Cisco 7600 シリーズ ルータ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2SX
IEEE 802.1xポートベースの認証の設定
IEEE 802.1xポートベースの認証の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

IEEE 802.1xポートベースの認証の設定

802.1xポートベースの認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

サポートされるトポロジー

802.1xポートベースの認証のデフォルト設定

802.1xポートベースの認証時の注意事項および制約事項

802.1xポートベースの認証の設定

802.1xポートベース認証のイネーブル化

とRADIUSサーバ間の通信の設定

定期的な再認証のイネーブル化

手動によるポート接続クライアントの再認証

ポート接続クライアント認証の初期化

待機時間の変更

とクライアント間の再送信時間の変更

とクライアント間のEAP要求フレーム再送信時間の設定

と認証サーバ間のレイヤ4パケット再送信時間の設定

とクライアント間のフレーム再送信回数の設定

複数ホストのイネーブル化

802.1x設定をデフォルト値にリセットする方法

802.1xステータスの表示

IEEE 802.1xポートベースの認証の設定

この章では、認証されていない装置(クライアント)がネットワークにアクセスするのを防止するために、IEEE 802.1xポートベースの認証を設定する手順を説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、『Cisco 7600 Series Router Cisco IOS Command Reference』を参照してください。


この章の構成は次のとおりです。

「802.1xポートベースの認証の概要」

「802.1xポートベースの認証のデフォルト設定」

「802.1xポートベースの認証時の注意事項および制約事項」

「802.1xポートベースの認証の設定」

「802.1xステータスの表示」

802.1xポートベースの認証の概要

IEEE 802.1x標準は、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由してLANに接続するのを規制します。認証サーバは、ルータ ポートに接続する各クライアントを認証したうえで、ルータやLANによって提供されるサービスを利用できるようにします。

802.1xアクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ここでは、IEEE 802.1xポートベースの認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「サポートされるトポロジー」

装置の役割

802.1xポート ベースの認証では、図 34-1に示すように、ネットワーク上の装置にはそれぞれ特定の役割があります。

図 34-1 802.1x装置の役割

 

図 34-1に示す特定の役割は、次のとおりです。

クライアント ― LANおよびルータ サービスへのアクセスを要求し、ルータからの要求に応答するデバイス(ワークステーション)。ワークステーションは、Microsoft Windows XPオペレーティング システムで提供されているような802.1x準拠のクライアント ソフトウェアを実行する必要があります(クライアントは、IEEE 802.1x規格では supplicant といいます)。


) Windows XPのネットワーク接続および802.1xポートベースの認証に関しては、次のURLにある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― 実際にクライアントの認証を行います。認証サーバは、クライアントのアイデンティティを確認し、そのクライアントのLANおよびルータ サービスへのアクセスが許可されるかどうかをルータに通知します。ルータはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えたRemote Authentication Dial-In User Service
(RADIUS)セキュリティ システムだけがサポートされています。この認証サーバは、Cisco
Secure Access Control Serverバージョン3.0で使用可能です。RADIUSはクライアント サーバ モデルで動作し、RADIUSサーバと1つまたは複数のRADIUSクライアントとの間でセキュア認証情報を交換します。

ルータ 認証記号 および バックエンドの認証記号 ともいう) ― クライアントの認証ステータスに基づいて、ネットワークへの物理的アクセスを制御します。ルータはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。ルータには、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUSクライアントが含まれています。

ルータがEAPOLフレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUSフォーマットに再カプセル化されます。カプセル化ではEAPフレームの変更または検証は行われず、認証サーバはネイティブ フレーム フォーマットのEAPをサポートしなければなりません。ルータが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りのEAPフレームがイーサネット用にカプセル化され、クライアントに送信されます。

認証の開始およびメッセージ交換

ルータまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、ルータはポートのリンク ステートがダウンからアップに移行したと判断した時点で、認証を開始しなければなりません。その場合、ルータはEAP要求/アイデンティティ フレームをクライアントに送信して識別情報を要求します(ルータは通常、最初のアイデンティティ/要求フレームに続いて、認証情報に関する1つまたは複数の要求を送信します)。クライアントはフレームを受信すると、EAP応答/アイデンティティ フレームで応答します。

