Catalyst 2940 スイッチ ソフトウェア コンフィギュレーション ガイド 12.1(22)EA11 and Later
IEEE 802.1x ポート ベース認証の設定
IEEE 802.1x ポート ベース認証の設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

IEEE 802.1x ポート ベース認証の設定

IEEE 802.1x ポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1x ホスト モード

IEEE 802.1x アカウンティング

IEEE 802.1x アカウンティングの属性値ペア

IEEE 802.1x 認証の VLAN 割り当ての利用

IEEE 802.1x 認証のゲスト VLAN の利用

IEEE 802.1x 認証の制限 VLAN の利用

IEEE 802.1x 認証の音声 VLAN の利用

IEEE 802.1x 認証のポート セキュリティの利用

IEEE 802.1x 認証の Wake-On-LAN の利用

IEEE 802.1x 認証と MAC 認証バイパスの併用

NAC レイヤ 2 IEEE 802.1x 検証

IEEE 802.1x 認証の設定

デフォルトの IEEE 802.1x 認証の設定

IEEE 802.1x 認証設定時の注意事項

IEEE 802.1x 認証

VLAN 割り当て、ゲスト VLAN、制限 VLAN

以前のソフトウェア リリースからのアップグレード

IEEE 802.1x 認証の設定

スイッチと RADIUS サーバ間の通信設定

ホスト モードの設定

定期的な再認証のイネーブル化

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

IEEE 802.1x アカウンティングの設定

ゲスト VLAN の設定

制限 VLAN の設定

IEEE 802.1x 認証の WoL の設定

MAC 認証バイパスの設定

NAC レイヤ 2 IEEE 802.1x 検証の設定

IEEE 802.1x 設定のデフォルト値へのリセット

IEEE 802.1x の統計情報およびステータスの表示

IEEE 802.1x ポート ベース認証の設定

この章では、Catalyst 2940 スイッチのIEEE 802.1x ポート ベース認証の設定方法について説明します。IEEE 802.1x 認証により、不正な装置(クライアント)がネットワークにアクセスするのを防止します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスおよび『Cisco IOS Security Command Reference』Release 12.1 の「RADIUS Commands」を参照してください。


この章で説明する内容は、次のとおりです。

「IEEE 802.1x ポート ベース認証の概要」

「IEEE 802.1x 認証の設定」

「IEEE 802.1x の統計情報およびステータスの表示」

IEEE 802.1x ポート ベース認証の概要

IEEE 802.1x 規格では、一般の人がアクセス可能なポートから認証されていないクライアントが LAN に接続しないように規制する、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。

IEEE 802.1x アクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、および Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックがポートを通過できるようになります。

ここでは、IEEE 802.1x ポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1x ホスト モード」

「IEEE 802.1x アカウンティング」

「IEEE 802.1x アカウンティングの属性値ペア」

「IEEE 802.1x 認証の VLAN 割り当ての利用」

「IEEE 802.1x 認証のゲスト VLAN の利用」

「IEEE 802.1x 認証の制限 VLAN の利用」

「IEEE 802.1x 認証の音声 VLAN の利用」

「IEEE 802.1x 認証のポート セキュリティの利用」

「IEEE 802.1x 認証の Wake-On-LAN の利用」

「NAC レイヤ 2 IEEE 802.1x 検証」

装置の役割

IEEE 802.1x ポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図7-1 を参照)。

図7-1 IEEE 802.1x における装置の役割

 

クライアント -- LAN およびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーション上では、Microsoft Windows XP オペレーティング システムで提供されるような、IEEE 802.1x 準拠のクライアント ソフトウェアが稼働していなければなりません(クライアントは、IEEE 802.1x 規格では サプリカント といいます)。


) Windows XP のネットワーク接続および IEEE 802.1x 認証に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ -- クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。このリリースでは、Extensible Authentication Protocol(EAP)拡張機能を備えた RADIUS セキュリティ システムだけが、サポート対象の認証サーバです。Cisco Secure Access Control Server バージョン 3.0 以上で使用できます。RADIUS はクライアント/サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) -- クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化やカプセル化解除、および認証サーバとの対話を行う RADIUS クライアントなどがあります。

スイッチが EAPOL フレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS フォーマットに再カプセル化されます。カプセル化では EAP フレームの変更は行われず、認証サーバはネイティブ フレーム フォーマットの EAP をサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として機能するデバイスとしては、Catalyst 3750、Catalyst 3560、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940 スイッチ、またはワイヤレス アクセス ポイントなどが挙げられます。これらの装置では、RADIUS クライアントおよび IEEE 802.1x 認証をサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

IEEE 802.1x 認証中は、スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチは、リンク ステートがダウンからアップに移行した時点で認証を開始します。また、ポートがアップ状態でまだ認証されていない間は定期的に認証を行います。その場合、スイッチは EAP-Request/Identity フレームをクライアントに送信して識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で IEEE 802.1x 認証がイネーブルに設定されていないか、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべてドロップされます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。認証が失敗すると、認証が再試行できます。ポートは制限されたサービスを提供する VLAN(仮想 LAN)に割り当てられるか、またはネットワーク アクセスが許可されません。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図7-2 に、クライアントが RADIUS サーバとの間で One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図7-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

IEEE 802.1x 認証中、スイッチ ポートのステートによっては、スイッチはクライアントのネットワークへのアクセスを許可できます。ポートは最初、 無許可 ステートです。このステートでは、音声 VLAN ポートとして設定されていないポートは IEEE 802.1x 認証、CDP、およびSTP パケットを除くすべての入出トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに変更し、クライアントのすべてのトラフィック送受信を通常どおりに許可します。ポートが音声 VLAN ポートとして設定されている場合は、クライアントの認証前にポートが 許可するのは VoIP トラフィックおよび IEEE 802.1x プロトコル パケットです。

