Catalyst 2950 LRE デスクトップ スイッチ ソフトウェア コンフィギュレーション ガイド
802.1xポート ベース認証の設定
802.1xポート ベース認証の設定
発行日;2012/01/12 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

802.1xポート ベース認証の設定

802.1xポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

サポートするトポロジー

802.1x認証の設定

802.1xのデフォルト設定

802.1x設定時の注意事項

802.1x認証のイネーブル化

スイッチとRADIUSサーバ間の通信設定

定期的な再認証のイネーブル化

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

複数ホストのイネーブル化

802.1x設定のデフォルト値へのリセット

802.1xの統計情報およびステータスの表示

802.1xポート ベース認証の設定

この章では、不正な装置(クライアント)によるネットワーク アクセスを防止するため、IEEE 802.1xポート ベース認証を設定する方法について説明します。 ホテル、空港、会社のロビーなどでもLANが使用されるようになった結果、通信環境の安全性が、より強く求められています。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「802.1xポート ベース認証の概要」

「802.1x認証の設定」

「802.1xの統計情報およびステータスの表示」

802.1xポート ベース認証の概要

IEEE 802.1x規格では、一般の人がアクセス可能なポートから不正なクライアントがLANに接続しないように規制する、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたはLANが提供するサービスを利用できるようにします。

802.1xアクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由ではExtensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ここでは、802.1xポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「サポートするトポロジー」

装置の役割

802.1xポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図 8-1を参照)。

図 8-1 802.1xにおける装置の役割

 

クライアント ― LANおよびスイッチ サービスにアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーション上では、Microsoft Windows XPオペレーティング システムで提供されるような、802.1x準拠のクライアント ソフトウェアが稼働していなければなりません。(クライアントは、IEEE 802.1x仕様では supplicant といいます)。


) Windows XPのネットワーク接続および802.1x認証に関しては、次のURLにある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントにLANおよびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。このリリースでは、認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えたRemote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけがサポートされています。この認証サーバは、Cisco Secure Access Control Serverバージョン3.0で使用可能です。RADIUSはクライアント/サーバ モデルで動作し、RADIUSサーバと1つまたは複数のRADIUSクライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) ― クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUSクライアントが含まれています。

スイッチがEAPOLフレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUSフォーマットに再カプセル化されます。カプセル化ではEAPフレームの変更または検証は行われず、認証サーバはネイティブ フレーム フォーマットのEAPをサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りのEAPフレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として動作できるものには、Catalyst 3550マルチレイヤ スイッチ、Catalyst 2950スイッチ、またはワイヤレス アクセス ポイントがあります。これらの装置では、RADIUSクライアントおよび802.1xをサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチはポートのリンク ステートがダウンからアップに移行したと判断した時点で、認証を開始しなければなりません。その場合、スイッチはEAP-Request/Identityフレームをクライアントに送信して識別情報を要求します(スイッチは通常、最初のIdentity/Requestフレームに続いて、認証情報に関する要求を1つまたは複数送信します)。クライアントはフレームを受信すると、EAP-Response/Identityフレームで応答します。

ただし、クライアントが起動時にスイッチからのEAP-Request/Identityフレームを受信しなかった場合、クライアントはEAPOL-Startフレームを送信して認証を開始することができます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で802.1xがイネーブルに設定されていない、またはサポートされていない場合には、クライアントからのEAPOLフレームはすべて廃棄されます。クライアントが認証の開始を3回試みてもEAP-Request/Identityフレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間でEAPフレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われるEAPフレーム交換は、使用する認証方式によって異なります。図 8-2に、クライアントがRADIUSサーバとの間でOTP(ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図 8-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートは、クライアントがネットワーク アクセスを許可されたかどうかを表します。ポートは最初、 無許可 ステートです。このステートでは、ポートは802.1xプロトコル パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに移行し、クライアントのトラフィック送受信を通常どおりに許可します。

802.1xをサポートしていないクライアントが、無許可ステートの802.1xポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1x対応のクライアントが、802.1xプロトコルの稼働していないポートに接続すると、クライアントはEAPOL-Startフレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― 802.1x認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはインターフェイスを介してクライアントに認証サービスを提供することができません。

auto ― 802.1x認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのはEAPOLフレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、またはEAPOL-Startフレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントのMACアドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoffメッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOL-Logoffフレームを受信した場合に、ポートは無許可ステートに戻ります。

