Catalyst 2940 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA2
802.1xポート ベース認証の設定
802.1xポート ベース認証の設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

802.1xポート ベース認証の設定

802.1xポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

802.1xアカウンティング

802.1xホスト モード

ポート セキュリティを使用した802.1xの利用

音声VLANポートを使用した802.1xの利用

VLAN割り当てを使用した802.1xの利用

ゲストVLANを使用した802.1xの利用

802.1x認証の設定

802.1xのデフォルト設定

802.1x設定時の注意事項

以前のソフトウェア リリースからのアップグレード

802.1x認証のイネーブル化

スイッチとRADIUSサーバ間の通信設定

定期的な再認証のイネーブル化

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

ホスト モードの設定

ゲストVLANの設定

802.1x設定のデフォルト値へのリセット

802.1x認証の設定

802.1xアカウンティングの設定

802.1xの統計情報およびステータスの表示

802.1xポート ベース認証の設定

この章では、不正な装置(クライアント)によるネットワーク アクセスを防止するため、Catalyst 2940スイッチでIEEE 802.1xポート ベース認証を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「802.1xポート ベース認証の概要」

「802.1x認証の設定」

「802.1xの統計情報およびステータスの表示」

802.1xポート ベース認証の概要

IEEE 802.1x規格では、一般の人がアクセス可能なポートから不正なクライアントがLANに接続しないように規制する、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたはLANが提供するサービスを利用できるようにします。

802.1xアクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由ではExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、802.1xポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「802.1xアカウンティング」

「802.1xホスト モード」

「ポート セキュリティを使用した802.1xの利用」

「音声VLANポートを使用した802.1xの利用」

「VLAN割り当てを使用した802.1xの利用」

「ゲストVLANを使用した802.1xの利用」

装置の役割

802.1xポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図 7-1を参照)。

図 7-1 802.1xにおける装置の役割

 

クライアント ― LANおよびスイッチ サービスにアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーション上では、Microsoft Windows XPオペレーティング システムで提供されるような、802.1x準拠のクライアント ソフトウェアが稼働していなければなりません(クライアントは、IEEE 802.1x仕様では サプリカント といいます)。


) Windows XPのネットワーク接続および802.1x認証に関しては、次のURLにある「Microsoft Knowledge Base」を参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントにLANおよびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。このリリースでは、Extensible Authentication Protocol(EAP)拡張機能を備えたRADIUSセキュリティ システムだけが、サポート対象の認証サーバです。Cisco Secure Access Control Serverバージョン3.0以上で使用できます。RADIUSはクライアント/サーバ モデルで動作し、RADIUSサーバと1つまたは複数のRADIUSクライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) ― クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAPフレームのカプセル化とカプセル化解除、および認証サーバとの対話を処理する、RADIUSクライアントが含まれています。

スイッチがEAPOLフレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUSフォーマットに再カプセル化されます。カプセル化ではEAPフレームの変更は行われず、認証サーバはネイティブ フレーム フォーマットのEAPをサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りのEAPフレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として機能するデバイスとしては、Catalyst 3750、Catalyst 3560、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、またはワイヤレス アクセス ポイントなどが挙げられます。これらの装置では、RADIUSクライアントおよび802.1xをサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチは、リンク ステートがダウンからアップに移行した時点で認証を行います。スイッチはまた、ポートがアップ状態でまだ認証されていない間定期的に認証を行います。その場合、スイッチはEAP-Request/Identityフレームをクライアントに送信して識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identityフレームで応答します。

ただし、クライアントが起動時にスイッチからのEAP-Request/Identityフレームを受信しなかった場合、クライアントはEAPOL-Startフレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で802.1xがイネーブルに設定されていないか、またはサポートされていない場合には、クライアントからのEAPOLフレームはすべて廃棄されます。クライアントが認証の開始を3回試みてもEAP-Request/Identityフレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間でEAPフレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われるEAPフレーム交換は、使用する認証方式によって異なります。図 7-2に、クライアントがRADIUSサーバとの間でOne-Time-Password(OTP;ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図 7-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートによっては、スイッチはクライアントのネットワークへのアクセスを許可することができます。ポートは最初、 無許可 ステートです。このステートでは、音声VLANポートとして設定されていないポートは802.1x、CDP、およびSTPパケットを除くすべての入および出トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに変更し、クライアントのトラフィック送受信を通常どおりに許可します。ポートが音声VLANポートとして設定されると、ポートはクライアントが認証に成功する前にVoIPトラフィックおよび802.1xプロトコル パケットを許可します。