IEEE 802.1x 認証をサポートしていないクライアントが、無許可ステートの IEEE 802.1x ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワークへのアクセスを許可されません。

反対に、IEEE 802.1x 対応のクライアントが、IEEE 802.1x 規格を稼働していないポートに接続すると、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized -- IEEE 802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これはデフォルトの設定です。

force-unauthorized -- クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはインターフェイスを介してクライアントに認証サービスを提供できません。

auto -- IEEE 802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、または EAPOL-Start フレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoff メッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL-Logoff フレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1x ホスト モード

シングルホスト モード、またはマルチホスト モードで IEEE 802.1x ポートを設定できます。シングル ホスト モード(図7-1を参照)では、IEEE 802.1x 対応のスイッチ ポートにはクライアントが 1 つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL を送信することによりクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに変わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モードでは、複数のホストを 1 つの IEEE 802.1x 対応ポートに接続できます。図7-3にワイヤレス LAN での IEEE 802.1x ポート ベースの認証を示します。このモードでは、接続されたクライアントのうち 1 つが許可されれば、すべてのクライアントのネットワーク アクセスが許可されます。ポートが無許可ステートになると(再認証が失敗した場合、または EAPOL-Logoff メッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

マルチホスト モードがイネーブルになると、IEEE 802.1x 認証を使用してポートおよびポート セキュリティを認証し、クライアントを含むすべての MAC アドレスのネットワーク アクセスを管理できます。

図7-3 マルチホスト モードの例

 

IEEE 802.1x アカウンティング

IEEE 802.1x 規格では、ユーザがネットワーク アクセスを許可され、認証される方法を定義していますが、ネットワークの使用を追跡しません。IEEE 802.1x アカウンティングは、デフォルトでディセーブルです。IEEE 802.1x アカウンティングをイネーブルにして、IEEE 802.1x 対応のポート上での次のアクティビティをモニタできます。

ユーザが正常に認証する。

ユーザがログオフする。

リンクダウンが発生する。

再認証が正常に行われる。

再認証が失敗する。

スイッチでは、IEEE 802.1x アカウンティング情報を記録しません。その代わりに、この情報を RADIUS サーバに送信します。RADIUS サーバは、アカウンティング メッセージを記録するよう設定される必要があります。

IEEE 802.1x アカウンティングの属性値ペア

RADIUS サーバに送信される情報は、Attribute-Value(AV; 属性値)ペアの形式で表示されます。これらの AV ペアは、異なるアプリケーションのデータを提供します(たとえば課金アプリケーションでは、RADIUS パケットの Acct-Input-Octet または Acct-Output-Octet の属性にある情報が必要です)。

AV ペアは、IEEE 802.1x アカウンティングが設定されたスイッチにより自動的に送信されます。スイッチが送信する RADIUS アカウンティグ パケットには、次の 3 タイプがあります。

START -- 新しいユーザ セッションを開始するときに送信されます。

INTERIM -- 既存のセッション中に、更新のために送信されます。

STOP -- セッションが終了するときに送信されます。

表7-1 に、AV ペアがスイッチに送信される時を示します。

 

表7-1 アカウンティング AV ペア

属性番号
AV ペア名
START
INTERIM
STOP

属性 [1]

User-Name

常時

常時

常時

属性 [4]

NAS-IP-Address

常時

常時

常時

属性 [5]

NAS-Port

常時

常時

常時

属性 [8]

Framed-IP-Address

なし

時々 1

時々 1

属性 [25]

Class

常時

常時

常時

属性 [30]

Called-Station-ID

常時

常時

常時

属性 [31]

Calling-Station-ID

常時

常時

常時

属性 [40]

Acct-Status-Type

常時

常時

常時

属性 [41]

Acct-Delay-Time

常時

常時

常時

属性 [42]

Acct-Input-Octets

なし

なし

常時

属性 [43]

Acct-Output-Octets

なし

なし

常時

属性 [44]

Acct-Session-ID

常時

常時

常時

属性 [45]

Acct-Authentic

常時

常時

常時

属性 [46]

Acct-Session-Time

なし

なし

常時

属性 [49]

Acct-Terminate-Cause

なし

なし

常時

属性 [61]

NAS-Port-Type

常時

常時

常時

1.Framed-IP-Address の AV ペアは、Dynamic Host Control Protocol(DHCP)スヌーピング バインディング テーブル内のホストに有効な DHCP バインディングが存在する場合にのみ送信されます。

AV ペアの詳細については、RFC 3580「IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines」を参照してください。

IEEE 802.1x 認証の VLAN 割り当ての利用

VLAN 割り当てを使用することにより特定のユーザのネットワーク アクセスを制限できます。ポートの IEEE 802.1x 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信してスイッチ ポートを設定します。RADIUS サーバのデータベースは、ユーザ名と VLAN のマッピングを維持し、スイッチ ポートに接続するクライアントのユーザ名に基づいて VLAN を割り当てます。

スイッチと RADIUS サーバ上で設定された場合、IEEE 802.1x 認証の VLAN 割り当てには次の特性があります。

RADIUS サーバから VLAN が提供されない場合、または IEEE 802.1x 認証がディセーブルの場合、認証が成功するとポートはアクセス VLAN に設定されます。

IEEE 802.1x 認証がイネーブルで、RADIUS サーバからの VLAN 情報が無効の場合、ポートは無許可ステートに戻り、設定済みのアクセス VLAN にとどまります。これにより、設定エラーによって不適切な VLAN に予期せぬポートが現れることを防ぎます。

設定エラーには、不正な形式の VLAN IDや存在しない VLAN ID の指定、または音声 VLAN ID への割り当て試行などがあります。

IEEE 802.1x 認証がイネーブルで、RADIUS サーバからのすべての情報が有効の場合、ポートは認証後、指定した VLAN に配置されます。

IEEE 802.1x ポートでマルチホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じ VLAN(RADIUS サーバにより指定)に配置されます。

