Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース12.2(33)SXH以降
IEEE 802.1X ポートベース認証の設定
IEEE 802.1X ポートベース認証の設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

IEEE 802.1X ポートベース認証の設定

802.1X ポートベース認証の概要

802.1X 装置のロールの概要

ポートベース認証プロセスの概要

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

802.1X ホスト モード

シングルホスト モード

マルチホスト モード

マルチドメイン認証モード

マルチ認証モード

認証前オープン アクセス

DHCP スヌーピングを使った 802.1X 認証の使用

802.1X アカウンティングの概要

802.1X アカウンティング AV ペア

VLAN 割り当てを使った 802.1X 認証の使用

VLAN 割り当てでの複数 VLAN および VLAN ユーザ分散の使用

ゲスト VLAN を使った 802.1X 認証の使用

制限 VLAN を使った 802.1X 認証の使用

アクセス不能認証バイパスを使った 802.1X 認証の使用

音声 VLAN ポートを使った 802.1X 認証の使用

ポート セキュリティを使った 802.1X 認証の使用

ACL 割り当ておよびリダイレクト URL を使った 802.1X 認証の使用

Cisco Secure ACS を使用したダウンロード可能 ACL

Filter-ID ACL

リダイレクト URL

ACL のスタティック共有

ポート ディスクリプタを使った 802.1X 認証の使用

MAC 認証バイパスを使った 802.1X 認証の使用

NAC レイヤ 2 IEEE 802.1X 検証の使用

NAC エージェントレス監査のサポート

Wake-on-LAN を使った 802.1X 認証の使用

802.1X ポートベース認証の設定

802.1X ポートベース認証のデフォルト設定

802.1X 認証機能の設定時の注意事項

802.1X 認証

802.1X ホスト モード

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

MAC 認証バイパス

Web ベース認証

802.1X 認証のイネーブル化

と RADIUS サーバ間の通信設定

802.1X オーセンティケータのホスト モードの設定

フォールバック認証のイネーブル化

定期的な再認証のイネーブル化

手動によるポート接続クライアントの再認証

ポート接続クライアント認証の初期化

802.1X クライアント情報の削除

認証セッションのクリア

802.1X タイムアウトの変更

待機時間の設定

とクライアント間の再送信時間の設定

とクライアント間の EAP 要求フレーム再送信時間の設定

と認証サーバ間のレイヤ 4 パケット再送信時間の設定

とクライアント間のフレーム再送信回数の設定

再認証回数の設定

IEEE 802.1X アカウンティングの設定

VLAN ユーザ分散の設定

ゲスト VLAN の設定

制限 VLAN の設定

アクセス不能認証バイパス機能の設定

MAC 認証バイパスの設定

NAC レイヤ 2 IEEE 802.1X 検証の設定

NAC エージェントレス監査のサポートの設定

DACL またはリダイレクト URL に関するの設定

WoL を使った 802.1X 認証の使用

ポート上での 802.1X 認証のディセーブル化

802.1X 設定のデフォルト値へのリセット

認証のステータスおよび情報の表示

802.1X ステータスの表示

認証の方式およびステータスの表示

MAC 認証バイパスのステータスの表示

IEEE 802.1X ポートベース認証の設定

この章では、許可されていない装置(クライアント)がネットワークにアクセスするのを防止するために、Cisco IOS リリース 12.2SX で IEEE 802.1X ポートベース認証を設定する手順について説明します。


) この章で使用しているコマンドの構文および使用方法の詳細については、次の URL の『Cisco IOS Master Command List, Release 12.2SX』を参照してください。

http://www.cisco.com/en/US/docs/ios/mcl/122sxmcl/12_2sx_mcl_book.html


 

この章で説明する内容は、次のとおりです。

「802.1X ポートベース認証の概要」

「802.1X ポートベース認証の設定」

「認証のステータスおよび情報の表示」

802.1X ポートベース認証の概要

IEEE 802.1X 標準は、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、スイッチ ポートに接続する各クライアントを認証したうえでポートを VLAN に割り当てて、スイッチや LAN によって提供されるサービスを利用できるようにします。

802.1X アクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)トラフィックだけが許可されます。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。

ここでは、Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)システムの一部として 802.1 X ポートベース認証のロールについて説明します。

「802.1X 装置のロールの概要」

「ポートベース認証プロセスの概要」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「802.1X ホスト モード」

「DHCP スヌーピングを使った 802.1X 認証の使用」

「802.1X アカウンティングの概要」

「VLAN 割り当てを使った 802.1X 認証の使用」

「VLAN 割り当てでの複数 VLAN および VLAN ユーザ分散の使用」

「ゲスト VLAN を使った 802.1X 認証の使用」

「制限 VLAN を使った 802.1X 認証の使用」

「アクセス不能認証バイパスを使った 802.1X 認証の使用」

「音声 VLAN ポートを使った 802.1X 認証の使用」

「ポート セキュリティを使った 802.1X 認証の使用」

「ACL 割り当ておよびリダイレクト URL を使った 802.1X 認証の使用」

「ポート ディスクリプタを使った 802.1X 認証の使用」

「MAC 認証バイパスを使った 802.1X 認証の使用」

「NAC レイヤ 2 IEEE 802.1X 検証の使用」

「Wake-on-LAN を使った 802.1X 認証の使用」

802.1X 装置のロールの概要

802.1X ポートベース認証では、図 53-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。

図 53-1 802.1X 装置のロール

 

図 53-1 に示す特定のロールは、次のとおりです。

クライアント :LAN およびスイッチ サービスへのアクセスを要求し、スイッチの要求に応答する装置(ワークステーション)。ワークステーション上では、802.1X に準拠するクライアント ソフトウェア(Microsoft Windows XP オペレーティング システムで提供されるクライアント ソフトウェアなど)が稼動している必要があります (クライアントは、IEEE 802.1X 規格では サプリカント といいます)。


) Windows XP のネットワーク接続および 802.1X ポートベース認証の問題に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。http://support.microsoft.com/kb/q303597/


認証サーバ :クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチサービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対しては透過的に行われます。認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけがサポートされています。この認証サーバは、Cisco Secure Access Control Server(ACS)バージョン 3.0 で使用可能です。RADIUS はクライアント サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ オーセンティケータ または バックエンド オーセンティケータ とも呼ばれます):Release 12.2(33)SXH 以降のリリースでは、クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介装置(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。

スイッチが EAPOL フレームを受信して認証サーバにリレーする際、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS フォーマットに再カプセル化されます。カプセル化では EAP フレームの変更または検証は行われず、認証サーバはネイティブ フレーム フォーマットの EAP をサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

ポートベース認証プロセスの概要

802.1X ポートベース認証をイネーブルにすると、次のようなイベントが発生します。

クライアントが 802.1X 準拠クライアント ソフトウェアをサポートしており、クライアントの ID が有効である場合、802.1X 認証は成功し、スイッチがクライアントに対してネットワークへのアクセスを認可します。

EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトした場合、スイッチは MAC Authentication Bypass(MAB; MAC 認証バイパス)や Web ベース認証(webauth)などのフォールバック認証方式を使用できます(いずれかまたは両方がイネーブルになっている場合)。

MAC 認証バイパスがイネーブルの場合、スイッチは許可のためにクライアントの MAC アドレスを AAA サーバにリレーします。クライアントの MAC アドレスが有効であれば、正常に許可され、スイッチがクライアントに対してネットワークへのアクセスを認可します。

Web ベース認証がイネーブルの場合、スイッチは HTTP ログイン ページをクライアントに送信します。スイッチは許可のためにクライアントのユーザ名とパスワードを AAA サーバにリレーします。ログインが成功すると、スイッチがネットワークに対するクライアント アクセスを認可します。


) 認証方式のデフォルトの順序は、802.1X、次に MAB、次に Web ベース認証です。順序は変更でき、これらの方式のいずれかをディセーブルにすることもできます。


フォールバック認証方式がイネーブルになっていない、または成功しない場合、ゲスト VLAN が設定されていれば、スイッチは限定的なサービスを提供するゲスト VLAN にクライアントを割り当てます。

スイッチが 802.1X 対応クライアントから無効な ID を受信した場合、制限 VLAN が指定されていれば、スイッチは限定的なサービスを提供する制限 VLAN にクライアントを割り当てることができます。

RADIUS 認証サーバが(ダウンして)利用できず、アクセス不能認証バイパスがイネーブルの場合、ユーザ指定のクリティカル VLAN 内でポートをクリティカル認証ステートにすることで、スイッチがクライアントに対してネットワークへのアクセスを認可します。


) アクセス不能認証バイパスは、クリティカル認証または AAA 失敗ポリシーとも呼ばれます。


図 53-2 に、認証プロセスを示します。

図 53-2 認証フローチャート

 

スイッチは、次のいずれかの状況が発生するとクライアントを再認証します。

定期再認証がイネーブルで、再認証タイマーが満了した場合。

スイッチ固有の値を使用するか、または RADIUS サーバからの値に基づいて、再認証タイマーを設定することができます。

RADIUS サーバを使用する 802.1X 認証の設定後、スイッチは Session-Timeout RADIUS属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])に基づくタイマーを使用します。

