Cisco DCNM Security コンフィギュレーション ガイド Release 4.0
802.1X の設定
802.1X の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

802.1X の設定

802.1X の概要

装置のロール

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

MAC アドレス認証バイパス

シングル ホストおよびマルチ ホスト サポート

ポート セキュリティを使用した 802.1X

サポートされるトポロジ

バーチャライゼーション サポート

802.1X のライセンス要件

802.1X の前提条件

802.1X の注意事項と制限事項

802.1X の設定

802.1X の設定プロセス

802.1X 機能のイネーブル化

802.1X の AAA 認証方式の設定

インターフェイスでの 802.1X 機能のイネーブル化

インターフェイスでの 802.1X 認証の制御

グローバル定期再認証のイネーブル化

インターフェイスの定期再認証のイネーブル化

802.1X グローバル認証タイマーの変更

インターフェイスの 802.1X 認証タイマーの変更

シングルホスト モードまたはマルチホスト モードのイネーブル化

MAC アドレス認証バイパスのイネーブル化

デバイス上での 802.1X 認証のディセーブル化

802.1X 機能のディセーブル化

オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定

インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定

8021.X の RADIUS アカウンティングのイネーブル化

802.1X の AAA アカウンティング方式の設定

インターフェイスでの再認証最大リトライ回数の設定

802.1X 統計情報の表示

802.1X のフィールドの説明

Security:Dot1X:Summary ペイン

Security:Dot1X:デバイス:Global Settings タブ:General

Security:Dot1X:デバイス:Global Settings タブ:Timers

Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:General

Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:Timers

その他の参考資料

関連資料

規格

MIB

802.1X の設定

この章では、NX-OS デバイス上で IEEE 802.1X ポートベースの認証を設定する手順について説明します。

この章の内容は次のとおりです。

「802.1X の概要」

「802.1X のライセンス要件」

「802.1X の前提条件」

「802.1X の注意事項と制限事項」

「802.1X の設定」

「802.1X 統計情報の表示」

「802.1X のフィールドの説明」

「その他の参考資料」

802.1X の概要

802.1X では、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、NX-OS デバイスのポートに接続されるクライアントを個々に認証します。

802.1X アクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ここでは、802.1X ポートベースの認証に関する次の内容について説明します。

「装置のロール」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「MAC アドレス認証バイパス」

「ポート セキュリティを使用した 802.1X」

「サポートされるトポロジ」

「バーチャライゼーション サポート」

装置のロール

802.1X ポート ベースの認証では、図6-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図6-1 802.1X 装置のロール

 

図6-1 に示す特定のロールは、次のとおりです。

サプリカント ― LAN および NX-OS デバイス サービスへのアクセスを要求し、NX-OS デバイスからの要求に応答するクライアント装置です。ワークステーションでは、Microsoft Windows XP が動作する装置で提供されるような、802.1X 準拠のクライアント ソフトウェアが稼働している必要があります。


) Windows XP のネットワーク接続および 802.1X ポートベースの認証の問題に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― サプリカントの実際の認証を行います。認証サーバはサプリカントの識別情報を確認し、LAN および NX-OS デバイスのサービスへのアクセスをサプリカントに許可すべきかどうかを NX-OS デバイスに通知しますNX-OS デバイスはプロキシとして動作するので、認証サービスはサプリカントに対しては透過的に行われます。認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ装置だけがサポートされています。この認証サーバは、Cisco Secure Access Control Server バージョン 3.0 で使用可能です。RADIUS はサプリカント サーバ モデルを使用し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

オーセンティケータ ― サプリカントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。オーセンティケータは、サプリカントと認証サーバとの仲介装置(プロキシ)として動作し、サプリカントから識別情報を要求し、得られた識別情報を認証サーバに確認し、サプリカントに応答をリレーします。オーセンティケータには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

オーセンティケータが EAPOL フレームを受信して認証サーバにリレーする際は、イーサネット ヘッダーを取り除き、残りの EAP フレームを RADIUS 形式にカプセル化します。このカプセル化のプロセスでは EAP フレームの変更または確認が行われないため、認証サーバはネイティブ フレーム フォーマットの EAP をサポートする必要があります。オーセンティケータは認証サーバからフレームを受信すると、サーバのフレーム ヘッダーを削除し、残りの EAP フレームをイーサネット用にカプセル化してサプリカントに送信します。


) NX-OS デバイスは、802.1X オーセンティケータにのみなれます。


認証の開始およびメッセージ交換

オーセンティケータ(NX-OS デバイス)とサプリカント(クライアント)のどちらも認証を開始できます。ポート上で認証をイネーブルにした場合、オーセンティケータはポートのリンク ステートがダウンからアップに移行した時点で、認証を開始する必要があります。続いて、オーセンティケータは EAP-Request/Identity フレームをサプリカントに送信して識別情報を要求します(通常、オーセンティケータは1 つまたは複数の識別情報の要求のあとに、最初の Identity/Request フレームを送信します)。サプリカントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

