Catalyst 2950/2955 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA5
IEEE 802.1xポート ベース認証の設定
IEEE 802.1xポート ベース認証の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

IEEE 802.1xポート ベース認証の設定

IEEE 802.1xポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1xアカウンティング

IEEE 802.1xアカウンティングの属性値ペア

IEEE 802.1xホスト モード

ポート セキュリティを使用したIEEE 802.1xの利用

音声VLANポートを使用したIEEE 802.1xの利用

VLAN割り当てを使用したIEEE 802.1xの利用

ゲストVLANを使用したIEEE 802.1xの利用

Wake-on-LANを使用したIEEE 802.1xの利用

単一方向ステート

双方向ステート

IEEE 802.1x認証の設定

IEEE 802.1xのデフォルト設定

IEEE 802.1x設定時の注意事項

旧ソフトウェア リリースからのアップグレード

IEEE 802.1x認証のイネーブル化

スイッチとRADIUSサーバ間の通信設定

RADIUSサーバを使用したIEEE 802.1x認証の設定

定期的な再認証のイネーブル化

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

ホスト モードの設定

ゲストVLANの設定

IEEE 802.1x設定のデフォルト値へのリセット

IEEE 802.1x認証の設定

IEEE 802.1xアカウンティングの設定

IEEE 802.1xの統計情報およびステータスの表示

IEEE 802.1xポート ベース認証の設定

この章では、不正な装置(クライアント)によるネットワーク アクセスを防止するため、Catalyst 2950またはCatalyst 2955スイッチでIEEE 802.1xポート ベース認証を設定する方法について説明します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスおよび『Cisco IOS Configuration Fundamentals Command Reference』Release 12.2の「RADIUS Commands」の項を参照してください。


この章の内容は、次のとおりです。

「IEEE 802.1xポート ベース認証の概要」

「IEEE 802.1x認証の設定」

「IEEE 802.1xの統計情報およびステータスの表示」

IEEE 802.1xポート ベース認証の概要

IEEE 802.1x規格では、一般の人がアクセス可能なポートから、認証を得ていない不正なクライアントがLANに接続しないように規制する、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたはLANが提供するサービスを利用できるようにします。

802.1xアクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由ではExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、IEEE 802.1xポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1xアカウンティング」

「IEEE 802.1xアカウンティングの属性値ペア」

「IEEE 802.1xホスト モード」

「ポート セキュリティを使用したIEEE 802.1xの利用」

「音声VLANポートを使用したIEEE 802.1xの利用」

「VLAN割り当てを使用したIEEE 802.1xの利用」

「ゲストVLANを使用したIEEE 802.1xの利用」

「Wake-on-LANを使用したIEEE 802.1xの利用」

装置の役割

IEEE 802.1xポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図9-1を参照)。

図9-1 IEEE 802.1xにおける装置の役割

 

クライアント ― LANおよびスイッチ サービスにアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーション上では、Microsoft Windows XPオペレーティング システムで提供されるような、IEEE 802.1x準拠のクライアント ソフトウェアが稼働していなければなりません(クライアントは、IEEE 802.1x仕様では supplicant といいます)。


) Windows XPのネットワーク接続およびIEEE 802.1x認証に関しては、次のURLにある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントにLANおよびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。このリリースでは、Extensible Authentication Protocol(EAP)拡張の設定されたRADIUSセキュリティ システムのみが、認証サーバとしてサポートされます。これは、Cisco Secure Access Control Serverバージョン3.0以降で使用可能です。RADIUSはクライアント/サーバ モデルで動作し、RADIUSサーバと1つまたは複数のRADIUSクライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) ― クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUSクライアントが含まれています。

スイッチがEAPOLフレームを受信して認証サーバにリレーする場合、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUSフォーマットに再カプセル化されます。カプセル化ではEAPフレームの変更は行われず、認証サーバはネイティブ フレーム フォーマットのEAPをサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りのEAPフレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として動作できる装置には、Catalyst 3750、3560、3550、2970、2955、2950、2940スイッチ、またはワイヤレス アクセス ポイントが含まれます。これらの装置では、RADIUSクライアントおよびIEEE 802.1xをサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、ポートのリンク ステートがダウンからアップに変更されたとき、またはポートがアップであり認証されていない状態である限り定期的に、スイッチは認証を開始する必要があります。その場合、スイッチはEAP-Request/Identityフレームをクライアントに送信して識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identityフレームで応答します。