802.1xをサポートしていないクライアントが、無許可ステートの802.1xポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1x対応のクライアントが、802.1x標準の稼働していないポートに接続すると、クライアントはEAPOL-Startフレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― 802.1x認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはインターフェイスを介してクライアントに認証サービスを提供することができません。

auto ― 802.1x認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのはEAPOLフレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、またはEAPOL-Startフレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントのMACアドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoffメッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOL-Logoffフレームを受信した場合に、ポートは無許可ステートに戻ります。

802.1xアカウンティング

IEEE 802.1x規格では、ユーザがネットワーク アクセスを許可され、認証される方法を定義していますが、ネットワークの使用を追跡しません。802.1xアカウンティングは、デフォルトでディセーブルです。802.1xアカウンティングをイネーブルにして、802.1x対応のポート上での次のアクティビティをモニタできます。

ユーザが正常に認証する。

ユーザがログオフする。

リンクダウンが発生する。

再認証が正常に行われる。

再認証が失敗する。

スイッチでは、802.1xアカウンティング情報を記録しません。その代わりに、この情報をRADIUSサーバに送信します。RADIUSサーバは、アカウンティング メッセージを記録するよう設定される必要があります。

802.1xホスト モード

シングルホスト モード、またはマルチホスト モードで802.1xポートを設定できます。シングル ホスト モード(802.1xにおける装置の役割を参照)では、802.1x対応のスイッチ ポートにはクライアントが1つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOLを送信することによりクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに変わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モードでは、複数のホストを1つの802.1x対応ポートに接続することができます。図 7-3にワイヤレスLANでの802.1xポート ベースの認証を示します。このモードでは、接続されたクライアントのうち1つが許可されれば、すべてのクライアントのネットワーク アクセスが許可されます。ポートが無許可ステートになると(再認証が失敗した場合、またはEAPOL-Logoffメッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

マルチホスト モードがイネーブルになると、802.1xを使用してポートおよびポート セキュリティを認証して、クライアントを含むすべてのMACアドレスのネットワーク アクセスを管理することができます。

図 7-3 マルチホスト モードの例

 

ポート セキュリティを使用した802.1xの利用

シングルホスト モードまたはマルチホスト モードのどちらでもポート セキュリティを使用した802.1xポートを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定する必要があります)。ポートでポート セキュリティおよび802.1xをイネーブルに設定すると、802.1xはそのポートを認証し、ポート セキュリティはそのクライアントを含むすべてのMACアドレスに対するネットワーク アクセスを管理します。この場合、802.1xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、802.1xとポート セキュリティの間には次のような相互関係があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントのMACアドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細については、「セキュリティ違反」を参照してください。

802.1xクライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になった場合、ポートは無許可ステートになり、すべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

シングルホスト モードまたはマルチホスト モードのいずれの場合でも、802.1xポート上でポート セキュリティと音声VLANを同時に設定できます。ポート セキュリティは、Voice VLAN Identifier(VVID;音声VLAN ID)およびPort VLAN Identifier(PVID;ポートVLAN ID)の両方に適用されます。

802.1xクライアント アドレスが手動でポート セキュリティ テーブルから削除された場合、 dot1x re-authenticate イネーブルEXECコマンドを入力してクライアントを再認証することを推奨します。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

音声VLANポートを使用した802.1xの利用

音声VLANポートは、次の2つのVLAN IDと連動する特殊なアクセス ポートです。

IP Phoneとの間の音声トラフィックを伝送するVVID。VVIDはポートに接続されたIP Phoneの設定に使用されます。

IP Phoneを通じてスイッチに接続されたワークステーションとの間のデータ トラフィックを伝送するPVID。PVIDはポートのネイティブVLANです。

シングルホスト モードでは、IP Phoneだけが音声VLANで許可されます。マルチホスト モードでは、サプリカントがPVIDで認証されれば、追加のクライアントは音声VLANでトラフィックを送信することができます。マルチホスト モードがイネーブルになると、サプリカント認証はPVIDとVVIDの両方に影響を与えます。

