Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
802.1X の設定
802.1X の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

802.1X の設定

この章では、Cisco NX-OS デバイス上で IEEE 802.1X ポートベースの認証を設定する手順について説明します。

この章は、次の内容で構成されています。

802.1X の概要

802.1X では、クライアント サーバ ベースのアクセス コントロールと認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。 認証サーバは、Cisco NX-OS デバイスのポートに接続されるクライアントを個々に認証します。

802.1X アクセス コントロールでは、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。 認証に成功すると、通常のトラフィックはポートを通過できるようになります。

デバイスの役割

802.1X ポート ベースの認証では、ネットワーク上のデバイスにそれぞれ特定のロールがあります。

図 1. 802.1X デバイスのロール. 次の図は、802.1X のデバイスのロールを示しています。



特定のロールは次のとおりです。

サプリカント

LAN および Cisco NX-OS デバイス サービスへのアクセスを要求し、Cisco NX-OS デバイスからの要求に応答するクライアント デバイスです。 ワークステーションでは、Microsoft Windows XP が動作するデバイスで提供されるような、802.1X 準拠のクライアント ソフトウェアが稼働している必要があります。


(注)  


Windows XP のネットワーク接続および Cisco 802.1X ポートベース認証の問題に関しては、次の URL にある Microsoft サポート技術情報の記事を参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ
サプリカントの実際の認証を行います。 認証サーバはサプリカントの識別情報を確認し、LAN および Cisco NX-OS デバイスのサービスへのアクセスをサプリカントに許可すべきかどうかを Cisco NX-OS デバイスに通知します。 Cisco NX-OS デバイスはプロキシとして動作するので、認証サービスはサプリカントに対しては透過的に行われます。 認証サーバとして、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ デバイスだけがサポートされています。この認証サーバは、Cisco Secure Access Control Server バージョン 3.0 で使用可能です。 RADIUS はサプリカント サーバ モデルを使用し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。
オーセンティケータ
サプリカントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。 オーセンティケータは、サプリカントと認証サーバとの仲介デバイス(プロキシ)として動作し、サプリカントから識別情報を要求し、得られた識別情報を認証サーバに確認し、サプリカントに応答をリレーします。 オーセンティケータには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

オーセンティケータが EAPOL フレームを受信して認証サーバにリレーする際は、イーサネット ヘッダーを取り除き、残りの EAP フレームを RADIUS 形式にカプセル化します。 このカプセル化のプロセスでは EAP フレームの変更または確認が行われないため、認証サーバはネイティブ フレーム フォーマットの EAP をサポートする必要があります。 オーセンティケータは認証サーバからフレームを受信すると、サーバのフレーム ヘッダーを削除し、残りの EAP フレームをイーサネット用にカプセル化してサプリカントに送信します。


(注)  


Cisco NX-OS デバイスがなれるのは、802.1X オーセンティケータだけです。


認証の開始およびメッセージ交換

オーセンティケータ(Cisco NX-OS デバイス)とサプリカント(クライアント)のどちらも認証を開始できます。 ポート上で認証をイネーブルにした場合、オーセンティケータはポートのリンク ステートがダウンからアップに移行した時点で、認証を開始する必要があります。 続いて、オーセンティケータは EAP-Request/Identity フレームをサプリカントに送信して識別情報を要求します(通常、オーセンティケータは 1 つまたは複数の識別情報の要求のあとに、最初の Identity/Request フレームを送信します)。 サプリカントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

サプリカントがブートアップ時にオーセンティケータから EAP-Request/Identity フレームを受信しなかった場合、サプリカントは EAPOL 開始フレームを送信することにより認証を開始することができます。この開始フレームにより、オーセンティケータはサプリカントの識別情報を要求します。


(注)  


ネットワーク アクセス デバイスで 802.1X がイネーブルになっていない場合、またはサポートされていない場合、Cisco NX-OS デバイスはサプリカントからの EAPOL フレームをすべてドロップします。 サプリカントが、認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、サプリカントはポートが許可ステートにあるものとしてデータを送信します。 ポートが許可ステートになっている場合は、サプリカントの認証が成功したことを意味します。


サプリカントが自己の識別情報を提示すると、オーセンティケータは仲介装置としてのロールを開始し、認証が成功または失敗するまで、サプリカントと認証サーバの間で EAP フレームを送受信します。 認証が成功すると、オーセンティケータのポートは許可ステートになります。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。

図 2. メッセージ交換. 次の図に、サプリカントが RADIUS サーバに One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用して開始するメッセージ交換を示します。 OTP 認証デバイスは、シークレット パスフレーズを使用して、一連のワンタイム(使い捨て)パスワードを生成します。

ユーザのシークレット パスフレーズは、認証時やパスフレーズの変更時などにネットワークを通過することはありません。

許可ステートおよび無許可ステートのポート

サプリカントのネットワークへのアクセスが許可されるかどうかは、オーセンティケータのポート ステートで決まります。 ポートは、無許可ステートで開始します。 このステートにあるポートは、802.1X プロトコル パケットを除いたすべての入トラフィックおよび出トラフィックを禁止します。 サプリカントの認証に成功すると、ポートは許可ステートに移行し、サプリカントのすべてのトラフィック送受信を通常どおりに許可します。