サポートするトポロジー

802.1xポート ベース認証は、次の2つのトポロジーでサポートされます。

ポイントツーポイント

ワイヤレスLAN

ポイントツーポイント構成(802.1xにおける装置の役割を参照)では、802.1x対応のスイッチ ポートにはクライアントが1つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図 8-3に、ワイヤレスLANにおける802.1xポート ベース認証を示します。802.1xポートは複数ホスト ポートとして設定されており、いずれか1つのクライアントが認証された時点で許可ステートになります。ポートが許可ステートになると、そのポートに間接的に接続している他のすべてのホストが、ネットワーク アクセスを許可されます。ポートが無許可ステートになると(再認証が失敗した場合、またはEAPOL-Logoffメッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

図 8-3 ワイヤレスLANの例

 

802.1x認証の設定

ここでは、スイッチに802.1xポート ベース認証を設定する手順について説明します。

「802.1xのデフォルト設定」

「802.1x設定時の注意事項」

「802.1x認証のイネーブル化」(必須)

「スイッチとRADIUSサーバ間の通信設定」(必須)

「定期的な再認証のイネーブル化」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「複数ホストのイネーブル化」(任意)

「802.1x設定のデフォルト値へのリセット」(任意)

802.1xのデフォルト設定

表 8-1 に、802.1xのデフォルト設定を示します。

 

表 8-1 802.1xのデフォルト設定

機能
デフォルト値

Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)

ディセーブル

RADIUSサーバ

IPアドレス

UDP認証ポート

インターフェイス単位の802.1xイネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとの802.1xベース認証を行わずに、通常のトラフィックを送受信します。

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600秒

待機時間

60秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30秒(スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数)

複数ホストのサポート

ディセーブル

クライアント タイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。 この値は設定不可能です)

802.1x設定時の注意事項

ここでは、802.1x認証設定時の注意事項について説明します。

802.1xをイネーブルにすると、他のレイヤ2機能がイネーブルになる前に、ポートが認証されます。

802.1xプロトコルは、レイヤ2のスタティック アクセス ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをトランクに変更しようとしても、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをダイナミック ポートに変更しようとしても、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートを変更してダイナミックVLANを割り当てようとしても、エラー メッセージが表示され、VLAN設定は変更されません。

EtherChannelポート ― ポート上で802.1xをイネーブルにする前に、EtherChannelからそのポートを削除しておく必要があります。EtherChannelまたはEtherChannel上のアクティブ ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。まだアクティブになっていないEtherChannel上のポートで802.1xをイネーブルにしても、そのポートはEtherChannelに加入しません。

セキュア ポート ― 802.1xポートはセキュア ポートに設定できません。セキュア ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートを変更してセキュア ポートにしようとしても、エラー メッセージが表示され、セキュリティ設定は変更されません。

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポート ― SPAN宛先ポートになっているポートでは、802.1xをイネーブルにできます。ただし、そのポートがSPAN宛先として削除されるまで802.1xはディセーブルになっています。SPAN送信元ポートでは、802.1xをイネーブルにできます。

802.1xプロトコルは、Cisco 585 LRE CPEが接続されたLREスイッチ インターフェイスでは、サポートされません。

802.1x認証のイネーブル化

802.1xポート ベース認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。

802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1 [ method2 ...]

802.1x認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

次のキーワードのうち、少なくとも1つを指定します。

group radius ― すべてのRADIUSサーバのリストを使用して認証します。

none ― 認証を使用しません。クライアントから提供される情報を使用することなく、クライアントはスイッチによって自動的に認証されます。

ステップ 4

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、802.1x認証対応のクライアントに接続されるインターフェイスを指定します。

ステップ 5

dot1x port-control auto

インターフェイス上で802.1x認証をイネーブルにします。

トランク、ダイナミック、ダイナミック アクセス、
EtherChannel、セキュア、およびSPANポートの機能の相互関係については、「802.1x設定時の注意事項」を参照してください。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show dot1x

設定を確認します。

コマンド出力の802.1x Port SummaryセクションのStatusカラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } method1 [ method2 ...] グローバル コンフィギュレーション コマンドを使用します。802.1x認証をディセーブルにするには、 dot1x port-control force-authorized または no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次に、Fast Ethernetポート0/1でAAAおよび802.1xをイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
 