IP Phoneからの最初のCDPメッセージのあと、リンクとデバイスのMACアドレスが存在する場合、音声VLANポートがアクティブになります。Cisco IP Phoneは他のデバイスからのCDPメッセージをリレーしません。そのため、複数のCisco IP Phoneが連続で繋がっている場合、スイッチは自身に接続された方向にある1つのIP Phoneしか認識しません。802.1xが音声VLANポート上でイネーブルの場合、スイッチは認識できないCisco IP Phone(1ホップ以上先)からのパケットは廃棄します。

また、ポート上で802.1xがイネーブルになっている場合、音声VLANの機能を持つポートVLANの設定を行うことはできません。

音声VLANの詳細については、「音声VLANの設定」を参照してください。

VLAN割り当てを使用した802.1xの利用

VLAN割り当てを使用することによりあるユーザのネットワーク アクセスを制限することができます。ポートの802.1x認証が成功すると、RADIUSサーバはVLAN割り当てを送信してスイッチ ポートを設定します。RADIUSサーバのデータベースは、ユーザ名とVLANのマッピングを維持し、スイッチ ポートに接続するクライアントのユーザ名に基づいてVLANを割り当てます。

スイッチとRADIUSサーバ上で設定された場合、VLAN割り当てを使用した802.1xには次の特性があります。

RADIUSサーバからVLANが提供されない場合、または802.1x許可がディセーブルの場合、認証が成功するとポートはアクセスVLANに設定されます。

802.1x許可がイネーブルで、RADIUSサーバからのVLAN情報が無効の場合、ポートは無許可ステートに戻り、設定済みのアクセスVLANにとどまります。これにより、設定エラーによって不適切なVLANに予期せぬポートが現れることを防ぎます。

設定エラーには、間違ったVLAN ID、存在しないVLAN IDの指定、または音声VLAN IDへの割り当て試行などがあります。

802.1x許可がイネーブルで、RADIUSサーバからのすべての情報が有効の場合、ポートは認証後、指定したVLANに配置されます。

802.1xポートで複数ホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じVLAN(RADIUSサーバにより指定)に配置されます。

ポート上で802.1xおよびポート セキュリティがイネーブルの場合、ポートはRADIUSサーバによって割り当てられたVLANに配置されます。

802.1xがポートでディセーブルの場合、設定済みのアクセス VLANに戻ります。

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセスVLANに配置されます。

802.1xポートが認証され、RADIUSサーバによって割り当てられたVLANに配置されると、そのポートのアクセスVLAN設定への変更は有効になりません。

トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当ての場合、VLAN割り当て機能を使用した802.1xはサポートされません。

VLAN割り当てを設定するには、次の作業を実行する必要があります。

AAA認証をイネーブルにします。

802.1xをイネーブルにします(アクセス ポートで802.1xを設定すると、VLAN割り当て機能は自動的にイネーブルになります)。

RADIUSサーバにベンダー固有のトンネル属性を割り当てます。RADIUSサーバは次の属性をスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN名またはVLAN ID

属性[64]は、値 VLAN (タイプ13)でなければなりません。属性[65]は、値 802 (タイプ6)でなければなりません。属性[81]は、802.1x認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。

トンネル属性の例については、「ベンダー固有のRADIUS属性を使用するスイッチ設定」を参照してください。

ゲストVLANを使用した802.1xの利用

スイッチ上の各802.1xポートにゲストVLANを設定し、クライアントに対して限定的なサービスを提供できます(802.1xクライアントのダウンロード方法など)。これらのクライアントは802.1x認証用にシステムをアップグレードできる場合がありますが、一部のホスト(Windows 98システムなど)は802.1x対応ではありません。

ゲストVLANを802.1xポートでイネーブルにすると、認証サーバがEAPOL Request/Identityフレームに対する応答を受信しない場合、またはEAPOLパケットがクライアントによって送信されない場合、スイッチはクライアントをゲストVLANに割り当てます。

Cisco IOS Release 12.1(22)EA2より前のリリースでは、スイッチはEAPOLパケット ヒストリを維持せず、EAPOLパケットがインターフェイス上で検出されたかどうかに関わらずゲストVLANへの認証アクセスに失敗したクライアントを許可していました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、このオプション動作をイネーブルにすることができます。

Cisco IOS Release 12.1(22)EA2以降では、スイッチはEAPOLパケット ヒストリを維持します。リンクの存続時間中にインターフェイスで別のEAPOLパケットが検出されると、ネットワーク アクセスは拒否されます。リンクが失われた時点でEAPOLヒストリはリセットされます。

