Catalyst 6500 Release 12.2SXH and Later Software コンフィギュレーション ガイド
IEEE 802.1X ポートベース認証の設定
IEEE 802.1X ポートベース認証の設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

IEEE 802.1X ポートベース認証の設定

802.1X ポートベース認証の概要

装置のロール

認証プロセス

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

802.1X ホスト モード

DHCP スヌーピングのある 802.1X 認証の使用

802.1X アカウンティング

802.1X アカウンティング AV のペア

VLAN 割り当てのある 802.1X 認証の使用

ゲスト VLAN のある 802.1X 認証の使用

制限 VLAN のある 802.1X 認証の使用

アクセス不能認証バイパスのある 802.1X 認証の使用

音声 VLAN ポートのある 802.1X 認証の使用

ポート セキュリティのある 802.1X 認証の使用

WoL のある 802.1X 認証の使用

MAC 認証バイパスのある 802.1X 認証の使用

NAC レイヤ 2 IEEE 802.1X 検証の使用

802.1X ポートベース認証の設定

802.1X ポートベース認証のデフォルト設定

802.1X 認証機能の設定時の注意事項

802.1X 認証

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

MAC 認証バイパス

802.1X 認証のイネーブル化

と RADIUS サーバ間の通信設定

複数ホストのイネーブル化

定期的な再認証のイネーブル化

手動によるポート接続クライアントの再認証

ポート接続クライアント認証の初期化

802.1X クライアント情報の削除

802.1X タイムアウトの変更

待機時間の設定

とクライアント間の再送信時間の設定

とクライアント間の EAP 要求フレーム再送信時間の設定

と認証サーバ間のレイヤ 4 パケット再送信時間の設定

とクライアント間のフレーム再送信回数の設定

再認証回数の設定

IEEE 802.1X アカウンティングの設定

ゲスト VLAN の設定

制限 VLAN の設定

アクセス不能認証バイパス機能の設定

WoL のある 802.1X 認証の設定

MAC 認証バイパスの設定

NAC レイヤ 2 IEEE 802.1X 検証の設定

ポート上での 802.1X 認証のディセーブル化

802.1X 設定のデフォルト値へのリセット

802.1X ステータスの表示

IEEE 802.1X ポートベース認証の設定

この章では、許可されていない装置(クライアント)がネットワークにアクセスするのを防止するために、Cisco IOS Software Release 12.2SX に IEEE 802.1X ポートベース認証を設定する手順を説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Software Releases 12.2SX Command References』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


この章で説明する内容は、次のとおりです。

「802.1X ポートベース認証の概要」

「802.1X ポートベース認証の設定」

「802.1X ステータスの表示」

802.1X ポートベース認証の概要

IEEE 802.1X 標準は、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、スイッチ ポートに接続する各クライアントを認証したうえでポートを VLAN に割り当てて、スイッチや LAN によって提供されるサービスを利用できるようにします。

802.1X アクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ここでは、authentication, authorization, and accounting(AAA; 認証、認可、アカウンティング)システムの一部として 802.1 X ポートベース認証のロールについて説明します。

「装置のロール」

「認証プロセス」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「802.1X ホスト モード」

「DHCP スヌーピングのある 802.1X 認証の使用」

「802.1X アカウンティング」

「VLAN 割り当てのある 802.1X 認証の使用」

「ゲスト VLAN のある 802.1X 認証の使用」

「制限 VLAN のある 802.1X 認証の使用」

「アクセス不能認証バイパスのある 802.1X 認証の使用」

「音声 VLAN ポートのある 802.1X 認証の使用」

「ポート セキュリティのある 802.1X 認証の使用」

「WoL のある 802.1X 認証の使用」

「MAC 認証バイパスのある 802.1X 認証の使用」

「NAC レイヤ 2 IEEE 802.1X 検証の使用」

装置のロール

802.1X ポート ベースの認証では、図52-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図52-1 802.1X 装置のロール

 

図52-1 に示す特定のロールは、次のとおりです。

クライアント -- LAN およびスイッチ サービスへのアクセスを要求し、スイッチの要求に応答する装置(ワークステーション)。ワークステーション上では、802.1X に準拠するクライアント ソフトウェア(Microsoft Windows XP OS[オペレーティング システム]で提供されるクライアント ソフトウェアなど)が稼働している必要があります(クライアントは、IEEE 802.1X 規格では サプリカント といいます)。


) Windows XP のネットワーク接続および 802.1X ポートベースの認証の問題に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ -- クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対しては透過的に行われます。認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけがサポートされています。この認証サーバは、Cisco Secure Access Control Server バージョン 3.0 で使用可能です。RADIUS はクライアント サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ オーセンティケータ または バックエンドオーセンティケータ とも呼ばれます) -- Release 12.2(33)SXH 以降のリリースでは、クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

スイッチが EAPOL フレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS フォーマットに再カプセル化されます。カプセル化では EAP フレームの変更または検証は行われず、認証サーバはネイティブ フレーム フォーマットの EAP をサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

認証プロセス

802.1X ポートベース認証がイネーブルでクライアントが 802.1X 準拠クライアント ソフトウェアをサポートすると、次のようなイベントが発生します。

クライアント ID が有効で 802.1X 認証に成功した場合、スイッチがクライアントに対してネットワークへのアクセスを認可します。

EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトして MAC 認証バイパスがイネーブルの場合、スイッチではクライアント MAC アドレスを許可に使用することができます。クライアント MAC アドレスが有効で正常に許可された場合、スイッチがクライアントに対してネットワークへのアクセスを認可します。クライアント MAC アドレスが無効で許可に失敗した場合、ゲスト VLAN が設定されていれば、スイッチが限定的なサービスを提供するゲスト VLAN をクライアントに割り当てます。

スイッチが 802.1X 対応クライアントから無効な ID を受信し、制限された VLAN が設定されている場合、スイッチでクライアントを限定的なサービスを提供する制限 VLAN に割り当てることができます。

RADIUS 認証サーバが(ダウンして)利用できず、アクセス不能認証バイパスがイネーブルの場合、ユーザ指定のクリティカル VLAN 内でポートをクリティカル認証ステートにすることで、スイッチがクライアントに対してネットワークへのアクセスを認可します。


) アクセス不能認証バイパスは、クリティカル認証または AAA 失敗ポリシーとも呼ばれます。


図52-2 に、認証プロセスを示します。

図52-2 認証フローチャート

 

スイッチは、次のいずれかの条件が満たされるとクライアントを再認証します。

定期再認証がイネーブルで、再認証タイマーが満了している場合。

スイッチ固有の値を使用するか、またたは RADIUS サーバからの値に基づいて、再認証タイマーを設定することができます。

RADIUS サーバを使用する 802.1X 認証の設定後、スイッチ は Session-Timeout RADIUS属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])に基づくタイマーを使用します。

Session-Timeout RADIUS 属性(属性 [27])は、再認証が発生するまでの時間を指定します。

Termination-Action RADIUS 属性(属性 [29])は、再認証中に実行するアクションを指定します。アクションは、初期化と再認証です。初期化アクションが設定されている場合(属性値は DEFAULT)、802.1X セッションが終了して、再認証中に接続は失われます。再認証アクションが設定されている場合(属性値は RADIUS-Request)、再認証中にセッションは影響を受けません。

dot1x re-authenticate interface type slot/port 特権 EXEC コマンドを入力してクライアントを手動で再認証した場合

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにした場合、スイッチはポートのリンク ステートがダウンからアップに移行したと判断した時点で、認証を開始しなければなりません。その場合、スイッチは EAP 要求/アイデンティティ フレームをクライアントに送信して識別情報を要求します(スイッチは通常、最初のアイデンティティ/要求フレームに続いて、認証情報に関する 1 つまたは複数の要求を送信します)。クライアントはフレームを受信すると、EAP 応答/アイデンティティ フレームで応答します。

ただし、クライアントがブートアップ時にスイッチから EAP 要求/アイデンティティ フレームを受信しなかった場合、クライアントは EAPOL 開始フレームを送信して認証を開始することができます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で 802.1X がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべてドロップされます。クライアントが認証の開始を 3 回試みても EAP 要求/アイデンティティ フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としてのロールを開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、ポートは許可ステートになります。認証に失敗すると、認証が再試行されるか、ポートがサービスの限定された VLAN に割り当てられるか、ネットワーク アクセスが認可されません。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図52-3 に、クライアントが RADIUS サーバとの間で One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図52-3 メッセージ交換

 

EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトして MAC 認証バイパスがイネーブルの場合、スイッチでクライアントからのイーサネット パケットが検出されると、スイッチはクライアントを許可することができます。スイッチはクライアントの MAC アドレスを ID として使用して、この情報を RADIUS サーバに送信する RADIUS アクセス/要求フレームに組み込みます。サーバがスイッチに RADIUS アクセス/承認フレーム(正常に許可)を送信した後、ポートが許可されます。許可に失敗してゲスト VLAN が指定された場合、スイッチはポートにゲスト VLAN を割り当てます。イーサネット パケットを待機中にスイッチで EAPOL パケットが検出される場合、スイッチは MAC 認証バイパス プロセスを停止して、802.1X 認証を停止します。

図52-4 に、MAC 認証バイパス中のメッセージ交換を示します。

図52-4 MAC 認証バイパス中のメッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートは、クライアントがネットワーク アクセスを認可されたかどうかを表します。ポートは最初、 無許可 ステートです。このステートでは、ポートは 802.1X プロトコル パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに移行し、クライアントのすべてのトラフィック送受信を通常どおりに許可します。

