Catalyst 4000 ファミリー スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド,Cisco IOS Release 12.1(13)EW
802.1xポートベースの認証の設定
802.1xポートベースの認証の設定
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

802.1xポートベースの認証の設定

802.1xポートベースの認証の概要

装置の役割

認証の開始とメッセージ交換

許可済みおよび無許可ステートのポート

サポート対象トポロジー

802.1xの設定方法

802.1xのデフォルト設定

802.1x設定時の注意事項

802.1x認証のイネーブル化

スイッチ/RADIUSサーバ通信の設定

定期的な再認証のイネーブル化

手動によるポート接続クライアントの再認証

待機時間の変更

スイッチ/クライアント間の再送信時間の変更

スイッチ/クライアント間のフレーム再送信回数の設定

複数ホストのイネーブル化

802.1x設定をデフォルト値にリセットする方法

802.1x統計情報およびステータスの表示

802.1xポートベースの認証の設定

この章では、IEEE(米国電気電子学会)802.1xポートベースの認証を設定して、不正なデバイス(クライアント)によるネットワークへのアクセスを防止する方法について説明します。

この章の主な内容は、次のとおりです。

「802.1xポートベースの認証の概要」

「802.1xの設定方法」

「802.1x統計情報およびステータスの表示」


) この章で使用しているスイッチ コマンドの構文および使用方法の詳細については、『Cisco IOS Command Reference for the Catalyst 4000 Family Switch』および次のURLにある関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios121/121cgcr/index.htm


802.1xポートベースの認証の概要


) スイッチがパケットを設定RADIUSサーバにルーティングできるようになっていないと、802.1x認証は機能しません。スイッチからサーバにpingを実行すると、スイッチがパケットをRADIUSサーバにルーティングできることを確認できます。


IEEE 802.1x規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルとして802.1xポートベースの認証を定義し、不正なクライアントが公的にアクセス可能なポートを通じてLANに接続するのを制限します。認証サーバは、スイッチ ポートに接続された各クライアントを確認してから、スイッチまたはLANが提供するサービスを利用できるようにします。

クライアントが認証されるまでは、802.1xアクセス制御によって、クライアントに接続したポートを経由するExtensible Authentication Protocol over LAN(EAPOL)トラフィックだけが許可されます。認証が成功すると、通常のトラフィックがポートを通過します。

このスイッチ上に802.1xを設定するには、以下に説明する概念を理解する必要があります。

「装置の役割」

「認証の開始とメッセージ交換」

「許可済みおよび無許可ステートのポート」

「サポート対象トポロジー」

装置の役割

802.1xポートベースの認証により、ネットワーク装置には特定の役割が割り当てられます。図 26-1に、各装置の役割を示します。

図 26-1 802.1x装置の役割

 

クライアント ― LANおよびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答するワークステーション。ワークステーションは、Microsoft Windows XPオペレーティング システムに付属しているような、802.1x準拠のクライアント ソフトウェアを実行している必要があります。


) Windows XPネットワーク接続および802.1x認証の問題については、次のWebサイトでMicrosoft Knowledge Baseの記事を参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― 実際にクライアントの認証を行います。認証サーバは、クライアントのIDを確認し、LANおよびスイッチ サービスへのクライアントのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはクライアントにトランスペアレントです。Extensible Authentication Protocol(EAP)拡張機能搭載のRADIUSセキュリティ システムが唯一のサポート対象認証サーバで、Cisco Secure Access Control Serverバージョン3.0で利用できます。RADIUSは、RADIUSサーバと1つまたは複数のRADIUSクライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。

スイッチ(エッジ スイッチまたは無線アクセス ポイント) ― クライアントの認証ステータスに基づいてネットワークへの物理的なアクセスを制御します。スイッチは、クライアントと認証サーバ間の媒介(プロキシ)として機能し、クライアントにID情報を要求してその情報を認証サーバで確認してから、クライアントに応答をリレーします。スイッチにはRADIUSクライアントが組み込まれています。RADIUSクライアントは、EAPフレームのカプセル化およびカプセル化の解除、認証サーバとの相互作用に責任を持ちます。

スイッチがEAPOLフレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。カプセル化の間はEAPフレームの変更や検査が行われないので、認証サーバはネイティブのフレーム形式内でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。

媒介として機能できる装置には、Catalyst 4000ファミリー スイッチ、Catalyst 3550マルチレイヤ スイッチ、Catalyst 2950スイッチ、または無線アクセス ポイントがあります。このような装置は、RADIUSクライアントおよび802.1xをサポートするソフトウェアを実行している必要があります。

認証の開始とメッセージ交換

スイッチまたはクライアントは、認証を開始することができます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したことを確認して、認証を開始する必要があります。次にEAP要求/IDフレームをクライアントに送信してIDを要求します(一般に、スイッチは最初のID/要求フレームを送信して、そのあとで1つまたは複数の認証情報の要求を送信します)。フレームの受信後、クライアントはEAP応答/IDフレームで応答します。

ただし、起動中にクライアントがスイッチからEAP要求/IDフレームを受信しない場合、クライアントは、EAPOL開始フレームを送信して認証を開始します。これにより、スイッチはクライアントのIDを要求するようになります。

ネットワーク アクセス装置で802.1xがイネーブルになっていない場合、またはサポートされていない場合は、クライアントからのEAPOLフレームは廃棄されます。認証の開始を3回試行してもクライアントがEAP要求/IDフレームを受信しない場合、クライアントは、ポートが許可済みステートにある場合と同じようにフレームを送信します。許可済みステートにあるポートは、事実上クライアントが正常に認証されたことを意味します。クライアントがIDを供給すると、スイッチは仲介としてのその役割を開始し、認証の成否が決まるまでクライアントと認証サーバ間でEAPフレームを受け渡します。認証が成功すると、スイッチ ポートは許可された状態になります。

特定のEAPフレーム交換は、使用される認証方式に左右されます。図 26-2に、RADIUSサーバでOne-Time-Password(OTP;ワンタイム パスワード)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。

図 26-2 メッセージ交換

 

許可済みおよび無許可ステートのポート

スイッチ ポートのステートによって、クライアントがネットワーク アクセスを許可されているかどうかがわかります。ポートは、無許可のステートで開始します。ポートはこのステートにある間、802.1xプロトコル パケットを除いてすべての入力トラフィックおよび出力トラフィックを許可されていません。クライアントが正常に認証されると、ポートは許可済みのステートに移行し、そのクライアントへのすべてのトラフィックについて通常のフローが許可されます。

802.1xをサポートしないクライアントが無許可の802.1xポートに接続している場合、スイッチはクライアントにIDを要求します。この場合、クライアントは要求に応答できないので、ポートは無許可ステートにとどまり、クライアントにはネットワーク アクセスが許可されません。

それに対して、802.1x対応クライアントが802.1xプロトコルを実行していないポートに接続している場合、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、クライアントは要求を固定回数だけ送信します。応答が得られないので、クライアントはポートが許可済みステートにある場合と同じようにフレームの送信を開始します。

ポートの許可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと以下のキーワードを使用します。

force-authorized ― 802.1x認証をディセーブルにして、認証交換なしでポートを許可ステートに移行させます。ポートは、クライアントの802.1xベースの認証なしで通常のトラフィックを送受信します。これがデフォルト設定です。

force-unauthorized ― ポートを無許可ステートのままにし、クライアントが認証を試みてもすべて無視します。スイッチは、インターフェイスを介してクライアントに認証サービスを提供できません。

auto ― 802.1x認証をイネーブルにして、ポートに無許可ステートを開始させ、EAPOLフレームだけがポートを通じて送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、EAPOL開始フレームを受信すると、認証プロセスが開始されます。スイッチは、クライアントのIDを要求し、クライアントと認証サーバ間で認証メッセージのリレーを開始します。ネットワークにアクセスしようとする各クライアントは、クライアントのMAC(メディア アクセス制御)アドレスを使用して一意に識別されます。