ポート上で IEEE 802.1x 認証およびポート セキュリティがイネーブルの場合、ポートは RADIUS サーバによって割り当てられた VLAN に配置されます。

IEEE 802.1x 認証がポートでディセーブルの場合、設定済みのアクセス VLAN に戻ります。

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

IEEE 802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置されると、そのポートのアクセス VLAN 設定への変更は有効になりません。

トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当ての場合、VLAN 割り当て機能を使用した IEEE 802.1x 認証はサポートされません。

VLAN 割り当てを設定するには、次の作業を実行する必要があります。

Authentication、Authorization、Accounting(AAA; 認証、認可、アカウンティング)許可をイネーブルにします。

IEEE 802.1x 認証をイネーブルにします(アクセス ポートで IEEE 802.1x 認証を設定すると、VLAN 割り当て機能は自動的にイネーブルになります)。

RADIUS サーバにベンダー固有のトンネル属性を割り当てます。RADIUS サーバは次の属性をスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = IEEE 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

属性 [64] は、値 VLAN (タイプ 13)でなければなりません。属性 [65] は、値 IEEE 802 (タイプ 6)でなければなりません。属性 [81] は、IEEE 802.1x 認証ユーザに割り当てられた VLAN 名 または VLAN ID を指定します。

トンネル属性の例については、「ベンダー固有の RADIUS 属性を使用するスイッチ設定」を参照してください。

IEEE 802.1x 認証のゲスト VLAN の利用

スイッチ上の各 IEEE 802.1x ポートにゲスト VLAN を設定し、クライアントに対して限定的なサービスを提供できます(IEEE 802.1x クライアントのダウンロードなど)。クライアントが IEEE 802.1x 認証用にシステムをアップグレードしようとして、一部のホスト(Windows 98 システムなど)が IEEE 802.1x 対応ではなかった場合などに利用できます。

ゲスト VLAN を IEEE 802.1x ポートでイネーブルにすると、スイッチが EAP-Request/Identity フレームに対する応答を受信しない場合、または EAPOL パケットがクライアントによって送信されない場合に、スイッチはクライアントをゲスト VLAN に割り当てます。

Cisco IOS Release 12.1(22)EA2 より前のリリースでは、スイッチは EAPOL パケット ヒストリを維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関わらずゲスト VLAN への認証アクセスに失敗したクライアントを許可していました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、このオプション動作をイネーブルにできます。

Cisco IOS Release 12.1(22)EA2 以降では、スイッチは EAPOL パケット ヒストリを維持します。リンクの存続時間中にインターフェイスで EAPOL パケットが検出されると、スイッチはそのインターフェイスに接続された装置が 802.1x 対応のサプリカントであると判断し、インターフェイスはゲスト VLAN ステートに変更されません。インターフェイスのリンク ステータスが失われた時点で EAPOL ヒストリはリセットされます。インターフェイスで EAPOL パケットが検出されないと、インターフェイスはゲスト VLAN ステートに変更されます。


) インターフェイスがゲスト VLAN に変更されたあとでワイヤ上で EAPOL パケットが検出されると、インターフェイスは無許可ステートに戻り、802.1x 認証が再開されます。


スイッチ ポートがゲスト VLAN に移されると、アクセスを許可される IEEE 802.1x 非対応クライアントの数に制限がなくなります。IEEE 802.1x 対応のクライアントがゲスト VLAN の設定された同じポートに加入する場合、このポートはユーザ設定のアクセス VLAN 内で無許可ステートになり、認証が再び開始されます。

ゲスト VLAN は、シングルホスト モードまたはマルチホスト モードの IEEE 802.1x ポートでサポートされます。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

設定手順については、「ゲスト VLAN の設定」を参照してください。

IEEE 802.1x 認証の制限 VLAN の利用

スイッチ上の各 IEEE 802.1x ポートに制限 VLAN を設定して、ゲスト VLAN にアクセスできないクライアントに、制限されたサービスを提供できます。IEEE 802.1x に適合しているクライアントが、認証プロセスに失敗したため別の VLAN にアクセスできない場合に利用します。制限 VLAN により、認証サーバに有効な証明書がないユーザでも(一般的には、企業へのビジター)、制限されたサービスにアクセスできます。管理者は制限 VLAN が利用できるサービスを制御します。


) ゲスト VLAN と制限 VLAN 両方のユーザに同じサービスを提供する場合、VLAN をゲスト VLAN と制限 VLAN 両方に設定できます。


この機能を使用しないと、クライアントは認証の試行と失敗を永久に繰り返します。スイッチ ポートはスパニング ツリー ブロッキング ステートのままです。この機能を使用すると、スイッチ ポートが制限 VLAN に移行する前の、認証試行回数(デフォルト値は 3 回)を設定できます。

オーセンティケータはクライアントの認証失敗試行をカウントし、設定した最大認証試行回数を超えると、ポートは制限 VLAN に移行します。RADIUS が EAP failure で応答する、または EAP パケットを含まない空の応答を送信すると、認証失敗試行カウントは増加します。ポートが制限 VLAN に移行されると、認証失敗カウンタはリセットされます。

再認証が次に試行されるまで、認証に失敗したユーザは制限 VLAN に残されたままです。制限 VLAN にあるポートは、設定された間隔で再認証を試行します(デフォルトは 60 秒)。再認証が失敗した場合、ポートは制限 VLAN に残されます。再認証に成功した場合、ポートは 設定 VLAN または RADIUS サーバにより送信された VLAN に移行されます。再認証をディセーブルにすることもできます。再認証をディセーブルにすると、ポートが リンク ダウン または EAP ログオフ イベントを受信しないかぎり、認証プロセスは再開しません。クライアントがハブ経由で接続されている可能性がある場合、再認証をイネーブルにしておくことを推奨します。クライアントがハブからの接続を切断すると、ポートは リンク ダウン または EAP ログオフ イベントを受信しない場合があります。