Session-Timeout RADIUS 属性(属性 [27])は、再認証が発生するまでの時間を指定します。

Termination-Action RADIUS 属性(属性 [29])は、再認証中に実行するアクションを指定します。アクションは、初期化と再認証です。初期化アクションが設定されている場合(属性値は DEFAULT)、802.1X セッションが終了して、再認証中に接続は失われます。再認証アクションが設定されている場合(属性値は RADIUS-Request)、再認証中にセッションは影響を受けません。

dot1x re-authenticate interface type slot/port 特権 EXEC コマンドを入力してクライアントを手動で再認証した場合(Cisco IOS Release 12.2(33)SXH 以前のリリース)。

認証の開始およびメッセージ交換

スイッチまたはクライアントのどちらからも、認証を開始できます。 dot1x pae authenticator および authentication port-control auto インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(33)SXH 以前のリリースでは dot1x port-control auto コマンド)を使用してポートでの認証をイネーブルにした場合、スイッチはポートのリンク ステートがダウンからアップに移行したと判断した時点で、認証を開始する必要があります。その場合、スイッチは EAP 要求/アイデンティティ フレームをクライアントに送信して識別情報を要求します(スイッチは通常、最初のアイデンティティ/要求フレームに続いて、認証情報に関する 1 つまたは複数の要求を送信します)。クライアントはフレームを受信すると、EAP 応答/アイデンティティ フレームで応答します。

ただし、クライアントがブートアップ時にスイッチから EAP 要求/アイデンティティ フレームを受信しなかった場合、クライアントは EAPOL 開始フレームを送信して認証を開始することができます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス装置で 802.1X がイネーブルに設定されていない、またはサポートされていない場合には、クライアントからの EAPOL フレームはすべてドロップされます。クライアントが認証の開始を 3 回試みても EAP 要求/アイデンティティ フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介装置としてのロールを開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、ポートは許可ステートになります。認証に失敗すると、認証が再試行されるか、ポートがサービスの限定された VLAN に割り当てられるか、ネットワーク アクセスが認可されません。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図 53-3 に、クライアントが RADIUS サーバとの間で One-Time Password(OTP; ワンタイム パスワード)認証方式を使用する場合に行われるメッセージ交換を示します。

図 53-3 メッセージ交換

 

EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトして MAC 認証バイパスがイネーブルの場合、スイッチでクライアントからのイーサネット パケットが検出されると、スイッチはクライアントを許可することができます。スイッチはクライアントの MAC アドレスを ID として使用して、この情報を RADIUS サーバに送信する RADIUS アクセス/要求フレームに組み込みます。サーバがスイッチに RADIUS アクセス/承認フレーム(正常に許可)を送信した後、ポートが許可されます。MAB 許可に失敗した場合、ゲスト VLAN が指定されていれば、スイッチはポートにゲスト VLAN を割り当てます。イーサネット パケットを待機中にスイッチで EAPOL パケットが検出された場合、スイッチは MAC 認証バイパス プロセスを停止して、802.1X 認証を開始します。

図 53-4 に、MAC 認証バイパス中のメッセージ交換を示します。

図 53-4 MAC 認証バイパス中のメッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートは、クライアントがネットワーク アクセスを認可されたかどうかを表します。ポートは最初、 無許可 ステートです。このステートでは、ポートは 802.1X プロトコル パケットを除くすべての入力および出力トラフィックを禁止します。クライアントの認証が成功すると、ポートは 許可 ステートに移行し、クライアントのすべてのトラフィック送受信を通常どおりに許可します。

802.1X 認証をサポートしていないクライアントが、無許可ステートの 802.1X ポートに接続すると、スイッチはそのクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

反対に、802.1X 対応のクライアントが、802.1X プロトコルの稼動していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないので、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

authentication port-control インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(33)SXH 以前のリリースでは dot1x port-control auto コマンド)および以下のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized :802.1X ポートベース認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに移行させます。ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。これがデフォルトの設定です。

force-unauthorized :クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチは、インターフェイスを介してクライアントに認証サービスを提供することができません。

auto :802.1X ポートベース認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、または EAPOL 開始フレームを受信したときに、認証プロセスが開始されます。スイッチは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは認可されません。

クライアントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。

802.1X ホスト モード

802.1X ポートのホスト モードによって、ポート上で複数のクライアントの認証が可能かどうかと、認証の実行方法が決まります。次の各項で説明する 4 つのホスト モードのいずれかを使用して、802.1X ポートを設定できます。さらに、各モードは、認証前オープン アクセスを許可するように変更される場合もあります。

「シングルホスト モード」

「マルチホスト モード」

「マルチドメイン認証モード」

「マルチ認証モード」

「認証前オープン アクセス」

シングルホスト モード

シングルホスト モード(図 53-1 を参照)では、802.1X 対応ポートには、クライアントが 1 つしか接続できません。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL フレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

マルチホスト モード

マルチホスト モードでは、1 つの 802.1X 対応ポートに複数のホストを接続することができます。図 53-5 に、ワイヤレス LAN 内の 802.1X ポートベース認証を示します。このモードでは、接続されたホストのうち 1 つが許可されれば、すべてのクライアントがネットワーク アクセスを認可されます。ポートが無許可ステートになると(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、スイッチは接続されたすべてのクライアントのネットワーク アクセスを拒否します。このトポロジでは、ワイヤレス アクセス ポイントが接続先クライアントの認証を処理し、スイッチに対するクライアントとしての役割を果たします。

マルチホスト モードがイネーブルの場合、802.1X 認証を使用してポートを認証し、ポート セキュリティを使用してクライアントの MAC アドレスを含むすべての MAC アドレスのネットワーク アクセスを管理することができます。

図 53-5 マルチホスト モードの例

 

マルチドメイン認証モード

Cisco IOS Release 12.2(33)SXI 以降のリリースで使用できる Multidomain Authentication(MDA; マルチドメイン認証)モードを使用すると、802.1X、MAC 認証バイパス(MAB)、または Web ベース認証(ホスト用のみ)を使用して、(シスコまたはサードパーティ製の)IP 電話と IP 電話の背後の単一ホストでそれぞれ独立して認証を実行できるようになります。この用途では、マルチドメインは 2 つのドメイン(データと音声)を意味し、ポートあたり 2 つの MAC アドレスだけが許可されます。スイッチではホストをデータ VLAN に、IP 電話を音声 VLAN に配置することができますが、これらは同じスイッチ ポート上にあるように見えます。データ VLAN 割り当ては、認証中に認証、許可、アカウンティング(AAA)サーバから受信された Vendor-Specific Attribute(VSA; ベンダー固有属性)から取得することができます。

図 53-6図 53-6 は、IP 電話の背後の単一ホストが 802.1X 対応ポートに接続されている一般的な MDA 使用例を示したものです。クライアントはスイッチに直接接続されていないので、クライアントの接続が切断された場合にスイッチはポート リンクの切断を検出できません。切断されたクライアントの確立済みの認証を別の装置が使用する可能性を防ぐために、より最近の Cisco IP 電話は、接続されたクライアントのポートのリンク ステートに変更があったことをスイッチに通知するために、Cisco Discovery Protocol(CDP)のホストの存在を示す Type Length Value(TLV)を送信します。

図 53-6 マルチドメイン認証モードの例

 

マルチ認証モード

Cisco IOS Release 12.2(33)SXI 以降のリリースで使用できるマルチ認証(multiauth)モードを使用すると、音声 VLAN 上で 1 つの 802.1X/MAB クライアント、データ VLAN 上で複数の認証済み 802.1X/MAB/Web ベース認証クライアントが可能になります。図 53-5 のように、ハブまたはアクセス ポイントが 802.1X ポートに接続される場合、マルチ認証モードでは、接続クライアントごとに認証を要求することで、マルチホスト モードよりもセキュリティが強化されます。802.1X 以外の装置では、個々のホストを認証するフォールバック方式として MAB または Web ベース認証を使用できるので、単一ポート上で異なるホストを異なる方式で認証することが可能になります。

また、マルチ認証では、認証サーバから受信した VSA に従って認証済み装置をデータ VLAN または音声 VLAN に割り当てることで、音声 VLAN での MDA 機能がサポートされます。

認証前オープン アクセス

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、4 つのホスト モードのいずれも、認証前に装置がネットワークにアクセスできるように追加設定することができます。この認証前オープン アクセスは、Pre-boot eXecution Environment(PXE)などのアプリケーションで便利です。この場合、デバイスはネットワークにアクセスして、認証クライアントを含むブート可能イメージをダウンロードする必要があります。

認証前オープン アクセスは、ホスト モードの設定後に authentication open コマンドを入力することでイネーブルになり、設定済みのホスト モードの拡張として機能します。たとえば、シングルホスト モードで認証前オープン アクセスをイネーブルにした場合、ポートでは 1 つの MAC アドレスだけが許可されます。認証前オープン アクセスをイネーブルにすると、ポート上の最初のトラフィックは、802.1X とは関係なく、ポートに設定されている他のどのようなアクセス制限でも制限されます。ポートに 802.1X 以外のアクセス制限が設定されていない場合、クライアント装置は設定されている VLAN 上でフル アクセスが可能です。