ただし、クライアントが起動時にスイッチからのEAP-Request/Identityフレームを受信しなかった場合、クライアントはEAPOL-Startフレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置でIEEE 802.1xがイネーブルに設定されていない、またはサポートされていない場合には、クライアントからのEAPOLフレームはすべて廃棄されます。クライアントが認証の開始を3回試みてもEAP-Request/Identityフレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間でEAPフレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われるEAPフレーム交換は、使用する認証方式によって異なります。図9-2に、クライアントがRADIUSサーバとの間でOne Time Password(OTP;ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図9-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートによって、クライアントがネットワーク アクセスを許可されているかどうかがわかります。ポートは最初、 無許可 ステートです。このステートにある間は、音声VLANポートとして設定されていないポートは、IEEE 802.1x、CDP、STPパケットを除くすべての入力トラフィックおよび出力トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに変更され、そのクライアントのすべてのトラフィックは通常のフローが許可されます。ポートが音声VLANポートとして設定されている場合、ポートはVoice over IP(VoIP)トラフィックおよびIEEE 802.1xプロトコル パケットを許可してから、クライアントを認証します。

IEEE 802.1xをサポートしていないクライアントが、無許可ステートのIEEE 802.1xポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、IEEE 802.1x対応のクライアントが、IEEE 802.1x規格の稼働していないポートに接続すると、クライアントはEAPOL-Startフレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― IEEE 802.1x認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとのIEEE 802.1xベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはインターフェイスを介してクライアントに認証サービスを提供できません。

auto ― IEEE 802.1x認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのはEAPOLフレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、またはEAPOL-Startフレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントのMAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoffメッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOL-Logoffフレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1xアカウンティング

IEEE 802.1x規格では、ユーザのネットワーク アクセスの許可および認証の方法について定義していますが、ネットワーク利用については追跡調査を行いません。IEEE 802.1xアカウンティングは、デフォルトではディセーブルです。IEEE 802.1xアカウンティングをイネーブルにして、IEEE 802.1x対応ポートでの次のアクティビティを監視できます。

ユーザの正常認証

ユーザのログオフ

リンクダウンの発生

再認証の正常実行

再認証の失敗

スイッチでは、IEEE 802.1xアカウンティング情報が記録されません。その代わり、この情報がRADIUSサーバに送信されます。RADIUSサーバは、アカウンティング メッセージを記録するように設定する必要があります。

IEEE 802.1xアカウンティングの属性値ペア

RADIUSサーバに送信される情報は、Attribute-Value(AV;属性値)ペアの形式で表示されます。これらのAVペアは、異なるアプリケーションのデータを提供します(たとえば課金アプリケーションでは、RADIUSパケットのAcct-Input-OctetまたはAcct-Output-Octetの属性にある情報が必要です)。

AVペアは、IEEE 802.1xアカウンティングが設定されたスイッチにより自動的に送信されます。スイッチが送信するRADIUSアカウンティグ パケットには、次の3タイプがあります。

START ― 新しいユーザ セッションを開始するときに送信されます。

INTERIM ― 既存のセッション間に更新のために送信されます。

STOP ― セッションが終了するときに送信されます。

表9-1 に、AVペアがスイッチに送信される時を示します。

 

表9-1 アカウンティングAVペア

属性番号
AVペア名
START
INTERIM
STOP

属性[1]

User-Name

常時

常時

常時

属性[4]

NAS-IP-Address

常時

常時

常時

属性[5]

NAS-Port

常時

常時

常時

属性[8]

Framed-IP-Address

なし

時々1

時々 1

属性[25]

Class

常時

常時

常時

属性[30]

Called-Station-ID

常時

常時

常時

属性[31]

Calling-Station-ID

常時

常時

常時

属性[40]

Acct-Status-Type

常時

常時

常時

属性[41]

Acct-Delay-Time

常時

常時

常時

属性[42]

Acct-Input-Octets

なし

なし

常時

属性[43]

Acct-Output-Octets

なし

なし

常時

属性[44]

Acct-Session-ID

常時

常時

常時

属性[45]

Acct-Authentic

常時

常時

常時

属性[46]

Acct-Session-Time

なし

なし

常時

属性[49]

Acct-Terminate-Cause

なし

なし

常時

属性[61]

NAS-Port-Type

常時

常時

常時

1.Framed-IP-AddressのAVペアは、DHCPスヌーピング バインディング テーブル内のホストに有効なDynamic Host Control Protocol(DHCP)バインディングが存在する場合にのみ送信されます。

debug radius accounting イネーブルEXECコマンドを入力すると、スイッチが送信するAVペアが表示されます。このコマンドの詳細については、次のURLにある『 Cisco IOS Debug Command Reference』Release 12.2 を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122sup/122debug

AVペアの詳細については、RFC 3580「IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines」を参照してください。

IEEE 802.1xホスト モード

IEEE 802.1xポートは、単一ホストまたは複数ホスト モードに設定できます。シングルホスト モード(IEEE 802.1xにおける装置の役割を参照)では、IEEE 802.1x対応のスイッチ ポートには1つのクライアントしか接続できません。スイッチは、ポートのリンク ステートがアップに変更されたときにEAPOLフレームを送信することで、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