ただし、クライアントが起動時にルータからEAP要求/アイデンティティ フレームを受信しなかった場合、クライアントはEAPOL開始フレームを送信して認証を開始することができます。このフレームはルータに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で802.1xがイネーブルに設定されていない、またはサポートされていない場合には、クライアントからのEAPOLフレームはすべて廃棄されます。クライアントが認証の開始を3回試みてもEAP要求/アイデンティティ フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、ルータは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間でEAPフレームを送受信します。認証が成功すると、ルータ ポートは許可ステートになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われるEAPフレーム交換は、使用する認証方式によって異なります。図 34-2に、クライアントがRADIUSサーバとの間でOne-Time-Password(OTP;ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図 34-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

ルータ ポート ステートによって、クライアントがネットワーク アクセスを許可されているかどうか判別できます。ポートは最初、 無許可 ステートです。このステートでは、ポートは802.1xプロトコル パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに移行し、クライアントのトラフィック送受信を通常どおりに許可します。

802.1xをサポートしていないクライアントが、無許可ステートの802.1xポートに接続すると、ルータはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1x対応のクライアントが、802.1xプロトコルの稼働していないポートに接続すると、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― 802.1xポートベースの認証をディセーブルにして、必要な認証交換をせずにポートを許可ステートに移行させます。ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― ポートを無許可ステートのままにして、クライアントが認証を試みてもすべて無視します。ルータは、インターフェイスを介してクライアントに認証サービスを提供することができません。

auto ― 802.1xポートベースの認証をイネーブルにして、ポートに無許可ステートを開始させ、EAPOLフレームだけがポートを通じて送受信できるようにします。ポートのリンク ステートがダウンからアップに移行したとき、またはEAPOL開始フレームを受信したときに、認証プロセスが開始されます。ルータは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。ルータはクライアントのMAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、ルータは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOLログオフ メッセージを送信します。このメッセージによって、ルータ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。

サポートされるトポロジー

802.1xポート ベース認証は、次の2つのトポロジーでサポートされます。

ポイントツーポイント

ワイヤレスLAN

ポイントツーポイントの構成(802.1x装置の役割を参照)では、802.1x対応のルータポートに接続できるクライアントは、1台だけです。ルータは、ポートのリンク ステートがアップに変化したときに、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、ルータはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図 34-3に、ワイヤレスLANにおける802.1xポート ベースの認証を示します。802.1xポートは複数ホスト ポートとして設定されており、いずれか1つのクライアントが認証された時点で許可ステートになります。ポートが許可ステートになると、そのポートに間接的に接続している他のすべてのホストが、ネットワーク アクセスを許可されます。ポートが無許可ステートになると(再認証が失敗した場合、またはEAPOLログオフ メッセージを受信した場合)、ルータはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、ルータに対するクライアントとしての役割を果たします。

図 34-3 ワイヤレスLANの例

 

802.1xポートベースの認証のデフォルト設定

表 34-1 に、802.1xのデフォルト設定を示します。

 

表 34-1 802.1xのデフォルト設定

機能
デフォルトの設定

AAA(認証、許可、アカウンティング)

ディセーブル

RADIUSサーバのIPアドレス

指定なし

RADIUSサーバのUDP認証ポート

1812

RADIUSサーバ キー

指定なし

インターフェイス単位の802.1xプロトコル イネーブル ステート

ディセーブル(force-authorized)


) ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。


 

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600秒

待機時間

60秒(ルータがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30秒(ルータがEAP要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(ルータが認証プロセスを再開するまでに、EAP要求/アイデンティティ フレームを送信する回数)

複数ホストのサポート

ディセーブル

クライアント タイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、クライアントに要求を再送信するまでに ルータ が応答を待機する時間)

認証サーバ タイムアウト時間

30秒(認証サーバからの応答をクライアントにリレーするとき、ルータが応答を待ち、クライアントに要求を再送信するまでの時間)

802.1xポートベースの認証時の注意事項および制約事項

802.1xポートベースの認証を設定する際の注意事項および制約事項は、次のとおりです。

802.1xをイネーブルにすると、ポートが認証されてから、他のレイヤ2機能またはレイヤ3機能がイネーブルになります。

802.1xプロトコルは、レイヤ2のスタティック アクセス ポートおよびレイヤ3ルーテッド ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。

EtherChannelポート ― ポート上で802.1xをイネーブルにする前に、EtherChannelのポート チャネル インターフェイスから802.1xを削除する必要があります。EtherChannelのポート チャネル インターフェイス上またはEtherChannel上の個々のアクティブ ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。まだアクティブになっていないEtherChannel上の個々のポートで802.1xをイネーブルにしても、そのポートはEtherChannelに加入しません。

セキュア ポート ― セキュア ポートは802.1xポートにできません。セキュア ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをセキュア ポートに変更しようとしても、エラー メッセージが表示され、セキュリティ設定は変更されません。