スイッチとRADIUSサーバ間の通信設定

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号によって識別します。IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、サーバの同一IPアドレス上にある複数のUDPポートにRADIUS要求を送信できるようになります。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2番目に設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUSホスト エントリは、設定した順序に従って試行されます。

スイッチにRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

スイッチにRADIUSサーバ パラメータを設定します。

hostname | ip-address には、 リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトの設定は1812です。

key string には、スイッチとRADIUSサーバ上で動作するRADIUSデーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ずradius-server hostコマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵はRADIUSデーモンで使用する暗号鍵に一致している必要があります。


複数のRADIUSサーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレス172.120.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号鍵をRADIUSサーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべてのRADIUSサーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細は、「すべてのRADIUSサーバの設定」を参照してください。

RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチのIPアドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。

定期的な再認証のイネーブル化

802.1xクライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定することができます。再認証を行う間隔を指定しない場合、3600秒おきに再認証が試みられます。

802.1xクライアントの自動的な再認証はグローバルな設定であり、個々のポートに接続するクライアント別に設定することはできません。特定のポートに接続するクライアントを手動で再認証する方法については、「ポートに接続するクライアントの手動での再認証」を参照してください。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x re-authentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 3

dot1x timeout re-authperiod seconds

再認証の間隔(秒)を指定します。

指定できる範囲は 1~4294967295 です。デフォルトは3600秒です。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x re-authentication グローバル コンフィギュレーション コマンドを使用します。再認証の間隔をデフォルトの秒数に戻すには、 no dot1x timeout re-authperiod グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を4000秒に設定する例を示します。

Switch(config)# dot1x re-authentication
Switch(config)# dot1x timeout re-authperiod 4000
 

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証することができます。 定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証のイネーブル化」を参照してください。

次に、Fast Ethernetポート0/1に接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1
Starting reauthentication on FastEthernet0/1
 

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。この休止時間は、quiet-periodに対する値として設定します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は0~65535秒です。デフォルトは60秒です。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show dot1x

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period グローバル コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を30秒に設定する例を示します。

Switch(config)# dot1x timeout quiet-period 30
 

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからのEAP-Request/Identityフレームに対し、EAP-Response/Identityフレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x timeout tx-period seconds

スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は1~65535秒です。デフォルトは30秒です。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show dot1x

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period グローバル コンフィギュレーション コマンドを使用します。

次に、スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を60秒に設定する例を示します。

Switch(config)# dot1x timeout tx-period 60
 

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントにEAP-Request/Identityフレームを送信する回数を変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x max-req count

スイッチが認証プロセスを再起動する前に、
EAP-Request/Identityフレームを送信する回数を設定します。指定できる範囲は1~10です。デフォルトは2です。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show dot1x

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req グローバル コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity要求を送信する回数を5に設定する例を示します。

Switch(config)# dot1x max-req 5
 

複数ホストのイネーブル化

図 8-3に示すように、1つの802.1x対応ポートに複数のホストを接続することができます。このモードでは、接続されたホストのうち1つが正常に許可されれば、すべてのホストのネットワーク アクセスが許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、またはEAPOL-Logoffメッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポートで、複数ホストを受け入れるには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、複数のホストを間接的に接続するインターフェイスを指定します。

ステップ 3

dot1x multiple-hosts

802.1x許可ポートで複数ホスト(クライアント)をイネーブルにします。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートで複数ホストをディセーブルにするには、no dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドを使用します。

次に、Fast Ethernetインターフェイス0/1で802.1xをイネーブルにし、複数のホストを接続できるようにする例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x multiple-hosts
 

802.1x設定のデフォルト値へのリセット

802.1x設定をデフォルト値に戻すには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x default

設定可能な802.1xパラメータをデフォルト値に戻します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show dot1x

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1xの統計情報およびステータスの表示

すべてのインターフェイスに関する802.1x統計情報を表示するには、 show dot1x statistics イネーブルEXECコマンドを使用します。特定のインターフェイスに関する802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチに関する802.1x管理および動作ステータスを表示するには、 show dot1x イネーブルEXECコマンドを使用します。特定のインターフェイスに関する802.1x管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。