複数ホスト モードでは、複数ホストを単一のIEEE 802.1x対応ポートに接続できます。図9-3に、ワイヤレスLANでのIEEE 802.1xポートベースの認証を示します。このモードでは、接続されたクライアントのうち1つが許可されれば、すべてのクライアントのネットワーク アクセスが認可されます。ポートが無許可ステートになると(再認証が失敗した場合、またはEAPOL-Logoffメッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する責任があり、スイッチに対してクライアントとして機能します。

複数ホスト モードがイネーブルの場合、クライアントのMACアドレスを含むすべてのMACアドレスへのネットワーク アクセスを管理するために、IEEE 802.1xを使用してポートおよびポート セキュリティを認証できます。

図9-3 複数ホスト モードの例

 

ポート セキュリティを使用したIEEE 802.1xの利用

単一ホスト モードまたは複数ホスト モードのどちらかで、IEEE 802.1xポートにポート セキュリティを設定できます(また、 switchport port-security インターフェイス コンフィギュレーション コマンドを使用して、ポートのポート セキュリティの設定も行う必要があります)。ポートにおいてポート セキュリティとIEEE 802.1xをイネーブルにした場合、IEEE 802.1xはポートの認証を行い、ポート セキュリティはクライアントを含むすべてのMACアドレスのネットワーク アクセスを管理します。それにより、IEEE 802.1xのポートを経由してネットワークにアクセスできるクライアントの数またはグループを制限できます。

次に、スイッチでのIEEE 802.1xとポート セキュリティ間の対話の例を紹介します。

クライアントが認証されており、かつポート セキュリティ テーブルが一杯になっていない場合、そのクライアントのMACアドレスが、セキュア ホストのポート セキュリティ一覧に追加されます。そのあと、ポートが正常にアクティブになります。

クライアントが認証されており、手動でポート セキュリティの設定が行われている場合、ポート セキュリティはセキュア ホスト テーブルへのエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっている場合は除く)。

クライアントが認証されており、ポート セキュリティ テーブルが一杯の場合、セキュリティ違反が起こります。これは、セキュア ホストの最大数がスタティックに設定されている場合、またはクライアントがセキュア ホスト テーブルからエージアウトする場合に起こることがあります。クライアントのアドレスが期限切れになった場合、セキュア ホスト テーブル内の該当場所が別のホストに取られる可能性があります。

セキュリティ違反への対応は、ポート セキュリティ違反モードによって決まります。詳細は、「セキュリティ違反」を参照してください。

IEEE 802.1xクライアントがログオフする場合には、ポートは認証されていない状態に戻り、クライアントのエントリも含めセキュア ホスト テーブル内のすべてのダイナミック エントリが消去されます。そのあと、通常の認証が行われます。

ポートが管理上シャットダウンされた場合には、ポートは認証されていない状態となり、すべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

ポート セキュリティと音声VLANは、単一ホストまたは複数ホスト モードにあるIEEE 802.1xポートで同時に設定できます。ポート セキュリティはVoice VLAN Identifier(VVID;音声VLAN ID)およびPort VLAN Identifier(PVID;ポートVLAN ID)の両方に適用されます。

IEEE 802.1xクライアント アドレスをポート セキュリティ テーブルから手動で削除した場合は、 dot1x re-authenticate イネーブルEXECコマンドを実行してクライアントを再認証するよう推奨します。

スイッチにおけるポート セキュリティのイネーブル化の詳細については、「ポート セキュリティの設定」を参照してください。

音声VLANポートを使用したIEEE 802.1xの利用

音声VLANポートは2つのVLAN IDを持つ特殊なアクセス ポートです。

IP Phoneとの間の音声トラフィックを搬送するVVID。このVVIDはポートに接続したIP Phoneの設定に使用します。

IP Phoneを通じてスイッチに接続されたワークステーションとの間のデータ トラフィックを搬送するPVID。このPVIDはポートのネイティブVLANです。

単ホスト モードでは、IP Phoneのみが音声VLANで許可されます。複数ホスト モードでは、サプリカントがPVIDで認証されると、追加されたクライアントは音声VLAN上でトラフィックを送信できます。複数ホスト モードがイネーブルの場合、サプリカント認証はPVIDおよびVVIDの両方に影響します。

リンクが存在すると音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージのあと、その装置のMACアドレスが現れます。Cisco IP Phoneは他の装置からのCDPメッセージをリレーしません。その結果、複数のCisco IP Phoneが連続して接続されている場合、スイッチは直接接続された1台のみを認識することになります。IEEE 802.1xが音声VLANポートでイネーブルになっている場合、スイッチは2ホップ以上離れた認識されないCisco IP Phoneからのパケットを廃棄します。