スイッチ ポートがゲストVLANに移されると、アクセスを許可される802.1x対応クライアント数に制限がなくなります。802.1x対応のクライアントがゲストVLANの設定された同じポートに加入する場合、このポートはユーザ設定のアクセスVLAN内で無許可ステートになり、認証が再び開始されます。

ゲストVLANは、シングルホスト モードまたはマルチホスト モードの802.1xポートでサポートされます。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能はトランク ポート上ではサポートされず、アクセス ポート上でだけサポートされます。

設定手順については、「ゲストVLANの設定」を参照してください。

802.1x認証の設定

ここでは、スイッチに802.1xポート ベース認証を設定する手順について説明します。

「802.1xのデフォルト設定」

「802.1x設定時の注意事項」

「以前のソフトウェア リリースからのアップグレード」

「802.1x認証のイネーブル化」(必須)

「スイッチとRADIUSサーバ間の通信設定」(必須)

「定期的な再認証のイネーブル化」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「ホスト モードの設定」(任意)

「ゲストVLANの設定」(任意)

「802.1x設定のデフォルト値へのリセット」(任意)

「802.1x認証の設定」(任意)

「802.1xアカウンティングの設定」(任意)

802.1xのデフォルト設定

表 7-1 に、802.1xのデフォルト設定を示します。

 

表 7-1 802.1xのデフォルト設定

機能
デフォルト設定

Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)

ディセーブル

RADIUSサーバ

IPアドレス

UDP認証ポート

 

指定なし

1812

指定なし

スイッチの802.1xイネーブル ステート

ディセーブル

インターフェイス単位の802.1xイネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600秒

待機時間

60秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30秒(スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数)

ホスト モード

シングルホスト モード

ゲストVLAN

指定なし

クライアント タイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。 この値は設定できません。)

802.1x設定時の注意事項

802.1x認証の設定時に関する注意事項を次に示します。

802.1xをイネーブルにすると、他のレイヤ2機能がイネーブルになる前に、ポートが認証されます。

802.1xプロトコルはレイヤ2のスタティック アクセス ポートおよび音声VLANポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをトランクに変更しようとしても、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをダイナミック ポートに変更しようとしても、ポート モードは変更されません。

ダイナミックアクセス ポート ― ダイナミックアクセス(VLAN Query Protocol [VQP])ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートを変更してダイナミックVLANを割り当てようとしても、エラー メッセージが表示され、VLAN設定は変更されません。

EtherChannelポート ― EtherChannelで、アクティブまたはまだアクティブではないメンバーのポートを、802.1xポートとして設定しないでください。EtherChannelポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポート ― SPAN宛先ポートであるポートで、802.1xをイネーブルにできます。ただし、ポートがSPANの宛先ポートとして削除されるまで、802.1xはディセーブルになります。SPAN送信元ポートでは802.1xをイネーブルにできます。

RSPAN VLANまたは音声VLANを除く任意のVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

また、ポート上で802.1xがイネーブルになっている場合、音声VLANの機能を持つポートVLANの設定を行うことはできません。

トランク ポート、ダイナミック ポート、またはVMPSによるダイナミック アクセス ポート割り当ての場合、VLAN割り当て機能を使用した802.1xはサポートされません。

dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチで802.1xをグローバルにイネーブルにする前に、802.1xおよびEtherChannelが設定されているインターフェイスからEtherChannel設定を削除してください。

EAP-Transparent LAN Services(TLS)およびEAP-MD5による802.1x認証用に、Cisco Access Control Server(ACS)アプリケーションが稼働する装置を使用していて、スイッチ上でCisco IOS Release 12.1(14)EA1が稼働している場合は、装置ではACS Version 3.2.1以上を稼働させてください。

DHCPクライアントが接続されている802.1xポートのゲストVLANを設定したあとで、DHCPサーバからホストIPアドレスを入手する必要があるかもしれません。また、クライアントのDHCPプロセスがタイムアウトとなり、DHCPサーバからホストIPアドレスを入手しようとする前に設定を変更してスイッチ上で802.1x再認証プロセスを再開することもできます。802.1x認証プロセスの設定(802.1x待機時間およびスイッチからクライアントへの送信時間)を削減してください。

以前のソフトウェア リリースからのアップグレード

Cisco IOS Release 12.1(19)EA1では、802.1xの実装により以前のリリースから内容が変更されました。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドになり、さらに新しいコマンドが追加されました。