サプリカントがブートアップ時にオーセンティケータから EAP-Request/Identity フレームを受信しなかった場合、サプリカントは EAPOL 開始フレームを送信することにより認証を開始することができます。この開始フレームにより、オーセンティケータはサプリカントの識別情報を要求します。


) ネットワーク アクセス装置で 802.1X がイネーブルになっていない場合、またはサポートされていない場合、NX-OS デバイスはサプリカントからの EAPOL フレームをすべてドロップします。サプリカントが、認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、サプリカントはポートが許可ステートにあるものとしてデータを送信します。ポートが許可ステートになっている場合は、サプリカントの認証が成功したことを意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


サプリカントが自己の識別情報を提示すると、オーセンティケータは仲介装置としてのロールを開始し、認証が成功または失敗するまで、サプリカントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、オーセンティケータのポートは許可ステートになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

EAP フレームの特殊な交換は、使用する認証方式によって異なります。図6-2 に、サプリカントが RADIUS サーバに One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用して開始するメッセージ交換を示します。OTP 認証装置は、シークレット パスフレーズを使用して、一連のワンタイム(使い捨て)パスワードを生成します。ユーザのシークレット パスフレーズは、認証時やパスフレーズの変更時などにネットワークを通過することはありません。

図6-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

サプリカントのネットワークへのアクセスが許可されるかどうかは、オーセンティケータのポート ステートで決まります。ポートは最初、無許可ステートです。このステートにあるポートは、802.1X プロトコル パケットを除いたすべての入力および出力トラフィックを禁止します。サプリカントの認証に成功すると、ポートは許可ステートに移行し、サプリカントのすべてのトラフィック送受信を通常どおりに許可します。

802.1X 認証をサポートしていないクライアントが無許可ステートの 802.1X ポートに接続した場合、オーセンティケータはクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1X 対応のクライアントが、802.1X プロトコルの稼働していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないため、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

ポートには次の認証ステートがあります。

force authorized ― 802.1X ポートベースの認証をディセーブルにし、認証情報の交換を必要としないで許可ステートに移行します。ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。この認証ステートはデフォルトです。

force unauthorized ― ポートが無許可ステートのままになり、クライアントからの認証の試みをすべて無視します。オーセンティケータは、インターフェイスを経由してクライアントに認証サービスを提供することができません。

auto ― 802.1X ポートベースの認証をイネーブルにします。ポートは無許可ステートで開始し、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、またはサプリカントから EAPOL 開始フレームを受信したときに、認証プロセスが開始します。オーセンティケータは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。オーセンティケータはサプリカントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各サプリカントを一意に識別します。

サプリカントの認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたサプリカントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、オーセンティケータは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、サプリカントのネットワーク アクセスは認可されません。

サプリカントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、オーセンティケータのポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。

MAC アドレス認証バイパス

MAC 認証バイパス機能を使用して、サプリカントの MAC アドレスに基づいてサプリカントを認証するように、NX-OS デバイスを設定できます。たとえば、プリンタなどの装置に接続されている 802.1X 機能を設定したインターフェイスで、この機能をイネーブルにすることができます。

サプリカントからの EAPOL 応答を待機している間に 802.1X 認証がタイムアウトした場合は、MAC 認証バイパスを使用して NX-OS デバイスはクライアントの許可を試みます。

インターフェイスで MAC 認証バイパス機能をイネーブルにすると、NX-OS デバイスは MAC アドレスをサプリカント ID として使用します。認証サーバには、ネットワーク アクセスが許可されたサプリカントの MAC アドレスのデータベースがあります。NX-OS デバイスは、インターフェイスでクライアントを検出したあと、クライアントからのイーサネット パケットを待ちます。NX-OS デバイスは、MAC アドレスに基づいてユーザ名とパスワードを含んだ RADIUS アクセス/要求フレームを認証サーバに送信します。許可に成功した場合、NX-OS デバイスはネットワークへのクライアント アクセスを許可します。許可に失敗した場合、ゲスト VLAN が設定されていれば、ポートにゲスト VLAN を割り当てます。

リンクのライフタイム中に EAPOL パケットがインターフェイスで検出される場合、このインターフェイスに接続されている装置が 802.1X 対応サプリカントであることを NX-OS デバイスが判別し、(MAC 認証バイパスではなく)802.1X 認証を使用してインターフェイスを許可します。インターフェイス リンク ステータスがダウンになると EAPOL 履歴がクリアされます。

NX-OS デバイスがすでに MAC 認証バイパスを使用してインターフェイスを許可していて、802.1X サプリカントを検出した場合、NX-OS デバイスはインターフェイスに接続されているクライアントを無許可にしません。再認証を実行する際に、Termination-Auction RADIUS アトリビュート値が DEFAULT であるために前のセッションが終了した場合、NX-OS デバイスは 802.1X 認証を優先再認証プロセスとして使用します。

MAC 認証バイパスで許可されたクライアントを再認証することができます。再認証プロセスは、802.1X で認証されたクライアントと同様です。再認証中に、ポートは前に割り当てられた VLAN に残ります。再認証に成功した場合、スイッチはポートを同じ VLAN 内に保持します。再認証に失敗した場合、ゲスト VLAN が設定されていればポートにゲスト VLAN を割り当てます。