802.1X 認証をサポートしていないクライアントが、無許可ステートの 802.1X ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1X 対応のクライアントが、802.1X プロトコルの稼働していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized -- 802.1X ポートベースの認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized -- クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチは、インターフェイスを介してクライアントに認証サービスを提供することができません。

auto -- 802.1X ポートベースの認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、または EAPOL 開始フレームを受信したときに、認証プロセスが開始されます。スイッチは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは認可されません。

クライアントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。

802.1X ホスト モード

シングルホストまたはマルチホスト モードに対して 802.1X ポートを設定することができます。シングルホスト モード(802.1X 装置のロールを参照)では、802.1X 対応ポートには、クライアントが 1 つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL フレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モードでは、1 つの 802.1X 対応ポートに複数のホストを接続することができます。図52-5に、ワイヤレス LAN 内の 802.1X ポートベース認証を示します。このモードでは、接続されたホストのうち 1 つが許可されれば、すべてのクライアントがネットワーク アクセスを認可されます。ポートが無許可ステートになると(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、スイッチはすべての接続先クライアントのネットワーク アクセスを禁止します。このトポロジでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

マルチホスト モードがイネーブルの場合、802.1X 認証を使用してポートを認証し、ポート セキュリティを使用してクライアントの MAC アドレスを含むすべての MAC アドレスのネットワーク アクセスを管理することができます。

図52-5 マルチホスト モードの例

 

DHCP スヌーピングのある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、データ挿入機能のある Dynamic Host Configuration Protocol(DHCP)スヌーピング Option 82 がイネーブルの場合、スイッチはクライアントの 802.1X 認証済みユーザ ID 情報を DHCP ディスカバリ プロセスに挿入することが可能で、DHCP サーバで別の IP アドレス プールからエンドユーザの別のクラスに IP アドレスを割り当てることができます。この機能により、アカウンティング目的でエンド ユーザに付与する IP アドレスのセキュリティを確保することができ、レイヤ 3 基準に基づいてサービスを認可することができます。

サプリカントと RADIUS サーバとの間の 802.1X 認証に成功したあと、スイッチはポートをフォワーディング ステートにして RADIUS サーバから受信した属性を格納します。DHCP スヌーピングを実行中に、スイッチは DHCP リレー エージェントとして機能し、DHCP メッセージを受信して別のインターフェイスへ送信するためにこれらのメッセージを再生成します。クライアントが 802.1X 認証後に DHCP ディスカバリ メッセージを送信する際に、スイッチがパケットを受信します。スイッチが、RADIUS 属性サブオプション セクションに、クライアントの格納済み RADIUS 属性を含むパケットを追加します。次にスイッチがディスカバリ ブロードキャストを再送信します。DHCP サーバは変更された DHCP ディスカバリ パケットを受信して、IP アドレス リースの作成時に認証済みユーザ ID 情報を使用することができます(設定されている場合)。ユーザ/IP アドレス マッピングは、1 対 1、1 対多、多対多ベースにすることができます。1 対多マッピングにより、同一ユーザを 802.1X ホストを通じて複数ポートで認証することができます。

スイッチは、802.1X 認証およびデータ挿入機能のある DHCP スヌーピング Option 82 がイネーブルの際には、自動的に認証済みユーザ ID 情報を挿入します。DHCP Option 82 データ挿入を設定するには、「DHCP スヌーピングの Option 82 データ挿入」を参照してください。

RADIUS 属性サブオプションでのデータ挿入の詳細については、RFC 4014『 Remote Authentication Dial-In User Service (RADIUS) Attributes Suboption for the Dynamic Host Configuration Protocol (DHCP) Relay Agent Information Option 』を参照してください。

802.1X アカウンティング

IEEE 802.1X 標準は、ネットワークに対するユーザの許可および認証方法を定義したものですが、ネットワークの使用状況を追跡しません。IEEE 802.1X アカウンティングは、デフォルトでディセーブルです。Release 12.2(33)SXH 以降のリリースの場合、802.1X アカウンティングをイネーブルにして 802.1X 対応ポートで次のアクティビティを監視することができます。

ユーザの正常な認証

ユーザのログオフ

リンクダウンの発生

再認証の正常な発生

再認証の失敗

スイッチは、IEEE 802.1X アカウンティング情報を記録しません。代わりに、この情報を RADIUS サーバに送信します。これはアカウンティング メッセージを記録するために設定する必要があります。

802.1X アカウンティング AV のペア

RADIUS サーバに送信される情報は、AV のペアの形式で表されます。これらの AV ペアは、さまざまなアプリケーションのデータを提供します(たとえば、課金アプリケーションは RADIUS パケットの Acct-Input-Octet または Acct-Output-Octet 属性にある情報が必要です)。

AV ペアは、802.1X アカウンティング用に設定されたスイッチによって自動的に送信されます。3 種類の RADIUS アカウンティング パケットがスイッチによって送信されます。

START -- 新規ユーザ セッションの開始時に送信されます。

INTERIM -- アップデートの既存セッション中に送信されます。

STOP -- セッション終了時に送信されます。

表52-1 は、AV ペアをリストしたもので、スイッチによって送信された時期を示しています。

 

表52-1 アカウンティング AV ペア

属性番号
AV ペア名
START
INTERIM
STOP

属性 [1]

User-Name

常時

常時

常時

属性 [4]

NAS-IP-Address

常時

常時

常時

属性 [5]

NAS-Port

常時

常時

常時

属性 [8]

Framed-IP-Address

なし

状況による 1

状況による 1

属性 [25]

Class

常時

常時

常時

属性 [30]

Called-Station-ID

常時

常時

常時

属性 [31]

Calling-Station-ID

常時

常時

常時

属性 [40]

Acct-Status-Type

常時

常時

常時

属性 [41]

Acct-Delay-Time

常時

常時

常時

属性 [42]

Acct-Input-Octets

なし

なし

常時

属性 [43]

Acct-Output-Octets

なし

なし

常時

属性 [44]

Acct-Session-ID

常時

常時

常時

属性 [45]

Acct-Authentic

常時

常時

常時

属性 [46]

Acct-Session-Time

なし

なし

常時

属性 [49]

Acct-Terminate-Cause

なし

なし

常時

属性 [61]

NAS-Port-Type

常時

常時

常時

1.Framed-IP-Address AV ペアは、DHCP スヌーピング バインディング テーブル内のホストに対して有効な DHCP バインディングが存在する場合のみ送信されます。

debug radius accounting 特権 EXEC コマンドを入力して、スイッチによって送信された AV ペアを確認することができます。このコマンドの詳細については、次の URL の『 Cisco IOS Debug Command Reference 』Release 12.2 を参照してください。

http://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_command_reference_book09186a00800872ce.html

AV ペアの詳細については、RFC 3580『 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 』を参照してください。

VLAN 割り当てのある 802.1X 認証の使用

ポートの 802.1X 認証に成功したあと、RADIUS サーバは VLAN 割り当てを送信してポートを設定します。RADIUS サーバ データベースは、ユーザ名/VLAN マッピングを維持して、ポートに接続されているクライアントのユーザ名に基づいて VLAN を割り当てます。この機能を使用して特定ユーザのネットワーク アクセスを制限することができます。

スイッチおよび RADIUS サーバでの設定時に、VLAN 割り当てのある 802.1X 認証には次のような特性があります。

RADIUS サーバから VLAN が提供されなかったり 802.1X 認証が無効な場合、認証の成功後にポートは アクセス VLAN 内に設定されます。アクセス VLAN は、アクセスポートに割り当てられた VLAN です。このポートで送受信されたすべてのパケットがこの VLAN に属します。

802.1X 認証が有効で RADIUS サーバからの VLAN 情報が有効になっていない場合、ポートは無許可ステートになり、設定されたアクセス VLAN 内に残ります。これにより、設定エラーによって不適切な VLAN にポートが予期せず認識されることを防ぐことができます。

設定エラーには、ルーテッド ポートのVLAN 指定、誤りのある VLAN ID、存在しないまたは内部(ルーテッド ポート)VLAN ID、または音声 VLAN ID への試行割り当てなどが含まれる可能性があります。

802.1X 認証が有効で RADIUS サーバからのすべての情報が有効の場合、ポートは認証後に指定の VLAN に配置されます。

マルチホスト モードが 802.1X ポートで有効な場合、すべてのホストが最初の認証済みホストと同じ(RADIUS サーバに指定された)VLAN に配置されます。

802.1X 認証とポート セキュリティがポートでイネーブルの場合、ポートは RADIUS サーバ割り当て VLAN に配置されます。

802.1X 認証がポートで無効な場合、設定済みアクセス VLAN に戻されます。

ポートが強制許可、強制無許可、無許可、またはシャットダウン ステートの場合は、設定済みアクセス VLAN に配置されます。

802.1X ポートが認証済みで RADIUS サーバ割り当て済み VLAN に配置される場合、ポート アクセス VLAN 設定に対する変更はすべて有効になりません。

VLAN 割り当てのある 802.1X 認証機能は、トランク ポート、ダイナミック ポート、および VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)を介したダイナミックアクセス ポート割り当てではサポートされていません。

VLAN 割り当てを設定するには、次の作業を行います。


ステップ 1 network キーワードを使用して AAA 許可 をイネーブルにして、RADIUS サーバからのインターフェイス設定を可能にします。

ステップ 2 802.1X 認証をイネーブルにします(アクセス ポート上で 802.1X 認証を設定する際に VLAN 割り当て機能は自動的にイネーブルになります)。

ステップ 3 RADIUS サーバでベンダー固有トンネル属性を割り当てます。RADIUS サーバはこれらの属性をスイッチに戻します。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