ポートが制限 VLAN に移行すると、模擬の EAP 成功メッセージをクライアントに送信します。これにより、クライアントが永久に認証を試行するのを防ぎます。一部のクライアント(たとえば、Windows XP を稼働する装置)では、EAP が成功しない限り DHCP を稼働できません。

制限 VLAN はシングルホスト モードの IEEE 802.1x ポートまたはレイヤ 2 ポートでのみサポートされます。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x 制限 VLAN として設定できます。制限 VLAN 機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

この機能はポート セキュリティと連動しています。ポートが許可されると、MAC アドレスがポート セキュリティに与えられます。ポート セキュリティが MAC アドレスを許可しない、または最大セキュア アドレス カウントに達した場合、ポートは無許可ステートおよび error-disabled ステートになります。

他のセキュリティ機能(Dynamic ARP Inspection [DAI]、DHCP スヌーピング、IP 送信元ガードなど)は、制限 VLAN 上で個別に設定できます。

詳細については、「制限 VLAN の設定」を参照してください。

IEEE 802.1x 認証の音声 VLAN の利用

音声 VLAN ポートは、次の 2 つの VLAN ID と連動する特殊なアクセス ポートです。

IP Phone との間の音声トラフィックを伝送する Voice VLAN Identifier(VVID; 音声 VLAN ID)。VVID はポートに接続された IP Phone の設定に使用されます。

IP Phone を通じてスイッチに接続されたワークステーションとの間のデータ トラフィックを伝送する Port VLAN Identifier(PVID; ポート VLAN ID)。PVID はポートのネイティブ VLAN です。

シングルホスト モードでは、IP Phone だけが音声 VLAN で許可されます。マルチホスト モードでは、サプリカントが PVID で認証されれば、追加のクライアントは音声 VLAN でトラフィックを送信できます。マルチホスト モードがイネーブルになると、サプリカント認証は PVID と VVID の両方に影響を与えます。

リンクが存在すると音声 VLAN ポートがアクティブになり、IP Phone からの最初の CDP メッセージのあと、デバイスの MAC アドレスが表示されます。Cisco IP Phone は他のデバイスからの CDP メッセージをリレーしません。そのため、複数の Cisco IP Phone が連続で繋がっている場合、スイッチは自身に接続された 1 つの IP Phone しか認識しません。IEEE 802.1x 認証が音声 VLAN ポート上でイネーブルの場合、スイッチは認識できない Cisco IP Phone(2 ホップ以上先)からのパケットはドロップします。

ポート上で IEEE 802.1x 認証がイネーブルになっている場合、音声 VLAN の機能を持つポート VLAN の設定を行うことはできません。

音声 VLAN の詳細については、「音声 VLAN の設定」を参照してください。

IEEE 802.1x 認証のポート セキュリティの利用

シングルホスト モードまたはマルチホスト モードのどちらでも IEEE 802.1x ポートにポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定する必要があります)。ポートでポート セキュリティおよび IEEE 802.1x をイネーブルに設定すると、IEEE 802.1x 認証はそのポートを認証し、ポート セキュリティはそのクライアントを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。この場合、IEEE 802.1x ポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、IEEE 802.1x 認証とポート セキュリティの間には次のような相互関係があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントの MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証され、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細については、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して IEEE 802.1x クライアント アドレスを手動でポート セキュリティ テーブルから削除した場合、dot1x re-authenticate interface interface-id 特権 EXEC コマンドを使用して IEEE 802.1x クライアントを再認証してください。

IEEE 802.1x クライアントがログオフすると、ポートが無許可ステートに変更され、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になった場合、ポートは無許可ステートになり、すべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

シングルホスト モードまたはマルチホスト モードのいずれの場合でも、IEEE 802.1x ポート上でポート セキュリティと音声 VLAN を同時に設定できます。ポート セキュリティは、VVID および PVID の両方に適用されます。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

IEEE 802.1x 認証の Wake-On-LAN の利用

IEEE 802.1x の Wake-On-LAN(WoL)機能では、マジック パケットという特定のイーサネット フレームをスイッチが受信したときに、休止 PC を起動させることができます。電源が切断されたシステムに管理者が接続する必要がある環境で、この機能を使用できます。この機能は IEEE 802.1x 規格では、 単一方向制御ポート と呼ばれています。

WoLを 使用するホストが IEEE 802.1x ポート経由で接続されていて、ホストの電源が切断されると、IEEE 802.1x ポートは未許可ステートになります。この場合、ポートは EAPOL パケットの送受信しかできないため、WoL マジック パケットはホストに達しません。PC の電源が切断されると、PC は認証されず、スイッチ ポートは開きません。

スイッチで IEEE 802.1x 認証とともに WoL を使用すると、スイッチは未許可の IEEE 802.1x ポートに、マジック パケットも含めトラフィックを転送します。ポートが無許可ステートである場合、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信しますが、ネットワーク内の他の装置にパケットを送信することはできません。


) ポートで PortFast がイネーブルになっていない場合、ポートは強制的に双方向ステートになります。


dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向に設定すると、ポートはスパニング ツリー フォワーディング ステートに変更されます。ポートはホストへパケットを送信しますが、ホストからパケットを受信できません。

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向に設定すると、ポートは双方向でアクセス制御されます。ポートはホストとの間でパケットを送受信しません。

IEEE 802.1x 認証と MAC 認証バイパスの併用

MAC 認証バイパス機能を使用することにより、クライアントの MAC アドレスに基づいてクライアントを認証するようにスイッチを設定できます。たとえば、この機能をプリンタなどの装置に接続された IEEE 802.1x ポート上でイネーブルにできます。

クライアントから EAPOL の応答を待っている間に IEEE 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパスを使用してクライアントの認証を試みます。