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポート ― SPAN宛先ポートであるポートで802.1xをイネーブルにすることができます。ただし、ポートがSPAN宛先として削除されるまで、802.1xはディセーブルになります。SPAN送信元ポートでは802.1xをイネーブルにすることができます。

802.1xポートベースの認証の設定

ここでは、802.1xポートベースの認証の設定方法を説明します。

「802.1xポートベース認証のイネーブル化」

「 ルータとRADIUSサーバ間の通信の設定」

「定期的な再認証のイネーブル化」

「手動によるポート接続クライアントの再認証」

「ポート接続クライアント認証の初期化」

「待機時間の変更」

「ルータとクライアント間の再送信時間の変更」

「ルータとクライアント間のフレーム再送信回数の設定」

「複数ホストのイネーブル化」

「802.1x設定をデフォルト値にリセットする方法」

802.1xポートベース認証のイネーブル化

802.1xポート ベース認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。

802.1xポート ベースの認証を設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# aaa new-model

AAAをイネーブルにします。

Router(config)# no aaa new-model

AAAをディセーブルにします。

ステップ 2

Router(config)# aaa authentication dot1x { default } method1 [ method2 ... ]

802.1xポート ベース認証方式リストを作成します。

Router(config)# no aaa authentication dot1x { default | list_name }

設定されている方式リストを消去します。

ステップ 3

Router(config)# dot1x system-auth-control

802.1xポートベースの認証をグローバルにイネーブルにします。

Router(config)# no dot1x system-auth-control

802.1xポートベースの認証をグローバルにディセーブルにします。

ステップ 4

Router(config)# interface type 1 slot/port

インターフェイス コンフィギュレーション モードを開始し、802.1xポートベースの認証をイネーブルにするインターフェイスを指定します。

ステップ 5

Router(config-if)# dot1x port-control auto

インターフェイス上で802.1xポートベースの認証をイネーブルにします。

Router(config-if)# no dot1x port-control auto

インターフェイス上で802.1xポートベースの認証をディセーブルにします。

ステップ 6

Router(config)# end

イネーブルEXECモードに戻ります。

ステップ 7

Router# show dot1x all

入力を確認します。

表示の802.1x Port SummaryセクションのStatusカラムを確認してください。 enabled というステータスは、ポート制御値が、 auto または force-unauthorized に設定されていることを意味します。

1.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

802.1xポートベースの認証をイネーブルにする場合、次の構文情報に注意してください。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用される方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

次のキーワードのうち、少なくとも1つを指定します。

group radius ― すべてのRADIUSサーバのリストを認証に使用します。

none ― 認証を使用しません。クライアントから提供される情報を使用することなく、クライアントはルータにより自動的に認証されます。

次に、ポートFastEthernet 5/1でAAAと802.1xをイネーブルにする例を示します。

Router# configure terminal
Router(config)# aaa new-model
Router(config)# aaa authentication dot1x default group radius
Router(config)# dot1x system-auth-control
Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show dot1x all
 
Dot1x Info for interface FastEthernet5/1
----------------------------------------------------
AuthSM State = FORCE UNAUTHORIZED
BendSM State = IDLE
PortStatus = UNAUTHORIZED
MaxReq = 2
MultiHosts = Disabled
Port Control = Force UnAuthorized
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds

ルータとRADIUSサーバ間の通信の設定

RADIUSセキュリティ サーバは、次のいずれかによって識別されます。

ホスト名

ホストIPアドレス

ホスト名と特定のUDPポート番号

IPアドレスと特定のUDPポート番号

IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、同一IPアドレスのサーバ上にある複数のUDPポートにRADIUS要求を送信できるようになります。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUSホスト エントリは、設定した順序に従って試行されます。

RADIUSサーバ パラメータを設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# ip radius source-interface interface_name

RADIUSパケットが、指定されたインターフェイスのIPアドレスを含むように指定します。

Router(config)# no ip radius source-interface

RADIUSパケットが、以前に指定されたインターフェイスのIPアドレスを含まないようにします。

ステップ 2

Router(config)# radius-server host { hostname | ip_address }

ルータにRADIUSサーバ ホスト名やIPアドレスを設定します。

複数のRADIUSサーバを使用したい場合は、このコマンドを再度入力します。

Router(config)# no radius-server host { hostname | ip_address }

指定したRADIUSサーバを削除します。

ステップ 3

Router(config)# radius-server key string

ルータと、RADIUSサーバ上で動作するRADIUSデーモンとの間で使用する、認証鍵および暗号化鍵を設定します。

ステップ 4

Router(config)# end

イネーブルEXECモードに戻ります。

RADIUSサーバ パラメータを設定する場合、次の構文情報に注意してください。

hostname または ip_address には、リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