属性 [64] には必ず値 VLAN (タイプ 13)が含まれていなければいけません。属性 [65] には必ず値 802 (タイプ 6)が含まれていなければいけません。属性 [81] は 802.1X 認証済みユーザに割り当てられた VLAN 名 または VLAN ID を指定します。


 

ゲスト VLAN のある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、スイッチの各 802.1X ポートに対してゲスト VLAN を設定して、802.1X クライアントのダウンロードなど、クライアントに限定されたサービスを提供することができます。これらのクライアントは、802.1X 認証用にシステムをアップグレードすることが可能ですが、Windows 98 システムなど、ホストの中には 802.1X に対応していないものもあります。

802.1X ポートでゲスト VLAN をイネーブルにする際、スイッチが EAP 要求/アイデンティティ フレームに対する応答を受信しないときや EAPOL パケットがクライアントで送信されないときに、スイッチがクライアントをゲスト VLAN に割り当てます。

さらに、スイッチが EAPOL パケット履歴を維持します。リンクのライフタイム中に EAPOL パケットがインターフェイスで検出される場合、このインターフェイスに接続されている装置が 802.1X 対応サプリカントであることをスイッチが判別し、インターフェイスはゲスト VLAN ステートに変化しません。インターフェイス リンク ステータスがダウンになると EAPOL パケット履歴がクリアされます。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用して EAPOL パケット履歴に関係なくインターフェイスをゲスト VLAN ステートに変更できるようにします。つまり、そのインターフェイスの前のホストが 802.1X 対応であっても、802.1X 非対応のホストがゲスト VLAN に割り当てられます。


) インターフェイスがゲスト VLAN に変更されたあとに EAPOL パケットが検出される場合、インターフェイスが無許可ステートに戻って、802.1X 認証が再開されます。


ポートがゲスト VLAN に移動する際に、任意の数の 802.1X 非対応クライアントがアクセスを許可されます。ゲスト VLAN が設定されているのと同じポートに 802.1X 対応クライアントが加入する場合、ポートがユーザ設定アクセス VLAN の無許可ステートになり、認証が再開されます。

802.1X ゲスト VLAN として動作する際に、設定されたポートのホスト モードに関係なくポートはマルチホスト モードで機能します。

RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X VLAN として設定することができます。ゲスト VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートでサポートされておらず、アクセス ポートでのみサポートされています。

スイッチ は Release12.2(33)SXH 以降のリリースで MAC 認証バイパスをサポートしています。MAC 認証バイパスが 802.1X ポートでイネーブルの場合、EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトした際にスイッチはクライアント MAC アドレスに基づいてクライアントを許可することができます。802.1X ポートでクライアントを検出したあと、スイッチがクライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいてユーザ名とパスワードとともに RADIUS アクセス/要求フレームを認証サーバに送信します。許可された場合、スイッチがネットワークに対するクライアント アクセスを認可します。許可に失敗した場合、ゲスト VLAN が指定されていればスイッチがポートにゲスト VLAN を割り当てます。詳細については、「MAC 認証バイパスのある 802.1X 認証の使用」を参照してください。

詳細については、「ゲスト VLAN の設定」を参照してください。

制限 VLAN のある 802.1X 認証の使用

スイッチ上の各 802.1X ポートの制限 VLAN(または 認証失敗 VLAN )を設定して、ゲスト VLAN にアクセスできないクライアントに限定されたサービスを提供できます。これらのクライアントは 802.1X 準拠で、認証プロセスに失敗しているため別の VLAN にアクセスすることができません。制限 VLAN により、ユーザ(一般的に企業への訪問者)が認証サーバ内の有効な認定証なしに制限されたサービス セットにアクセスすることができます。管理者は、制限 VLAN で利用可能なサービスを制御することができます。


) 同じサービスを両方のタイプのユーザに提供する場合、VLAN をゲスト VLAN と制限 VLAN の両方に設定することができます。


この機能がないと、クライアントは無制限に認証と失敗を行うことになり、ポートがスパニング ツリー ブロック ステートのままになります。この機能を使用すると、指定された数の認証試行(デフォルト値は 3 試行)のあと、ポートが制限 VLAN となるように設定することができます。

オーセンティケータがクライアントの失敗した認証試行をカウントします。このカウントが設定された最大認証試行数を超過すると、ポートが制限 VLAN に移行します。RADIUS サーバが EAP 失敗または EAP パケットのない空の応答で応答すると、失敗した試行カウントが増加します。ポートが制限 VLAN に移行すると、失敗試行カウンタがリセットされます。

認証に失敗したユーザは、次の再認証試行まで制限 VLAN に残ります。制限 VLAN のポートは、設定された間隔(デフォルトで 60 秒)で再認証を試行します。再認証に失敗した場合、ポートが制限 VLAN に残ります。再認証に成功した場合、ポートが設定 VLAN または RADIUS サーバに送信される VLAN に移行します。再認証はディセーブルにすることができます。これを行う場合、認証プロセスを再起動する唯一の方法は、ポートでリンク ダウンまたは EAP ログオフ イベントを受信することです。クライアントがハブを介して接続される可能性がある場合、再認証をイネーブルのままにしておくことを推奨します。クライアントがハブから切断される際に、ポートがリンク ダウンまたは EAP ログオフ イベントを受信しない可能性があります。

802.1X 制限 VLAN として動作する際に、設定されたポートのホスト モードに関係なくポートはシングルホスト モードで機能します。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X 制限 VLAN として設定することができます。制限 VLAN 機能はトランク ポートでサポートされておらず、アクセス ポートでのみサポートされています。

この機能は、ポート セキュリティとともに機能します。ポートが許可されると同時に、MAC アドレスがポート セキュリティに提供されます。ポート セキュリティが MAC アドレスを許可しない場合や、最大セキュア アドレス カウントに到達する場合、ポートが無許可になり、errdisable ステートになります。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)、DHCP スヌーピング、IP ソース ガードなどの他のポート セキュリティ機能は、制限 VLAN で個別に設定可能です。

詳細については、「制限 VLAN の設定」を参照してください。

アクセス不能認証バイパスのある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、スイッチが設定された RADIUS サーバに到達できずにホストを認証することができない場合、クリティカル ポートに接続されているホストがネットワーク アクセスを可能にするようにスイッチを設定できます。アクセス不能認証バイパス機能がクリティカル ポートでイネーブルになっていて、この機能はクリティカル認証または AAA 失敗ポリシーとも呼ばれます。

この機能がイネーブルになっていると、スイッチがクリティカル ポートに接続されているホストを認証しようとするたびにスイッチは設定済み RADIUS サーバのステータスをチェックします。サーバが利用可能な場合、スイッチはホストを認証することができます。ただし、すべての RADIUS サーバを利用できない場合、スイッチがホストに対してネットワーク アクセスを認可し、ポートを認証ステートの特殊なケースであるクリティカル認証ステートにします。

アクセス不能認証バイパス機能の動作は、ポートの許可ステートによって変化します。

クリティカル ポートに接続されているホストの認証時にポートが無許可ですべてのサーバが利用不能な場合、スイッチはユーザ指定のクリティカル VLAN 内でポートをクリティカル認証ステートにします。

ポートがすでに許可済みで再認証が発生した場合、スイッチは、RADIUS サーバですでに割り当て済みであると思われる現在の VLAN で、クリティカル ポートをクリティカル認証ステートにします。

認証情報の交換中に RADIUS サーバが利用不能になった場合、現在の交換がタイムアウトして、次の認証試行中にスイッチがクリティカル ポートをクリティカル認証ステートにします。

ホストを認証することのできる RADIUS サーバが利用可能な場合、クリティカル認証ステートのすべてのクリティカルポートが自動的に再認証されます。

アクセス不能認証バイパスは、次の機能と相互作用します。

ゲスト VLAN -- アクセス不能認証バイパスは、ゲスト VLAN と互換性があります。ゲスト VLAN が 802.1X ポートでイネーブルになっていると、この機能は次のように相互作用します。

少なくとも 1 つの RADIUS サーバが利用可能な場合、スイッチが EAP 要求/アイデンティティ フレームに対する応答を受信しないときや EAPOL パケットがクライアントで送信されないときに、スイッチがクライアントをゲスト VLAN に割り当てます。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されている場合、スイッチはクライアントを認証して、ユーザ指定のクリティカル VLAN 内でクリティカル ポートをクリティカル認証ステートにします。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されていない場合、ゲスト VLAN が設定されているとスイッチはクライアントをゲスト VLAN に割り当てることはできません。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されていて、すでにゲスト VLAN に割り当てられている場合、スイッチはポートをゲスト VLAN のままにしておきます。

制限 VLAN -- ポートがすでに制限 VLAN で許可されていて、RADIUS サーバが利用不能な場合、スイッチは制限 VLAN 内でクリティカル ポートをクリティカル認証ステートにします。

802.1X アカウンティング -- RADIUS サーバが利用不能でもアカウンティングには影響しません。

プライベート VLAN -- プライベート VLAN ホスト ポート上にアクセス不能認証バイパスを設定できます。アクセス VLAN は、セカンダリ プライベート VLAN でなければなりません。

音声 VLAN -- アクセス不能認証バイパスは音声 VLAN と互換性がありますが、RADIUS 設定またはユーザ指定アクセス VLAN と音声 VLAN を別にしなければなりません。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ) -- RSPAN VLAN をアクセス不能認証バイパスの RADIUS 設定またはユーザ指定アクセス VLAN として設定しないでください。