再認証が Session-Timeout RADIUS アトリビュート(Attribute [27])と Termination-Action RADIUS アトリビュート(Attribute [29])に基づいていて、Termination-Action RADIUS アトリビュート(Attribute [29])アクションが初期化の場合、(アトリビュート値は DEFAULT)、MAC 認証バイパス セッションが終了して、再認証中に接続が失われます。MAC 認証バイパスがイネーブルで 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再許可を開始します。これらの AV ペアの詳細については、RFC 3580『 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 』を参照してください。

MAC 認証バイパスは、次の機能と相互作用します。

802.1X 認証 ― 802.1X 認証がポートでイネーブルの場合のみ、MAC 認証バイパスをイネーブルにできます。

ポート セキュリティ ― 「ポート セキュリティを使用した 802.1X」を参照してください。

Network Admission Control(NAC)レイヤ 2 IP 検証 ― 802.1X ポートが MAC 認証バイパスで認証されたあとに、例外リスト内のホストを含むこの機能が有効になります。

シングル ホストおよびマルチ ホスト サポート

802.1X 機能では、1 つのポートのトラフィックを 1 台のエンドポイント装置に限定(シングルホスト モード)したり、1 つのポートのトラフィックを複数のエンドポイント装置に許可(マルチホスト モード)することができます。

シングルホスト モードでは、802.1X ポートで 1 台のエンドポイント装置だけからのトラフィックが許可されます。エンドポイント装置が認証されると、NX-OS デバイスはポートを許可ステートにします。エンドポイント装置がログオフすると、NX-OS デバイスはポートを無許可ステートに戻します。802.1X のセキュリティ違反とは、認証に成功して許可された単一の MAC アドレスとは異なる MAC アドレスをソースとするフレームが検出された場合をいいます。このような場合、この Security Association(SA; セキュリティ アソシエーション)違反(他の MAC アドレスからの EAPOL フレーム)が検出されたインターフェイスはディセーブルにされます。シングルホスト モードは、1 台のホストが NX-OS デバイスのレイヤ 2 ポート(イーサネット アクセス ポート)またはレイヤ 3 ポート(ルーテッド ポート)に接続されている場合にのみ、ホストツースイッチ型トポロジに適用できます。

マルチホスト モードに設定されている 802.1X ポートで、認証が必要になるのは最初のホストだけです。最初のホストの許可に成功すると、ポートは許可ステートに移行します。ポートが許可ステートになると、後続のホストがネットワーク アクセスの許可を受ける必要はありません。再認証に失敗したり、または EAPOL ログオフ メッセージを受信して、ポートが無許可ステートになった場合には、接続しているすべてのクライアントはネットワーク アクセスを拒否されます。マルチホスト モードでは、SA 違反の発生時にインターフェイスをシャットダウンする機能がディセーブルになります。マルチホスト モードは、スイッチツースイッチ型トポロジおよびホストツースイッチ型トポロジの両方に適用できます。

ポート セキュリティを使用した 802.1X

NX-OS デバイスでは、同じレイヤ 2 ポート上に 802.1X 認証とポート セキュリティを設定できます。802.1X は、RADIUS サーバを使用して、ポートに接続されるエンドポイント装置を認証します。ポート セキュリティは、MAC アドレスに基づいてポートをセキュリティ保護します。802.1X 認証とポート セキュリティの違いは、2 つの機能を組み合わせて使用することができます。NX-OS ソフトウェアでは、ホストツースイッチ型トポロジとスイッチツースイッチ型トポロジの両方で、802.1X 認証とレイヤ 2 ポートのポート セキュリティをサポートしています。

802.1X とポート セキュリティを組み合わせる場合は、802.1X とポート セキュリティの両方がサプリカントの MAC アドレスを認証する必要があります。マルチホスト モードでは、ポート セキュリティは最初のサプリカントの MAC アドレスのみ認証します。最初のサプリカントの認証に成功すると、NX-OS デバイスは他のサプリカントからの後続トラフィックをポート セキュリティに送信します。

ポート セキュリティの詳細については、 第 10 章「ポート セキュリティの設定」 を参照してください。

サポートされるトポロジ

8021X ポートベースの認証は、次の 2 つのトポロジでサポートされます。

ポイントツーポイント

ワイヤレス LAN

ポイントツーポイント構成では(802.1X 装置のロールを参照)、802.1X 対応のオーセンティケータ(NX-OS デバイス)ポートにサプリカント(クライアント)を 1 台だけ接続することができます。オーセンティケータは、ポートのリンク ステートがアップ ステートに移行したときにサプリカントを検出します。サプリカントがログオフしたとき、または別のサプリカントに代わったときには、オーセンティケータはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図6-3 に、ワイヤレス LAN 上での 802.1X ポートベースの認証を示します。802.1X ポートはマルチホスト ポートとして設定され、1 台のサプリカントが認証されるとすぐにポートが許可されます。ポートが許可されると、ポートに間接的に接続されている他のすべてのホストは、ネットワークへのアクセスを許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、NX-OS デバイスは接続しているすべてのサプリカントのネットワーク アクセスを禁止します。