802.1X 認証をサポートしていないクライアントが無許可ステートの 802.1X ポートに接続した場合、オーセンティケータはクライアントの識別情報を要求します。 この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1x 対応のクライアントが、802.1x プロトコルの稼働していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。 応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。 応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

ポートには次の許可ステートがあります。

Force authorized
802.1X ポートベースの認証をディセーブルにし、認証情報の交換を必要としないで許可ステートに移行します。 ポートはクライアントとの 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。 この許可ステートはデフォルトです。
Force unauthorized
ポートが無許可ステートのままになり、クライアントからの認証の試みをすべて無視します。 オーセンティケータは、インターフェイスを経由してクライアントに認証サービスを提供することができません。
Auto
802.1X ポートベースの認証をイネーブルにします。ポートは無許可ステートで開始し、ポート経由で送受信できるのは EAPOL フレームだけです。 ポートのリンク ステートがダウンからアップに移行したとき、またはサプリカントから EAPOL 開始フレームを受信したときに、認証プロセスが開始します。 オーセンティケータは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。 オーセンティケータはサプリカントの MAC アドレスを使用して、ネットワーク アクセスを試みる各サプリカントを一意に識別します。

サプリカントの認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたサプリカントからの全フレームがポート経由での送受信を許可されます。 認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。 認証サーバに到達できない場合、オーセンティケータは要求を再送信できます。 所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、サプリカントのネットワーク アクセスは認可されません。

サプリカントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、オーセンティケータのポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合、ポートは無許可ステートに戻ります。

MAC 認証バイパス

MAC 認証バイパス機能を使用して、サプリカントの MAC アドレスに基づいてサプリカントを認証するように、Cisco NX-OS デバイスを設定できます。 たとえば、プリンタなどのデバイスに接続されている 802.1X 機能を設定したインターフェイスで、この機能をイネーブルにすることができます。

サプリカントからの EAPOL 応答を待機している間に 802.1X 認証がタイムアウトした場合は、MAC 認証バイパスを使用して Cisco NX-OS デバイスはクライアントの許可を試みます。

インターフェイスで MAC 認証バイパス機能をイネーブルにすると、Cisco NX-OS デバイスは MAC アドレスをサプリカント ID として使用します。 認証サーバには、ネットワーク アクセスが許可されたサプリカントの MAC アドレスのデータベースがあります。 Cisco NX-OS デバイスは、インターフェイスでクライアントを検出した後、クライアントからのイーサネット パケットを待ちます。 Cisco NX-OS デバイスは、MAC アドレスに基づいてユーザ名とパスワードを含んだ RADIUS アクセス/要求フレームを認証サーバに送信します。 許可に成功した場合、Cisco NX-OS デバイスはクライアントにネットワークへのアクセスを許可します。 許可に失敗した場合、ゲスト VLAN が設定されていれば、ポートにゲスト VLAN を割り当てます。

リンクのライフタイム中に EAPOL パケットがインターフェイスで検出される場合、このインターフェイスに接続されているデバイスが 802.1X 対応サプリカントであることを Cisco NX-OS デバイスが判別し、(MAC 認証バイパスではなく)802.1X 認証を使用してインターフェイスを許可します。 インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。

Cisco NX-OS デバイスがすでに MAC 認証バイパスを使用してインターフェイスを許可していて、802.1X サプリカントを検出した場合、Cisco NX-OS デバイスはインターフェイスに接続されているクライアントを無許可にしません。 再認証を実行する際に、Termination-Auction RADIUS 属性値が DEFAULT であるために前のセッションが終了した場合、Cisco NX-OS デバイスは 802.1X 認証を優先再認証プロセスとして使用します。

MAC 認証バイパスで許可されたクライアントを再認証することができます。 再認証プロセスは、802.1X で認証されたクライアントと同様です。 再認証中に、ポートは前に割り当てられた VLAN に残ります。 再認証に成功した場合、スイッチはポートを同じ VLAN 内に保持します。 再認証に失敗した場合、ゲスト VLAN が設定されていればポートにゲスト VLAN を割り当てます。

再認証が Session-Timeout RADIUS 属性(Attribute [27])と Termination-Action RADIUS 属性(Attribute [29])に基づいていて、Termination-Action RADIUS 属性(Attribute [29])アクションが初期化の場合、(属性値は DEFAULT)、MAC 認証バイパス セッションが終了して、再認証中に接続が失われます。 MAC 認証バイパスがイネーブルで 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再許可を開始します。 これらの AV ペアの詳細については、RFC 3580『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