クライアントが正常に認証されると(認証サーバからAcceptフレームを受信すると)、ポート ステートが許可済みに切り替わり、認証されたクライアントのフレームはすべてそのポートを通じて許可されます。認証が失敗した場合、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された試行回数の後でもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとEAPOLログオフ メッセージを送信し、スイッチ ポートを無許可ステートに移行させます。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ メッセージを受信した場合、ポートは無許可ステートに戻ります。

サポート対象トポロジー

802.1xポートベースの認証は、次の2つのトポロジーでサポートされています。

ポイントツーポイント

無線LAN

ポイントツーポイント構成(802.1x装置の役割を参照)では、802.1x対応スイッチ ポートに接続できるクライアントは1台だけです。スイッチは、ポートのリンク ステートがアップ ステートに変化すると、クライアントを検出します。クライアントが脱退するか、別のクライアントに交換されると、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図 26-3 に、無線LANでの802.1xポートベースの認証を示します。802.1xポートは複数ホスト ポートとして設定されており、このポートは1つのクライアントが認証されるとすぐに許可済みになります。ポートが許可されると、残りのホストは、ネットワーク アクセスが許可されたポートに間接的に接続されます。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信すると)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。

図 26-3 無線LANの例

 

802.1xの設定方法

ここでは、802.1xを設定する方法について説明します。

「802.1xのデフォルト設定」

「802.1x設定時の注意事項」

「802.1x認証のイネーブル化」(必須)

「スイッチ/RADIUSサーバ通信の設定」(必須)

「定期的な再認証のイネーブル化」(任意)

「手動によるポート接続クライアントの再認証」(任意)

「待機時間の変更」(任意)

「スイッチ/クライアント間の再送信時間の変更」(任意)

「スイッチ/クライアント間のフレーム再送信回数の設定」(任意)

「複数ホストのイネーブル化」(任意)

「802.1x設定をデフォルト値にリセットする方法」(任意)

802.1xのデフォルト設定

表 26-1 に、802.1xのデフォルト設定を示します。

 

表 26-1 802.1xのデフォルト設定

機能
デフォルト設定

認証、許可、アカウンティング(AAA)

ディセーブル

RADIUSサーバ

IPアドレス

UDP認証ポート

指定なし

1812

指定なし

インターフェイス単位の802.1xプロトコル イネーブル ステート

ディセーブル(force-authorized)

ポートは、クライアントの802.1xベースの認証なしで通常のトラフィックを送受信します。

定期的再認証

ディセーブル

再認証試行間隔の秒数

3600秒

待機時間

60秒

クライアントとの認証交換が失敗した後、スイッチが待機ステートにある秒数

再送信時間

30秒

要求を再送信するまでに、スイッチがクライアントからのEAP要求/IDフレームに対する応答を待機する秒数

最大再送信時間

2

認証プロセスを再開するまでにスイッチがEAP要求/IDフレームを送信する回数

複数ホストのサポート

ディセーブル

クライアントのタイムアウト時間

30秒

認証サーバからの要求をクライアントにリレーするとき、クライアントに要求を再送信するまでにスイッチが応答を待機する時間

認証サーバのタイムアウト時間

30秒

クライアントの応答を認証サーバにリレーするとき、サーバに応答を再送信するまでにスイッチが応答を待機する時間。 この値は設定不可能

802.1x設定時の注意事項

802.1x設定時の注意事項は次のとおりです。

802.1xがイネーブルに設定されていると、他のレイヤ2またはレイヤ3機能がイネーブルになる前に、ポートは認証されます。

802.1xプロトコルはレイヤ2スタティックアクセス ポートとレイヤ3ルーテッド ポートの両方でサポートされていますが、次のポート タイプではサポートされません。

トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。

デフォルト ポート ― すべてのポートでダイナミックアクセス ポートがデフォルト設定になります(auto)。ルータ ポートにアクセスするには、 no switchport コマンドを使用してください。

ダイナミック ポート ― ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになる可能性があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをダイナミックに変更しようとしても、ポート モードは変更されません。

EtherChannelポート ― ポート上で802.1xをイネーブルにするには、まずEtherChannelから削除する必要があります。EtherChannelまたはEtherChannelのアクティブポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。EtherChannelのまだアクティブでないポートで802.1xをイネーブルにしようとすると、ポートはEtherChannelに加入しません。

Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポート ― SPAN宛先ポートであるポートで802.1xをイネーブルにできますが、SPAN宛先として削除するまで802.1xはディセーブルに設定されます。SPAN送信元ポートでは、802.1xをイネーブルにできます。

802.1x認証のイネーブル化

802.1xポートベースの認証をイネーブルにするには、Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)をイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。

ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式を使い果たすまで続きます。このサイクルのどこかのポイントで認証が失敗すると、認証プロセスは停止し、他の認証方式は試行されません。

802.1xポートベースの認証を設定するには、イネーブルEXECモードから次の作業を行います。

 

コマンド
説明

ステップ 1

Switch # configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# aaa new-model

AAAをイネーブルにします。

ステップ 3

Switch(config)# aaa authentication dot1x { default } method1 [ method2 ...]

802.1x認証方式リストを作成します。

authentication コマンドに名前付きリストが指定されない場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。

次のキーワードを最低1つ入力します。

group radius ― すべてのRADIUSサーバのリストを認証に使用します。

none ― 認証を使用しません。クライアントは、クライアントが提供する情報を使用しないで、スイッチによって自動的に認証されます。

ステップ 4

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始し、802.1x認証に対してイネーブルにするインターフェイスを指定します。

ステップ 5

Switch(config-if)# dot1x port-control auto

インターフェイス上で802.1x認証をイネーブルにします。

トランク、ダイナミック、ダイナミック アクセス、EtherChannel、セキュア、およびSPANの各ポートとの機能相互作用については、「802.1x設定時の注意事項」を参照してください。

ステップ 6

Switch(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 7

Switch # show dot1x all

エントリを確認します。

出力の802.1x Port SummaryセクションのStatus欄を調べます。イネーブル化されたステータスは、ポート制御値が auto または force-unauthorized に設定されたことを意味します。

ステップ 8

Switch # copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。

802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } method1 [ method2 ...] グローバル コンフィギュレーション コマンドを使用します。

802.1x認証をディセーブルにするには、 dot1x port-control force-authorized または no dot1x port-control インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートFastEthernet 0/1上でAAAおよび802.1xをイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end
 

スイッチ/RADIUSサーバ通信の設定

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と各UDPポート番号、あるいはIPアドレスと各UDPポート番号で特定します。IPアドレスとUDPポート番号の組み合わせにより、一意の識別子が作成され、これにより、RADIUS要求を同一IPアドレスのサーバ上にある複数のUDPポートに送信できます。同一のRADIUSサーバ上の2つの異なるホストエントリが同じサービス(認証など)に対して設定されている場合、設定された2番目のホスト エントリは、最初のエントリのフェールオーバー時のバックアップとして機能します。RADIUSのホストエントリは、設定された順序で試されます。

スイッチ上にRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# radius-server host { hostname | ip-address } auth-port port-number key string

スイッチ上にRADIUSサーバ パラメータを設定します。

hostname | ip-address には、リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトは1812です。

key string には、スイッチとRADIUSサーバ上で稼働するRADIUSデーモンとの間で使用する認証および暗号化鍵を指定します。鍵は、RADIUSサーバ上で使用する暗号化鍵と照合する必要のある文字列です。