DHCP スヌーピングを使った 802.1X 認証の使用

Cisco IOS Release 12.2(33)SXH 以降のリリースでは、データ挿入による Dynamic Host Configuration Protocol(DHCP)スヌーピング Option 82 機能がイネーブルの場合、スイッチはクライアントの 802.1X 認証済みユーザ ID 情報を DHCP ディスカバリ プロセスに挿入することにより、DHCP サーバが異なる IP アドレス プールの IP アドレスを異なるエンドユーザのクラスに割り当てられるようにすることができます。この機能により、アカウンティング目的でエンド ユーザに付与する IP アドレスのセキュリティを確保することができ、レイヤ 3 基準に基づいてサービスを認可することができます。

サプリカントと RADIUS サーバとの間で 802.1X 認証が成功すると、スイッチはポートをフォワーディング ステートに設定し、RADIUS サーバから受信した属性を格納します。DHCP スヌーピングを実行中、スイッチは DHCP リレー エージェントとして機能し、DHCP メッセージを受信して、これらのメッセージを別のインターフェイスで送信するために再生成します。クライアントが 802.1X 認証後に DHCP ディスカバリ メッセージを送信すると、スイッチはパケットを受信します。スイッチは、保存されたクライアントの RADIUS 属性を含む RADIUS 属性サブオプション セクションをパケットに追加します。そのあとスイッチは再びディスカバリ ブロードキャストを送信します。DHCP サーバは変更された DHCP ディスカバリ パケットを受信して、IP アドレス リースの作成時に認証済みユーザ ID 情報を使用することができます(設定されている場合)。ユーザと IP アドレスは、1 対 1、1 対多、多対多でマッピングできます。1 対多のマッピングを使用すれば、同一ユーザを複数ポートの 802.1X ホストで認証できます。

スイッチは、802.1X 認証機能とデータ挿入による DHCP スヌーピング Option 82 機能がイネーブルになると、自動的に認証済みユーザ ID 情報を挿入します。データ挿入による DHCP スヌーピング Option 82 を設定するには、「DHCP スヌーピングの Option 82 データ挿入」を参照してください。

RADIUS 属性サブオプションに挿入されるデータの詳細については、RFC 4014『Remote Authentication Dial-In User Service (RADIUS) Attributes Suboption for the Dynamic Host Configuration Protocol (DHCP) Relay Agent Information Option』を参照してください。

802.1X アカウンティングの概要

IEEE 802.1X 標準には、ネットワーク アクセスに対するユーザの許可と認証方法は定義されていますが、ネットワークの使用状況を追跡するものではありません。IEEE 802.1X アカウンティングは、デフォルトでディセーブルに設定されています。Release 12.2(33)SXH 以降のリリースでは、802.1X アカウンティングをイネーブルにして 802.1X 対応ポートで次のアクティビティをモニタすることができます。

ユーザの正常な認証

ユーザのログオフ

リンクダウンの発生

再認証の正常な発生

再認証の失敗

スイッチは IEEE 802.1X アカウンティング情報を記録しません。代わりに、この情報を RADIUS サーバに送信します。RADIUS サーバはアカウンティング メッセージを記録するように設定する必要があります。

802.1X アカウンティング AV ペア

RADIUS サーバに送信される情報は、Attribute-Value(AV)のペア形式で表されます。これらの AV ペアは、さまざまなアプリケーションにデータを提供します (たとえば、課金アプリケーションは RADIUS パケットの Acct-Input-Octets または Acct-Output-Octets 属性にある情報を必要とする場合があります)。

AV ペアは、802.1X アカウンティング用に設定されたスイッチによって自動的に送信されます。3 種類の RADIUS アカウンティング パケットがスイッチによって送信されます。

START:新規ユーザ セッションの開始時に送信されます。

INTERIM:既存のセッション中にアップデートのために送信されます。

STOP:セッション終了時に送信されます。

表 53-1 は AV ペアの一覧で、スイッチによって送信されるタイミングを示しています。

 

表 53-1 アカウンティング AV ペア

属性番号
AV ペア名
START
INTERIM
STOP

属性 [1]

User-Name

常時

常時

常時

属性 [4]

NAS-IP-Address

常時

常時

常時

属性 [5]

NAS-Port

常時

常時

常時

属性 [8]

Framed-IP-Address

なし

状況による1

状況による 1

属性 [25]

Class

常時

常時

常時

属性 [26]

Vendor-Specific2

--

--

--

属性 [30]

Called-Station-ID

常時

常時

常時

属性 [31]

Calling-Station-ID

常時

常時

常時

属性 [40]

Acct-Status-Type

常時

常時

常時

属性 [41]

Acct-Delay-Time

常時

常時

常時

属性 [42]

Acct-Input-Octets

なし

なし

常時

属性 [43]

Acct-Output-Octets

なし

なし

常時

属性 [44]

Acct-Session-ID

常時

常時

常時

属性 [45]

Acct-Authentic

常時

常時

常時

属性 [46]

Acct-Session-Time

なし

なし

常時

属性 [49]

Acct-Terminate-Cause

なし

なし

常時

属性 [61]

NAS-Port-Type

常時

常時

常時

1.Framed-IP-Address AV ペアは、DHCP スヌーピング バインディング テーブル内のホストに対して有効な DHCP バインディングが存在する場合にだけ送信されます。

2.ベンダー固有属性(VSA)は、他の 802.1X 機能によって使用されます。

debug radius accounting 特権 EXEC コマンドを入力すると、スイッチによって送信される AV ペアを表示できます。このコマンドの詳細については、次の URL の『 Cisco IOS Debug Command Reference 』Release 12.2 を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2/debug/command/reference/122debug.html

AV ペアの詳細については、RFC 3580『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

VLAN 割り当てを使った 802.1X 認証の使用

ポートの 802.1X 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信してポートを設定します。RADIUS サーバはデータベースにユーザ名と VLAN マッピングを維持し、ポートに接続されたクライアントのユーザ名に基づいて VLAN を割り当てます。この機能を使用して特定ユーザのネットワーク アクセスを制限することができます。

スイッチと RADIUS サーバ上で設定された場合、VLAN 割り当てを使った 802.1X 認証には次のような特性があります

802.1X 認証がポートでイネーブルになっており、RADIUS サーバからのすべての情報が有効である場合、ポートは認証後に RADIUS サーバが割り当てた VLAN に配置されます。

マルチホスト モードが 802.1X ポートでイネーブルになっている場合、ポート上のすべてのホストが、最初に認証されたホストと同じ RADIUS サーバが割り当てた VLAN に配置されます。

マルチ認証モードが 802.1X ポートでイネーブルになっている場合、VLAN 割り当ては無視されます。

RADIUS サーバから VLAN 番号が提供されなかった場合、認証の成功後にポートは アクセス VLAN 内に設定されます。アクセス VLAN は、アクセス ポートに割り当てられた VLAN です。このポートで送受信されたすべてのパケットがこの VLAN に属します。

802.1X 認証がイネーブルになっていても、RADIUS サーバからの VLAN 情報が有効でない場合は、ポートは無許可ステートに戻り、設定されたアクセス VLAN に残ります。これにより、設定エラーのために、ポートが不適切な VLAN に予期せず認識されることを防止できます。

設定エラーには、ルーテッド ポートへの VLAN 指定、誤りのある VLAN ID、存在しないまたは内部(ルーテッド ポート)の VLAN ID、音声 VLAN ID への割り当ての試行などが含まれる可能性があります。

802.1X 認証がポートでディセーブルになっている場合、ポートは設定済みアクセス VLAN に戻されます

ポートが強制許可、強制無許可、無許可、またはシャットダウン ステートの場合、ポートは設定済みアクセス VLAN に配置されます。

802.1X ポートが認証され、RADIUS サーバが割り当てた VLAN に配置された場合、ポートのアクセス VLAN 設定に対する変更はすべて有効になりません。

VLAN 割り当て機能を使った 802.1X 認証は、トランク ポート上、ダイナミック ポート上、および VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)を介したダイナミックアクセス ポート割り当てではサポートされません。

VLAN 割り当てを設定するには、次の作業を行います


ステップ 1 network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。

ステップ 2 802.1X 認証をイネーブルにします。

ステップ 3 アクセス ポートでの 802.1X 認証を設定すると、VLAN 割り当て機能は自動的にイネーブルになります。

ステップ 4 RADIUS サーバでベンダー固有トンネル属性を割り当てます。RADIUS サーバは次の属性をスイッチに戻す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

属性 [64] には必ず値 VLAN (タイプ 13)が含まれていなければいけません。属性 [65] には必ず値 802 (タイプ 6)が含まれていなければいけません。属性 [81] は 802.1X 認証済みユーザに割り当てられた VLAN 名 または VLAN ID を指定します。


 