IEEE 802.1x ポート上で MAC 認証バイパス機能がイネーブルになっている場合、スイッチは MAC アドレスをクライアントの識別情報として使用します。認証サーバは、ネットワーク アクセスが許可されたクライアント MAC アドレスのデータベースを保持します。スイッチは IEEE 802.1x ポート上でクライアントを検出すると、クライアントからの Ethernet パケットを待ちます。スイッチは、MAC アドレスに基づくユーザ名とパスワードとともに、RADIUS-access/request フレームを認証サーバに送信します。認証が成功した場合、スイッチはそのクライアントにネットワークへのアクセスを許可します。認証が失敗した場合、ゲスト VLAN が設定されていれば、スイッチはそのポートをゲスト VLAN に割り当てます。

リンクの存続時間中にインターフェイス上で EAPOL パケットが検出されると、スイッチはそのインターフェイスに接続された装置が IEEE 802.1x 対応のサプリカントであると判断し、MAC 認証バイパスではなく IEEE 802.1x 認証を使用して、そのインターフェイスを認証します。インターフェイスのリンク ステータスが失われた時点で EAPOL ヒストリはリセットされます。

スイッチが MAC 認証バイパスを使用してすでにポートを認証していて、IEEE 802.1x サプリカントを検出した場合、スイッチはそのポートに接続されたクライアントを無許可にはしません。再認証が行われるときに、Termination-Action RADIUS 属性の値が DEFAULT であるために前のセッションが終了した場合、スイッチは IEEE 802.1x 認証を優先の再認証プロセスとして使用します。

MAC 認証バイパスを使用して認証されたクライアントは再認証が可能です。この再認証プロセスは、IEEE 802.1x 認証を使用して認証されたクライアントの場合と同じです。再認証の間、ポートは以前に割り当てられた VLAN に残されます。再認証が成功した場合、スイッチはそのポートを同じ VLAN に保持します。再認証が失敗した場合、ゲスト VLAN が設定されていれば、スイッチはそのポートをゲスト VLAN に割り当てます。

再認証が Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])に基づいていて、Termination-Action RADIUS 属性(属性 [29])のアクションが Initialize (属性値は DEFAULT )である場合、MAC 認証バイパス セッションは終了し、接続は再認証の間に失われます。MAC 認証バイパスがイネーブルに設定されていて IEEE 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再認証を開始します。これらの AV のペアの詳細については、RFC 3580「 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 」を参照してください。

MAC 認証バイパスは次の機能と連携します。

IEEE 802.1x 認証 -- MAC 認証バイパスは、ポート上で IEEE 802.1x 認証がイネーブルになっている場合にのみ、イネーブルに設定できます。

ゲスト VLAN -- クライアントの MAC アドレスの識別情報が無効である場合、ゲスト VLAN が設定されていれば、スイッチはそのクライアントをゲスト VLAN に割り当てます。

制限 VLAN -- この機能は、IEEE 802.lx ポートに接続されたクライアントが MAC 認証バイパスによって認証される場合にはサポートされません。

ポート セキュリティ -- ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x with Port Security」を参照してください。

音声 VLAN -- ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の「Using IEEE 802.1x with Voice VLAN Ports」を参照してください。

VMPS -- IEEE 802.1x と VMPS は相互に排他的な関係です。

プライベート VLAN -- クライアントをプライベート VLAN に割り当てられます。

NAC レイヤ 2 の IP 検証 -- この機能は、IEEE 802.1x ポートが MAC 認証バイパスによって認証された後に有効になります(例外リスト内のホストを含む)。

NAC レイヤ 2 IEEE 802.1x 検証

Cisco IOS Release 12.1(22)EA6 以降では、スイッチは Network Admission Control(NAC; ネットワーク アドミッション コントロール)レイヤ 2 IEEE 802.1x 検証をサポートします。これは、デバイスにネットワークへのアクセスを許可する前に、エンドポイント システムまたはクライアントのアンチウィルス状態あるいは ポスチャ を検証します。NAC レイヤ 2 IEEE 802.1x 検証を使用すると、次の作業を実行できます。

Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])を認証サーバからダウンロードします。

Session-Timeout RADIUS 属性(属性 [27])値として再認証試行の間隔(秒数)を設定し、RADIUS サーバからクライアントに対するアクセス ポリシーを取得します。

スイッチが Termination-Action RADIUS 属性(属性 [29])を使用して、クライアントを再認証しようとするときの動作を設定します。値が DEFAULT であるか、または設定されていない場合、セッションは終了します。値が RADIUS-Request である場合、再認証プロセスが開始されます。

NAC ポスチャ トークンを表示します。これは、 show dot1x 特権 EXEC コマンドを使用してクライアントのポスチャを示します。

セカンダリ プライベート VLAN をゲスト VLAN として設定します。

NAC レイヤ 2 IEEE 802.1x 検証の設定は、RADIUS サーバにポスチャ トークンを設定する必要があることを除いて、IEEE 802.1x ポートベース認証の設定とほぼ同じです。NAC レイヤ 2 IEEE 802.1x 検証の設定については、「NAC レイヤ 2 IEEE 802.1x 検証の設定」および 「定期的な再認証のイネーブル化」 を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

IEEE 802.1x 認証の設定

ここでは、スイッチに IEEE 802.1x ポート ベース認証を設定する手順について説明します。

「デフォルトの IEEE 802.1x 認証の設定」

「IEEE 802.1x 認証設定時の注意事項」

「以前のソフトウェア リリースからのアップグレード」

「IEEE 802.1x 認証の設定」(必須)

「スイッチと RADIUS サーバ間の通信設定」(必須)

「ホスト モードの設定」(任意)

「定期的な再認証のイネーブル化」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「IEEE 802.1x アカウンティングの設定」(任意)

「ゲスト VLAN の設定」(任意)

「制限 VLAN の設定」(任意)

「IEEE 802.1x 認証の WoL の設定」

「NAC レイヤ 2 IEEE 802.1x 検証の設定」

「IEEE 802.1x 設定のデフォルト値へのリセット」(任意)