) 先行スペースは無視されるので、鍵は必ずradius-server host コマンド構文の最後の項目として設定します。これは、鍵の内部および終わりのスペースが使用されるためです。鍵にスペースを使用する場合は、鍵の一部として引用符を使用する場合を除いて、鍵を引用符で囲まないでください。この鍵は、RADIUSデーモン上で使用する暗号と一致する必要があります。


RADIUSサーバを複数使用する場合は、このコマンドをもう一度入力してください。

ステップ 3

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 4

Switch# show running-config

エントリを確認します。

ステップ 5

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

指定されたRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレスが172.20.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可済みポートとして使用して、暗号化鍵をrad123に設定し、RADIUSサーバ上の鍵と一致させる例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

radius-server host グローバル コンフィギュレーション コマンドを使用すると、すべてのRADIUSサーバに対してタイムアウト、再送信、および暗号化鍵の値をグローバルに設定できます。サーバ単位でこれらのオプションを設定する場合は、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。

さらに、RADIUSサーバでいくつかの設定を行う必要があります。この設定には、スイッチのIPアドレス、およびサーバとスイッチで共用する鍵文字列などがあります。

定期的な再認証のイネーブル化

定期的な802.1xクライアント再認証をイネーブルにして、その発生間隔を指定できます。再認証をイネーブルにする前に時間の間隔を指定しなかった場合、再認証を試行する間隔は3600秒です。

自動802.1xクライアント再認証はインターフェイス単位の設定で、個々のポートに接続しているクライアントに対して設定できます。特定のポートに接続しているクライアントを手動で再認証するには、「手動によるポート接続クライアントの再認証」を参照してください。

クライアントの定期的な再認証をイネーブルにして、再認証を試行する間隔を秒数で設定するには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始し、定期的な再認証に対してイネーブルにするインターフェイスを指定します。

ステップ 3

Switch(config-if)# dot1x re-authentication

デフォルトではディセーブルに設定されているクライアントの定期的な再認証をイネーブルにします。

ステップ 4

Switch(config)# dot1x timeout reauth-period seconds

再認証を試行する間隔を秒数で設定します。

指定できる範囲は 1~65,535秒 です。デフォルトは3600秒です。

このコマンドがスイッチの動作に影響を与えるのは、定期的な再認証がイネーブルに設定されている場合だけです。

ステップ 5

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 6

Switch# show dot1x all

エントリを確認します。

ステップ 7

Switch(config)# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x re-authentication インターフェイス コンフィギュレーション コマンドを使用します。再認証を試行する間隔をデフォルトの秒数に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証を試行する間隔を4000秒に設定する例を示します。

Switch(config)# dot1x re-authentication
Switch(config)# dot1x timeout reauth-period 4000
 

手動によるポート接続クライアントの再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用すると、特定のポートに接続しているクライアントを手動でいつでも再認証できます。 定期的に再認証をイネーブルまたはディセーブルにする場合は、「定期的な再認証のイネーブル化」を参照してください。

次に、ポートFast Ethernet 0/1に接続したクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet0/1
Starting reauthentication on FastEthernet0/1
 

待機時間の変更

スイッチがクライアントを再認証できないとき、スイッチは一定時間アイドルのままで、その後再試行します。アイドル時間は、 quiet-period の値によって決まります。クライアントが無効なパスワードを提供したことにより、クライアントの認証失敗が起こる可能性があります。デフォルトより小さい数値を入力すると、ユーザに応答するまでの時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始して、タイムアウトの quiet-period の間、イネーブルにするインターフェイスを指定します。

ステップ 3

Switch(config)# dot1x timeout quiet-period seconds

クライアントとの認証交換が失敗した後、スイッチが quiet-period にとどまる秒数を設定します。

指定できる範囲は0~65,535秒です。デフォルトは60秒です。

ステップ 4

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 5

Switch# show dot1x all

エントリを確認します。

ステップ 6

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period グローバル コンフィギュレーション コマンドを使用します。 次に、スイッチ上の quiet-period を30秒に設定する例を示します。

Switch(config)# dot1x timeout quiet-period 30
 

スイッチ/クライアント間の再送信時間の変更

クライアントは、スイッチからのEAP要求/IDフレームに、EAP応答/IDフレームで応答します。スイッチはこの応答を受信しなかった場合、一定時間(再送信時間という)待機してから、フレームを再送信します。


) このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。


スイッチがクライアントの通知を待機する時間を変更するには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始して、タイムアウトのtx-periodの間、イネーブルにするインターフェイスを指定します。

ステップ 3

Switch(config-if)# dot1x timeout tx-period seconds

要求を再送信するまでに、スイッチがクライアントからのEAP要求/IDフレームに対する応答を待機する秒数を設定します。

指定できる範囲は1~65,535秒です。デフォルトは30秒です。

ステップ 4

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 5

Switch# show dot1x all

エントリを確認します。

ステップ 6

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、再送信時間を60秒に設定する例を示します。

Switch(config)# dot1x timeout tx-period 60
 

スイッチ/クライアント間のフレーム再送信回数の設定

スイッチ/クライアント間の再送信時間の変更以外に、認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/IDフレームを送信する(応答を受信していないと仮定します)回数を変更できます。


) このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。


スイッチ/クライアント間のフレーム再送信回数を設定するには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始し、 max-req に対してイネーブルにするインターフェイスを指定します。

ステップ 3

Switch(config-if)# dot1x max-req count

認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/IDフレームを送信する回数を設定します。指定できる範囲は1~10回です。デフォルトは2です。

ステップ 4

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 5

Switch# show dot1x all

エントリを確認します。

ステップ 6

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの再送信回数に戻すには、 no dot1x max-req グローバル コンフィギュレーション コマンドを使用します。

次に、認証プロセスを再開するまでに、スイッチがEAP要求/IDフレームを送信する回数を5に設定する例を示します。

Switch(config)# dot1x max-req 5
 

複数ホストのイネーブル化

図 26-3のように、複数のホストを1つの802.1x対応ポートに接続できます。このモードで、すべてのホストにネットワーク アクセスが許可されるには、少なくとも接続ホストのいずれか1つが正常に許可される必要があります。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信すると)、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可済みポート上で、複数のホスト(クライアント)を許可するには、 イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# interface interface-id

インターフェイス コンフィギュレーション モードを開始し、複数のホストを間接的に接続するインターフェイスを指定します。

ステップ 3

Switch(config-if)# dot1x multiple-hosts

802.1x許可済みポート上で、複数のホスト(クライアント)を許可します。

指定されたインターフェイスについて dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

ステップ 4

Switch(config-if)# end

イネーブルEXECモードに戻ります。

ステップ 5

Switch# show dot1x all interface interface-id

エントリを確認します。

ステップ 6

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上の複数ポートをディセーブルにするには、no dot1x multiple-hosts インターフェイス コンフィギュレーション コマンドを使用します。

次に、FastEthernet 0/1上で802.1xをイネーブルにし、複数のポートを許可する例を示します。

Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x multiple-hosts
 

802.1x設定をデフォルト値にリセットする方法

802.1x設定をデフォルト値にリセットするには、イネーブルEXECモードで次の作業を行います。

 

コマンド
説明

ステップ 1

Switch# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Switch(config)# dot1x default

設定可能な802.1xパラメータをデフォルト値にリセットします。

ステップ 3

Switch(config)# end

イネーブルEXECモードに戻ります。

ステップ 4

Switch# show dot1x all

エントリを確認します。

ステップ 5

Switch# copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1x統計情報およびステータスの表示

すべてのインターフェイスの802.1x統計情報を表示するには、 show dot1x statistics イネーブルEXECコマンドを使用します。特定のインターフェイスの802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチの802.1x管理上および運用上のステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のインターフェイスの802.1x管理上および運用上のステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

表示されるフィールドの詳細については、『 Cisco IOS Command Reference for the Catalyst 4000 Family Switch 』を参照してください。