Cisco Catalyst Switch Module 3110 and 3012 for IBM BladeCenter ソフトウェア コンフィギュレー ション ガイド
IEEE 802.1x ポートベース認証の設定
IEEE 802.1x ポートベース認証の設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

IEEE 802.1x ポートベース認証の設定

IEEE 802.1x ポートベース認証の概要

デバイスの役割

認証プロセス

認証の開始およびメッセージ交換

認証マネージャ

ポートベースの認証方式

ユーザ単位の ACL と Filter-Id

認証マネージャの CLI コマンド

許可ステートおよび無許可ステートのポート

802.1x 認証およびスイッチ スタック

802.1x ホスト モード

802.1x 複数認証モード

MAC Move

MAC 置換

802.1x アカウンティング

802.1x アカウンティングのアトリビュートと値のペア

802.1x 準備チェック

802.1x 認証と VLAN 割り当て

802.1x 認証とユーザ単位の ACL

802.1x 認証とダウンロード可能な ACL およびリダイレクト URL

Cisco Secure ACS およびリダイレクト URL の アトリビュートと値のペア

Cisco Secure ACS およびダウンロード可能な ACL のアトリビュートと値のペア

VLAN ID ベースの MAC 認証

802.1x 認証とゲスト VLAN

802.1x 認証と制限 VLAN

802.1x 認証とアクセス不能認証バイパス

概要

複数認証ポートでのサポート

認証の結果

機能の相互作用

802.1x 認証と音声 VLAN ポート

802.1x 認証とポート セキュリティ

802.1x 認証と Wake-on-LAN

802.1x ユーザ ディストリビューション

802.1x ユーザ ディストリビューション設定時の注意事項

802.1x 認証と MAC 認証バイパス

Network Admission Control Layer 2 802.1x 検証

柔軟な認証順序

Open1x 認証

マルチドメイン認証

音声認識 802.1x セキュリティ

802.1x サプリカントおよびオーセンティケータ スイッチと Network Edge Access Topology(NEAT)

注意事項

コモン セッション ID

802.1x 認証の設定

802.1x 認証のデフォルト設定

802.1x 認証設定時の注意事項

802.1x 認証

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

MAC 認証バイパス

ポート単位の最大許容デバイス数

802.1x 違反モードの設定

802.1x 認証の設定

802.1x 準備チェックの設定

音声認識 802.1x セキュリティの設定

スイッチおよび RADIUS サーバ間の通信の設定

ホスト モードの設定

定期的な再認証の設定

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

再認証回数の設定

MAC Move のイネーブル化

MAC 置換のイネーブル化

802.1x アカウンティングの設定

ゲスト VLAN の設定

制限付き VLAN の設定

アクセス不能認証バイパス機能の設定

802.1x ユーザ分散の設定

WoL を使用した 802.1x 認証の設定

MAC 認証バイパスの設定

NAC Layer 2 802.1x 検証の設定

NEAT を使用したオーセンティケータとサプリカント スイッチの設定

ASP を使用した NEAT の設定

802.1x 認証とダウンロード可能な ACL およびリダイレクト URL の設定

ダウンロード可能な ACL の設定

ダウンロード可能ポリシーの設定

VLAN ID ベースの MAC 認証の設定

柔軟な認証順序の設定

Open1x の設定

ポートで 802.1x 認証をディセーブル化

802.1x 認証設定のデフォルト値へのリセット

802.1x の統計情報およびステータスの表示

IEEE 802.1x ポートベース認証の設定

この章では、スイッチで IEEE 802.1x ポートベースの認証を設定する方法について説明します。 IEEE 802.1x 認証を使用すれば、無許可のデバイス(クライアント)がネットワークへアクセスすることを防止できます。 特に明記しない限り、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。


) この章で使用されるコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference, Release 12.2』、およびこのリリースのコマンド リファレンスの「RADIUS Commands」を参照してください。


スイッチはまた、Cisco TrustSec Security Group Tag(SCT)Exchange Protocol(SXP)をサポートします。この機能は、IP アドレスに対してではなく、デバイスのグループに対して ACL ポリシーを定義する Security Group Access Control List(SGACL; セキュリティ グループ ACL)をサポートします。SXP 制御プロトコルは、ハードウェアをアップグレードせずに SCT によってパケットをタギングするためのプロトコルで、Cisco TrustSec ドメイン エッジにあるアクセス レイヤ デバイスと、Cisco TrustSec ドメイン内の配信レイヤ デバイスの間で実行されます。ブレード スイッチは、Cisco TrustSec ネットワーク内でアクセス レイヤ スイッチとして動作します。

Cisco TrustSec の詳細については、次の URL にある『Cisco TrustSec Switch Configuration Guide』を参照してください。

http://www.cisco.com/en/US/docs/switches/lan/trustsec/configuration/guide/trustsec.html

SXP に関する各項では、ブレード スイッチでサポートされている機能について説明します。

この章で説明する内容は、次のとおりです。

「IEEE 802.1x ポートベース認証の概要」

「802.1x 認証の設定」

「802.1x の統計情報およびステータスの表示」

IEEE 802.1x ポートベース認証の概要

IEEE 802.1x 規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルについて定義しており、適切に認可されていない限り、不正なクライアントが公的にアクセス可能なポートを介して LAN に接続しないようにしています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。

802.1x アクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、および Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、802.1x ポートベース認証について説明します。

「デバイスの役割」

「認証プロセス」

「認証の開始およびメッセージ交換」

「認証マネージャ」

「許可ステートおよび無許可ステートのポート」

「802.1x 認証およびスイッチ スタック」

「802.1x ホスト モード」

「802.1x 複数認証モード」

「MAC Move」

「MAC 置換」

「802.1x アカウンティング」

「802.1x アカウンティングのアトリビュートと値のペア」

「802.1x 準備チェック」

「802.1x 認証と VLAN 割り当て」

「802.1x 認証とユーザ単位の ACL」

「802.1x 複数認証モード」

「802.1x 認証とゲスト VLAN」

「802.1x 認証と制限 VLAN」

「802.1x 認証とアクセス不能認証バイパス」

「802.1x ユーザ ディストリビューション」

「802.1x 認証と音声 VLAN ポート」

「802.1x 認証とポート セキュリティ」

「802.1x 認証とダウンロード可能な ACL およびリダイレクト URL」

「VLAN ID ベースの MAC 認証」

「802.1x 認証と Wake-on-LAN」

「802.1x 認証と MAC 認証バイパス」

「Network Admission Control Layer 2 802.1x 検証」

「マルチドメイン認証」

「柔軟な認証順序」

「Open1x 認証」

「802.1x サプリカントおよびオーセンティケータ スイッチと Network Edge Access Topology(NEAT)」

「コモン セッション ID」

デバイスの役割

802.1x ポートベース認証では、ネットワーク上のデバイスにはそれぞれ固有の役割があります(図 9-1を参照)。

図 9-1 802.1x におけるデバイスの役割

 

クライアント :LAN およびスイッチ サービスへのアクセスを要求して、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Microsoft Windows XP オペレーティング システムで提供されるクライアントなど、802.1x 準拠のクライアント ソフトウェアが稼動している必要があります(クライアントは、802.1x 標準の サプリカント になります)。


Windows XP のネットワーク接続および 802.1x 認証については、次の URL にある「Microsoft Knowledge Base」を参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ :クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するため、認証サービスはクライアントに対して透過的に行われます。今回のリリースでサポートされる認証サーバは、Extensible Authentication Protocol(EAP; 拡張認証プロトコル)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけです。これは Cisco Secure Access Control Server バージョン 3.0 以降で利用できます。RADIUS はクライアント/サーバ モデルで動作し、RADIUS サーバと 1 つ以上の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント):クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求して、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化とカプセル化解除、および認証サーバとの対話を処理する RADIUS クライアントが含まれています(スイッチは、802.1x 標準の オーセンティケータ になります)。

スイッチが EAPOL フレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS 形式で再度カプセル化されます。EAP フレームはカプセル化の間は変更が行われないため、認証サーバはネイティブのフレーム形式で EAP をサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

媒介として機能できるデバイスには、Catalyst 3750-E、Catalyst 3750、Catalyst 3560-E、Catalyst 3560、Catalyst 3550、Catalyst 2970、Catalyst 2960、Catalyst 2955、Catalyst 2950、Catalyst 2940 スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUS クライアントおよび IEEE 802.1x 認証をサポートするソフトウェアを実行している必要があります。

認証プロセス

802.1x ポートベース認証がイネーブルで、クライアントが 802.1x 準拠のクライアント ソフトウェアをサポートしている場合、次のイベントが発生します。

クライアント識別情報が有効で、802.1x 認証に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。

EAPOL メッセージ交換の待機中に 802.1x 認証が期限切れになったときに、MAC 認証バイパスがイネーブルになっていた場合、スイッチは、クライアントの MAC アドレスを認可に使用できます。クライアントの MAC アドレスが有効であるときに認可に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。クライアントの MAC アドレスが無効で、認可に失敗した場合、ゲスト VLAN が設定されていれば、スイッチは限定されたサービスを提供するゲスト VLAN にクライアントを割り当てます。

スイッチが 802.1x 対応クライアントから無効な識別情報を受け取ったときに、制限 VLAN が指定されていた場合、スイッチはこのクライアントを、限定されたサービスを提供する制限 VLAN に割り当てます。

RADIUS 認証サーバが使用不可能で(ダウンしている)、アクセス不能認証バイパスがイネーブルの場合、スイッチは、RADIUS 設定済みのアクセス VLAN、またはユーザにより指定されたアクセス VLAN で、ポートを critical-authentication ステートにすることにより、クライアントにネットワークへのアクセスを許可します。


) アクセス不能認証バイパスは、クリティカル認証、または Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)失敗ポリシーとも呼ばれます。


図 9-2 に認証プロセスを示します。

あるポートで MultiDomain Authentication(MDA; マルチドメイン認証)がイネーブルにされている場合、このフローを使用することはできますが、音声認可については多少の例外があります。MDA の詳細については、「マルチドメイン認証」を参照してください。

図 9-2 認証フローチャート

 

次のいずれかの状況が発生すると、スイッチはクライアントを再認証します。

定期的な再認証がイネーブルにされ、再認証タイマーが期限切れになっている。

スイッチ固有の値を使用するか、RADIUS サーバの値を基準とするように、再認証タイマーを設定できます。

RADIUS サーバを使用した 802.1x 認証の後で、スイッチは Session-Timeout RADIUS アトリビュート(Attribute[27])、および Termination-Action RADIUS アトリビュート(Attribute[29])に基づいてタイマーを使用します。

Session-Timeout RADIUS アトリビュート(Attribute[27])には再認証が行われるまでの時間を指定します。

Termination-Action RADIUS アトリビュート(Attribute[29])には、再認証中に行われるアクションを指定します。これらのアクションは、 Initialize ReAuthenticate です。アクションに Initialize (アトリビュート値は DEFAULT )を設定した場合、802.1x セッションは終了し、認証中、接続は失われます。アクションに ReAuthenticate (アトリビュート値は RADIUS-Request)を設定した場合、セッションは再認証による影響を受けません。

クライアントを手動で再認証するには、 dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力します。

認証の開始およびメッセージ交換

802.1x 認証中、スイッチまたはクライアントは認証を開始できます。 authentication port-control auto または dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用して、ポート上で認証をイネーブルにした場合、スイッチは、リンク ステートがダウンからアップに変化したときに、またはポートが稼動はしているが、未認証のままである限り定期的に認証を開始する必要があります。スイッチは、識別情報を要求するために、クライアントに EAP-Request/Identity フレームを送信します。クライアントはフレームを受信すると、EAP-Response/Identityで応答します。

ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス デバイスで 802.1x 認証がイネーブルになっていない、またはサポートされていない場合は、クライアントからの EAPOL フレームはドロップされます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。認証に失敗すると、認証が再試行されるか、限定されたサービスを提供する VLAN にポートが割り当てられるか、またはネットワーク アクセスは許可されません。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図 9-3 に、クライアントが RADIUS サーバとの間で One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用する際に開始されるメッセージ交換を示します。

図 9-3 メッセージ交換

 

EAPOL メッセージ交換の待機中に 802.1x 認証が期限切れになった場合、MAC 認証バイパスがイネーブルになっていれば、スイッチは、クライアントからのイーサネット パケットを検出したときに、このクライアントを認可できます。スイッチはクライアントの MAC アドレスを識別情報として使用し、この情報を RADIUS サーバに送信される RADIUS-access/request フレームに組み込みます。サーバがスイッチに RADIUS-access/accept フレーム(認可の成功)を送信した後で、ポートが認可されます。認可が失敗したときに、ゲスト VLAN が指定されていれば、スイッチはポートにゲスト VLAN を割り当てます。スイッチが、イーサネット パケットの待機中に EAPOL パケットを検出した場合、スイッチは MAC 認証バイパス処理を中止し、802.1x 認証を止めます。

図 9-4 に、MAC 認証バイパス中のメッセージ交換を示します。

図 9-4 MAC 認証バイパス中のメッセージ交換

 

認証マネージャ

Cisco IOS Release 12.2(46)SE 以前のリリースでは、このスイッチ、および Catalyst 6000 スイッチなどのその他のネットワーク デバイスでは、CLI コマンドやメッセージを含め、同じ認可方式は使用できませんでした。別の認証設定を使用する必要がありました。Cisco IOS Release 12.2(50)SE 移行では、ネットワークにあるすべての Catalyst スイッチで同じ認証方式がサポートされています。

Cisco IOS Release 12.2(55)SE では、認証マネージャによって生成される詳細システム メッセージのフィルタリングがサポートされています。詳細については、「認証マネージャの CLI コマンド」を参照してください。

「ポートベースの認証方式」

「ユーザ単位の ACL と Filter-Id」

「認証マネージャの CLI コマンド」

ポートベースの認証方式

 

表 9-1 802.1x 機能

認証方式
モード
単一のホスト
複数のホスト
MDA1
複数認証2

802.1x

VLAN の割り当て

ユーザ単位の ACL

Filter-ID アトリビュート

ダウンロード可能な ACL3

URL のリダイレクト 2

VLAN の割り当て

VLAN の割り当て

ユーザ単位の ACL 2

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

URL のリダイレクト 2

ユーザ単位の ACL 2

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

URL のリダイレクト 2

MAC 認証バイパス

VLAN の割り当て

ユーザ単位の ACL

Filter-ID アトリビュート

ダウンロード可能な ACL2

URL のリダイレクト 2

VLAN の割り当て

VLAN の割り当て

ユーザ単位の ACL 2

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

URL のリダイレクト 2

ユーザ単位の ACL 2

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

URL のリダイレクト 2

スタンドアロンの Web 認証 4

プロキシ ACL、Filter-Id アトリビュート、ダウンロード可能な ACL2

NAC レイヤ 2 IP 検証

Filter-Id アトリビュート 2

ダウンロード可能な ACL

URL のリダイレクト

Filter-Id アトリビュート 2

ダウンロード可能な ACL

URL のリダイレクト

Filter-Id アトリビュート 2

ダウンロード可能な ACL

URL のリダイレクト

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

URL のリダイレクト 2

フォールバック方式としての Web 認証4

プロキシ ACL

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

プロキシ ACL

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

プロキシ ACL

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

プロキシ ACL2

Filter-Id アトリビュート 2

ダウンロード可能な ACL2

1.MDA = Multidomain Authentication(マルチドメイン認証)。

2.「multiauth」とも呼ばれます。

3.Cisco IOS Release 12.2(50)SE 以降でサポートされています。

4.802.1x 認証をサポートしていないクライアントで使用されます。

ユーザ単位の ACL と Filter-Id

Cisco IOS Release 12.2(50)SE 以前のリリースでは、スイッチで設定された ACL には、Catalyst 6000 スイッチなど、Cisco IOS ソフトウェアを実行している別のデバイスで設定された ACL との互換性がありません。

Cisco IOS Release 12.2(50)SE 以降では、スイッチで設定された ACL は、Cisco IOS リリースが実行されているその他のデバイスとの互換性を持ちます。

ACL のソースとして設定できるのは any だけです。


マルチホスト モード用に設定された ACL では、文の source 部分は any でなければなりません(例:permit icmp any host 10.10.1.1)。


認証マネージャの CLI コマンド

認証マネージャのインターフェイス コンフィギュレーション コマンドは、802.1x、MAC 認証バイパス、Web 認証など、すべての認証方式を制御します。認証マネージャ コマンドは、接続されたホストに適用される認証方式のプライオリティと順序を決定します。