別のコマンドラインには、 key string を指定します。

key string には、 ルータ とRADIUSサーバ上で動作するRADIUSデーモンとの間で使用する認証鍵および暗号化鍵を指定します。鍵は、RADIUSサーバで使用する暗号化鍵に一致するテキスト ストリングでなければなりません。

key string を指定する場合、鍵の途中および末尾のスペースが利用されます。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵はRADIUSデーモンで使用する暗号に一致している必要があります。

radius-server host グローバル コンフィギュレーション コマンドを使用して、タイムアウト、再送信回数、暗号化鍵の値を、すべてのRADIUSサーバにグローバルに設定することができます。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次のURLの『 Cisco IOS Security Configuration Guide 』Release 12.2、『 Cisco IOS Security Command Reference 』Release 12.2を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/index.htm


) RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、ルータのIPアドレス、およびサーバとルータの双方で共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。


次に、ルータでRADIUSサーバ パラメータを設定する例を示します。

Router# configure terminal
Router(config)# ip radius source-interface Vlan80
Router(config)# radius-server host 172.l20.39.46
Router(config)# radius-server key rad123
Router(config)# end

定期的な再認証のイネーブル化

802.1xクライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定することができます。再認証をイネーブルにする前にその間隔を指定しない場合、3600秒おきに再認証が試みられます。

802.1xクライアントの自動的な再認証はグローバルな設定であり、個々のポートに接続するクライアント別に設定することはできません。特定のポートに接続するクライアントを手動で再認証する方法については、「手動によるポート接続クライアントの再認証」を参照してください。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定する手順は次のとおりです。

 

コマンド
説明

ステップ 1

Router(config)# interface type 2 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x reauthentication

クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。

Router(config-if)# no dot1x reauthentication

クライアントの定期的な再認証をディセーブルにします。

ステップ 3

Router(config-if)# dot1x timeout re-authperiod seconds

再認証の間隔(秒)を設定します。

指定できる範囲は 1~4294967295 です。デフォルトは3600秒です。

このコマンドがルータに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

Router(config-if)# no dot1x timeout re-authperiod

デフォルトの再認証の間隔に戻します。

ステップ 4

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 5

Router# show dot1x all

入力を確認します。

2.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、定期的な再認証をイネーブルにし、再認証の間隔を4000秒に設定する例を示します。

Router(config-if)# dot1x reauthentication
Router(config-if)# dot1x timeout re-authperiod 4000

手動によるポート接続クライアントの再認証


) 再認証は、すでに認証されているポートのステータスには影響しません。


特定のポートに接続するクライアントを手動で再認証するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router# dot1x re-authenticate interface type 3 slot/port

ポートに接続するクライアントを手動で再認証します。

ステップ 2

Router# show dot1x all

入力を確認します。

3.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ポートFastEthernet 5/1に接続されているクライアントを手動で再認証する例を示します。

Router# dot1x re-authenticate interface fastethernet 5/1
Starting reauthentication on FastEthernet 5/1

ポート接続クライアント認証の初期化


) 認証の初期化により、既存の認証はディセーブルにしてから、ポートに接続されているクライアントを認証します。


ポートに接続されているクライアントの認証を初期化するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router# dot1x initialize interface type 4 slot/port

ポートに接続されているクライアントの認証を初期化します。

ステップ 2

Router# show dot1x all

入力を確認します。

4.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ポートFastEthernet 5/1に接続されているクライアントに対する認証を初期化する例を示します。

Router# dot1x initialize interface fastethernet 5/1
Starting reauthentication on FastEthernet 5/1

待機時間の変更

ルータがクライアントを認証できなかった場合は、ルータは所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。このアイドル時間は、待機時間の値によって決定されます。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 5 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x timeout quiet-period seconds

ルータがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は0~65535秒です。デフォルトは60秒です。

Router(config-if)# no dot1x timeout quiet-period

デフォルトの待機時間に戻ります。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

5.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ルータの待機時間を30秒に設定する例を示します。

Router(config-if)# dot1x timeout quiet-period 30

ルータとクライアント間の再送信時間の変更

クライアントはルータからのEAP要求/アイデンティティ フレームに対し、EAP応答/アイデンティティ フレームで応答します。ルータがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