MAC 認証バイパスは、次の機能と相互作用します。

  • 802.1X 認証:802.1X 認証がポートでイネーブルの場合にだけ、MAC 認証バイパスをイネーブルにできます。
  • ポート セキュリティ:同じレイヤ 2 ポート上で 802.1X 認証とポート セキュリティを設定できます。
  • Network Admission Control(NAC)レイヤ 2 IP 検証:例外リスト内のホストを含む 802.1X ポートが MAC 認証バイパスで認証されたあとに、この機能が有効になります。

802.1X とポート セキュリティ

ポート セキュリティと 802.1X は、Cisco Nexus 7000 シリーズ スイッチの同じインターフェイス上で設定できます。 ポート セキュリティによって、802.1X 認証の MAC アドレスを保護できます。 802.1X はポート セキュリティよりも前にパケットを処理するので、1 つのインターフェイスで両方をイネーブルにすると、802.1X が、そのインターフェイスで、未知の MAC アドレスからのインバウンド トラフィックを妨げます。

同じインターフェイス上で 802.1X とポート セキュリティをイネーブルにしても、ポート セキュリティは設定どおりにスティッキ方式またはダイナミック方式で MAC アドレスの学習を続行します。 また、シングル ホスト モードとマルチ ホスト モードのどちらで 802.1X をイネーブルにするかによって、次のいずれかが発生します。

シングル ホスト モード

ポート セキュリティは認証済みのホストの MAC アドレスを学習します。

マルチ ホスト モード

ポート セキュリティは、このインターフェイスでダイナミックに学習された MAC アドレスをドロップし、802.1X で認証された最初のホストの MAC アドレスを学習します。

802.1X がポート セキュリティに渡した MAC アドレスによってセキュア MAC アドレスの適用可能な最大数を違反することになる場合、デバイスはホストに認証エラー メッセージを送信します。

802.1X によって認証された MAC アドレスは、たとえそのアドレスがポート セキュリティによってスティッキ方式またはスタティック方式で学習されていたとしても、ダイナミック方式で学習されたアドレスと同様に扱われます。 802.1X で認証されたセキュア MAC アドレスを削除しようとしても、そのアドレスはセキュア アドレスのまま保持されます。

認証済みのホストの MAC アドレスがスティッキ方式またはスタティック方式でセキュア アドレスになった場合、デバイスはそのアドレスをダイナミック方式で学習されたものとして扱うので、その MAC アドレスを手動で削除することはできません。

認証済みのホストのセキュア MAC アドレスがポート セキュリティのエージング期限に達すると、ポート セキュリティは 802.1X と連動して、そのホストを再認証します。 デバイスは、エージングのタイプに応じて、次のように異なる動作をします。

Absolute

ポート セキュリティは 802.1X に通知し、デバイスはホストの再認証を試行します。 そのアドレスが引き続きセキュア アドレスになるかどうかは、再認証の結果によって決まります。 再認証が成功すれば、デバイスはそのセキュア アドレスのエージング タイマーを再起動します。再認証に失敗した場合、デバイスはそのインターフェイスのセキュア アドレス リストからそのアドレスをドロップします。

Inactivity

ポート セキュリティは、そのインターフェイスのセキュア アドレス リストからそのセキュア アドレスをドロップし、802.1X に通知します。 デバイスはホストの再認証を試行します。 再認証が成功すれば、ポート セキュリティは再度そのアドレスをセキュア アドレスにします。

シングル ホストおよびマルチ ホストのサポート

802.1X 機能では、1 つのポートのトラフィックを 1 台のエンドポイント装置に限定することも(シングル ホスト モード)、1 つのポートのトラフィックを複数のエンドポイント装置に許可することも(マルチ ホスト モード)できます。

シングル ホスト モードでは、802.1X ポートで 1 台のエンドポイント装置のみからのトラフィックが許可されます。 エンドポイント装置が認証されると、Cisco NX-OS デバイスはポートを許可ステートにします。 エンドポイント装置がログオフすると、Cisco NX-OS デバイスはポートを無許可ステートに戻します。 802.1X のセキュリティ違反とは、認証に成功して許可された単一の MAC アドレスとは異なる MAC アドレスをソースとするフレームが検出された場合をいいます。 このような場合、この Security Association(SA; セキュリティ アソシエーション)違反(他の MAC アドレスからの EAPOL フレーム)が検出されたインターフェイスはディセーブルにされます。 シングル ホスト モードは、ホストツースイッチ型トポロジで 1 台のホストが Cisco NX-OS デバイスのレイヤ 2 ポート(イーサネット アクセス ポート)またはレイヤ 3 ポート(ルーテッド ポート)に接続されている場合にだけ適用できます。

マルチ ホスト モードに設定されている 802.1X ポートで、認証が必要になるのは最初のホストだけです。 最初のホストの許可に成功すると、ポートは許可ステートに移行します。 ポートが許可ステートになると、後続のホストがネットワーク アクセスの許可を受ける必要はありません。 再認証に失敗したり、または EAPOL ログオフ メッセージを受信して、ポートが無許可ステートになった場合には、接続しているすべてのクライアントはネットワーク アクセスを拒否されます。 マルチ ホスト モードでは、SA 違反の発生時にインターフェイスをシャットダウンする機能がディセーブルになります。 マルチ ホスト モードは、スイッチツースイッチ型トポロジおよびホストツースイッチ型トポロジの両方に適用できます。