スイッチ上に802.1xを構成して、Cisco IOS Release 12.1(19)EA1以上にアップグレードする場合、設定ファイルに新しいコマンドが含まれておらず、802.1xは正常に動作しません。アップグレードを完了させてから、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して802.1xをグローバルにイネーブルにしてください。以前のリリースのインターフェイスで、802.1xがマルチホスト モードで実行されている場合、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再構成してください。

802.1x認証のイネーブル化

802.1xポート ベース認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

VLAN割り当てを可能にするには、AAA許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

802.1x認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードのあとにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 については、 group radius キーワードを入力して、すべてのRADIUSサーバのリストを使用して認証します。


) 他のキーワードはコマンドライン ヘルプ ストリングには表示されますが、defaultおよびgroup radiusキーワードだけはサポートされません。


ステップ 4

dot1x system-auth-control

スイッチ上で802.1x認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)VLAN割り当てなどネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。

ステップ 6

interface interface-id

802.1x認証対応のクライアントに接続されるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

dot1x port-control auto

インターフェイス上で802.1x認証をイネーブルにします。

機能の相互運用については、「802.1x設定時の注意事項」を参照してください。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show dot1x

設定を確認します。

コマンド出力の802.1x Port SummaryセクションのStatusカラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。802.1x AAA許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で802.1x 認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。

次に、ポート上でAAAおよび802.1xをイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end

スイッチとRADIUSサーバ間の通信設定

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号によって識別します。IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、サーバの同一IPアドレス上にある複数のUDPポートにRADIUS要求を送信できるようになります。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(たとえば認証など)を設定した場合、2番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUSホスト エントリは、設定した順序に従って試行されます。

スイッチにRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

スイッチにRADIUSサーバ パラメータを設定します。

hostname | ip-address には、 リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトの設定は1812です。

key string には、スイッチとRADIUSサーバ上で動作するRADIUSデーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ずradius-server hostコマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵はRADIUSデーモンで使用する暗号鍵に一致している必要があります。


複数のRADIUSサーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレス172.120.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号鍵をRADIUSサーバ上の鍵と一致する rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべてのRADIUSサーバについて、タイムアウト、再送信回数、および暗号鍵の値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべてのRADIUSサーバの設定」を参照してください。

RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチのIPアドレス、およびサーバとスイッチで共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。

定期的な再認証のイネーブル化

802.1xクライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600秒おきに再認証が試行されます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period seconds

再認証の間隔(秒)を指定します。

指定できる範囲は 1~65535秒 です。デフォルトは3600秒です。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証の試行時間をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を4000秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証のイネーブル化」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試行します。このアイドル時間は、quiet-periodの値によって決まります。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は1~65535秒です。デフォルトは60秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を30秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからのEAP-Request/Identityフレームに対し、EAP-Response/Identityフレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は15~65535秒です。デフォルトは30秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を60秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントにEAP-Request/Identityフレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数を設定します。指定できる範囲は1~10回です。デフォルトは2回です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity要求を送信する回数を5に設定する例を示します。

Switch(config-if)# dot1x max-req 5

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポートで、マルチホスト(複数のクライアント)の接続を可能にするには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

マルチホストが間接的に接続しているインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

802.1x許可ポートでマルチホストをイネーブルにします。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートでマルチホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートをイネーブルにして、マルチホストの接続を可能にする例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

ゲストVLANの設定

ゲストVLANを設定すると、サーバがEAPOL Request/Identityフレームに対する応答を受信しない場合、802.1x対応でないクライアントはゲストVLANに置かれます。802.1x対応であるけれども認証に失敗したクライアントはネットワークへのアクセスを許可されません。スイッチは、シングルホスト モードまたはマルチホスト モードのゲストVLANをサポートします。

ゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象インターフェイス タイプについては、「802.1x設定時の注意事項」を参照してください。

ステップ 3

dot1x guest-vlan vlan-id

アクティブVLANを802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANを802.1xゲストVLANとして設定できます。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲストVLANをディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

これは、ポート上でVLAN 9を802.1xゲストVLANとしてイネーブルにする例です。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x guest-vlan 9
 

ここでは、スイッチ上で待機時間を3に設定し、スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を15秒に設定し、802.1xポートがDHCPクライアントに接続されるときにVLAN2を802.1xゲストVLANとしてイネーブルにする例を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、オプションのゲストVLAN動作をイネーブルにすることができます。イネーブルになると、スイッチはEAPOLパケット ヒストリを維持せず、EAPOLパケットがインターフェイス上で検出されたかどうかに関わらずゲストVLANへの認証アクセスに失敗したクライアントを許可します。