図6-3 ワイヤレス LAN の例

 

バーチャライゼーション サポート

802.1X の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco DCNM Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

802.1X のライセンス要件

この機能のライセンス要件は次の表のとおりです。

 

製品
ライセンス要件

DCNM

802.1X には、LAN Enterprise のライセンスが必要です。DCNM のライセンス スキームおよびライセンスの取得方法と適用方法に関する詳細は、『 Cisco DCNM Licensing Guide, Release 4.0 』を参照してください。

NX-OS

802.1X にライセンスは必要ありません。ライセンス パッケージに含まれていない機能は、Cisco NX-OS システム イメージにバンドルされており、追加料金なしで利用できます。NX-OS のライセンス スキームに関する詳細は、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

802.1X の前提条件

802.1X には次の前提条件があります。

ネットワーク内の 1 つまたは複数の RADIUS サーバがアクセス可能であること

MAC アドレス認証バイパス機能をイネーブルにする場合(MAC アドレス認証バイパスのイネーブル化を参照)を除き、802.1X サプリカントがポートに接続されていること

NX-OS ソフトウェアの 802.1X のログ レベルが、コマンドライン インターフェイス(CLI)を使用して次のように 5 に設定されていることを確認します。

switch# configure terminal
switch(config)# logging level dot1x 5
 

802.1X の注意事項と制限事項

802.1X ポートベースの認証には、次の設定に関する注意事項と制限事項があります。

NX-OS ソフトウェアは、物理ポートでのみ 802.1X をサポートしています。

NX-OS ソフトウェアは、サブインターフェイスまたはポートチャネルでは 802.1X をサポートしません。

802.1X 認証をイネーブルにした場合、サプリカントが認証されてから、イーサネット インターフェイス上のレイヤ 2 またはレイヤ 3 のすべての機能がイネーブルになります。

NX-OS ソフトウェアは、ポート チャネルまたはトランク内のイーサネット インターフェイスでのみ 802.1X 認証をサポートします。

NX-OS ソフトウェアは、ポート チャネル内のトランク インターフェイスまたはメンバー インターフェイス上ではシングルホスト モードをサポートしません。

NX-OS ソフトウェアは、トランク インターフェイス上では MAC アドレス認証バイパス機能をサポートしません。

NX-OS ソフトウェアは、次の 802.1X プロトコル拡張機能をサポートしません。

論理 VLAN 名から ID への 1 対多のマッピング

Web 許可

ダイナミック ドメイン ブリッジ割り当て

IP テレフォニー

ゲスト VLAN

802.1X の設定

ここでは、次の内容について説明します。

「802.1X の設定プロセス」

「802.1X 機能のイネーブル化」

「802.1X の AAA 認証方式の設定」

「インターフェイスでの 802.1X 機能のイネーブル化」

「インターフェイスでの 802.1X 認証の制御」

「グローバル定期再認証のイネーブル化」

「インターフェイスの定期再認証のイネーブル化」

「802.1X グローバル認証タイマーの変更」

「インターフェイスの 802.1X 認証タイマーの変更」

「シングルホスト モードまたはマルチホスト モードのイネーブル化」

「MAC アドレス認証バイパスのイネーブル化」

「デバイス上での 802.1X 認証のディセーブル化」

「802.1X 機能のディセーブル化」

「オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定」

「インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定」

「8021.X の RADIUS アカウンティングのイネーブル化」

「802.1X の AAA アカウンティング方式の設定」

「インターフェイスでの再認証最大リトライ回数の設定」

図6-4 に、Dot1X ペインを示します。

図6-4 Dot1X ペイン

 

802.1X の設定プロセス

802.1X 認証を設定するには、次の作業を行います。


ステップ 1 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

ステップ 2 リモート RADIUS サーバとの接続を設定します(802.1X の AAA 認証方式の設定を参照)。

ステップ 3 イーサネット インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

ステップ 4 イーサネット インターフェイスで 802.1X 認証をイネーブルにします(インターフェイスでの 802.1X 認証の制御を参照)。


 

オプションとして、802.1X 認証の次のメンテナンス タスクも実行できます。

定期的な自動再認証をイネーブルにします(グローバル定期再認証のイネーブル化を参照)。

802.1X グローバル認証タイマーを変更します(802.1X グローバル認証タイマーの変更を参照)。

インターフェイスの 802.1X 認証タイマーを変更します(インターフェイスの 802.1X 認証タイマーの変更を参照)。

インターフェイスで複数ホストをイネーブルにします(シングルホスト モードまたはマルチホスト モードのイネーブル化を参照)。

インターフェイスで MAC アドレス認証バイパス機能をイネーブルにします(MAC アドレス認証バイパスのイネーブル化を参照)。

802.1X 認証を禁止します(デバイス上での 802.1X 認証のディセーブル化を参照)

802.1X 機能をディセーブルにします(802.1X 機能のディセーブル化を参照)。

802.1X グローバル設定をデフォルト値にリセットします(オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定を参照)。

