Catalyst 2950/2955 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.1(22)EA7
IEEE 802.1x ポート ベース認証の設定
IEEE 802.1x ポート ベース認証の設定
発行日;2012/01/14 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IEEE 802.1x ポート ベース認証の設定

IEEE 802.1x ポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1x ホスト モード

IEEE 802.1x アカウンティング

IEEE 802.1x アカウンティングの属性値ペア

VLAN 割り当てを使用した IEEE 802.1x 認証の利用

ゲスト VLAN を使用した IEEE 802.1x 認証の利用

制限付き VLAN を使用した IEEE 802.1x 認証の利用

音声 VLAN ポートを使用した IEEE 802.1x 認証の利用

ポート セキュリティを使用した IEEE 802.1x 認証の利用

Wake-on-LAN を使用した IEEE 802.1x 認証の利用

NAC レイヤ 2 IEEE 802.1x 検証

IEEE 802.1x 認証の設定

IEEE 802.1x 認証のデフォルト設定

IEEE 802.1x 認証設定時の注意事項

IEEE 802.1x 認証

VLAN 割り当て、ゲスト VLAN、および制限付き VLAN

旧ソフトウェア リリースからのアップグレード

IEEE 802.1x 認証の設定

スイッチと RADIUS サーバ間の通信設定

ホスト モードの設定

定期的な再認証のイネーブル化

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

IEEE 802.1x アカウンティングの設定

ゲスト VLAN の設定

制限付き VLAN の設定

WoL を使用した IEEE 802.1x 認証の設定

NAC レイヤ 2 IEEE 802.1x 検証の設定

IEEE 802.1x 設定のデフォルト値へのリセット

IEEE 802.1x の統計情報およびステータスの表示

IEEE 802.1x ポート ベース認証の設定

この章では、Catalyst 2950 または Catalyst 2955 で IEEE 802.1x ポート ベース認証の設定を行う方法について説明します。IEEE 8021.1x 認証は、不正な装置(クライアント)によるネットワーク アクセスを防止します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスおよび『Cisco IOS Configuration Fundamentals Command』Release 12.1 の「RADIUS Commands」の項を参照してください。


この章の内容は、次のとおりです。

「IEEE 802.1x ポート ベース認証の概要」

「IEEE 802.1x 認証の設定」

「IEEE 802.1x の統計情報およびステータスの表示」

IEEE 802.1x ポート ベース認証の概要

IEEE 802.1x 規格では、一般の人がアクセス可能なポートから、認証を得ていない不正なクライアントが LAN に接続しないように規制する、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。

802.1x アクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、および Spanning-Tree Protocol(STP; スパニングツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、IEEE 802.1x ポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1x ホスト モード」

「IEEE 802.1x アカウンティング」

「IEEE 802.1x アカウンティングの属性値ペア」

「VLAN 割り当てを使用した IEEE 802.1x 認証の利用」

「ゲスト VLAN を使用した IEEE 802.1x 認証の利用」

「制限付き VLAN を使用した IEEE 802.1x 認証の利用」

「音声 VLAN ポートを使用した IEEE 802.1x 認証の利用」

「ポート セキュリティを使用した IEEE 802.1x 認証の利用」

「Wake-on-LAN を使用した IEEE 802.1x 認証の利用」

「NAC レイヤ 2 IEEE 802.1x 検証」

装置の役割

IEEE 802.1x ポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図9-1 を参照)。

図9-1 IEEE 802.1x における装置の役割

 

クライアント ― LAN およびスイッチ サービスにアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーション上では、Microsoft Windows XP オペレーティング システムで提供されるような、IEEE 802.1x 準拠のクライアント ソフトウェアが稼働していなければなりません(クライアントは、IEEE 802.1x 規格では サプリカント といいます)。


) Windows XP のネットワーク接続および IEEE 802.1x 認証に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。このリリースでは、Extensible Authentication Protocol(EAP)拡張の設定された RADIUS セキュリティ システムのみが、認証サーバとしてサポートされます。これは、Cisco Secure Access Control Server バージョン 3.0 以降で使用可能です。RADIUS はクライアント/サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) ― クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

スイッチが EAPOL フレームを受信して認証サーバにリレーする場合、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS フォーマットに再カプセル化されます。カプセル化では EAP フレームの変更は行われず、認証サーバはネイティブ フレーム フォーマットの EAP をサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として動作できる装置には、Catalyst 3750、3560、3550、2970、2955、2950、2940 スイッチ、またはワイヤレス アクセス ポイントが含まれます。これらの装置では、RADIUS クライアントおよび IEEE 802.1x 認証をサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

IEEE 802.1x 認証中に、スイッチまたはクライアントは認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、ポートのリンク ステートがダウンからアップに変更されたとき、またはポートがアップであり認証されていない状態である限り定期的に、スイッチは認証を開始する必要があります。その場合、スイッチは EAP-Request/Identity フレームをクライアントに送信して識別情報を要求します。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で IEEE 802.1x 認証がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべて廃棄されます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。認証が失敗した場合、認証が再試行されるか、ポートが限定的なサービスを提供する VLAN に割り当てられるか、あるいはネットワーク アクセスが許可されないかのいずれかになります。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図9-2 に、クライアントが RADIUS サーバとの間で One Time Password(OTP; ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図9-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

IEEE 802.1x 認証中に、スイッチ ポートのステートによって、クライアントがネットワーク アクセスを許可されているかどうかがわかります。ポートは最初、 無許可 ステートです。このステートにある間は、音声 VLAN ポートとして設定されていないポートは、IEEE 802.1x 認証、CDP、STP パケットを除くすべての入力トラフィックおよび出力トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに変更され、そのクライアントのすべてのトラフィックは通常のフローが許可されます。ポートが音声 VLAN ポートとして設定されている場合、ポートは Voice over IP(VoIP)トラフィックおよび EAP-Request/Identity フレーム プロトコル パケットを許可してから、クライアントを認証します。

