device authorize mac-address 0001.024b.b4e7
device authorize mac-address 0001.0001.0001
device authorize type cisco ip phone
template Virtual-Template1
!
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback0
ip address 209.165.200.227 255.255.255.224
!
interface FastEthernet0
!
interface FastEthernet1
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 600
dot1x timeout server-timeout 60
dot1x timeout reauth-period 1800
dot1x timeout tx-period 60
dot1x timeout ratelimit-period 60
dot1x max-req 3
dot1x reauthentication
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered Loopback0
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
station-role root
no cdp enable
!
interface Vlan1
ip address 209.165.200.228 255.255.255.224
!
ip default-gateway 192.0.2.10
ip default-network 192.0.2.11
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.0.2.11
ip route 209.165.200.229 255.255.255.224 192.0.2.12
no ip http server
no ip http secure-server
!
!
ip radius source-interface FastEthernet1
!
!
!
radius-server host 192.0.2.9 auth-port 1645 acct-port 1646
radius-server key radiuskey
!
control-plane
!
!
line con 0
exec-timeout 30 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
privilege level 15
password lab
!
scheduler max-task-time 5000
end

ゲートウェイとしてのピア ルータ

 
Router# show running-config
 
Building configuration...
Current configuration: 1828 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c3725
!
!
no aaa new-model
ip subnet-zero
!
vpdn enable
!
vpdn-group 1
accept-dialin
protocol pppoe
virtual-template 1
!
mpls ldp logging neighbor-changes
!
crypto isakmp policy 1
authentication pre-share
crypto isakmp key 0 test address 192.0.2.8
!
!
crypto ipsec transform-set t1 ah-md5-hmac esp-des
crypto mib ipsec flowmib history tunnel size 2
crypto mib ipsec flowmib history failure size 2
!
crypto map test 1 ipsec-isakmp
set peer 192.0.2.7
set transform-set t1
match address 101
!
no voice hpi capture buffer
no voice hpi capture destination
!
interface Loopback0
description corporate
ip address 209.165.200.230 255.255.255.224
!
interface Loopback1
description internet
ip address 209.165.200.231 255.255.255.224
!
interface FastEthernet0/0
ip address 209.165.200.232 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
speed auto
half-duplex
pppoe enable
!
interface ATM1/0
ip address 209.165.200.233 255.255.255.224
no atm ilmi-keepalive
pvc 1/43
protocol ip 192.0.2.6 broadcast
encapsulation aal5snap
!
!
interface FastEthernet2/0
no ip address
speed auto
full-duplex
!
interface FastEthernet2/1
no ip address
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip address 209.165.200.234 255.255.255.224
ip mtu 1492
crypto map test
!
!
router rip
network 192.0.2.5
network 192.0.2.4
network 192.0.2.3
network 192.0.2.2
network 192.0.2.1
!
ip http server
no ip http secure-server
ip classless
!
access-list 101 permit ip 10.5.0.0 0.0.0.255 10.0.0.1 0.0.0.255
no cdp log mismatch duplex
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
!
end

アクセス コントロール ポリシー:例

次は、アクセス コントロール ポリシーを設定した出力例です。

1 つの DHCP プール

ip dhcp pool private
network 209.165.200.236 255.255.255.224
default-router 20.0.0.1
exit
crypto isakmp policy 1
authentication pre-share
!
crypto isakmp key test address address
crypto ipsec transform-set t1 esp-3des esp-sha-hmac
mode tunnel
crypto map test 1 ipsec-isakmp
set peer address
set transform-set t1
match address 101
access-list 101 permit ip 10.0.0.0 0.0.0.255 50.0.0.0 0.0.0.255
access-list 102 deny ip 10.0.0.0 0.0.0.255 50.0.0.0 0.0.0.255
access-list 102 permit ip any any
!
interface Ethernet0
! inside interface
! dot1x configs
!
interface Virtual-Template1
! Deny traffic from going to VPN
ip access-group 102 in
!
Interface Ethernet1
! outside interface
crypto map test

2 つの DHCP プール

ip dhcp pool private
network 209.165.200.237 255.255.255.224
default-router 192.0.2.1
exit
!
ip dhcp pool public
network 209.165.200.238 255.255.255.224
default-router 192.0.2.0
exit
!
crypto isakmp policy 1
authentication pre-share
!
crypto isakmp key test address address
crypto ipsec transform-set t1 esp-3des esp-sha-hmac
mode tunnel
crypto map test 1 ipsec-isakmp
set peer address
set transform-set t1
match address 101
access-list 101 permit ip 10.0.0.0 0.0.0.255 10.10.0.0 0.0.0.255
access-list 102 permit ip 10.0.0.1 0.0.0.255 any
!
interface Ethernet0
!inside interface
! dot1x configs
!
interface Loopback0
ip address 209.165.200.239 255.255.255.224
!
interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
!
Interface Ethernet1
! outside interface
crypto map test
ip nat outside
!
ip nat inside source list 102 interface Ethernet1 overload