デフォルトの IEEE 802.1x 認証の設定

表7-2 に、IEEE 802.1x 認証のデフォルト設定を示します。

 

表7-2 IEEE 802.1x 認証のデフォルト設定

機能
デフォルト設定

スイッチの IEEE 802.1x イネーブル ステート

ディセーブル

インターフェイス単位の IEEE 802.1x イネーブル ステート

ディセーブル(force-authorized)。

ポートはクライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

 

指定なし

1812

指定なし

ホスト モード

シングルホスト モード

制御方向

双方向制御

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600 秒

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30 秒(スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2 回(スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数)

クライアント タイムアウト時間

30 秒(認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが返答を待ち、応答をサーバに再送信するまでの時間。この値は設定できません。)

ゲスト VLAN

指定なし

制限 VLAN

指定なし

IEEE 802.1x 認証設定時の注意事項

ここでは、次の機能に関する注意事項を示します。

「IEEE 802.1x 認証」

「VLAN 割り当て、ゲスト VLAN、制限 VLAN」

IEEE 802.1x 認証

IEEE 802.1x 認証の設定時に関する注意事項を次に示します。

IEEE 802.1x 認証をイネーブルにすると、他のレイヤ 2 機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1x プロトコルはレイヤ 2 のスタティック アクセス ポートおよび音声 VLAN ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート -- トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、ポート モードは変更されません。

ダイナミック ポート -- ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック ポートに変更しようとしても、ポート モードは変更されません。

ダイナミックアクセス ポート -- ダイナミックアクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート -- EtherChannel で、アクティブまたはアクティブになる予定のメンバーのポートを、IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)宛先ポート -- SPAN 送信元ポートではIEEE 802.1x 認証をイネーブルにできますが、SPAN 宛先ポートではイネーブルにすることはできません。

dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチで IEEE 802.1x 認証をグローバルにイネーブルにする場合には、あらかじめ IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel 設定を削除しておいてください。

EAP-Transparent LAN Services(TLS)および EAP-MD5 による IEEE 802.1x 認証用に、Cisco Access Control Server(ACS)アプリケーションが稼働する装置を使用しており、かつスイッチ上で Cisco IOS Release 12.1(14)EA1 が稼働している場合は、装置では ACS Version 3.2.1 以上を稼働させてください。

VLAN 割り当て、ゲスト VLAN、制限 VLAN

VLAN 割り当て、ゲスト VLAN、および制限 VLAN に関する設定時の注意事項を次に示します。

ポート上で IEEE 802.1x 認証がイネーブルになっている場合、音声 VLAN の機能を持つポート VLAN の設定を行うことはできません。

トランク ポート、ダイナミック ポート、または VMPS によるダイナミック アクセス ポート割り当ての場合、IEEE 802.1x 認証の VLAN 割り当て機能はサポートされません。

RSPAN VLAN または音声 VLAN を除く任意の VLAN を IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

DHCP クライアントが接続されている IEEE 802.1x ポートのゲスト VLAN を設定したあとで、DHCP サーバからホスト IP アドレスを入手する必要がある場合があります。また、クライアントの DHCP プロセスがタイムアウトとなり、DHCP サーバからホスト IP アドレスを入手しようとする前に、設定値を変更してスイッチ上で IEEE 802.1x 再認証プロセスを再開することもできます。IEEE 802.1x 認証プロセスの設定値を削減してください( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定値を削減する量は、接続された IEEE 802.1x クライアントのタイプによって異なります。

ハブを介してスイッチに接続されている PC が、IEEE 802.1x マルチホスト ポートで認証され、別のポートに移動し、よって別のハブを介して接続された場合、スイッチは PC を認証しません。 dot1x timeout reauth-period seconds インターフェイス コンフィギュレーション コマンドを入力して再認証の間隔(秒)を狭めることにより、これを回避できます。

RSPAN VLAN または音声 VLAN を除く任意の VLAN を IEEE 802.1x 認証の制限 VLAN として設定できます。制限 VLAN 機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

以前のソフトウェア リリースからのアップグレード

Cisco IOS Release 12.1(19)EA1 では、IEEE 802.1x 認証の実装により以前のリリースから内容が変更されました。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドになり、新しいコマンドが追加されました。

スイッチ上に IEEE 802.1x 認証を設定して、Cisco IOS Release 12.1(19)EA1 以降にアップグレードする場合、コンフィギュレーション ファイルに新しいコマンドが含まれず、IEEE 802.1x 認証は正常に動作しません。アップグレードを完了させてから、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して IEEE 802.1x 認証をグローバルにイネーブルにしてください。以前のリリースのインターフェイスで、IEEE 802.1x 認証がマルチホスト モードで実行されている場合、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再設定してください。

IEEE 802.1x 認証の設定

IEEE 802.1x ポート ベース認証を設定するには、AAA をイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリー送信を行う手順と認証方式を記述したものです。

ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られない場合、ソフトウェアは方式リスト内の次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試行し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試行されることはありません。

VLAN 割り当てを可能にするには、AAA 許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

次に、IEEE 802.1x の AAA プロセスを示します。


ステップ 1 ユーザがスイッチ上のポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 該当する場合は、RADIUS サーバの設定に基づいて VLAN 割り当てがイネーブルになります。

ステップ 4 スイッチが、アカウンティング サーバに開始メッセージを送信します。

ステップ 5 必要に応じて、再認証が実行されます。

ステップ 6 スイッチが、再認証の結果に基づいた暫定的なアカウンティング アップデートをアカウンティング サーバに送信します。

ステップ 7 ユーザがポートとの接続を切断します。

ステップ 8 スイッチが、アカウンティング サーバに停止メッセージを送信します。


 

IEEE 802.1x ポート ベース認証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードのあとにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 については、 group radius キーワードを入力して、すべての RADIUS サーバのリストを使用して認証します。