IEEE 802.1x 認証をサポートしていないクライアントが、無許可ステートの IEEE 802.1x ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、IEEE 802.1x 対応のクライアントが、IEEE 802.1x 規格の稼働していないポートに接続すると、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― IEEE 802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとのIEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはインターフェイスを介してクライアントに認証サービスを提供できません。

auto ― IEEE 802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、または EAPOL-Start フレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoff メッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL-Logoff フレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1x ホスト モード

IEEE 802.1x ポートは、単一ホストまたは複数ホスト モードに設定できます。シングルホスト モード(図9-1を参照)では、IEEE 802.1x 対応のスイッチ ポートには 1 つのクライアントしか接続できません。スイッチは、ポートのリンク ステートがアップに変更されたときにEAPOLフレームを送信することで、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

複数ホスト モードでは、複数ホストを単一の IEEE 802.1x 対応ポートに接続できます。図9-3に、ワイヤレス LAN での IEEE 802.1x ポートベースの認証を示します。このモードでは、接続されたクライアントのうち 1 つが許可されれば、すべてのクライアントのネットワーク アクセスが認可されます。ポートが無許可ステートになると(再認証が失敗した場合、または EAPOL-Logoff メッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する責任があり、スイッチに対してクライアントとして機能します。

複数ホスト モードがイネーブルの場合、クライアントの MAC アドレスを含むすべての MAC アドレスへのネットワーク アクセスを管理するために、IEEE 802.1x 認証を使用してポートおよびポート セキュリティを認証できます。

図9-3 複数ホスト モードの例

 

IEEE 802.1x アカウンティング

IEEE 802.1x 規格では、ユーザのネットワーク アクセスの許可および認証の方法について定義していますが、ネットワーク利用については追跡調査を行いません。IEEE 802.1x アカウンティングは、デフォルトではディセーブルです。IEEE 802.1x アカウンティングをイネーブルにして、IEEE 802.1x 対応ポートでの次のアクティビティを監視できます。

ユーザの正常認証

ユーザのログオフ

リンクダウンの発生

再認証の正常実行

再認証の失敗

スイッチでは、IEEE 802.1x アカウンティング情報が記録されません。その代わり、この情報が RADIUS サーバに送信されます。RADIUS サーバは、アカウンティング メッセージを記録するように設定する必要があります。

IEEE 802.1x アカウンティングの属性値ペア

RADIUS サーバに送信される情報は、Attribute-Value(AV; 属性値)ペアの形式で表示されます。これらの AV ペアは、異なるアプリケーションのデータを提供します(たとえば課金アプリケーションでは、RADIUS パケットの Acct-Input-Octet または Acct-Output-Octet の属性にある情報が必要です)。

AV ペアは、IEEE 802.1x アカウンティングが設定されたスイッチにより自動的に送信されます。スイッチが送信する RADIUS アカウンティグ パケットには、次の 3 タイプがあります。

START ― 新しいユーザ セッションを開始するときに送信されます。

INTERIM ― 既存のセッション間に更新のために送信されます。

STOP ― セッションが終了するときに送信されます。

表9-1 に、AV ペアがスイッチに送信される時を示します。

 

表9-1 アカウンティング AV ペア

属性番号
AV ペア名
START
INTERIM
STOP

属性 [1]

User-Name

常時

常時

常時

属性 [4]

NAS-IP-Address

常時

常時

常時

属性 [5]

NAS-Port

常時

常時

常時

属性 [8]

Framed-IP-Address

なし

時々 1

時々 1

属性 [25]

Class

常時

常時

常時

属性 [30]

Called-Station-ID

常時

常時

常時

属性 [31]

Calling-Station-ID

常時

常時

常時

属性 [40]

Acct-Status-Type

常時

常時

常時

属性 [41]

Acct-Delay-Time

常時

常時

常時

属性 [42]

Acct-Input-Octets

なし

なし

常時

属性 [43]

Acct-Output-Octets

なし

なし

常時

属性 [44]

Acct-Session-ID

常時

常時

常時

属性 [45]

Acct-Authentic

常時

常時

常時

属性 [46]

Acct-Session-Time

なし

なし

常時

属性 [49]

Acct-Terminate-Cause

なし

なし

常時

属性 [61]

NAS-Port-Type

常時

常時

常時

1.Framed-IP-AddressのAVペアは、DHCPスヌーピング バインディング テーブル内のホストに有効なDynamic Host Control Protocol(DHCP)バインディングが存在する場合にのみ送信されます。

AV ペアの詳細については、RFC 3580 「IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines」を参照してください。

VLAN 割り当てを使用した IEEE 802.1x 認証の利用

VLAN 割り当てを使用すると、特定のユーザのネットワーク アクセスを制限できます。ポートの IEEE 802.1x 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信してスイッチのポートを設定します。RADIUS サーバのデータベースは、ユーザ名/VLAN のマッピングを保持します。これにより、スイッチ ポートに接続したクライアントのユーザ名に基づいて VLAN が割り当てられます。

スイッチおよび RADIUS サーバ上で設定が行われた場合、VLAN 割り当てを使用した IEEE 802.1x 認証には次の特長があります。

RADIUS サーバによって VLAN が提供されない場合、または IEEE 802.1x 認証がディセーブルになっている場合、認証が成功したあとにアクセス VLAN 内でポートの設定が行われます。