サポートされるトポロジ

802.1X ポートベースの認証は、次の 2 つのトポロジでサポートされます。

  • Point-to-point
  • ワイヤレス LAN

ポイントツーポイント構成では、802.1X 対応のオーセンティケータ(Cisco NX-OS デバイス)ポートにサプリカント(クライアント)を 1 台だけ接続することができます。 オーセンティケータは、ポートのリンク ステートがアップ ステートに移行したときにサプリカントを検出します。 サプリカントがログオフしたとき、または別のサプリカントに代わったときには、オーセンティケータはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図 3. ワイヤレス LAN の例. 次の図に、ワイヤレス LAN 上での 802.1X ポートベースの認証を示します。 802.1X ポートはマルチ ホスト ポートとして設定され、1 台のサプリカントが認証されるとすぐにポートが許可されます。

ポートが許可されると、ポートに間接的に接続された他のすべてのホストに対して、ネットワーク アクセスが許可されます。 ポートが無許可ステートになった場合(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、Cisco NX-OS デバイスは接続しているすべてのサプリカントのネットワーク アクセスを禁止します。

802.1X のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

802.1X には、LAN Enterprise ライセンスが必要です。 Cisco DCNM ライセンス方式について、およびライセンスの取得方法と適用方法についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

802.1X にライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

802.1X の前提条件

Cisco DCNM の機能を使用するための前提条件は、次のとおりです。 機能固有の前提条件については、プラットフォームのマニュアルを参照してください。

  • 802.1X のシステム メッセージ ログ レベルが、Cisco DCNM 要件を満たすか上回ること。 デバイス検出時に、ログ レベルが不適切であることが検出された場合は、最低限必要なレベルまで Cisco DCNM によって引き上げられます。 ただし、Cisco Nexus 7000 シリーズ スイッチで Cisco NX-OS Release 4.0 を実行する場合は例外です。 Cisco NX-OS Release 4.0 の場合は、デバイスの検出を行う前に、コマンドライン インターフェイスを使用して Cisco DCNM の要件を満たすか、上回るようにログ レベルを設定してください。 詳細については、を参照してください。

802.1X をサポートしているプラットフォーム

この機能は、次のプラットフォームでサポートされています。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

802.1X の設定

ここでは、802.1X 機能の設定方法について説明します。

802.1X の設定プロセス

ここでは、802.1X を設定するプロセスについて説明します。

手順
    ステップ 1   802.1X 機能をイネーブルにします。
    ステップ 2   リモート RADIUS サーバへの接続を設定します。
    ステップ 3   イーサネット インターフェイスで 802.1X 機能をイネーブルにします。

    802.1X サービスのイネーブル化

    サプリカント デバイスを認証する前に、デバイス上で 802.1X サービスをイネーブルにする必要があります。

    手順
      ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
      ステップ 2   [Summary] ペインで、デバイスをクリックします。
      ステップ 3   メニュー バーで、[Action] > [Enable 802.1X Service] を選択します。
      ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      インターフェイスでの 802.1X 機能のイネーブル化

      802.1X 認証に使用するインターフェイスで 802.1X 機能をイネーブルにする必要があります。

      手順
        ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
        ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
        ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
        ステップ 4   インターフェイスをクリックします。
        ステップ 5   [Interface Settings] タブで、[Enable Dot1X] をクリックします。
        ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        インターフェイスでの 802.1X 認証の制御

        インターフェイス上で実行される 802.1X 認証を制御できます。 インターフェイスの 802.1X 認証ステートは、次のとおりです。

        自動
        インターフェイス上で、802.1X 認証をイネーブルにします。
        強制認証
        インターフェイス上の 802.1X 認証をディセーブルにし、認証を行わずにインターフェイス上のすべてのトラフィックを許可します。 このステートがデフォルトです。
        Force-unauthorized
        インターフェイス上のすべてのトラフィックを禁止します。
        手順
          ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
          ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
          ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
          ステップ 4   インターフェイスをクリックします。
          ステップ 5   [Interface Settings] タブをクリックします。
          ステップ 6   [General] をクリックします。
          ステップ 7   [Port Control] ドロップダウン リストから、ポート制御タイプを選択します。
          ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          グローバル定期再認証のイネーブル化

          802.1X グローバル定期再認証をイネーブルにし、再認証を実行する頻度を指定します。 期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔は 3600 秒(1 時間)です。


          (注)  


          再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。


          手順
            ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
            ステップ 2   [Summary] ペインで、デバイスをクリックします。
            ステップ 3   [Global Settings] タブをクリックします。
            ステップ 4   [General] をクリックします。
            ステップ 5   [Enable Re-authentication] をオンにします。
            ステップ 6   (任意) [Re-auth Period(secs)] に、インターフェイス上でサプリカントが定期的な再認証を行う間隔の秒数を入力します。 デフォルトは 3600 秒(10 時間)です。
            ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            インターフェイスの定期再認証のイネーブル化