ルータがクライアントからの通知を待機する時間を変更するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 6 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x timeout tx-period seconds

ルータがEAP要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は1~65535秒です。デフォルトは30秒です。

Router(config-if)# dot1x timeout tx-period

デフォルトの再送信時間に戻ります。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

6.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ルータがEAP要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を60秒に設定する例を示します。

Router(config)# dot1x timeout tx-period 60

ルータとクライアント間のEAP要求フレーム再送信時間の設定

クライアントはEAP要求フレームを受信したことをルータに通知します。ルータがこの通知を受信できなかった場合、ルータは所定の時間だけ待機し、そのあとフレームを再送信します。ルータが通知を待機する時間は、1~65535秒の範囲に指定できます(デフォルトは30秒です)。

ルータからクライアントへのEAP要求フレーム再送信時間を設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 7 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x timeout supp-timeout seconds

ルータからクライアントへのEAP要求フレームの再送信時間を設定します。

Router(config-if)# no dot1x timeout supp-timeout

デフォルトの再送信時間に戻ります。

ステップ 3

Router# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

7.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ルータからクライアントへのEAP要求フレームの再送信時間を25秒に設定する例を示します。

Router(config-if)# dot1x timeout supp-timeout 25

ルータと認証サーバ間のレイヤ4パケット再送信時間の設定

認証サーバは、レイヤ4パケットを受信するたびにルータに通知します。ルータがパケット送信後、通知を受信できない場合、ルータは所定の時間だけ待機し、そのあとパケットを再送信します。ルータが通知を待機する時間は、1~65535秒の範囲に指定できます(デフォルトは30秒です)。

ルータから認証サーバへレイヤ4パケットを再送信する間隔を設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 8 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x timeout server-timeout seconds

ルータから認証サーバへのレイヤ4パケットの再送信時間を設定します。

Router(config-if)# no dot1x timeout server-timeout

デフォルトの再送信時間に戻ります。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

8.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ルータから認証サーバへのレイヤ4パケットの再送信時間を25秒に設定する例を示します。

Router(config-if)# dot1x timeout server-timeout 25

ルータとクライアント間のフレーム再送信回数の設定

ルータとクライアント間の再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)ルータが認証プロセスを再起動する前に、クライアントにEAP要求/アイデンティティ フレームを送信する回数を変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


ルータからクライアントへのフレーム再送信回数を設定するには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 9 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x max-req count

ルータが認証プロセスを再開するまでに、EAP要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は1~10です。デフォルトは2です。

Router(config-if)# no dot1x max-req

デフォルトの再送信回数に戻ります。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

9.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、ルータが認証プロセスを再起動する前に、EAP要求/アイデンティティ要求を送信する回数を5に設定する例を示します。

Router(config-if)# dot1x max-req 5

複数ホストのイネーブル化

図 34-3に示すように、1つの802.1x対応ポートに複数のホストを接続することができます。このモードでは、接続されたホストのうち1つが認証に成功すれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、およびEAPOLログオフ メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポートに、複数のホスト(クライアント)が接続できるようにするには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 10 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x host-mode multi-host

802.1x許可ポートで複数ホスト(クライアント)を許可します。


) 指定するインターフェイスでは、dot1x
port-control
インターフェイス コンフィギュレーション コマンドがautoに設定されていることを確認してください。


 

Router(config-if)# dot1x host-mode single-host

ポート上の複数のホストをディセーブルにします。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x interface type1 slot/port

入力を確認します。

10.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

次に、インターフェイスFastEthernet 5/1で802.1xをイネーブルにし、複数のホストを許可する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x multi-hosts

802.1x設定をデフォルト値にリセットする方法

802.1x設定をデフォルト値に戻すには、次の作業を行います。

 

コマンド
説明

ステップ 1

Router(config)# interface type 11 slot/port

設定するインターフェイスを選択します。

ステップ 2

Router(config-if)# dot1x default

設定可能な802.1xパラメータをデフォルト値にリセットします。

ステップ 3

Router(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 4

Router# show dot1x all

入力を確認します。

11.type = ethernetfastethernetgigabitethernet、またはtengigabitethernet

802.1xステータスの表示

ルータのグローバルな802.1xの管理ステータスおよび動作ステータスを表示するには、 show dot1x イネーブルEXECコマンドを使用します。特定のインターフェイスに関する802.1xの管理ステータスおよび動作ステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

この出力に表示されるフィールドの詳細については、『 Cisco 7600 Series Router Cisco IOS Command Reference 』を参照してください。