インターフェイスの 802.1X 設定をデフォルト値にリセットします(オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定を参照)。

フレーム再送信リトライ回数を変更します(オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定を参照)。

802.1X 認証の RADIUS アカウンティングをイネーブルにします(8021.X の RADIUS アカウンティングのイネーブル化を参照)。

802.1X の AAA アカウンティングを設定します(802.1X の AAA アカウンティング方式の設定を参照)。

802.1X 認証の最大要求数を変更します(インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定を参照)。

802.1X 再認証の最大要求数を変更します(インターフェイスでの再認証最大リトライ回数の設定を参照)。

802.1X 機能のイネーブル化

サプリカント装置を認証する前に、デバイス上で 802.1X 機能をイネーブルにする必要があります。

作業を開始する前に

NX-OS ソフトウェアの 802.1X のログ レベルが、コマンドライン インターフェイス(CLI)を使用して 5 に設定されていることを確認します。

switch# configure terminal
switch(config)# logging level dot1x 5
 

詳細な手順

802.1X 機能をイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Dot1X > Enable 802.1X の順に選択します。

ステップ 4 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

802.1X の AAA 認証方式の設定

802.1X 認証にリモート RADIUS サーバを使用できます。RADIUS サーバおよび RADIUS サーバ グループを設定し、デフォルト AAA 認証方式を指定したあとに、デバイスは 802.1X 認証を実行します。

RADIUS サーバの設定に関する詳細は、 第 3 章「RADIUS の設定」 を参照してください。RADIUS サーバ グループの設定に関する詳細は、 第 2 章「AAA の設定」 を参照してください。

作業を開始する前に

リモート RADIUS サーバ グループの名前またはアドレスを取得します。

詳細な手順

802.1X の AAA 認証方式を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary テーブル ペインでデバイスの横の展開アイコンをクリックし、ルールのリストを表示します。

ステップ 3 Authentication Rules の横の展開アイコンをクリックします。

ステップ 4 メニュー バーから、 Rules > Add Rule の順に選択します。

リストに新しいデフォルトのルールが表示されると同時に、Authentication Rules タブが Details ペインに表示されます。

ステップ 5 Service Type ドロップダウン リストから、 Dot1X を選択します。

ステップ 6 新しい方式のタイプの下にあるセルをダブルクリックします。

方式セルにグループが表示されます。

ステップ 7 サーバ グループ名の下の方式のセルをダブルクリックします。

ステップ 8 サーバ グループ名を入力するか、ドロップダウン リストからサーバ グループ名を選択し、 OK をクリックします。

ステップ 9 (任意)さらに方式を追加するには、方式を右クリックしてポップアップ メニューから Add Method を選択し、新しい方式に対してステップ 6 からステップ 8 を繰り返します。

ステップ 10 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスでの 802.1X 機能のイネーブル化

802.1X 認証に使用するインターフェイスで 802.1X 機能をイネーブルにする必要があります。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 機能をインターフェイスでイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブで、 Enable Dot1X をクリックします。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスでの 802.1X 認証の制御

インターフェイス上で実行される 802.1X 認証を制御できます。インターフェイスの 802.1X 認証ステートは、次のとおりです。

auto ― インターフェイス上の 802.1X 認証をイネーブルにします。

force-authorized ― インターフェイス上の 802.1X 認証をディセーブルにし、認証を行わずにインターフェイス上のすべてのトラフィックを許可します。このステートがデフォルトです。

force-unauthorized ― インターフェイス上のすべてのトラフィックを禁止します。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 認証をインターフェイスで制御するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Port Control ドロップダウン リストから、ポート制御タイプを選択します。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

グローバル定期再認証のイネーブル化

802.1X グローバル定期再認証をイネーブルにし、再認証を実行する頻度を指定します。期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔は 3600 秒(1 時間)です。


) 再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

グローバル定期再認証をイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Global Settings タブをクリックします。

ステップ 4 General をクリックします。

ステップ 5 Enable Re-authentication をチェックします。

ステップ 6 (任意)再認証の間隔(秒)に、インターフェイスでのサプリカントの定期再認証の間隔を秒数で入力します。

デフォルト値は 3600 秒です(10 時間)。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスの定期再認証のイネーブル化

インターフェイスの 802.1X 定期再認証をイネーブルにし、再認証を実行する頻度を指定します。期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔はグローバル値にデフォルト設定されます。


) 再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

詳細な手順

インターフェイスで定期再認証をイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Enable Re-authentication をチェックします。

ステップ 8 (任意)再認証の間隔(秒)に、インターフェイスでのサプリカントの定期再認証の間隔を秒数で入力します。

デフォルトはグローバル設定です。

ステップ 9 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

802.1X グローバル認証タイマーの変更

デバイスでは、次の 802.1X グローバル認証タイマーがサポートされます。

待機時間タイマー ― デバイスがサプリカントを認証できない場合、デバイスは所定の時間アイドル状態になり、そのあと再試行します。待機時間タイマーの値でアイドルの時間が決まります。認証が失敗する原因には、サプリカントが無効なパスワードを提供した場合があります。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。デフォルト値は 60 秒です。有効な範囲は 1 ~ 65535 です。