音声 VLAN ポートのある 802.1X 認証の使用

Multi-VLAN Access Port(MVAP; マルチ VLAN アクセス ポート)は、2 つの VLAN に属しているポートです。音声 VLAN ポートは、ポートの音声トラフィックとデータ トラフィックを異なる VLAN に分離することのできる MVAP です。音声 VLAN ポートは、2 つの VLAN ID に関連付けされています。

IP 電話との間で音声トラフィックをやりとりする Voice VLAN Identifier(VVID; 音声 VLAN ID)。VVID は、ポートに接続された IP 電話を設定するのに使用されます。

IP 電話を介してスイッチに接続されているワークステーションとの間でデータ トラフィックをやりとりする Port VLAN identifier(PVID; ポート VLAN ID)。PVID は、ポートのネイティブ VLAN です。

Release 12.2(33)SXH 以前のリリースでは、シングルホスト モードのスイッチは単一ホストからのトラフィックを受け入れて、音声トラフィックは受け入れることができませんでした。マルチホスト モードでは、スイッチはクライアントがプライマリ VLAN で認証されるまで音声トラフィックを受け入れなかったので、ユーザがログインするまで IP 電話を使用できませんでした。

Release 12.2(33)SXH 以降のリリースでは、IP 電話はポートの許可ステートに関係なく音声トラフィックに VVID を使用しています。これにより、802.1X 認証から独立して IP 電話が動作することができます。

シングルホスト モードでは、IP 電話のみが音声 VLAN で許可されます。マルチホスト モードでは、サプリカントが PVID で認証されたあとに追加のクライアントが音声 VLAN 上でトラフィックを送信することができます。マルチホスト モードがイネーブルの場合、サプリカント認証は PVID と VVID の両方に影響します。

IP 電話を認識するために、スイッチは、ポートの許可ステートに関係なくポート上の CDP トラフィックを許可します。リンクがある場合、音声 VLAN ポートがアクティブになり、IP 電話の最初の CDP メッセージのあとに装置の MAC アドレスが表示されます。Cisco IP Phone は他の装置からの CDP メッセージをリレーしません。この結果、複数の IP 電話が直列で接続されている場合、スイッチは直接接続されている 1 台のみを認識します。802.1X 認証が音声 VLAN ポートでイネーブルの場合、スイッチは 1 ホップ以上離れた未認識 IP 電話からのパケットをドロップします。

802.1X 認証がポートでイネーブルの場合、音声 VLAN と同じポート VLAN を設定することはできません。


) 音声 VLAN が設定されていて Cisco IP Phone が接続されているアクセス ポート上で 802.1X 認証がイネーブルの場合、Cisco IP Phone のスイッチとの接続が最大 30 秒切断されます。


音声 VLAN 設定の詳細については、「Cisco IP Phone サポートの設定」を参照してください。

ポート セキュリティのある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、シングルホストまたはマルチホスト モードのポート セキュリティにより 802.1X ポートを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティも設定する必要があります)。ポート セキュリティおよび 802.1X 認証をポートでイネーブルにする際に、802.1X 認証がポートを認証し、ポート セキュリティでクライアントを含む全ての MAC アドレスのネットワーク アクセスを管理します。その後、802.1X ポートを介してネットワークにアクセス可能なクライアント数またはクライアント グループを制限することができます。

スイッチ上における 802.1X 認証とポート セキュリティ間の相互作用の例には、次のようなものがあります。

クライアントが認証されて、ポート セキュリティ テーブルがフルになっていない場合、クライアント MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。次に、ポートが通常どおりにアップします。

クライアントが認証されて手動でポート セキュリティが設定される際に、セキュア ホスト テーブル内のエントリが保証されます。

クライアントが認証されていてもポート セキュリティ テーブルがフルの場合、セキュリティ違反が発生します。セキュリティ違反は、セキュア ホストの最大数がスタティックに設定されている場合や、クライアントがセキュア ホスト テーブルで期限切れの場合に発生する可能性があります。クライアント アドレスが期限切れの場合、セキュア ホスト テーブル内のその位置に他のホストが入っている可能性があります。

セキュリティ違反が最初の認証済みホストで発生した場合、ポートが errdisable ステートになり、即座にシャットダウンされます。

ポートのセキュリティ違反モードは、セキュリティ違反のアクションを決定します。詳細については、「ポートでのポート セキュリティ違反モードの設定」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、手動で 802.1X クライアント アドレスをポート セキュリティ テーブルから削除する際、dot1x re-authenticate interface type slot/port 特権 EXEC コマンドを使用して802.1X クライアントを再認証します。

802.1X クライアントがログオフする際に、ポートが未認証ステートに変更され、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。その後、通常の認証が実行されます。

ポートが管理上シャットダウンされる場合、ポートが未認証になり、すべてのダイナミック エントリがセキュア ホスト テーブルから削除されます。

ポート セキュリティおよび音声 VLAN は、シングルホストまたはマルチホスト モードのいずれかにある 802.1X ポートで同時に設定可能です。ポート セキュリティは、VVID および PVID の両方に適用されます。

スイッチでポート セキュリティをイネーブルにする場合の詳細については、「ポート セキュリティの設定」を参照してください。

WoL のある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、Wake-on-LAN(WoL)機能のある 802.1X 認証により、スイッチがマジック パケットと呼ばれる特定のイーサネット フレームを受信するときに休止 PC の電源をオンにすることができます。管理者が電源オフのシステムに接続する必要のある環境で、この機能を使用することができます。

WoL を使用するホストが 802.1X ポートを介して接続されていてホストの電源がオフの場合、802.1X ポートは無許可になります。ポートは EAPOL パケットの送受信のみが可能で、WoL マジック パケットはホストに到達することができません。PC の電源がオフになると、これは許可されず、スイッチ ポートは開きません。

スイッチが WoL のある 802.1X 認証を使用すると、スイッチはマジック パケットとともにトラフィックを無許可 802.1X ポートに転送します。ポートが無許可である間、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信することができますが、ネットワーク内の他の装置にパケットを送信することはできません。


) PortFast がポートでイネーブルになっていない場合、ポートは強制的に双方向ステートになります。


dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向に設定する際に、ポートはスパニング ツリー フォワーディング ステートに変更されます。ポートはホストにパケットを送信することができますが、ホストからパケットを受信することはできません。

dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向に設定する際に、ポートは双方向でアクセス制御されます。ポートはホストとのパケットの送受信を行いません。

MAC 認証バイパスのある 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、MAC 認証バイパス機能を使用してクライアント MAC アドレス(MAC 認証バイパス中のメッセージ交換を参照)に基づいてクライアントを許可するようにスイッチを設定できます。たとえば、プリンタなどの装置に接続されている 802.1X ポートで、この機能をイネーブルにすることができます。

クライアントからの EAPOL 応答を待機している間に 802.1X 認証がタイムアウトする場合、スイッチは MAC 認証バイパスを使用してクライアントを許可しようとします。

MAC 認証バイパス機能が 802.1X ポートでイネーブルになっていると、スイッチは MAC アドレスをクライアントの ID として使用します。認証サーバにはネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。802.1X ポートでクライアントを検出したあと、スイッチがクライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいてユーザ名とパスワードとともに RADIUS アクセス/要求フレームを認証サーバに送信します。許可された場合、スイッチがネットワークに対するクライアント アクセスを認可します。許可に失敗した場合、ゲスト VLAN が設定されていればスイッチがポートにゲスト VLAN を割り当てます。

リンクのライフタイム中に EAPOL パケットがインターフェイスで検出される場合、このインターフェイスに接続されている装置が 802.1X 対応サプリカントであることをスイッチが判別し、(MAC 認証バイパスではなく)802.1X 認証を使用してインターフェイスを許可します。インターフェイス リンク ステータスがダウンになると EAPOL パケット履歴がクリアされます。

スイッチがすでに MAC 認証バイパスを使用してポートを許可していて、802.1X サプリカントを検出した場合、スイッチはポートに接続されているクライアントを無許可にしません。再認証が発生する際に、Termination-Auction RADIUS 属性が DEFAULT であるために前のセッションが終了した場合、スイッチは 802.1X 認証を優先再認証プロセスとして使用します。

MAC 認証バイパスで許可されたクライアントを再認証することができます。再認証プロセスは、802.1X で認証されたクライアントと同様です。再認証中に、ポートは前に割り当てられた VLAN に残ります。再認証に成功した場合、スイッチは同じ VLAN 内にポートを保持します。再認証に失敗した場合、ゲスト VLAN が設定されていればスイッチがポートにゲスト VLAN を割り当てます。

再認証が Session-Timeout RADIUS 属性(属性 [27])と Termination-Action RADIUS 属性(属性 [29])に基づいていて、Termination-Action RADIUS 属性(属性 [29])アクションが初期化の場合、(属性値は DEFAULT)、MAC 認証バイパス セッションが終了して、再認証中に接続が失われます。MAC 認証バイパスがイネーブルで 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再許可を初期化します。これらの AV ペアの詳細については、RFC 3580『 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 』を参照してください。

MAC 認証バイパスは、次の機能と相互作用します。

802.1X 認証 -- 802.1X 認証がポートでイネーブルの場合のみ、MAC 認証バイパスをイネーブルにできます。

ゲスト VLAN -- クライアントに無効な MAC アドレス ID がある場合、設定されていればスイッチがクライアントにゲスト VLAN を割り当てます。

制限 VLAN -- 802.1x ポートに接続されているクライアントが MAC 認証バイパスによって認証される場合、この機能はサポートされていません。

ポート セキュリティ -- 「ポート セキュリティのある 802.1X 認証の使用」を参照してください。

音声 VLAN -- 「音声 VLAN ポートのある 802.1X 認証の使用」を参照してください。

VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ) -- 802.1X および VMPS は相互に排他的です。