認証マネージャ コマンドは、ホストモード、違反モード、認証タイマーなどの汎用認証機能を制御します。汎用認証コマンドには、 authentication host-mode authentication violation 、および authentication timer インターフェイス コンフィギュレーション コマンドがあります。

802.1x 固有のコマンドの先頭には、キーワード dot1x がつきます。 たとえば、authentication port-control auto インターフェイス コンフィギュレーション コマンドは、インターフェイスでの認証を有効化します。ただし、dot1x system-authentication control グローバル コンフィギュレーション コマンドは、802.1x 認証を グローバルに イネーブル、またはディセーブルにするだけです。


802.1x 認証がグローバルにディセーブルされている場合でも、そのポートでは、Web 認証などその他の認証方式がイネーブルになっています。


認証マネージャ コマンドは従来の 802.1x コマンドと同様の機能を提供します。

 

表 9-2 認証マネージャ コマンドおよび従来の 802.1x コマンド

Cisco IOS Release 12.2(50)SE 以降の認証マネージャ コマンド
Cisco IOS Release 12.2(46)SE 以前の同等の 802.1x コマンド
説明

authentication control-direction {both | in}

dot1x control-direction { both | in }

Wake-on-LAN(WoL)機能を搭載した IEEE 802.1x 認証をイネーブルにし、ポート制御を単一方向または双方向に設定します。

authentication event

dot1x auth-fail vlan

dot1x critical (interface configuration)

dot1x guest-vlan6

ポートで制限 VLAN をイネーブルにします。

アクセス不能認証バイパス機能をイネーブルにします。

アクティブ VLAN を 802.1x ゲスト VLAN として指定します。

authentication fallback fallback-profile

dot1x fallback fallback-profile

802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

dot1x host-mode { single-host | multi-host | multi-domain }

802.1x 許可ポートで単一のホスト(クライアント)または複数のホスト(クライアント)を許可します。

authentication order

dot1x mac-auth-bypass

MAC 認証バイパス機能をイネーブルにします。

authentication periodic

dot1x reauthentication

クライアントの定期的再認証をイネーブルにします。

authentication port-control {auto | force-authorized | force-un authorized}

dot1x port-control {auto | force-authorized | force-unauthorized}

ポートの許可ステートの手動制御をイネーブルにします。

authentication timer

dot1x timeout

802.1x タイマーを設定します。

authentication violation {protect | restrict | shutdown}

dot1x violation-mode {shutdown | restrict | protect}

新しいデバイスがポートに接続された場合、または最大数のデバイスがポートに接続された後に新しいデバイスがそのポートに接続された場合に発生する違反モードを設定します。

show authentication

show dot1x

スイッチまたは指定されたポートの 802.1x 統計情報、管理ステータス、および動作ステータスを表示します。

Cisco IOS Release 12.2(55)SE 以降では、認証マネージャによって生成される詳細システム メッセージを除外できます。フィルタリングされる内容の多くは、認証の成功に関連するメッセージです。また、802.1x 認証と MAB 認証に関する詳細メッセージもフィルタリングできます。コマンドは、認証方式によって異なります。

no authentication logging verbose グローバル コンフィギュレーション コマンドは、認証マネージャからの詳細メッセージをフィルタリングします。

no dot1x logging verbose グローバル コンフィギュレーション コマンドは、802.1x 認証詳細メッセージをフィルタリングします。

no mab logging verbose グローバル コンフィギュレーション コマンドは、MAC 認証バイパス(MAB)詳細メッセージをフィルタリングします。

詳細については、このリリースのコマンド リファレンスを参照してください。

許可ステートおよび無許可ステートのポート

802.1x 認証中、スイッチ ポートのステートに応じて、スイッチはネットワークへのクライアント アクセスを許可できます。ポートは最初、 無許可 ステートです。このステートにある間、音声 VLAN ポートとして設定されていないポートは、802.1x 認証、CDP、STP パケットを除くすべての入力トラフィックおよび出力トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに変わり、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。ポートが音声 VLAN ポートとして設定されている場合、クライアントを正常に認証する前に、まず、このポートで VoIP トラフィックと 802.1x プロトコル パケットが許可されます。

802.1x 認証をサポートしないクライアントが無許可の 802.1x ポートに接続する場合、スイッチはクライアントにアイデンティティを要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

対照的に、802.1x 対応クライアントが 802.1x 標準を実行していないポートに接続している場合、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。また、応答がない場合は、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized :802.1x 認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに変えます。ポートはクライアントとの 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これは、デフォルト設定です。

force-unauthorized :クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはポートを介してクライアントに認証サービスを提供できません。

auto :802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに変更するか、EAPOL-Start フレームを受信すると、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからのすべてのフレームがポート経由での送受信を許可されます。認証に失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフすると EAPOL ログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに変更します。

ポートのリンク ステートがアップからダウンに変更した場合、または EAPOL ログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。

802.1x 認証およびスイッチ スタック

スイッチ スタックにスイッチを追加、またはここから削除しても、RADIUS サーバとスタックが IP 接続されている限り、802.1x 認証は影響を受けません。また、スイッチ スタックからスタック マスターを削除した場合も同様です。ただし、スタック マスターで不具合が発生した場合、 第 7 章「スイッチ スタックの管理」 で説明されている選択プロセスを使用して、スタック メンバーが新しいスタック マスターとなり、802.1x 認証プロセスは通常どおり続けられることに注意してください。

RADIUS サーバに接続されているスイッチが除去された、または不具合が発生したために、このサーバへの IP 接続が中断された場合、次のイベントが発生します。

すでに認証されているが、定期的な再認証はイネーブルにされていないポートは、その認証ステートのままになります。RADIUS サーバとの通信は必要ありません。

すでに認証されていて、( dot1x re-authentication グローバル コンフィギュレーション コマンドを使用して)定期的な再認証がイネーブルにされているポートでは、再認証が行われたときに、認証プロセスが失敗します。ポートは再認証プロセス中に、未認証ステートに戻ります。RADIUS サーバとの通信は必須です。

進行中の認証では、サーバに接続されていないため、認証は即座に失敗します。

不具合を起こしたスイッチが立ち上がり、スイッチ スタックに再加入した場合、ブート時間、および認証の試行までに RADIUS サーバへの接続が再確立されたかどうかによっては、認証が成功するかどうかわかりません。

RADIUS サーバへの接続が失われることを回避するには、このサーバへの冗長接続を確保する必要があります。たとえば、スタック マスターへの冗長接続と、スタック メンバーへの冗長接続を確立しておくと、スタック マスターで不具合が発生した場合でも、スイッチ スタックは RADIUS サーバに接続することができます。

802.1x ホスト モード


図 9-5 に示すように、スイッチは通常、ネットワーク構成では設定されません。


802.1x ポートは、シングルホスト モードまたはマルチホスト モードで設定できます。シングルホスト モード(図 9-1を参照)では、IEEE 802.1x 対応のスイッチ ポートに接続できるクライアントは 1 台だけです。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL フレームを送信することにより、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モードでは、1 つの 802.1x 対応ポートに複数のホストを接続できます。図 9-5 に、無線 LAN での IEEE 802.1x ポートベースの認証を示します。このモードでは、接続クライアントのいずれか 1 つだけが許可されれば、すべてのクライアントがネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOL ログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。

マルチホスト モードがイネーブルの場合、802.1x 認証をポートの認証に使用し、クライアントを含むすべての MAC アドレスへのネットワーク アクセスをポート セキュリティが管理します。

図 9-5 マルチホスト モードの例

 

802.1x 複数認証モード

複数認証(multiauth)モードでは、音声 VLAN に 1 つのクライアント、およびデータ VLAN に複数の認証済みクライアントが許可されます。802.1x 対応ポートにハブ、またはアクセス ポイントが接続されている場合、複数認証モードでは、接続されているクライアントそれぞれについて認証が要求されるため、マルチホスト モードよりもセキュリティが強化されます。802.1x 以外のデバイスについては、単一のポートでさまざまな方法を使用し、さまざまなホストを認証するために、個々のホスト認証のフォールバック方法として MAC 認証バイパス、または Web 認証を使用することができます。

また、複数認証モードは、認証サーバから受信した Vendor-Specific Attribute(VSA; ベンダー固有属性)に応じて、データ VLAN または音声 VLAN のいずれかに認証済みデバイスを割り当てることにより、音声 VLAN の MDA 機能もサポートしています。


複数認証モードのポートでは、ゲスト VLAN、および認証失敗 VLAN 機能はアクティブ化されません。


Cisco IOS Release 12.2(55)SE 以降では、 次の条件で、RADIUS サーバから提供された VLAN を複数認証モードで割り当てることができます。

対象のホストがそのポート上で最初に許可されるホストであって、RADIUS サーバが VLAN 情報を提供します。

後続のホストは、動作中の VLAN と同じ VLAN を使用して許可されます。

ホストはポート上で VLAN を割り当てずに許可され、後続のホストは VLAN を割り当てないか、その VLAN 情報が動作中の VLAN と一致します。

ポート上で最初に許可されたホストにはグループ VLAN が割り当てられ、後続のホストは VLAN を割り当てないか、そのグループ VLAN がポート上のグループ VLAN と一致します。後続のホストは、最初のホストと同じ VLAN グループ内の VLAN を使用する必要があります。VLAN リストを使用すると、VLAN ホストに指定されている条件が、すべてのホストに適用されます。

複数認証ポート上では、1 つの音声 VLAN 割り当てのみがサポートされます。

ポート上のホストに VLAN が割り当てられた後、後続のホストは同じ VLAN 情報を持つ必要があり、そうでなければポートへのアクセスが否定されます。

複数認証モードでは、ゲスト VLAN または Auth-fail VLAN(認証失敗 VLAN)を設定できません。

critical-auth VLAN の動作は、複数認証モードでも同じです。ホストが認証を試みたときに、サーバが到達不能な場合、許可されたすべてのホストが設定済み VLAN 内で再初期化されます。

クリティカル認証モード、およびクリティカル VLAN の詳細については、「802.1x 認証とアクセス不能認証バイパス」を参照してください。

詳細については、 「ホスト モードの設定」 を参照してください。

MAC Move

1 つのスイッチ ポートで MAC アドレスが認証されている場合、そのアドレスは、認証マネージャによってイネーブルにされた、このスイッチの別のポートでは許可されません。認証マネージャによってイネーブルにされた別のポート上で、同じ MAC アドレスが検出された場合、このアドレスは許可されません。

同じスイッチ上のあるポートから別のポートへの MAC アドレスの移動が必要な場合もあります。たとえば、認証されたホストとスイッチ ポートの間に別のデバイス(たとえば、ハブや IP 電話)が存在する場合、このデバイスからホストを切断し、同じスイッチ上の別のポートに直接、接続しなければならないことがあります。

新しいポートでデバイスが再認証されるように、MAC Move をグローバルに有効化します。あるホストを 2 つめのポートに移動すると、1 つめのポートのセッションが削除され、新しいポートでホストが再認証されます。

MAC Move は、すべてのホスト モードでサポートされています(認証されたホストは、スイッチ上のいずれのポートにでも移動できます。そのポートでイネーブルにされているホスト モードは関係ありません)。

Cisco IOS Release 12.2(55)SE 以降、すべてのホスト モードで、ポート セキュリティを備えた MAC 移動を設定できます。2 つのポート間を MAC アドレスが移動する際、スイッチは元のポート上で認証セッションを終了し、新しいポート上で新しい認証シーケンスを開始します。MAC 移動を設定しても、ポート セキュリティの動作は変わりません。

MAC 移動機能は音声ホストとデータ ホストの両方に適用されます。


) オープン認証モードでは、新しいポートで認証が不要なので、MAC アドレスが即座に元のポートから新しいポートに移動します。


詳細については、 「MAC Move のイネーブル化」 を参照してください。

MAC 置換

Cisco IOS Release 12.2(55)SE 以降では、別のホストがすでに認証されているポートに対し、ホストが接続を試みた場合に、発生する違反に対処するように MAC 置換機能を設定することができます。


) 複数認証モードのポートでは違反がトリガされないので、MAC 置換機能が適用されません。複数ホスト モードのポートでは、最初のホスト以外は認証が不要なので、MAC 置換機能が適用されません。


authentication violation インターフェイス コンフィギュレーション コマンドで replace キーワードを設定すると、マルチドメイン モードのポート上で、認証プロセスが次のように実行されます。

認証済み MAC アドレスがすでに存在するポート上で、新しい MAC アドレスが受信されます。

認証マネージャが、新しい MAC アドレスのあるポート上で、現在のデータ ホストのアドレスを置換します。

認証マネージャが、新しい MAC アドレスに対して認証プロセスを開始します。

認証マネージャが、新しいホストを音声ホストと判定した場合、元の音声ホストが削除されます。

ポートがオープン認証モードの場合、新しい MAC アドレスはすべて MAC アドレス テーブルに即座に追加されます。

詳細については、「MAC 置換のイネーブル化」を参照してください。

802.1x アカウンティング

802.1x 標準では、ユーザの認証およびユーザのネットワーク アクセスに対する許可方法を定義しています。ただし、ネットワークの使用方法についてはトラッキングしません。802.1x アカウンティングは、デフォルトでディセーブルです。802.1x アカウンティングをイネーブルにすると、次のアクティビティを 802.1x 対応のポート上でモニタできます。

ユーザ認証の成功

ユーザのログオフ

リンクダウンの発生

再認証の成功

再認証の失敗

スイッチは 802.1x アカウンティング情報を記録しません。その代わり、スイッチはこの情報を RADIUS サーバに送信します。RADIUS サーバは、アカウンティング メッセージを記録するように設定する必要があります。

802.1x アカウンティングのアトリビュートと値のペア

RADIUS サーバに送信される情報は、Attribute-Value(AV; アトリビュート値)のペアの形式で表されます。これらの AV ペアは、さまざまなアプリケーションに対してデータを提供します(たとえば、課金アプリケーションでは、RADIUS パケットの Acct-Input-Octets または Acct-Output-Octets アトリビュートに含まれる情報が必要です)。

AV ペアは、802.1x アカウンティング用に設定されているスイッチにより、自動的に送信されます。スイッチにより送信される RADIUS アカウンティング パケットは次の 3 タイプです。

START:新しいユーザ セッションが開始されたときに送信されます

INTERIM:既存のセッション中に、アップデートのために送信されます

STOP:セッションが終了したときに送信されます

表 9-3 は AV ペアと、これらのペアがいつスイッチにより送信されるかをまとめたリストです。

 

表 9-3 アカウンティングの AV ペア

アトリビュート番号
AV ペア名
START
INTERIM
STOP

Attribute[1]

User-Name

常時

常時

常時

Attribute[4]

NAS-IP-Address

常時

常時

常時

Attribute[5]

NAS-Port

常時

常時

常時

Attribute[8]

Framed-IP-Address

送信されない

時々5

時々 1

Attribute[25]

Class

常時

常時

常時

Attribute[30]

Called-Station-ID

常時

常時

常時

Attribute[31]

Calling-Station-ID

常時

常時

常時

Attribute[40]

Acct-Status-Type

常時

常時

常時

Attribute[41]

Acct-Delay-Time

常時

常時

常時

Attribute[42]

Acct-Input-Octets

送信されない

送信されない

常時

Attribute[43]

Acct-Output-Octets

送信されない

送信されない

常時

Attribute[44]

Acct-Session-ID

常時

常時

常時

Attribute[45]

Acct-Authentic

常時

常時

常時

Attribute[46]

Acct-Session-Time

送信されない

送信されない

常時

Attribute[49]

Acct-Terminate-Cause

送信されない

送信されない

常時

Attribute[61]

NAS-Port-Type

常時

常時

常時

5.AV ペア、Framed-IP-Address が送信されるのは、Dynamic Host Control Protocol(DHCP)スヌーピング バインディング テーブルのホストに対して、有効な DHCP バインディングが存在する場合だけです。

スイッチにより送信される AV ペアを表示するには、 debug radius accounting 特権 EXEC コマンドを入力します。このコマンドの詳細については、次の URL にある『 Cisco IOS Debug Command Reference, Release 12.2 』を参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_command_reference_book09186a00800872ce.html