スイッチとサプリカント間の再送信時間タイマー ― クライアントは、デバイスの
EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機したあと、フレームを再送信します。デフォルトは 30 秒です。有効な範囲は 1 ~ 65535 秒です。


) また、待機時間タイマーおよびスイッチとサプリカント間の送信時間タイマーをインターフェイス レベルでも設定できます(インターフェイスの 802.1X 認証タイマーの変更を参照)。



) このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にのみ変更してください。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

グローバル 802.1X タイマーを設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Global Settings タブをクリックします。

ステップ 4 Timers をクリックします。

ステップ 5 (任意)Quiet Period(secs) フィールドに、待機時間タイマーの秒数を入力します。

デフォルト値は 60 秒です。

ステップ 6 (任意)TX Period(secs) フィールドに、スイッチとサプリカント間の秒数を入力します。

デフォルト値は 30 秒です。

ステップ 7 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスの 802.1X 認証タイマーの変更

デバイスのインターフェイス上で変更できる 802.1X 認証タイマーは、次のとおりです。

待機時間タイマー ― デバイスがサプリカントを認証できない場合、スイッチは所定の時間アイドル状態になり、そのあと再試行します。待機時間タイマーの値でアイドルの時間が決まります。認証が失敗する原因には、サプリカントが無効なパスワードを提供した場合があります。デフォルトより小さい値を入力して、ユーザへの応答時間を短縮できます。デフォルトは、グローバル待機時間タイマーの値です。有効な範囲は 1 ~ 65535 秒です。

レート制限タイマー ― レート制限時間中、サプリカントから過剰に送信されている
EAPOL-Start パケットを抑制します。オーセンティケータはレート制限時間中、認証に成功したサプリカントからの EAPOL-Start パケットを無視します。デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。有効な範囲は 1 ~ 65535 秒です。

レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信タイマー ― 認証サーバは、レイヤ 4 パケットを受信するたびにスイッチに通知します。スイッチがパケット送信後に通知を受信できない場合、デバイスは所定の時間だけ待機したあと、パケットを再送信します。デフォルト値は 30 秒です。有効な範囲は 1 ~ 65535 秒です。

EAP 応答フレームに対するスイッチとサプリカント間の再送信タイマー ― サプリカントは、デバイスの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機したあと、フレームを再送信します。デフォルト値は 30 秒です。有効な範囲は 1 ~ 65535 秒です。

EAP 要求フレームに対するスイッチとサプリカント間の再送信タイマー ― サプリカントは、デバイスに EAP 要求フレームを受信したことを通知します。オーセンティケータがこの通知を受信できなかった場合、オーセンティケータは所定の時間だけ待機したあと、フレームを再送信します。デフォルトは、グローバル再送信時間タイマーの値です。有効な範囲は 1 ~ 65535 秒です。


) このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にのみ変更してください。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 機能をインターフェイスで設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 Timers をクリックします。

ステップ 7 (任意)Quiet Period(secs) フィールドに、待機時間タイマーの秒数を入力します。

デフォルトはグローバル設定です。

ステップ 8 (任意)TX Period(secs) フィールドに、スイッチとサプリカント間の秒数を入力します。

デフォルトはグローバル設定です。

ステップ 9 (任意)Supplicant Period(secs) フィールドに、EAP 応答フレーム間隔に対するスイッチとサプリカント間の秒数を入力します。

デフォルト値は 30 秒です。

ステップ 10 (任意)Server Period(secs) フィールドに、レイヤ 4 パケットに対するスイッチとサプリカント間の送信タイマーを秒数を入力します。

デフォルト値は 30 秒です。

ステップ 11 (任意)Rate Limit Period(secs) フィールドに、レートリミット タイマーの秒数を入力します。

デフォルト値は 30 秒です。

ステップ 12 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

シングルホスト モードまたはマルチホスト モードのイネーブル化

インターフェイス上でシングルホスト モードまたはマルチホスト モードをイネーブルにすることができます。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

詳細な手順

単一ホストまたは複数のホストをイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Host Mode ドロップダウン リストから、 Single または Multiple を選択します。

デフォルトは Single です。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

MAC アドレス認証バイパスのイネーブル化

サプリカントの接続されていないインターフェイス上で、MAC アドレス認証バイパス機能をイネーブルにすることができます。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

インターフェイスで 802.1X 機能をイネーブルにします(インターフェイスでの 802.1X 機能のイネーブル化を参照)。

詳細な手順

単一ホストまたは複数のホストをイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Mac-auth-bypass チェックボックスをチェックします。

デフォルトはディセーブルです。

ステップ 8 (任意) EAP Authentication チェックボックスをチェックして、EAP 認証の MAC 認証バイパスをイネーブルにします。

ステップ 9 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

デバイス上での 802.1X 認証のディセーブル化

デバイス上の 802.1X 認証をディセーブルにすることができます。デフォルトでは、802.1X 機能をイネーブルにすると、NX-OS ソフトウェアが 802.1X 認証をイネーブルにします。ただし、802.1X 機能をディセーブルにした場合、設定はデバイスから削除されます。NX-OS ソフトウェアでは、802.1X の設定を失わずに 802.1X 認証をディセーブルにできます。