            インターフェイスの 802.1X 定期再認証をイネーブルにし、再認証を実行する頻度を指定します。 期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔はグローバル値にデフォルト設定されます。


            (注)  


            再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。


            手順
              ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
              ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
              ステップ 4   インターフェイスをクリックします。
              ステップ 5   [Interface Settings] タブをクリックします。
              ステップ 6   [General] をクリックします。
              ステップ 7   [Enable Re-authentication] をオンにします。
              ステップ 8   (任意) [Re-auth Period(secs)] に、インターフェイス上でサプリカントが定期的な再認証を行う間隔の秒数を入力します。 デフォルトはグローバル設定です。
              ステップ 9   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              802.1X グローバル認証タイマーの変更

              デバイスでは、次の 802.1X グローバル認証タイマーをサポートしています。

              待機時間タイマー
              デバイスがサプリカントを認証できない場合、デバイスは所定の時間アイドル状態になり、その後再試行します。 待機時間タイマーの値でアイドルの時間が決まります。 認証が失敗する原因には、サプリカントが無効なパスワードを提供した場合があります。 デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。 デフォルトは 60 秒です。 有効な範囲は 1 ~ 65535 です。
              スイッチとサプリカント間の再送信時間タイマー
              クライアントは、デバイスの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。 デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機した後、フレームを再送信します。 デフォルトは 30 です。 指定できる範囲は 1 ~ 65535 秒です。

              (注)  


              また、待機時間タイマーおよびスイッチとサプリカント間の送信時間タイマーをインターフェイス レベルでも設定できます。



              (注)  


              このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にだけ変更してください。


              手順
                ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                ステップ 2   [Summary] ペインで、デバイスをクリックします。
                ステップ 3   [Global Settings] タブをクリックします。
                ステップ 4   [Timers] をクリックします。
                ステップ 5   (任意) [Quiet Period(secs)] フィールドに、待機時間タイマーの秒数を入力します。 デフォルトは 60 秒です。
                ステップ 6   (任意) [TX Period(secs)] フィールドに、スイッチとサプリカント間の再送信タイマーの秒数を入力します。 デフォルトは 30 秒です。
                ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                インターフェイスの 802.1X 認証タイマーの変更

                デバイスのインターフェイス上で変更できる 802.1X 認証タイマーは、次のとおりです。

                待機時間タイマー
                Cisco NX-OS デバイスがサプリカントを認証できない場合、スイッチは所定の時間アイドル状態になり、その後再試行します。 待機時間タイマーの値でアイドルの時間が決まります。 認証が失敗する原因には、サプリカントが無効なパスワードを提供した場合があります。 デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。 デフォルトは、グローバル待機時間タイマーの値です。 指定できる範囲は 1 ~ 65535 秒です。
                レート制限タイマー
                レート制限時間中、サプリカントから過剰に送信されている EAPOL-Start パケットを抑制します。 オーセンティケータはレート制限時間中、認証に成功したサプリカントからの EAPOL-Start パケットを無視します。 デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。 指定できる範囲は 1 ~ 65535 秒です。
                レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信タイマー
                認証サーバは、レイヤ 4 パケットを受信するたびにスイッチに通知します。 スイッチがパケット送信後に通知を受信できない場合、Cisco NX-OS デバイスは所定の時間だけ待機した後、パケットを再送信します。 デフォルトは 30 秒です。 指定できる範囲は 1 ~ 65535 秒です。
                EAP 応答フレームに対するスイッチとサプリカント間の再送信タイマー
                サプリカントは、Cisco NX-OS デバイスの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。 Cisco NX-OS デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機した後、フレームを再送信します。 デフォルトは 30 秒です。 指定できる範囲は 1 ~ 65535 秒です。
                EAP 要求フレームに対するスイッチとサプリカント間の再送信タイマー
                EAP 要求フレームに対するスイッチとサプリカント間の再送信タイマー:サプリカントは、Cisco NX-OS デバイスに EAP 要求フレームを受信したことを通知します。 オーセンティケータがこの通知を受信できなかった場合、オーセンティケータは所定の時間だけ待機した後、フレームを再送信します。 デフォルトは、グローバル再送信時間タイマーの値です。 指定できる範囲は 1 ~ 65535 秒です。

                (注)  


                このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にだけ変更してください。


                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                  ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                  ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
                  ステップ 4   インターフェイスをクリックします。
                  ステップ 5   [Interface Settings] タブをクリックします。
                  ステップ 6   [Timers] をクリックします。
                  ステップ 7   (任意) [Quiet Period(secs)] フィールドに、待機時間タイマーの秒数を入力します。 デフォルトはグローバル設定です。
                  ステップ 8   (任意) [TX Period(secs)] フィールドに、EAP 要求フレームに対するスイッチとサプリカント間の再送信タイマーの秒数を入力します。 デフォルトはグローバル設定です。
                  ステップ 9   (任意) (任意)[Supplicant Period(secs)] フィールドに、EAP 応答フレーム間隔に対するスイッチとサプリカント間の再送信タイマーの秒数を入力します。 デフォルトは、グローバル待機時間タイマーの値です。
                  ステップ 10   (任意) [Server Period(secs)] フィールドに、レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信タイマーの秒数を入力します。

                  デフォルトは 30 秒です。

                  ステップ 11   (任意) [Rate Limit Period(secs)] フィールドに、レート制限タイマーの秒数を入力します。 デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。
                  ステップ 12   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  シングル ホスト モードまたはマルチ ホスト モードのイネーブル化

                  インターフェイス上でシングル ホスト モードまたはマルチ ホスト モードをイネーブルにすることができます。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                    ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
                    ステップ 4   インターフェイスをクリックします。
                    ステップ 5   [Interface Settings] タブをクリックします。
                    ステップ 6   [General] をクリックします。
                    ステップ 7   [Host Mode] ドロップダウン リストで、[Single] または [Multiple] を選択します。 デフォルトは [Single] です。
                    ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    MAC アドレス認証バイパスのイネーブル化

                    サプリカントの接続されていないインターフェイス上で、MAC アドレス認証バイパス機能をイネーブルにすることができます。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                      ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                      ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
                      ステップ 4   インターフェイスをクリックします。
                      ステップ 5   [Interface Settings] タブをクリックします。
                      ステップ 6   [General] をクリックします。
                      ステップ 7   [Mac-auth-bypass] チェックボックスをオンにします。 デフォルトではディセーブルになっています。
                      ステップ 8   (任意) [EAP Authentication] チェックボックスをオンにして、EAP 認証に対する MAC 認証バイパスをイネーブルにします。
                      ステップ 9   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                      デバイスでの 802.1X 認証のディセーブル化

                      デバイス上の 802.1X 認証をディセーブルにすることができます。 デフォルトでは、802.1X 機能をイネーブルにすると、Cisco NX-OS ソフトウェアが 802.1X 認証をイネーブルにします。 ただし、802.1X 機能をディセーブルにした場合、設定はデバイスから削除されます。 Cisco NX-OS ソフトウェアでは、802.1X の設定を失わずに 802.1X 認証をディセーブルにできます。


                      (注)  


                      802.1X 認証をディセーブルにすると、設定されているポート モードに関係なく、すべてのインターフェイスのポート モードがデフォルトの force-authorized になります。 802.1X 認証を再びイネーブルにすると、Cisco NX-OS ソフトウェアはインターフェイス上に設定したポート モードを復元します。


                      手順
                        ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                        ステップ 2   [Summary] ペインで、デバイスをクリックします。
                        ステップ 3   [Global Settings] タブをクリックします。
                        ステップ 4   [General] をクリックします。
                        ステップ 5   [Sys Auth Enable] をオフにします。

                        デフォルトではイネーブルになっています。

                        ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                        802.1X 機能のディセーブル化

                        デバイス上の 802.1X 機能をディセーブルにすることができます。


                        注意    


                        802.1X をディセーブルにすると、802.1X のすべての設定がデバイスから削除されます。


                        手順
                          ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                          ステップ 2   [Summary] ペインで、デバイスをクリックします。
                          ステップ 3   メニュー バーで、[Dot1X] > [Disable 802.1X] を選択します。
                          ステップ 4   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                          オーセンティケータとサプリカント間のフレーム再送信最大再試行回数のグローバル設定

                          オーセンティケータとサプリカント間の再送信時間を変更できるだけでなく、(サプリカントから応答がなかった場合に)デバイスが認証プロセスを再開するまでに、サプリカントに EAP-Request/Identity フレームを送信する回数を設定することができます。


                          (注)  


                          このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にだけ変更してください。


                          手順
                            ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                            ステップ 2   [Summary] ペインで、デバイスをクリックします。
                            ステップ 3   [Global Settings] タブをクリックします。
                            ステップ 4   [General] をクリックします。
                            ステップ 5   [Max Request] フィールドに、最大要求再試行回数を入力します。 デフォルトは 2 です。
                            ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                            インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定

                            セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに認証要求を再送信する最大回数を設定できます。 デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。

                            手順
                              ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                              ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
                              ステップ 4   インターフェイスをクリックします。
                              ステップ 5   [Interface Settings] タブをクリックします。
                              ステップ 6   [General] をクリックします。
                              ステップ 7   [Max Request] フィールドに、最大要求再試行回数を入力します。 デフォルトは 2 です。
                              ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                              802.1X 認証の RADIUS アカウンティングのイネーブル化