IEEE 802.1x 認証がイネーブルになっていて RADIUS サーバからの VLAN 情報が無効である場合、ポートは無許可ステートに戻り、設定されたアクセス VLAN 内にとどまります。これにより、コンフィギュレーション エラーがもとでポートが不適切な VLAN に予期せずに現れるのを防止します。

コンフィギュレーション エラーには、不正な形式の VLAN ID や存在しない VLAN ID の指定、または音声 VLAN ID への割り当てを行おうとしている場合が含まれます。

IEEE 802.1x 認証がイネーブルになっており、RADIUS サーバからのすべての情報が有効である場合、認証のあとにポートは指定された VLAN に配置されます。

複数ホストのモードがIEEE 802.1x ポートでイネーブルになっている場合、すべてのホストが、最初に認証されたホストと同じ(RADIUSサーバにより指定された)VLAN に配置されます。

IEEE 802.1x 認証とポート セキュリティがポート上でイネーブルの場合は、そのポートは RADIUS サーバによって割り当てられた VLAN に配置されます。

IEEE 802.1x 認証がポート上でディセーブルになっている場合、設定が行われたアクセス VLAN に戻されます。

ポートが force authorized、force unauthorized、unauthorized、またはshutdown ステートにある場合、そのポートは設定されたアクセス VLAN に配置されます。

IEEE 802.1x ポートが認証され、RADIUSサーバが割り当てた VLAN に配置された場合、そのポートのアクセス VLAN 設定の変更は無効になります。

VLAN 割り当て機能を備えた IEEE 802.1x 認証は、トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当てではサポートされません。

VLAN 割り当てを設定する場合は、次の作業を行ってください。

Authentication、Authorization、Accounting(AAA)認証をイネーブルにします。

IEEE 802.1x 認証をイネーブルにします(アクセス ポートで IEEE 802.1x 認証を設定した場合、VLAN 割り当て機能は自動的にイネーブルになります)。

RADIUS サーバでベンダー固有のトンネル属性を割り当てます。RADIUS サーバは次の属性をスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = IEEE 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

属性 [64] には値 VLAN (タイプ 13)を含んでいる必要があります。属性 [65] には値 IEEE 802 (タイプ 6)を含んでいる必要があります。属性 [81] は IEEE 802.1x 認証ユーザに割り当てる VLAN 名 または VLAN ID を指定します。

トンネル属性の例については、「ベンダー固有の RADIUS 属性を使用するスイッチ設定」を参照してください。

ゲスト VLAN を使用した IEEE 802.1x 認証の利用

スイッチ上の各 IEEE 802.1x ポートにゲスト VLAN を設定し、クライアントへのサービスを限定できます(たとえば、IEEE 802.1x クライアントのダウンロードなど)。これらのクライアントは IEEE 802.1x 認証用にシステムをアップグレードできるかもしれませんが、一部のホストは、Windows 98 システムのように、IEEE 802.1x 対応ではない場合があります。

IEEE 802.1x ポート上でゲスト VLAN をイネーブルにすると、スイッチが EAP Request/Identity フレームへの応答を受信しない場合、またはクライアントから EAPOL パケットが送信されない場合に、スイッチはクライアントをゲスト VLAN に割り当てます。

Cisco IOS Release 12.1(22)EA2より前のリリースでは、スイッチは EAPOL パケット履歴を維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関係なく、ゲスト VLAN へのアクセス認証に失敗したクライアントを許可していました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用すれば、この動作をイネーブルにできます。

Cisco IOS Release 12.1(22)EA2以降のリリースでは、スイッチは EAPOL パケット履歴を維持します。リンクの存続中にインターフェイス上で EAPOL パケットが検出された場合、スイッチはそのインターフェイスに接続された装置が 802.1x 対応のサプリカントであることを確認し、インターフェイスはゲスト VLAN ステートには変更されません。インターフェイスのリンク ステータスがダウンになると EAPOL 履歴はクリアされます。インターフェイス上で EAPOL パケットが検出されない場合、インターフェイスはゲスト VLAN ステートに変更されます。


) インターフェイスがゲスト VLAN に変更されたあとに EAPOL パケットを検出した場合、インターフェイスは無許可ステートに戻り、802.1x 認証が再開されます。


スイッチのポートがゲスト VLAN に移行すると、アクセスが許可される IEEE 802.1x 非対応クライアントの数に制限はありません。IEEE 802.1x 対応のクライアントがゲスト VLAN の設定された同じポートに加入した場合、そのポートは、ユーザ設定のアクセス VLAN 内で無許可ステートに置かれ、認証が再び開始されます。

ゲスト VLAN は、単一ホストまたは複数ホスト モードのIEEE 802.1x ポートでサポートされています。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、トランク ポートではサポートされません。サポートされるのはアクセス ポートのみです。

設定手順については、「ゲスト VLAN の設定」を参照してください。

制限付き VLAN を使用した IEEE 802.1x 認証の利用

ゲスト VLAN にアクセスできないクライアントに対し、限定されたサービスを提供するために、スイッチの各 IEEE 802.1x ポートに制限付き VLAN を設定できます。これらのクライアントは IEEE 802.1x に準拠したクライアントで、認証プロセスに失敗したため他の VLAN にアクセスすることができません。制限付き VLAN を使用すると、認証サーバの有効な証明書を持っていないユーザ(通常、企業への訪問者)は制限付きのサービスにアクセスできます。管理者は制限付き VLAN で利用できるサービスを制御できます。


) ゲスト VLAN と制限付き VLAN のユーザに同一のサービスを提供する場合は、VLAN を両方のタイプに設定できます。


この機能がないと、クライアントは認証の試行と失敗をいつまでも繰り返し、スイッチ ポートはスパニングツリー ブロッキング ステートのままになります。この機能を使用すると、指定した回数(デフォルト値は 3 回)の認証試行のあと、スイッチ ポートを制限付き VLAN に設定できます。

オーセンティケータは、クライアントの認証失敗回数をカウントします。この回数が、設定した認証試行回数を超えると、ポートは制限付き VLAN に移行します。失敗した認証回数は、RADIUS が EAP failure を返すか、EAP パケットのない空の応答を返したときに加算されます。ポートが制限付き VLAN に移行すると、この失敗した回数はリセットされます。

認証に失敗したユーザは、次に再認証が試行されるまで制限付き VLAN のままです。制限付き VLAN 内のポートは、設定された間隔(デフォルトは 60 秒)で再認証を試みます。再認証に失敗すると、ポートは制限付き VLAN のままとなります。再認証に成功すると、ポートは設定された VLAN または RADIUS サーバから通知された VLAN に移行します。再認証はディセーブルにできます。ディセーブルにすると、ポートが link down イベントまたは EAP logoff イベントを受信しないかぎり、認証プロセスは再開されません。クライアントがハブを介して接続している場合は、再認証をイネーブルにしておくことを推奨します。クライアントがハブから切り離されると、ポートが link down イベントまたは EAP logoff イベントを受信できない場合があります。

ポートが制限付き VLAN に移行すると、擬似的な EAP 成功メッセージをクライアントに送信します。これにより、クライアントがいつまでも認証を試行することを防ぎます。クライアントには(Windows XP が稼働する装置など)、EAP が成功しないと DHCP を実行できないものがあります。

制限付き VLAN は、シングルホスト モードの IEEE 802.1x ポートおよびレイヤ 2 ポートでのみサポートされます。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限付き VLAN に設定できます。制限付き VLAN 機能は、トランク ポートではサポートされません。アクセス ポートでのみサポートされます。

この機能はポート セキュリティと連携して動作します。ポートが認証されるとすぐに MAC アドレスがポート セキュリティに提供されます。ポート セキュリティが MAC アドレスを許可しない場合、またはセキュア アドレス カウントが最大数に達していた場合は、ポートは無許可ステートになり、errordisable ステートになります。

Dynamic ARP Inspection(DAI)、DHCP スヌーピング、および IP ソース ガードなどの、他のポート セキュリティ機能は、制限付き VLAN 上で個別に設定できます。

詳細は、「制限付き VLAN の設定」を参照してください。

音声 VLAN ポートを使用した IEEE 802.1x 認証の利用

音声 VLAN ポートは 2 つの VLAN ID を持つ特殊なアクセス ポートです。

IP Phone との間の音声トラフィックを搬送する VVID。この VVID はポートに接続した IP Phone の設定に使用します。

IP Phone を通じてスイッチに接続されたワークステーションとの間のデータ トラフィックを搬送する PVID。この PVID はポートのネイティブ VLAN です。

単ホスト モードでは、IP Phone のみが音声 VLAN で許可されます。複数ホスト モードでは、サプリカントが PVID で認証されると、追加されたクライアントは音声 VLAN 上でトラフィックを送信できます。複数ホスト モードがイネーブルの場合、サプリカント認証は PVID および VVID の両方に影響します。

リンクが存在すると音声 VLAN ポートはアクティブになり、IP Phone からの最初の CDP メッセージのあと、その装置の MAC アドレスが現れます。Cisco IP Phone は他の装置からの CDP メッセージをリレーしません。その結果、複数の Cisco IP Phone が連続して接続されている場合、スイッチは直接接続された 1 台のみを認識することになります。IEEE 802.1x 認証が音声 VLAN ポートでイネーブルになっている場合、スイッチは 2 ホップ以上離れた認識されない Cisco IP Phone からのパケットを廃棄します。

ポートで IEEE 802.1x 認証がイネーブルになっている場合、音声 VLAN の機能を持つポート VLAN の設定を行うことはできません。

音声 VLAN の詳細については、 第 18 章「音声 VLAN の設定」 を参照してください。

ポート セキュリティを使用した IEEE 802.1x 認証の利用

単一ホスト モードまたは複数ホスト モードのどちらかで、IEEE 802.1x ポートにポート セキュリティを設定できます(また、 switchport port-security インターフェイス コンフィギュレーション コマンドを使用して、ポートのポート セキュリティの設定も行う必要があります)。ポートにおいてポート セキュリティと IEEE 802.1x をイネーブルにした場合、IEEE 802.1x 認証はポートの認証を行い、ポート セキュリティはクライアントを含むすべての MAC アドレスのネットワーク アクセスを管理します。それにより、IEEE 802.1x のポートを経由してネットワークにアクセスできるクライアントの数またはグループを制限できます。

次に、スイッチでの IEEE 802.1x 認証とポート セキュリティの間の相互作用の例を紹介します。

クライアントが認証されており、かつポート セキュリティ テーブルが一杯になっていない場合、そのクライアントの MAC アドレスが、セキュア ホストのポート セキュリティ一覧に追加されます。そのあと、ポートが正常にアクティブになります。

クライアントが認証されており、手動でポート セキュリティの設定が行われている場合、ポート セキュリティはセキュア ホスト テーブルへのエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっている場合は除く)。

クライアントが認証されており、ポート セキュリティ テーブルが一杯の場合、セキュリティ違反が起こります。これは、セキュア ホストの最大数がスタティックに設定されている場合、またはクライアントがセキュア ホスト テーブルからエージアウトする場合に起こることがあります。クライアントのアドレスが期限切れになった場合、セキュア ホスト テーブル内の該当場所が別のホストに取られる可能性があります。

セキュリティ違反への対応は、ポート セキュリティ違反モードによって決まります。詳細は、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、ポート セキュリティ テーブルから IEEE 802.1x クライアント アドレスを手動で削除する場合は、dot1x re-authenticate interface interface-id イネーブル EXEC コマンドを使用して、IEEE 802.1x クライアントの再認証を行う必要があります。

IEEE 802.1x クライアントがログオフする場合には、ポートは未認証ステートに変わり、クライアントのエントリも含めセキュア ホスト テーブル内のすべてのダイナミック エントリが消去されます。そのあと、通常の認証が行われます。

ポートが管理上シャットダウンされた場合には、ポートは認証されていない状態となり、すべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

ポート セキュリティと音声 VLAN は、単一ホストまたは複数ホスト モードにあるIEEE 802.1x ポートで同時に設定できます。ポート セキュリティは Voice VLAN Identifier(VVID; 音声 VLAN ID)および Port VLAN Identifier(PVID; ポート VLAN ID)の両方に適用されます。

スイッチにおけるポート セキュリティのイネーブル化の詳細については、「ポート セキュリティの設定」を参照してください。

Wake-on-LAN を使用した IEEE 802.1x 認証の利用

IEEE 802.1x Wake-on-LAN(WoL)機能により、スイッチが特定のイーサネット フレーム(マジック パケット)を受信すると、休止状態の PC の電源をオンにできます。この機能は、電源がオフになっているシステムに管理者が接続する必要がある場合に使用されます。この機能は、IEEE 802.1x 規格の 単一方向制御ポート とも呼ばれます。

WoL を使用するホストが IEEE 802.1x ポートを介して接続され、ホストの電源がオフになると、IEEE 802.1x ポートは無許可になります。このポートは EAPOL パケットしか送受信できないため、WoL マジック パケットはホストに到達しません。PC の電源がオフになると、PC は認証されず、スイッチ ポートは開きません。

スイッチが WoL 機能を有効にした IEEE 802.1x 認証を使用している場合、スイッチはマジック パケットを含むトラフィックを無許可の IEEE 802.1x ポートに転送します。ポートが無許可の間、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信できますが、ネットワークの他の装置にパケットを送信することはできません。


) PortFast がポート上でイネーブルになっていない場合、ポートは強制的に双方向ステートになります。


dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用して、ポートを単一方向に設定すると、ポートはスパニングツリー フォワーディング ステートに変わります。ポートはホストにパケットを送信できますが、ホストからパケットを受信できません。

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用して、ポートを双方向に設定すると、ポートのアクセスが双方向で制御されます。ポートはホストとの間でパケットの送受信を行いません。

NAC レイヤ 2 IEEE 802.1x 検証

Cisco IOS Release 12.1(22)EA6 以降では、スイッチは Network Admission Control(NAC; ネットワーク アドミッション制御)レイヤ 2 IEEE 802.1x 検証をサポートします。これは、装置のネットワーク アクセスを許可する前に、エンドポイント システムまたはクライアントのウィルス対策状態や ポスチャ をチェックします。NAC レイヤ 2 IEEE 802.1x 検証を使用すると、次の作業を行うことができます。

Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])を認証サーバからダウンロードします。

Session-Timeout RADIUS 属性(属性 [27])の値として再認証を行う間隔を秒数で設定し、RADIUS サーバからクライアントに対するアクセス ポリシーを取得します。

Termination-Action RADIUS 属性(属性 [29])を使用して、スイッチがクライアントを再認証する際の対処法を設定します。設定値が DEFAULT の場合、または値を設定しなかった場合は、セッションが終了します。設定値が RADIUS-Request の場合は、再認証プロセスが開始します。

show dot1x イネーブル EXEC コマンドを使用し、NAC ボスチャ トークンを表示します。ここには、クライアントのポスチャが示されます。

セカンダリ プライベート VLAN をゲスト VLAN として設定します。

NAC レイヤ 2 IEEE 802.1x 検証の設定は、RADIUS サーバにポスチャ トークンを設定する必要があることを除いて、IEEE 802.1x ポート ベース認証とほぼ同じです。NAC レイヤ 2 IEEE 802.1x 検証の設定に関する詳細については、「NAC レイヤ 2 IEEE 802.1x 検証の設定」および 「定期的な再認証のイネーブル化」 を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

IEEE 802.1x 認証の設定

ここでは、スイッチに IEEE 802.1x ポート ベース認証を設定する手順について説明します。

「IEEE 802.1x 認証のデフォルト設定」

「IEEE 802.1x 認証設定時の注意事項」

「旧ソフトウェア リリースからのアップグレード」

「IEEE 802.1x 認証の設定」(必須)

「スイッチと RADIUS サーバ間の通信設定」(必須)

「ホスト モードの設定」(任意)

「定期的な再認証のイネーブル化」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「IEEE 802.1x アカウンティングの設定」(任意)

「ゲスト VLAN の設定」(任意)

「制限付き VLAN の設定」(任意)

「WoL を使用した IEEE 802.1x 認証の設定」

「NAC レイヤ 2 IEEE 802.1x 検証の設定」

「IEEE 802.1x 設定のデフォルト値へのリセット」(任意)

IEEE 802.1x 認証のデフォルト設定

表9-2 に、IEEE 802.1x 認証のデフォルト設定を示します。

 

表9-2 IEEE 802.1x 認証のデフォルト設定

機能
デフォルト値

スイッチの IEEE 802.1x イネーブル ステート

ディセーブル

インターフェイス単位の IEEE 802.1x イネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP認証ポート

ホスト モード

シングルホスト モード

制御方向

双方向制御

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600 秒

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30 秒(スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2 回(スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数)

クライアント タイムアウト時間

30 秒(認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。この値は設定変更できません。)

ゲスト VLAN

指定なし

制限付き VLAN

指定なし

IEEE 802.1x 認証設定時の注意事項

ここでは、次の機能の設定時の注意事項について説明します。

「IEEE 802.1x 認証」

「VLAN 割り当て、ゲスト VLAN、および制限付き VLAN」

IEEE 802.1x 認証

IEEE 802.1x 認証の設定時の注意事項は、次のとおりです。

IEEE 802.1x 認証をイネーブルにすると、他のレイヤ 2 機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1x プロトコルは、レイヤ 2 のスタティック アクセス ポートおよび音声 VLAN ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミック ポートに変更しようとしても、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート ― アクティブまたはまだアクティブになっていない EtherChannel のメンバーであるポートはIEEE 802.1x ポートとして設定しません。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)宛先ポート ― SPAN または RSPAN の宛先ポート、または RSPAN のリフレクタ ポートであるポートでは、IEEE 802.1x 認証をイネーブルにできません。ただし、SPAN または RSPAN 送信元ポートでは IEEE 802.1x 認証をイネーブルにできます。

Long-Reach Ethernet(LRE)スイッチ ポート ― 802.1x は、Cisco 585 LRE CPE 装置に接続した LRE スイッチ インターフェイスではサポートされません。

dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチでグローバルに IEEE 802.1x 認証をイネーブルにする前に、IEEE 802.1x 認証および EtherChannel が設定されているインターフェイスから EtherChannel の設定を削除してください。

EAP-Transparent LAN Service(TLS; 透過型 LAN サービス)および EAP-MD5 を使用した IEEE 802.1x 認証において、Cisco Access Control Server(ACS)アプリケーションを実行している装置を使用し、スイッチで Cisco IOS Release 12.1(14)EA1 が稼働している場合、装置で使用している ACS バージョンが 3.2.1 以降であることを確認してください。

VLAN 割り当て、ゲスト VLAN、および制限付き VLAN

VLAN 割り当て、ゲスト VLAN、制限付き VLAN、およびアクセス不能認証バイパス設定時の注意事項を次に示します。

ポートでIEEE 802.1x 認証がイネーブルになっている場合、音声 VLAN の機能を持つポート VLANの設定を行うことはできません。

VLAN 割り当て機能を備えた IEEE 802.1x 認証は、トランク ポート、ダイナミック ポート、または VMPS によるダイナミック アクセス ポート割り当てではサポートされません。

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、トランク ポートではサポートされません。アクセス ポートでのみサポートされます。

DHCP クライアントが接続されている IEEE 802.1x ポートにゲスト VLAN を設定したあと、DHCP サーバからホスト IP アドレスを取得する必要があります。クライアントの DHCP プロセスがタイムアウトになって DHCP サーバからホスト IP アドレスの取得を試みる前に、スイッチのIEEE 802.1x 認証プロセスを再起動するための設定を変更することもできます。IEEE 802.1x 認証プロセスの設定を減らしてください( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス設定コマンド)。設定を減らす程度は、接続する IEEE 802.1x クライアントの種類により異なります。

ハブを介してスイッチに接続されている PC が、IEEE 802.1x 複数ホスト ポートで認証され、他のポートに移動し、次に他のハブを介して接続された場合、スイッチは PC を認証しません。 dot1x timeout reauth-period seconds インターフェイス コンフィギュレーション コマンドを入力して、再認証の間隔(秒)を狭めることにより、これを回避できます。

アクセス不能認証バイパスを設定する場合は、次の注意事項に従ってください。

この機能はシングルホスト モードおよびマルチホスト モードの IEEE 802.1x ポートでサポートされます。

Windows XP が稼働しているクライアントの接続先のポートがクリティカル認証ステートの場合、Windows XP はインターフェイスが認証されていないとレポートする場合があります。

Windows XP クライアントに DHCP が設定され、DHCP サーバから IP アドレスを取得している場合、クリティカル ポート上で EAP-Success メッセージを受信しても DHCP 設定プロセスが再開されないことがあります。

IEEE 802.1x ポートにアクセス不能認証バイパス機能および制限付き VLAN を設定できます。スイッチが制限付き VLAN でクリティカル ポートを再認証しようとして、すべての RADIUS サーバが利用できない場合、スイッチはポート ステートをクリティカル認証ステートに変更し、制限付き VLAN のままとなります。

同じスイッチ ポートにアクセス不能バイパス機能とポート セキュリティを設定できます。

RSPAN VLAN または音声 VLAN を除く任意の VLAN を、IEEE 802.1x 認証制限付き VLAN として設定できます。制限付き VLAN 機能は、トランク ポートではサポートされません。アクセス ポートでのみサポートされます。

旧ソフトウェア リリースからのアップグレード

Cisco IOS Release 12.1(14)EA1 では、IEEE 802.1x 認証の実装が以前のリリースから変更されています。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドになり、新しいコマンドが追加されました。

スイッチで IEEE 802.1x 認証を設定して、Cisco IOS Release 12.1(14)EA1 以降にアップグレードした場合、そのコンフィギュレーション ファイルには新しいコマンドが含まれず、IEEE 802.1x 認証は機能しません。アップグレードを完了したあと、必ず dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して IEEE 802.1x 認証をグローバルにイネーブル化してください。あるインターフェイス上で IEEE 802.1x 認証が以前のリリースでは複数ホスト モードで稼働していた場合は、必ず dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再設定してください。

IEEE 802.1x 認証の設定

IEEE 802.1x ポート ベース認証を設定するには、AAA をイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、ユーザの認証に、リストの最初の方式を使用します。その方式で応答が行えなければ、ソフトウェアはメソッド リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式で通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式は試行されません。

VLAN 割り当てを可能にするには、AAA 許可をイネーブルにして、ネットワーク関連のすべてのサービス要求に対応するようにスイッチを設定する必要があります。

次に IEEE 802.1x の AAA プロセスを示します。


ステップ 1 ユーザがスイッチのポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 必要に応じて RADIUS サーバ設定に基づいて、VLAN 割り当てがイネーブルになります。

ステップ 4 スイッチがアカウンティング サーバに開始メッセージを送信します。

ステップ 5 必要に応じて、再認証が実行されます。

ステップ 6 スイッチが、再認証の結果に基づいて、アカウンティング サーバに暫定的なアカウンティング アップデートを送信します。

ステップ 7 ユーザがポートから切り離されます。

ステップ 8 スイッチがアカウンティング サーバに停止メッセージを送信します。


 

IEEE 802.1x ポート ベース認証を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドにリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、すべての RADIUS サーバのリストを認証に使用できるようにします。


) 他のキーワードもコマンドラインのヘルプ ストリングに表示されますが、default および group radius キーワードのみがサポートされます。


ステップ 4

dot1x system-auth-control

スイッチでIEEE 802.1x 認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ネットワーク関連のすべてのサービス要求(VLAN 割り当てなど)に対するユーザ RADIUS 許可を、スイッチに設定します。

ステップ 6

radius-server host ip-address

(任意)RADIUS サーバの IP アドレスを指定します。

ステップ 7

radius-server key string

(任意)RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続されるポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

swtichport mode access

(任意)ステップ 6 およびステップ 7 で RADIUS サーバを設定した場合にのみ、ポートをアクセス モードに設定します。

ステップ 10

dot1x port-control auto

インターフェイス上で IEEE 802.1x 認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 11

end

イネーブル EXEC モードに戻ります。

ステップ 12

show dot1x

設定を確認します。

コマンド出力の IEEE 802.1x Port Summary セクションの Status カラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチで IEEE 802.1x 認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。

次に、ポートで AAA と IEEE 802.1x 認証をイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
 

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレスにある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

スイッチにRADIUS サーバ パラメータを設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

スイッチに RADIUS サーバ パラメータを設定します。

hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。

auth-port port-number には、認証要求の UDP 宛先ポートを指定します。デフォルトの設定は 1812 です。

key string には、スイッチと RADIUS サーバで動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUS サーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ず radius-server host コマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。


複数の RADIUS サーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。

次に、IP アドレス 172.120.39.46 のサーバを RADIUS サーバとして指定し、ポート 1612 を許可ポートとして使用し、暗号鍵を RADIUS サーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細は、「すべての RADIUS サーバの設定」を参照してください。

RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている IEEE 802.1x 許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数のホストが間接的に接続されるインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

IEEE 802.1x 許可ポートで複数ホスト(クライアント)を許可します。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポートで複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、IEEE 802.1x 認証をイネーブルにし、複数のホストを接続する方法を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
 

定期的な再認証のイネーブル化

IEEE 802.1x クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600 秒おきに再認証が試行されます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period { seconds | server }

キーワードの意味は次のとおりです。

seconds ― 秒数を 1 ~ 65535 の範囲で設定します。デフォルトは 3600 秒です。

server ― Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値を基に秒数を設定します。


server キーワードは、Catalyst 2950 LRE スイッチではサポートされません。


このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証を試行する間隔をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブル EXEC コマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証のイネーブル化」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。この休止時間は、quiet-period の値として設定します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 60 秒です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を 30 秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときにのみ変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は 15 ~ 65535 秒です。デフォルトは 30 秒です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときにのみ変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identity フレームを送信する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity 要求を送信する回数を 5 回に設定する例を示します。

Switch(config-if)# dot1x max-req 5

IEEE 802.1x アカウンティングの設定

AAA システム アカウンティングを IEEE 802.1x アカウンティングでイネーブルにすると、記録のためにアカウンティング RADIUS サーバに送信するイベントをリロードできるようになります。サーバでは、アクティブな IEEE 802.1x セッションがすべて終了したとみなされます。

RADIUS は信頼性の低い UDP 送信プロトコルを使用しているため、ネットワーク条件によってアカウンティング メッセージが消失することがあります。スイッチで、設定可能なアカウンティング要求再送時間が経過しても RADIUS サーバからアカウンティング応答メッセージが受信されない場合、次のシステム メッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) RADIUS サーバで、ロギング開始、停止および臨時更新メッセージ、タイムスタンプなどのアカウンティング タスクが実行されるよう設定する必要があります。これらの機能を有効にするには、RADIUS サーバの Network Configuration タブで、「Update/Watchdog packets from this AAA client」のロギングをイネーブルにします。次に、RADIUS サーバの System Configuration タブで、「CVS RADIUS Accounting」をイネーブルにします。


スイッチで AAA をイネーブルにしたあとで IEEE 802.1x アカウンティングを設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して IEEE 802.1x アカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべての RADIUS サーバのリストを使用して)、スイッチのリロード時にシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信していない RADIUS メッセージの数を表示するには、show radius statistics イネーブル EXEC コマンドを使用します。

次に、IEEE 802.1xアカウンティングを設定する方法を示します。最初のコマンドでは、アカウンティング対象の UDP ポートとして 1813 を指定して RADIUS サーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

ゲスト VLAN の設定

ゲストVLANを設定すると、サーバが EAPOL Request/Identity フレームへの応答を受信しなかった場合に、IEEE 802.1x 非対応のクライアントはゲストVLANに配置されます。IEEE 802.1x 対応でも認証に失敗したクライアントは、ネットワークへのアクセスを認可されません。スイッチは単一ホストまたは複数ホスト モードでゲスト VLAN をサポートします。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用することにより、任意のゲスト VLAN 動作をイネーブルにできます。ゲスト VLAN をイネーブルにすると、スイッチは EAPOL パケット履歴を維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関係なく、ゲスト VLAN へのアクセス認証に失敗したクライアントを許可します。認証に失敗したクライアントはゲスト VLAN にアクセスできます。


) スイッチ設定によっては、ゲスト VLAN にクライアントを割り当てるのに数分を要する場合があります。


ゲスト VLAN を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるインターフェイス タイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLANまたは音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲスト VLAN をディセーブルにし、削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、ポートでVLAN 9を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x guest-vlan 9
 

次の例では、スイッチの待機時間を 3 に設定し、クライアントからの EAP Request/Identity フレームに対する応答を待ち、要求を再送信するまでの秒数を 15 に設定し、IEEE 802.1x ポートが DHCP クライアントに接続されている場合に VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする方法を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用すれば、任意のゲスト VLAN 動作をイネーブルにできます。ゲストVLAN がイネーブルの場合、スイッチは EAPOL パケット履歴を維持せず、EAPOL パケットがインターフェイス上で検出されたかどうかに関係なく、ゲスト VLAN へのアクセス認証に失敗したクライアントを許可します。

任意のゲスト VLAN 動作をイネーブルにし、ゲスト VLAN を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x guest-vlan supplicant

任意のゲスト VLAN 動作をイネーブルをスイッチ上でグローバルにイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされているポート タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 4

switchport mode access

ポートをアクセス モードにします。

ステップ 5

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 6

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを IEEE 802.1x ゲストVLANとして設定できます。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

任意のゲスト VLAN 動作をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。ゲスト VLAN を削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートがゲスト VLAN で許可ステートの場合、ポートは無許可ステートに戻ります。

次に、任意のゲスト VLAN 動作をイネーブルにし、VLAN 5 を IEEE 802.1x ゲスト VLAN として指定する例を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5

制限付き VLAN の設定

スイッチ上に制限付き VLAN を設定した場合、認証サーバが有効なユーザ名とパスワードを受信しないと IEEE 802.1x 準拠のクライアントは制限付き VLAN に移されます。スイッチはシングルホスト モードでのみ制限付き VLAN をサポートします。

制限付き VLAN を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポート タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブ VLAN を IEEE 802.1x 制限付き VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLANまたは音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限付き VLAN として設定できます。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

制限付き VLAN をディセーブルにし、削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、VLAN 2 を IEEE 802.1x 制限付き VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x auth-fail vlan 2
 

ユーザが制限付き VLAN に割り当られる前に、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、認証試行の最大回数を設定できます。指定できる認証試行回数は 1 ~ 3 です。デフォルトは 3 回です。

認証試行回数の最大回数を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポート タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブ VLAN を IEEE 802.1x 制限付き VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限付き VLAN として設定できます。

ステップ 6

dot1x auth-fail max-attempts max attempts

ポートが制限付き VLAN に移行する前に実行できる認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルトは 3 です。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルト値に戻すには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが制限付き VLAN に移行する前に実行できる認証試行回数を 2 に設定する例を示します。

Switch(config-if)# dot1x auth-fail max-attempts 2

WoL を使用した IEEE 802.1x 認証の設定

WoL を使用して IEEE 802.1x 認証をイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポート タイプについては、 「IEEE 802.1x 認証設定時の注意事項」 を参照してください。

ステップ 3

dot1x control-direction { both | in }

ポート上で WoL を使用する IEEE 802.1x 認証をイネーブルにし、次のキーワードを使用してポートを双方向または単一方向のポートとして設定します。

both ― ポートを双方向に設定します。ポートはホストとの間でパケットの送受信を行えません。デフォルトでは、双方向です。

in ― ポートを単一方向に設定します。ポートはパケットをホストに送信できますが、ホストからパケットを受信できません。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

WoL を使用した IEEE 802.1x 認証をディセーブルにするには、 no dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。

次に、WoL を使用した IEEE 802.1x 認証をイネーブルにし、ポートを双方向に設定する例を示します。

Switch(config-if)# dot1x control-direction both

NAC レイヤ 2 IEEE 802.1x 検証の設定

Cisco IOS Release 12.1(22)EA6 以降では、NAC レイヤ 2 IEEE 802.1x 検証を設定できます。これは、RADIUS サーバを使用した IEEE 802.1x 認証とも呼ばれます。

NAC レイヤ 2 IEEE 802.1x 検証を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。


) Catalyst 2950 LRE スイッチでは、RADIUS サーバを使用した IEEE 802.1x 認証の設定ができません。


 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを IEEE 802.1x ゲストVLANとして設定できます。

ステップ 4

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds ― 秒数を1 ~ 65535の範囲で設定します。デフォルトは 3600 秒です。

server ― Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値として秒数を設定します。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

IEEE 802.1x 認証の設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、NAC レイヤ 2 IEEE 802.1x 検証を設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server

IEEE 802.1x 設定のデフォルト値へのリセット

IEEE 802.1x設定をデフォルト値に戻すには、イネーブル EXEC モードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定可能な IEEE 802.1x パラメータをデフォルト値に戻します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x の統計情報およびステータスの表示

すべてのインターフェイスに関する IEEE 802.1x 統計情報を表示するには、 show dot1x all statistics イネーブル EXEC コマンドを使用します。特定のインターフェイスに関する IEEE 802.1x 統計情報を表示するには、 show dot1x statistics interface interface-id イネーブル EXEC コマンドを使用します。

スイッチに関する IEEE 802.1x 管理および動作ステータスを表示するには、 show dot1x all イネーブル EXEC コマンドを使用します。特定のインターフェイスに関する IEEE 802.1x 管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブル EXEC コマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。