) 802.1X 認証をディセーブルにすると、設定されているポート モードに関係なく、すべてのインターフェイスのポート モードがデフォルトの force-authorized になります(インターフェイスでの 802.1X 認証の制御を参照)。802.1X 認証を再びイネーブルにすると、NX-OS ソフトウエアはインターフェイス上に設定したポート モードを復元します。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 認証をディセーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Global Settings タブをクリックします。

ステップ 4 General をクリックします。

ステップ 5 Sys Auth Enable のチェックを外します。

デフォルトはイネーブルです。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

802.1X 機能のディセーブル化

デバイス上の 802.1X 機能をディセーブルにすることができます。


注意 802.1X 機能をディセーブルにすると、802.1X のすべての設定がデバイスから削除されます。802.1X 認証を停止する場合は、「デバイス上での 802.1X 認証のディセーブル化」を参照してください。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 機能をディセーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 メニュー バーから、 Dot1X > Disable 802.1X の順に選択します。

ステップ 4 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定

オーセンティケータとサプリカント間の再送信時間を変更できるだけでなく、(サプリカントから応答がなかった場合に)デバイスが認証プロセスを再開するまでに、サプリカントに EAP-Request/Identity フレームを送信する回数を設定することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にのみ変更してください。


作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定を行うには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Global Settings タブをクリックします。

ステップ 4 General をクリックします。

ステップ 5 Max Request フィールドに最大要求リトライ回数を入力します。

デフォルトは 2 です。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定

セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに認証要求を再送信する最大回数を設定できます。デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Max Request フィールドに最大要求リトライ回数を入力します。

デフォルトは 2 です。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

8021.X の RADIUS アカウンティングのイネーブル化

802.1X 認証のアクティビティに対する RADIUS アカウンティングをイネーブルにできます。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X 認証の RADIUS アカウンティングをイネーブルにするには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Global Settings タブをクリックします。

ステップ 4 General をクリックします。

ステップ 5 RADIUS Accounting をチェックします。

デフォルトはディセーブルです。

ステップ 6 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

802.1X の AAA アカウンティング方式の設定

802.1X 機能に対する AAA アカウンティング方式をイネーブルにできます。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

802.1X の AAA アカウンティング方式を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > AAA > Rules の順に選択します。

ステップ 2 Summary ペインでデバイスの横の展開アイコンをクリックし、ルールのリストを表示します。

ステップ 3 Accounting Rules をチェックします。

ステップ 4 Accounting Rules の横の展開アイコンをクリックします。

ステップ 5 メニュー バーから、 Rules > Add Rule の順に選択します。

リストに新しいデフォルトのルールが表示されると同時に、Authentication Rules タブが Details ペインに表示されます。

ステップ 6 Service Type ドロップダウン リストから、 Dot1X を選択します。

ステップ 7 新しい方式のタイプの下にあるセルをダブルクリックします。

方式セルにグループが表示されます。

ステップ 8 サーバ グループ名の下の方式のセルをダブルクリックします。

ステップ 9 サーバ グループ名を入力するか、ドロップダウン リストからサーバ グループ名を選択し、 OK をクリックします。

ステップ 10 (任意)さらに方式を追加するには、方式を右クリックしてポップアップ メニューから Add Method を選択し、新しい方式に対してステップ 6 からステップ 8 を繰り返します。

ステップ 11 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

インターフェイスでの再認証最大リトライ回数の設定

セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに再認証要求を再送信する最大回数を設定できます。デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。

作業を開始する前に

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

インターフェイスで最大再認証リトライ回数を設定するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 3 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 4 インターフェイスをクリックします。

ステップ 5 Interface Settings タブをクリックします。

ステップ 6 General をクリックします。

ステップ 7 Max Reauth Request フィールドに最大再認証要求リトライ回数を入力します。

デフォルトは 2 です。

ステップ 8 メニュー バーから File > Deploy を選択し、変更をデバイスに適用します。


 

802.1X 統計情報の表示

NX-OS デバイスが保持している 802.1X のアクティビティに関する統計情報を表示します。

デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。

詳細な手順

RADIUS サーバの統計情報を表示するには、次の作業を行います。


ステップ 1 Feature Selector ペインから、 Security > Dot1X の順に選択します。

ステップ 2 Summary ペインでデバイスをクリックします。

ステップ 3 Details ペインで、デバイスの 802.1X 統計情報の Statistics タブをクリックします。

ステップ 4 Summary ペインで、スロットを表示するデバイスをダブルクリックします。

ステップ 5 スロットをダブルクリックし、インターフェイスを表示します。

ステップ 6 インターフェイスをクリックします。

ステップ 7 Details ペインで Statistics タブをクリックし、インターフェイスの 802.1X 統計情報を表示します。


 

 

