Catalyst 2970 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)SEC
IEEE 802.1xポート ベース認証の設定
IEEE 802.1xポート ベース認証の設定
発行日;2012/01/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IEEE 802.1xポート ベース認証の設定

IEEE 802.1xポート ベース認証の概要

装置の役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1xアカウンティング

IEEE 802.1xアカウンティング属性値(AV)ペア

IEEE 802.1xのホスト モード

ポート セキュリティを使用したIEEE 802.1xの利用

音声VLANポートを使用したIEEE 802.1xの利用

VLAN割り当てを使用したIEEE 802.1xの利用

ゲストVLANを使用したIEEE 802.1xの利用

WoL機能を使用したIEEE 802.1xの利用

単一方向ステート

双方向ステート

ユーザ単位ACLを使用したIEEE 802.1xの利用

IEEE 802.1x認証の設定

IEEE 802.1xのデフォルト設定

IEEE 802.1x設定時の注意事項

旧版のソフトウェア リリースからのアップグレード

IEEE 802.1x認証の設定

スイッチおよびRADIUSサーバ間の通信の設定

RADIUSサーバを使用したIEEE 802.1x認証の設定

定期的な再認証の設定

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

再認証回数の設定

ホスト モードの設定

ゲストVLANの設定

IEEE 802.1x設定のデフォルト値へのリセット

IEEE 802.1xアカウンティングの設定

IEEE 802.1xの統計情報およびステータスの表示

IEEE 802.1xポート ベース認証の設定

この章では、Catalyst 2970スイッチ上でIEEE 802.1xポート ベース認証を設定する方法について説明します。 IEEE 802.1xは、不正な装置(クライアント)によるネットワーク アクセスを防止します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応する『Cisco IOS Security Commmand Reference』Release 12.2の「RADIUS Commands」およびスイッチ コマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「IEEE 802.1xポート ベース認証の概要」

「IEEE 802.1x認証の設定」

「IEEE 802.1xの統計情報およびステータスの表示」

IEEE 802.1xポート ベース認証の概要

IEEE 802.1x規格では、一般の人がアクセス可能なポートから不正なクライアントがLANに接続しないように規制する(適切に認証されている場合を除く)、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたはLANが提供するサービスを利用できるようにします。

IEEE 802.1xアクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由ではExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、IEEE 802.1xポート ベース認証について説明します。

「装置の役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1xアカウンティング」

「IEEE 802.1xアカウンティング属性値(AV)ペア」

「IEEE 802.1xのホスト モード」

「ポート セキュリティを使用したIEEE 802.1xの利用」

「音声VLANポートを使用したIEEE 802.1xの利用」

「VLAN割り当てを使用したIEEE 802.1xの利用」

「ゲストVLANを使用したIEEE 802.1xの利用」

「WoL機能を使用したIEEE 802.1xの利用」

「ユーザ単位ACLを使用したIEEE 802.1xの利用」

装置の役割

IEEE 802.1xポート ベース認証では、ネットワーク上の装置にはそれぞれ、固有の役割があります(図8-1を参照)。

図8-1 IEEE 802.1xにおける装置の役割

 

クライアント ― LANおよびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答する装置(ワークステーション)。ワークステーションでは、Microsoft Windows XP OS(オペレーティング システム)に付属しているようなIEEE 802.1x準拠のクライアント ソフトウェアを実行する必要があります(クライアントは、IEEE 802.1x仕様では supplicant といいます)。


Windows XPのネットワーク接続およびIEEE 802.1x認証については、次のURLにある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントにLANおよびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してはトランスペアレントに行われます。今回のリリースでサポートされる認証サーバは、Extensible Authentication Protocol(EAP)拡張機能を備えたRemote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけです。これはCisco Secure Access Control Serverバージョン3.0以降で利用できます。RADIUSはクライアント/サーバ モデルで動作し、RADIUSサーバと1つまたは複数のRADIUSクライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント) ― クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAPフレームのカプセル化とカプセル化解除、および認証サーバとの対話を処理するRADIUSクライアントが含まれています。

スイッチがEAPOLフレームを受信して認証サーバにリレーする場合、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUSフォーマットに再カプセル化されます。カプセル化ではEAPフレームの変更は行われないため、認証サーバはネイティブ フレーム フォーマットのEAPをサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りのEAPフレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介装置として動作できるものには、Catalyst 3750、Catalyst 3560、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、またはワイヤレス アクセス ポイントがあります。これらの装置では、RADIUSクライアントおよびIEEE 802.1xをサポートするソフトウェアが稼働している必要があります。

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからでも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチはポートのリンク ステートがダウンからアップに変更した時点で、またはポートが認証されてないままアップの状態であるかぎり定期的に、認証を開始しなければなりません。スイッチはクライアントにEAP-Request/Identityフレームを送信し、そのIDを要求します。クライアントはフレームを受信すると、EAP-Response/Identityフレームで応答します。