プライベート VLAN -- クライアントをプライベート VLAN に割り当てることができます。

Network Admission Control(NAC)レイヤ 2 IP 検証 -- 例外リスト内のホストを含む、802.1X ポートが MAC 認証バイパスで認証されたあとにこの機能が有効になります。

NAC レイヤ 2 IEEE 802.1X 検証の使用

Release 12.2(33)SXH 以降では、NAC レイヤ 2 IEEE 802.1X 検証がサポートされています。これは、アンチウィルス条件やエンドポイント システムまたはクライアントの ポスチャ をチェックしたあとに、装置にネットワーク アクセスを認可します。NAC レイヤ 2 IEEE 802.1X 検証は、認証済みポートを指定 VLANに割り当てることでポリシーの適用を実行します。これにより、レイヤ 2 で不適切なポスチャのホストを区分および検疫します。

NAC レイヤ 2 IEEE 802.1X 検証の設定は、RADIUS サーバ上でポスチャ トークンを設定する必要があることを除いて、802.1X ポートベースの認証の設定に似ています。 show dot1x 特権 EXEC コマンドを使用して、クライアントのポスチャを表示する NAC ポスチャ トークンを表示することができます。NAC レイヤ 2 IEEE 802.1X 検証の設定詳細については、「NAC レイヤ 2 IEEE 802.1X 検証の設定」を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

802.1X ポートベース認証の設定

ここでは、802.1X ポートベース認証の設定方法を説明します。

「802.1X ポートベース認証のデフォルト設定」

「802.1X 認証機能の設定時の注意事項」

「802.1X 認証のイネーブル化」

「スイッチと RADIUS サーバ間の通信設定」

「複数ホストのイネーブル化」

「定期的な再認証のイネーブル化」

「手動によるポート接続クライアントの再認証」

「ポート接続クライアント認証の初期化」

「802.1X クライアント情報の削除」

「802.1X タイムアウトの変更」

「スイッチとクライアント間のフレーム再送信回数の設定」

「再認証回数の設定」

「IEEE 802.1X アカウンティングの設定」

「ゲスト VLAN の設定」

「制限 VLAN の設定」

「アクセス不能認証バイパス機能の設定」

「WoL のある 802.1X 認証の設定」

「MAC 認証バイパスの設定」

「NAC レイヤ 2 IEEE 802.1X 検証の設定」

「ポート上での 802.1X 認証のディセーブル化」

「802.1X 設定のデフォルト値へのリセット」

802.1X ポートベース認証のデフォルト設定

表52-2 に、802.1X のデフォルト設定を示します。

 

表52-2 802.1X のデフォルト設定

機能
デフォルト設定

802.1X イネーブル ステートの切り換え

ディセーブル

ポート単位の 802.1X イネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

キー

指定なし

1812

指定なし

ホスト モード

シングルホスト モード

制御方向

双方向制御

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600 秒

再認証の回数

2 回(ポートが無許可ステートに変更される前にスイッチが再認証プロセスを再開する回数)

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30 秒(スイッチが EAP 要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2 回(スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームを送信する回数)

クライアント タイムアウト時間

30 秒(認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、サーバに応答を再送信するまでの時間)

無活動タイムアウト

ディセーブル

ゲスト VLAN

指定なし

アクセス不能認証バイパス

ディセーブル

制限 VLAN

指定なし

オーセンティケータ(スイッチ)モード

指定なし

MAC 認証バイパス

ディセーブル

802.1X 認証機能の設定時の注意事項

ここでは、次の機能の設定時の注意事項について説明します。

802.1X 認証

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

MAC 認証バイパス

802.1X 認証

以下は 802.1X 認証の設定時の注意事項です。

802.1X 認証をイネーブルにすると、ポートが認証されてから、他のレイヤ 2 機能またはレイヤ 3 機能がイネーブルになります。

802.1X 対応ポートのモードを(たとえばアクセスからトランクに)変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

802.1X 対応ポートが割り当てられている VLAN が変更される場合、この変更は透過的でスイッチに影響しません。たとえば、ポートが RADIUS サーバ割り当て VLAN に割り当てられてから再認証後に別の VLAN に割り当てられた場合に、この変更が発生します。

802.1X ポートが割り当てられている VLAN がシャットダウン、ディセーブル化、または削除された場合、ポートは無許可になります。たとえば、ポートが割り当てられたアクセス VLAN がシャットダウンまたは削除されたあとにポートが無許可になります。

802.1X プロトコルは、レイヤ 2 のスタティック アクセス ポート、音声 VLAN ポート、レイヤ 3 ルーテッド ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート -- トランク ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

ダイナミック ポート -- ダイナミック モードのポートは、ネイバーとネゴシエーションを実行してトランク ポートになることができます。ダイナミック ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

ダイナミック アクセス ポート -- ダイナミック アクセス(VLAN Query Protocol [VQP] で 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートをダイナミック VLAN 割り当てに変更しようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート -- アクティブまたは EtherChannel のまだアクティブになっていないメンバであるポートを 802.1X ポートとして設定しないでください。EtherChannel ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。


) Release 12.2(33)SXH 以前のソフトウェア リリースでは、まだアクティブになっていない EtherChannel のポートで 802.1X 認証をイネーブルにしても、そのポートは EtherChannel に加入しません。


Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および RSPAN 宛先ポート -- SPAN または RSPAN 宛先ポートであるポートで 802.1X 認証をイネーブルにすることができます。ただし、SPAN または RSPAN 宛先ポートとしてポートが削除されるまで 802.1X 認証はディセーブルです。SPAN または RSPAN 送信元ポートでは 802.1X 認証をイネーブルにできます。


) Release12.2(33)SXH 以前のソフトウェア リリースでは、802.1X 認証は音声 VLAN でサポートされません。


dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチで 802.1X 認証をグローバルでイネーブルにする前に、802.1X 認証および EtherChannel が設定されているインターフェイスから EtherChannel コンフィギュレーションを 削除します。

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパスの設定時の注意事項は以下のとおりです。

802.1X 認証がポートでイネーブルの場合、音声 VLAN と同じポート VLAN を設定することはできません。

VLAN 割り当てのある 802.1X 認証機能は、トランク ポート、ダイナミック ポート、および VMPS を介したダイナミックアクセス ポート割り当てでサポートされていません。

RSPAN VLAN 、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意の VLAN を 802.1X VLAN として設定できます。ゲスト VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートでサポートされておらず、アクセス ポートでのみサポートされています。

DHCP クライアントが接続されている 802.1X ポートのゲスト VLAN を設定したあとで、ホスト IP アドレスを DHCP サーバから取得する必要がある場合もあります。クライアント上の DHCP プロセスがタイムアウトして DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチで 802.1X 認証プロセスを再起動する設定を変更することができます。802.1X 認証プロセス( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)の設定を減らします。設定を減らす量は、接続されている 802.1X クライアント タイプによって変化します。

アクセス不能認証バイパス機能の設定時には、以下の注意事項に従ってください。

この機能は、シングルホスト モードおよびマルチホスト モードの 802.1X ポートでサポートされています。

クライアントが Windows XP を実行していてクライアントが接続されているポートがクリティカル認証ステートの場合、Windows XP はインターフェイスが認証されていないことを報告する可能性があります。

Widows XP クライアントが DHCP に設定されていて DHCP サーバからの IP アドレスがある場合、EAP-Success メッセージがクリティカル ポートに受信されても DHCP 設定プロセスで再初期化されません。

アクセス不能認証バイパス機能と制限 VLAN を 802.1X ポートに設定することができます。スイッチが制限 VLAN 内のクリティカル ポートを再認証しようとして、すべてのRADIUS サーバが利用不能な場合、スイッチはポート ステートをクリティカル認証ステートに変更して、制限 VLAN 内にとどめます。

アクセス不能認証バイパス機能とポートセキュリティを同じポートに設定できます。

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を 802.1X 制限 VLAN として設定できます。制限 VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートでサポートされておらず、アクセス ポートでのみサポートされています。

MAC 認証バイパス

以下は MAC 認証バイパスの設定時の注意事項です。

特記されている場合を除き、MAC 認証バイパスの注意事項は、802.1X 認証の注意事項と同じです。詳細については、「802.1X 認証」を参照してください。

MAC アドレスによりポートが許可されたあと、ポートから MAC 認証バイパスがディセーブルになっている場合、ポート ステートに影響はありません。

ポートが無許可ステートでクライアント MAC アドレスが認証サーバ データベースでない場合、ポートは無許可ステートのままになります。ただし、クライアント MAC アドレスがデータベースに追加された場合、スイッチが MAC 認証バイパスを使用してポートを再許可します。

ポートが許可ステートの場合、再許可が発生するまでポートはこのステートのままになります。

MAC 認証バイパスをルーテッド ポートで使用するために、MAC アドレス ラーニングがポートでイネーブルになっていることを確認してください。

Release 12.2(33)SXH 以降では、MAC 認証バイパスで接続されているものの非アクティブなホストのタイムアウト期間を設定することができます。範囲は 1 ~ 65535 秒です。タイムアウト値の設定後にポート セキュリティをイネーブルにしなければなりません。詳細については、「ポート セキュリティの設定」を参照してください。

802.1X 認証のイネーブル化

802.1X ポート ベース認証をイネーブルにするには、AAA をイネーブルにして認証方式リストを指定する必要があります。

方式リストは、ユーザ認証のためクエリー送信を行う手順と認証方式を記述したものです。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試行するまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。