802.1X のフィールドの説明

ここでは、次の内容について説明します。

「Security:Dot1X:Summary ペイン」

「Security:Dot1X:デバイス:Global Settings タブ:General」

「Security:Dot1X:デバイス:Global Settings タブ:Timers」

「Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:General」

「Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:Timers」

Security:Dot1X:Summary ペイン

 

表6-1 Security:Dot1X:Summary ペイン

要素
説明

Interface Name

インターフェイスの名前。

Description

インターフェイスの説明。

Dot1x State

インターフェイスの 802.1X ステータス。

Host Mode

単一または複数いずれかのインターフェイスでの 802.1X のホスト モード。デフォルトは単一です。

Port Control

インターフェイスでの 802.1X 認証。デフォルトは、force authorized です。

Oper Status

インターフェイスの動作ステータス。

Security:Dot1X:デバイス:Global Settings タブ:General

 

表6-2 Security:Dot1X:デバイス:Global Settings タブ:General

要素
説明

Sys Auth Enable

設定を削除せずに、デバイス全体の 802.1X 認証をイネーブルまたはディセーブルにするチェック ボックス。デフォルトはイネーブルです。

Radius Accounting

802.1X アカウンティング ルールの AAA アカウンティング設定を使用する 802.1X の RADIUS アカウンティングをイネーブルまたはディセーブルにするチェック ボックス。デフォルトはディセーブルです。

Max Request

デバイスが認証プロセスを再開するまでに、サプリカントに EAP-Request/Identity フレームを送信する最大回数。デフォルトは 2 です。

Enable Re-authentication

グローバル サプリカントの再認証をイネーブルまたはディセーブルにするチェック ボックス。デフォルトはディセーブルです。

Re-auth Period(secs)

サプリカントの自動再認証時間。デフォルト値は 3600 秒です(60 分)。

Security:Dot1X:デバイス:Global Settings タブ:Timers

 

表6-3 Security:Dot1X:デバイス:Global Settings タブ:Timers

要素
説明

Quiet Period(secs)

デバイスがサプリカントを認証する試行の間隔(秒数)。デフォルト値は 60 秒です。

TX Period(secs)

デバイスが EAP-request/identity フレームを送信し、クライアントからの EAP-response/identity フレームを待ってから要求フレームを再送信する再送信時間。デフォルト値は 30 秒です。

Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:General

 

表6-4 Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:General

要素
説明

Interface Name

インターフェイスのタイプと場所。

説明

インターフェイスの説明。

Host Mode

単一または複数いずれかの 802.1X のホスト モード。デフォルトは単一です。

Port Control

インターフェイスでの 802.1X 認証。デフォルトは、force authorized です。

PAE Type

サービス ロール。

Mac-Auth-Bypass

MAC アドレス認証バイパスをイネーブルまたはディセーブルにするチェック ボックス。デフォルトはディセーブルです。

EAP Authentication

MAC アドレス認証バイパスに対する EAP 認証をイネーブルまたはディセーブルにするチェック ボックス。デフォルトはディセーブルです。

Oper Status

インターフェイスの動作ステータスを表示します。

Max Reauth Request

セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに再認証要求を再送信する最大回数。デフォルトは 2 です。

Max Request

デバイスが認証プロセスを再開するまでに、サプリカントに EAP-Request/Identity フレームを送信する最大回数。デフォルトは 2 です。

Enable Re-authentication

グローバル サプリカントの再認証をイネーブルまたはディセーブルにするチェック ボックス。デフォルトはディセーブルです。

Re-auth Period(secs)

サプリカントの自動再認証時間。デフォルト値は 3600 秒です(60 分)。

Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:Timers

 

表6-5 Security:Dot1X:デバイス:スロット:インターフェイス:Interface Settings タブ:Timers

要素
説明

Quiet Period(secs)

デバイスがサプリカントを認証する試行の間隔(秒数)。デフォルト値は 60 秒です。

TX Period(secs)

デバイスが EAP-request/identity フレームを送信し、クライアントからの EAP-response/identity フレームを待ってから要求フレームを再送信する再送信時間。デフォルト値は 30 秒です。

Supplicant Period(secs)

EAP 応答フレーム間隔に対するスイッチとサプリカント間の秒数。デフォルト値は 30 秒です。

Server Period(secs)

レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信の秒数。デフォルト値は 30 秒です。

Rate Limit Period(secs)

レートリミット タイマーの秒数。レートリミット タイマーは、過剰に EAPOL-Start パケットを送信しているサプリカントから EAPOL-Start パケットを抑制します。オーセンティケータはレート制限時間中、認証に成功したサプリカントからの EAPOL-Start パケットを無視します。デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。

その他の参考資料

802.1X の実装に関連する詳細情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

ライセンス

Cisco DCNM Licensing Guide, Release 4.0

VRF の設定

Cisco DCNM Unicast Routing Configuration Guide, Release 4.0

規格

規格
タイトル

IEEE Std 802.1X- 2004(IEEE Std 802.1X-2001 の改訂版)

802.1X IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control

RFC 2284

PPP Extensible Authentication Protocol (EAP)

RFC 3580

IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines

MIB

MIB
MIB のリンク

IEEE8021-PAE-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml