Catalyst 2975 スイッチ ソフトウェア コンフィギュ レーション ガイド, 12.2(46)EX
IEEE 802.1x ポートベース認証の設定
IEEE 802.1x ポートベース認証の設定
発行日;2012/02/03 | 英語版ドキュメント(2011/07/26 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

IEEE 802.1x ポートベース認証の設定

IEEE 802.1x ポートベース認証の概要

デバイスの役割

認証プロセス

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1x 認証とスイッチ スタック

IEEE 802.1x のホスト モード

IEEE 802.1x アカウンティング

IEEE 802.1x アカウンティング アトリビュート値(AV)ペア

802.1x レディネス チェックの使用

VLAN 割り当てを使用した IEEE 802.1x 認証の利用

ゲスト VLAN を使用した IEEE 802.1x 認証の利用

制限付き VLAN による IEEE 802.1x 認証の利用

アクセス不能認証バイパスによる IEEE 802.1x 認証の使用

音声 VLAN ポートを使用した IEEE 802.1x 認証の利用

ポート セキュリティを使用した IEEE 802.1x 認証の利用

WoL 機能を使用した IEEE 802.1x 認証の利用

MAC 認証バイパスを使用した IEEE 802.1x 認証の利用

NAC レイヤ 2 IEEE 802.1x 検証の使用

マルチドメイン認証の使用

Voice Aware 802.1x セキュリティの使用

Web 認証の使用

自動 MAC チェックによる Web 認証

ローカル Web 認証バナー

ACL および RADIUS Filter-Id アトリビュートを使用した IEEE 802.1x 認証の利用

IEEE 802.1x 認証の設定

IEEE 802.1x 認証のデフォルト設定

IEEE 802.1x 認証設定時の注意事項

IEEE 802.1x 認証

VLAN 割り当て、ゲスト VLAN、制限付き VLAN、アクセス不能認証バイパス

MAC 認証バイパス

ポート単位の許可可能なデバイスの最大数

802.1x レディネス チェックの設定

Voice Aware 802.1x セキュリティ

IEEE 802.1x 違反モードの設定

IEEE 802.1x 認証の設定

スイッチおよび RADIUS サーバ間の通信の設定

ホスト モードの設定

定期的な再認証の設定

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

再認証回数の設定

IEEE 802.1x アカウンティングの設定

ゲスト VLAN の設定

制限付き VLAN の設定

アクセス不能認証バイパス機能の設定

WoL を使用した IEEE 802.1x 認証の設定

MAC 認証バイパスの設定

NAC レイヤ 2 IEEE 802.1x 検証の設定

Web 認証の設定

Web 認証ローカル バナーの設定

ポート上での IEEE 802.1x 認証のディセーブル化

IEEE 802.1x 認証設定のデフォルト値へのリセット

IEEE 802.1x の統計情報およびステータスの表示

IEEE 802.1x ポートベース認証の設定

この章では、Catalyst 2975スイッチで IEEE 802.1x ポートベース認証を設定する方法について説明します。 ポートベース認証は、不正なデバイス(クライアント)によるネットワーク アクセスを防止します。 特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。


) この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスおよび、Cisco.com のホームページにある『Cisco IOS Security Command ReferenceRelease 12.2 の「RADIUS Commands」の項([Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References])を参照してください。


この章で説明する内容は、次のとおりです。

「IEEE 802.1x ポートベース認証の概要」

「IEEE 802.1x 認証の設定」

「IEEE 802.1x の統計情報およびステータスの表示」

IEEE 802.1x ポートベース認証の概要

IEEE 802.1x 規格では、クライアントが一般の人がアクセス可能なポートから LAN に接続しないように規制する(認証されている場合を除く)、クライアント/サーバ型のアクセス制御および認証プロトコルを定めています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。

IEEE 802.1x アクセス制御では、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、および Spanning-Tree Protocol(STP; スパニングツリー プロトコル)トラフィックしか許可されません。認証されると、通常のトラフィックをポート経由で送受信できます。

ここでは、IEEE 802.1x ポートベース認証について説明します。

「デバイスの役割」

「認証プロセス」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1x 認証とスイッチ スタック」

「IEEE 802.1x のホスト モード」

「IEEE 802.1x アカウンティング」

「IEEE 802.1x アカウンティング アトリビュート値(AV)ペア」

「802.1x レディネス チェックの使用」

「VLAN 割り当てを使用した IEEE 802.1x 認証の利用」

「ゲスト VLAN を使用した IEEE 802.1x 認証の利用」

「制限付き VLAN による IEEE 802.1x 認証の利用」

「アクセス不能認証バイパスによる IEEE 802.1x 認証の使用」

「音声 VLAN ポートを使用した IEEE 802.1x 認証の利用」

「ポート セキュリティを使用した IEEE 802.1x 認証の利用」

「WoL 機能を使用した IEEE 802.1x 認証の利用」

「MAC 認証バイパスを使用した IEEE 802.1x 認証の利用」

「NAC レイヤ 2 IEEE 802.1x 検証の使用」

「マルチドメイン認証の使用」

「Voice Aware 802.1x セキュリティの使用」

「Web 認証の使用」

「ACL および RADIUS Filter-Id アトリビュートを使用した IEEE 802.1x 認証の利用」

デバイスの役割

IEEE 802.1x ポートベース認証では、ネットワーク上のデバイスにはそれぞれ固有の役割があります(図 10-1を参照)。

図 10-1 IEEE 802.1x におけるデバイスの役割

 

クライアント :LAN およびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Microsoft Windows XP OS(オペレーティング システム)に付属しているような IEEE 802.1x 準拠のクライアント ソフトウェアを実行する必要があります (クライアントは、IEEE 802.1x 標準では サプリカント といいます)。


Windows XP のネットワーク接続および IEEE 802.1x 認証については、「Microsoft Knowledge Base」(http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP)を参照してください。


認証サーバ :クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対してトランスペアレントに行われます。今回のリリースでサポートされる認証サーバは、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけです。これは Cisco Secure Access Control Server バージョン 3.0 以降で利用できます。RADIUS はクライアント/サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント):クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化とカプセル化解除、および認証サーバとの対話を処理する RADIUS クライアントが含まれています(スイッチは、IEEE 802.1x 標準では オーセンティケータ といいます)。

スイッチが EAPOL フレームを受信して認証サーバにリレーする場合、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS フォーマットに再カプセル化されます。カプセル化では EAP フレームの変更は行われないため、認証サーバはネイティブ フレーム フォーマットの EAP をサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

仲介デバイスとして動作できるものには、Catalyst 3750-E、Catalyst 3560-E、Catalyst 3750、Catalyst 3560、Catalyst 3550、Catalyst 2975、Catalyst 2970、Catalyst 2960、Catalyst 2955、Catalyst 2950、Catalyst 2940 スイッチ、またはワイヤレス アクセス ポイントがあります。これらのデバイスでは、RADIUS クライアントおよび IEEE 802.1x 認証をサポートするソフトウェアが稼動している必要があります。

認証プロセス

IEEE 802.1x ポートベース認証がイネーブルであり、クライアントが IEEE 802.1x 準拠のクライアント ソフトウェアをサポートしている場合、次のイベントが発生します。

クライアント ID が有効で IEEE 802.1x 認証に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。

EAPOL メッセージ交換の待機中に IEEE 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、スイッチはクライアント MAC アドレスを認証用に使用します。このクライアント MAC アドレスが有効で認証に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。クライアント MAC アドレスが無効で認証に失敗した場合、ゲスト VLANが設定されていれば、スイッチはクライアントに限定的なサービスを提供するゲスト VLAN を割り当てます。

スイッチが IEEE 802.1x 対応クライアントから無効な ID を取得し、制限付き VLAN が指定されている場合、スイッチはクライアントに限定的なサービスを提供する制限付き VLAN を割り当てることができます。

RADIUS 認証サーバが使用できず(ダウンしていて)アクセスできない認証バイパスがイネーブルの場合、スイッチは、RADIUS 設定 VLAN またはユーザ指定アクセス VLAN で、ポートをクリティカル認証ステートにして、クライアントにネットワークのアクセスを許可します。


) アクセスできない認証バイパスは、クリティカル認証、または Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)失敗ポリシーとも呼ばれます。


図 10-2 に、認証プロセスを示します。

Multi Domain Authentication (MDAマルチ ドメイン認証)をポート上でイネーブルにすると、音声認証などの一部の場合以外は、このフローが使用できます。MDA の詳細については、「マルチドメイン認証の使用」を参照してください。

図 10-2 認証フローチャート

 

次の状況のいずれかが発生すると、スイッチはクライアントを再認証します。

定期的な再認証がイネーブルで、再認証タイマーの期限が切れている場合。

スイッチ固有の値を使用するか、RADIUS サーバからの値に基づいて再認証タイマーを設定できます。

RADIUS サーバを使用する IEEE 802.1x 認証を設定したあと、スイッチは、Session-Timeout RADIUS アトリビュート(アトリビュート [27])と Termination-Action RADIUS アトリビュート(アトリビュート[29])に基づいてタイマーを使用します。

Session-Timeout RADIUS アトリビュート(アトリビュート [27])は、再認証が発生するまでの時間を指定します。

Termination-Action RADIUS アトリビュート(アトリビュート [29])は、再認証中に行うアクションを指定します。アクションは、 Initialize および ReAuthenticate です。 Initialize アクションが設定されていると(アトリビュートの値は DEFAULT )、IEEE 802.1x セッションが終了し、再認証中に接続が切断されます。 ReAuthenticate アクションが設定されていると(アトリビュートの値は RADIUS-Request)、再認証中にセッションは影響を受けません。

クライアントを手動で再認証するには、 dot1x re-authenticate interface interface-id イネーブル EXEC コマンドを入力します。

認証の開始およびメッセージ交換

IEEE 802.1x 認証中に、スイッチまたはクライアントは認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチはポートのリンク ステートがダウンからアップに変更した時点で、またはポートが認証されてないままアップの状態であるかぎり定期的に、認証を開始しなければなりません。スイッチはクライアントに EAP-Request/Identity フレームを送信し、その ID を要求します。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス デバイスで IEEE 802.1x 認証がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべて廃棄されます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。認証に失敗した場合、認証が再試行されるか、ポートが限定的なサービスを提供する VLAN に割り当てられるか、あるいはネットワーク アクセスが許可されないかのいずれかになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図 10-3に、クライアントが RADIUS サーバとの間で One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図 10-3 メッセージ交換

 

EAPOL メッセージ交換の待機中に IEEE 802.1x 認証がタイムアウトし、MAC 認証バイパスがイネーブルの場合、スイッチはクライアントからイーサネット パケットを検出するとそのクライアントを認証できます。スイッチは、クライアントの MAC アドレスを ID として使用し、RADIUS サーバに送信される RADIUS アクセス/要求フレームにこの情報を保存します。サーバがスイッチに RADIUS アクセス/承認フレームを送信(認証が成功)すると、ポートが許可されます。認証に失敗してゲスト VLAN が指定されている場合、スイッチはポートをゲスト VLAN に割り当てます。イーサネット パケットの待機中にスイッチが EAPOL パケットを検出すると、スイッチは MAC 認証バイパス プロセスを停止して、IEEE 802.1x を停止します。

図 10-4に、MAC 認証バイパス中のメッセージ交換を示します。

図 10-4 MAC 認証バイパス中のメッセージ交換

 

許可ステートおよび無許可ステートのポート

IEEE 802.1x 認証中に、スイッチのポート ステートによって、スイッチはネットワークへのクライアント アクセスを許可します。ポートは最初、 無許可 ステートです。このステートでは、音声 VLAN(仮想 LAN)ポートとして設定されていないポートは IEEE 802.1x 認証、CDP、および STP パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに変更し、クライアントのトラフィック送受信を通常どおりに許可します。ポートが音声 VLAN として設定されている場合、VoIP トラフィックおよび IEEE 802.1x プロトコル パケットが許可されたあとクライアントが正常に認証されます。

IEEE 802.1x をサポートしていないクライアントが、無許可ステートの IEEE 802.1x ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、IEEE 802.1x 対応のクライアントが、IEEE 802.1x 標準が稼動していないポートに接続すると、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。また、応答がない場合は、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized :IEEE 802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに変更します。ポートはクライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized :クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチは、ポートを介してクライアントに認証サービスを提供できません。

auto :IEEE 802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに変更したとき、または EAPOL-Start フレームを受信したときに、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからのすべてのフレームがポート経由での送受信を許可されます。認証に失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとき、EAPOL-Logoff メッセージを送信します。このメッセージによって、スイッチ ポートが無許可ステートになります。

ポートのリンク ステートがアップからダウンに変更した場合、または EAPOL-Logoff フレームを受信した場合に、ポートは無許可ステートに戻ります。

IEEE 802.1x 認証とスイッチ スタック

スイッチがスイッチ スタックで追加または削除されても、RADIUS サーバとスタック間の IP 接続が保たれているかぎりは、IEEE 802.1x 認証に影響はありません。このことは、スタック マスターがスイッチ スタックから削除された場合にも当てはまります。スタック マスターに障害が生じると、スタック メンバーが「スイッチ スタックの管理」に記載されている選択プロセスを使用して新たなスタック マスターとなり、IEEE 802.1x 認証プロセスは通常どおり継続されることに注意してください。

サーバに接続されていたスイッチが削除されたり、またはそのスイッチに障害が発生したりといった理由で RADIUS サーバへの IP 接続が切断された場合には、次のイベントが発生します。

既に認証済みで定期的な再認証がイネーブル化されていないポートは、認証ステートのままです。RADIUS サーバとの通信は必要ありません。

既に認証済みで、定期的な再認証がイネーブルにされているポートは( dot1x re-authentication グローバル コンフィギュレーション コマンドを使用して)、再認証時に認証プロセスに失敗します 。ポートは、再認証プロセスで未認証ステートに戻ります。RADIUS サーバとの通信が必要です。

進行中の認証は、サーバ接続がないため即座に失敗します。

障害の発生したスイッチが再びアップし、スイッチ スタックに参加した場合は、起動時間と、認証が試行されるまでに RADIUS サーバへの接続が再確立されたかどうかによって、認証は失敗することもあります。

RADIUS サーバ接続の切断を回避するには、冗長接続を確立しておく必要があります。たとえば、スタック マスターへの冗長接続とスタック メンバーへの別の冗長接続を確立しておけば、スタック マスターに障害が発生しても、スイッチ スタックは RADIUS サーバへの接続を維持できます。

IEEE 802.1x のホスト モード

IEEE 802.1x ポートは、シングル ホスト モードまたはマルチ ホスト モードで設定できます。シングル ホスト モード(図 10-1を参照)では、IEEE 802.1x 対応のスイッチ ポートに接続できるのはクライアント 1 つのみです。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL フレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチ ホスト モードでは、複数のホストを単一の IEEE 802.1x 対応ポートに接続できます。図 10-5に、ワイヤレス LAN における IEEE 802.1x ポートベース認証を示します。このモードでは、接続されたクライアントのうち 1 つが許可されれば、クライアントすべてのネットワーク アクセスが許可されます。ポートが無許可ステートになると(再認証が失敗するか、または EAPOL-Logoff メッセージを受信した場合)、スイッチは接続しているクライアントのネットワーク アクセスをすべて禁止します。このトポロジーでは、ワイヤレス アクセス ポイントが接続しているクライアントの認証を処理し、スイッチに対してクライアントとしての役割を果たします。

マルチ ホスト モードがイネーブルの場合、IEEE 802.1x 認証を使用してポートおよびポート セキュリティを認証し、クライアントを含むすべての MAC アドレスのネットワーク アクセスを管理できます。

図 10-5 マルチ ホスト モードの例

 

スイッチでは、マルチ ドメイン認証(MDA)がサポートされ、データ デバイスおよび IP 電話(Cisco でも Cisco 以外でも)などの音声デバイスの両方を、同じスイッチ ポートに接続できます。詳細については、「マルチドメイン認証の使用」を参照してください。

IEEE 802.1x アカウンティング

IEEE 802.1x 標準では、ユーザの認証およびユーザのネットワーク アクセスに対する許可方法を定義しています。ただし、ネットワークの使用法については監視しません。IEEE 802.1x アカウンティングは、デフォルトでディセーブルに設定されています。IEEE 802.1x アカウンティングをイネーブルにすると、次のアクティビティを IEEE 802.1x 対応のポート上でモニタできます。

正常にユーザを認証します。

ユーザがログ オフします。

リンクダウンが発生します。

再認証が正常に行われます。

再認証が失敗します。

スイッチは IEEE 802.1x アカウンティング情報を記録しません。その代わり、スイッチはこの情報を RADIUS サーバに送信します。RADIUS サーバは、アカウンティング メッセージを記録するように設定する必要があります。

IEEE 802.1x アカウンティング アトリビュート値(AV)ペア

RADIUS サーバに送信された情報は、アトリビュート値(AV)ペアの形式で表示されます。これらの AV ペアのデータは、各種アプリケーションによって使用されます (たとえば課金アプリケーションの場合、RADIUS パケットの Acct-Input-Octets または Acct-Output-Octets アトリビュートの情報が必要です)。

AV ペアは、IEEE 802.1x アカウンティングが設定されているスイッチによって自動的に送信されます。次の種類の RADIUS アカウンティング パケットがスイッチによって送信されます。

START:新規ユーザ セッションが始まると送信されます。

INTERIM:既存のセッションが更新されると送信されます。

STOP:セッションが終了すると送信されます。

次の 表 10-1 に、AV ペアおよびスイッチによって送信される AV ペアの条件を示します。

 

表 10-1 アカウンティング AV ペア

アトリビュート番号
AV ペア名
START
INTERIM
STOP

アトリビュート [1]

User-Name

常時送信

常時送信

常時送信

アトリビュート [4]

NAS-IP-Address

常時送信

常時送信

常時送信

アトリビュート [5]

NAS-Port

常時送信

常時送信

常時送信

アトリビュート [8]

Framed-IP-Address

非送信

条件に応じて送信1

条件に応じて送信 1

アトリビュート [25]

Class

常時送信

常時送信

常時送信

アトリビュート [30]

Called-Station-ID

常時送信

常時送信

常時送信

アトリビュート [31]

Calling-Station-ID

常時送信

常時送信

常時送信

アトリビュート [40]

Acct-Status-Type

常時送信

常時送信

常時送信

アトリビュート [41]

Acct-Delay-Time

常時送信

常時送信

常時送信

アトリビュート [42]

Acct-Input-Octets

非送信

常時送信

常時送信

アトリビュート [43]

Acct-Output-Octets

非送信

常時送信

常時送信

アトリビュート [44]

Acct-Session-ID

常時送信

常時送信

常時送信

アトリビュート [45]

Acct-Authentic

常時送信

常時送信

常時送信

アトリビュート [46]

Acct-Session-Time

非送信

常時送信

常時送信

アトリビュート [49]

Acct-Terminate-Cause

非送信

非送信

常時送信

アトリビュート [61]

NAS-Port-Type

常時送信

常時送信

常時送信

1.ホストに対して有効な Dynamic Host Control Protocol(DHCP)バインディングが DHCP スヌーピング バインディング テーブルに存在している場合にのみ、Framed-IP-Address の AV ペアは送信されます。

スイッチによって送信された AV ペアは、 debug radius accounting イネーブル EXEC コマンドを入力することで表示できます。このコマンドの詳細については、次の URL で『 Cisco IOS Debug Command Reference 』Release 12.2 を参照してください。

http://www.cisco.com/en/US/docs/ios/debug/command/reference/db_book.html

AV ペアの詳細については、RFC 3580 『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

802.1x レディネス チェックの使用

802.1x レディネス チェックにより、すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されるデバイスの情報を表示できます。この機能を使用することで、そのスイッチ ポートに接続しているデバイスが IEEE 802.1x 対応かどうかを判別することができます。IEEE 802.1x 機能をサポートしないデバイスには、MAC 認証バイパスや web 認証などの代替認証が使用できます。

この機能は、そのクライアントのサプリカントで NOTIFY EAP 通知パケットによるクエリーがサポートされる場合のみ有効です。クライアントは、IEEE 802.1x のタイムアウト値までの間に応答しなければなりません。

802.1x レディネス チェックのためのスイッチ設定については「802.1x レディネス チェックの設定」を参照してください。

VLAN 割り当てを使用した IEEE 802.1x 認証の利用

RADIUS サーバは VLAN 割り当てを送信し、スイッチ ポートを設定します。RADIUS サーバ データベースは、ユーザ名と VLAN のマッピングを維持し、スイッチ ポートに接続するクライアントのユーザ名に基づいて VLAN を割り当てます。この機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

音声デバイス認証は、Cisco IOS Release 12.2(37)SE のマルチドメイン ホスト モードでサポートされています。Cisco IOS Release 12.2(40)SE 以降では、音声デバイスが認証されて RADIUS サーバが許可 VLAN を戻すと、そのポートの音声 VLAN が、割り当てられた音声 VLAN 上のパケットを送受信するように設定されます。multidomain authentication(MDA; マルチドメイン認証)がイネーブルのポートでは、音声 VLAN の割り当てによる動作は、データ VLAN の割り当ての場合と同じです。詳細については、「マルチドメイン認証の使用」を参照してください。

スイッチと RADIUS サーバ上で設定された場合、VLAN 割り当てを使用した IEEE 802.1x 認証には次の特性があります。

RADIUS サーバから VLAN が提供されない場合、または IEEE 802.1x 認証がディセーブルの場合、認証が成功するとポートはアクセス VLAN に設定されます。アクセス VLAN とは、アクセス ポートに割り当てられた VLAN です。このポート上で送受信されるパケットはすべて、この VLAN に所属します。

IEEE 802.1x 認証がイネーブルで、RADIUS サーバからの VLAN 情報が無効の場合、認証は失敗し、VLAN が使用中のままの設定になります。これにより、設定エラーによって不適切な VLAN に予期せぬポートが現れることを防ぎます。

設定エラーには、間違った VLAN ID、存在しない VLAN ID、RSPAN VLAN、あるいはシャットダウンまたは一時停止されている VLAN の指定などがあります。マルチドメイン ホスト ポートの場合は、設定または割り当てられた音声 VLAN ID に一致するデータ VLAN を割り当てようとすることで、設定エラーが起こることもあります(逆の場合もあります)。

IEEE 802.1x 認証がイネーブルで、サーバからのすべての情報が有効の場合、認証されたデバイスは、認証後、指定した VLAN に配置されます。

IEEE 802.1x ポートでマルチ ホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じ VLAN(RADIUS サーバにより指定)に配置されます。

ポート セキュリティをイネーブルにしても、RADIUS サーバの割り当てられた VLAN の動作には影響しません。

IEEE 802.1x 認証がポートでディセーブルの場合、設定済みのアクセス VLAN および設定済みの音声 VLAN に戻ります

IEEE 802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置されると、そのポートのアクセス VLAN 設定への変更は有効になりません。マルチドメイン ホストでは、ポートが完全に認証されていれば、次の場合以外は、同じことが音声デバイスに当てはまります。

1 つのデバイスの VLAN 設定変更によって、他のデバイスによって設定または割り当てられた VLAN に一致した場合、そのポートのすべてのデバイスの認証は終了し、マルチドメイン ホスト モードが、有効な設定が復元されてデータおよび音声デバイスによって設定された VLAN が一致しなくなるまで、ディセーブルになる。

音声デバイスが認証されてダウンロードされた音声 VLAN を使用している場合、音声 VLAN 設定を削除したり、設定値を dot1p に変更したりタグなしにしたりすると、音声デバイスが認証されなくなり、マルチドメイン ホスト モードがディセーブルになる。

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ)によるダイナミック アクセス ポート割り当ての場合、VLAN 割り当て機能を使用した IEEE 802.1x 認証はサポートされません。

VLAN 割り当てを設定するには、次の作業を実行する必要があります。

network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。

IEEE 802.1x 認証をイネーブルにします(アクセス ポートで IEEE 802.1x 認証を設定すると、VLAN 割り当て機能は自動的にイネーブルになります)。

RADIUS サーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUS サーバは次のアトリビュートをスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

アトリビュート [64] は、値 VLAN (タイプ 13)でなければなりません。アトリビュート [65] は、値 802 (タイプ 6)でなければなりません。アトリビュート [81] は、IEEE 802.1x 認証ユーザに割り当てられた VLAN 名 または VLAN ID を指定します。

トンネル アトリビュートの例については、「ベンダー固有の RADIUS アトリビュートを使用するスイッチ設定」を参照してください。

ゲスト VLAN を使用した IEEE 802.1x 認証の利用

スイッチ上の各 IEEE 802.1x ポートにゲスト VLAN を設定し、クライアントに対して限定的なサービスを提供できます(IEEE 802.1x クライアントのダウンロードなど)。これらのクライアントは IEEE 802.1x 認証用にシステムをアップグレードできる場合がありますが、一部のホスト(Windows 98 システムなど)は IEEE 802.1x 対応ではありません。

スイッチが EAP Request/Identity フレームに対する応答を受信していない場合、または EAPOL パケットがクライアントによって送信されない場合に、IEEE 802.1x ポート上でゲスト VLAN をイネーブルにすると、スイッチはクライアントにゲスト VLAN を割り当てます。

スイッチは、EAPOL パケット履歴を維持します。EAPOL パケットがリンクの存続時間中にインターフェイスで検出された場合、スイッチはそのインターフェイスに接続されているデバイスが IEEE 802.1x 対応のものであると判断します。インターフェイスはゲスト VLAN ステートにはなりません。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。EAPOL パケットがインターフェイスで検出されない場合、そのインターフェイスはゲスト VLAN のステートになります。

リンクの存続時間中にデバイスが EAPOL パケットを送信した場合、スイッチは ゲスト VLAN への認証アクセスに失敗したクライアントを許可しません。

スイッチが IEEE 802.1x 対応の音声デバイスを認証しようとしていて、AAA サーバが利用できない場合、認証は失敗しますが、EAPOL パケットの検出は、EAPOL 履歴に保存されます。AAA サーバが利用可能になると、スイッチは音声デバイスを認証します。しかし、スイッチは、他のデバイスのゲスト VLAN へのアクセスを許可しません。この状況を回避するには、次のいずれかのコマンドを使用します。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドで、ゲスト VLAN にアクセスできるようにする。

shutdown インターフェイス コンフィギュレーション コマンドに続けて no shutdown インターフェイス コンフィギュレーション コマンドを入力して、ポートを再起動する。


) インターフェイスがゲスト VLAN に変わってから EAPOL パケットが検出された場合、無許可ステートに戻って IEEE 802.1x 認証を再起動します。


スイッチ ポートがゲスト VLAN に変わると、IEEE 802.1x 非対応クライアントはすべてアクセスを許可されます。ゲスト VLAN が設定されているポートに IEEE 802.1x 対応クライアントが加入すると、ポートは、ユーザ設定によるアクセス VLAN で無許可ステートになり、認証が再起動されます。

ゲスト VLAN は、IEEE 802.1x ポート上でシングル ホスト モードまたはマルチ ホスト モードでサポートされています。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、トランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。

Cisco IOS Release 12.2(25)SEE 以降のリリースでは、スイッチが、 MAC 認証バイパス をサポートしています。MAC 認証バイパスが IEEE 802.1x ポートでイネーブルの場合、スイッチは、IEEE 802.1x 認証のタイムアウト時に EAPOL メッセージ交換を待機している間、クライアント MAC アドレスに基づいてクライアントを許可できます。IEEE 802.1x ポートでクライアントを検出したあと、スイッチはクライアントからのイーサネット パケットを待ちます。スイッチは MAC アドレスに基づいて、ユーザ名とパスワードと共に RADIUS アクセス/要求フレームを認証サーバに送信します。認証に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。認証に失敗した場合、ゲスト VLAN が指定されていれば、スイッチはポートをゲスト VLAN に割り当てます。詳細については、「MAC 認証バイパスを使用した IEEE 802.1x 認証の利用」を参照してください。

詳細については、「ゲスト VLAN の設定」を参照してください。

制限付き VLAN による IEEE 802.1x 認証の利用

ゲスト VLAN にアクセスできないクライアント向けに、限定されたサービスを提供するために、スイッチ スタックまたはスイッチ の各 IEEE 802.1x ポートに対して制限付き VLAN(認証失敗 VLANと呼ばれることもあります)を設定できます。これらのクライアントは、認証プロセスに失敗したため他の VLAN にアクセスできない IEEE 802.1x 対応クライアントです。制限付き VLAN を使用すると、認証サーバの有効な証明書を持っていないユーザ(通常、企業にアクセスするユーザ)に、サービスを制限したアクセスを提供できます。管理者は制限付き VLAN のサービスを制御できます。


) 両方のタイプのユーザに同じサービスを提供する場合、ゲスト VLAN と制限付き VLAN の両方を同じに設定できます。


この機能がないと、クライアントは認証失敗をいつまでも繰り返すことになるため、スイッチ ポートがスパニングツリーのブロッキング ステートから変わることができなくなります。制限付き VLAN の機能を使用することで、クライアントの認証試行回数を指定し(デフォルト値は 3 回)、一定回数後にスイッチ ポートを制限付き VLAN の状態に移行させることができます。

認証サーバはクライアントの認証試行回数をカウントします。このカウントが設定した認証試行回数を超えると、ポートが制限付き VLAN の状態に変わります。失敗した試行回数は、RADIUS サーバが EAP failure で応答したときや、EAP パケットなしの空の応答を返したときからカウントされます。ポートが制限付き VLAN に変わったら、このカウント数はリセットされます。

認証に失敗したユーザの VLAN は、もう一度認証を実行するまで制限された状態が続きます。制限付き VLAN 内のポートは設定された間隔に従って再認証を試みます(デフォルトは 60 秒)。再認証に失敗している間は、ポートの VLAN は制限された状態が続きます。再認証に成功した場合、ポートは設定された VLAN もしくは RADIUS サーバによって送信された VLAN に移行します。再認証はディセーブルにすることもできますが、ディセーブルにすると、 link down または EAP logoff イベントを受信しないかぎり、ポートの認証プロセスを再起動できません。クライアントがハブを介して接続している場合、再認証機能はイネーブルにしておくことを推奨します。クライアントの接続をハブから切り離すと、ポートに link down EAP logoff イベントが送信されない場合があります。

ポートが制限付き VLAN に移行すると、EAP 成功の擬似メッセージがクライアントに送信されます。このメッセージによって、繰り返し実行している再認証を停止させることができます。クライアントによっては(Windows XP が稼動しているデバイスなど)、EAP なしで DHCP を実装できません。

制限付き VLAN は、レイヤ 2 ポートにある IEEE 802.1x ポート上でシングル ホスト モードの場合のみサポートされます。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x 制限付き VLAN として設定できます。制限付き VLAN 機能は、トランク ポートではサポートされていません。アクセス ポート上でのみサポートされます

この機能はポート セキュリティと連動します。ポートが認証されると、すぐに MAC アドレスがポート セキュリティに提供されます。ポート セキュリティがその MAC アドレスを許可しない場合、またはセキュア アドレス カウントが最大数に達している場合、ポートは無許可になり、error ステートに移行します。

ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査、DHCP スヌーピング、および IP 送信元ガードのような他のポート セキュリティ機能は、制限付き VLAN に対して個別に設定できます。

詳細については、「制限付き VLAN の設定」を参照してください。

アクセス不能認証バイパスによる IEEE 802.1x 認証の使用

スイッチが設定された RADIUS サーバに到達できず、ホストが認証されない場合、 クリティカル ポートに接続されたホストにネットワーク アクセスできるようスイッチを設定できます。クリティカル ポートは、アクセス不能認証バイパス機能( クリティカル認証 、または AAA 失敗ポリシー とも呼ばれます)に対してイネーブルになっています。

この機能がイネーブルの場合、スイッチはクリティカル ポートに接続されたホストの認証を行う際に、RADIUS サーバのステータスを確認します。利用可能なサーバが 1 つあれば、スイッチはホストを認証できます。ただし、すべての RADIUS サーバが利用不可能な場合は、スイッチはホストへのネットワーク アクセスを許可して、ポートを認証ステートの特別なケースであるクリティカル認証ステートにします。

アクセス不能認証バイパス機能の動作は、ポートの許可ステートにより異なります。

クリティカル ポートに接続されているホストが認証しようとする際にポートが無許可ですべてのサーバが利用できない場合、スイッチは RADIUS 設定済み VLAN またはユーザ指定のアクセス VLAN にあるポートをクリティカル認証ステートにします。

ポートが許可済みで、再認証が行われた場合、スイッチは現在の VLAN(事前に RADIUS サーバにより割り当てられた)でクリティカル ポートをクリティカル認証ステートにします。

認証交換中に RADIUS サーバが利用不可能となった場合、現在の交換はタイム アウトとなり、スイッチは次の認証試行の間にクリティカル ポートをクリティカル認証ステートとします。

ホストを認証できる RADIUS サーバが利用可能な場合、クリティカル認証ステートのすべてのクリティカル ポートは自動的に再認証されます。

アクセス不能認証バイパスは、次の機能と相互に作用します。

ゲスト VLAN:アクセス不能認証バイパスは、ゲスト VLAN と互換性があります。ゲスト VLANが IEEE 802.1x ポートでイネーブルの場合、この機能は次のように相互に作用します。

スイッチが EAP Request/Identity フレームへの応答を受信しないとき、または EAPOL パケットがクライアントによって送信されないときに、少なくとも 1 つの RADIUS サーバが使用できれば、スイッチはクライアントにゲスト VLAN を割り当てます。

すべての RADIUS サーバが使用できず、クライアントがクリティカル ポートに接続されている場合、スイッチはクライアントを認証して、クリティカル ポートを RADIUS 認証済み VLAN またはユーザ指定のアクセス VLAN でクリティカル認証ステートにします。

すべての RADIUS サーバが使用できず、クライアントがクリティカル ポートに接続されていない場合、ゲスト VLAN が設定されていても、スイッチはクライアントにゲスト VLAN を割り当てられません。

すべての RADIUS サーバが使用できず、クライアントがクリティカル ポートに接続されていて、すでにゲスト VLAN が割り当てられている場合、スイッチはそのポートをゲスト VLAN に保持します。

制限付き VLAN:ポートがすでに制限付き VLAN で許可されていて RADIUS サーバが使用できない場合、スイッチはクリティカル ポートを制限付き VLAN でクリティカル認証ステートにします。

IEEE 802.1x アカウンティング:RADIUS サーバが使用できない場合、アカウンティングは影響を受けません。

プライベート VLAN:プライベート VLAN ホスト ポートにアクセス不能認証バイパスを設定できます。アクセス VLANは、セカンダリ VLAN でなければなりません。

音声VLAN:アクセス不能認証バイパスは音声 VLAN と互換性がありますが、RADIUS 設定済み VLAN またはユーザ指定のアクセス VLAN は、音声 VLAN と異なっていなければなりません。

Remote Switched Port Analyzer(RSPAN):アクセス不能認証バイパスの RADIUS 設定またはユーザ指定のアクセス VLAN として RSPAN VLAN を指定しないでください。

スイッチ スタックでは、スタック マスターがキープアライブ パケットを送信して RADIUS サーバのステータスを確認します。RADIUS サーバのステータスが変化すると、スタック マスターはその情報をスタック メンバーに送信します。これにより、スタック メンバーはクリティカル ポートの再認証の際に RAIDUS サーバのステータスを確認できます。

新しいスタック マスターが選ばれると、スイッチ スタックと RADIUS サーバ間のリンクが変更することがあり、新しいスタック マスターは RADIUS サーバのステータスを更新するために、即座にキープアライブ パケットを送信します。サーバのステータスが dead から alive に変化すると、スイッチはクリティカル認証ステートの状態にあるすべてのスイッチ ポートを再認証します。

スタックにメンバーが追加されると、スタック マスターはそのメンバーにサーバ ステータスを送信します。

音声 VLAN ポートを使用した IEEE 802.1x 認証の利用

音声 VLAN ポートは特殊なアクセス ポートで、次の 2 つの VLAN ID が対応付けられています。

IP 電話との間で音声トラフィックを伝送する VVID。VVID は、ポートに接続された IP 電話を設定するために使用されます。

IP 電話を通じて、スイッチと接続しているワークステーションとの間でデータ トラフィックを伝送する PVID。PVID は、ポートのネイティブ VLAN です。

ポートの許可ステートにかかわらず、IP 電話は音声トラフィックに対して VVID を使用します。これにより、IP 電話は IEEE 802.1x 認証とは独立して動作できます。

シングル ホスト モードでは、IP 電話だけが音声 VLAN で許可されます。マルチ ホスト モードでは、サプリカントが PVID で認証されたあと、追加のクライアントがトラフィックを音声 VLAN 上で送信できます。マルチ ホスト モードがイネーブルの場合、サプリカント認証は PVID と VVID の両方に影響します。

リンクがあるとき、音声 VLAN ポートはアクティブになり、IP 電話からの最初の CDP メッセージを受け取るとデバイスの MAC アドレスが表示されます。Cisco IP Phone は、他のデバイスから受け取った CDP メッセージをリレーしません。その結果、複数の IP 電話が直列に接続されている場合、スイッチは直接接続されている 1 台の IP 電話のみを認識します。音声 VLAN ポートで IEEE 802.1x 認証がイネーブルの場合、スイッチは 2 ホップ以上離れた認識されない IP 電話からのパケットを廃棄します。

IEEE 802.1x 認証をポート上でイネーブルにすると、音声 VLAN と同等の機能を持つポート VLAN は設定できません。


) 音声 VLAN が設定され、Cisco IP Phone が接続されているアクセス ポートで IEEE 802.1x 認証をイネーブルにした場合、Cisco IP Phone のスイッチへの接続が最大 30 秒間失われます。


音声 VLAN の詳細については、「音声 VLAN の設定」を参照してください。

ポート セキュリティを使用した IEEE 802.1x 認証の利用

シングル ホスト モードまたはマルチ ホスト モードのどちらでもポート セキュリティを備えた IEEE 802.1x ポートを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定する必要があります)。ポートでポート セキュリティおよび IEEE 802.1x 認証をイネーブルに設定すると、IEEE 802.1x 認証はそのポートを認証し、ポート セキュリティはそのクライアントを含むすべての MAC アドレスに対するネットワーク アクセスを管理します。この場合、IEEE 802.1x ポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

次に、スイッチ上での IEEE 802.1x 認証とポート セキュリティ間における相互関係の例を示します。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントの MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリは保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

最初に認証されたホストが原因でセキュリティ違反が発生すると、ポートは errdisable ステートになり、ただちにシャットダウンします。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細については、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、ポート セキュリティ テーブルから IEEE 802.1x クライアント アドレスを手動で削除する場合、dot1x re-authenticate interface interface-id イネーブル EXEC コマンドを使用して、IEEE 802.1x クライアントを再認証する必要があります。

IEEE 802.1x クライアントがログオフすると、ポートが未認証ステートに変更され、クライアントのエントリを含むセキュア ホスト テーブル内のダイナミック エントリがすべてクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になると、ポートは未認証ステートになり、ダイナミック エントリはすべてセキュア ホスト テーブルから削除されます。

シングル ホスト モードまたはマルチ ホスト モードのいずれの場合でも、IEEE 802.1x ポート上でポート セキュリティと音声 VLAN を同時に設定できます。ポート セキュリティは、Voice VLAN Identifier(VVID)および Port VLAN Identifier(PVID)の両方に適用されます。

dot1x violation-mode インターフェイス コンフィギュレーション コマンドでは、IEEE 802.1x 対応のポートに接続するとき、あるいは許可可能な最大のデバイス数が認証されたときに、ポートがシャットダウン、syslog エラーの生成、新規デバイスからのパケットの破棄のいずれかを実行できるように設定できます。詳細については、「ポート単位の許可可能なデバイスの最大数」およびこのリリースに対応するコマンド リファレンスを参照してください。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

WoL 機能を使用した IEEE 802.1x 認証の利用

IEEE 802.1x 認証の Wake-on-LAN(WoL)機能を使用すると、スイッチにマジック パケットと呼ばれる特定のイーサネット フレームを受信させて、休止状態の PC を起動させることができます。この機能は、管理者が休止状態のシステムへ接続しなければならない場合に役立ちます。

WoL を使用するホストが IEEE 802.1x ポートを通じて接続され、ホストの電源がオフになると、IEEE 802.1x ポートは無許可になります。無許可になったポートは EAPOL パケットしか送受信できないため、WoL マジック パケットはホストに届きません。さらに PC が休止状態になると、PC が認証されなくなるため、スイッチ ポートは閉じたままになります。

スイッチが WoL 機能を有効にした IEEE 802.1x 認証を使用している場合、スイッチはマジック パケットを含むトラフィックを無許可の IEEE 802.1x ポートに転送します。ポートが無許可の間、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信できますが、パケットをネットワーク内にある他のデバイスに送信できません。


) PortFast がポートでイネーブルになっていないと、そのポートは強制的に双方向ステートになります。


dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向に設定すると、そのポートはスパニングツリー フォワーディング ステートに変わります。ポートはパケットをホストに送信できますが、ホストからパケットを受信できません。

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向に設定すると、そのポートのアクセスが双方向で制御されます。ポートは、ホストとの間でパケットを送受信しません。

MAC 認証バイパスを使用した IEEE 802.1x 認証の利用

MAC 認証バイパス機能を使用し、クライアント MAC アドレス(図 10-2を参照)に基づいてクライアントを許可するようにスイッチを設定できます。たとえば、プリンタなどのデバイスに接続された IEEE 802.1x ポートでこの機能をイネーブルにできます。

クライアントからの EAPOL 応答の待機中に IEEE 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパスを使用してクライアントを許可しようとします。

MAC 認証バイパス機能が IEEE 802.1x ポートでイネーブルの場合、スイッチはクライアント ID として MAC アドレスを使用します。認証サーバには、ネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。IEEE 802.1x ポートでクライアントを検出したあと、スイッチはクライアントからのイーサネット パケットを待ちます。スイッチは MAC アドレスに基づいて、ユーザ名とパスワードと共に RADIUS アクセス/要求フレームを認証サーバに送信します。認証に成功した場合、スイッチはクライアントにネットワークへのアクセスを許可します。許可が失敗した場合、ゲスト VLAN が設定されていれば、スイッチはポートをゲスト VLAN に割り当てます。

リンクの存続時間中にインターフェイスで EAPOL パケットが検出された場合、スイッチはそのインターフェイスに接続されているデバイスが IEEE 802.1x 対応サプリカントであると判断し、インターフェイスを許可するために(MAC 認証バイパスではなく)IEEE 802.1x 認証を使用します。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。

スイッチがすでに MAC 認証バイパスを使用してポートを許可し、IEEE 802.1x サプリカントを検出している場合、スイッチはポートに接続されているクライアントを許可します。再認証が発生するときに、Termination-Action RADIUS アトリビュート値が DEFAULT であるために前のセッションが終了した場合、スイッチは優先再認証プロセスとして IEEE 802.1x 認証を使用します。

MAC 認証バイパスを使用して許可されたクライアントを再認証できます。再認証プロセスは、IEEE 802.1x を使用して認証されたクライアントに対するプロセスと同じです。再認証中は、ポートは前に割り当てられた VLAN のままです。再認証に成功すると、スイッチはポートを同じ VLAN に保持します。再認証に失敗した場合、ゲスト VLAN が設定されていれば、スイッチはポートをゲスト VLAN に割り当てます。

再認証が Session-Timeout RADIUS アトリビュート(アトリビュート [27])と Termination-Action RADIUS アトリビュート(アトリビュート [29])に基づいており、Termination-Action RADIUS アトリビュート(アトリビュート [29])のアクションが Initialize (初期化)される場合(アトリビュート値が DEFALUT )、MAC 認証バイパス セッションが終了して、再認証中に接続が切断されます。MAC 認証バイパス機能が IEEE 802.1x 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再認証を開始します。AV ペアの詳細については、RFC 3580 『IEEE 802.1x Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

MAC 認証バイパスは、次の機能と相互に作用します。

IEEE 802.1x 認証:IEEE 802.1x 認証がポートでイネーブルの場合にのみ MAC 認証バイパスをイネーブルにできます。

ゲスト VLAN:クライアントの MAC アドレス ID が無効な場合、ゲスト VLAN が設定されていれば、スイッチは VLAN にクライアントを割り当てます。

制限付き VLAN:IEEE 802.1x ポートに接続されているクライアントが MAC 認証バイパスで認証されている場合には、この機能はサポートされません。

ポート セキュリティ:「ポート セキュリティを使用した IEEE 802.1x 認証の利用」を参照してください。

音声 VLAN:「音声 VLAN ポートを使用した IEEE 802.1x 認証の利用」を参照してください。

VLAN Menbership Policy Server(VMPS; VLAN メンバーシップ ポリシー サーバ):IEEE 802.1x および VMPS は相互に排他的です。

プライベート VLAN:クライアントをプライベート VLAN に割り当てられます。

NAC レイヤ 2 IEEE 802.1x 検証の使用

スイッチは NAC レイヤ 2 IEEE 802.1x 検証をサポートします。これは、デバイス ネットワーク アクセスを許可する前に、エンドポイント システムやクライアントのウイルス対策の状態や 態勢 をチェックします。NAC レイヤ 2 IEEE 802.1x 検証を使用すると、以下の作業を実行できます。

Session-Timeout RADIUS アトリビュート(アトリビュート [27])と Termination-Action RADIUS アトリビュート(アトリビュート [29])を認証サーバからダウンロードします。

Session-Timeout RADIUS アトリビュート(アトリビュート [27])の値として再認証試行間の秒数を指定し、RADIUS サーバからクライアントのアクセス ポリシーを取得します。

スイッチが Termination-Action RADIUS アトリビュート(アトリビュート[29])を使用してクライアントを再認証する際のアクションを設定します。アクションの設定 値が DEFAULT であるか、値が設定されていない場合、セッションは終了します。値が RADIUS 要求の場合、再認証プロセスが開始します。

show dot1x イネーブル EXEC コマンドを使用して、クライアントの態勢を表示する NAC ポスチャ トークンを表示します。

ゲスト VLAN としてセカンダリ プライベート VLAN を設定します。

NAC レイヤ 2 IEEE 802.1x 検証の設定は、RADIUS サーバにポスチャ トークンを設定する必要があることを除いて、IEEE 802.1x ポートベース認証と似ています。NAC レイヤ 2 IEEE 802.1x 検証の設定に関する詳細については、「NAC レイヤ 2 IEEE 802.1x 検証の設定」および 「定期的な再認証の設定」 を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

マルチドメイン認証の使用

スイッチでは、マルチドメイン認証(MDA)がサポートされ、データ デバイスと IP 電話など(Cisco でも Cisco 以外でも)の音声デバイスの両方で同じスイッチ ポートを認証できます。ポートは、データ ドメインと音声ドメインに分けられます。

MDA は、デバイス認証を順序どおりに実行しません。しかし、最良の結果を得るために、MDA が有効のポートで、データ デバイスより先に音声デバイスの認証を行うことをお勧めします。

MDA を設定するときには、次の注意事項に従ってください。

MDA のスイッチ ポートを設定するには、「ホスト モードの設定」を参照してください。

ホスト モードがマルチドメインにセットされている場合は、IP 電話に音声 VLAN を設定する必要があります。詳細は、「音声 VLAN の設定」 を参照してください。

Cisco IOS Release 12.2(40)SE 以降では、MDA が有効なポートでの音声 VLAN の割り当てがサポートされています。

音声デバイスを認証するには、AAA サーバが device-traffic-class=voice という値の Cisco Attribute-Value(AV; アトリビュート値)ペア アトリビュートを送信するように設定されていなければなりません。この値がなければ、スイッチは音声デバイスをデータ デバイスとして扱います。

ゲスト VLAN 機能および制限付き VLAN 機能は、MDA が有効なポートのデータ デバイスにしか適用されません。スイッチは、認証に失敗した音声デバイスをデータ デバイスとして扱います。

ポートの音声またはデータのいずれかのドメインで複数のデバイスが認証を試みると、errordisable ステートに移行します。

デバイスが認証されるまで、ポートはそのトラフィックを廃棄します。データと音声の両方の VLAN に、Cisco 以外の IP 電話または音声デバイスが使用できます。データ VLAN では、音声デバイスは DHCP サーバにコンタクトして IP アドレスを取得し、音声 VLAN 情報を入手することができます。音声デバイスが音声 VLAN で送信を開始すると、データ VLAN へのアクセスはブロックされます。

データ VLAN でバインドしている音声デバイスの MAC アドレスは、ポート セキュリティ MAC アドレスの制限にはカウントされません。

RADIUS サーバからのダイナミック VLAN の割り当ては、データ デバイスに対してのみ使用できます。

MDA は、MAC 認証バイパスをフォールバック メカニズムとして使用でき、スイッチ ポートが IEEE 802.1x 認証をサポートしないデバイスに接続できるようにします。詳細については、「MAC 認証バイパス」を参照してください。

ポート上でデータ デバイスもしくは音声デバイスが検出されると、その MAC アドレスは、認証が成功するまでブロックされます。認証に失敗すると、その MAC アドレスは 5 分間ブロックされ続けます。

ポートが認証されていない間に、データ VLAN 上で 6 つ以上のデバイスが検出された場合、もしくは音声 VLAN 上で複数の音声デバイスが検出された場合、そのポートは errordisable ステートに移行します。

ポート ホスト モードがシングルホスト モードまたはマルチホスト モードから、マルチドメイン モードに変更された場合、認証されたデータ デバイスはそのポート上で認証されたままになります。しかし、そのポートの音声 VLAN で許可されている Cisco IP Phone は自動的に削除されるため、そのポート上で再度認証される必要があります。

ゲスト VLAN や制限付き VLAN などのアクティブなフォールバック メカニズムは、ポートがシングルホスト モードまたはマルチホスト モードから、マルチドメイン モードに変更されたあとは、設定されたままになります。

ポート ホスト モードを、マルチドメイン モードからシングルホスト モードまたはマルチホスト モードにスイッチすると、すべての認証済みデバイスがポートから削除されます。

データ ドメインが最初に認証されてゲスト VLAN に配置された場合、IEEE 802.1x 非対応の音声デバイスは、パケットを音声 VLAN 上にタグ付けして、認証を発生させる必要があります。

MDA が有効なポートを使用するユーザ単位 ACL はお勧めしません。ユーザ単位 ACL ポリシーによる認証済みデバイスは、そのポートの音声とデータの両方の VLAN のトラフィックに影響する可能性があります。使用する場合は、ポート上に 1 つのデバイスしかユーザ単位 ACL を使用できません。

Voice Aware 802.1x セキュリティの使用

Voice Aware 802.1x セキュリティ機能を使用して、データ VLAN であるか音声 VLAN であるかにかかわらず、セキュリティ違反が発生している VLAN のみをスイッチがディセーブルにできるように設定できます。以前のリリースでは、データ クライアントを認証しようとしてセキュリティ違反が起こる場合は、ポート全体がシャットダウンし、それによって接続は完全に失われました。

この機能を IP 電話の配備に使用すると、PC は IP 電話に接続されます。データ VLAN で検出されたセキュリティ違反により、データ VLAN のみシャットダウンされます。音声 VLAN のトラフィックは、中断なくスイッチを流れます。

Voice Aware 802.1x セキュリティの詳細については、「Voice Aware 802.1x セキュリティ」を参照してください。

Web 認証の使用

Web ブラウザは、IEEE 802.1x 機能をサポートしないクライアントの認証に使用します。この機能では、同じ共有ポート上の 8 人までのユーザを認証でき、共有ポート上の各エンド ホストに適切なポリシーを適用します。

ポートを設定できるのは、Web 認証を使用しているときのみです。また、クライアントが IEEE 802.1x をサポートしていない場合には、最初の試行でポートを設定して、IEEE 802.1x 認証を使用してから、Web 認証を使用することもできます。

Web 認証には、次の 2 つの Cisco アトリビュート値(AV)ペア アトリビュートが必要です。

1 つ目のアトリビュートである priv-lvl=15 は、常に 15 にセットされていなければなりません。これによって、そのスイッチにロギングするユーザの権限レベルがセットされます。

2 つ目のアトリビュートは、Web 認証ホストに適用されるアクセス リストです。構文は、IEEE 802.1x ユーザ単位アクセス コントロール リスト(ACL)に似ています。しかし、このアトリビュートは、ip:inacl の代わりに proxyacl で始まり、各エントリの source フィールドは any でなければなりません(認証のあと、ACL が適用されると、クライアント IP アドレスが any フィールドに置き換えます)。

次に例を示します。

proxyacl# 10=permit ip any 10.0.0.0 255.0.0.0
proxyacl# 20=permit ip any 11.1.0.0 255.255.0.0
proxyacl# 30=permit udp any any eq syslog
proxyacl# 40=permit udp any any eq tftp

) proxyacl エントリは、許可されたネットワーク アクセスのタイプを判別します。


詳細については、「Web 認証の設定」を参照してください。

自動 MAC チェックによる Web 認証

自動 MAC チェックで Web 認証を使用すると、IEEE 802.1x や Web ブラウザ機能をサポートしないクライアントを認証できます。プリンタなどのエンド ホストは、MAC アドレスを使用して、他の要件なしに自動的に認証できます。

自動 MAC チェックによる Web 認証は、Web 認証スタンドアロン モードでのみ有効です。Web 認証が IEEE 802.1x 認証へのフォールバックとして設定されている場合、この機能は使用できません。

自動 MAC チェックが成功するためには、アクセス コントロール サーバ(ACS)にデバイスの MAC アドレスが設定されている必要があります。自動 MAC チェックにより、プリンタなどの管理対象デバイスは、Web 認証をスキップできます。


) 同じスイッチの異なるポート上に設定された(自動 MAC チェックによる)Web 認証および IEEE 802.1x MAC 認証の相互運用性は、サポートされていません。


ローカル Web 認証バナー

Web 認証を使用してスイッチにログインしたときに表示されるよう、バナーを作成することができます。

このバナーは、ログイン ページと認証結果ポップアップ ページの両方に表示されます。バナーは、次のような認証結果ポップアップ ページに表示されます。

Authentication Successful

Authentication Failed

Authentication Expired

バナーは、ip admission auth-proxy-banner http グローバル コンフィギュレーション コマンドで作成します。ログイン ページには、デフォルトのバナー Cisco Systems および Switch host-name Authentication が表示されます。認証ポップアップ ページには、Cisco System と表示されます(図 10-6を参照)。

図 10-6 認証成功のバナー

 

このバナーは、次のようにカスタマイズすることもできます。

ip admission auth-proxy-banner http banner-text グローバル コンフィギュレーション コマンドを使用して、スイッチ名やルータ名、会社名をバナーに追加する。

ip admission auth-proxy-banner http file-path グローバル コンフィギュレーション コマンドを使用して、ロゴやテキスト ファイルをバナーに追加する。

図 10-7 カスタマイズされた Web バナー

 

バナーをイネーブルにしない場合は、ユーザ名とパスワードのダイアログボックスだけが、Web 認証ログイン画面に表示され、スイッチへのログイン時にバナーは表示されません( 図 10-8 を参照)。

図 10-8 バナーのないログイン画面

 

詳細については、「Web 認証ローカル バナーの設定」を参照してください。

ACL および RADIUS Filter-Id アトリビュートを使用した IEEE 802.1x 認証の利用

スイッチでは、入力ポートに適用される IP 標準および IP 拡張のポート アクセス コントロール リスト(ACL)のみがサポートされます。

設定する ACL

アクセス コントロール サーバ(ACS)からの ACL

シングル ホスト モードの IEEE 802.1x ポートは、ACS から ACL を使用して、IEEE 802.1x 認証ユーザに対してさまざまなレベルのサービスを提供します。RADIUS サーバがこのタイプのユーザおよびポートを認証すると、スイッチへのユーザ ID に基づく ACL アトリビュートが送信されます。スイッチは、ユーザ セッションの期間中、そのアトリビュートをポートに適用します。セッションが終了すると、認証またはリンクが失敗し、ポートが未認証になって、スイッチはポート上の ACL を削除します。

ACS からの IP 標準および IP 拡張のポートのみが、Filter-Id アトリビュートをサポートします。Filter-id アトリビュートでは、ACL の名前または番号を指定します。また、方向(着信または発信)、およびユーザが所属するユーザまたはグループも、Filter-id アトリビュートで指定できます。

ユーザの Filter-id アトリビュートは、グループの Filter-id アトリビュートよりも優先されます。

ACS からの Filter-id アトリビュートで、すでに設定済みの ACL が指定された場合、ユーザ設定の ACL よりも優先されます。

RADIUS サーバが複数の Filter-Id アトリビュートを送信した場合は、最後のアトリビュートだけが適用されます。

Filter-Id アトリビュートがスイッチで定義されていない場合、認証は失敗し、ポートは無許可ステートに戻ります。

IEEE 802.1x 認証の設定

ここでは、次の設定情報について説明します。

「IEEE 802.1x 認証のデフォルト設定」

「IEEE 802.1x 認証設定時の注意事項」

「802.1x レディネス チェックの設定」(任意)

「Voice Aware 802.1x セキュリティ」(任意)

「IEEE 802.1x 違反モードの設定」(任意)

「スイッチおよび RADIUS サーバ間の通信の設定」(必須)

「ホスト モードの設定」(任意)

「定期的な再認証の設定」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「再認証回数の設定」(任意)

「IEEE 802.1x アカウンティングの設定」(任意)

「ゲスト VLAN の設定」(任意)

「制限付き VLAN の設定」(任意)

「アクセス不能認証バイパス機能の設定」(任意)

「WoL を使用した IEEE 802.1x 認証の設定」(任意)

「MAC 認証バイパスの設定」(任意)

「NAC レイヤ 2 IEEE 802.1x 検証の設定」(任意)

「Web 認証の設定」(任意)

「Web 認証ローカル バナーの設定」(任意)

「ポート上での IEEE 802.1x 認証のディセーブル化」(任意)

「IEEE 802.1x 認証設定のデフォルト値へのリセット」(任意)

IEEE 802.1x 認証のデフォルト設定

表 10-2 に、IEEE 802.1x 認証のデフォルト設定を示します。

 

表 10-2 IEEE 802.1x 認証のデフォルト設定

機能
デフォルト設定

スイッチの IEEE 802.1x イネーブル ステート

ディセーブル

ポート単位の IEEE 802.1x イネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

 

指定なし

1812

指定なし

ホスト モード

シングル ホスト モード

制御方向

双方向制御

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600 秒

再認証回数

2 回(ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数)

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30 秒(スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2 回(スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数)

クライアント タイムアウト時間

30 秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが返答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間)。

dot1x timeout server-timeout インターフェイス コンフィギュレーション コマンドを使用して、このタイムアウト時間を変更できます。

無活動タイムアウト

ディセーブル

ゲスト VLAN

指定なし

アクセス不能認証バイパス

ディセーブル

制限付き VLAN

指定なし

認証者(スイッチ)モード

指定なし

MAC 認証バイパス

ディセーブル

Voice Aware セキュリティ

ディセーブル

IEEE 802.1x 認証

IEEE 802.1x 認証を設定する場合の注意事項は、次のとおりです。

IEEE 802.1x 認証をイネーブルにすると、他のレイヤ 2 機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1x 対応ポートを(たとえばアクセスからトランクに)変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

IEEE 802.1x 対応ポートが割り当てられている VLAN が変更された場合、この変更は透過的でスイッチには影響しません。たとえば、ポートが RADIUS サーバに割り当ててられた VLAN に割り当てられ、再認証後に別の VLAN に割り当てられた場合に、この変更が発生します。

IEEE 802.1x ポートが割り当てられている VLAN がシャットダウン、ディセーブル、または削除される場合、ポートは無許可になります。たとえば、ポートが割り当てられたアクセス VLAN がシャットダウンまたは削除されたあと、ポートは無許可になります。

IEEE 802.1x プロトコルは、レイヤ 2 のスタティックアクセス ポートおよび音声 VLAN ポート上ではサポートされますが、次のポート タイプではサポートされません。

トランク ポート:トランク ポート上で IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:EtherChannel のアクティブ メンバーであるポート、またはこれからアクティブ メンバーにするポートを IEEE 802.1x ポートとして設定しないでください。EtherChannel ポートで IEEE 802.1x 認証をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x 認証はイネーブルになりません。

Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および RSPAN 宛先ポート:SPAN または RSPAN 宛先ポートであるポート上で IEEE 802.1x 認証をイネーブルにできます。ただし、ポートを SPAN または RSPAN 宛先ポートとして削除するまでは、IEEE 802.1x 認証はディセーブルになります。SPAN または RSPAN 送信元ポートでは、IEEE 802.1x 認証をイネーブルにできます。

スイッチ上で、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力して IEEE 802.1x 認証をグローバルにイネーブルにする前に、IEEE 802.1x 認証と EtherChannel が設定されているインターフェイスから、EtherChannel の設定を削除してください。

VLAN 割り当て、ゲスト VLAN、制限付き VLAN、アクセス不能認証バイパス

VLAN 割り当て、ゲスト VLAN、制限付き VLAN、およびアクセス不能認証バイパス設定時の注意事項は、次のとおりです。

IEEE 802.1x 認証をポート上でイネーブルにすると、音声 VLAN と同等の機能を持つポート VLAN は設定できません。

トランク ポート、ダイナミック ポート、または VMPS によるダイナミック アクセス ポート割り当ての場合、VLAN 割り当て機能を使用した IEEE 802.1x 認証はサポートされません。

RSPAN VLAN または音声 VLAN を除くあらゆる VLAN を、IEEE 802.1x ゲスト VLAN として設定できます。ゲスト VLAN 機能は、トランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。

Dynamic Host Configuration Protocol(DHCP)クライアントが接続する IEEE 802.1x ポートにゲスト VLAN を設定したあとは、DHCP サーバからホスト IP アドレスが必要になる場合があります。クライアントの DHCP 処理がタイムアウトして、DHCP サーバからホスト IP アドレスを取得する前に、スイッチ上の IEEE 802.1x 認証プロセスを再開するための設定を変更することもできます。IEEE 802.1x 認証プロセスの設定を減らしてください( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)。設定を減らす量は、接続している IEEE 802.1x クライアント タイプによって異なります。

アクセス不能認証バイパス機能を設定する際には、次の注意事項に従ってください。

この機能はシングル ホスト モードおよびマルチホスト モードの IEEE 802.1x ポートでサポートされます。

Windows XP を稼動しているクライアントに接続されたポートがクリティカル認証ステートの場合、Windows XP はインターフェイスが認証されないと報告する場合があります。

Windows XP クライアントに DHCP が設定されていて、DHCP サーバからの IP アドレスを持つ場合、クリティカル ポート上で EAP 成功メッセージを受信すると、DHCP 設定プロセスが再始動しない場合があります。

IEEE 802.1x ポート上では、アクセス不能認証バイパス機能および制限付き VLAN を設定できます。スイッチが制限付き VLAN 内でクリティカル ポートを再認証しようとし、すべての RADIUS サーバが利用不可能な場合、スイッチはポート ステートをクリティカル認証ステートに変更し、制限付き VLAN に残ります。

同じスイッチ ポート上にアクセス不能バイパス機能とポート セキュリティを設定できます。

RSPAN VLAN または音声 VLAN を除くあらゆる VLAN を、IEEE 802.1x 制限付き VLAN として設定できます。制限付き VLAN 機能は、トランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。

MAC 認証バイパス

MAC 認証バイパス設定時の注意事項は次のとおりです。

特に明記していないかぎり、MAC 認証バイパスの注意事項は IEEE 802.1x 認証のものと同じです。詳細については、「IEEE 802.1x 認証」を参照してください。

ポートが MAC アドレスで許可されたあとに、ポートから MAC 認証バイパスをディセーブルにしても、ポート ステートに影響はありません。

ポートが無許可ステートでクライアント MAC アドレスが認証サーバ データベースにない場合、ポートは無許可ステートのままになります。ただし、クライアント MAC アドレスがデータベースに追加された場合、スイッチは MAC 認証バイパスを使用してポートを再認証できます。

ポートが許可ステートである場合、再認証が発生するまでポートのステートは変わりません。

MAC 認証バイパスによって接続されていて非アクティブであるホストについて、タイムアウト時間を設定できます。指定できる範囲は 1 ~ 65535 秒です。タイムアウト値を設定するには、ポート セキュリティをイネーブルにしておく必要があります。詳細については、「ポート セキュリティの設定」を参照してください。

ポート単位の許可可能なデバイスの最大数

IEEE 802.1x 対応ポートで許可されるデバイスの最大数は、次のとおりです。

シングル ホスト モードでは、アクセス VLAN にデバイスが 1 つだけ許可されます。ポートが音声 VLAN でも設定されている場合、Cisco IP 電話は、無制限に音声 VLAN 経由でトラフィックを送受信できます。

マルチドメイン認証(MDA)モードでは、アクセス VLAN に 1 つのデバイスが許可され、音声 VLAN に 1 つの IP 電話が許可されます。

マルチホスト モードでは、ポート上で許可される IEEE 802.1x サプリカントは 1 つだけですが、アクセス VLAN 上で IEEE 802.1x 以外のホストは、無制限に許可されます。音声 VLAN で許可されるデバイスの数に制限はありません。

802.1x レディネス チェックの設定

802.1x レディネス チェックにより、すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されるデバイスの情報を表示できます。この機能を使用することで、そのスイッチ ポートに接続しているデバイスが IEEE 802.1x 対応かどうかを判別することができます。

802.1x レディネス チェックは、IEEE 802.1x の設定ができるすべてのポートで行うことができます。レディネス チェックは、 dot1x force-unauthorized として設定されているポートでは利用できません。

スイッチでレディネス チェックをイネーブルにするには、次のガイドラインに従ってください。

レディネス チェックは通常、スイッチで IEEE 802.1x がイネーブルになる前に使用します。

インターフェイスを指定せずに dot1x test eapol-capable イネーブル EXEC コマンドを使用する場合、スイッチ スタックのすべてのポートがテストされます。

IEEE 802.1x 対応ポートで dot1x test eapol-capable コマンドを設定して、リンクが出てきた場合、ポートは IEEE 802.1x 機能について、接続されているクライアントにクエリーを送信します。クライアントが通知パケットを返したときは、IEEE 802.1x 対応です。クライアントがタイムアウト時間内に応答した場合は、syslog メッセージが生成されます。クライアントがクエリーに応答しない場合、そのクライアントは IEEE 802.1x 対応ではありません。syslog メッセージは生成されません。

レディネス チェックは、複数のホストを扱うポート(たとえば、IP 電話に接続されている PC など)に送信することができます。レディネス チェックにタイマー時間内に応答した各クライアントには、syslog メッセージが生成されます。

スイッチ上で IEEE 802.1x レディネス チェックをイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

dot1x test eapol-capable [ interface interface-id ]

スイッチで、802.1x レディネス チェックをイネーブルにします。

(任意) interface-id には、IEEE 802.1x レディネスをチェックするポートを指定します。

キーワードを省略した場合、スイッチ上のすべてのインターフェイスがテストされます。

ステップ 1

configure terminal

(任意)グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x test timeout timeout

(任意)EAPOL 応答を待機するタイムアウト時間を設定します。指定できる範囲は 1~ 65535 秒です。デフォルト値は 10 秒です。

ステップ 3

end

(任意)イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

(任意)変更されたタイムアウト値を確認します。

次の例は、ポートにクエリーを送信するためにスイッチでレディネス チェックをイネーブルにする方法を示しています。また、クエリー送信先のポートから受信した、接続されているデバイスが IEEE 802.1x 対応であることを確認している応答も示しています。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

Voice Aware 802.1x セキュリティ

スイッチで Voice Aware 802.1x セキュリティ機能を使用すると、データ VLAN であるか音声 VLAN であるかにかかわらず、セキュリティ違反が発生している VLAN のみをディセーブルにできます。この機能を IP 電話の配備に使用すると、PC は IP 電話に接続されます。データ VLAN で検出されたセキュリティ違反により、データ VLAN のみシャットダウンされます。音声 VLAN のトラフィックは、中断なくスイッチを流れます。

スイッチ上でのVoice Aware 802.1x 音声セキュリティについては、次のガイドラインに従ってください。

errdisable detect cause security-violation shutdown vlan グローバル コンフィギュレーション コマンドを入力して、Voice Aware 802.1x セキュリティをイネーブルにします。Voice Aware 802.1x セキュリティをディセーブルにするには、このコマンドの no バージョンを入力します。このコマンドは、スイッチのすべての IEEE 802.1x 設定ポートに適用されます。


shutdown vlan キーワードを含めない場合は、errdisable ステートになったときに、ポート全体がシャットダウンされます。


errdisable ステートの回復を設定するために errdisable recovery cause security-violation グローバル コンフィギュレーション コマンドを使用した場合、ポートは自動的に再度イネーブルになります。そのポートに errdisable 回復が設定されない場合は、 shutdown および no-shutdown インターフェイス コンフィギュレーション コマンドを使用して、再度イネーブルにします。

個々の VLAN を再度イネーブルにするには、 clear errdisable interface interface-id vlan [ vlan-list ] イネーブル EXEC コマンドを使用します。範囲を指定しない場合は、ポート上のすべての VLAN がイネーブルになります。

Voice Aware 802.1x セキュリティをイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

errdisable detect cause security-violation shutdown vlan

セキュリティ違反エラーが発生しているすべての VLAN をシャットダウンします。

キーワードが含まれていない場合は、ポート全体が errdisable ステートになってシャットダウンします。

ステップ 3

errdisable recovery cause security-violation

(任意)自動の VLAN 単位エラー回復をイネーブルにします。

ステップ 4

clear errdisable interface interface-id vlan [ vlan-list ]

(任意)errordisable ステートになっていた個々の VLAN を再度イネーブルにします。

interface-id には、個々の VLAN を再度イネーブルにするポートを指定します。

(任意) vlan-list には、再度イネーブルにする VLAN のリストを指定します。 vlan-list が指定されない場合、すべての VLAN が再度イネーブルになります。

ステップ 5

shutdown

no-shutdown

(任意)errdisable ステートの VLAN を再度イネーブルにし、すべての errdisable 表示をクリアします。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show errdisable detect

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、セキュリティ違反エラーが発生しているすべての VLAN をシャットダウンするようにスイッチを設定する方法を示しています。

Switch(config)# errdisable detect cause security-violation shutdown vlan
 

次の例は、ポートGigabit Ethernet 4/0/2 で errordisable ステートになっていたすべての VLAN を再びイネーブルにする方法を示しています。

Switch# clear errdisable interface gigabitethernet4/0/2 vlan
 

設定を確認するには、 show errdisable detect イネーブル EXEC コマンドを入力します。

IEEE 802.1x 違反モードの設定

IEEE 802.1x ポートは、次の場合に、シャットダウン、syslog エラーの生成、新規デバイスからのパケットの破棄のいずれかができるように設定できます。

デバイスが IEEE 802.1x 対応ポートに接続されている

デバイスの最大許可数が、そのポート上で認証されている

スイッチ上にセキュリティ違反アクションを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべての RADIUS サーバ リストを使用できるようにします。

キーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。

ステップ 4

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

switchport mode access

ポートをアクセス モードにします。

ステップ 6

dot1x violation-mode {shutdown | restrict | protect}

違反モードを設定します。キーワードの意味は次のとおりです。

shutdown:ポートを errdisable ステートにします。

restrict:syslog エラーを生成します。

protect:ポートにトラフィックを送信するすべての新規デバイスからパケットを破棄します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show dot1x

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x 認証の設定

IEEE 802.1x ポートベース認証を設定するには、AAA をイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。

VLAN 割り当てを可能にするには、AAA 許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

次に、IEEE 802.1x の AAA プロセスを示します。


ステップ 1 ユーザがスイッチのポートに接続します。

ステップ 2 認証が実行されます。

ステップ 3 RADIUS サーバ設定に基づいて、VLAN 割り当てが適宜イネーブルになります。

ステップ 4 スイッチが開始メッセージをアカウンティング サーバに送信します。

ステップ 5 必要に応じて、再認証が実行されます。

ステップ 6 スイッチが仮のアカウンティング アップデートを、再認証結果に基づいたアカウンティング サーバに送信します。

ステップ 7 ユーザがポートから切断します。

ステップ 8 スイッチが停止メッセージをアカウンティング サーバに送信します。


 

IEEE 802.1x ポートベース認証を設定するには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべての RADIUS サーバ リストを使用できるようにします。

キーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。

ステップ 4

dot1x system-auth-control

スイッチ上で IEEE 802.1x 認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)VLAN 割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザ RADIUS 許可をスイッチに設定します。

ステップ 6

radius-server host ip-address

(任意)RADIUS サーバの IP アドレスを指定します。

ステップ 7

radius-server key string

(任意) RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号鍵を指定します。

ステップ 8

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 9

switchport mode access

(任意)ステップ 6 および 7 で RADIUS サーバを設定した場合のみ、ポートをアクセス モードに設定します。

ステップ 10

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 11

end

イネーブル EXEC モードに戻ります。

ステップ 12

show dot1x

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

スイッチおよび RADIUS サーバ間の通信の設定

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

スイッチ上に RADIUS サーバ パラメータを設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

RADIUS サーバ パラメータを設定します。

hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。

auth-port port-number には、認証要求の UDP 宛先ポートを指定します。デフォルト値は 1812 です。指定できる範囲は 0 ~ 65536 です。

key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します 鍵は、RADIUS サーバで使用する暗号鍵に一致するテキスト ストリングでなければなりません。

コマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

複数の RADIUS サーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IP アドレス 172.120.39.46 のサーバを RADIUS サーバとして指定し、ポート 1612 を許可ポートとして使用し、暗号鍵を RADIUS サーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべての RADIUS サーバの設定」を参照してください。

RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。

ホスト モードの設定

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている IEEE 802.1x 許可ポート上で、単一のホスト(クライアント)または複数のホストを許可するには、イネーブル EXEC モードで次の手順を実行します。multi-domain キーワードを使用すると、同じスイッチ ポート上にホストおよび IP 電話(Cisco でも Cisco 以外でも)などの音声デバイスの両方の認証をイネーブルにするよう、マルチドメイン認証(MDA)を設定できます。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server vsa send authentication

ネットワーク アクセス サーバを、ベンダー固有アトリビュート(VSA)を認識して使用できるよう設定します。

ステップ 3

interface interface-id

複数ホストが間接的に接続されているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

dot1x host-mode { single-host | multi-host | multi-domain }

キーワードの意味は次のとおりです。

single-host:IEEE 802.1x 認証ポート上の単一のホスト(クライアント)を許可します。

multi-host:IEEE 802.1x 認証ポート上の複数のホストを、単一のホストが認証されたあとで許可します。

multi-domain:IEEE 802.1x 認証ポートで、ホストおよび IP 電話(Cisco でも Cisco 以外でも)などの音声デバイスの両方について、認証を許可します。

(注) ホスト モードが マルチドメインにセットされている場合は、IP 電話に音声 VLAN を設定する必要があります。詳細は、「音声 VLAN の設定」 を参照してください。

指定するインターフェイスで、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認してください。

ステップ 5

switchport voice vlan vlan-id

(任意)音声 VLAN を設定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上で複数のホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、IEEE 802.1x 認証をイネーブルにして、複数のホストを許可する例を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
Switch(config-if)# end
 

次の例は、MDA をイネーブルにしてポート上でホストと音声デバイスの両方を許可する方法を示しています。

Switch(config)# interface gigabitethernet2/0/1
 
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
Switch(config-if)# switchport voice vlan 101
Switch(config-if)# end

定期的な再認証の設定

IEEE 802.1x クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行う間隔を指定しない場合、3600 秒おきに試みられます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 秒数を 1 ~ 65535 の範囲で設定します。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS アトリビュート(アトリビュート [27])および Terminate-Action RADIUS アトリビュート(アトリビュート [29])の値に基づいて秒数を指定します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。再認証の間隔をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id イネーブル EXEC コマンドを入力することにより、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証の設定」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface gigabitethernet2/0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドがその待ち時間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 60 秒です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を 30 秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 5 秒です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identity フレームを送信する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity 要求を送信する回数を 5 に設定する例を示します。

Switch(config-if)# dot1x max-req 5

再認証回数の設定

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を変更することもできます。


) このコマンドのデフォルト値は、リンクの信頼性が低い場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を設定します。指定できる範囲は 0 ~ 10 です。デフォルトは 2 です。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再認証回数をデフォルトに戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数として 4 を設定する例を示します。

Switch(config-if)# dot1x max-reauth-req 4

IEEE 802.1x アカウンティングの設定

IEEE 802.1x アカウンティングを使用して、AAA システム アカウンティングをイネーブルにすると、ロギングのためにシステム リロード イベントをアカウンティング RADIUS サーバに送信できます。サーバは、アクティブな IEEE 802.1x セッションすべてが終了したものと判断します。

RADIUS は信頼性の低い UDP トランスポート プロトコルを使用するため、ネットワーク状態が良好でないと、アカウンティング メッセージが失われることがあります。設定した回数のアカウンティング要求の再送信後、スイッチが RADIUS サーバからアカウンティング応答メッセージを受信しない場合、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

このストップ メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-4-RADIUS_DEAD: RADIUS server 172.20.246.201:1645,1646 is not responding.
 

) ロギングの開始、停止、仮のアップデート メッセージ、タイム スタンプなどのアカウンティング タスクを実行するように、RADIUS サーバを設定する必要があります。これらの機能をオンにするには、RADIUS サーバの Network Configuration タブの [Update/Watchdog packets from this AAA client] のロギングをイネーブルにします。次に、RADIUS サーバの System Configuration タブの [CVS RADIUS Accounting] をイネーブルにします。


AAA がスイッチでイネーブルになったあと、IEEE 802.1x アカウンティングを設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して、IEEE 802.1x アカウンティングをイネーブルにします。

ステップ 4

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべての RADIUS サーバのリストを使用)、スイッチがリロードするときにシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show running-config

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信しない RADIUS メッセージ数を表示するには、show radius statistics イネーブル EXEC コマンドを使用します。

次に、IEEE 802.1x アカウンティングを設定する例を示します。最初のコマンドは、アカウンティングの UDP ポートとして 1813 を指定して、RADIUS サーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

ゲスト VLAN の設定

サーバが EAP Request/Identity フレームに対する応答を受信しない場合、ゲスト VLAN を設定すると、IEEE 802.1x 対応でないクライアントはゲスト VLAN に配置されます。IEEE 802.1x 対応であっても、認証に失敗したクライアントは、ネットワークへのアクセスが許可されません。スイッチは、シングル ホスト モードまたはマルチ ホスト モードでゲスト VLAN をサポートします。

ゲスト VLAN を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x 制限付き VLAN として設定できます。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲスト VLAN をディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# dot1x guest-vlan 2
 

次に、スイッチの待機時間として 3 を、要求の再送信前にクライアントからの EAP-Request/Identify フレーム応答を待機する時間(秒)を 15 に設定し、IEEE 802.1x ポートの DHCP クライアント接続時に、VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2

制限付き VLAN の設定

スイッチスタックまたはスイッチ上に制限付き VLAN を設定している、認証サーバが有効なユーザ名またはパスワードを受信できない場合と、IEEE 802.1x に準拠した場合クライアントは制限付き VLAN に移されます。スイッチは、シングル ホスト モードでのみ制限付き VLAN をサポートします。

制限付き VLAN を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を、IEEE 802.1x 制限付き VLAN に指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x 制限付き VLAN として設定できます。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

制限付き VLAN をディセーブルにして削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、 VLAN 2 を IEEE 802.1x 制限付き VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# dot1x auth-fail vlan 2
 

ユーザに制限付き VLAN を割り当てる前に、 dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、認証試行回数を最大に設定できます。認証試行回数には、
1 ~ 3 回の範囲で指定できます。デフォルト値は 3 回です。

認証試行回数を最大に設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

ポートをアクセス モードにします。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を、IEEE 802.1x 制限付き VLAN に指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x 制限付き VLAN として設定できます。

ステップ 6

dot1x auth-fail max-attempts max attempts

ポートが制限付き VLAN に移行するための認証試行回数を指定します。指定できる範囲は 1 ~ 3 秒です。デフォルトは 3 です。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

設定数をデフォルトに戻すには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートを制限付き VLAN にするために、認証試行回数を 2 に設定する方法を示します。

Switch(config-if)# dot1x auth-fail max-attempts 2

アクセス不能認証バイパス機能の設定

アクセス不能認証バイパス機能(クリティカル認証または AAA 失敗ポリシーとも呼ばれます)を設定できます。


) RADIUS サーバ ステートを監視するためには、スイッチ上に RADIUS サーバ パラメータを設定する必要があります(「スイッチおよび RADIUS サーバ間の通信の設定」を参照)。idle time、dead time、dead criteria も設定しなければなりません。

これらのパラメータを設定しない場合、スイッチは RADIUS サーバのステータスを早いうちに dead に変更します。


ポートをクリティカル ポートとして設定し、アクセス不能認証バイパス機能をイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server dead-criteria time time tries tries

(任意)RADIUS サーバが使用できない、または dead と見なされるときを判別するのに使われる条件を設定します。

指定できる time の範囲は 1~ 120 秒です。スイッチは、デフォルトの seconds 値を 10 ~ 60 秒の間で動的に決定します。

指定できる tries の範囲は 1~ 100 です。スイッチは、デフォルトの tries 値を 10 ~ 100 の間で動的に決定します。

ステップ 3

radius-server deadtime minutes

(任意)RADIUS サーバに要求が送信されない分数を設定します。指定できる範囲は 0 ~ 1440 分です(24 時間)。デフォルト値は 0 分です。

ステップ 4

radius-server host ip-address [acct-port udp-port ] [ auth-port udp-port ] [ test username name [ idle-time time ] [ ignore-acct-port ] [ ignore-auth-port ]] [ key string ]

(任意)次のキーワードを使用して RADIUS サーバ パラメータを設定します。

acct-port udp-port: RADIUS アカウンティング サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルト値は 1646 です。

auth-port udp-port: RADIUS 認証サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルト値は 1645 です。

(注) RADIUS アカウンティング サーバの UDP ポートと RADIUS 認証サーバの UDP ポートを非デフォルト値に設定します。

test username name RADIUS サーバ ステータスの自動テストをイネーブルにして、使用するユーザ名を指定します。

idle-time time: スイッチがテスト パケットをサーバに送信したあとの間隔を分数で設定します。指定できる範囲は 1 ~ 35791 分です。デフォルトは 60 分(1 時間)です。

ignore-acct-port RADIUS サーバ アカウンティング ポートのテストをディセーブルにします。

ignore-auth-port RADIUS サーバ認証ポートのテストをディセーブルにします。

key string: スイッチと RADIUS デーモンとの間のすべての RADIUS 通信で使用する認証および暗号鍵を指定します。

コマンド構文の最後のアイテムとして設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

radius-server key { 0 string | 7 string | string } グローバル コンフィギュレーション コマンドを使用しても認証および暗号鍵を設定できます。

ステップ 5

dot1x critical { eapol | recovery delay milliseconds }

(任意)アクセス不能認証バイパスのパラメータを設定します。

eapol :スイッチがクリティカル ポートを正常に認証すると、スイッチが EAPOL 成功メッセージを送信するように指定します。

recovery delay milliseconds :使用できない RADIUS サーバが使用できるようになったときに、スイッチがクリティカル ポートを再初期化するために待機する回復遅延期間を設定します。指定できる範囲は 1 ~ 10000 ミリ秒です。デフォルトは 1000 ミリ秒です(ポートは毎秒再初期化できます)。

ステップ 6

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 7

dot1x critical [ recovery action reinitialize | vlan vlan-id ]

アクセス不能認証バイパス機能をイネーブルにして、次のキーワードを使用して機能を設定します。

recovery action reinitialize :回復機能をイネーブルにして、認証サーバが使用可能なとき、回復動作中にポートを認証するように指定します。

vlan vlan-id :スイッチがクリティカル ポートに割り当てるアクセス VLAN を指定します。指定できる範囲は 1 ~ 4094です。

ステップ 8

end

イネーブル EXEC モードに戻ります。

ステップ 9

show dot1x [interface interface-id ]

(任意)設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

RADIUS サーバのデフォルト設定に戻すには、 no radius-server dead-criteria no radius-server deadtime 、および no radius-server host グローバル コンフィギュレーション コマンドを使用します。アクセス不能認証バイパスのデフォルト設定に戻すには、 no dot1x critical { eapol | recovery delay } グローバル コンフィギュレーション コマンドを使用します。 アクセス不能認証バイパスをディセーブルにするには、 no dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。

次に、アクセス不能認証バイパス機能を設定する例を示します。

Switch(config)# radius-server dead-criteria time 30 tries 20
Switch(config)# radius-server deadtime 60
Switch(config)# radius-server host 1.1.1.2 acct-port 1550 auth-port 1560 test username user1 idle-time 30 key abc1234
Switch(config)# dot1x critical eapol
Switch(config)# dot1x critical recovery delay 2000
Switch(config)# interface gigabitethernet 1/0/1
Switch(config)# radius-server deadtime 60
Switch(config-if)# dot1x critical
Switch(config-if)# dot1x critical recovery action reinitialize
Switch(config-if)# dot1x critical vlan 20
Switch(config-if)# end

WoL を使用した IEEE 802.1x 認証の設定

WoL を使用した IEEE 802.1x 認証をイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

dot1x control-direction { both | in }

ポートで WoL を使用して IEEE 802.1x 認証をイネーブルにし、次のキーワードを使用してポートを双方向または単方向に設定します。

both :ポートを双方向に設定します。ポートは、ホストとの間でパケットを送受信できません。デフォルトでは、ポートは双方向です。

in :ポートを単方向に設定します。ポートはパケットをホストに送信できますが、ホストからパケットを受信できません。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

スイッチで WoL を使用した IEEE 802.1x 認証をディセーブルにするには、 no dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。

次に、WoL を使用した IEEE 802.1x 認証をイネーブルにして、ポートを双方向に設定する例を示します。

Switch(config-if)# dot1x control-direction both

MAC 認証バイパスの設定

MAC 認証バイパスをイネーブルにするには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 認証設定時の注意事項」を参照してください。

ステップ 3

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 4

dot1x mac-auth-bypass [ eap | timeout activity { value } ]

MAC 認証バイパスをイネーブルにします。

(任意) eap キーワードを使用して認証用の EAP を使用するようにスイッチを設定します。

(任意)timeout activity キーワードを使用して、接続されているホストが何秒間非アクティブであれば無許可ステートにされるかの秒数を設定します。指定できる範囲は 1 ~ 65535 です。

タイムアウト値を設定するには、ポート セキュリティをイネーブルにしておく必要があります。詳細については、「ポート セキュリティの設定」を参照してください。

ステップ 5

end

イネーブル EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

MAC 認証バイパスをディセーブルにするには、 no dot1x mac-auth-bypass インターフェイス コンフィギュレーション コマンドを使用します。

次に、MAC 認証バイパス機能をイネーブルにする例を示します。

Switch(config-if)# dot1x mac-auth-bypass

NAC レイヤ 2 IEEE 802.1x 検証の設定

NAC レイヤ 2 IEEE 802.1x 検証を設定できます。これは、RADIUS サーバを使用した IEEE 802.1x 認証とも呼ばれます。

NAC レイヤ 2 IEEE 802.1x 検証を設定するには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

RSPAN VLAN または音声 VLAN を除くあらゆるアクティブ VLAN を、IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 4

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 5

dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を指定します。

キーワードの意味は次のとおりです。

seconds 秒数を 1 ~ 65535 の範囲で設定します。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS アトリビュート(アトリビュート [27])および Terminate-Action RADIUS アトリビュート(アトリビュート [29])の値に基づいて秒数を指定します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

IEEE 802.1x 認証の設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、NAC レイヤ 2 IEEE 802.1x 検証を設定する例を示します。

Switch# configure terminal
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server

Web 認証の設定

スイッチで認証、許可、アカウンティング(AAA)、および RADIUS を設定するには、Web 認証を設定する前に、イネーブル EXEC モードで次の手順を実行します。この手順では、RADIUS 認証によって AAA がイネーブルになり、デバイス トラッキングがイネーブルになります。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication login default group radius

RADIUS 認証を使用します。この認証方式を使用するには、あらかじめ RADIUS サーバを設定しておく必要があります。詳細は、「スイッチ ベース認証の設定」を参照してください。

aaa authentication login コマンドを入力後、今後スイッチ コンソールにアクセスしようとしたときのためにコンソールでユーザ名とパスワードが求められます。ユーザ名とパスワードを求められたくないときは、次の 第 2 のログイン認証リストを設定します。

Switch# config t
Switch(config)# aaa authentication login line-console none
Switch(config)# line console 0
Switch(config-line)# login authentication line-console
Switch(config-line)# end

ステップ 4

aaa authorization auth-proxy default group radius

認証プロキシ(auth-proxy)認可に RADIUS を使用します。

ステップ 5

radius-server host key radius-key

スイッチと RADIUS デーモンの間の RADIUS 通信に、認証および暗号鍵を指定します。

ステップ 6

radius-server attribute 8 include-in-access-req

アクセス要求パケットまたはアカウンティング要求パケットで、スイッチが Framed-IP-Address RADIUS アトリビュート(Attribute[8])を送信するように設定します。

ステップ 7

radius-server vsa send authentication

ネットワーク アクセス サーバを、ベンダー固有アトリビュート(VSA)を認識して使用できるよう設定します。

ステップ 8

ip device tracking

IP デバイス トラッキング テーブルをイネーブルにします。

IP デバイス トラッキング テーブルをディセーブルにするには、no ip device tracking グローバル コンフィギュレーション コマンドを使用します。

ステップ 9

end

イネーブル EXEC モードに戻ります。

次の例で、AAA をイネーブルにし、RADIUS 認証を使用し、デバイス トラッキングをイネーブルにする方法を示します。

Switch(config) configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication login default group radius
Switch(config)# aaa authorization auth-proxy default group radius
Switch(config)# radius-server host 1.1.1.2 key key1
Switch(config)# radius-server attribute 8 include-in-access-req
Switch(config)# radius-server vsa send authentication
Switch(config)# ip device tracking
Switch(config) end
 

Web 認証を使用してポートを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip admission name rule proxy http

Web 認証ルールを定義します。

』を参照してください。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

switchport mode access

ポートをアクセス モードにします。

ステップ 5

ip access-group access-list in

Web 認証の前に、ネットワーク トラフィックに適用するデフォルトのアクセス コントロール リストを指定します。

ステップ 6

ip admission rule

インターフェイスに IP 許可ルールを適用します。

ステップ 7

end

イネーブル EXEC モードに戻ります。

ステップ 8

show running-config interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、スイッチ ポートで Web 認証だけを設定する例を示します。

Switch# configure terminal
Switch(config)# ip admission name rule1 proxy http
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# ip access-group policy1 in
Switch(config-if)# ip admission rule1
Switch(config-if)# end
 

Web 認証で IEEE 802.1x 認証用にスイッチ ポートをフォールバック方式として設定するには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip admission name rule proxy http

Web 認証ルールを定義します。

ステップ 3

fallback profile fallback-profile

IEEE 802.1x ポートが Web 認証を使用してクライアントを認証できるよう、フォールバック プロファイルを定義します。

ステップ 4

ip access-group policy in

Web 認証の前に、ネットワーク トラフィックに適用するデフォルトのアクセス コントロール リストを指定します。

ステップ 5

ip admission rule

IP 許可ルールをプロファイルに関連付け、Web 認証で接続しているクライアントがこのルールを使用するよう指定します。

ステップ 6

end

イネーブル EXEC モードに戻ります。

ステップ 7

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 8

switchport mode access

ポートをアクセス モードにします。

ステップ 9

dot1x port-control auto

インターフェイス上で IEEE 802.1x 認証をイネーブルにします。

ステップ 10

dot1x fallback fallback-profile

ポートに IEEE 802.1x サプリカントが検出されたときに、Web 認証を使用してクライアントを認証するよう、ポートを設定します。fallback-profile グローバル コンフィギュレーションを変更した場合、次に IEEE 802.1x フォールバックがインターフェイスで呼び出されたときに有効になります。

(注) ポートがマルチドメイン認証用に設定されている場合、Web 認証は、IEEE 802.1x のフォールバック方式としては使用できません。

ステップ 11

exit

イネーブル EXEC モードに戻ります。

ステップ 12

show dot1x interface interface-id

設定を確認します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、Web 認証を使用して IEEE 802.1x 認証をフォールバック方式として設定する例を示します。

Switch(config) configure terminal
Switch(config)# ip admission name rule1 proxy http
Switch(config)# fallback profile fallback1
Switch(config-fallback-profile)# ip access-group default-policy in Switch(config-fallback-profile)# ip admission rule1
Switch(config-fallback-profile)# exit
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x fallback fallback1
Switch(config-if)# end
 

dot1x fallback コマンドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。ip admission name コマンドおよび ip access-group コマンドの詳細については、Cisco.com にある Network Admission Control Software Configuration Guide 』を参照してください。

Web 認証ローカル バナーの設定

Web 認証を設定しているスイッチでローカル バナーを設定するには、イネーブル EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip admission auth-proxy-banner http [banner-text | file-path]

ローカル バナーをイネーブルにします。
(任意)C banner-text C と入力して、カスタム バナーを作成します。C は区切り文字、file-path は、バナーに表示させるファイル(ロゴやテキストのファイル)を示します。

ステップ 3

end

イネーブル EXEC モードに戻ります。

次の例では、カスタム メッセージ My Switch でローカル バナーを設定する方法を示しています。

Switch(config) configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa ip auth-proxy auth-proxy-banner C My Switch C
Switch(config) end
 

ip auth-proxy auth-proxy-banner コマンドの詳細については、Cisco.com にある『Cisco IOS Security Command Reference』の「Authentication Proxy Commands」の項を参照してください。

ポート上での IEEE 802.1x 認証のディセーブル化

IEEE 802.1x 認証をポートでディセーブルにするには、 no dot1x pae インターフェイス コンフィギュレーション コマンドを使用します。

ポートで IEEE 802.1x 認証をディセーブルにするには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

no dot1x pae

ポート上で IEEE 802.1x 認証をディセーブルにします。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x Port Access Entity(PAE; ポート アクセス エンティティ)認証者としてポートを設定するには、 dot1x pae authenticator インターフェイス コンフィギュレーション コマンドを使用します。この設定では、ポートで IEEE 802.1x がイネーブルになりますが、ポートに接続されたクライアントは許可されません。

次に、IEEE 802.1x 認証をポートでディセーブルにする例を示します。

Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# no dot1x pae authenticator

IEEE 802.1x 認証設定のデフォルト値へのリセット

IEEE 802.1x 認証設定をデフォルト値に戻すには、イネーブル EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

インターフェイス コンフィギュレーション モードを開始し、設定するポートを指定します。

ステップ 3

dot1x default

IEEE 802.1x パラメータをデフォルト値に戻します。

ステップ 4

end

イネーブル EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x の統計情報およびステータスの表示

すべてのポートに関する IEEE 802.1x 統計情報を表示するには、 show dot1x all statistics イネーブル EXEC コマンドを使用します。特定のポートに関する IEEE 802.1x 統計情報を表示するには、 show dot1x statistics interface interface-id イネーブル EXEC コマンドを使用します。

スイッチに関する IEEE 802.1x 管理および動作ステータスを表示するには、 show dot1x all [ details | statistics | summary ] イネーブル EXEC コマンドを使用します。特定のポートに関する IEEE 802.1x 管理および動作ステータスを表示するには、 show dot1x interface interface-id イネーブル EXEC コマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。