AV ペアに関する詳細については、RFC 3580『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

802.1x 準備チェック

802.1x 準備チェックでは、すべてのスイッチ ポート上の 802.1x アクティビティをモニタし、802.1x をサポートするポートに接続されたデバイスに関する情報を表示します。この機能を使用すると、スイッチ ポートに接続されたデバイスが 802.1x 対応かどうかを判別できます。802.1x 機能をサポートしていないデバイスには、MAC 認証バイパスや Web 認証などの代替認証を使用します。

この機能は、クライアント上のサプリカントが NOTIFY EAP 通知パケットによるクエリーをサポートしている場合だけ稼動します。クライアントは、802.1x タイムアウト値の範囲内で応答する必要があります。

スイッチに 802.1x 準備チェックを設定する方法については、「802.1x 認証の設定」を参照してください。

802.1x 認証と VLAN 割り当て

スイッチは 802.1x 認証と VLAN 割り当てをサポートしています。ポートの 802.1x 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信し、スイッチ ポートを設定します。RADIUS サーバのデータベースは、ユーザ名/VLAN マッピングを維持し、スイッチ ポートに接続するクライアントのユーザ名に基づいて VLAN を割り当てています。この機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

音声デバイスの認証がサポートされています。音声デバイスが認可されているときに、RADIUS サーバから認可された VLAN が返された場合、このポートの音声 VLAN は、割り当てられた音声 VLAN でパケットを送受信するように設定されています。音声 VLAN の割り当ては、マルチドメイン認証(MDA)対応ポートでのデータ VLAN の割り当てと同様に動作します。詳細については、「マルチドメイン認証」を参照してください。

スイッチと RADIUS サーバを設定する場合、802.1x 認証と VLAN 割り当てには次の特性があります

RADIUS サーバが VLAN を割り当てていないか、または 802.1x 認証がディセーブルの場合、認証が成功してからポートがアクセス VLAN に設定されます。アクセス VLAN は、アクセス ポートに割り当てられた VLAN であることを思い出してください。このポートで送受信されたパケットはすべて、この VLAN に属します。

802.1x 認証はイネーブルだが、RADIUS サーバからの VLAN 情報が有効ではない場合は、認可は失敗し、設定されている VLAN がそのまま使用されます。これにより、設定エラーによって不適切な VLAN に予期せぬポートが現れることを防ぎます。

設定エラーには、ルーテッド ポートへの VLAN の指定、誤った VLAN ID、存在しないまたは内部(ルーテッド ポートの)VLAN ID、Remote SPAN(RSPAN; リモート SPAN)VLAN、シャットダウンまたは一時停止された VLAN があります。マルチドメイン ホスト ポートの場合、設定または割り当てられた音声 VLAN ID と一致するデータ VLAN を割り当てようとした(またはこの反対の操作を行おうとした)ため、設定エラーが発生することもあります。

802.1x 認証がイネーブルで RADIUS サーバからのすべての情報が有効の場合、認可されたデバイスは認証の後で指定した VLAN に配置されます。

802.1x ポートでマルチホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じ VLAN(RADIUS サーバにより指定)に配置されます。

ポート セキュリティをイネーブルにしても、RADIUS サーバによって割り当てられた VLAN の動作に影響はありません。

ポートで 802.1x 認証がディセーブルにされている場合は、設定済みのアクセス VLAN と設定済みの音声 VLAN に戻ります

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置された場合、ポートのアクセス VLAN 設定への変更は反映されません。マルチドメイン ホストの場合、ポートが完全に認可されていれば、これと同じことが音声デバイスにもいえますが、次の例外があります。

あるデバイスの VLAN 設定を変更した結果、他のデバイスにより設定または割り当てられた VLAN と一致してしまった場合、そのポートにあるすべてのデバイスの認可は終了し、有効な設定が復元される、つまりデータ デバイスにより設定された VLAN と音声デバイスにより設定された VLAN が一致しなくなるまで、マルチドメイン ホスト モードはディセーブルになります。

音声デバイスが認可され、ダウンロードされた音声 VLAN を使用している場合、音声 VLAN 設定を削除するか、設定値を dot1p または untagged に変更すると、音声デバイスの認可が取り消され、マルチドメイン ホスト モードがディセーブルにされます。

VLAN 割り当て機能付きの 802.1x 認証は、トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)を使用したダイナミック アクセス ポート割り当てではサポートされていません。

VLAN 割り当てを設定するには、次の作業を実行する必要があります

network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。

802.1x 認証をイネーブルにします(VLAN 割り当て機能は、アクセス ポートに 802.1x 認証が設定されると、自動的にイネーブルになります)。

RADIUS サーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUS サーバは次のアトリビュートをスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

Attribute[64] は、値 VLAN (タイプ 13)でなければなりません。Attribute[65] は、値 802 (タイプ 6)でなければなりません。Attribute[81] は、IEEE 802.1x 認証ユーザに割り当てられた VLAN 名 または VLAN ID を指定します。

トンネル アトリビュートの例については、「ベンダー固有の RADIUS アトリビュートを使用するスイッチ設定」を参照してください。

802.1x 認証とユーザ単位の ACL

ユーザ単位の Access Control List(ACL; アクセス コントロール リスト)をイネーブルにして、802.1x 認証ユーザに対して異なるレベルのネットワーク アクセスおよびサービスを提供します。RADIUS サーバが 802.1x ポートに接続されたユーザを認証すると、ユーザ ID に基づいて ACL アトリビュートを取得してスイッチに送信します。スイッチは、ユーザ セッションの期間中、そのアトリビュートを 802.1x ポートに適用します。セッションが終了した場合、認証が失敗した場合、またはリンクダウン状態になった場合には、スイッチはユーザ単位の ACL を削除します。スイッチは、RADIUS 指定の ACL を実行コンフィギュレーションに保存しません。ポートが無許可の場合、スイッチはそのポートから ACL を削除します。

同じスイッチ上でルータ ACL および入力ポート ACL を設定できます。ただし、ポート ACL はルータ ACL よりも優先されます。入力済みのポート ACL を VLAN に属するインターフェイスに適用する場合は、VLAN インターフェイスに適用する入力済みのルータ ACL よりもポート ACL が優先されます。ポート ACL が適用されたポート上で受信した着信パケットは、ポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド パケットは、ルータ ACL によってフィルタリングされます。発信するルーテッド パケットは、ルータ ACL によってフィルタリングされます。設定の矛盾を避けるために、RADIUS サーバにストアするユーザ プロファイルを慎重に計画します。

RADIUS は、ベンダー固有属性などのユーザ単位アトリビュートをサポートします。これらのベンダー固有属性(VSA)は、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位 ACL に使用される VSA は、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACL は、入力方向だけでサポートされます。スイッチは、入力方向だけで VSA をサポートします。このスイッチでは、レイヤ 2 ポートで出力方向のポート ACL はサポートされません。詳細については、 第 35 章「ACL によるネットワーク セキュリティの設定」 を参照してください。

拡張 ACL 構文形式だけを使用して、RADIUS サーバにストアするユーザ単位の設定を定義します。RADIUS サーバから定義が渡されると、拡張命名規定を使用して作成されます。ただし、Filter-Id アトリビュートを使用する場合、標準 ACL を示すことができます。

Filter-Id アトリビュートを使用して、すでにスイッチに設定されているインバウンドまたはアウトバウンド ACL を指定できます。アトリビュートには、ACL 番号と、その後ろに入力フィルタリング、出力フィルタリングを示す .in または .out が含まれています。RADIUS サーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトでアウトバウンド ACL に適用されます。スイッチでの Cisco IOS のアクセス リストに関するサポートが制限されているため、Filter-ID アトリビュートは 1 ~ 199 および 1300 ~ 2699 の IP ACL(IP 標準 ACL および IP 拡張 ACL)に対してだけサポートされます。

ユーザ単位の ACL は、シングルホスト モードだけでサポートされます。

ユーザ単位の ACL の最大サイズは 4000 ASCII 文字ですが、RADIUS サーバのユーザ単位の ACL の最大サイズによる制限を受けます。

ベンダー固有属性の例については、「ベンダー固有の RADIUS アトリビュートを使用するスイッチ設定」を参照してください。ACL の設定の詳細については、 第 35 章「ACL によるネットワーク セキュリティの設定」 を参照してください。

ユーザ単位の ACL を設定するには:

AAA 認証をイネーブルにします。

network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。

802.1x 認証をイネーブルにします

RADIUS サーバにユーザ プロファイルと VSA を設定します。

シングルホスト モードの 802.1x ポートを設定します。

802.1x 認証とダウンロード可能な ACL およびリダイレクト URL

ホストの 802.1x 認証または MAC 認証バイパス中に、RADIUS サーバからスイッチへ ACL およびリダイレクト URL をダウンロードすることができます。また、Web 認証中に ACL をダウンロードすることもできます。


) ダウンロード可能な ACL は、dACL とも呼ばれます。


複数のホストが認証済みで、ホストがシングルホスト、MDA、または複数認証モードである場合、スイッチは ACL のソース アドレスをホストの IP アドレスに変更します。

この ACL およびリダイレクト URL は、802.1x 対応ポートに接続されたすべてのデバイスに適用できます。

802.1x 認証中に ACL が 1 つもダウンロードされなかった場合、スイッチはポート上のスタティック デフォルト ACL をホストに適用します。複数認証または MDA モードで設定された音声 VLAN ポートでは、スイッチは ACL を認証ポリシーの一部として電話にだけ適用します。

Cisco IOS Release 12.2(55)SE 以降で、ポート上にスタティック ACL が存在しない場合、ダイナミック auth-default ACL が作成され、dACL がダウンロードされて適用される前にポリシーが実行されます。


) auth-default-ACL は、実行コンフィギュレーションには表示されません。


auth-default ACL は、認証ポリシーを備えたホストがポート上で少なくとも 1 つ検出されたときに作成されます。auth-default ACL は、最後の認証セッションが終了したときに、ポートから削除されます。auth-default ACL を設定するには、 ip access-list extended auth-default-acl グローバル コンフィギュレーション コマンドを使用します。


) auth-default-ACL は、シングル ホスト モードでは、Cisco Discovery Protocol(CDP)バイパスをサポートしません。CDP バイパスをサポートするには、インターフェイスでスタティック ACL を設定する必要があります。


802.1x および MAB 認証方式は、 open closed の 2 つの認証モードをサポートしています。 closed 認証モードのポートに、スタティック ACL が存在しない場合:

auth-default-ACL が作成されます。

auth-default-ACL は、ポリシーが実行されるまで、DHCP トラフィックのみを許可します。

最初のホスト認証の際には、IP アドレス挿入を使用せずに許可ポリシーが適用されます。

別のホストが検出されると、最初のホストのポリシーがリフレッシュされ、最初のセッションと後続のセッションのポリシーが、IP アドレス挿入を使用して実行されます。

open 認証モードのポートに、スタティック ACL が存在しない場合:

auth-default-ACL-OPEN が作成され、すべてのトラフィックが許可されます。

セキュリティ侵害を防止するため、IP アドレス挿入を使用してポリシーが実行されます。

Web 認証には、auth-default-ACL-OPEN が適用されます。

ホストに認証ポリシーが存在しない場合、そのホストへのアクセスを制御するために、ディレクティブを設定できます。ディレクティブでサポートされる値は、 open default です。 open ディレクティブに設定すると、すべてのトラフィックが許可されます。 default ディレクティブに設定すると、トラフィックはポートに付与されたアクセス許可によって制御されます。ディレクティブは、AAA サーバのユーザ プロファイルまたはスイッチで設定できます。AAA サーバでディレクティブを設定するには、 authz-directive =<open/default> グローバル コマンドを使用します。スイッチでディレクティブを設定するには、 authz-directive =<open/default> グローバル コンフィギュレーション コマンドを使用します。


) ディレクティブのデフォルト値は default です。


ACL の設定されていないポート上で、ホストが Web 認証にフォールバックした場合:

ポートが open 認証モードの場合、auth-default-ACL-OPEN が作成されます。

ポートが closed 認証モードの場合、auth-default-ACL が作成されます。

フォールバック ACL の Access Control Entry(ACE; アクセス コントロール エントリ)は、ユーザ別エントリに変換されます。フォールバック ACL に、設定済みのフォールバック プロファイルが含まれていない場合、ホストにはポートの auth-default-ACL が適用されます。


) Web 認証を備えたカスタム ロゴを使用していて、それが外部サーバに格納されている場合、ポート ACL で、認証の前に外部サーバへのアクセスが許可されている必要があります。スタティック ポート ACL を設定するか、auth-default-ACL を変更して、外部サーバへの適切なアクセス許可を設定する必要があります。


Cisco Secure ACS およびリダイレクト URL の アトリビュートと値のペア

スイッチでは、次の cisco-av-pair VSA が使用されます。

url-redirect は HTTP から HTTPS への URL です。

url-redirect-acl はスイッチ ACL 名または番号です。

このスイッチは、CiscoSecure-Defined-ACL AV ペアを使用して、エンドポイント デバイスからの HTTP または HTTPS 要求を代行受信します。その後、スイッチは指定されたリダイレクト アドレスにクライアント Web ブラウザを転送します。Cisco Secure ACS の url-redirect AV ペアには、Web ブラウザのリダイレクト先 URL が含まれます。url-redirect-acl AV ペアには、リダイレクトされる HTTP または HTTPS トラフィックを表す ACL の名前または数が含まれます。ACL の許可 ACE と一致するトラフィックがリダイレクトされます。


) URL リダイレクト ACL とスイッチのデフォルト ポート ACL を定義します。


リダイレクト URL が認証サーバ上のクライアント用に設定されている場合は、接続されたクライアント スイッチ ポート上のデフォルト ポート ACL も設定する必要があります。

Cisco Secure ACS およびダウンロード可能な ACL のアトリビュートと値のペア

Cisco Secure ACS で、RADIUS cisco-av-pair ベンダー固有属性(VSA)を使用して、CiscoSecure-Defined-ACL アトリビュートと値(AV)ペアを設定できます。このペアは、#ACL#-IP-name-number アトリビュートを使って、Cisco Secure ACS でダウンロード可能な ACL の名前を指定します。

name は ACL の名前です。

number はバージョン番号です(例:3f783768)。

ダウンロード可能な ACL が認証サーバ上のクライアント用に設定されている場合は、接続されたクライアント スイッチ ポート上のデフォルト ポート ACL も設定する必要があります。

スイッチにデフォルト ACL が設定されているときに、Cisco Secure ACS がこのスイッチに host-access-policy を送信した場合、この ACL はスイッチ ポートに接続されたホストからのトラフィックにポリシーを適用します。このポリシーが適用できない場合、スイッチはデフォルト ACL を適用します。Cisco Secure ACS がスイッチにダウンロード可能な ACL を送信した場合、この ACL は、スイッチ ポートで設定されたデフォルトの ACL よりも優先されます。しかし、このスイッチが Cisco Secure ACS からホスト アクセス ポリシーを受信しているが、デフォルト ACL が設定されていない場合、認可の失敗が宣言されます。

設定の詳細については、「認証マネージャ」、および「802.1x 認証とダウンロード可能な ACL およびリダイレクト URL の設定」を参照してください。

VLAN ID ベースの MAC 認証

ダウンロード可能な VLAN ではなく、スタティック VLAN ID に基づいてホストを認証する場合は、VLAN ID ベースの MAC 認証を使用できます。スイッチにスタティック VLAN ポリシーが設定されている場合、認証のために、各ホストの MAC アドレスとともに、VLAN 情報が IAS(Microsoft)RADIUS サーバに送信されます。接続ポートに設定されている VLAN ID は、MAC 認証に使用されます。VLAN ID ベースの MAC 認証と IAS サーバを使用することにより、ネットワークに一定数の VLAN を持つことができます。

また、この機能により、STP によりモニタおよび処理される VLAN の数も制限されます。ネットワークは固定 VLAN として管理できます。


) この機能は、Cisco ACS Server ではサポートされません(ACS サーバは、新しいホストの送信済み VLAN-ID を無視し、MAC アドレスに基づいて認証するだけです)。


設定情報については、「VLAN ID ベースの MAC 認証の設定」を参照してください。その他の設定は、MAC 認証バイパス(「MAC 認証バイパスの設定」を参照)と類似しています。

802.1x 認証とゲスト VLAN

スイッチ上の各 802.1x ポートにゲスト VLAN を設定し、802.1x クライアントのダウンロードなど、クライアントへのサービスを限定できます。これらのクライアントは 802.1x 認証用にシステムをアップグレードできる場合がありますが、一部のホスト(Windows 98 システムなど)は IEEE 802.1x 対応ではありません。

802.1x ポートでゲスト VLAN をイネーブルにしたときに、スイッチが EAP Request/Identity フレームに対する応答を受信しなかった場合、あるいは EAPOL パケットがクライアントから送信されなかった場合、スイッチによりクライアントがゲスト VLAN に割り当てられます。

スイッチは、EAPOL パケット履歴を保持します。EAPOL パケットがリンクのライフタイム中にインターフェイス上で検出されると、スイッチはそのインターフェイスに接続されたデバイスが IEEE 802.1x 対応のサプリカントであると判断し、インターフェイスがゲスト VLAN ステートに変わることはありません。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。EAPOL パケットがインターフェイス上で検出されない場合は、インターフェイスはゲスト VLAN ステートに変更されます。

スイッチが 802.1x 対応の音声デバイスを許可しようとする際に、AAA サーバが使用できない場合、許可試行は失敗しますが、EAPOL パケットの検出は EAPOL 履歴に保存されます。AAA サーバが使用可能になると、スイッチは音声デバイスを許可します。ただし、スイッチは他のデバイスのゲスト VLAN へのアクセスをこれ以上許可しません。この状況を回避するには、次のいずれかのコマンド シーケンスを使用します。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを入力して、ゲスト VLAN へのアクセスを許可します。

shutdown インターフェイス コンフィギュレーション コマンドに続けて no shutdown インターフェイス コンフィギュレーション コマンドを入力して、ポートを再起動します。

dot1x auth-fail vlan vlan-id インターフェイス コンフィギュレーション コマンドを入力すると、制限 VLAN を使用して、認証に失敗したクライアントにネットワーク アクセスを与えることができます。

デバイスがリンクの存続時間内に EAPOL パケットを送信すると、その後、スイッチは認証に失敗したクライアントによるゲスト VLAN へのアクセスを許可しなくなります。


) インターフェイスがゲスト VLAN ステートに変更された後で EAPOL パケットが検出された場合は、インターフェイスは無許可ステートに戻り、802.1x 認証が再開されます。


スイッチ ポートがゲスト VLAN に移行すると、802.1x 非対応クライアントはいくつでもアクセスが許可されます。802.1x 対応のクライアントが、ゲスト VLAN が設定されているポートと同じポートに結合すると、そのポートはユーザ設定済みのアクセス VLAN 内で無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、シングルホスト モードおよびマルチホスト モードの 802.1x ポート上でサポートされます。

RSPAN VLAN、プライベート VLAN、および音声 VLAN を除く任意のアクティブ VLAN を 802.1x 制限 VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

スイッチは、 MAC 認証バイパス をサポートします。MAC 認証バイパスが 802.1x ポートでイネーブルになっている場合、EAPOL メッセージ交換の待機中に IEEE 802.1x 認証が期限切れになると、スイッチはクライアントの MAC アドレスに基づいてクライアントを許可できます。スイッチは、802.1x ポート上のクライアントを検出した後で、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗すると、スイッチはポートにゲスト VLAN を割り当てます(指定されていない場合)。詳細については、「802.1x 認証と MAC 認証バイパス」を参照してください。

詳細については、「ゲスト VLAN の設定」を参照してください。

802.1x 認証と制限 VLAN

スイッチ スタック、またはスイッチ上の各 IEEE802.1x ポートに制限 VLAN( 認証失敗 VLAN と呼ばれることもあります)を設定し、制限されたサービスをゲスト VLAN にアクセスできないクライアントに提供できます。これらのクライアントは、認証プロセスに失敗したため他の VLAN にアクセスできない 802.1x 対応クライアントです。制限 VLAN により、認証サーバで有効な証明書を持たないユーザ(一般的には企業への訪問者)が、制限されたサービス セットにアクセスできます。管理者は制限 VLAN のサービスを制御できます。


) 両方のタイプのユーザに同じサービスを提供する場合、ゲスト VLAN と制限 VLAN の両方を同じに設定できます。


この機能を使用しないと、クライアントが認証失敗を無限に繰り返してしまい、スイッチ ポートはスパニング ツリー ブロッキング ステートのままになります。制限 VLAN の機能を使用することで、クライアントの認証試行回数を指定し(デフォルト値は 3 回)、一定回数後にスイッチ ポートを制限 VLAN の状態に移行させることができます。

認証サーバはクライアントの認証試行回数をカウントします。この回数が設定された最高認証試行回数を超えると、ポートは制限 VLAN に移動します。失敗した試行回数は、RADIUS サーバが EAP failure で応答したときや、EAP パケットなしの空の応答を返したときからカウントされます。ポートが制限 VLAN に変わったら、このカウント数はリセットされます。

認証に失敗したユーザの VLAN は、もう一度認証を実行するまで制限された状態が続きます。制限 VLAN 内のポートは設定された間隔に従って再認証を試みます(デフォルトは 60 秒)。再認証に失敗している間は、ポートの VLAN は制限された状態が続きます。再認証に成功した場合、ポートは設定された VLAN もしくは RADIUS サーバによって送信された VLAN に移行します。再認証はディセーブルにすることもできますが、ディセーブルにすると、認証プロセスを再開するためには、ポートが リンク ダウン または EAP ログオフ イベントを受信する必要があります。クライアントがハブを介して接続している場合、再認証機能はイネーブルにしておくことを推奨します。クライアントの接続をハブから切り離すと、ポートが リンク ダウン EAP ログオフ イベントを受け取れなくなる場合があります。

ポートを制限 VLAN に移動した後で、クライアントに模擬 EAP 成功メッセージが送信されます。このメッセージによって、繰り返し実行している再認証を停止させることができます。クライアントによっては(Windows XP が稼動しているデバイスなど)、EAP 成功なしで DHCP を実装できません。

制限 VLAN は、レイヤ 2 ポートにある 802.1x ポート上でシングルホスト モードの場合だけサポートされます。

RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を 802.1x 制限 VLAN として設定できます。制限 VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上だけでサポートされます

この機能はポート セキュリティと連動します。ポートが認証されると、すぐに MAC アドレスがポート セキュリティに提供されます。ポート セキュリティが MAC アドレスを許可しない場合、またはセキュア アドレスの数が最大値に達した場合は、ポートが無許可および errdisable となります。

ダイナミック ARP インスペクション、DHCP スヌーピング、および IP ソース ガードなどの他のポート セキュリティ機能は、制限 VLAN 上で独立して設定できます。

詳細については、「制限付き VLAN の設定」を参照してください。

802.1x 認証とアクセス不能認証バイパス

概要

設定された RADIUS サーバにスイッチがアクセスできず、新しいホストを認証できなかった場合は、アクセス不能認証バイパス機能(クリティカル認証、または AAA 失敗ポリシーともいう)を使用します。このようなホストをクリティカルなポートに接続するように、スイッチを設定することができます。

新しいホストがクリティカルなポートに接続を試みると、このホストはユーザにより指定されたアクセス VLAN(クリティカル VLAN)に移動されます。管理者は、ホストに限定された認証を与えます。

スイッチは、クリティカルなポートに接続されたホストを認証しようとしたときに、設定された RADIUS サーバのステータスをチェックします。サーバが使用可能である場合、スイッチはホストを認証できます。しかし、すべての RADIUS サーバが使用できない場合、スイッチはホストにネットワークへのアクセスを許可し、このポートを特別なケースの認証ステートである critical-authentication ステートにします。

複数認証ポートでのサポート

複数認証(multiauth)ポートでアクセス不能バイパスをサポートするには、auentication event server dead action reinitialize vlan vlan-id を使用します。新しいホストがクリティカルなポートに接続を試みると、このポートは再初期化され、接続済みのホストはすべて、ユーザにより指定されたアクセス VLAN に移動されます。

authentication event server dead action reinitialize vlan vlan-id インターフェイス コンフィギュレーション コマンドはすべてのホスト モードでサポートされています。

認証の結果

アクセス不能認証バイパス機能の動作は、ポートの認可ステートによって異なります。

クリティカルなポートに接続されたホストが認証を試みたときにポートが無許可で、すべてのサーバが使用できない場合、スイッチは RADIUS 設定済みのアクセス VLAN、またはユーザにより指定されたアクセス VLAN で、ポートを critical-authentication ステートに置きます。

ポートがすでに認可されているときに再認証が行われると、スイッチはクリティカルなポートを現行の VLAN で critical-authentication ステートに置きます。このステートは、以前、RADIUS サーバにより割り当てられたものであることがあります。

認証情報の交換中に RADIUS サーバが使用できなくなった場合、現行の交換はタイムアウトされ、次回、認証を試行したときに、スイッチはクリティカルなポートを critical-authentication ステートに置きます。

RADIUS サーバが再び使用できるようになったときに、ホストを再初期化し、これらをクリティカル VLAN から移動するように、クリティカルなポートを設定することができます。これが設定されている場合、critical-authentication ステートに置かれたクリティカルなポートはすべて、自動的に再認証されます。詳細については、このリリースのコマンド リファレンス、および「アクセス不能認証バイパス機能の設定」を参照してください。

機能の相互作用

アクセス不能認証バイパスは次の機能と相互に作用します。

ゲスト VLAN:アクセス不能認証バイパスにはゲスト VLAN との互換性があります。ゲスト VLAN が 802.1x ポートでイネーブルにされている場合、機能の相互作用は次のようになります。

少なくとも 1 つの RADIUS サーバが使用できる場合、スイッチが EAP Request/Identity フレームに対する応答を受信しなかった場合、あるいは EAPOL パケットがクライアントから送信されなかった場合、スイッチによりクライアントがゲスト VLAN に割り当てられます。

すべての RADIUS サーバが使用できず、クライアントがクリティカルなポートに接続されている場合、スイッチはクライアントを認証し、クリティカルなポートを、RADIUS 設定済みのアクセス VLAN、またはユーザにより指定されたアクセス VLAN で critical-authentication ステートに置きます。

すべての RADIUS サーバが使用できず、クライアントがクリティカルなポートに接続されていない場合、ゲスト VLAN が設定されていても、スイッチはクライアントをゲスト VLAN に割り当てない可能性があります。

すべての RADIUS サーバが使用できないときに、クリティカルなポートに接続されているクライアントが、以前、ゲスト VLAN に割り当てられていた場合、スイッチはゲスト VLAN にポートを維持します。

制限 VLAN:ポートがすでに制限 VLAN で認可されていて、RADIUS サーバが使用できない場合、スイッチは制限 VLAN で、クリティカルなポートを critical-authentication ステートに置きます。

802.1x アカウンティング:RADIUS サーバが使用できない場合、アカウンティングは影響を受けません。

プライベート VLAN:プライベート VLAN ホスト ポートにアクセス不能認証バイパスを設定できます。アクセス VLAN は、セカンダリ プライベート VLAN でなければなりません。

音声 VLAN:アクセス不能認証バイパスは音声 VLAN との互換性を持ちますが、RADIUS 設定済みのアクセス VLAN、またはユーザにより指定されたアクセス VLAN、および音声 VLAN は異なるものでなければなりません。

リモート スイッチド ポート アナライザ(RSPAN):アクセス不能認証バイパスの RADIUS 設定済みのアクセス VLAN、またはユーザにより指定されたアクセス VLAN を RSPAN VLAN として設定しないでください。

802.1x 認証と音声 VLAN ポート

音声 VLAN ポートは特殊なアクセス ポートで、次の 2 つの VLAN ID が対応付けられています。

IP Phone との間で音声トラフィックを伝送する Voice VLAN Identifier(VVID; 音声 VLAN ID)。VVID は、ポートに接続された IP Phone を設定するために使用されます。

IP Phone を通じて、スイッチと接続しているワークステーションとの間でデータ トラフィックを伝送する Port VLAN Identifier(PVID; ポート VLAN ID)。PVID は、ポートのネイティブ VLAN です。

IP Phone はポートの許可ステートに関係なく、音声トラフィック用として VVID を使用します。これによって、IP Phone は IEEE 802.1x 認証とは独立して動作できます。

シングルホスト モードの音声 VLAN では、IP 電話だけが許可されます。マルチホストモードでは、PVID でのサプリカントの認証後、追加クライアントは音声 VLAN でトラフィックを送信できます。マルチホスト モードがイネーブルにされている場合、サプリカントの認証は、PVID と VVID の両方に影響します。


) IP 電話が 802.1x 対応でシングル ホスト モードのスイッチ ポートに接続されている場合、スイッチは電話機に対し、認証なしにネットワーク アクセスを許可します。ポートで Multidomain Authentication(MDA; マルチドメイン認証)を使用して、データ デバイスと IP 電話などの音声デバイスの両方を認証することを推奨します。


リンクが存在していれば、音声 VLAN ポートはアクティブになり、IP Phone からの最初の CDP メッセージを受け取ると、デバイスの MAC アドレスが表示されます。Cisco IP Phone は、他のデバイスから受け取った CDP メッセージをリレーしません。その結果、複数の IP Phone が直列に接続されている場合、スイッチは直接接続されている 1 台の IP Phone だけを認識します。音声 VLAN ポートで 802.1x 認証をイネーブルにすると、2 ホップ以上離れた認識されていない IP Phone からのパケットはスイッチによりドロップされます。

802.1x 認証をポートでイネーブルにすると、音声 VLAN と同等であるポート VLAN を設定できません。


) 音声 VLAN が構成され、Cisco IP Phone が接続されているアクセス ポートで 802.1x 認証をイネーブルにした場合、この Cisco IP phone は最長 30 秒間、スイッチへの接続を失います。


音声 VLAN の詳細については、 第 15 章「音声 VLAN の設定」 を参照してください。

802.1x 認証とポート セキュリティ

シングルホスト モードまたはマルチホスト モードのいずれかで、802.1x ポートとポート セキュリティを設定できます(同時に、 switchport port-security インターフェイス コンフィギュレーション コマンドを使用して、ポートにポート セキュリティを設定する必要もあります)。ポート上のポート セキュリティと 802.1x をイネーブルにすると、802.1x がポートを認証し、ポート セキュリティがクライアントの MAC アドレスを含むすべての MAC アドレスについてネットワーク アクセスを管理します。この場合、802.1x ポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、802.1x 認証とポート セキュリティの間には次のような相互作用があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントの MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリは保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントがエージング アウトした場合に発生します。クライアントのアドレスがエージング アウトした場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

最初に認証されたホストが原因でセキュリティ違反が発生すると、ポートは errdisable ステートになり、ただちにシャットダウンします。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細については、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、802.1x クライアントのアドレスをポート セキュリティ テーブルから手動で削除した場合は、dot1x re-authenticate interface interface-id 特権 EXEC コマンドを使用して 802.1x クライアントを再認証する必要があります。

802.1x クライアントがログオフすると、ポートが無許可ステートに変化し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になると、ポートは未認証ステートになり、ダイナミック エントリはすべてセキュア ホスト テーブルから削除されます。

シングルホスト モードまたはマルチホスト モードのいずれの場合でも、802.1x ポート上でポート セキュリティと音声 VLAN を同時に設定できます。ポート セキュリティは、Voice VLAN Identifier(VVID)および Port VLAN Identifier(PVID; ポート VLAN ID)の両方に適用されます。

authentication violation、または dot1x violation-mode インターフェイス コンフィギュレーション コマンドを設定すると、新しいデバイスが IEEE 802.1x 対応のポートに接続している場合、またはすでに最大許容数のデバイスが認証されている場合に、ポートをシャットダウンする、Syslog エラーを生成する、または新しいデバイスからのパケットを廃棄することができます。詳細については、「ポート単位の最大許容デバイス数」またはこのリリースのコマンド リファレンスを参照してください。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

802.1x 認証と Wake-on-LAN

802.1x 認証と Wake-on-LAN(WoL)機能では、スイッチがマジック パケットと呼ばれる特別なイーサネット フレームを受信したときに、休止状態の PC を再開することができます。この機能は、電源がオフになっているシステムに管理者が接続する必要のある環境で使用できます。

WoL を使用するホストが 802.1x ポート経由で接続されていて、このホストの電源がオフになっている場合、IEEE 802.1x ポートは無許可の状態になります。このポートができるのは EAPOL パケットの送受信だけになり、WoL のマジック パケットはホストに届きません。PC の電源がオフになっている場合、この PC は認可されず、スイッチ ポートは開かれません。

このスイッチが 802.1x 認証と WoL を使用している場合、スイッチは、マジック パケットを含め、トラフィックを許可されていない IEEE 802.1x ポートに転送します。ポートが無許可の間、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信できますが、ネットワークの他のデバイスにパケットは送信できません。