VLAN 割り当てでの複数 VLAN および VLAN ユーザ分散の使用

Cisco IOS Release 12.2(33)SXI1 以降のリリースでは、RADIUS が提供する VLAN 割り当てにより、802.1X 認証済みユーザを複数の VLAN 間で分散することで、ロード バランシングを実現できます。

以前のリリースでは、RADIUS サーバが認証中のユーザの割り当て用に提供できるのは、1 つの VLAN 名または ID でした。Cisco IOS Release 12.2(33)SXI1 以降のリリースでは、RADIUS サーバは複数の VLAN 名および ID、または複数の VLAN を含む VLAN グループの名前を提供できます。次の 2 つの方法のいずれかを使用して、異なる VLAN 間のユーザのロード バランシングを行います。

認証中のユーザに対する応答の一部として複数の VLAN ID または VLAN 名を送信するように、RADIUS サーバを設定します。802.1X VLAN ユーザ グループ機能は、特定の VLAN のユーザを追跡し、新たに認証されたユーザを、RADIUS が提供する VLAN ID の追加数が最も少ない VLAN に配置することで、ロード バランシングを実現します。

「VLAN 割り当てを使った 802.1X 認証の使用」に記載された手順を実行します(次の例外を除く)。

属性 [81] Tunnel-Private-Group-ID は、複数の VLAN 名または VLAN ID を指定します。

複数の VLAN を含む VLAN グループを定義します。認証中のユーザに対する応答の一部として、VLAN ID の代わりに VLAN グループ名を提供するように、RADIUS サーバを設定します。提供された VLAN グループ名が定義済みの VLAN グループ名の中に見つかった場合、新たに認証されたユーザは、VLAN グループ内でユーザ追加数が最も少ない VLAN に配置されます。

「VLAN 割り当てを使った 802.1X 認証の使用」に記載された手順を実行します(次の例外を除く)。

属性 [81] Tunnel-Private-Group-ID は、定義済みの VLAN グループ名を指定します。

詳細については、「VLAN ユーザ分散の設定」を参照してください。

ゲスト VLAN を使った 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、スイッチの各 802.1X ポートにゲスト VLAN を設定し、802.1X クライアント ソフトウェアのダウンロードなど、802.1X に準拠していないクライアントに対して限定的なサービスを提供できます。これらのクライアントは、802.1X 認証用にシステムをアップグレードする可能性がありますが、Windows 98 システムなど、ホストの中には 802.1X に対応していないものもあります。

802.1X ポート上でゲスト VLAN をイネーブルにすると、スイッチが EAP 要求/アイデンティティ フレームに対する応答を受信しない場合や、EAPOL パケットがクライアントから送信されず、フォールバック認証方式がイネーブルになっていない場合に、スイッチはクライアントをゲスト VLAN に割り当てます。

さらに、スイッチは EAPOL パケット履歴を維持します。リンクのライフタイム中に EAPOL パケットがインターフェイスで検出された場合、スイッチはそのインターフェイスに接続されている装置が 802.1X 対応のサプリカントであると判断し、インターフェイスはゲスト VLAN ステートには変化しません。インターフェイスのリンク ステータスがダウンになると EAPOL パケット履歴はクリアされます。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用して、EAPOL パケット履歴に関係なくインターフェイスをゲスト VLAN ステートに変更できるようにします。つまり、そのインターフェイスの前のホストが 802.1X 対応であっても、802.1X 非対応のホストがゲスト VLAN に割り当てられます。


) インターフェイスがゲスト VLAN に変更されたあとで EAPOL パケットが検出された場合、インターフェイスは無許可ステートに戻り、802.1X 認証が再開されます。


ポートがゲスト VLAN に移動されると、802.1X 非対応クライアントは数に制限なくアクセスを許可されます。ゲスト VLAN が設定されているのと同じポートに 802.1X 対応クライアントが加入した場合、ポートはユーザ設定のアクセス VLAN で無許可ステートになり、認証が再開されます。

802.1X ゲスト VLAN として動作する際、ポートに設定されたホスト モードに関係なく、ポートはマルチホスト モードで機能します。

RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X ゲスト VLAN として設定できます。ゲスト VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートではサポートされておらず、アクセス ポートでだけサポートされています。

スイッチは Release12.2(33)SXH 以降のリリースで MAC 認証バイパスをサポートしています。MAC 認証バイパスが 802.1X ポートでイネーブルになっている場合、EAPOL メッセージ交換の待機中に 802.1X 認証がタイムアウトした際にスイッチはクライアント MAC アドレスに基づいてクライアントを許可することができます。802.1X ポートでクライアントを検出したあと、スイッチはクライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいてユーザ名とパスワードとともに RADIUS アクセス/要求フレームを認証サーバに送信します。正常に許可された場合、スイッチはクライアントにネットワークへのアクセスを認可します。許可に失敗した場合、ゲスト VLAN が指定されていれば、スイッチはポートをゲスト VLAN に割り当てます。

詳細については、「MAC 認証バイパスを使った 802.1X 認証の使用」および「ゲスト VLAN の設定」を参照してください。

制限 VLAN を使った 802.1X 認証の使用

認証に失敗してゲスト VLAN にアクセスできないクライアント向けに限定的なサービスを提供するために、スイッチ上の各 802.1X ポートに制限 VLAN( 認証失敗 VLAN とも呼ばれます)を設定できます。これらのクライアントは 802.1X 準拠で、認証プロセスに失敗しているため別の VLAN にアクセスすることができません。制限 VLAN により、ユーザ(一般的に企業への訪問者)が認証サーバ内の有効な認定証なしに制限されたサービス セットにアクセスすることができます。管理者は、制限 VLAN で利用可能なサービスを制御することができます。


) 両方のタイプのユーザに同じサービスを提供する場合、1 つの VLAN をゲスト VLAN と制限 VLAN の両方に設定することができます。


この機能がないと、クライアントは認証の試行と失敗をいつまでも繰り返すことになり、ポートがスパニング ツリーのブロッキング ステートのままになります。この機能を使用すると、指定された回数の認証試行のあと、ポートが制限 VLAN となるように設定することができます。

オーセンティケータはクライアントの認証試行失敗回数をカウントします。RADIUS サーバが Access-Reject EAP 失敗または EAP パケットのない空の応答で応答すると、試行失敗カウントが増加します。このカウントが設定された最大認証試行数を超過すると、ポートは制限 VLAN に移動し、失敗試行カウンタはリセットされ、失敗したクライアントからの後続の EAPOL 開始メッセージは無視されます。

認証に失敗したユーザは、次にスイッチが再認証を試行するまで制限 VLAN に残ります。制限 VLAN のポートは、設定された間隔(デフォルトで 60 秒)で再認証を試行します。再認証に失敗した場合、ポートは制限 VLAN に残ります。再認証に成功した場合、ポートは設定された VLAN または RADIUS サーバによって送信される VLAN に移動します。再認証はディセーブルにすることができます。ディセーブルにした場合、認証プロセスを再開する唯一の方法は、ポートでリンク ダウンまたは EAP ログオフ イベントを受信することです。クライアントがハブを介して接続される可能性がある場合、再認証をイネーブルのままにしておくことを推奨します。クライアントがハブから切断されると、ポートがリンク ダウンや EAP ログオフ イベントを受信しない可能性があります。

802.1X 制限 VLAN として動作する際、ポートに設定されたホスト モードに関係なく、ポートはシングルホスト モードで機能します。認証に失敗したクライアントだけが、そのポートでアクセスを許可されます。例外として、MDA モードで設定されたポートは、制限 VLAN からの音声サプリカントを認証できます。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を 802.1X 制限 VLAN として設定することができます。制限 VLAN 機能はルーテッド ポートやトランク ポートではサポートされておらず、アクセス ポートでだけサポートされています

この機能はポート セキュリティと連動します。ポートが許可されると同時に、MAC アドレスがポート セキュリティに提供されます。ポート セキュリティがその MAC アドレスを許可しない場合、または最大セキュア アドレス カウントに達した場合、ポートは無許可になり、errdisable ステートになります。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)、DHCP スヌーピング、IP ソース ガードなどの他のポート セキュリティ機能は、制限 VLAN で個別に設定可能です。

詳細については、「制限 VLAN の設定」を参照してください。

アクセス不能認証バイパスを使った 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、スイッチが設定された RADIUS サーバに到達できずにホストを認証することができない場合、クリティカル ポートに接続されているホストがネットワーク アクセスを可能にするようにスイッチを設定できます。クリティカル ポートは、アクセス不能認証バイパス機能がイネーブルになっています。この機能はクリティカル認証または AAA 失敗ポリシーとも呼ばれます。

この機能がイネーブルになっていると、スイッチがクリティカル ポートに接続されているホストを認証しようとするたびにスイッチは設定済み RADIUS サーバのステータスをチェックします。サーバが利用可能な場合、スイッチはホストを認証することができます。ただし、すべての RADIUS サーバが利用できない場合、スイッチはホストへのネットワーク アクセスを認可し、ポートを認証ステートの特殊なケースであるクリティカル認証ステートにします。