VLAN 割り当てを可能にするために、AAA 許可をイネーブルにしてすべてのネットワーク関連サービス要求に対してスイッチを設定する必要があります。

802.1X AAA 処理は、次のようになります。

1. ユーザがスイッチ上のポートに接続します。

2. 認証が実行されます。

3. 必要に応じて、RADIUS サーバ設定に基づいて VLAN 割り当てがイネーブルになります。

4. スイッチが開始メッセージをアカウンティング サーバに送信します。

5. 必要に応じて再認証が実行されます。

6. 再認証結果に基づいてスイッチが一時的なアカウンティング アップデートをアカウンティング サーバに送信します。

7. ユーザがポートから切断されます。

8. スイッチが停止メッセージをアカウンティング サーバに送信します。

802.1X ポート ベースの認証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

Router(config)# no aaa new-model

AAA をディセーブルにします。

ステップ 2

Router(config)# aaa authentication dot1x { default } method1 [ method2 ... ]

802.1X ポート ベース認証方式リストを作成します。

authentication コマンドに名前付きリストが指定されていない場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用される方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して認証用にすべての RADIUS サーバのリストを使用します。

他のキーワードはコマンドライン ヘルプ ストリングで表示されていますが、 group radius キーワードのみがサポートされます。

Router(config)# no aaa authentication dot1x { default | list_name }

設定されている方式リストを消去します。

ステップ 3

Router(config)# dot1x system-auth-control

802.1X ポートベースの認証をグローバルにイネーブルにします。

Router(config)# no dot1x system-auth-control

802.1X ポートベースの認証をグローバルにディセーブルにします。

ステップ 4

Router(config)# aaa authorization network {default} group radius

(任意)スイッチを設定して、VLAN 割り当てなどの、すべてのネットワーク関連サービス要求のユーザ RADIUS 許可を使用します。

ステップ 5

Router(config)# radius-server host ip-address

RADIUS サーバの IP アドレスを指定します。

ステップ 6

Router(config)# radius-server key string

スイッチと、RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する、認証キーおよび暗号キーを指定します。

ステップ 7

Router(config)# interface type 2 slot/port

インターフェイス コンフィギュレーション モードを開始し、802.1X の認証をイネーブルにするインターフェイスを指定します。

ステップ 8

Router(config-if)# switchport mode access

前のステップで RADIUS サーバを設定した場合のみ、ポートをアクセス モードに設定します。

ステップ 9

Router(config-if)# dot1x port-control auto

インターフェイス上で 802.1X ポートベースの認証をイネーブルにします。

機能の相互作用の詳細については、「802.1X 認証機能の設定時の注意事項」を参照してください。

Router(config-if)# no dot1x port-control auto

インターフェイス上で 802.1X ポートベースの認証をディセーブルにします。

ステップ 10

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 11

Router# show dot1x all

設定を確認します。

表示の 802.1X Port Summary セクションの Status カラムを確認してください。 enabled というステータスは、ポート制御値が、 auto または force-unauthorized に設定されていることを意味します。

2.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 で AAA と 802.1X をイネーブルにする例を示します。

Router(config)# aaa new-model
Router(config)# aaa authentication dot1x default group radius
Router(config)# dot1x system-auth-control
Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show dot1x all
 
Sysauthcontrol Enabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
 
Dot1x Info for interface FastEthernet5/1
 
----------------------------------------------------
 
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = MULTI_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、次のいずれかによって識別されます。

ホスト名

ホスト IP アドレス

ホスト名と特定の UDP ポート番号

IP アドレスと特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(例えば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

RADIUS サーバ パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを含むように指定します。

Router(config)# no ip radius source-interface

RADIUS パケットが、以前に指定されたインターフェイスの IP アドレスを含まないようにします。

ステップ 2

Router(config)# radius-server host { hostname | ip_address }

スイッチに RADIUS サーバ ホスト名または IP アドレスを設定します。

複数の RADIUS サーバを使用する場合は、このコマンドを再度入力します。

Router(config)# no radius-server host { hostname | ip_address }

指定した RADIUS サーバを削除します。

ステップ 3

Router(config)# radius-server key string

スイッチと、RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する、認証キーおよび暗号キーを設定します。

RADIUS サーバ パラメータを設定する場合、次の点に注意してください。

hostname または ip_address には、リモート RADIUS サーバのホスト名または IP アドレスを指定します。

別のコマンドラインには、 key string を指定します。

key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証キーおよび暗号キーを指定します。キーは、RADIUS サーバで使用する暗号キーに一致するテキスト ストリングでなければなりません。

key string を指定する場合、キーの途中および末尾のスペースが利用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。キーは RADIUS デーモンで使用する暗号に一致している必要があります。

radius-server host グローバル コンフィギュレーション コマンドを使用して、タイムアウト、再送信回数、暗号キーの値を、すべての RADIUS サーバにグローバルに設定できます。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL の『 Cisco IOS Security Configuration Guide 』 Release 12.2、『 Cisco IOS Security Command Reference 』Release 12.2 を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/index.htm


) RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。


次に、スイッチで RADIUS サーバ パラメータを設定する例を示します。

Router(config)# ip radius source-interface Vlan80
Router(config)# radius-server host 172.l20.39.46
Router(config)# radius-server key rad123

複数ホストのイネーブル化

図52-5に示すように、1 つの 802.1X 対応ポートに複数のホストを接続することができます。このモードでは、接続されたホストのうち 1 つが許可に成功すれば、すべてのホストがネットワーク アクセスを認可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

802.1X 許可ポートで複数ホスト(クライアント)を許可するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 3 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x port-control auto

ポート上で 802.1X 認証をイネーブルにします。

ステップ 3

Router(config-if)# dot1x host-mode multi-host

802.1X 許可ポートで複数ホスト(クライアント)を許可します。

Router(config-if)# dot1x host-mode single-host

ポート上の複数のホストをディセーブルにします。

ステップ 4

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 5

Router# show dot1x interface type1 slot/port

設定を確認します。

3.type = fastethernetgigabitethernet、または tengigabitethernet

次に、インターフェイス FastEthernet 5/1 で 802.1X をイネーブルにし、複数のホストを許可する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x host-mode multi-host

定期的な再認証のイネーブル化

Release 12.3(33)SXH 以降のリリースでは、802.1X クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証期間を手動で指定したり、RADIUS サーバで指定されたセッションタイムアウト期間を使用することができます。期間を指定せずに再認証をイネーブルにする場合、再認証を行う間隔は 3600 秒です。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 4 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x reauthentication

クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。

Router(config-if)# no dot1x reauthentication

クライアントの定期的な再認証をディセーブルにします。

ステップ 3

Router(config-if)# dot1x timeout reauth-period [ seconds | server ]

再認証の間隔(秒)を設定します。

キーワードには次のような意味があります。

seconds -- 1 ~ 65535 の秒数を設定します。デフォルトは 3600 秒です。

server -- Session-Timeout RADIUS属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値に基づく秒数を使用します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

Router(config-if)# no dot1x timeout reauth-period

デフォルトの再許可の間隔に戻します。

ステップ 4

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 5

Router# show dot1x interface type slot/port

設定を確認します。

4.type = fastethernetgigabitethernet、または tengigabitethernet

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4,000 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x reauthentication
Router(config-if)# dot1x timeout reauth-period 4000

手動によるポート接続クライアントの再認証


) 再認証は、すでに許可されているポートのステータスには影響しません。


特定のポートに接続されているクライアントを手動で再認証するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# dot1x re-authenticate interface type 5 slot/port

ポートに接続されているクライアントを手動で再認証します。

ステップ 2

Router# show dot1x all

設定を確認します。

5.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントを手動で再認証する例を示します。

Router# dot1x re-authenticate interface fastethernet 5/1

ポート接続クライアント認証の初期化


) 認証の初期化により、既存の認証はディセーブルにしてから、ポートに接続されているクライアントを認証します。


ポートに接続されているクライアントの認証を初期化するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# dot1x initialize interface type 6 slot/port

ポートに接続されているクライアントの認証を初期化します。

ステップ 2

Router# show dot1x all

設定を確認します。

6.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントに対する認証を初期化する例を示します。

Router# dot1x initialize interface fastethernet 5/1

802.1X クライアント情報の削除

すべての既存サプリカントを完全にインターフェイスまたはスイッチ上の全インターフェイスから削除するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# clear dot1x interface type 7 slot/port

ポートに接続されているクライアントの 802.1X クライアント情報を削除します。

Router# clear dot1x all

すべてのポートに接続されているすべてのクライアントの 802.1X クライアント情報を削除します。

ステップ 2

Router# show dot1x all

設定を確認します。

7.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントに対する 802.1X クライアント情報を削除する例を示します。

Router# clear dot1x interface fastethernet 5/1

802.1X タイムアウトの変更

インターフェイス コンフィギュレーション モードで dot1x timeout {attribute} seconds コマンド形式を使用して複数の 802.1X タイムアウト属性を変更することができます。このセクションでは、待機時間タイムアウトを変更する詳細と、同じコマンド形式を使用した他の 802.1X タイムアウトを変更する方法について説明します。

待機時間の設定

スイッチがクライアントを認証できなかった場合は、スイッチは所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドはアイドル期間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 8 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 0 ~ 65535 です。デフォルトは 60 秒です。

Router(config-if)# no dot1x timeout quiet-period

デフォルトの待機時間に戻ります。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

8.type = fastethernetgigabitethernet、または tengigabitethernet

次に、スイッチの待機期間を 30 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout quiet-period 30
 