) ポートで PortFast がイネーブルにされていない場合、ポートは強制的に bidirectional ステートになります。


dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向として設定すると、ポートは spanning-tree forwarding ステートに変更されます。ポートは、ホストにパケットを送信できますが、受信はできません。

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向として設定すると、ポートは、両方の方向にアクセス制御されます。ポートは、ホストとの間でパケットの送受信を行いません。

802.1x ユーザ ディストリビューション

802.1x ユーザ ディストリビューションを設定して、複数の異なる VLAN にわたり、同じグループ名を持つユーザの負荷を分散することができます。

VLAN は RADIUS サーバにより供給されるか、またはスイッチ CLI を通じて、何らかの VLAN グループ名で設定されます。

ユーザに複数の VLAN 名を送信するように RADIUS サーバを設定します。ユーザへの応答の一部として、これらの VLAN 名を送信できます。802.1x ユーザ ディストリビューションでは、特定の VLAN 内のユーザすべてがトラッキングされ、許可されたユーザを最も混雑していない VLAN に移動して、負荷分散を行います。

ユーザに VLAN グループ名を 1 つ送信するように RADIUS サーバを設定します。ユーザへの応答の一部として、この VLAN グループ名を送信できます。スイッチ CLI を使用して設定した VLAN グループ名の中から選択された VLAN グループ名を検索することができます。目的の VLAN グループ名が見つかったら、最も混雑していない VLAN を発見するために、この VLAN グループ名を持つ、対応する VLAN が検索されます。ロード バランシングは、この VLAN に、対応する許可されたユーザを移動することにより行われます。


) RADIUS サーバは、VLAN ID、VLAN 名、または VLAN グループを自由に組み合わせて、VLAN 情報を送信できます。


802.1x ユーザ ディストリビューション設定時の注意事項

少なくとも 1 つの VLAN が VLAN グループにマップされていることを確認します。

1 つの VLAN グループに複数の VLAN をマップできます。

VLAN を追加、または削除して、VLAN グループを修正できます。

既存の VLAN を VLAN グループ名からクリアすると、VLAN で認証されたポートは 1 つもクリアされませんが、既存の VLAN グループからマッピングが削除されます。

VLAN グループ名から最後の VLAN をクリアすると、その VLAN グループがクリアされます。

VLAN グループにアクティブ VLAN がマップされているときでも、この VLAN グループをクリアできます。VLAN グループをクリアしたとき、グループ内の VLAN のいずれかで認証ステートにあるポート、またはユーザは 1 つもクリアされませんが、この VLAN グループへの VLAN マッピングはクリアされます。

詳細については、「802.1x ユーザ分散の設定」を参照してください。

802.1x 認証と MAC 認証バイパス

MAC 認証バイパス機能を使用し、クライアント MAC アドレス(図 9-2を参照)に基づいてクライアントを認可するようにスイッチを設定することができます。たとえば、プリンタなどのデバイスに接続された IEEE 802.1x ポートでこの機能をイネーブルにできます。

クライアントからの EAPOL 応答を待っている間に 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパスを使用して、このクライアントを認可しようとします。

802.1x ポートで MAC 認証バイパス機能がイネーブルにされているとき、スイッチは MAC アドレスをクライアント ID として使用します。認証サーバには、ネットワーク アクセスが許可されているクライアント MAC アドレスのデータベースがあります。スイッチは、802.1x ポート上のクライアントを検出した後で、クライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいたユーザ名およびパスワードを持つ RADIUS-access/request フレームを認証サーバに送信します。認証に成功すると、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗した場合、ゲスト VLAN が設定されていれば、スイッチはこの VLAN をポートに割り当てます。

リンクのライフタイム中に EAPOL パケットがインターフェイス上で検出された場合、スイッチは、そのインターフェイスに接続されているデバイスが 802.1x 対応サプリカントであることを確認し、(MAC 認証バイパス機能ではなく)802.1x 認証を使用してインターフェイスを認証します。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。

MAC 認証バイパスを使用してすでにポートを認可しているスイッチが 802.1x サプリカントを検出しても、このスイッチがポートに接続されているクライアントの許可を取り消すことはありません。Termination-Action RADIUS アトリビュートの値が DEFAULT であるという理由で直前のセッションが終了した場合、スイッチは再認証時に、802.1x 認証を優先再認証プロセスとして使用します。

MAC 認証バイパスで認証されたクライアントは再認証できます。再認証プロセスは、802.1x で認証されたクライアントのプロセスと同じです。再認証の間、ポートは直前に割り当てられた VLAN に残ります。再認証が正常に終了すると、スイッチは同じ VLAN にポートを残します。再認証に失敗した場合、ゲスト VLAN が設定されていれば、スイッチはこの VLAN をポートに割り当てます。

再認証が Session-Timeout RADIUS アトリビュート(Attribute[27])、および Termination-Action RADIUS アトリビュート(Attribute[29])に基づいて行われるときに、Termination-Action RADIUS アトリビュート(Attribute[29])のアクションが Initialize (アトリビュート値は DEFAULT )である場合、MAC 認証バイパス セッションは終了し、再認証の間の接続は失われます。MAC 認証バイパスがイネーブル時に 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して、再認可を開始します。これらの AV ペアに関する詳細については、RFC 3580、『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

MAC 認証バイパスは次の機能と相互に作用します。

802.1x 認証:MAC 認証バイパスは、ポートで 802.1x 認証がイネーブルにされている場合だけイネーブルにできます。

ゲスト VLAN:クライアントの MAC アドレス ID が無効である場合、ゲスト VLAN が設定されていれば、スイッチはクライアントをこの VLAN に割り当てます。

制限 VLAN:IEEE 802.lx ポートに接続されているクライアントが MAC 認証バイパスを使って認証されている場合、この機能はサポートされません。

ポート セキュリティ:「802.1x 認証とポート セキュリティ」を参照してください。

音声 VLAN:「802.1x 認証と音声 VLAN ポート」を参照してください。

VLAN メンバシップ ポリシー サーバ(VMPS):IEEE802.1x および VMPS は相互に排他的です。

プライベート VLAN:クライアントをプライベート VLAN に割り当てることができます。

Network Admission Control(NAC)Layer 2 IP 検証:この機能は、例外リストのホストを含め、MAC 認証バイパスで IEEE 802.1x ポートが認証された後で有効になります。

設定の詳細については、「認証マネージャ」を参照してください。

Cisco IOS Release 12.2(55)SE 以降では、詳細 MAB システム メッセージのフィルタリングがサポートされています。「認証マネージャの CLI コマンド」を参照してください。

Network Admission Control Layer 2 802.1x 検証

スイッチは Network Admission Control(NAC)Layer 2 802.1x 検証をサポートしています。この検証では、デバイス ネットワーク アクセスを許可する前に、エンドポイント システムまたはクライアントのウイルス対策状態や ポスチャ がチェックされます。NAC Layer 2 802.1x 検証でできることは次のとおりです。

認証サーバから Session-Timeout RADIUS アトリビュート(Attribute[27])、および Termination-Action RADIUS アトリビュート(Attribute[29])をダウンロードすること。

Session-Timeout RADIUS アトリビュート(Attribute[27])の値として、再認証の試行と試行の間隔を秒単位で設定し、RADIUS サーバからクライアントに対するアクセス ポリシーを取得すること。

Termination-Action RADIUS アトリビュート(Attribute[29])を使用して、クライアントが再認証しようとしているときに行われるアクションを設定すること。値が DEFAULT または設定されていない場合、セッションは終了します。値が RADIUS-Request である場合、再認証プロセスが開始されます。

NAC ポスチャ トークンを表示すること。これは、 show dot1x 特権 EXEC コマンドを使用して、クライアントのポスチャを示します。

ゲスト VLAN としてセカンダリ プライベート VLAN を設定すること。

ポスチャ トークンは RADIUS サーバで設定しなければならない点を除き、NAC Layer 2 802.1x 検証の設定は、802.1x ポートベース認証の設定と似ています。NAC Layer 2 802.1x 検証を設定する方法については、「NAC Layer 2 802.1x 検証の設定」および 「定期的な再認証の設定」 を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

設定の詳細については、「認証マネージャ」を参照してください。

柔軟な認証順序

柔軟な認証順序を使用して、ポートが新しいホストの認証に使用する方法の順序を設定することができます。MAC 認証バイパスおよび 802.1x はプライマリ、またはセカンダリ認証方式になることができます。また、これらの認証方式のいずれか、または両方が失敗した場合のフォールバック方式として、Web 認証を使用できます。詳細については、「柔軟な認証順序の設定」を参照してください。

Open1x 認証

Open1x 認証は、認証される前のデバイスにポートへのアクセスを許可します。オープン認証が設定されている場合、ポート上の新しいホストは、スイッチにトラフィックだけを送ることができます。ホストの認証後、RADIUS サーバで設定されたポリシーがこのホストに適用されます。

オープン認証は、次のシナリオで設定できます。

シングルホスト モードとオープン認証:認証前、および認証後にネットワークへのアクセスを許可されるのはユーザ 1 人だけです。

MDA モードとオープン認証:音声ドメインのユーザ 1 人、およびデータ ドメインのユーザ 1 人だけが許可されます。

マルチホスト モードとオープン認証:いずれのホストでもネットワークにアクセスできます。

複数認証モードとオープン認証:MDA に似ていますが、このシナリオでは複数のホストが認証されます。

詳細については、 「ホスト モードの設定」 を参照してください。

マルチドメイン認証

スイッチでは、マルチドメイン認証(MDA)がサポートされています。MDA により、IP 電話(シスコ製品またはシスコ以外の製品)などのデータ デバイスと音声デバイスの両方を同じスイッチ ポートで認証できます。ポートはデータ ドメインと音声ドメインの 2 つに分けられます。

MDA は、デバイス認証の順序を強制しません。しかし、最良の結果を出すには、MDA 対応ポート上のデータ デバイスの前に、音声デバイスを認証することを推奨します。

MDA を設定するときには、次の注意事項に従ってください。

MDA のスイッチ ポートを設定する場合は、「ホスト モードの設定」を参照してください。

ホスト モードが multidomain に設定されている場合は、IP 電話の音声 VLAN を設定する必要があります。詳細については、 第 15 章「音声 VLAN の設定」 を参照してください。

MDA 対応ポートでの音声 VLAN の割り当てはサポートされています。


) MDA 対応スイッチ ポートで音声 VLAN を割り当てるためにダイナミック VLAN を使用した場合、音声デバイスは認可されません。


音声デバイスを認可するには、値を device-traffic-class=voice に設定した Cisco アトリビュート値(AV)ペア アトリビュートを送信するように AAA サーバを設定する必要があります。この値がない場合、スイッチは音声デバイスをデータ デバイスとして扱います。

ゲスト VLAN および制限 VLAN 機能は、MDA 対応ポートのデータ デバイスだけに適用されます。スイッチは、認可されなかった音声デバイスをデータ デバイスとして扱います。

ポートの音声ドメイン、またはデータ ドメインで複数のデバイスが認可を試行すると、errdisable となります。

デバイスが認可されるまで、ポートはトラフィックをドロップします。Cisco 製品以外の IP 電話、または音声デバイスは、データ VLAN と音声 VLAN の両方へのアクセスが許可されます。データ VLAN により、音声デバイスは DHCP サーバと連絡を取り、IP アドレスと音声 VLAN 情報を取得することができます。音声デバイスが音声 VLAN で送信を開始した後、このデバイスによるデータ VLAN へのアクセスがブロックされます。

データ VLAN にバインドされている音声デバイス MAC アドレスは、ポート セキュリティ MAC アドレス制限にはカウントされません。

RADIUS サーバからのダイナミック VLAN 割り当ては、データ デバイスに対してだけ使用できます。

MDA は MAC 認証バイパスをフォールバック メカニズムとして使用し、スイッチ ポートが 802.1x 認証をサポートしていないデバイスに接続できるようにすることができます。詳細については、「MAC 認証バイパス」を参照してください。

ポートでデータ、または音声デバイスが検出されると、認可が正常に完了するまで、その MAC アドレスはブロックされます。認可に失敗した場合、MAC アドレスは 5 分間、ブロックされたままになります。

データ VLAN で 6 つ以上のデバイスが検出された場合、またはポートが認可されていない状態で、音声 VLAN 上に複数の音声デバイスが検出された場合、ポートは errdisable となります。

ポート ホスト モードが、シングルホスト モードまたはマルチホスト モードからマルチドメイン モードに変更された場合、認可済みのデータ デバイスは、このポートで認可されたままになります。しかし、このポート音声 VLAN で許可されている Cisco IP Phone は自動的に削除され、そのポートでの再認証が必要になります。

ゲスト VLAN や制限 VLAN などのアクティブ フォールバック メカニズムは、ポートがシングルホスト モードまたはマルチホスト モードからマルチドメイン モードに変更された後も設定されたままになります。

ポート ホスト モードをマルチドメイン モードからシングルホスト モードまたはマルチホスト モードに切り替えると、認可済みデバイスはすべて、このポートから削除されます。

最初にデータ ドメインが認可され、ゲスト VLAN に置かれた場合、802.1x 非対応音声デバイスは、認証をトリガするために、音声 VLAN 上でパケットをタグ付けする必要があります。

MDA 対応ポートとユーザ単位の ACL の組み合わせは推奨しません。ユーザ単位の ACL ポリシーを使った認可済みデバイスは、ポートの音声 VLAN およびデータ VLAN の両方でトラフィックに影響を与える可能性があります。この組み合わせを使用する場合、ポートでユーザ単位の ACL を強制するデバイスは必ず 1 つだけです。

音声認識 802.1x セキュリティ

音声認識 802.1x セキュリティ機能を使用して、データ VLAN、音声 VLAN にかかわらず、セキュリティ違反が発生した VLAN だけがディセーブルにされるように、スイッチを設定することができます。これまでのリリースでは、データ クライアントを認証しようとしたために、セキュリティ違反が発生した場合、ポート全体がシャットダウンされ、接続が完全に失われる結果となっていました。

この機能は、IP 電話に PC が接続されている IP 電話 展開で使用できます。データ VLAN で発見されたセキュリティ違反の結果、シャットダウンされるのはデータ VLAN だけになります。音声 VLAN 上のトラフィックは、中断されることなく、スイッチ経由でフローします。

音声認識 802.1x セキュリティの設定については、「音声認識 802.1x セキュリティの設定」を参照してください。

802.1x サプリカントおよびオーセンティケータ スイッチと Network Edge Access Topology(NEAT)

Network Edge Access Topology(NEAT)は、ワイヤリング クローゼット(会議室など)の外側のエリアにアイデンティティを拡張する機能です。これにより、どのようなタイプのデバイスでも、ポートを認証することができるようになります。

802.1x スイッチ サプリカント:802.1x サプリカント機能を使用して、別のスイッチのサプリカントとして機能するように、スイッチを設定することができます。この設定は、たとえば、スイッチがワイヤリング クローゼットの外側にあり、トランク ポートを通じてアップストリーム スイッチに接続されているような場合に便利です。802.1x スイッチ サプリカント機能を使って設定されているスイッチは、アップストリーム スイッチを使って、セキュアな接続を認証します。

サプリカント スイッチが認証に成功すると、ポート モードはアクセスからトランクに変わります。

アクセス VLAN がオーセンティケータ スイッチ上に設定されている場合、認証の成功後、これはトランク ポートのネイティブ VLAN になります。

複数のサプリカント スイッチに接続されているオーセンティケータ スイッチ インターフェイスでは、MDA モード、または multiauth モードをイネーブルにできます。multihost モードは、オーセンティケータ スイッチ インターフェイスではサポートされていません。

すべてのホスト モードで Network Edge Access Topology(NEAT)を動作させるには、サプリカント スイッチで dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。

ホストの認可:認可されたホスト(サプリカントを使用しているスイッチに接続しているもの)からのトラフィックだけがネットワーク上で許可されます。スイッチは、Client Information Signalling Protocol(CISP)を使用して、サプリカント スイッチに接続している MAC アドレスをオーセンティケータ スイッチに送信します(図 9-6 を参照)。

自動イネーブル化:オーセンティケータ スイッチ上でトランク設定を自動的にイネーブルにします。これにより、複数の VLAN からのユーザ トラフィックがサプリカント スイッチから入ってこられるようになります。ACS で、cisco-av-pair を device-traffic-class=switch と設定します(これは group または user 設定で行います)。

図 9-6 CISP を使用するオーセンティケータとサプリカント

 

 

1

ワークステーション(クライアント)

2

サプリカント スイッチ(ワイヤリング クローゼットの外側)

3

オーセンティケータ スイッチ

4

Access Control Server(ACS)

5

トランク ポート

 

 

注意事項

NEAT ポートの設定は、その他の認証ポートと同じ設定にすることができます。サプリカント スイッチが認証を行うとき、ポート モードはスイッチのベンダー固有属性(VSA)に基づいて、access から trunk に変更されます(device-traffic-class=switch)。

VSA はオーセンティケータ スイッチのポート モードを access から trunk に変更し、802.1x トランク カプセル化、およびネイティブ トランク VLAN に変換されたものがあれば、アクセス VLAN をイネーブルにします。VSA はサプリカント上のいかなるポート設定も変更しません。

オーセンティケータ スイッチ ポートでホスト モードの変換、および標準ポート設定の適用を行うには、スイッチ VSA の代わりに AutoSmart ポート ユーザ定義マクロも使用できます。これにより、オーセンティケータ スイッチ ポートでサポートされていない設定を削除し、ポート モードを access から trunk に変更することができます。詳細については、 第 12 章「SmartPort マクロの設定」 を参照してください。

詳細については、「NEAT を使用したオーセンティケータとサプリカント スイッチの設定」を参照してください。

コモン セッション ID

認証マネージャは、どのような認証方式が使用されている場合でも、クライアントに対してシングル セッション ID(コモン セッション ID)を使用します。この ID は、show コマンドや MIB など、あらゆるレポート目的で使用されます。このセッション ID は、セッション単位の Syslog メッセージすべてに表示されます。

セッション ID に含まれるものは次のとおりです。

Network Access Device(NAD; ネットワーク アクセス デバイス)の IP アドレス

単調増加する一意の 32 ビット整数

セッションの開始タイム スタンプ(32 ビット整数)

次の例は、show authentication コマンドの出力に、どのようにセッション ID が表示されるかを示しています。この例のセッション ID は 160000050000000B288508E5 です。

Switch# show authentication sessions
Interface MAC Address Method Domain Status Session ID
Fa4/0/4 0000.0000.0203 mab DATA Authz Success 160000050000000B288508E5
 

次は、Syslog 出力に、どのようにセッション ID が表示されるかを示した例です。この例のセッション ID も 160000050000000B288508E5 です。

1w0d: %AUTHMGR-5-START: Starting 'mab' for client (0000.0000.0203) on Interface Fa4/0/4
AuditSessionID 160000050000000B288508E5
1w0d: %MAB-5-SUCCESS: Authentication successful for client (0000.0000.0203) on Interface
Fa4/0/4 AuditSessionID 160000050000000B288508E5
1w0d: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client
(0000.0000.0203) on Interface Fa4/0/4 AuditSessionID 160000050000000B288508E5
 

このセッション ID は NAD、AAA サーバ、およびその他のレポート分析アプリケーションにより、クライアントを識別するために使用されます。ID は自動的に表示されます。設定は必要ありません。

802.1x 認証の設定

ここでは、次の設定情報について説明します。

「802.1x 認証のデフォルト設定」

「802.1x 認証設定時の注意事項」

「802.1x 認証の設定」(必須)

「802.1x 準備チェックの設定」

「802.1x 違反モードの設定」

「音声認識 802.1x セキュリティの設定」

「スイッチおよび RADIUS サーバ間の通信の設定」(必須)

「ホスト モードの設定」(任意)

「定期的な再認証の設定」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「再認証回数の設定」(任意)

「MAC Move のイネーブル化」(任意)

「MAC 置換のイネーブル化」(任意)

「802.1x アカウンティングの設定」(任意)

「ゲスト VLAN の設定」(任意)

「制限付き VLAN の設定」(任意)

「アクセス不能認証バイパス機能の設定」(任意)

「WoL を使用した 802.1x 認証の設定」(任意)

「MAC 認証バイパスの設定」(任意)

「802.1x ユーザ分散の設定」(任意)

「NAC Layer 2 802.1x 検証の設定」(任意)

「NEAT を使用したオーセンティケータとサプリカント スイッチの設定」(任意)

「802.1x 認証とダウンロード可能な ACL およびリダイレクト URL の設定」(任意)

「VLAN ID ベースの MAC 認証の設定」(任意)

「柔軟な認証順序の設定」(任意)

「Open1x の設定」(任意)

「ポートで 802.1x 認証をディセーブル化」(任意)

「802.1x 認証設定のデフォルト値へのリセット」(任意)

802.1x 認証のデフォルト設定

表 9-4 に、802.1x 認証のデフォルト設定を示します。

 

表 9-4 802.1x 認証のデフォルト設定

機能
デフォルト設定

スイッチの 802.1x イネーブル ステート

ディセーブル。

ポート単位の 802.1x イネーブル ステート

ディセーブル(force-authorized)。

ポートはクライアントとの 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

AAA

ディセーブル。

RADIUS サーバ

IP アドレス

UDP 認証ポート

 

指定なし。

1812。

指定なし。

ホスト モード

シングルホスト モード。

制御方向

双方向制御。

定期的な再認証

ディセーブル。

再認証の間隔(秒)

3,600 秒。

再認証回数

2 回(ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数)。

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗した後、待機状態を続ける秒数)。

再送信時間

30 秒(スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)。

最大再送信回数

2 回(スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数)。

クライアント タイムアウト時間

30 秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが返答を待ち、クライアントに要求を再送信するまでの時間)。

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。 これは設定できません。)。

ゲスト VLAN

指定なし。

アクセス不能認証バイパス

ディセーブル。

制限 VLAN

指定なし。

オーセンティケータ(スイッチ)モード

指定なし。

MAC 認証バイパス

ディセーブル。

802.1x 認証設定時の注意事項

このセクションでは、次の機能に関する設定時の注意事項を説明します。

「802.1x 認証」

「VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス」

「MAC 認証バイパス」

「ポート単位の最大許容デバイス数」

802.1x 認証

802.1x 認証を設定する場合の注意事項は、次のとおりです。

802.1x 認証がイネーブルに設定されていると、他のレイヤ 2 またはレイヤ 3 機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1x 対応ポートのモードを(たとえば、access から trunk に)変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

802.1x 対応ポートの割り当て先 VLAN が変更されても、この変更は透過的で、スイッチには影響はありません。たとえば、このような変更は、あるポートが RADIUS サーバによって割り当てられた VLAN に割り当てられていたが、再認証後、別の VLAN に割り当てられた場合に起こります。

802.1x ポートが割り当てられている VLAN がシャットダウン、ディセーブル、または削除された場合、このポートは無許可になります。たとえば、あるポートが割り当てられているアクセス VLAN がシャットダウン、または削除された後、ポートは無許可です。

802.1x プロトコルはレイヤ 2 スタティック アクセス ポート、音声 VLAN ポート、レイヤ 3 ルーテッド ポートでサポートされていますが、次のポート タイプではサポートされていません。

トランク ポート:トランク ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。802.1x 対応ポートをダイナミック VLAN 割り当てに変更しようとすると、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:アクティブ、またはまだアクティブではない EtherChannel メンバーであるポートを 802.1x ポートとして設定しないでください。EtherChannel ポートで 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)およびリモート SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートの 802.1x 認証をイネーブルにすることができます。ただし、そのポートが SPAN または RSPAN 宛先ポートとして削除されるまで、802.1x 認証はディセーブルのままです。SPAN または RSPAN 送信元ポートでは 802.1x 認証をイネーブルにすることができます。

dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力して、スイッチの 802.1x 認証をグローバルにイネーブルにする前に、802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除します。

EAP-Transparent LAN Service(TLS; 透過型 LAN サービス)および EAP-MD5 で IEEE 802.1x を認証する Cisco Access Control Server(ACS)アプリケーションが稼動する装置を使用している場合、装置が ACS バージョン 3.2.1 以降で稼動していることを確認します。

Cisco IOS Release 12.2(55)SE 以降では、802.1x 認証に関連するシステム メッセージのフィルタリングがサポートされています。「認証マネージャの CLI コマンド」を参照してください。

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパスの設定値の注意事項は次のとおりです。

802.1x 認証をポートでイネーブルにすると、音声 VLAN と同等であるポート VLAN を設定できません。

VLAN 割り当て機能付きの 802.1x 認証は、トランク ポート、ダイナミック ポート、または VMPS を使用したダイナミック アクセス ポート割り当てではサポートされていません。

プライベート VLAN ポートでは 802.1x 認証は設定できますが、プライベート VLAN ポートで、ポート セキュリティ、音声 VLAN、ゲスト VLAN、制限 VLAN、またはユーザ単位 ACL とともに IEEE 802.1x 認証を設定してはいけません。

RSPAN VLAN、プライベート VLAN、および音声 VLAN を除く任意の VLAN を 802.1x 制限 VLAN として設定できます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

DHCP クライアントが接続されている 802.1x ポートのゲスト VLAN を設定した後、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアント上の DHCP プロセスが時間切れとなり DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチ上の 802.1x 認証プロセスを再起動する設定を変更できます。802.1x 認証プロセスの設定を減らします(authentication timer inactivity、または dot1x timeout quiet-period 、および authentication timer reauthentication または dot1x timeout tx-period) 。設定の減少量は、接続された 802.1x クライアントのタイプによって異なります。

アクセス不能認証バイパス機能を設定するときには、次の注意事項に従ってください。

この機能は、シングルホスト モードおよびマルチホスト モードの 802.1x ポートでサポートされます。

クライアントで Windows XP を稼動し、クライアントが接続されているポートが critical-authentication ステートである場合、Windows XP はインターフェイスが認証されていないことを報告します。

Windows XP クライアントで DHCP が設定され、DHCP サーバからの IP アドレスがある場合、クリティカル ポートで EAP 認証成功メッセージを受信しても DHCP 設定プロセスを再初期化しません。

アクセス不能認証バイパス機能および制限 VLAN を 802.1x ポート上に設定できます。スイッチが制限付き VLAN でクリティカル ポートの再認証を試行し、RADIUS サーバがすべて使用できない場合、ポートの状態はクリティカル認証ステートに変化し、ポートは制限付き VLAN のままとなります。

アクセス不能認証バイパス機能とポート セキュリティは、同じスイッチ ポートに設定できます。

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を 802.1x 制約 VLAN として設定することができます。制限 VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上だけでサポートされます。

MAC 認証バイパス

MAC 認証バイパスを設定する場合の注意事項は、次のとおりです。

特に言及されない限り、MAC 認証バイパス機能の使用上の注意事項は 802.1x 認証の注意事項と同じです。詳細については、「802.1x 認証」を参照してください。

ポートが MAC アドレスで認可された後で、ポートから MAC 認証バイパス機能をディセーブルにした場合、ポート ステートには影響ありません。

ポートが未許可ステートであり、クライアント MAC アドレスが認証サーバ データベースにない場合、ポートは未許可ステートのままです。ただし、クライアント MAC アドレスがデータベースに追加されると、スイッチは MAC 認証バイパス機能を使用してポートを再認証できます。

ポートが認証ステートにない場合、再認証が行われるまでポートはこのステートを維持します。

ポート単位の最大許容デバイス数

これは、802.1x 対応ポート上で許容されるデバイスの最大数です。

シングルホスト モードでは、1 つのデバイスだけがアクセス VLAN で許可されます。ポートで音声 VLAN も設定されている場合は、数が制限されない Cisco IP Phone が音声 VLAN を介してトラフィックを送受信します。

マルチドメイン認証(MDA)モードでは、アクセス VLAN には 1 つのデバイスが許可され、音声 VLAN には 1 つの IP Phone が許可されます。

マルチホスト モードでは、ポート上で 1 つの 802.1x サプリカントだけが許可されますが、アクセス VLAN に許可される非 802.1x ホスト数は無制限です。音声 VLAN 上での許容デバイス数は無制限です。

802.1x 違反モードの設定

次のような場合に、802.1x ポートがシャットダウンする、Syslog エラーを生成する、または新しいデバイスからのパケットを廃棄するように設定できます。

デバイスが 802.1x 対応ポートに接続している

すでに最大許容数のデバイスがポート上で認証されている

スイッチ上でセキュリティ違反アクションを設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、デフォルト状況で使用することになっている方法に続いて default キーワードを使用します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべての RADIUS サーバ リストを使用できるようにします。

キーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。

ステップ 4

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

switchport mode access

ポートをアクセス モードにします。

ステップ 6

authentication violation shutdown | restrict | protect | replace }

または

dot1x violation-mode {shutdown | restrict | protect}

違反モードを設定します。キーワードの意味は次のとおりです。

shutdown:ポートを errdisable ステートにします。

restrict:Syslog エラーを生成します。

protect:ポートにトラフィックを送信するすべての新しいデバイスからのパケットをドロップします。

replace :現在のセッションを削除し、新しいホストで認証します。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show authentication

または

show dot1x

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x 認証の設定

802.1x ポートベースの認証を設定するには、Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)をイネーブルにし、認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う順番と認証方式を記述したものです。

ユーザ単位 ACL または VLAN 割り当てを可能にするには、AAA 許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

これは 802.1x AAA プロセスです。


ステップ 1 ユーザは、スイッチ上のポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 RADIUS サーバの設定に基づいて、VLAN 割り当てが適切にイネーブルにされます。

ステップ 4 スイッチは、アカウンティング サーバに開始メッセージを送信します。

ステップ 5 必要に応じて、再認証が行われます。

ステップ 6 スイッチは、再認証の結果に基づく中間アカウンティング アップデートをアカウンティング サーバに送信します。

ステップ 7 ユーザはポートから切断します。

ステップ 8 スイッチは、アカウンティング サーバに停止メッセージを送信します。


 

802.1x ポートベースの認証を設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、デフォルト状況で使用することになっている方法に続いて default キーワードを使用します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべての RADIUS サーバ リストを使用できるようにします。

キーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。

ステップ 4

dot1x system-auth-control

スイッチ上で 802.1x 認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ユーザ単位 ACL や VLAN 割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザ RADIUS 許可を使用するようにスイッチを設定します。

(注) ユーザ単位 ACL を設定するには、シングルホスト モードを設定する必要があります。この設定は、デフォルトです。

ステップ 6

radius-server host ip-address

(任意)RADIUS サーバの IP アドレスを指定します。

ステップ 7

radius-server key string

(任意) RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

switchport mode access

(任意)ステップ 6 とステップ 7 で RADIUS サーバを設定した場合だけ、ポートをアクセス モードに設定します。

ステップ 10

dot1x port-control auto

ポート上で 802.1x 認証をイネーブルにします。

機能の相互作用については、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 11

end

特権 EXEC モードに戻ります。

ステップ 12

show dot1x

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x 準備チェックの設定

802.1x 準備チェックでは、すべてのスイッチ ポート上の 802.1x アクティビティをモニタし、802.1x をサポートするポートに接続されたデバイスに関する情報を表示します。この機能を使用すると、スイッチ ポートに接続されたデバイスが 802.1x 対応かどうかを判別できます。

802.1x 準備チェックは、802.1x 用に設定できるすべてのポートで許可されます。準備チェックは、 dot1x force-unauthorized として設定されたポート上では使用できません。

スイッチで準備チェックをイネーブルにするときには、次の注意事項に従ってください。

通常準備チェックは、スイッチで 802.1x をイネーブルにする前に使用されます。

dot1x test eapol-capable 特権 EXEC コマンドを、インターフェイスを指定せずに使用した場合、スイッチ スタック上のすべてのポートがテストされます。

802.1x 対応ポートで dot1x test eapol-capable コマンドを設定し、リンクがアップになると、ポートは接続されたクライアントにその 802.1x 機能についてクエリーを送信します。クライアントが通知パケットにより応答した場合、このクライアントは 802.1x 対応です。クライアントがタイムアウト時間内に応答した場合、Syslog メッセージが生成されます。クライアントがクエリーに応答しない場合、このクライアントは 802.1x 対応ではありません。Syslog メッセージは生成されません。

準備チェックは、複数のホスト(IP Phone に接続された PC など)を処理するポート上で送信できます。タイムアウト時間内に準備チェックに応答した各クライアントには、Syslog メッセージが生成されます。

スイッチ上で 802.1x 準備チェックをイネーブルにするには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

dot1x test eapol-capable [ interface interface-id ]

スイッチ上で 802.1x 準備チェックをイネーブルにします。

(任意) interface-id には、IEEE 802.1x 準備をチェックするポートを指定します。

キーワードを省略した場合、スイッチ上のすべてのインターフェイスがテストされます。

ステップ 2

configure terminal

(任意)グローバル コンフィギュレーション モードを開始します。

ステップ 3

dot1x test timeout timeout

(任意)EAPOL 応答を待機するのに使用されるタイムアウトを設定します。指定できる範囲は 1 ~ 65535 秒です。デフォルトは 10 秒です。

ステップ 4

end

(任意)特権 EXEC モードに戻ります。

ステップ 5

show running-config

(任意)変更したタイムアウト値を確認します。

次に、スイッチ上で準備チェックをイネーブルにしてポートにクエリーを送信する例を示します。ポートに接続されたデバイスが 802.1x 対応かどうかを確認するため、クエリーが送信されたポートから受信される応答についても示します。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

音声認識 802.1x セキュリティの設定

スイッチで音声認識 802.1x セキュリティ機能を使用して、データ VLAN、音声 VLAN にかかわらず、セキュリティ違反が発生した VLAN だけがディセーブルにされるように設定することができます。この機能は、IP 電話に PC が接続されている IP 電話 展開で使用できます。データ VLAN で発見されたセキュリティ違反の結果、シャットダウンされるのはデータ VLAN だけになります。音声 VLAN 上のトラフィックは、中断されることなく、スイッチ経由でフローします。

スイッチで音声認識 802.1x 音声セキュリティを設定するときには、次の注意事項に従ってください。

音声認識 802.1x セキュリティをイネーブルにするには、 errdisable detect cause security-violation shutdown vlan グローバル コンフィギュレーション コマンドを入力します。音声認識 802.1x セキュリティをディセーブルにするには、このコマンドの no バージョンを入力します。このコマンドは、スイッチにあるすべての 802.1x 設定済みポートに適用されます。


shutdown vlan キーワードを指定しなかった場合、errdisable ステートに入ったときに、ポート全体がシャットダウンされます。


errdisable recovery cause security-violation グローバル コンフィギュレーション コマンドを使用して、errdisable 回復を設定した場合、ポートは自動的に再度イネーブルにされます。このポートで errdisable 回復が設定されていない場合は、 shutdown および no-shutdown インターフェイス コンフィギュレーション コマンドを使用して、再度イネーブルにします。

個々の VLAN を再イネーブルにするには、 clear errdisable interface interface-id vlan [ vlan-list ] 特権 EXEC コマンドを使用します。範囲を指定しなかった場合、ポート上のすべての VLAN がイネーブルになります。

音声認識 802.1x セキュリティをイネーブルにするには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

errdisable detect cause security-violation shutdown vlan

セキュリティ違反エラーが発生しているすべての VLAN をシャットダウンします。

キーワードを指定しなかった場合、ポート全体が errdisable ステートとなり、シャットダウンします。

ステップ 3

errdisable recovery cause security-violation

(任意)VLAN 単位の自動エラー回復をイネーブルにします。

ステップ 4

clear errdisable interface interface-id vlan [ vlan-list ]

(任意)errdisable ステートの VLAN を個別に再度イネーブルにします。

interface-id には、VLAN を個別に再度イネーブルにするポートを指定します。

(任意) vlan-list には、再度イネーブルにする VLAN のリストを指定します。 vlan-list を指定しない場合は、すべての VLAN が再びイネーブルになります。

ステップ 5

shutdown

no-shutdown

(任意)errdisable ステートの VLAN を再度イネーブルにし、すべての errdisable 通知をクリアします。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show errdisable detect

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、セキュリティ違反エラーが発生しているすべての VLAN をシャットダウンするようにスイッチを設定する方法を示します。

次の例では、errdisable ステートになっているポート Gi4/0/2Switch(config)# errdisable detect cause security-violation shutdown vlan
 

上のすべての VLAN を再度イネーブルにする方法を示します。

Switch# clear errdisable interface GigabitEthernet4/0/2 vlan
 

show errdisable detect 特権 EXEC コマンドを入力すると、設定を確認できます。

スイッチおよび RADIUS サーバ間の通信の設定

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

スイッチ上に RADIUS サーバ パラメータを設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

RADIUS サーバ パラメータを設定します。

hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。

auth-port port-number には、認証要求の UDP 宛先ポートを指定します。デフォルトは 1812 です。指定できる範囲は 0 ~ 65536 です。

key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。

コマンド構文の最後の項目として設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

複数の RADIUS サーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IP アドレス 172.20.39.46 のサーバを RADIUS サーバとして指定し、ポート 1612 を許可ポートとして使用し、暗号鍵を RADIUS サーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべての RADIUS サーバの設定」を参照してください。

RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの両方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている IEEE 802.1x 許可ポート上で、複数のホスト(クライアント)を許可するには、特権 EXEC モードで次の手順を実行します。マルチドメイン認証(MDA)を設定し、イネーブルにするには、multi-domain キーワードを使用します。これにより、IP 電話(シスコ製品またはシスコ以外の製品)などのホストおよび音声デバイスの両方を同じスイッチ ポートで許可されるようになります。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数ホストが間接的に接続されているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

または

dot1x host-mode {multi-host | multi-domain}

802.1x 許可ポートで複数のホスト(クライアント)の接続を許可します。

キーワードの意味は次のとおりです。

multi-auth:音声 VLAN で 1 つのクライアント、データ VLAN で複数の認証済みクライアントを許可します。

(注) multi-auth キーワードが使用できるのは、authentication host-mode コマンドだけです。

multi-host:シングル ホストの認証後、802.1x 許可ポートで複数のホストを許可します。

multi-domain:IP Phone(シスコ製品またはシスコ以外の製品)などのホストと音声デバイスの両方が、IEEE 802.1x 許可ポートで認証できるようになります

を参照してください。

指定されたインターフェイスについて dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートで複数のポートをディセーブルにするには、no authentication host-mode または

no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンド を使用します。

次に、802.1x 認証をイネーブルにして、複数ホストを許可する例を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

次に、MDA をイネーブルにして、ポートでホスト デバイスと音声デバイスの両方を許可する方法を示します。

Switch(config)# interface gigabitethernet3/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# end

定期的な再認証の設定

802.1x クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は 3,600 秒ごとに行われます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

authentication periodic

または

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

authentication timer {{[inactivity | reauthenticate]} {restart value}}

または

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

authentication timer のキーワードの意味は次のとおりです。

inactivity:クライアントからのアクティビティがなく、このクライアントが無認可になるまでの間隔(秒単位)

reauthenticate:自動再認証が開始されるまでの時間(秒単位)

restart value:無許可ポートの認証を試行するまでの間隔(秒単位)

dot1x timeout reauth-period のキーワードの意味は次のとおりです。

seconds 1 ~ 65535 の範囲で秒数を指定します 。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS アトリビュート(Attribute[27])および Termination-Action RADIUS アトリビュート(Attribute[29])の値に基づいて秒数を設定します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、no authentication periodic、または no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証試行間隔に戻すには、no authentication timer、または no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力すると、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証の設定」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface gigabitethernet2/0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、その後再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドがその待ち時間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。

待機時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗した後、待機状態を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 60 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を 30 秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、その後フレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 5 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identity フレームを送信する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity 要求を送信する回数を 5 に設定する例を示します。

Switch(config-if)# dot1x max-req 5

再認証回数の設定

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を変更することもできます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を設定します。指定できる範囲は 0 ~ 10 です。デフォルトは 2 です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再認証回数をデフォルトに戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4

MAC Move のイネーブル化

MAC Move では、認証されたホストをスイッチ上のあるポートから別のポートに移動することができます。

スイッチ上で MAC Move をグローバルにイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

configure terminal

グローバル コンフィギュレーション モードを開始します。

authentication mac-move permit

イネーブルにします。

end

特権 EXEC モードに戻ります。

show run

設定を確認します。

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

 

次の例では、スイッチで MAC Move をグローバルにイネーブルにする方法を示します。

Switch(config)# authentication mac-move permit

MAC 置換のイネーブル化

MAC 置換を使用すると、ホストがポート上の認証済みホストを置き換えられます。

インターフェイス上で MAC 置換をイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

authentication violation { protect | replace | restrict | shutdown }

インターフェイスで MAC 置換をイネーブルにするには、 replace キーワードを使用します。ポートが現在のセッションを削除し、新しいホストで認証を開始します。

その他のキーワードの効果は次のとおりです。

protect :ポートは、予期しない MAC アドレスを持つパケットを、システム メッセージを生成せずにドロップします。

restrict : 違反パケットが CPU によってドロップされ、システム メッセージが生成されます。

shutdown :ポートは、予期しない MAC アドレスを受信すると、errdisable ステートになります。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、インターフェイス上で MAC 置換をイネーブルにする方法を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# authentication violation replace

802.1x アカウンティングの設定

802.1x アカウンティングを使用して、AAA システム アカウンティングをイネーブルにすると、ロギングのためにシステム リロード イベントをアカウンティング RADIUS サーバに送信できます。サーバは、アクティブな 802.1x セッションすべてが終了したものと判断します。

RADIUS は信頼性の低い UDP トランスポート プロトコルを使用するため、ネットワーク状態が良好でないと、アカウンティング メッセージが失われることがあります。設定した回数のアカウンティング要求の再送信後、スイッチが RADIUS サーバからアカウンティング応答メッセージを受信しない場合、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

このストップ メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-4-RADIUS_DEAD: RADIUS server 172.20.246.201:1645,1646 is not responding.
 

) ロギングの開始、停止、仮のアップデート メッセージ、タイム スタンプなどのアカウンティング タスクを実行するように、RADIUS サーバを設定する必要があります。これらの機能をオンにするには、RADIUS サーバのネットワーク構成タブの [Update/Watchdog packets from this AAA client] のロギングをイネーブルにします。次に、RADIUS サーバの [System Configuration] タブの [CVS RADIUS Accounting] をイネーブルにします。


AAA がスイッチでイネーブルになった後、802.1x アカウンティングを設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して、802.1x アカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべての RADIUS サーバのリストを使用)、スイッチがリロードするときにシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信しない RADIUS メッセージ数を表示するには、show radius statistics特権 EXEC コマンドを使用します。

次に、802.1x アカウンティングを設定する例を示します。最初のコマンドは、アカウンティングの UDP ポートとして 1813 を指定して、RADIUS サーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

ゲスト VLAN の設定

サーバが EAP-Request/Identity フレームに対する応答を受信しない場合、ゲスト VLAN を設定すると、802.1x 対応でないクライアントはゲスト VLAN に配置されます。802.1x 対応であっても、認証に失敗したクライアントにはネットワークへのアクセスが許可されません。スイッチは、シングルホスト モードまたはマルチホスト モードでゲスト VLAN をサポートします。

ゲスト VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 4

dot1x port-control auto

ポート上で 802.1x 認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブ VLAN を 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を 802.1x ゲスト VLAN として設定することができます。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲスト VLAN をディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、VLAN 2 を 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# dot1x guest-vlan 2
 

次の例では、スイッチの待機時間を 3 秒に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を 15 に設定する方法、および IEEE 802.1x ポートが DHCP クライアントに接続されているときに VLAN 2 を 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2

制限付き VLAN の設定

スイッチ スタックまたはスイッチで制限 VLAN を設定した場合は、認証サーバが有効なユーザ名とパスワードを受信しないと、IEEE802.1x 準拠のクライアントが制限 VLAN に移動します。スイッチは、シングルホスト モードだけで制限 VLAN をサポートします。

制限 VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 4

authentication port-control auto

または

dot1x port-control auto

ポート上で 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブ VLAN を 802.1x 制限 VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を 802.1x 制限 VLAN として設定することができます。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show authentication interface-id

または

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

制限 VLAN をディセーブルにして削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、 VLAN 2 を 802.1x 制限 VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# dot1x auth-fail vlan 2
 

ユーザに制限付き VLAN を割り当てる前に、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、認証試行回数を最大に設定できます。指定できる試行回数は 1 ~ 3 です。デフォルトは 3 回です。

認証試行回数を最大に設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 4

authentication port-control auto

または

dot1x port-control auto

ポート上で 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブ VLAN を 802.1x 制限 VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を 802.1x 制限 VLAN として設定できます。

ステップ 6

dot1x auth-fail max-attempts max attempts

ポートが制限 VLAN に移行するための認証試行回数を指定します。指定できる範囲は 1 ~ 3 秒です。デフォルトは 3 です。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show authentication interface-id

または

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルト値に戻すには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートを制限 VLAN にするために、認証試行回数を 2 に設定する方法を示します。

Switch(config-if)# dot1x auth-fail max-attempts 2

アクセス不能認証バイパス機能の設定

アクセス不能認証バイパス機能を設定できます。この機能は、クリティカル認証、または AAA 失敗ポリシーとも呼ばれます。

ポートをクリティカルなポートとして設定し、アクセス不能認証バイパス機能をイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server dead-criteria time time tries tries

(任意)RADIUS サーバが使用不可または デッド 状態であると判断する条件を設定します。

time の範囲は 1 ~ 120 秒です。スイッチは、10 ~ 60 秒の範囲内で、デフォルトの seconds 値を動的に決定します。

tries の範囲は 1 ~ 100 です。スイッチは、10 ~ 100 の範囲内で、デフォルトの tries パラメータを動的に決定します。

ステップ 3

radius-server deadtime minutes

(任意)RADIUS サーバが要求を送信しない時間(分)を設定します。範囲は 0 ~ 1440 分(24 時間)です。デフォルトは 0 分です。

ステップ 4

radius-server host ip-address [acct-port udp-port ] [ auth-port udp-port ][ test username name [ idle-time time ] [ ignore-acct-port ] [ ignore-auth-port ]] [ key string ]

(任意)次のパラメータを使用して、RADIUS サーバ パラメータを設定します。

acct-port udp-port: RADIUS アカウンティング サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 から 65536 です。デフォルトは 1646 です。

auth-port udp-port: RADIUS 認証サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 から 65536 です。デフォルトは 1645 です。

(注) RADIUS アカウンティング サーバおよび RADIUS 認証サーバの UDP ポートをデフォルト以外の値に設定する必要があります。

test username name RADIUS サーバ ステータスの自動テストをイネーブルにし、使用されるユーザ名を指定します。

idle-time time :スイッチがテスト パケットをサーバに送信した後の間隔(分)を設定します。指定できる範囲は 1 ~ 35791 分です。デフォルトは 60 分(1 時間)です。

ignore-acct-port RADIUS サーバ アカウンティング ポートのテストをディセーブルにします。

ignore-auth-port RADIUS サーバ認証ポートのテストをディセーブルにします。

key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。

コマンド構文の最後の項目として設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

radius-server key { 0 string | 7 string | string } グローバル コンフィギュレーション コマンドを使用して、認証鍵および暗号鍵を設定することもできます。

ステップ 5

dot1x critical { eapol | recovery delay milliseconds }

(任意)アクセス不能認証バイパスのパラメータを設定します。

eapol :スイッチがクリティカルなポートの認証に成功したときに、EAPOL-Success メッセージを送信するように指定します。

recovery delay milliseconds :使用不能な RADIUS サーバが使用可能になった場合に、スイッチがクリティカルなポートを再初期化するために待機するリカバリ遅延期間を設定します。指定できる範囲は 1 ~ 10000 ミリ秒です。デフォルトは 1000 ミリ秒です(ポートは 1 秒に 1 回再初期化されます)。

ステップ 6

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 7

authentication event server dead action [ authorize | reinitialize ] vlan vlan-id

RADIUS サーバが到達不能である場合に、ポートにホストを移動するには、次のキーワードを使用します。

authorize:認証を実施しようとしている新しいホストをすべて、ユーザにより指定されたクリティカル VLAN に移動します。

reinitialize:ポート上の認可されたホストをすべて、ユーザにより指定されたクリティカル VLAN に移動します。

ステップ 8

dot1x critical [ recovery action reinitialize | vlan vlan-id ]

アクセス不能認証バイパス機能をイネーブルにし、次のキーワードを使用して、この機能を設定します。

recovery action reinitialize :リカバリ機能をイネーブルにし、認証サーバが使用可能になった場合にリカバリ アクションによりポートを認証するよう指定します。

vlan vlan-id :スイッチがクリティカルなポートに割り当てることのできるアクセス VLAN を指定します。指定できる範囲は 1 ~ 4094 です。

ステップ 9

end

特権 EXEC モードに戻ります。

ステップ 10

show authentication interface-id

または

show dot1x [interface interface-id ]