アクセス不能認証バイパス機能の動作は、ポートの許可ステートによって異なります。

クリティカル ポートに接続されているホストが認証を試行する際にポートが無許可ですべてのサーバが利用できない場合、スイッチはユーザ指定のクリティカル VLAN 内でポートをクリティカル認証ステートにします。

ポートがすでに許可済みで再認証が行われた場合、スイッチは現在の VLAN(RADIUS サーバによって以前に割り当てられた可能性があるもの)で、クリティカル ポートをクリティカル認証ステートにします。

認証情報の交換中に RADIUS サーバが利用不能になった場合、現在の交換はタイムアウトし、次の認証試行中にスイッチがクリティカル ポートをクリティカル認証ステートにします。

ホストを認証できる RADIUS サーバが利用可能な場合、クリティカル認証ステートのすべてのクリティカル ポートは自動的に再認証されます。

アクセス不能認証バイパスは、次の機能と相互作用します。

ゲスト VLAN:アクセス不能認証バイパスは、ゲスト VLAN と互換性があります。ゲスト VLAN が 802.1X ポートでイネーブルになっていると、この機能は次のように相互作用します。

少なくとも 1 つの RADIUS サーバが利用可能な場合、スイッチが EAP 要求/アイデンティティ フレームに対する応答を受信しないときや EAPOL パケットがクライアントから送信されないときに、スイッチはクライアントをゲスト VLAN に割り当てます。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されている場合、スイッチはクライアントを認証して、ユーザ指定のクリティカル VLAN 内でクリティカル ポートをクリティカル認証ステートにします。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されていない場合、ゲスト VLAN が設定されているとスイッチはクライアントをゲスト VLAN に割り当てることはできません。

すべての RADIUS サーバが利用不能でクライアントがクリティカル ポートに接続されていて、すでにゲスト VLAN に割り当てられている場合、スイッチはポートをゲスト VLAN のままにしておきます。

制限 VLAN:ポートがすでに制限 VLAN で許可されていて、RADIUS サーバが利用不能な場合、スイッチは制限 VLAN 内でクリティカル ポートをクリティカル認証ステートにします。

802.1X アカウンティング:RADIUS サーバが利用不能な場合でもアカウンティングには影響しません。

プライベート VLAN:プライベート VLAN ホスト ポート上にアクセス不能認証バイパスを設定できます。アクセス VLAN は、セカンダリ プライベート VLAN である必要があります。

音声 VLAN:アクセス不能認証バイパスは音声 VLAN と互換性がありますが、RADIUS 設定またはユーザ指定のアクセス VLAN と音声 VLAN を別にする必要があります。

Remote Switched Port Analyzer(RSPAN; リモート スイッチド ポート アナライザ):RSPAN VLAN を、アクセス不能認証バイパスの RADIUS 設定またはユーザ指定アクセス VLAN として設定しないでください。

音声 VLAN ポートを使った 802.1X 認証の使用

Multi-VLAN Access Port(MVAP; マルチ VLAN アクセス ポート)は、2 つの VLAN に属しているポートです。音声 VLAN ポートは、ポートの音声トラフィックとデータ トラフィックを異なる VLAN に分離することのできる MVAP です。音声 VLAN ポートは、2 つの VLAN ID に関連付けされています。

IP 電話との間で音声トラフィックをやりとりする Voice VLAN Identifier(VVID; 音声 VLAN ID)。VVID は、ポートに接続された IP 電話を設定するために使用されます。

IP 電話を介して、スイッチに接続されているワークステーションとの間でデータ トラフィックをやりとりする Port VLAN identifier(PVID; ポート VLAN ID)。PVID は、ポートのネイティブ VLAN です。

Release 12.2(33)SXH 以前のリリースでは、シングルホスト モードのスイッチは単一ホストからのトラフィックを受け入れて、音声トラフィックは受け入れることができませんでした。マルチホスト モードでは、スイッチはクライアントがプライマリ VLAN で認証されるまで音声トラフィックを受け入れなかったので、ユーザがログインするまで IP 電話を使用できませんでした。

Release 12.2(33)SXH 以降のリリースでは、IP 電話はポートの許可ステートに関係なく音声トラフィックに VVID を使用しています。これにより、802.1X 認証から独立して IP 電話が動作することができます。

シングルホスト モードでは、IP 電話だけが音声 VLAN で許可されます。マルチホスト モードでは、サプリカントが PVID で認証されたあとに追加のクライアントが音声 VLAN 上でトラフィックを送信することができます。マルチホスト モードがイネーブルの場合、サプリカント認証は PVID と VVID の両方に影響します。

IP 電話を認識するために、スイッチは、ポートの許可ステートに関係なくポート上の CDP トラフィックを許可します。リンクがある場合、音声 VLAN ポートがアクティブになり、IP 電話からの最初の CDP メッセージのあとに装置の MAC アドレスが表示されます。Cisco IP Phone は他の装置からの CDP メッセージをリレーしません。その結果、複数の IP 電話が直列で接続されている場合、スイッチは直接接続されている 1 台だけを認識します。802.1X 認証が音声 VLAN ポートでイネーブルになっている場合、スイッチは 2 ホップ以上離れた認識されない IP 電話からのパケットをドロップします。

802.1X 認証がポートでイネーブルになっている場合、音声 VLAN と同じポート VLAN を設定できません。


) 音声 VLAN が設定され、Cisco IP Phone が接続されているアクセス ポートでの 802.1X 認証をイネーブルにした場合、Cisco IP Phone のスイッチとの接続が最大 30 秒間切断されます。


音声 VLAN 設定の詳細については、「Cisco IP Phone サポートの設定」を参照してください。

ポート セキュリティを使った 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、シングルホストまたはマルチホスト モードのどちらでも、ポート セキュリティを備えた 802.1X ポートを設定できます ( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティも設定する必要があります)。ポート上でのポート セキュリティと 802.1X 認証をイネーブルにすると、802.1X 認証によってポートが認証され、ポート セキュリティによって、クライアントのものを含むすべての MAC アドレスのネットワーク アクセスが管理されます。その場合、802.1X ポートを介してネットワークにアクセス可能なクライアント数またはクライアント グループを制限することができます。

スイッチ上における 802.1X 認証とポート セキュリティ間の相互作用の例には、次のようなものがあります。

クライアントが認証されて、ポート セキュリティ テーブルがフルになっていない場合、クライアント MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。次に、ポートが通常どおりアクティブになります。

クライアントが認証されて手動でポート セキュリティが設定された場合、セキュア ホスト テーブル内のエントリは保証されます。

クライアントが認証されてもポート セキュリティ テーブルがフルの場合は、セキュリティ違反が発生します。セキュリティ違反は、セキュア ホストの最大数がスタティックに設定されている場合や、クライアントがセキュア ホスト テーブルで期限切れの場合に発生する可能性があります。クライアントのアドレスが期限切れになった場合、そのクライアントのセキュア ホスト テーブル内の位置には他のホストが入る可能性があります。

いずれかのホストでセキュリティ違反が発生した場合、ポートは errdisable ステートになり、ただちにシャット ダウンされます。

セキュリティ違反発生時のアクションは、ポートのセキュリティ違反モードによって決まります。詳細については、「ポートでのポート セキュリティ違反モードの設定」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、802.1X クライアント アドレスをポート セキュリティ テーブルから手動で削除する場合、dot1x re-authenticate interface type slot/port 特権 EXEC コマンドを使用して 802.1X クライアントを再認証する必要があります。

802.1X クライアントがログオフすると、ポートが未認証ステートに変更され、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。その後、通常の認証が実行されます。

ポートが管理上シャット ダウンされた場合、ポートは未認証になり、すべてのダイナミック エントリがセキュア ホスト テーブルから削除されます。

ポート セキュリティと音声 VLAN は、シングルホスト モードまたはマルチホスト モードのいずれの場合でも 802.1X ポート上で同時に設定可能です。ポート セキュリティは、音声 VLAN ID(VVID)およびポート VLAN ID(PVID)の両方に適用されます。

スイッチ上でポート セキュリティをイネーブルにする場合の詳細については、「ポート セキュリティの設定」を参照してください。

ACL 割り当ておよびリダイレクト URL を使った 802.1X 認証の使用

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、802.1X、MAB、または Web ベース認証情報の交換終了時に RADIUS Access-Accept パケットで ACL やリダイレクト URL などのホスト単位のポリシーを認証サーバ(AS)からスイッチにダウンロードできます。

ホスト単位のポリシーは、認証中に次のようにアクティブ化されます。

Downloadable ACL(DACL; ダウンロード可能 ACL)は Cisco Secure ACS に定義され、VSA を使用して ACS からスイッチにダウンロードされます。

Filter-ID ACL はスイッチ上に定義され、ACL 名だけが RADIUS Filter-ID 属性を使用して AS からスイッチにダウンロードされます。Filter-ID ACL は Cisco IOS Release 12.2(33)SXI2 以降のリリースでサポートされています。