                              802.1X 認証のアクティビティに対する RADIUS アカウンティングをイネーブルにできます。

                              手順
                                ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                                ステップ 2   [Summary] ペインで、デバイスをクリックします。
                                ステップ 3   [Global Settings] タブをクリックします。
                                ステップ 4   [General] をクリックします。
                                ステップ 5   [RADIUS Accounting] をオンにします。 デフォルトではディセーブルになっています。
                                ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                802.1X の AAA アカウンティング方式の設定

                                802.1X 機能に対する AAA アカウンティング方式をイネーブルにできます。

                                手順
                                  ステップ 1   [Feature Selector] ペインで、[Security] > [AAA] > [Rules] を選択します。
                                  ステップ 2   [Summary] テーブル ペインで、デバイスの横の展開アイコンをクリックして、ルールのリストを表示します。
                                  ステップ 3   [Accounting Rules] をクリックします。
                                  ステップ 4   [Accounting Rules] ごとに展開アイコンをクリックします。
                                  ステップ 5   メニュー バーで、[Rules] > [Add Rule] を選択します。 新しいデフォルト ルールがリストに表示され、[Details] ペインに [Authentication Rules] タブが表示されます。
                                  ステップ 6   [Service Type] ドロップダウン リストから、[Dot1x] を選択します。
                                  ステップ 7   (任意) 新しい方式の [Type] でセルをダブルクリックします。 方式セルにグループが表示されます。
                                  ステップ 8   [Server Group Name] で、方式のセルをダブルクリックします。
                                  ステップ 9   サーバ グループ名を入力するか、ドロップダウン リストからサーバ グループ名を選択して [OK] をクリックします。
                                  ステップ 10   (任意)方式をさらに追加するには、方式を右クリックしてポップアップ メニューから [Add Method] を選択し、新しい方式についてステップ 6 ~ 8 を繰り返します。
                                  ステップ 11   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                  インターフェイスでの再認証最大リトライ回数の設定

                                  セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに再認証要求を再送信する最大回数を設定できます。 デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。

                                  手順
                                    ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                                    ステップ 3   スロットをダブルクリックしてインターフェイスを表示します。
                                    ステップ 4   インターフェイスをクリックします。
                                    ステップ 5   [Interface Settings] タブをクリックします。
                                    ステップ 6   [General] をクリックします。
                                    ステップ 7   [Max Reauth Request] フィールドに、再認証要求最大再試行回数を入力します。 デフォルトは 2 です。
                                    ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                    802.1X 統計情報の表示

                                    デバイスが保持している 802.1X のアクティビティに関する統計情報を表示できます。

                                    手順
                                      ステップ 1   [Feature Selector] ペインで、[Security] > [Dot1X] を選択します。
                                      ステップ 2   [Summary] ペインで、デバイスをクリックします。
                                      ステップ 3   [Details] ペインで、デバイスの 802.1X 統計情報に関する [Statistics] タブをクリックします。
                                      ステップ 4   [Summary] ペインで、デバイスをダブルクリックしてスロットを表示します。
                                      ステップ 5   スロットをダブルクリックしてインターフェイスを表示します。
                                      ステップ 6   インターフェイスをクリックします。
                                      ステップ 7   [Details] ペインで、インターフェイスの 802.1X 統計情報に関する [Statistics] タブをクリックします。

                                      802.1X のフィールドの説明

                                      ここでは、Cisco DCNM の 802.1X 機能のフィールドについて説明します。

                                      [Security]:[Dot1X]:[Summary] ペイン

                                      表 1 [Security]:[Dot1X]:[Summary] ペイン

                                      要素

                                      説明

                                      Interface Name

                                      インターフェイスの名前を表示します。

                                      Description

                                      インターフェイスの説明を表示します。

                                      Dot1x State

                                      インターフェイスの 802.1X ステータスを表示します。

                                      Host Mode

                                      インターフェイス上の 802.1X のホスト モード(シングルまたはマルチ)。 デフォルトはシングルです。

                                      Port Control

                                      インターフェイスでの 802.1X 認証。 デフォルトは、force authorized です。

                                      Oper Status

                                      インターフェイスの動作ステータスを表示します。

                                      [Security]:[Dot1X]:[device]:[Global Settings] タブ:[General]

                                      表 2  [Security]:[Dot1X]:[device]:[Global Settings] タブ:[General]

                                      要素

                                      説明

                                      Sys Auth Enable

                                      設定を削除することなく、デバイス全体の 802.1X 認証をイネーブルまたはディセーブルにします。 デフォルトではイネーブルになっています。

                                      Radius Accounting

                                      802.1X アカウンティング ルールの AAA アカウンティングの設定を使用した、802.1X の RADIUS アカウンティングをイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                      Max Request

                                      (クライアントから応答が得られなかった場合に)デバイスが認証プロセスを再起動する前に、サプリカントに EAP-Request/Identity フレームを送信する最大回数。 デフォルトは 2 です。

                                      Enable Re-authentication

                                      サプリカントのグローバル再認証をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                      Re-auth Period(secs)

                                      サプリカントの自動再認証期間。 デフォルト値は 3600 秒(60 分)です。

                                      [Security]:[Dot1X]:[device]:[Global Settings] タブ:[Timers]