次に、スイッチでデフォルトの待機期間に戻す例を示します。

Router(config-if)# no dot1x timeout quiet-period
 

スイッチとクライアント間の再送信時間の設定

クライアントはスイッチからの EAP 要求/アイデンティティ フレームに対し、EAP 応答/アイデンティティ フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチが要求を再送信する前にクライアントからの EAP 要求/アイデンティティ フレームに対する応答を待機する時間を変更するには、インターフェイス コンフィギュレーション モードで dot1x timeout tx-period seconds コマンドを使用します。 スイッチ 指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 秒です。デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period コマンドを使用します。

次に、スイッチが EAP 要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout tx-period 60

スイッチとクライアント間の EAP 要求フレーム再送信時間の設定

クライアントは EAP 要求フレームを受信したことをスイッチに通知します。スイッチがこの通知を受信できなかった場合、スイッチは所定の時間だけ待機し、そのあとフレームを再送信します。

スイッチが通知を待機する時間を設定するには、インターフェイス コンフィギュレーション モードで dot1x timeout supp-timeout seconds コマンドを使用します。指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 秒です。デフォルトの再送信時間に戻すには、 no dot1x supp-timeout コマンドを使用します。

次に、スイッチからクライアントへの EAP 要求フレームの再送信時間を 25 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout supp-timeout 25

スイッチと認証サーバ間のレイヤ 4 パケット再送信時間の設定

認証サーバは、レイヤ 4 パケットを受信するたびにスイッチに通知します。スイッチがパケット送信後に通知を受信できない場合、スイッチは所定の時間だけ待機し、そのあとパケットを再送信します。

スイッチから認証サーバへのレイヤ 4 パケットの再送信値を設定するには、インターフェイス コンフィギュレーション モードで dot1x timeout server-timeout seconds コマンドを使用します。指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 秒です。デフォルトの再送信時間に戻すには、 no dot1x server-timeout コマンドを使用します。

次に、スイッチから認証サーバへのレイヤ 4 パケットの再送信時間を 25 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout server-timeout 25

スイッチとクライアント間のフレーム再送信回数の設定

スイッチとクライアント間の再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再開する前に、クライアントに EAP 要求/アイデンティティ フレームを送信する回数を変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 9 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x max-req count

スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルトは 2 です。

Router(config-if)# no dot1x max-req

デフォルトの再送信回数に戻ります。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

9.type = fastethernetgigabitethernet、または tengigabitethernet

次に、スイッチが認証プロセスを再開する前に、EAP 要求/アイデンティティ フレームを送信する回数を 5 に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x max-req 5

再認証回数の設定

ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数も変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 10 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x max-reauth-req count

ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数を設定します。指定できる範囲は 0 ~ 10 です。デフォルトは 2 です。

Router(config-if)# no dot1x max-reauth-req

デフォルトの再認証回数に戻ります。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

10.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数を 4 に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x max-reauth-req 4

IEEE 802.1X アカウンティングの設定

802.1X アカウンティングによる AAA システム アカウンティングをイネーブルにすることにより、ログ用のアカウンティング RADIUS サーバにシステム リロード イベントを送信することができます。その後、すべてのアクティブ 802.1X セッションがクローズしていることをサーバが判別できます。

RADIUS では信頼性の低い UDP 転送プロトコルを使用しているので、ネットワークの状況が貧弱であるためにアカウンティング メッセージが消失することもあります。設定可能なアカウンティング要求再送信数のあとにスイッチで RADIUS サーバからアカウンティング応答メッセージを受信してない場合、次のシステム メッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されないときには、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) 開始、停止、一時アップデート メッセージとタイムスタンプのロギングなど、アカウンティング タスクを実行するために RADIUS サーバを設定しなければなりません。これらの機能をオンにするには、RADIUS サーバの Network Configuration タブで「Update/Watchdog packets from this AAA client」のロギングをイネーブルにします。次に、RADIUSサーバの System Configuration タブで「CVS RADIUS Accounting」をイネーブルにします。


スイッチ上で AAA をイネーブルにしたあとで 802.1X アカウンティングを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して 802.1X アカウンティングをイネーブルにします。

ステップ 2

Router(config)# aaa accounting system default start-stop group radius

(任意)(すべての RADIUS サーバのリストを使用して)システム アカウンティングをイネーブルにして、スイッチ リロード時にシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 3

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show running-config

設定を確認します。

show radius statistics 特権 EXEC コマンドを使用して、アカウンティング応答メッセージを受信しない RADIUS メッセージ数を表示します。

次に、802.1X アカウンティングを設定する例を示します。最初のコマンドでは RADIUS サーバを設定し、アカウンティング用の UDP ポートとして 1813 を指定します。

Router(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Router(config)# aaa accounting dot1x default start-stop group radius
Router(config)# aaa accounting system default start-stop group radius

ゲスト VLAN の設定

Release 12.2(33)SXH 以降のリリースでは、ゲスト VLAN を設定する際に、サーバが EAP 要求/アイデンティティ フレームに対する応答を受信しない場合に、802.1X 対応ではないクライアントがゲスト VLAN に配置されます。802.1X 対応であるものの認証に失敗したクライアントはネットワーク アクセスを認可されません。ゲスト VLAN として動作する際に、設定されたポートのホスト モードに関係なくポートはマルチホスト モードで機能します。

ゲスト VLAN を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 11 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport mode access

or

Router(config-if)# switchport mode private-vlan host

ポートをアクセス モードに設定します。

または

ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 3

Router(config-if)# dot1x port-control auto

ポート上で 802.1X 認証をイネーブルにします。

ステップ 4

Router(config-if)# dot1x guest-vlan vlan-id

アクティブ VLAN を 802.1X ゲスト VLAN として指定します。範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X VLAN として設定することができます。

ステップ 5

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 6

Router# show dot1x interface type slot/port

設定を確認します。

11.type = fastethernetgigabitethernet、または tengigabitethernet

ゲスト VLAN をディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、802.1X ゲスト VLAN として VLAN 2 をイネーブルにする例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x guest-vlan 2
 

次に、スイッチにクライアント通知タイムアウトとして 3 秒を設定し、要求を再送信する前にスイッチがクライアントからの EAP 要求/アイデンティティ フレームに対する応答を待機する秒数として 15 を設定し、802.1X ポートが DHCP クライアントに接続される際に 802.1X ゲスト VLAN として VLAN 2 をイネーブルにする例を示します。

Router(config-if)# dot1x timeout supp-timeout 3
Router(config-if)# dot1x timeout tx-period 15
Router(config-if)# dot1x guest-vlan 2

制限 VLAN の設定

スイッチに制限 VLAN を設定する際に、認証サーバが有効なユーザ名とパスワードを受信しないときに 802.1X 準拠のクライアントは制限 VLAN に移動します。制限 VLAN として動作する際に、設定されたポートのホスト モードに関係なくポートはシングルホスト モードで機能します。

制限 VLAN を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 12 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport mode access

または

Router(config-if)# switchport mode private-vlan host

ポートをアクセス モードに設定します。

または

ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 3

Router(config-if)# dot1x port-control auto

ポート上で 802.1X 認証をイネーブルにします。

ステップ 4

Router(config-if)# dot1x auth-fail vlan vlan-id

アクティブ VLAN を 802.1X 制限 VLAN として指定します。範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X 制限 VLAN として設定することができます。

ステップ 5

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 6

Router# show dot1x interface type slot/port

設定を確認します。

12.type = fastethernetgigabitethernet、または tengigabitethernet

制限 VLAN をディセーブルにして削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、802.1X 制限 VLAN として VLAN 2 をイネーブルにする例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x auth-fail vlan 2
 

dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、ユーザが制限 VLAN に割り当てられる前に許可される認証試行最大回数を設定することができます。可能な認証試行回数の範囲は 1 ~ 3 で、デフォルトは 3 試行です。

許可されている認証試行最大回数を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 13 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport mode access

または

Router(config-if)# switchport mode private-vlan host

ポートをアクセス モードに設定します。

または

ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 3

Router(config-if)# dot1x port-control auto

ポート上で 802.1X 認証をイネーブルにします。

ステップ 4

Router(config-if)# dot1x auth-fail vlan vlan-id

アクティブ VLAN を 802.1X 制限 VLAN として指定します。範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X 制限 VLAN として設定することができます。

ステップ 5

Router(config-if)# dot1x auth-fail max-attempts max-attempts

ポートを制限 VLAN に移動する前に許可される認証試行回数を指定します。指定できる範囲は 1 ~ 3 です。デフォルトは 3 です。

ステップ 6

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show dot1x interface type slot/port

設定を確認します。

13.type = fastethernetgigabitethernet、または tengigabitethernet

デフォルト値に戻るには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが制限 VLAN に移動する前に許可される最大認証試行回数を 2 に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x auth-fail max-attempts 2

アクセス不能認証バイパス機能の設定

クリティカル認証または AAA 失敗ポリシーとも呼ばれるアクセス不能認証バイパス機能を設定することができます。

ポートをクリティカル ポートとして設定してアクセス不能認証バイパス機能をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# radius-server dead-criteria time time tries tries

(任意)RADIUS サーバが利用不能または 停止 と見なされるときを判別するのに使用される条件を設定します。

time の範囲は 1 ~ 120 秒です。スイッチは動的に 10 ~ 60 秒のデフォルト seconds 値を設定します。

tries の範囲は 1 ~ 100 です。スイッチは動的に 10 ~ 100 のデフォルト tries パラメータを設定します。

ステップ 2

Router(config)# radius-server deadtime minutes

(任意)RADIUS サーバが要求を送信しない分数を設定します。範囲はは 0 ~ 1440 分(24 時間)です。デフォルト値は 0 分です。

ステップ 3

Router(config)# radius-server host ip-address [ acct-port udp-port ] [ auth-port udp-port ] [ key string ] [ test username name [ idle-time time ] [ ignore-acct-port ] [ ignore-auth-port ]]

(任意)以下のキーワードを使用して RADIUS サーバ パラメータを設定します。

acct-port udp-port -- RADIUS アカウンティング サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 であり、デフォルトは 1646 です。

auth-port udp-port -- RADIUS 認証サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 であり、デフォルトは 1645 です。


) RADIUS アカウンティング サーバの UDP ポートおよび RADIUS 認証サーバの UDP ポートをデフォルト以外の値に設定します。


key string -- スイッチと RADIUS デーモンとの間のすべての RADIUS 通信用の認証および暗号キーを指定します。


radius-server key {0 string | 7 string | string} グローバル コンフィギュレーション コマンドを使用して認証および暗号キーを設定することも可能です。


test username name -- RADIUS サーバ ステータスの自動化テストをイネーブルにして、使用されるユーザ名を指定します。

idle-time time -- スイッチがサーバにテスト パケットを送信するまでの分数を設定します。有効値の範囲は 1 ~ 35791 分です。デフォルト値は 60 分(1 時間)です。

ignore-acct-port -- RADIUS サーバ アカウンティング ポートのテストをディセーブルにします。

ignore-auth-port -- RADIUS サーバ認証ポートのテストをディセーブルにします。

ステップ 4

Router(config)# dot1x critical { eapol | recovery delay milliseconds }

(任意)アクセス不能認証バイパスのパラメータを設定します。

eapol -- スイッチが正常にクリティカル ポートを認証する際にスイッチが送信する EAPOL-Success メッセージを指定します。

recovery delay milliseconds -- 利用不能な RADIUS サーバが利用可能になる際にクリティカル ポートを再初期化するためにスイッチが待機する間の回復遅延期間を設定します。有効値の範囲は 1 ~ 10000 ミリ秒です。デフォルトは 1000 ミリ秒です(ポートが毎秒再初期化可能になります)。

ステップ 5

Router(config)# interface type 14 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 6

Router(config-if)# dot1x critical [ recovery action reinitialize ]

アクセス不能認証バイパス機能をイネーブルにして、次のキーワードを使用して機能を設定します。

recovery action reinitialize -- 回復機能をイネーブルにして、認証サーバ利用可能時に回復機能でポートを認証するように指定します。

ステップ 7

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 8

Router# show dot1x [ interface type slot/port ]

設定を確認します。

14.type = fastethernetgigabitethernet、または tengigabitethernet

RADIUS サーバのデフォルト設定に戻るには、 no radius-server dead-criteria no radius-server deadtime 、および no radius-server host グローバル コンフィギュレーション コマンドを使用します。アクセス不能認証バイパスのデフォルト設定に戻すには、 no dot1x critical { eapol | recovery delay } グローバル コンフィギュレーション コマンドを使用します。アクセス不能認証バイパスをディセーブルにするには、 no dot1x critical インターフェイス コンフィギュレーション コマンドを使用します。

次に、アクセス不能認証バイパス機能を設定する例を示します。

Router(config)# radius-server dead-criteria time 30 tries 20
Router(config)# radius-server deadtime 60
Router(config)# radius-server host 1.1.1.2 acct-port 1550 auth-port 1560 key abc1234 test username user1 idle-time 30
Router(config)# dot1x critical eapol
Router(config)# dot1x critical recovery delay 2000
Router(config)# interface gigabitethernet 0/1
Router(config-if)# dot1x critical
Router(config-if)# dot1x critical recovery action reinitialize

WoL のある 802.1X 認証の設定

WoL のある 802.1X 認証をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 15 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x control-direction { both | in }

WoL のある 802.1X 認証をイネーブルにして、以下のキーワードを使用して双方向または単一方向としてポートを設定します。

both -- ポートを双方向に設定します。ポートはホストとのパケットの送受信を行うことができません。デフォルトで、ポートは双方向です。

in -- ポートを単一方向に設定します。ポートはホストにパケットを送信することができますが、ホストからパケットを受信することはできません。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x interface type slot/port

設定を確認します。

15.type = fastethernetgigabitethernet、または tengigabitethernet

WoL のある 802.1X 認証をディセーブルにするには、 no dot1x control-direction インターフェイス コンフィギュレーション コマンドを使用します。

次に、WoL のある 802.1X 認証をイネーブルにして、ポートを双方向に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x control-direction both

MAC 認証バイパスの設定

MAC 認証バイパスをイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 16 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x port-control {auto | force-authorized | force-unauthorized}

ポート上で 802.1X 認証をイネーブルにします。

キーワードには次のような意味があります。

auto -- 認証が成功するまで EAPOL トラフィックのみを許可します。

force-authorized -- すべてのトラフィックを許可し、認証は不要です。

force-unauthorized -- どのトラフィックも許可しません。

ステップ 3

Router(config-if)# dot1x mac-auth-bypass [ eap ]

MAC 認証バイパスをイネーブルにします。

(任意) eap キーワードを使用して、許可に EAP を使用するようにスイッチを設定します。

Router(config-if)# no dot1x mac-auth-bypass

MAC 認証バイパスをディセーブルにします。

ステップ 4

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 5

Router# show dot1x interface type slot/port

設定を確認します。

16.type = fastethernetgigabitethernet、または tengigabitethernet


) MAC 認証バイパスをルーテッド ポートで使用するために、MAC アドレス ラーニングがポートでイネーブルになっていることを確認してください。


次に、MAC 認証バイパスをイネーブルにする例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x mac-auth-bypass

NAC レイヤ 2 IEEE 802.1X 検証の設定

Cisco IOS Release 12.2(33)SXH 以降では、NAC レイヤ 2 IEEE 802.1X 検証を設定することができます。これは、RADIUS サーバのある 802.1X 認証とも呼ばれています。NAC レイヤ 2 IEEE 802.1X 設定は、ポスチャ トークンおよび VLAN 割り当てを使用した RADIUS サーバを設定する追加ステップを加えた802.1X 設定と同じです。

NAC レイヤ 2 IEEE 802.1X 検証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 17 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x port-control auto

ポート上で 802.1X 認証をイネーブルにします。

ステップ 3

Router(config-if)# dot1x reauthentication

クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。

ステップ 4

Router(config-if)# dot1x timeout reauth-period { seconds | server }

再認証の間隔(秒)を設定します。

キーワードには次のような意味があります。

seconds -- 1 ~ 65535 の秒数を設定します。デフォルトは 3600 秒です。

server -- Session-Timeout RADIUS属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値に基づく秒数を使用します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 6

Router# show dot1x interface type slot/port

802.1X 認証設定を確認します。NAC ポスチャ トークンが 802.1X 認証設定とともに表示されていることを確認します。

17.type = fastethernetgigabitethernet、または tengigabitethernet

次に、NAC レイヤ 2 IEEE 802.1X 検証を設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config)# dot1x port-control auto
Router(config-if)# dot1x reauthentication
Router(config-if)# dot1x timeout reauth-period server

ポート上での 802.1X 認証のディセーブル化

no dot1x pae インターフェイス コンフィギュレーション コマンドを使用して、ポート上の 802.1X 認証をディセーブルにすることができます。

ポート上の 802.1X 認証をディセーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 18 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# no dot1x pae

ポート上で 802.1X 認証をディセーブルにします。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x interface type slot/port

設定を確認します。

18.type = fastethernetgigabitethernet、または tengigabitethernet

802.1X をポートでイネーブルにするもののポートに接続されているクライアントを許可できないようにする 802.1X Port Access Entity(PAE)オーセンティケータとしてポートを設定するには、 dot1x pae authenticator インターフェイス コンフィギュレーション コマンドを使用します。

次にポート上で 802.1X 認証をディセーブルにする例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# no dot1x pae authenticator

802.1X 設定のデフォルト値へのリセット

802.1X 設定をデフォルト値に戻すには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 19 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x default

設定可能な 802.1X パラメータをデフォルト値にリセットします。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

19.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポートの 802.1X 認証設定をデフォルト値にリセットする例を示します。

 
Router(config)# interface gigabitethernet 3/27
Router(config-if)# dot1x default

802.1X ステータスの表示

スイッチのグローバルな 802.1X の管理ステータスおよび動作ステータスを表示したり、個別のポートの 802.1X 設定を表示したりするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# show dot1x [ all | interface type 20 slot/port ]

スイッチのグローバル 802.1X 管理ステータスおよび動作ステータスを表示します。

(任意) all キーワードを使用して、802.1X 認証を使用するすべてのインターフェイスのグローバル 802.1X ステータスと 802.1X 設定を表示します。

(任意) interface キーワードを使用して、特定のインターフェイスの 802.1X 設定を表示します。

20.type = fastethernetgigabitethernet、または tengigabitethernet

次に、グローバル 802.1X ステータスを表示する例を示します。

Router# show dot1x
Sysauthcontrol Disabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
 
Router#
 

次に、802.1X 認証を使用するすべてのインターフェイスのグローバル 802.1X ステータスと 802.1X 設定を表示する例を示します。

Router# show dot1x all
Sysauthcontrol Disabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
 
Dot1x Info for GigabitEthernet3/27
-----------------------------------
PAE = AUTHENTICATOR
PortControl = FORCE_AUTHORIZED
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
 
Router#
 

この出力に表示されるフィールドの詳細については、『 Cisco IOS Software Releases 12.2SX Command References 』を参照してください。