リダイレクション URL と ACL 名は、VSA を使用して ACS からスイッチにダウンロードされます。リダイレクション ACL はスイッチ上に定義されます。

ホスト単位のポリシーの設定については、「DACL またはリダイレクト URL に関するスイッチの設定」を参照してください。

Cisco Secure ACS を使用したダウンロード可能 ACL

ホスト認証が成功したあと、Cisco Secure ACS は、VSA を使用して ACL をスイッチにダウンロードすることができます。スイッチは DACL を、ホストが接続されているポート上のデフォルト ACL と結合します。DACL 定義は認証サーバ上にあるので、この機能により、集中型のポリシー管理が可能になります。

DACL の定義方法については、Cisco Secure ACS で次の 2 つの方法が提供されています。

ダウンロード可能 IP ACL

DACL のダウンロードは ACS の設定で [Assign IP ACL] を選択することでイネーブルになり、DACL は ACS の [Downloadable IP ACL Content] メニューで定義されます。DACL のサイズには制限がありません。

ユーザ単位の ACL

Cisco IOS Release 12.2(33)SXI2 以降のリリースでは、ACS は CiscoSecure-Defined-ACL [009\001 cisco-av-pair] VSA を使用して DACL を送信できます。DACL 全体が 1 つの RADIUS パケットで送信されるので、最大サイズは RADIUS パケットの最大サイズである 4096 バイトに制限されます。DACL は次の形式を使用して ACS 上に定義する必要があります。

protocol :inacl# sequence_number = ace

次に例を示します。

ip:inacl#10=permit ip any 67.2.2.0 0.0.0.255
 

DACL の使用時には、次の注意事項が適用されます。

すべての ACE の送信元アドレスは ANY として定義しておく必要があります。

ポートの 802.1X ホスト モードが MDA またはマルチ認証の場合、DACL は認証済みホストの IP アドレスを送信元アドレスとして使用するように変更されます。ホスト モードがシングルホストまたはマルチホストの場合、送信元アドレスは ANY として設定され、ダウンロードされた ACL またはリダイレクトがポート上のすべての装置に適用されます。

ホストの認証中に DACL が提供されなかった場合、ポートに設定されたデフォルトのスタティック ACL がホストに適用されます。音声 VLAN ポートでは、ポートのデフォルトのスタティック ACL だけが電話に適用されます。

Filter-ID ACL

Cisco IOS Release 12.2(33)SXI2 以降のリリースでは、ホスト認証が成功したあと、認証サーバは VSA ではなく RADIUS Filter-ID 属性(属性 [11])を使用して、拡張 ACL の名前だけを次の形式でスイッチに送信します。

acl_name .in

末尾の「.in」は、ACL が入力方向に適用される必要があることを示します。

この方法では、ACL はスイッチ上に定義しておく必要があります。スイッチは、Filter-ID 属性値を、ローカルに設定された ACL の中で Filter-ID と同じ名前または番号を持つものと照合します(たとえば、Filter-ID=101.in は拡張番号付き ACL 101 と一致し、Filter-ID= guest.in は名前付き拡張 ACL「guest」と一致します)。その後は指定された ACL がポートに適用されます。ACL 定義はスイッチ上にあるので、この機能により、ポリシーのローカル バリエーションが可能になります。

Filter-ID ACL の使用時には、次の注意事項が適用されます。

DACL 使用時の注意事項は Filter-ID ACL にも当てはまります。

Filter-ID 属性は、番号(100 ~ 199、または 2000 ~ 2699)または名前になります。

リダイレクト URL

ホスト認証が成功したあと、Cisco Secure ACS は、VSA を使用して、認証済みホストからの HTTP または HTTPS 要求を代行受信およびリダイレクトするための情報をスイッチにダウンロードすることができます。ACS はリダイレクション ACL および URL をダウンロードします。ホストからの HTTP または HTTPS 要求が、ダウンロードされた ACL と一致した場合、ホストの Web ブラウザはダウンロードされたリダイレクション URL にリダイレクトされます。

ACS は次の cisco-av-pair VSA を使用してリダイレクションを設定します。

url-redirect-acl

この AV ペアは、リダイレクトする HTTP または HTTPS トラフィックを指定する ACL の名前または番号を示します。ACL はスイッチ上に定義しておく必要があり、送信元アドレスは ANY として定義しておく必要があります。この結果、リダイレクト ACL 内の許可エントリに一致するトラフィックがリダイレクトされます。

url-redirect

この AV ペアには、Web ブラウザのリダイレクト先となる HTTP または HTTPS URL が含まれます。

ACL のスタティック共有

多くのインターフェイスに同じ PACL および VLAN ベース機能がある場合は、 mls acl tcam share-acl グローバル コンフィギュレーション コマンドを使用してスタティック共有機能をイネーブルにすることができます。スタティック共有を使用すると、PACL と継承した VLAN ベース機能 ACL の 1 つのコピーだけが TCAM に保存され、すべてのポートが同じ ACL セットを使用するので、より多くの ACL 用に TCAM スペースが解放されます。スタティック共有をイネーブルにすると、スイッチは、次のいずれかのイベントが発生したときに、スタティック共有のために設定済みまたはイネーブルになっているすべてのインターフェイスを評価します。

mls acl tcam share-acl コマンドが入力されたとき。

インターフェイスが設定されたとき。

インターフェイス上でステートの変化が発生したとき。

スタティック共有をイネーブルにする際には、次の注意事項および制約事項を考慮してください。

スタティック共有は、IPv6 がイネーブルになっているインターフェイスではサポートされません。

スタティック共有は、PFC3A 以前のスーパーバイザ エンジン、または PFC3A 以下のモードで実行されているシステムではサポートされません。

スタティック共有は NAC または 802.1X DACL 機能が設定されたアクセス モードのスイッチ ポートでだけサポートされます。

スタティック共有は、QOS(VLAN ベースの QoS を除く)がイネーブルになっているスイッチ ポートではサポートされません。

802.1X を DACL とともに使用する際には、ポートが認証サーバの応答によってダイナミックに設定されたときにスタティック共有の評価が開始されるのを回避するために、 platform hardware acl dynamic setup static コマンドを実行することを推奨します。スタティック共有の評価は、ポート/ホストのリンクアップ時間に影響を及ぼす場合があります。

フォールバック認証がアクティブになっている 802.1X インターフェイスは、フォールバック認証がイネーブルでない、またはアクティブでないインターフェイスと一緒にスタティック共有グループを形成できません。

ポート ディスクリプタを使った 802.1X 認証の使用

Release 12.2(33)SXI 以降のリリースでは、RADIUS サーバ上で Cisco ベンダー固有属性(VSA) aaa:supplicant-name を設定することにより、説明テキストを 802.1X クライアントの認証情報に関連付けることができます。ポート上でクライアントの 802.1X 認証が正常に進行している間に、スイッチは RADIUS サーバから Access-Accept パケットの一部として説明情報を受信し、ポートに対して show interface users コマンドが入力されたときに、この情報を表示します。ポートが複数の認証済みホストをサポートするモードの場合は、すべての認証済みホストの識別情報がポートの説明とともに表示されます。

MAC 認証バイパスを使った 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、MAC 認証バイパス機能を使用してクライアント MAC アドレスに基づいてクライアントを許可(図 53-4を参照)するようにスイッチを設定できます。たとえば、プリンタなどの装置に接続されている 802.1X ポートで、この機能をイネーブルにすることができます。

クライアントからの EAPOL 応答を待機している間に 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパスを使用してクライアントを許可しようとします。

MAC 認証バイパス機能が 802.1X ポートでイネーブルになっていると、スイッチは MAC アドレスをクライアントの ID として使用します。認証サーバにはネットワーク アクセスを許可されたクライアント MAC アドレスのデータベースがあります。802.1X ポートでクライアントを検出したあと、スイッチはクライアントからのイーサネット パケットを待機します。スイッチは、MAC アドレスに基づいてユーザ名とパスワードとともに RADIUS アクセス/要求フレームを認証サーバに送信します。正常に許可された場合、スイッチはクライアントにネットワークへのアクセスを認可します。許可に失敗した場合、ゲスト VLAN が設定されていればスイッチはポートにゲスト VLAN を割り当てます。

リンクのライフタイム中に EAPOL パケットがインターフェイスで検出された場合、スイッチはそのインターフェイスに接続されている装置が 802.1X 対応のサプリカントであると判断し、(MAC 認証バイパスではなく)802.1X 認証を使用してインターフェイスを許可します。インターフェイスのリンク ステータスがダウンになると EAPOL 履歴はクリアされます。

スイッチがすでに MAC 認証バイパスを使用してポートを許可しており、802.1X サプリカントを検出した場合、スイッチはポートに接続されているクライアントを許可します。再認証が発生した際、Termination-Auction RADIUS 属性が DEFAULT であるために前のセッションが終了した場合は、スイッチは 802.1X 認証を優先再認証プロセスとして使用します。