) その他のキーワードがコマンドライン ヘルプ ストリングに表示されますが、default および group radius キーワード以外はサポートされません。


ステップ 4

dot1x system-auth-control

スイッチ上で IEEE 802.1x 認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)VLAN 割り当てなどネットワーク関連のすべてのサービス要求に対するユーザ RADIUS 許可をスイッチに設定します。

ステップ 6

radius-server host ip-address

(任意)RADIUS サーバの IP アドレスを指定します。

ステップ 7

radius-server key string

(任意)RADIUS サーバ上で動作する RADIUS デーモンとスイッチとの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続されるポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

switchport mode access

(任意)ステップ 6 および 7 の RADIUS サーバを設定する場合にのみ、ポートをアクセス モードにするよう設定します。

ステップ 10

dot1x port-control auto

インターフェイス上で IEEE 802.1x 認証をイネーブルにします。

機能の相互運用については、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 11

end

特権 EXEC モードに戻ります。

ステップ 12

show dot1x

設定を確認します。

コマンド出力の IEEE 802.1x Port Summary セクションの Status カラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 認証をディセーブルにするには、 no aaa authentication dot1x {default | list-name } グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で IEEE 802.1x 認証をディセーブルにするには、 no dot1x
system-auth-control
グローバル コンフィギュレーション コマンドを使用します。

次に、ポート上で AAA および IEEE 802.1x 認証をイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。
RADIUS ホスト エントリは、設定した順序に従って試行されます。

スイッチに RADIUS サーバ パラメータを設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

スイッチに RADIUS サーバ パラメータを設定します。

hostname | ip-address には、リモート RADIUS サーバのホスト名または IP アドレスを指定します。

auth-port port-number には、認証要求の UDP 宛先ポートを指定します。デフォルトの設定は 1812 です。

key string には、スイッチと RADIUS サーバ上で動作する
RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUS サーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ず radius-server host コマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。


複数の RADIUS サーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IP アドレス 172.120.39.46 のサーバを RADIUS サーバとして指定し、ポート 1612 を許可ポートとして使用し、暗号鍵を RADIUS サーバ上の鍵と一致する rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵の値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべての RADIUS サーバの設定」を参照してください。

RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチで共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている IEEE 802.1x 許可ポートで、複数のホスト(クライアント)の接続を可能にするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

マルチホストが間接的に接続しているインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

IEEE 802.1x 許可ポートで複数のホスト(クライアント)を許可します。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートでマルチホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、IEEE 802.1x 認証をイネーブルにして、複数のホストを許可する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

定期的な再認証のイネーブル化

IEEE 802.1x クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600 秒おきに再認証が試行されます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period { seconds | server }

キーワードの意味は次のとおりです。

seconds -- 1~65535 の秒数を設定します。デフォルトは 3600 秒です。

server -- Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値に基づいた秒数を設定します。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証の試行時間をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証のイネーブル化」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試行します。このアイドル時間は、quiet-period の値によって決まります。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 60 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を 30 秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 30 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数を設定します。指定できる範囲は 1 ~ 10 回です。デフォルトは 2 回です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再開する前に、EAP-Request/Identity 要求を送信する回数を 5 に設定する例を示します。

Switch(config-if)# dot1x max-req 5

IEEE 802.1x アカウンティングの設定

IEEE 802.1x アカウンティングを使用して AAA システム アカウンティングをイネーブルにすることにより、システム リロード イベントがアカウンティング RADIUS サーバへロギング用に送信されます。その結果、サーバはアクティブな IEEE 802.1x セッションがすべて終了したことを推測できます。

RADIUS では信頼できない UDP 伝送プロトコルを使用するため、ネットワーク状況が悪いとアカウンティング メッセージが失われる場合があります。設定可能な回数のアカウンティング再送信要求後にも、スイッチが RADIUS サーバからアカウンティング応答メッセージを受信しなかった場合は、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されない場合は、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) RADIUS サーバが、アカウンティング タスク(開始、停止、暫定アップデートのメッセージ、タイム スタンプのロギングなど)を実行するよう設定する必要があります。これらの機能を有効にするには、RADIUS サーバの Network Configuration タブにある [Update/Watchdog packets from this AAA client] のロギングをイネーブルにします。次に、RADIUS サーバの System Configuration タブにある [CVS RADIUS Accounting] をイネーブルにします。


スイッチで AAA を イネーブルに設定したあと IEEE 802.1x アカウンティングを設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して、IEEE 802.1x アカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべての RADIUS サーバのリストを使用)、スイッチのリロード時にシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

show radius statistics 特権 EXEC コマンドを使用して、アカウンティング応答メッセージを受信していない RADIUS メッセージ数を表示します。

次に、IEEE 802.1x アカウンティングを設定する例を示します。最初のコマンドにより、アカウンティング用の UDP ポートとして 1813 を指定して、RADIUS サーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

ゲスト VLAN の設定

ゲスト VLAN を設定すると、サーバが EAPOL Request/Identity フレームに対する応答を受信しなかった場合に、IEEE 802.1x 対応でないクライアントはゲスト VLAN に置かれます。IEEE 802.1x 対応であるけれども認証に失敗したクライアントはネットワークへのアクセスを許可されません。スイッチは、シングルホスト モードまたはマルチホスト モードのゲスト VLAN をサポートします。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、オプションのゲスト VLAN 動作をイネーブルにできます。イネーブルにすると、スイッチは EAPOL パケット ヒストリを維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関わらず、認証に失敗したクライアントのゲスト VLAN へのアクセスを許可します。認証に失敗したクライアントはゲスト VLAN にアクセスできます。


) スイッチ設定によっては、クライアントをゲスト VLAN に割り当てるのに数分かかることがあります。


ゲスト VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象のインターフェイス タイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブな VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲスト VLAN をディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、ポート上で VLAN 9 を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x guest-vlan 9
 