(任意)設定を確認します。

ステップ 11

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

RADIUS サーバのデフォルト設定に戻すには、 no radius-server dead-criteria no radius-server deadtime 、および no radius-server host グローバル コンフィギュレーション コマンドを使用します。アクセス不能認証バイパスのデフォルト設定に戻すには、 no dot1x critical { eapol | recovery delay } グローバル コンフィギュレーション コマンドを使用します。 アクセス不能認証バイパスをディセーブルにするには、 no dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、アクセス不能認証バイパス機能を指定する方法を示します。

Switch(config)# radius-server dead-criteria time 30 tries 20
Switch(config)# radius-server deadtime 60
Switch(config)# radius-server host 1.1.1.2 acct-port 1550 auth-port 1560 test username user1 idle-time 30 key abc1234
Switch(config)# dot1x critical eapol
Switch(config)# dot1x critical recovery delay 2000
Switch(config)# interface gigabitethernet 1/0/1
Switch(config)# radius-server deadtime 60
Switch(config-if)# dot1x critical
Switch(config-if)# dot1x critical recovery action reinitialize
Switch(config-if)# dot1x critical vlan 20
Switch(config-if)# end

802.1x ユーザ分散の設定

VLAN グループを設定し、これに VLAN をマップするには、まず、グローバル コンフィギュレーションで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

vlan group vlan-group-name vlan-list vlan-list

VLAN グループを設定し、これに VLAN を 1 つ、または VLAN の範囲をマップします。

ステップ 2

show vlan group all vlan-group-name

設定を確認します。

ステップ 3

no vlan group vlan-group-name vlan-list vlan-list

VLAN グループ コンフィギュレーション、または VLAN グループ コンフィギュレーションの要素をクリアします。

次の例では、VLAN グループを設定する方法、このグループに VLAN をマップする方法、および VLAN グループ コンフィギュレーションおよび指定された VLAN へのマッピングを検証する方法を示します。

switch(config)# vlan group eng-dept vlan-list 10
 
switch(config)# show vlan group group-name eng-dept
Group Name Vlans Mapped
------------- --------------
eng-dept 10
switch# show dot1x vlan-group all
Group Name Vlans Mapped
------------- --------------
eng-dept 10
hr-dept 20
 

次の例では、既存の VLAN グループに VLAN を追加する方法、および VLAN が追加されたことを検証する方法を示します。

switch(config)# vlan group eng-dept vlan-list 30
switch(config)# show vlan group eng-dept
Group Name Vlans Mapped
------------- --------------
eng-dept 10,30
 

次の例では、VLAN グループから VLAN を削除する方法を示します。

switch# no vlan group eng-dept vlan-list 10
 

次の例では、ある VLAN グループからすべての VLAN をクリアしたときに、この VLAN グループもクリアされる様子を示します。

switch(config)# no vlan group eng-dept vlan-list 30
Vlan 30 is successfully cleared from vlan group eng-dept.
 
switch(config)# show vlan group group-name eng-dept
 

次の例では、すべての VLAN グループをクリアする方法を示します。

switch(config)# no vlan group end-dept vlan-list all
switch(config)# show vlan-group all
 

これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

WoL を使用した 802.1x 認証の設定

WoL を使用した 802.1x 認証をイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

dot1x control-direction { both | in }

WoL を使用した 802.1x 認証をポートでイネーブルにし、次のキーワードを使用して、ポートを単一方向または双方向に設定します。

both :ポートを双方向に設定します。ポートは、ホストにパケットを送受信できません。デフォルトでは、ポートは双方向です。

in :ポートを単一方向に設定します。ポートは、ホストにパケットを送信できますが、受信はできません。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

WoL を使用した 802.1x 認証をディセーブルにするには、 no dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、WoL を使用した 802.1x 認証をイネーブルにし、ポートを双方向に設定する方法を示します。

Switch(config-if)# dot1x control-direction both

MAC 認証バイパスの設定

MAC 認証バイパスをイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

authentication port-control auto

または

dot1x port-control auto

ポート上で 802.1x 認証をイネーブルにします。

ステップ 4

dot1x mac-auth-bypass [ eap ]

MAC 認証バイパスをイネーブルにします。

(任意) eap キーワードを使用して、スイッチが認可に EAP を使用するように設定します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

MAC 認証バイパスをディセーブルにするには、 no dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、MAC 認証バイパスをイネーブルにする方法を示します。

Switch(config-if)# dot1x mac-auth-bypass

NAC Layer 2 802.1x 検証の設定

NAC Layer 2 802.1x 検証を設定できます。これは、RADIUS サーバを使用した 802.1x 認証とも呼ばれます。

NAC Layer 2 802.1x 検証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブ VLAN を 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を 802.1x ゲスト VLAN として設定できます。

ステップ 4

authentication periodic

または

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 1 ~ 65535 の範囲で秒数を指定します 。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS アトリビュート(Attribute[27])および Termination-Action RADIUS アトリビュート(Attribute[29])の値に基づいて秒数を設定します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show authentication interface-id

または

show dot1x interface interface-id

802.1x 認証設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、NAC Layer 2 802.1x 検証を設定する方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server

NEAT を使用したオーセンティケータとサプリカント スイッチの設定

この機能を設定するには、ワイヤリング クローゼットの外側にある 1 つのスイッチがサプリカントとして設定され、オーセンティケータ スイッチに接続されていなければなりません。

概要については、「802.1x サプリカントおよびオーセンティケータ スイッチと Network Edge Access Topology(NEAT)」を参照してください。


) ACS で、cisco-av-pairsdevice-traffic-class=switch として設定する必要があります。これにより、サプリカントの認可が成功した後で、インターフェイスがトランクとして設定されます。


スイッチをオーセンティケータに設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cisp enable

CISP をイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

switchport mode access

ポート モードを access に設定します。

ステップ 5

authentication port-control auto

ポートの認証モードを auto に設定します。

ステップ 6

dot1x pae authenticator

インターフェイスを Port Access Entity(PAE; ポート アクセス エンティティ)オーセンティケータとして設定します。

ステップ 7

spanning-tree portfast

単一ワークステーションまたはサーバに接続されたアクセス ポート上で PortFast をイネーブルにします。

ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

show running-config interface interface-id

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、スイッチを 802.1x オーセンティケータとして設定する方法を示します。

Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# spanning-tree portfast trunk
 

スイッチをサプリカントに設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cisp enable

CISP をイネーブルにします。

ステップ 3

dot1x credentials profile

802.1x 認定証プロファイルを作成します。これは、サプリカントとして設定されるポートに不可する必要があります。

ステップ 4

username suppswitch

ユーザ名を作成します。

ステップ 5

password password

新しいユーザ名に対するパスワードを作成します。

ステップ 6

dot1x supplicant force-multicast

スイッチがユニキャスト パケット、またはマルチキャスト パケットを受信したときに、マルチキャスト EAPOL パケットだけを送信するように、スイッチに強制します。

また、これにより、NEAT はすべてのホスト モードにおいて、サプリカント スイッチで作業できるようになります。

ステップ 7

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 8

switchport trunk encapsulation dot1q

ポートをトランク モードにします。

ステップ 9

switchport mode trunk

インターフェイスを VLAN トランク ポートとして設定します。

ステップ 10

dot1x pae supplicant

インターフェイスをポート アクセス エンティティ(PAE)サプリカントとして設定します。

ステップ 11

dot1x credentials profile-name

802.1x 認定証プロファイルをインターフェイスに付加します。

ステップ 12

end

特権 EXEC モードに戻ります。

ステップ 13

show running-config interface interface-id

設定を確認します。

ステップ 14

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、スイッチをサプリカントとして設定する方法を示します。

Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# dot1x credentials test
Switch(config)# username suppswitch
Switch(config)# password myswitch
Switch(config)# dot1x supplicant force-multicast
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk

Switch(config-if)# dot1x pae supplicant
Switch(config-if)# dot1x credentials test
Switch(config-if)# end

ASP を使用した NEAT の設定

スイッチ VSA の代わりに AutoSmart Ports ユーザ定義マクロを使用して、オーセンティケータ スイッチを設定することもできます。詳細については、 第 12 章「SmartPort マクロの設定」 を参照してください。

802.1x 認証とダウンロード可能な ACL およびリダイレクト URL の設定

スイッチでの 802.1x 認証の設定に加えて、ACS の設定も必要です。詳細については、『 Cisco Secure ACS configuration guides 』を参照してください。


ダウンロード可能な ACL は、ACS で設定してから、スイッチにダウンロードする必要があります。


ポートでの認証後、show ip access-list 特権 EXEC コマンドを使用して、ポートにダウンロード可能な ACL を表示することができます。

ダウンロード可能な ACL の設定

ポリシーは、クライアント認証、および IP デバイス トラッキング テーブルへのクライアント IP アドレスの追加後に有効になります。その後、スイッチはダウンロード可能な ACL をポートに適用します。

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip device tracking

IP デバイス トラッキング テーブルを設定します。

ステップ 3

aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authorization network default group radius

認可メソッドを local に設定します。認可メソッドを削除するには、no aaa authorization network default group radius コマンドを使用します。

ステップ 5

radius-server vsa send authentication

radius vsa send authentication を設定します。

ステップ 6

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip access-group acl-id in

入力方向で、ポート上のデフォルト ACL を設定します。

(注) acl-id は、アクセス リスト名、または番号です。

ステップ 8

show running-config interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ダウンロード可能ポリシーの設定

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

access-list access-list-number deny source source-wildcard log

ソース アドレスおよびワイルドカードを使用して、デフォルト ポート ACL を定義します。

access-list-number は、1 ~ 99 または 1300 ~ 1999 の 10 進数です。

deny または permit を入力し、条件と一致した場合にアクセスを拒否するか、許可するかを指定します。

source は、パケットを送信するネットワークまたはホストのソース アドレスです。たとえば、次のようなものがあります。

ドット付き 10 進表記で 32 ビットの値

0.0.0.0 255.255.255.255 という source および source-wildcard 値の省略形を表すキーワード any。source-wildcard 値の入力は不要です。

source 0.0.0.0 という source および source-wildcard の省略形を表すキーワード host

(任意)source-wildcard ワイルドカード ビットを送信元に適用します。

(任意)エントリと一致するパケットに関するログ通知メッセージをコンソールに送信するには、log と入力します。

ステップ 3

interface interface-id

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip access-group acl-id in

入力方向で、ポート上のデフォルト ACL を設定します。

(注) acl-id は、アクセス リスト名、または番号です。

ステップ 5

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

aaa new-model

AAA をイネーブルにします。

ステップ 7

aaa authorization network default group radius

認可メソッドを local に設定します。認可メソッドを削除するには、no aaa authorization network default group radius コマンドを使用します。

ステップ 8

ip device tracking

IP デバイス トラッキング テーブルをイネーブルにします。

IP デバイス トラッキング テーブルをディセーブルにするには、no ip device tracking グローバル コンフィギュレーション コマンドを使用します。

ステップ 9

ip device tracking probe [ count | interval | use-svi ]

(任意)IP デバイス トラッキング テーブルを設定します。

count count:スイッチが ARP プローブを送信する回数を設定します。指定できる範囲は 1 ~ 5 です。デフォルトは 3 です。

interval interval:スイッチが、ARP プローブを再送する前に、応答を待つ時間を秒数で設定します。指定できる範囲は 30 ~ 300 秒です。デフォルトは 30 秒です。

use-sv i:ARP プローブのソースとして、Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)を使用します。

ステップ 10

radius-server vsa send authentication

ベンダー固有属性を認識および使用するようにネットワーク アクセス サーバを設定します。

(注) ダウンロード可能な ACL は動作可能でなければなりません。

ステップ 11

end

特権 EXEC モードに戻ります。

ステップ 12

show ip device tracking all

IP デバイス トラッキング テーブルのエントリに関する情報を表示します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、ダウンロード可能なポリシーに対するスイッチの設定方法について説明します。

Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default group radius
Switch(config)# ip device tracking
Switch(config)# ip access-list extended default_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server vsa send authentication
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip access-group default_acl in
Switch(config-if)# exit

VLAN ID ベースの MAC 認証の設定

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

mab request format attribute 32 vlan access-vlan

VLAN ID ベースの MAC 認証をイネーブルにします。

ステップ 3

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

VLAN ID ベースの MAC 認証のステータスを確認するための show コマンドはありません。 debug radius accounting 特権 EXEC コマンドを使用して、RADIUS Attribute 32 を確認することができます。このコマンドの詳細については、次の URL にある『 Cisco IOS Debug Command Reference, Release 12.2 』を参照してください。

http://www.cisco.com/en/US/docs/ios/debug/command/reference/db_q1.html#wp1123741

次の例では、スイッチで VLAN ID ベースの MAC 認証をグローバルにイネーブルにする方法を示します。

Switch# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# mab request format attribute 32 vlan access-vlan
Switch(config-if)# exit

柔軟な認証順序の設定

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

authentication order dot1x | mab {webauth}

(任意)ポート上で使用される認証方式の順序を設定します。

ステップ 4

authentication priority dot1x | mab {webauth}

(任意)認証方式をポート プライオリティ リストに追加します。

ステップ 5

show authentication

(任意)設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、ポートで 802.1x 認証をまず試行するように設定してから、フォールバック方式に Web 認証を指定する方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet 1/0/1
Switch(config)# authentication order dot1x webauth

Open1x の設定

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

authentication control-direction {both | in}

(任意)ポート制御を単一方向または双方向に設定します。

ステップ 4

authentication fallback name

(任意)802.1x 認証をサポートしないクライアント用のフォールバック方式として Web 認証を使用するようポートを設定します。

ステップ 5

authentication host-mode [multi-auth | multi-domain | multi-host | single-host]

(任意)ポート上で認証マネージャ モードを設定します。

ステップ 6

authentication open

(任意)ポート上でオープン アクセスをイネーブルまたはディセーブルにします。

ステップ 7

authentication order dot1x | mab {webauth}

(任意)ポート上で使用される認証方式の順序を設定します。

ステップ 8

authentication periodic

(任意)ポート上で再認証をイネーブルまたはディセーブルにします。

ステップ 9

authentication port-control {auto | force-authorized | force-un authorized}

(任意)ポートの許可ステートの手動制御をイネーブルにします。

ステップ 10

show authentication

(任意)設定を確認します。

ステップ 11

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、ポートでオープン 1x を設定する方法を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet 1/0/1
Switch(config)# authentication control-direction both
Switch(config)# authentication fallback profile1
Switch(config)# authentication host-mode multi-auth
Switch(config)# authentication open
Switch(config)# authentication order dot1x webauth
Switch(config)# authentication periodic
Switch(config)# authentication port-control auto

ポートで 802.1x 認証をディセーブル化

ポートで 802.1x 認証をディセーブルにするには、 no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

ポートで 802.1x 認証をディセーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no dot1x pae

ポートで 802.1x 認証をディセーブルにします。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートを 802.1x ポート アクセス エンティティ(PAE)オーセンティケータとして設定するには、 dot1x pae authenticator インターフェイス コンフィギュレーション コマンドを使用します。このオーセンティケータは、ポートで IEEE 802.1x をイネーブルにしますが、このポートに接続されているクライアントの認証を許可しません。

次の例では、ポートの 802.1x 認証をディセーブルにする方法を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# no dot1x pae authenticator

802.1x 認証設定のデフォルト値へのリセット

802.1x 認証設定をデフォルト値にリセットするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定するポートを指定します。

ステップ 3

dot1x default

802.1x パラメータをデフォルト値にリセットします。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show authentication interface-id

または

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x の統計情報およびステータスの表示

すべてのポートに関する 802.1x 統計情報を表示するには、 show dot1x all statistics 特権 EXEC コマンドを使用します。特定のポートに関する 802.1x 統計情報を表示するには、 show dot1x statistics interface interface-id 特権 EXEC コマンドを使用します。

スイッチについて 802.1x 管理および動作のステータスを表示するには、 show dot1x all [ details | statistics | summary ] 特権 EXEC コマンドを使用します。特定のポートに関する 802.1x 管理および動作ステータスを表示するには、 show dot1x interface interface-id 特権 EXEC コマンドを使用します。

Cisco IOS Release 12.2(55)SE 以降では、 no dot1x logging verbose グローバル コンフィギュレーション コマンドを使用して、詳細 802.1x 認証メッセージをフィルタリングできます。「認証マネージャの CLI コマンド」を参照してください。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。