オプションのゲストVLAN動作をイネーブルにして、ゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x guest-vlan supplicant

スイッチ上でオプションのゲストVLAN動作をグローバルにイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象インターフェイス タイプについては、「802.1x設定時の注意事項」を参照してください。

ステップ 4

dot1x guest-vlan vlan-id

アクティブVLANを802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANを802.1xゲストVLANとして設定できます。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

オプションのゲストVLAN動作をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。ゲストVLANを削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

これは、オプションのゲストVLAN動作をイネーブルにして、VLAN 5を802.1xゲストVLANとして指定する例です。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5
 

802.1x設定のデフォルト値へのリセット

802.1x設定をデフォルト値に戻すには、イネーブルEXECモードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定可能な802.1xパラメータをデフォルト値に戻します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x認証の設定

802.1xポート ベース認証を設定するには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られない場合、ソフトウェアは方式リスト内の次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試行し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試行されることはありません。

ユーザ単位のAccess Control List(ACL;アクセス制御リスト)またはVLAN割り当てを可能にするには、AAA許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

次に、802.1x AAAのプロセスを示します。


ステップ 1 ユーザがスイッチ上のポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 必要に応じて、VLAN割り当てをRADIUSサーバの設定に基づいてイネーブルにします。

ステップ 4 スイッチは、アカウンティング サーバに開始メッセージを送信します。

ステップ 5 必要に応じて、再認証が実行されます。

ステップ 6 スイッチは、再認証の結果に基づいた暫定的なアカウンティング アップデートをアカウンティング サーバに送信します。

ステップ 7 ユーザはポートとの接続を切断します。

ステップ 8 スイッチは、アカウンティング サーバに停止メッセージを送信します。


 

802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1 [ method2 ...]

802.1x認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードのあとにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

次のキーワードのうち、少なくとも1つを指定します。

group radius ― すべてのRADIUSサーバのリストを使用して認証します。

none ― 認証を使用しません。クライアントから提供される情報を使用することなく、クライアントはスイッチによって自動的に認証されます。

ステップ 4

dot1x system-auth-control

スイッチ上で802.1x認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ユーザ単位のACL、またはVLAN割り当てなどの、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。


) ユーザ単位のACLには、シングルホスト モードを設定する必要があります。この設定がデフォルトです。


ステップ 6

interface interface-id

802.1x認証対応のクライアントに接続されるポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

dot1x port-control auto

ポート上で802.1x認証をイネーブルにします。

機能の相互運用については、「802.1x設定時の注意事項」を参照してください。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show dot1x

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1xアカウンティングの設定

802.1xアカウンティングを使用してAAAシステム アカウンティングをイネーブルにすることにより、アカウンティングRADIUSサーバ、システム リロード イベントがロギング用に送信されます。その結果、サーバはアクティブな802.1xセッションがすべて終了したことを推測できます。

RADIUSでは信頼できないUDP伝送プロトコルを使用するため、ネットワーク状況が悪いとアカウンティング メッセージが失われる場合があります。設定可能な回数のアカウンティング再送信要求のあと、スイッチがRADIUSサーバからアカウンティング応答メッセージを受信しない場合は、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されない場合は、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) RADIUSサーバが、アカウンティング タスク(開始、停止、暫定アップデートのメッセージ、およびタイム スタンプのロギングなど)を実行するよう設定する必要があります。これらの機能を有効にするには、RADIUSサーバのNetwork Configurationタブにある[Update/Watchdog packets from this AAA client]のロギングをイネーブルにします。次に、RADIUSサーバのSystem Configurationタブにある[CVS RADIUS Accounting]をイネーブルにします。


スイッチでAAAをイネーブルに設定したあと802.1xアカウンティングを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべてのRADIUSサーバのリストを使用して、802.1xアカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべてのRADIUSサーバのリストを使用して)、スイッチのリロード時にシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

show radius statistics イネーブルEXECコマンドを使用して、アカウンティング応答メッセージを受信していないRADIUSメッセージ数を表示します。

次に、802.1xアカウンティングを設定する例を示します。最初のコマンドにより、アカウンティング用のUDPポートとして1813を指定して、RADIUSサーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

802.1xの統計情報およびステータスの表示

すべてのインターフェイスに関する802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のインターフェイスに関する802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチに関する802.1x管理および動作ステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のインターフェイスに関する802.1x管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。