MAC 認証バイパスで許可されたクライアントを再認証することができます。再認証プロセスは、802.1X で認証されたクライアントに対するプロセスと同じです。再認証中は、ポートは前に割り当てられた VLAN に残ります。再認証に成功した場合、スイッチは同じ VLAN 内にポートを保持します。再認証に失敗した場合、ゲスト VLAN が設定されていれば、スイッチはポートをゲスト VLAN に割り当てます。

再認証が Session-Timeout RADIUS 属性(属性 [27])と Termination-Action RADIUS 属性(属性 [29])に基づいており、Termination-Action RADIUS 属性(属性 [29])のアクションが初期化の場合、(属性値は DEFAULT)、MAC 認証バイパス セッションが終了して、再認証中に接続が切断されます。MAC 認証バイパスがイネーブルで 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再許可を開始します。これらのAV ペアの詳細については、RFC 3580『IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines』を参照してください。

MAC 認証バイパスは、次の機能と相互作用します。

802.1X 認証:802.1X 認証がポートでイネーブルの場合にだけ、MAC 認証バイパスをイネーブルにできます。

ゲスト VLAN:クライアントの MAC アドレス ID が無効な場合、設定されていれば、スイッチはゲスト VLAN にクライアントを割り当てます。

制限 VLAN:802.1x ポートに接続されているクライアントが MAC 認証バイパスによって認証される場合、この機能はサポートされません。

ポート セキュリティ:「ポート セキュリティを使った 802.1X 認証の使用」を参照してください。

音声 VLAN:「音声 VLAN ポートを使った 802.1X 認証の使用」を参照してください。

VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ):802.1X および VMPS は相互に排他的です。

プライベート VLAN:クライアントをプライベート VLAN に割り当てることができます。

Network Admission Control(NAC)レイヤ 2 IP 検証:例外リスト内のホストを含む、802.1X ポートが MAC 認証バイパスで認証されたあとにこの機能が有効になります。

NAC レイヤ 2 IEEE 802.1X 検証の使用

Cisco IOS Release 12.2(33)SXH 以降では、NAC レイヤ 2 IEEE 802.1X 検証がサポートされています。これは、装置にネットワーク アクセスを認可する前に、エンドポイント システムまたはクライアントのアンチウイルスの状態や ポスチャ をチェックします。NAC レイヤ 2 IEEE 802.1X 検証は、認証済みポートを指定の VLANに割り当てることでポリシーの適用を実行します。これにより、レイヤ 2 で不適切なポスチャのホストを区分および検疫します。

NAC レイヤ 2 IEEE 802.1X 検証の設定は、RADIUS サーバ上でポスチャ トークンを設定する必要があることを除いて、802.1X ポートベース認証の設定に似ています。 show dot1x 特権 EXEC コマンドを使用して、クライアントのポスチャを表示する NAC ポスチャ トークンを表示することができます。NAC レイヤ 2 IEEE 802.1X 検証の設定については、「NAC レイヤ 2 IEEE 802.1X 検証の設定」を参照してください。

NAC の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

NAC エージェントレス監査のサポート

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、MAB サポートが Cisco NAC 監査アーキテクチャに追加されています。これは、Cisco Trust Agent(CTA)を実行しておらず、NAC クエリーに応答できないクライアントのアンチウイルス ポスチャをチェックするために外部監査サーバを使用するものです。エージェントレス クライアントの アンチウイルス ポスチャを監査およびレポートするためには、NAC 監査サーバはクライアントの IP アドレスと、そのクライアントがスイッチに接続するための一意のセッション ID を持っている必要があります。エージェントレス クライアントのための NAC 監査アーキテクチャをサポートするには、スイッチはクライアントの IP アドレスをスヌーピングし、エージェントレス クライアント用に一意のセッション ID を作成して割り当て、この情報を RADIUS サーバに渡して NAC 監査サーバと共有できるようにする必要があります。

MAB はレイヤ 2 で動作するので、MAB オーセンティケータは通常、サプリカントの IP アドレスを認識していません。また、サプリカントが最初にオーセンティケータと接触する際、サプリカントには IP アドレスがない可能性があります。DHCP が割り当てた IP アドレスを必要とするサプリカントは、認証の前に DHCP サーバへのアクセスを許可される必要があります。MAB オーセンティケータがサプリカントの IP アドレスを学習できるようにするには、スイッチ上で ARP と DHCP スヌーピングをイネーブルにする必要があります。IP アドレスと一意のセッション ID 情報を NAC 監査サーバと共有できるようにするには、特定の RADIUS 属性の送信をイネーブルにする必要があります。「NAC エージェントレス監査のサポートの設定」を参照してください。

クライアントの IP アドレスと一意のセッション ID は、次の RADIUS cisco-av-pair ベンダー固有属性(VSA)を使用して、RADIUS Access-Request および Access-Accept 内で共有されます。

Cisco-AVPair="identity-request= ip-address "

ip-address は、ARP または DHCP スヌーピングを使用してスイッチが取得したクライアントの IP アドレスです。

Cisco-AVPair="audit-session-id= audit session id string "

audit session id string は、スイッチによってネットワーク アクセス サーバ(NAS)の IP アドレス、セッション カウント、およびセッション開始タイムスタンプから引き出された一意の 96 ビット ID の UTF-8 エンコーディングです。

Wake-on-LAN を使った 802.1X 認証の使用

Release 12.2(33)SXH 以降のリリースでは、Wake-on-LAN(WoL)機能を使った 802.1X 認証により、スイッチがマジック パケットと呼ばれる特定のイーサネット フレームを受信したときに休止 PC の電源をオンにすることができます。この機能は、管理者が電源オフの状態のシステムに接続する必要のある環境で使用できます。

WoL を使用するホストが 802.1X ポートを介して接続されていてホストの電源がオフの場合、802.1X ポートは無許可になります。そのポートは EAPOL パケットしか送受信できないため、WoL マジック パケットはホストに到達できません。PC の電源がオフになると、PCは許可されず、スイッチ ポートはオープンになりません。

スイッチが WoL を使った 802.1X 認証を使用すると、スイッチはマジック パケットを含むトラフィックを無許可 802.1X ポートに転送します。ポートが無許可である間、スイッチは EAPOL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信できますが、ネットワーク内の他の装置にパケットを送信できません。


) PortFast がポートでイネーブルになっていない場合、ポートは強制的に双方向ステートになります。


authentication control-direction in インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(33)SXH 以前のリリースでは dot1x control-direction in コマンド)を使用してポートを単一方向に設定すると、ポートはスパニング ツリー フォワーディング ステートに変わります。ポートはホストにパケットを送信できますが、ホストからはパケットを受信できません。

authentication control-direction both インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(33)SXH 以前のリリースでは dot1x control-direction both コマンド)を使用してポートを双方向に設定すると、そのポートは双方向でアクセス制御されます。ポートはホストとの間でパケットを送受信しません。

802.1X ポートベース認証の設定

ここでは、802.1X ポートベース認証の設定方法を説明します。

「802.1X ポートベース認証のデフォルト設定」

「802.1X 認証機能の設定時の注意事項」

「802.1X 認証のイネーブル化」

「スイッチと RADIUS サーバ間の通信設定」

「802.1X オーセンティケータのホスト モードの設定」

「フォールバック認証のイネーブル化」

「定期的な再認証のイネーブル化」

「手動によるポート接続クライアントの再認証」

「ポート接続クライアント認証の初期化」

「802.1X クライアント情報の削除」

「認証セッションのクリア」

「802.1X タイムアウトの変更」

「スイッチとクライアント間のフレーム再送信回数の設定」

「再認証回数の設定」

「IEEE 802.1X アカウンティングの設定」

「ゲスト VLAN の設定」

「制限 VLAN の設定」

「アクセス不能認証バイパス機能の設定」

「MAC 認証バイパスの設定」

「NAC レイヤ 2 IEEE 802.1X 検証の設定」

「NAC エージェントレス監査のサポートの設定」

「DACL またはリダイレクト URL に関するスイッチの設定」

「WoL を使った 802.1X 認証の使用」

「ポート上での 802.1X 認証のディセーブル化」

「802.1X 設定のデフォルト値へのリセット」

802.1X ポートベース認証のデフォルト設定

表 53-2 に、802.1X のデフォルト設定を示します。

 

表 53-2 802.1X のデフォルト設定

機能
デフォルト設定

802.1X イネーブル ステートの切り換え

ディセーブル

ポート単位の 802.1X イネーブル ステート

ディセーブル(force-authorized)

ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。

AAA

ディセーブル

RADIUS サーバ

IP アドレス

UDP 認証ポート

キー

指定なし

1812

指定なし

ホスト モード

シングルホスト モード

制御方向

双方向制御

定期的な再認証

ディセーブル

再認証の間隔(秒)

3600 秒

再認証の回数

2 回(ポートが無許可ステートに変更される前にスイッチが再認証プロセスを再開する回数)

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)

再送信時間

30 秒(スイッチが EAP 要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2 回(スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームを送信する回数)

クライアント タイムアウト時間

30 秒 (認証サーバからの要求をクライアントにリレーするとき、 スイッチが 応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、サーバに応答を再送信するまでの時間