ポートでIEEE 802.1xがイネーブルになっている場合、音声VLANの機能を持つポートVLANの設定を行うことはできません。

音声VLANの詳細については、「音声VLANの設定」を参照してください。

VLAN割り当てを使用したIEEE 802.1xの利用

VLAN割り当てを使用すると、特定のユーザのネットワーク アクセスを制限できます。ポートのIEEE 802.1x認証が成功すると、RADIUSサーバはVLAN割り当てを送信してスイッチのポートを設定します。RADIUSサーバのデータベースは、ユーザ名/VLANのマッピングを保持します。これにより、スイッチ ポートに接続したクライアントのユーザ名に基づいてVLANが割り当てられます。

スイッチおよびRADIUSサーバ上で設定が行われた場合、VLAN割り当てを使用したIEEE 802.1xには次の特長があります。

RADIUSサーバによってVLANが提供されない場合、またはIEEE 802.1x許可がディセーブルになっている場合、認証が成功したあとにアクセスVLAN内でポートの設定が行われます。

IEEE 802.1x許可がイネーブルになっていてRADIUSサーバからのVLAN情報が無効である場合、ポートは無許可ステートに戻り、設定されたアクセスVLAN内にとどまります。これにより、コンフィギュレーション エラーがもとでポートが不適切なVLANに予期せずに現れるのを防止します。

コンフィギュレーション エラーには、不正な形式のVLAN IDや存在しないVLAN IDの指定、または音声VLAN IDへの割り当てを行おうとしている場合が含まれます。

IEEE 802.1x許可がイネーブルになっており、RADIUSサーバからのすべての情報が有効である場合、認証のあとにポートは指定されたVLANに配置されます。

複数ホストのモードがIEEE 802.1xポートでイネーブルになっている場合、すべてのホストが、最初に認証されたホストと同じ(RADIUSサーバにより指定された)VLANに配置されます。

IEEE 802.1xとポート セキュリティがポート上でイネーブルの場合は、そのポートはRADIUSサーバによって割り当てられたVLANに配置されます。

IEEE 802.1xがポート上でディセーブルになっている場合、設定が行われたアクセスVLANに戻されます。

ポートがforce authorized、force unauthorized、unauthorized、またはshutdownステートにある場合、そのポートは設定されたアクセスVLANに配置されます。

IEEE 802.1xポートが認証され、RADIUSサーバが割り当てたVLANに配置された場合、そのポートのアクセスVLAN設定の変更は無効になります。

VLAN割り当て機能を備えたIEEE 802.1xは、トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当てではサポートされません。

VLAN割り当てを設定する場合は、次の作業を行ってください。

Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)許可をイネーブルにします。

IEEE 802.1xをイネーブルにします(アクセス ポートでIEEE 802.1xを設定した場合、VLAN割り当て機能は自動的にイネーブルになります)。

RADIUSサーバでベンダー固有のトンネル属性を割り当てます。RADIUSサーバは次の属性をスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = IEEE 802

[81] Tunnel-Private-Group-ID = VLAN名またはVLAN ID

属性[64]には値 VLAN (タイプ13)を含んでいる必要があります。属性[65]には値 IEEE 802 (タイプ6)を含んでいる必要があります。属性[81]はIEEE 802.1x認証ユーザに割り当てる VLAN名 または VLAN ID を指定します。

トンネル属性の例については、「ベンダー固有のRADIUS属性を使用するスイッチ設定」を参照してください。

ゲストVLANを使用したIEEE 802.1xの利用

スイッチ上の各IEEE 802.1xポートにゲストVLANを設定し、クライアントへのサービスを限定できます(たとえば、IEEE 802.1xクライアントのダウンロードなど)。これらのクライアントはIEEE 802.1x認証用にシステムをアップグレードできるかもしれませんが、一部のホストは、Windows 98システムのように、IEEE 802.1x対応ではない場合があります。

IEEE 802.1xポート上でゲストVLANをイネーブルにすると、認証サーバがEAPOL Request/Identityフレームへの応答を受信しない場合、またはクライアントからEAPOLパケットが送信されない場合に、スイッチはクライアントをゲストVLANに割り当てます。

Cisco IOS Release 12.1(22)EA2より前のリリースでは、スイッチはEAPOLパケット履歴を維持せず、EAPOLパケットがインターフェイス上で検出されたかどうかに関係なく、ゲストVLANへのアクセス認証に失敗したクライアントを許可していました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用すれば、この動作を任意でイネーブルにできます。