ここでは、スイッチ上で待機時間を 3 に設定し、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 15 秒に設定し、IEEE 802.1x ポートが DHCP クライアントに接続されるときに VLAN2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、オプションのゲスト VLAN 動作をイネーブルにできます。イネーブルにすると、スイッチは EAPOL パケット ヒストリを維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関わらず、認証に失敗したクライアントのゲスト VLAN へのアクセスを許可します。

オプションのゲスト VLAN 動作をイネーブルにして、ゲスト VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x guest-vlan supplicant

スイッチ上でオプションのゲスト VLAN 動作をグローバルにイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象のインターフェイス タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 4

switchport mode access

ポートをアクセス モードにします。

ステップ 5

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 6

dot1x guest-vlan vlan-id

アクティブな VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

オプションのゲスト VLAN 動作をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。ゲスト VLAN を削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートがゲスト VLAN で許可されている状態であれば、ポートは無許可ステートに戻ります。

これは、オプションのゲスト VLAN 動作をイネーブルにして、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する例を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5

制限 VLAN の設定

制限 VLAN をスイッチ上に設定すると、認証サーバが有効なユーザ名およびパスワードを受信しなかった場合に、IEEE 802.1x に適合したクライアントは制限 VLAN に移行します。スイッチは、シングルホスト モードでのみ制限 VLAN をサポートします。

制限 VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象のインターフェイス タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を IEEE 802.1x 制限 VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x 制限 VLAN として設定できます。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

制限 VLAN をディセーブルにして削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

VLAN 2 を IEEE 802.1x 制限 VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x auth-fail vlan 2
 

dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、制限 VLAN にユーザを割り当てる前に許可される最大認証試行回数を設定できます。許可される認証試行回数の範囲は 1 ~ 3 です。デフォルトは 3 回です。

許可される最大認証試行回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象のインターフェイス タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を IEEE 802.1x 制限 VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x 制限 VLAN として設定できます。

ステップ 6

dot1x auth-fail max-attempts max attempts

ポートが制限 VLAN に移行する前に許可される認証試行回数を指定します。指定できる範囲は 1 ~ 3 回です。デフォルトは 3 回です。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルト値に戻すには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが制限 VLAN に移行する前に許可される認証試行回数を 2 に設定する例を示します。

Switch(config-if)# dot1x auth-fail max-attempts 2

IEEE 802.1x 認証の WoL の設定

IEEE 802.1x 認証の WoL をイネーブルするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポート対象のインターフェイス タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

dot1x control-direction { both | in }

ポートで IEEE 802.1x 認証の WoL をイネーブルにし、次のキーワードを使用してポートを双方向または単一方向に設定します。

both -- ポートを双方向に設定します。ポートはホストとの間でパケットを送受信できません。デフォルトでは、ポートは双方向です。

in -- ポートを単一方向に設定します。ポートはホストへパケットを送信しますが、ホストからパケットを受信できません。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x 認証の WoL をディセーブルにするには、 no dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。

次に、IEEE 802.1x 認証の WoL をイネーブルにし、ポートを双方向に設定する例を示します。

Switch(config-if)# dot1x control-direction both
 

MAC 認証バイパスの設定

MAC 認証バイパスの設定時に関する注意事項を次に示します。

特に明記されていない限り、MAC 認証バイパスに関する注意事項は、ソフトウェア コンフィギュレーション ガイドの「Configuring IEEE 802.1x Port-Based Authentication」の章の IEEE 802.1x 認証に関する注意事項と同じです。

ポートがその MAC アドレスによって認証された後に、そのポートから MAC 認証バイパスをディセーブルにした場合、そのポートのステートには影響ありません。

ポートが無許可ステートで、クライアントの MAC アドレスが認証サーバのデータベースに存在しない場合、そのポートは無許可ステートのままです。ただし、クライアントの MAC アドレスがデータベースに追加された場合、スイッチは MAC 認証バイパスを使用してそのポートを再認証できます。

ポートが許可ステートの場合、そのポートは再認証が行われるまで許可ステートのままです。

MAC 認証バイパスをイネーブルにするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 4

dot1x mac-auth-bypass [ eap ]

MAC 認証バイパスをイネーブルにします。

(任意) eap キーワードを使用して、スイッチが認証の際に EAP を使用するように設定します。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

MAC 認証バイパスをディセーブルにするには、 no dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。

次に、MAC 認証バイパスをイネーブルに設定する例を示します。

Switch(config-if)# dot1x mac-auth-bypass
 

NAC レイヤ 2 IEEE 802.1x 検証の設定

Cisco IOS Release 12.1(22)EA6 以降では、NAC レイヤ 2 IEEE 802.1x 検証を設定できます。これは、RADIUS サーバを使用した IEEE 802.1x 認証とも言います。

NAC レイヤ 2 IEEE 802.1x 検証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブな VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除く任意のアクティブな VLAN を IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 4

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds -- 1~65535 の秒数を設定します。デフォルトは 3600 秒です。

server -- Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値として、秒数を設定します。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

IEEE 802.1x 認証設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、NAC レイヤ 2 IEEE 802.1x 検証を設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server

IEEE 802.1x 設定のデフォルト値へのリセット

IEEE 802.1x 設定をデフォルト値に戻すには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定可能な IEEE 802.1x パラメータをデフォルト値に戻します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x の統計情報およびステータスの表示

すべてのインターフェイスに関する IEEE 802.1x 統計情報を表示するには、 show dot1x all statistics 特権 EXEC コマンドを使用します。特定のインターフェイスに関する IEEE 802.1x 統計情報を表示するには、 show dot1x statistics interface interface-id 特権 EXEC コマンドを使用します。

スイッチに関する IEEE 802.1x の管理および動作ステータスを表示するには、 show dot1x all 特権 EXEC コマンドを使用します。特定のインターフェイスに関する IEEE 802.1x の管理および動作ステータスを表示するには、 show dot1x interface interface-id 特権 EXEC コマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。