ただし、クライアントが起動時にスイッチからのEAP-Request/Identityフレームを受信しなかった場合、クライアントはEAPOL-Startフレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置でIEEE 802.1xがイネーブルに設定されていない、またはサポートされていない場合には、クライアントからのEAPOLフレームはすべて廃棄されます。クライアントが認証の開始を3回試みてもEAP-Request/Identityフレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間でEAPフレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。詳細は、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われるEAPフレーム交換は、使用する認証方式によって異なります。図8-2に、クライアントがRADIUSサーバとの間でOTP(ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図8-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチのポート ステートによって、スイッチはネットワークへのクライアント アクセスを許可します。ポートは最初、 無許可 ステートです。このステートでは、音声VLAN(仮想LAN)ポートとして設定されていないポートはIEEE 802.1x、CDP、およびSTPパケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに変更し、クライアントのトラフィック送受信を通常どおりに許可します。ポートが音声VLANとして設定されている場合、VoIPトラフィックおよびIEEE 802.1xプロトコル パケットが許可されたあとクライアントが正常に認証されます。

IEEE 802.1xをサポートしていないクライアントが、無許可ステートのIEEE 802.1xポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、IEEE 802.1x対応のクライアントが、IEEE 802.1x標準が稼働していないポートに接続すると、クライアントはEAPOL-Startフレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。また、応答がない場合は、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized ― IEEE 802.1x認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに変更します。ポートはクライアントのIEEE 802.1xベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized ― クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチは、ポートを介してクライアントに認証サービスを提供できません。

auto ― IEEE 802.1x認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのはEAPOLフレームだけです。ポートのリンク ステートがダウンからアップに変更したとき、またはEAPOL-Startフレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントのMAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからのすべてのフレームがポート経由での送受信を許可されます。認証に失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoffメッセージを送信します。このメッセージによって、スイッチ ポートが無許可ステートになります。

ポートのリンク ステートがアップからダウンに変更した場合、またはEAPOL-Logoffフレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1xアカウンティング

IEEE 802.1x標準では、ユーザの認証およびユーザのネットワーク アクセスに対する許可方法を定義しています。ただし、ネットワークの使用法については監視しません。IEEE 802.1xアカウンティングは、デフォルトでディセーブルです。IEEE 802.1xアカウンティングをイネーブルにすると、次のアクティビティをIEEE 802.1x対応のポート上でモニタできます。

正常にユーザを認証します。

ユーザがログ オフします。

リンクダウンが発生します。

再認証が正常に行われます。

再認証が失敗します。

スイッチはIEEE 802.1xアカウンティング情報を記録しません。その代わり、スイッチはこの情報をRADIUSサーバに送信します。RADIUSサーバは、アカウンティング メッセージを記録するように設定する必要があります。

IEEE 802.1xアカウンティング属性値(AV)ペア

RADIUSサーバに送信された情報は、属性値(AV)ペアの形式で表示されます。これらのAVペアのデータは、各種アプリケーションによって使用されます(たとえば課金アプリケーションの場合、RADIUSパケットのAcct-Input-OctetsまたはAcct-Output-Octets属性の情報が必要です)。

AVペアは、IEEE 802.1xアカウンティングが設定されているスイッチによって自動的に送信されます。次の種類のRADIUSアカウンティング パケットがスイッチによって送信されます。

START ― 新規ユーザ セッションが始まると送信されます。

INTERIM ― 既存のセッションが更新されると送信されます。

STOP ― セッションが終了すると送信されます。

次の 表8-1 に、AVペアおよびスイッチによって送信されるAVペアの条件を示します。

 

表8-1 アカウンティングAVペア

属性番号
AVペア名
START
INTERIM
STOP

属性[1]

User-Name

常時送信

常時送信

常時送信

属性[4]

NAS-IP-Address

常時送信

常時送信

常時送信

属性[5]

NAS-Port

常時送信

常時送信

常時送信

属性[8]

Framed-IP-Address

非送信

条件に応じて送信1

条件に応じて送信 1

属性[25]

Class

常時送信

常時送信

常時送信

属性[30]

Called-Station-ID

常時送信

常時送信

常時送信

属性[31]

Calling-Station-ID

常時送信

常時送信

常時送信

属性[40]

Acct-Status-Type

常時送信

常時送信

常時送信

属性[41]

Acct-Delay-Time

常時送信

常時送信

常時送信

属性[42]

Acct-Input-Octets

非送信

非送信

常時送信

属性[43]

Acct-Output-Octets

非送信

非送信

常時送信

属性[44]

Acct-Session-ID

常時送信

常時送信

常時送信

属性[45]

Acct-Authentic

常時送信

常時送信

常時送信

属性[46]

Acct-Session-Time

非送信

非送信

常時送信

属性[49]

Acct-Terminate-
Cause

非送信

非送信

常時送信

属性[61]

NAS-Port-Type

常時送信

常時送信

常時送信

1.ホストに対して有効なDynamic Host Control Protocol(DHCP)バインディングがDHCPスヌーピング バインディング テーブルに存在している場合にのみ、Framed-IP-AddressのAVペアは送信されます。

スイッチによって送信されたAVペアは、 debug radius accounting イネーブルEXECコマンドを入力することで表示できます。このコマンドの詳細については、次のURLにアクセスして『 Cisco IOS Debug Command Reference 』Release 12.2を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122sup/122debug

AVペアの詳細については、RFC 3580の「IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines」を参照してください。

IEEE 802.1xのホスト モード

IEEE 802.1xポートは、単一ホスト モードまたは複数ホスト モードで設定できます。単一ホスト モード(IEEE 802.1xにおける装置の役割を参照)では、IEEE 802.1x対応のスイッチ ポートにはクライアントが1つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOLフレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

複数ホスト モードでは、単一のIEEE 802.1x対応ポートに複数のホストを接続できます。図8-3に、ワイヤレスLANにおけるIEEE 802.1xポートベース認証を示します。このモードでは、接続されたクライアントのうち1つが許可されれば、すべてのクライアントのネットワーク アクセスが許可されます。ポートが無許可ステートになると(再認証が失敗した場合、またはEAPOL-Logoffメッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジーでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

複数ホスト モードがイネーブルの場合、IEEE 802.1xをポートおよびポート セキュリティの認証に使用し、クライアントを含むすべてのMACアドレスへのネットワーク アクセスを管理します。

図8-3 複数ホスト モードの例

 

ポート セキュリティを使用したIEEE 802.1xの利用

単一ホスト モードまたは複数ホスト モードのどちらでもIEEE 802.1xポートのポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定する必要があります)。ポートでポート セキュリティおよびIEEE 802.1xをイネーブルに設定すると、IEEE 802.1xはそのポートを認証し、ポート セキュリティはそのクライアントを含むすべてのMACアドレスに対するネットワーク アクセスを管理します。この場合、IEEE 802.1xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、IEEE 802.1xとポート セキュリティの間には次のような相互関係があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントのMACアドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリは保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

最初の認証ホストでセキュリティ違反が発生すると、ポートはerrdisableになり、ただちにシャットダウンします。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細は、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、ポート セキュリティ テーブルからIEEE 802.1xクライアント アドレスを手動で削除する場合、dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用して、IEEE 802.1xクライアントを再認証する必要があります。

IEEE 802.1xクライアントがログオフすると、ポートが無許可ステートに変更され、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になった場合、ポートは無許可ステートになり、すべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

単一ホスト モードまたは複数ホスト モードのいずれの場合でも、IEEE 802.1xポート上でポート セキュリティと音声VLANを同時に設定できます。ポート セキュリティは、voice VLAN identifier(VVID;音声VLAN ID)およびport VLAN identifier(PVID;ポートVLAN ID)の両方に適用されます。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

音声VLANポートを使用したIEEE 802.1xの利用

音声VLANポートは特別なアクセス ポートで、次の2つのVLAN IDが対応付けられています。

IP Phoneとの間で音声トラフィックを伝送するVVID。VVIDは、ポートに接続されたIP Phoneを設定するために使用されます。

IP Phoneを通じて、スイッチと接続しているワークステーションとの間でデータ トラフィックを伝送するPVID。PVIDは、ポートのネイティブVLANです。

Cisco IOS Release 12.1(14)EA1より前のリリースでは、単一ホスト モードのスイッチは単一のホストからトラフィックを受信し、音声トラフィックは許可されませんでした。複数ホスト モードの場合、クライアントがプライマリVLANで認証されるまでスイッチは音声トラフィックを受信せず、ユーザがログインするまでIP Phoneは動作できませんでした。

Cisco IOS Release 12.1(14)EA1以降では、ポートの許可ステートにかかわらず、IP Phoneは音声トラフィックに対してVVIDを使用します。これにより、IP PhoneはIEEE 802.1x認証とは独立して動作することが可能になります。

単一ホスト モードでは、IP Phoneのみが音声VLANで許可されます。複数ホスト モードでは、supplicantがPVIDで認証されたあと、追加のクライアントのトラフィックが音声VLAN上で送信できます。複数ホスト モードがイネーブルの場合、supplicant認証はPVIDとVVIDの両方に影響します。

リンクがある場合、音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージを受け取ると装置のMACアドレスが表示されます。Cisco IP Phoneは、他の装置から受け取ったCDPメッセージを中継しません。その結果、複数のIP Phoneが直列に接続されている場合、スイッチは直接接続されている1台のIP Phoneのみを認識します。音声VLANポートでIEEE 802.1xがイネーブルの場合、スイッチは2ホップ以上離れた認識されないIP Phoneからのパケットを廃棄します。

IEEE 802.1xをポート上でイネーブルにすると、音声VLANの機能を持つポートVLANは設定できません。


) 音声VLANが設定され、Cisco IP Phoneが接続されているアクセス ポートでIEEE 802.1xをイネーブルにした場合、Cisco IP Phoneのスイッチへの接続が最大30秒間失われます。


音声VLANの詳細については、 第13章「音声VLANの設定」 を参照してください。

VLAN割り当てを使用したIEEE 802.1xの利用

Cisco IOS Release 12.1(14)EA1より前のリリースでは、IEEE 802.1xポートが認証されると、RADIUSサーバがデータベースから許可VLANを返す場合でも、IEEE 802.1xポートはそのポート上で設定されたアクセスVLAN内で許可されました。アクセスVLANは、アクセス ポートに割り当てられたVLANです。このポート上で送受信されるパケットはすべてこのVLANに所属します。

ただし、Cisco IOS Release 12.1(14)EA1以降では、スイッチはVLAN割り当てを使用したIEEE 802.1xをサポートします。ポートのIEEE 802.1x認証が成功すると、RADIUSサーバはVLAN割り当てを送信し、スイッチ ポートを設定します。RADIUSサーバ データベースは、ユーザ名とVLANのマッピングを維持し、スイッチ ポートに接続するクライアントのユーザ名に基づいてVLANを割り当てます。この機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

スイッチとRADIUSサーバ上で設定された場合、VLAN割り当てを使用したIEEE 802.1xには次の特性があります。

RADIUSサーバからVLANが提供されない場合、またはIEEE 802.1x許可がディセーブルの場合、認証が成功するとポートはアクセスVLANに設定されます。

IEEE 802.1x許可がイネーブルで、RADIUSサーバからのVLAN情報が無効の場合、ポートは無許可ステートに戻り、設定済みのアクセスVLANにとどまります。これにより、設定エラーによって不適切なVLANに予期せぬポートが現れることを防ぎます。

設定エラーには、間違ったVLAN ID、存在しないVLAN IDの指定、または音声VLAN IDへの割り当て試行などがあります。

IEEE 802.1x許可がイネーブルで、サーバからのすべての情報が有効の場合、ポートは認証後、指定したVLANに配置されます。

IEEE 802.1xポートで複数ホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じVLAN(RADIUSサーバにより指定)に配置されます。

ポート上でIEEE 802.1xおよびポート セキュリティがイネーブルの場合、ポートはRADIUSサーバによって割り当てられたVLANに配置されます。

IEEE 802.1xがポートでディセーブルの場合、設定済みのアクセスVLANに戻ります。

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセスVLANに配置されます。

IEEE 802.1xポートが認証され、RADIUSサーバによって割り当てられたVLANに配置されると、そのポートのアクセスVLAN設定への変更は有効になりません。

トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当ての場合、VLAN割り当て機能を使用したIEEE 802.1xはサポートされません。

VLAN割り当てを設定するには、次の作業を実行する必要があります。

network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのインターフェイス設定を可能にします。

IEEE 802.1xをイネーブルにします(アクセス ポートでIEEE 802.1xを設定すると、VLAN割り当て機能は自動的にイネーブルになります)。

RADIUSサーバにベンダー固有のトンネル属性を割り当てます。RADIUSサーバは次の属性をスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN名またはVLAN ID

属性[64]は、値 VLAN (タイプ13)でなければなりません。属性[65]は、値 802 (タイプ6)でなければなりません。属性[81]は、IEEE 802.1x認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。

トンネル属性の例については、「ベンダー固有のRADIUS属性を使用するスイッチ設定」を参照してください。

ゲストVLANを使用したIEEE 802.1xの利用

スイッチ上の各IEEE 802.1xポートにゲストVLANを設定し、クライアントに対して限定的なサービスを提供できます(IEEE 802.1xクライアントのダウンロードなど)。これらのクライアントはIEEE 802.1x認証用にシステムをアップグレードできる場合がありますが、一部のホスト(Windows 98システムなど)はIEEE 802.1x対応ではありません。

認証サーバがEAPOL Request/Identityフレームに対する応答を受信しない場合、またはEAPOLパケットがクライアントによって送信されない場合に、IEEE 802.1xポート上でゲストVLANをイネーブルにすると、スイッチはクライアントにゲストVLANを割り当てます。

Cisco IOS Release 12.2(25)SEより前のリリースでは、スイッチはEAPOLパケット ヒストリを維持せずに、インターフェイス上でEAPOLパケットが検出されているかどうかにかかわらず、ゲストVLANへの認証アクセスに失敗したクライアントを許可しました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用してこのオプション機能をイネーブルにできます。

Cisco IOS Release 12.2(25)SE以降では、スイッチはEAPOLパケット ヒストリを維持しています。リンクの有効期間中に他のEAPOLパケットがインターフェイスで検出された場合、ネットワーク アクセスは拒否されます。EAPOLヒストリはリンクの失効時にリセットされます。

スイッチ ポートがゲストVLANに移動すると、任意の数のIEEE 802.1x非対応クライアントがアクセスを許可されます。ゲストVLANが設定されているポートにIEEE 802.1x対応クライアントが加入すると、ポートは、ユーザ設定によるアクセスVLANで無許可ステートになり、認証が再起動されます。

ゲストVLANは、IEEE 802.1xポート上で単一ホスト モードまたは複数ホスト モードでサポートされています。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANをIEEE 802.1xゲストVLANとして設定できます。ゲストVLAN機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

詳細は、「ゲストVLANの設定」を参照してください。

WoL機能を使用したIEEE 802.1xの利用

IEEE 802.1xのWake-on-LAN(WoL)機能を使用すると、スイッチにマジック パケットと呼ばれる特定のイーサネット フレームを受信させて、休止状態のPCを起動させることができます。この機能は、管理者が休止状態のシステムへ接続しなければならない場合に役立ちます。

WoL機能を使用しているホストが、IEEE 802.1xポートに接続されている状態で休止状態に入ると、IEEE 802.1xポートが未許可の状態になります。この間、未許可になったポートはEAPOLパケットしか送受信できないため、WoLマジック パケットはホストに届きません。さらにPCが休止状態になると、PCが認証されなくなるため、スイッチ ポートは閉じたままになります。

スイッチがWoL機能を有効にしたIEEE 802.1xを使用している場合、スイッチは未許可のIEEE 802.1xポートにパケットを送信します。この機能は、IEEE 802.1xの仕様では、単一方向制御ポートとして知られています。


) PortFastがポートでイネーブルになっていない場合、強制的に双方向ステートにさせられます。


単一方向ステート

dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向に設定すると、そのポートはスパニングツリー フォワーディング ステートに変わります。

WoLがイネーブルになると、接続されているホストは、スリープ モードや休止状態になります。そのため、そのホストがネットワーク内で他のデバイスとトラフィックを交換することはありません。そのホストが、ネットワークにトラフィック送信できない単一方向のポートに接続されている場合は、ネットワークの他のデバイスからトラフィックを受信することしかできません。単一方向のポートがトラフィックを受信した場合、ポートはデフォルト設定の双方向の状態に戻り、スパニングツリーのブロッキング ステートに変わります。ポートが初期状態に戻ると、EAPOL以外のトラフィックは許可されなくなります。また、双方向の設定に戻ると、スイッチは5分間のタイマーを開始します。タイマーが終了するまでにそのポートが認証されない場合は、ポートは再び単一方向のポートに戻ります。

双方向ステート

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向に設定すると、そのポートのアクセスが双方向で制御されます。この状態の場合、スイッチ ポートはパケットの送受信を行いません。

ユーザ単位ACLを使用したIEEE 802.1xの利用

ユーザ単位のAccess Control List(ACL;アクセス制御リスト)をイネーブルにして、IEEE 802.1x認証ユーザに対して異なるレベルのネットワーク アクセスおよびサービスを提供します。RADIUSサーバがIEEE 802.1xポートに接続されたユーザを認証すると、ユーザIDに基づいてACL属性を取得してスイッチに送信します。スイッチは、ユーザ セッションの期間中、その属性をIEEE 802.1xポートに適用します。セッションが終了した場合、認証が失敗した場合、またはリンクダウン状態になった場合には、スイッチはユーザ単位のACLを削除します。スイッチは、RADIUSにより指定されたACLを実行コンフィギュレーションに保存しません。ポートが無許可の場合、スイッチはそのポートからACLを削除します。

Catalyst 2970スイッチのポートで設定できるのは、ポートACLのみです。

RADIUSは、ベンダー固有の属性などのユーザ単位属性をサポートします。これらのVendor-Specific Attribute(VSA)は、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位ACLに使用されるVSAは、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACLは、入力方向のみサポートされます。スイッチは、入力方向でのみVSAをサポートします。このスイッチでは、レイヤ2ポートで出力方向のポートACLはサポートされません。詳細は、 第27章「ACLによるネットワーク セキュリティの設定」 を参照してください。

拡張ACL構文形式のみを使用して、RADIUSサーバに保存するユーザ単位の設定を定義します。RADIUSサーバから定義が渡される場合、拡張命名規則を使用して作成されます。ただし、Filter-Id属性を使用する場合、標準ACLを示すことができます。

Filter-Id属性を使用して、すでにスイッチに設定されている着信または発信ACLを指定できます。属性には、ACL番号と、その後ろに入力フィルタリングか出力フィルタリングを示す .in または .out が含まれています。RADIUSサーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトで発信ACLに適用されます。スイッチでのCisco IOSのアクセス リストに関するサポートが制限されているので、Filter-ID属性は1~199および1300~2699のIP ACL(IP標準ACLおよびIP拡張ACL)に対してのみサポートされます。

1ポートがサポートするIEEE 802.1x認証ユーザは1ユーザのみです。複数ホスト モードがポートでイネーブルの場合、ユーザ単位ACL属性は関連ポートでディセーブルです。

ユーザ単位のACLの最大サイズは、4000 ASCII文字です。

ベンダー固有の属性の例については、「ベンダー固有のRADIUS属性を使用するスイッチ設定」を参照してください。ACLの設定の詳細については、 第27章「ACLによるネットワーク セキュリティの設定」 を参照してください。

ユーザ単位のACLを設定するには、次の作業を実行する必要があります。

AAA認証をイネーブルにします。

network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのインターフェイス設定を可能にします。

IEEE 802.1xをイネーブルにします

RADIUSサーバにユーザ プロファイルとVSAを設定します。

単一ホスト モードのIEEE 802.1xポートを設定します。

IEEE 802.1x認証の設定

ここでは、次の設定情報について説明します。

「IEEE 802.1xのデフォルト設定」

「IEEE 802.1x設定時の注意事項」

「旧版のソフトウェア リリースからのアップグレード」

「IEEE 802.1x認証の設定」(必須)

「スイッチおよびRADIUSサーバ間の通信の設定」(必須)

「定期的な再認証の設定」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「再認証回数の設定」(任意)

「ホスト モードの設定」(任意)

「ゲストVLANの設定」(任意)

「IEEE 802.1x設定のデフォルト値へのリセット」(任意)

「IEEE 802.1xアカウンティングの設定」(任意)

IEEE 802.1xのデフォルト設定

表8-2 に、IEEE 802.1xのデフォルト設定を示します。

 

表8-2 IEEE 802.1xのデフォルト設定

機能
デフォルト設定

Authentication, Authorization, Accounting
(AAA;認証、許可、アカウンティング)

ディセーブル

制御方向

双方向制御

RADIUSサーバ

IPアドレス

UDP認証ポート

指定なし

1812

指定なし

スイッチのIEEE 802.1xイネーブル ステート

ディセーブル

ポート単位のIEEE 802.1xイネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントのIEEE 802.1xベース認証を行わずに、通常のトラフィックを送受信します。

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600秒

再認証回数

2回(ポートが未許可ステートに変わる前に、スイッチが認証プロセスを再開する回数)

待機時間

60秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30秒(スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(スイッチが認証プロセスを再起動する前に、EAP-Request/Identityフレームを送信する回数)

ホスト モード

単一ホスト モード

ゲストVLAN

指定なし

クライアント タイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが返答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間。 この値は設定変更ができません。)

IEEE 802.1x設定時の注意事項

IEEE 802.1x認証を設定する場合の注意事項は、次のとおりです。

IEEE 802.1xをイネーブルにすると、他のレイヤ2機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1xプロトコルは、レイヤ2のスタティック アクセス ポートおよび音声VLANポート上ではサポートされますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポート上でIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポート上でIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。IEEE 802.1x対応ポートを変更してダイナミックVLANを割り当てようとしても、エラー メッセージが表示され、VLAN設定は変更されません。

EtherChannelポート ― EtherChannelのアクティブ メンバーであるポート、またはこれからアクティブ メンバーにするポートをIEEE 802.1xポートとして設定しないでください。EtherChannelポートでIEEE 802.1xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1xはイネーブルになりません。


) Cisco IOS Release 12.2(18)SEより前のソフトウェア リリースでは、これからアクティブになるEtherChannelポート上でIEEE 802.1xがイネーブルになった場合、そのポートはEtherChannelに参加しません。


Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRSPAN宛先ポート ― SPANまたはRSPAN宛先ポートであるポート上でIEEE 802.1xをイネーブルにできます。ただし、ポートをSPANまたはRSPAN宛先ポートとして削除するまでは、IEEE 802.1xはディセーブルになります。SPANまたはRSPAN送信元ポートでは、IEEE 802.1xをイネーブルにできます。

RSPAN VLANまたは音声VLANを除く任意のVLANをIEEE 802.1xゲストVLANとして設定できます。ゲストVLAN機能はトランク ポート上ではサポートされず、アクセス ポート上でのみサポートされます。

IEEE 802.1xをポート上でイネーブルにすると、音声VLANの機能を持つポートVLANは設定できません。

トランク ポート、ダイナミック ポート、またはVMPSによるダイナミック アクセス ポート割り当ての場合、VLAN割り当て機能を使用したIEEE 802.1xはサポートされません。

スイッチ上で、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してIEEE 802.1xをグローバルにイネーブルにする前に、IEEE 802.1xとEtherChannelが設定されているインターフェイスから、EtherChannelの設定を削除してください。

IEEE 802.1x認証において、EAP-Transparent LAN Services(TLS)およびEAP-MD5を実装したCisco Access Control Server(ACS)アプリケーションが動作している装置を使い、さらにスイッチにCisco IOS Release 12.1(14)EA1を実行させる場合、その装置で動作させているACSバージョンが3.2.1以降であることを確認してください。

Dynamic Host Configuration Protocol(DHCP)クライアントが接続するIEEE 802.1xポートにゲストVLANを設定したあとは、DHCPサーバからホストIPアドレスが必要になる場合があります。クライアントのDHCP処理がタイムアウトして、DHCPサーバからホストIPアドレスを取得する前に、スイッチ上のIEEE 802.1x認証プロセスを再開するための設定を変更することもできます。IEEE 802.1x認証プロセスの設定を減少させます(IEEE 802.1xの待機時間およびスイッチとクライアント間の伝送時間)。

旧版のソフトウェア リリースからのアップグレード

Cisco IOS Release 12.1(14)EA1では、IEEE 802.1xの実装が旧リリースから変更されています。グローバル コンフィギュレーション コマンドの一部が、インターフェイス コンフィギュレーション コマンドになり、新しいコマンドが追加されています。

スイッチにIEEE 802.1xを設定済みで、Cisco IOS Release 12.1(14)EA1以降のリリースにアップグレードを行っても、コンフィギュレーション ファイルには新規のコマンドが含まれず、IEEE 802.1xは動作しません。アップグレードが完了したら、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用してIEEE 802.1xがグローバルにイネーブルになっていることを確認してください。旧リリースでIEEE 802.1xがポート上で複数ホスト モードで稼働している場合は、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再設定してください。

IEEE 802.1x認証の設定

IEEE 802.1xポート ベース認証を設定するには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。

ユーザ単位ACLまたはVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

次に、IEEE 802.1xのAAAプロセスを示します。


ステップ 1 ユーザがスイッチのポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 RADIUSサーバ設定に基づいて、VLAN割り当てが適宜イネーブルになります。

ステップ 4 スイッチが開始メッセージをアカウンティング サーバに送信します。

ステップ 5 必要に応じて、再認証が実行されます。

ステップ 6 スイッチが仮のアカウンティング アップデートを、再認証結果に基づいたアカウンティング サーバに送信します。

ステップ 7 ユーザがポートから切断します。

ステップ 8 スイッチが停止メッセージをアカウンティング サーバに送信します。


 

IEEE 802.1xポート ベース認証を設定するには、イネーブルEXECモードで次の手順を実行します。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべてのRADIUSサーバ リストを使用できるようにします。


group radiusキーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。


ステップ 4

dot1x system-auth-control

スイッチ上でIEEE 802.1x認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ユーザ単位ACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。


) ユーザ単位ACLを設定するには、単一ホスト モードを設定する必要があります。この設定がデフォルトです。


ステップ 6

radius-server host ip-address

(任意)RADIUSサーバのIPアドレスを指定します。

ステップ 7

radius-server key string

(任意) RADIUSサーバ上で動作するRADIUSデーモンとスイッチの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

swtichport mode access

(任意)ステップ6および7でRADIUSサーバを設定した場合のみ、ポートをアクセス モードに設定します。

ステップ 10

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x設定時の注意事項」を参照してください。

ステップ 11

end

イネーブルEXECモードに戻ります。

ステップ 12

show dot1x

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

スイッチおよびRADIUSサーバ間の通信の設定

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号によって識別します。IPアドレスとUDPポート番号の組み合わせによって、一意のIDが作成され、サーバの同一IPアドレス上にある複数のUDPポートにRADIUS要求を送信できるようになります。同じRADIUSサーバ上の異なる2つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUSホスト エントリは、設定した順序に従って試行されます。

スイッチ上にRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

RADIUSサーバ パラメータを設定します。

hostname | ip-address には、 リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトは1812です。指定できる範囲は0~65536です。

key string には、スイッチとRADIUSサーバ上で動作するRADIUSデーモンとの間で使用する認証および暗号鍵を指定します。鍵は、RADIUSサーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。


) 鍵の先行スペースは無視されますが、途中および末尾のスペースは有効なので、鍵は必ずradius-server hostコマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵はRADIUSデーモンで使用する暗号鍵に一致している必要があります。


複数のRADIUSサーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレス172.120.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号鍵をRADIUSサーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべてのRADIUSサーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細は、「すべてのRADIUSサーバの設定」を参照してください。

RADIUSサーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチのIPアドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUSサーバのマニュアルを参照してください。

RADIUSサーバを使用したIEEE 802.1x認証の設定

Cisco IOS Release 12.2(25)SECでは、RADIUSサーバと一緒にIEEE 802.1x認証を設定することもできます。

RADIUSサーバを使用したIEEE 802.1x認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブなVLANを、IEEE 802.1xゲストVLANに指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 4

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 1~65535 秒の範囲で設定します。デフォルトは3600秒です。

server ― RADIUS属性(属性[27])のSession-Timeoutの値を秒数で設定します。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show dot1x interface interface-id

IEEE 802.1x認証の設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

次に、RADIUSサーバを使用してIEEE 802.1xを設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server

定期的な再認証の設定

IEEE 802.1xクライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600秒おきに再認証が試みられます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period { seconds | server }

キーワードの意味は次のとおりです。

seconds 1~65535 秒の範囲で設定します。デフォルトは3600秒です。

server ― RADIUS属性(属性[27])のSession-Timeoutの値を秒数で設定します。スイッチがレイヤ2にNetwork Admission Control(NAC)機能を搭載したIEEE 802.1xを採用している場合にこのキーワードを使用できます。

このコマンドがスイッチに影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証の間隔をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を4000秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証の設定」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface gigabitethernet0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドがその待ち時間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は1~65535秒です。デフォルトは60秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を30秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからのEAP-Request/Identityフレームに対し、EAP-Response/Identityフレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は5~65535秒です。デフォルトは5秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチがEAP-Request/Identityフレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を60秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントにEAP-Request/Identityフレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが認証プロセスを再起動する前に、
EAP-Request/Identityフレームを送信する回数を設定します。指定できる範囲は1~10です。デフォルトは2です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity要求を送信する回数を5に設定する例を示します。

Switch(config-if)# dot1x max-req 5

再認証回数の設定

ポートが未許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を変更することもできます。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

ポートが未許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を設定します。指定できる範囲は0~10です。デフォルトは2です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

再認証回数をデフォルトに戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが未許可ステートに変わる前に、スイッチが認証プロセスを再開する回数として4を設定する例を示します。

Switch(config-if)# dot1x max-reauth-req 4

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されているIEEE 802.1x許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数ホストが間接的に接続されているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

IEEE 802.1x許可ポートで複数のホスト(クライアント)を接続できるようにします。

指定するインターフェイスでは、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

ポート上で複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、IEEE 802.1xをイネーブルにして、複数ホストを許可する例を示します。

Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

ゲストVLANの設定

サーバがEAPOL Request/Identityフレームに対する応答を受信しない場合、ゲストVLANを設定すると、IEEE 802.1x対応でないクライアントはゲストVLANに配置されます。IEEE 802.1x対応であっても、認証に失敗したクライアントは、ネットワークへのアクセスが許可されません。スイッチは、単一ホスト モードまたは複数ホスト モードでゲストVLANをサポートします。

ゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x設定時の注意事項」 を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

ポートをプライベートVLANのホスト ポートにします。

ステップ 4

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブなVLANを、IEEE 802.1xゲストVLANに指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 6

end

イネーブルEXECモードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

ゲストVLANをディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、VLAN 2をIEEE 802.1xゲストVLANとしてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# dot1x guest-vlan 2
 

次に、スイッチの待機時間として3を、要求の再送信前にクライアントからのEAP-Request/Identifyフレーム応答を待機する時間(秒)を15に設定し、IEEE 802.1xポートのDHCPクライアント接続時に、VLAN 2をIEEE 802.1xゲストVLANとしてイネーブルにする例を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
 

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用してオプションのゲストVLAN機能をイネーブルにできます。イネーブルにすると、スイッチはEAPOLパケット ヒストリを維持せずに、インターフェイス上でEAPOLパケットが検出されているかどうかにかかわらず、ゲストVLANへの認証アクセスに失敗するクライアントを許可します。

オプションのゲストVLAN機能をイネーブルにしてゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x guest-vlan supplicant

スイッチ上でオプションのゲストVLANの機能をグローバルにイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x設定時の注意事項」 を参照してください。

ステップ 4

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

ポートをプライベートVLANのホスト ポートにします。

ステップ 5

dot1x port-control auto

ポート上でIEEE 802.1x認証をイネーブルにします。

ステップ 6

dot1x guest-vlan vlan-id

アクティブなVLANを、IEEE 802.1xゲストVLANに指定します。指定できる範囲は1~4094です。

RSPAN VLANまたは音声VLANを除く任意のアクティブなVLANをIEEE 802.1xゲストVLANとして設定できます。

ステップ 7

end

イネーブルEXECモードに戻ります。

ステップ 8

show dot1x interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用してオプションのゲストVLAN機能をディセーブルにできます。ゲストVLANを削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、オプションのゲストVLAN機能をイネーブルにし、VLAN 5をIEEE 802.1xゲストVLANとして指定する例を示します。

Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5

IEEE 802.1x設定のデフォルト値へのリセット

IEEE 802.1x設定をデフォルト値に戻すには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定するポートを指定します。

ステップ 3

dot1x default

設定変更可能なIEEE 802.1xパラメータをデフォルト値に戻します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

IEEE 802.1xアカウンティングの設定

IEEE 802.1xアカウンティングを使用して、AAAシステム アカウンティングをイネーブルにすると、システムはロギングのためアカウンティングRADIUSサーバに送信するイベントをリロードできます。サーバは、アクティブなIEEE 802.1xセッションすべてが終了したものと判断します。

RADIUSは信頼性の低いUDPトランスポート プロトコルを使用しているので、ネットワーク状態によりアカウンティング メッセージが失われる場合があります。設定した回数のアカウンティング要求の再送信を行ったあと、スイッチがRADIUSサーバからアカウンティング応答メッセージを受信しない場合、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) ロギングの開始、停止、仮のアップデート メッセージ、タイム スタンプなどのアカウンティング タスクを実行するように、RADIUSサーバを設定する必要があります。これらの機能をオンにするには、RADIUSサーバのNetwork Configurationタブの[Update/Watchdog packets from this AAA client]のロギングをイネーブルにします。次に、RADIUSサーバのSystem Configurationタブの[CVS RADIUS Accounting]をイネーブルにします。


AAAがスイッチでイネーブルになったあと、IEEE 802.1xアカウンティングを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべてのRADIUSサーバのリストを使用して、IEEE 802.1xアカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべてのRADIUSサーバのリストを使用して)、スイッチがリロードするときにシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルにエントリを保存します。

アカウンティング応答メッセージを受信しないRADIUSメッセージ数を表示するには、show radius statisticsイネーブルEXECコマンドを使用します。

次に、IEEE 802.1xアカウンティングを設定する例を示します。最初のコマンドは、アカウンティングのUDPポートとして1813を指定して、RADIUSサーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

IEEE 802.1xの統計情報およびステータスの表示

すべてのポートに関するIEEE 802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のポートに関するIEEE 802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチに関するIEEE 802.1x管理および動作ステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のポートに関するIEEE 802.1x管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。