Cisco IOS Release 12.1(22)EA2以降のリリースでは、スイッチはEAPOLパケット履歴を維持します。リンクの存続中にインターフェイス上で別のEAPOLパケットが検出された場合、ネットワーク アクセスは拒否されます。リンクが切断されるとEAPOL履歴はリセットされます。

スイッチのポートがゲストVLANに移行すると、アクセスが許可されるIEEE 802.1x非対応クライアントの数に制限はありません。IEEE 802.1x対応のクライアントがゲストVLANの設定された同じポートに加入した場合、そのポートは、ユーザ設定のアクセスVLAN内で無許可ステートに置かれ、認証が再び開始されます。

ゲストVLANは、単一ホストまたは複数ホスト モードのIEEE 802.1xポートでサポートされています。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを IEEE 802.1xゲストVLANとして設定できます。ゲストVLAN機能は、トランク ポートではサポートされません。サポートされるのはアクセス ポートのみです。

設定手順については、「ゲストVLANの設定」を参照してください。

Wake-on-LANを使用したIEEE 802.1xの利用

IEEE 802.1x Wake-on-LAN(WoL)機能により、特定のイーサネット フレーム(マジック パケット)の受信に基づいて、休止状態のPCの電源をオンにできます。この機能は、電源が切断されたシステムに管理者が接続する必要がある場合に使用されます。

IEEE 802.1xポートを介して接続されたホストでWoLを使用することにより、一意の問題が提起されます。ホストの電源が切断されると、IEEE 802.1xポートは無許可ステートになります。このステートでは、ポートはEAPOLパケットの送受信のみを許可するため、WoLマジック パケットはホストに到達できません。電源を入れなければ、PCは認証されず、ポートは開かれません。

WoL機能を使用したIEEE 802.1xでは、パケットを無許可のIEEE 802.1xポートへのパケットの送信を許可することにより、この問題を解決します。この機能は、IEEE 802.1x仕様の単一方向制御ポートとも呼ばれます。

ポート上でPortFastがイネーブルでない場合、ポートは強制的に双方向ステートになります。

単一方向ステート

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用して、ポートを単一方向ポートとして設定すると、ポートはスパニングツリー転送ステートに変更されます。

WoLがイネーブルの場合、接続されたホストは休止モードまたは電源切断ステートにあり、ホストはネットワーク内の他の装置とトラフィックを交換しません。ネットワークにトラフィックを送信できない単一方向ポートに接続されたホストは、ネットワーク内の他の装置からのトラフィックの受信のみが可能になります。単一方向ポートが着信トラフィックを受信する場合、ポートは双方向(デフォルト)ステートに戻り、スパニングツリー ステートがブロッキング ステートに変更されます。ポートが初期ステートに変更されると、EAPOLパケット以外のトラフィックは許可されません。ポートが双方向ステートに戻ると、スイッチは5分タイマーを開始します。タイマーの時間切れまでにポートが認証されなければ、ポートは単一方向ポートになります。

双方向ステート

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用して、ポートを双方向ポートとして設定すると、ポートの両方でアクセス制御ステートとなります。このステートでは、スイッチのポートはパケットの送受信を行いません。

IEEE 802.1x認証の設定

ここでは、スイッチにIEEE 802.1xポート ベース認証を設定する手順について説明します。

「IEEE 802.1xのデフォルト設定」

「IEEE 802.1x設定時の注意事項」

「旧ソフトウェア リリースからのアップグレード」

「IEEE 802.1x認証のイネーブル化」(必須)

「スイッチとRADIUSサーバ間の通信設定」(必須)

「定期的な再認証のイネーブル化」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「ホスト モードの設定」(任意)

「ゲストVLANの設定」(任意)

「IEEE 802.1x設定のデフォルト値へのリセット」(任意)

「IEEE 802.1x認証の設定」(任意)

「IEEE 802.1xアカウンティングの設定」(任意)

IEEE 802.1xのデフォルト設定

表9-2 に、IEEE 802.1xのデフォルト設定を示します。

 

表9-2 IEEE 802.1xのデフォルト設定

機能
デフォルト値

AAA

ディセーブル

RADIUSサーバ

IPアドレス

UDP認証ポート

 

指定なし

1812

指定なし

スイッチのIEEE 802.1xイネーブル ステート

ディセーブル

インターフェイス単位のIEEE 802.1xイネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとのIEEE 802.1xベース認証を行わずに、通常のトラフィックを送受信します。

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600秒

待機時間

60秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30秒(スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数)

ホスト モード

単一ホスト モード

ゲストVLAN

指定なし

クライアント タイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。 この値は設定不可能です)

IEEE 802.1x設定時の注意事項

IEEE 802.1x認証の設定時の注意事項は、次のとおりです。

IEEE 802.1xをイネーブルにすると、他のレイヤ2機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1xプロトコルは、レイヤ2のスタティック アクセス ポートおよび音声VLANポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートをトランクに変更しようとしても、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートをダイナミック ポートに変更しようとしても、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートを変更してダイナミックVLANを割り当てようとしても、エラー メッセージが表示され、VLAN設定は変更されません。

EtherChannelポート ― アクティブまたはまだアクティブになっていないEtherChannelのメンバーであるポートはIEEE 802.1xポートとして設定しません。EtherChannelポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。

IEEE Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)宛先ポート ― SPANの宛先、RSPANの宛先、またはRSPANのリフレクタ ポートであるポートで、IEEE 802.1xをイネーブルにできます。ただし、ポートがSPANの宛先、RSPANの宛先、またはRSPANのリフレクタ ポートとして削除されるまで、IEEE 802.1xはディセーブルになります。SPANまたはRSPAN送信元ポートではIEEE 802.1xをイネーブルにできます。

Long-Reach Ethernet(LRE)スイッチ ポート ― 802.1xは、Cisco 585 LRE CPE装置に接続したLREスイッチ インターフェイスではサポートされません。

RSPAN VLANまたは音声VLANを除き、任意のVLANをIEEE 802.1xゲストVLANとして設定できます。ゲストVLAN機能は、トランク ポートではサポートされません。サポートされるのはアクセス ポートのみです。

ポートでIEEE 802.1xがイネーブルになっている場合、音声VLANの機能を持つポートVLANの設定を行うことはできません。

VLAN割り当て機能を備えたIEEE 802.1xは、トランク ポート、ダイナミック ポート、またはVMPSによるダイナミック アクセス ポート割り当てではサポートされません。

dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチでグローバルにIEEE 802.1xをイネーブルにする前に、IEEE 802.1xおよびEtherChannelが設定されているインターフェイスからEtherChannelの設定を削除してください。

EAP-Transparent LAN Service(TLS;透過型LANサービス)によるIEEE 802.1x認証のためのCisco Access Control Server(ACS)アプリケーションが動作する装置を使用していて、スイッチでCisco IOS Release 12.1(14)EA1が稼働している場合、装置でACSバージョン3.2.1以降を使用するようにしてください。

DHCPクライアントが接続されているIEEE 802.1xポートにゲストVLANを設定したあと、DHCPサーバからホストIPアドレスを取得する必要があります。クライアントのDHCPプロセスがタイムアウトになってDHCPサーバからホストIPアドレスの取得を試みる前に、スイッチのIEEE 802.1x認証プロセスを再起動するための設定を変更することもできます。IEEE 802.1x認証プロセスのための設定(IEEE 802.1xの待機時間およびスイッチからクライアントへの送信時間)を減らしてください。

ハブを介してスイッチに接続されているPCが、IEEE 802.1x複数ホスト ポートで認証され、他のポートに移動し、次に他のハブを介して接続された場合、スイッチはPCを認証しません。 dot1x timeout reauth-period seconds インターフェイス コンフィギュレーション コマンドを入力して、再認証の間隔(秒)を狭めることにより、これを回避できます。

旧ソフトウェア リリースからのアップグレード

Cisco IOS Release 12.1(14)EA1では、IEEE 802.1xの実装が以前のリリースから変更されています。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドになり、新しいコマンドが追加されました。

スイッチでIEEE 802.1xを設定して、Cisco IOS Release 12.1(14)EA1以降にアップグレードした場合、そのコンフィギュレーション ファイルには新しいコマンドが含まれず、IEEE 802.1xは機能しません。アップグレードを完了したあと、必ず dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用してIEEE 802.1xをグローバルにイネーブル化してください。あるインターフェイス上でIEEE 802.1xが以前のリリースでは複数ホスト モードで稼働していた場合は、必ず dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再設定してください。

IEEE 802.1x認証のイネーブル化

IEEE 802.1xポート ベース認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

VLAN割り当てを可能にするには、AAA許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対応するようにスイッチを設定する必要があります。

IEEE 802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 として、すべてのRADIUSサーバのリストを認証に使用するには group radius キーワードを入力します。


) 他のキーワードがコマンドラインのヘルプ ストリングに表示されていますが、defaultおよびgroup radiusキーワードのみがサポートされます。


ステップ 4

dot1x system-auth-control

スイッチでIEEE 802.1x認証をグローバルにイネーブル化します。

ステップ 5

aaa authorization network { default } group radius

(任意)ネットワーク関連のすべてのサービス要求(VLAN割り当てなど)に対するユーザRADIUS許可を、スイッチに設定します。

ステップ 6

radius-server host ip-address

(任意)RADIUSサーバのIPアドレスを指定します。

ステップ 7

radius-server key string

(任意) RADIUSサーバ上で動作するRADIUSデーモンとスイッチの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x認証対応のクライアントに接続されるポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

swtichport mode access

(任意)ステップ6およびステップ7でRADIUSサーバを設定した場合にのみ、ポートをアクセス モードに設定します。

ステップ 10

dot1x port-control auto

インターフェイス上でIEEE 802.1x認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x設定時の注意事項」を参照してください。

ステップ 11

end

イネーブルEXECモードに戻ります。

ステップ 12

show dot1x

設定を確認します。

コマンド出力のIEEE 802.1x Port SummaryセクションのStatusカラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチでIEEE 802.1x認証をディセーブルにするには、
no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。

次に、ポートでAAAとIEEE 802.1xをイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
 

スイッチとRADIUSサーバ間の通信設定

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号によって識別します。IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、サーバの同一IPアドレスにある複数のUDPポートにRADIUS要求を送信できるようになります。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUSホスト エントリは、設定した順序に従って試行されます。

スイッチにRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

スイッチにRADIUSサーバ パラメータを設定します。

hostname | ip-address には、 リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトの設定は1812です。

key string には、スイッチとRADIUSサーバで動作するRADIUSデーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ずradius-server hostコマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵はRADIUSデーモンで使用する暗号鍵に一致している必要があります。


複数のRADIUSサーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレス172.120.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号鍵をRADIUSサーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべてのRADIUSサーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細は、「すべてのRADIUSサーバの設定」を参照してください。

RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチのIPアドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。

RADIUSサーバを使用したIEEE 802.1x認証の設定

Cisco IOS Release 12.2(25)SECでは、RADIUSサーバを使用したIEEE 802.1x認証の設定も可能です。


) Catalyst 2950 LREスイッチはNACレイヤ2 IEEE 802.1x認証をサポートしません。


RADIUSサーバを使用してIEEE 802.1x認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブVLANをIEEE 802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 4

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds ― 秒数を 1~65535 の範囲で設定します。デフォルトは3600秒です。

server ― Session-Timeout RADIUS属性(属性[27])の値として秒数を設定します。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show dot1x interface interface-id

IEEE 802.1x認証の設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、RADIUSサーバを使用してIEEE 802.1xを設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
 

定期的な再認証のイネーブル化

IEEE 802.1xクライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600秒おきに再認証が試行されます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period { seconds | server }

キーワードの意味は次のとおりです。

seconds ― 秒数を 1~65535 の範囲で設定します。デフォルトは3600秒です。

server ― Session-Timeout RADIUS属性(属性[27])の値として秒数を設定します。スイッチがNACレイヤ2 IEEE 802.1xを使用する場合に、このキーワードを使用できます。


serverキーワードは、Catalyst 2950 LREスイッチではサポートされません。


このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証を試行する間隔をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を4000秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証のイネーブル化」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。この休止時間は、quiet-periodの値として設定します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は1~65535秒です。デフォルトは60秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を30秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからのEAP-Request/Identityフレームに対し、EAP-Response/Identityフレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときにのみ変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は15~65535秒です。デフォルトは30秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を60秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントにEAP-Request/Identityフレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときにのみ変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数を設定します。指定できる範囲は1~10です。デフォルトは2です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity要求を送信する回数を5回に設定する例を示します。

Switch(config-if)# dot1x max-req 5

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されているIEEE 802.1x許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数のホストが間接的に接続されるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

IEEE 802.1x許可ポートで複数ホスト(クライアント)を許可します。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートで複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートに複数のホストを接続できるようにする方法を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

ゲストVLANの設定

ゲストVLANを設定すると、サーバがEAPOL Request/Identityフレームへの応答を受信しなかった場合に、IEEE 802.1x非対応のクライアントはゲストVLANに配置されます。IEEE 802.1x対応でも認証に失敗したクライアントは、ネットワークへのアクセスを認可されません。スイッチは単一ホストまたは複数ホスト モードでゲストVLANをサポートします。

ゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるインターフェイス タイプについては、「IEEE 802.1x設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブVLANをIEEE 802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲストVLANをディセーブルにし、削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、ポートでVLAN 9をIEEE 802.1xゲストVLANとしてイネーブルにする例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x guest-vlan 9
 

次の例では、スイッチの待機時間を3に設定し、クライアントからのEAP Request/Identityフレームに対する応答を待ち、要求を再送信するまでの秒数を15に設定し、IEEE 802.1xポートがDHCPクライアントに接続されている場合にVLAN 2をIEEE 802.1xゲストVLANとしてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用すれば、任意のゲストVLAN動作をイネーブルにできます。ゲストVLANがイネーブルの場合、スイッチはEAPOLパケット履歴を維持せず、EAPOLパケットがインターフェイス上で検出されたかどうかに関係なく、ゲストVLANへのアクセス認証に失敗したクライアントを許可します。