                                      表 3  [Security]:[Dot1X]:[device]:[Global Settings] タブ:[Timers]

                                      要素

                                      説明

                                      Quiet Period(secs)

                                      デバイスがサプリカントの再認証を行う間隔の秒数。 デフォルトは 60 秒です。

                                      TX Period(secs)

                                      デバイスが EAP-Request/Identity フレームを送信してからクライアントからの EAP-Response/Identity フレームを受信するまで、待機して要求フレームを再送信するまでの再送信時間。 デフォルトは 30 秒です。

                                      [Security]:[Dot1X]:[device]:[slot]:[interface]:[Interface Settings] タブ:[General]

                                      表 4  [Security]:[Dot1X]:[device]:[slot]:[interface]:[Interface Settings] タブ:[General]

                                      要素

                                      説明

                                      Interface Name

                                      インターフェイスのタイプと場所を表示します。

                                      Description

                                      インターフェイスの説明を表示します。

                                      Host Mode

                                      802.1X のホスト モード(シングルまたはマルチ)。 デフォルトはシングルです。

                                      Port Control

                                      インターフェイス上の 802.1X 認証。 デフォルトは、force authorized です。

                                      PAE Type

                                      デバイス ロールを表示します。

                                      Mac-Auth-Bypass

                                      MAC アドレス認証バイパスをイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                      EAP Authentication

                                      MAC アドレス認証バイパスに対する EAP 認証をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                      Oper Status

                                      インターフェイスの動作ステータスを表示します。

                                      Max Reauth Request

                                      セッションがタイムアウトするまでに、デバイスがインターフェイス上でサプリカントに再認証要求を再送信する最大回数。 デフォルトは 2 です。

                                      Max Request

                                      (クライアントから応答が得られなかった場合に)デバイスが認証プロセスを再起動する前に、サプリカントに EAP-Request/Identity フレームを送信する最大回数。 デフォルトは 2 です。

                                      Enable Re-authentication

                                      サプリカントのグローバル再認証をイネーブルまたはディセーブルにします。 デフォルトではディセーブルになっています。

                                      Re-auth Period(secs)

                                      サプリカントの自動再認証期間。 デフォルト値は 3600 秒(60 分)です。

                                      [Security]:[Dot1X]:[device]:[slot]:[interface]:[Interface Settings] タブ:[Timers]

                                      表 5 [Security]:[Dot1X]:[device]:[slot]:[interface]:[Interface Settings] タブ:[Timers]

                                      要素

                                      説明

                                      Quiet Period(secs)

                                      デバイスがサプリカントの再認証を行う間隔の秒数。 デフォルトは 60 秒です。

                                      TX Period(secs)

                                      デバイスが EAP-Request/Identity フレームを送信してからクライアントからの EAP-Response/Identity フレームを受信するまで、待機して要求フレームを再送信するまでの再送信時間。 デフォルトは 30 秒です。

                                      Supplicant Period(secs)

                                      EAP 応答フレームに対するスイッチとサプリカント間の再送信間隔の秒数。 デフォルトは 30 秒です。

                                      Server Period(secs)

                                      レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信の秒数。 デフォルトは 30 秒です。

                                      Rate Limit Period(secs)

                                      レート制限タイマーの秒数。 レート制限タイマーは、サプリカントから過剰に送信されている EAPOL-Start パケットを抑制します。 オーセンティケータはレート制限時間中、認証に成功したサプリカントからの EAPOL-Start パケットを無視します。 デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。

                                      802.1X に関する追加情報

                                      ここでは、802.1X の実装に関する追加情報について説明します。

                                      関連資料

                                      関連項目

                                      参照先

                                      Cisco NX-OS のライセンス

                                      Cisco NX-OS ライセンス ガイド

                                      Cisco DCNM ライセンス設定

                                      『Cisco DCNM Installation and Licensing Guide, Release 5.x』

                                      コマンド リファレンス

                                      『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                                      VRF コンフィギュレーション

                                      標準

                                      標準

                                      タイトル

                                      IEEE Std 802.1X- 2004(IEEE Std 802.1X-2001 の改訂版)

                                      『802.1X IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control』

                                      RFC 2284

                                      『PPP Extensible Authentication Protocol (EAP)』

                                      RFC 3580

                                      『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』

                                      MIB

                                      MIB

                                      MIB のリンク

                                      • IEEE8021-PAE-MIB

                                      MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                                      http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

                                      802.1X の機能の履歴

                                      次の表に、この機能のリリースの履歴を示します。

                                      表 6  802.1X の機能の履歴

                                      機能名

                                      リリース

                                      機能情報

                                      802.1X

                                      5.2(1)

                                      Release 5.1 以降、変更はありません。

                                      802.1X

                                      5.1(1)

                                      Release 5.0 以降、変更はありません。

                                      802.1X

                                      5.0(2)

                                      Release 4.2 以降、変更はありません。