その他の参考資料

次のセクションで、802.1X 認証を使用した VPN アクセス コントロール機能に関する関連資料について説明します。

関連資料

内容
参照先

802.1x ポートベースの認証の設定

Configuring IEEE 802.1x Port-Based Authentication 」モジュール

DHCP

Cisco IOS IP Addressing Services Configuration Guide DHCP Features Roadmap 」モジュール

IPsec

Cisco IOS Security Configuration Guide: Secure Connectivity , Release 15.0』

RADIUS

Configuring RADIUS モジュール

セキュリティ コマンド

『Cisco IOS Security Command Reference』

Cisco ACS のユーザ リスト

『User Guide for Cisco Secure ACS for Windows Server Version 3.2』

規格

規格
タイトル

IEEE 802.1X プロトコル

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC-2284

Internet Requests for Comments(RFC)の一連の文書の「RFC 2284 (PPP Extensible Authentication Protocol [EAP])」資料

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

802.1X 認証を使用した VPN アクセス コントロールの機能情報

表 1 で、このモジュールの機能を一覧表示しています。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 802.1X 認証を使用した VPN アクセス コントロールの機能情報

機能名
リリース
機能情報

802.1X 認証を使用した VPN アクセス コントロール

12.3(2)XA

802.1X 認証を使用した VPN アクセス コントロール機能が導入されました。この機能で、社員が企業ネットワークに家からアクセスでき、一方でリモート テレワーカー本人以外の家族はインターネットのみにアクセスできるようになります。

802.1X 認証を使用した VPN アクセス コントロール

12.3(4)T

この機能は、Cisco IOS
リリース 12.3(4)T に統合され、次のプラットフォームのサポートが追加されました。Cisco 1751、Cisco 2610XM - Cisco 2611XM、Cisco 2620XM - Cisco 2621XM、Cisco 2650XM - Cisco 2651XM、Cisco 2691、Cisco 3640、Cisco 3640A、Cisco 3660。

802.1X サプリカント サポート

12.3(11)T

802.1X サプリカント サポートが追加されました。

収束 802.1X オーセンティケータおよび収束 802.1X サプリカントのサポート

12.4(6)T

収束 802.1X オーセンティケータおよび収束 802.1X サプリカントのサポートが追加されました(このアップデートは、さまざまな Cisco IOS プラットフォームでの Cisco IOS 802.1X コマンドの標準化です。802.1X 機能に変更はありません)。

影響がある関連コマンドは次のとおりです。 clear eap、debug dot1x、debug eap、description(dot1x クレデンシャル)、dot1x control-direction、dot1x credentials、dot1x default、dot1x host-mode、dot1x max-reauth-req、dot1x max-start、dot1x multiple-hosts、dot1x timeout、eap、identity profile、password(dot1x クレデンシャル)、show eap registrations、show eap sessions username

802.1X 認証を使用した VPN アクセス コントロール

12.4(4)XC

さまざまな 802.1X コマンドが、Cisco 870 Integrated Services Routers(ISRs; サービス統合型ルータ)用 Cisco IOS リリース 12.4(4)XC にのみ統合されました。

影響がある関連コマンドは次のとおりです。 dot1x control-direction、dot1x default、dot1x guest-vlan、dot1x host-mode、dot1x max-reauth-req、dot1x max-req、dot1x max-start、dot1x pae、dot1x port-control、dot1x re-authenticate(特権 EXEC)、dot1x reauthentication、dot1x system-auth-control、dot1x timeout、macro global、macro name show ip igmp snooping

CCDE, CCSI, CCENT, Cisco Eos, Cisco HealthPresence, the Cisco logo, Cisco Lumin, Cisco Nexus, Cisco Nurse Connect, Cisco Stackpower, Cisco StadiumVision, Cisco TelePresence, Cisco WebEx, DCE, and Welcome to the Human Network are trademarks; Changing the Way We Work, Live, Play, and Learn and Cisco Store are service marks; and Access Registrar, Aironet, AsyncOS, Bringing the Meeting To You, Catalyst, CCDA, CCDP, CCIE, CCIP, CCNA, CCNP, CCSP, CCVP, Cisco, the Cisco Certified Internetwork Expert logo, Cisco IOS, Cisco Press, Cisco Systems, Cisco Systems Capital, the Cisco Systems logo, Cisco Unity, Collaboration Without Limitation, EtherFast, EtherSwitch, Event Center, Fast Step, Follow Me Browsing, FormShare, GigaDrive, HomeLink, Internet Quotient, IOS, iPhone, iQuick Study, IronPort, the IronPort logo, LightStream, Linksys, MediaTone, MeetingPlace, MeetingPlace Chime Sound, MGX, Networkers, Networking Academy, Network Registrar, PCNow, PIX, PowerPanels, ProConnect, ScriptShare, SenderBase, SMARTnet, Spectrum Expert, StackWise, The Fastest Way to Increase Your Internet Quotient, TransPath, WebEx, and the WebEx logo are registered trademarks of Cisco Systems, Inc. and/or its affiliates in the United States and certain other countries.