任意のゲストVLAN動作をイネーブルにし、ゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x guest-vlan supplicant

任意のゲストVLAN動作をイネーブルをスイッチ上でグローバルにイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされているポート タイプについては、「IEEE 802.1x設定時の注意事項」を参照してください。

ステップ 4

switchport mode access

ポートをアクセス モードにします。

ステップ 5

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

ステップ 6

dot1x guest-vlan vlan-id

アクティブVLANをIEEE 802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 7

end

イネーブルEXECモードに戻ります。

ステップ 8

show dot1x interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

任意のゲストVLAN動作をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。ゲストVLANを削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、任意のゲストVLAN動作をイネーブルにし、VLAN 5をIEEE 802.1xゲストVLANとして指定する例を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5

IEEE 802.1x設定のデフォルト値へのリセット

IEEE 802.1x設定をデフォルト値に戻すには、イネーブルEXECモードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定可能なIEEE 802.1xパラメータをデフォルト値に戻します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x認証の設定

IEEE 802.1xポート ベース認証を設定するには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、ユーザの認証に、リストの最初の方式を使用します。その方式で応答が行えなければ、メソッド リストの次の認証方式が選択されます。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試行されることはありません。

VLAN割り当てを可能にするには、AAA許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対応するようにスイッチを設定する必要があります。

IEEE 802.1x認証、許可、アカウンティングのプロセスは次のとおりです。


ステップ 1 ユーザがスイッチのポートに接続します。

ステップ 2 認証が行われます。

ステップ 3 必要に応じてRADIUSサーバ設定に基づいて、VLAN割り当てがイネーブル化されます。

ステップ 4 スイッチがアカウンティング サーバに開始メッセージを送信します。

ステップ 5 必要に応じて、再認証が行われます。

ステップ 6 スイッチが、再認証の結果に基づいて、アカウンティング サーバに臨時アカウンティング更新を送信します。

ステップ 7 ユーザがポートから切り離されます。

ステップ 8 スイッチがアカウンティング サーバに停止メッセージを送信します。


 

IEEE 802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1 [ method2 ...]

IEEE 802.1x認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

次のキーワードのうち、少なくとも1つを指定します。

group radius ― すべてのRADIUSサーバのリストを認証に使用します。

none ― 認証を使用しません。クライアントから提供される情報を使用することなく、クライアントはスイッチによって自動的に認証されます。

ステップ 4

dot1x system-auth-control

スイッチでIEEE 802.1x認証をグローバルにイネーブル化します。

ステップ 5

aaa authorization network { default } group radius

(任意)ネットワーク関連のすべてのサービス要求(VLAN割り当てなど)に対するユーザRADIUS許可を、スイッチに設定します。

ステップ 6

interface interface-id

IEEE 802.1x認証対応のクライアントに接続されるポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x設定時の注意事項」を参照してください。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show dot1x

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1xアカウンティングの設定

AAAシステム アカウンティングをIEEE 802.1xアカウンティングでイネーブルにすると、記録のためにアカウンティングRADIUSサーバに送信するイベントをリロードできるようになります。サーバでは、アクティブなIEEE 802.1xセッションがすべて終了したとみなされます。

RADIUSは信頼性の低いUDP送信プロトコルを使用しているため、ネットワーク条件によってアカウンティング メッセージが消失することがあります。スイッチで、設定可能なアカウンティング要求再送時間が経過してもRADIUSサーバからアカウンティング応答メッセージが受信されない場合、次のシステム メッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.

) RADIUSサーバで、ロギング開始、停止および臨時更新メッセージ、タイムスタンプなどのアカウンティング タスクが実行されるよう設定する必要があります。これらの機能を有効にするには、RADIUSサーバのNetwork Configurationタブで、「Update/Watchdog packets from this AAA client」のロギングをイネーブルにします。次に、RADIUSサーバのSystem Configurationタブで、「CVS RADIUS Accounting」をイネーブルにします。


スイッチでAAAをイネーブルにしたあとでIEEE 802.1xアカウンティングを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべてのRADIUSサーバのリストを使用してIEEE 802.1xアカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべてのRADIUSサーバのリストを使用して)、スイッチのリロード時にシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信していないRADIUSメッセージの数を表示するには、show radius statisticsイネーブルEXECコマンドを使用します。

次に、IEEE 802.1xアカウンティングを設定する方法を示します。最初のコマンドでは、アカウンティング対象のUDPポートとして1813を指定してRADIUSサーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

IEEE 802.1xの統計情報およびステータスの表示

すべてのインターフェイスに関するIEEE 802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のインターフェイスに関するIEEE 802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチに関するIEEE 802.1x管理および動作ステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のインターフェイスに関するIEEE 802.1x管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。