無活動タイムアウト

ディセーブル

ゲスト VLAN

指定なし

アクセス不能認証バイパス

ディセーブル

制限 VLAN

指定なし

オーセンティケータ(スイッチ)モード

指定なし

MAC 認証バイパス

ディセーブル

コマンドによってディセーブルになることはありません。

802.1X 認証機能の設定時の注意事項

ここでは、次の機能の設定時の注意事項について説明します。

802.1X 認証

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

MAC 認証バイパス

802.1X 認証

802.1X 認証を設定する場合は、次の注意事項に留意してください。

802.1X 認証をイネーブルにすると、ポートが認証されてから、他のレイヤ 2 機能またはレイヤ 3 機能がイネーブルになります。

802.1X 対応ポートのモードを(たとえばアクセスからトランクに)変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

Cisco IOS Release 12.2(33)SXH 以降のリリースでは、同じポートにポート セキュリティと 802.1X ポートベース認証を設定できます。両方を同時に設定することは推奨できません。

802.1X 対応ポートが割り当てられている VLAN が変更される場合、この変更は透過的でスイッチに影響しません。たとえば、RADIUS サーバが割り当てた VLAN に割り当てられているポートが、再認証後に別の VLAN に割り当てられた場合に、この変更が発生します。

802.1X ポートが割り当てられている VLAN がシャット ダウン、ディセーブル化、または削除された場合、ポートは無許可になります。たとえば、ポートが割り当てられたアクセス VLAN がシャット ダウンまたは削除されたあとにポートが無許可になります。

802.1X プロトコルは、レイヤ 2 のスタティック アクセス ポート、音声 VLAN ポート、レイヤ 3 ルーテッド ポートではサポートされますが、次のポート タイプではサポートされません。

トランク ポート:トランク ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバーとネゴシエーションを実行してトランク ポートになることができます。ダイナミック ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示されてポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。802.1X 対応ポートをダイナミック VLAN 割り当てに変更しようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:EtherChannel のアクティブ メンバーであるポートまたはまだアクティブになっていないポートを 802.1X ポートとして設定しないでください。EtherChannel ポートで 802.1X 認証をイネーブルにしようとすると、エラー メッセージが表示され、802.1X 認証はイネーブルになりません。


) Release 12.2(33)SXH 以前のソフトウェア リリースでは、まだアクティブになっていない EtherChannel のポートで 802.1X 認証をイネーブルにしても、そのポートは EtherChannel に加入しません。


Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)およびリモート SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートで 802.1X 認証をイネーブルにすることができます。ただし、SPAN または RSPAN 宛先ポートとしてポートが削除されるまで 802.1X 認証はディセーブルです。SPAN または RSPAN 送信元ポートでは 802.1X 認証をイネーブルにできます。


) Release12.2(33)SXH 以前のソフトウェア リリースでは、802.1X 認証は音声 VLAN ポートでサポートされません。


dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力してスイッチで 802.1X 認証をグローバルでイネーブルにする前に、802.1X 認証および EtherChannel が設定されているインターフェイスから EtherChannel 設定を 削除します。

認証されていないホストからのトラフィックはすべてスイッチ プロセッサに転送されるので、このトラフィックにレート制限を適用することを推奨します。

802.1X ホスト モード

どのホスト モードを設定する場合でも、次の注意事項に留意してください。

ポート上でホスト モードが変更されると、ほとんどの場合、そのポート上の既存の 802.1X 認証は削除されます。ただし、シングルホスト モードから他のモードへの変更時とマルチドメイン モードからマルチ認証モードへの変更時は例外です。これら 2 つの場合は、既存の 802.1X 認証が維持されます。

Cisco IOS Release 12.2(33)SXI 以降のリリースで authentication open インターフェイス コンフィギュレーション コマンドを入力した場合、ポート上で新たに検出された MAC アドレスはすべて、認証が成功する前でも、ネットワークに対する無制限のレイヤ 2 アクセスが許可されます。このコマンドを使用する場合は、デフォルトのスタティック ACL を使用して レイヤ 3 トラフィックを制限する必要があります。詳細については、「認証前オープン アクセス」を参照してください。

マルチホスト モードを設定する場合は、次の注意事項に留意してください。

マルチホスト ポートが無許可ステートになった場合(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)には、接続されたすべてのクライアントがネットワーク アクセスを拒否されます。

MDA ホスト モードを設定する場合は、次の注意事項に留意してください。

サードパーティ製の IP 電話の MAC アドレスは、最初はデータ VLAN に割り当てられます。タグ付き音声パケットが確認されると、装置はデータ VLAN から削除され、音声 VLAN に配置されます。

マルチ認証ホスト モードを設定する場合は、次の注意事項に留意してください。

マルチ認証ポートの 1 つのクライアントが無許可ステートになった場合(再認証が失敗した場合、またはそのクライアントから EAPOL ログオフ メッセージを受信した場合)、接続された他のクライアントの許可ステータスは変更されません。

RADIUS が割り当てた VLAN は、マルチ認証ポートではサポートされません。1 つの データ VLAN しか持つことができないためです。認証サーバが VLAN 関連の属性を送信した場合、認証は成功しますが、VLAN 割り当ては無視されます。

データ VLAN では複数のホストが許可されますが、音声 VLAN で許可されるホストは 1 つだけです。1 つの IP 電話が認証されている場合、同じポートの他の IP 電話は認証を拒否されます。

マルチ認証ポートでは、ゲスト VLAN、認証失敗 VLAN、またはクリティカル VLAN はサポートされません。

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパス

VLAN 割り当て、ゲスト VLAN、制限 VLAN、およびアクセス不能認証バイパスを設定する場合は、次の注意事項に留意してください。

802.1X 認証がポートでイネーブルになっている場合、音声 VLAN と同じポート VLAN を設定できません。

VLAN 割り当て機能を使った 802.1X 認証は、トランク ポート上、ダイナミック ポート上、および VMPS を介したダイナミックアクセス ポート割り当てではサポートされません。

RSPAN VLAN 、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意の VLAN を 802.1X ゲスト VLAN として設定できます。ゲスト VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートではサポートされておらず、アクセス ポートでだけサポートされています。

DHCP クライアントが接続されている 802.1X ポートのゲスト VLAN を設定したあとで、ホスト IP アドレスを DHCP サーバから取得する必要がある場合もあります。クライアント上の DHCP プロセスがタイムアウトして DHCP サーバからホスト IP アドレスを取得しようとする前に、スイッチで 802.1X 認証プロセスを再開する設定を変更することができます。802.1X 認証プロセス( dot1x timeout quiet-period および dot1x timeout tx-period インターフェイス コンフィギュレーション コマンド)の設定を減らします。設定を減らす量は、接続されている 802.1X クライアントのタイプによって異なります。

802.1X VLAN ユーザ分散機能を設定する場合は、次の注意事項に従ってください。

最大 100 の VLAN グループを設定でき、1 つの VLAN グループに最大 4094 の VLAN をマッピングできます。

1 つの VLAN を複数の VLAN グループにマッピングできます。

VLAN グループにはゲスト VLAN、クリティカル VLAN、または制限 VLAN をマッピングできます。

VLAN グループ名を guest VLAN、critical VLAN、または restricted VLAN として指定できません。

VLAN グループは VLAN を追加または削除することで 変更できますが、少なくとも 1 つの VLAN が VLAN グループにマッピングされている必要があります。VLAN グループから最後の VLAN を削除すると、その VLAN グループは削除されます。

VLAN グループ名から既存の VLAN を削除した場合、その VLAN にあるポートの認証ステータスは取り消されませんが、マッピングは既存の VLAN グループから削除されます。

既存の VLAN グループ名を削除した場合、そのグループ内の VLAN にあるポートの認証ステータスは取り消されませんが、その VLAN グループへの VLAN マッピングは削除されます。

アクセス不能認証バイパス機能を設定する場合は、次の注意事項に従ってください。

アクセス不能認証バイパス機能は、シングルホスト モード、マルチホスト モード、および MDA モードの 802.1X ポートでサポートされます。

Windows XP を実行しているクライアントが接続されているポートがクリティカル認証ステートの場合、Windows XP はインターフェイスが認証されていないと報告する可能性があります。

Widows XP クライアントが DHCP 用に設定されていて DHCP サーバからの IP アドレスがある場合、クリティカル ポートで EAP-Success メッセージを受信しても DHCP 設定プロセスが再開されない場合があります。

アクセス不能認証バイパス機能とクリティカル VLAN を 802.1X ポートに設定することができます。スイッチがクリティカル VLAN 内のクリティカル ポートを再認証しようとして、すべての RADIUS サーバが利用不能な場合、スイッチはポート ステートをクリティカル認証ステートに変更し、ポートはクリティカル VLAN に残ります。

アクセス不能認証バイパス機能とポートセキュリティを同じポートに設定できます。

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を 802.1X 制限 VLAN として設定できます。制限 VLAN 機能は内部 VLAN(ルーテッド ポート)やトランク ポートでサポートされておらず、アクセス ポートでだけサポートされています。

MAC 認証バイパス

MAC 認証バイパスを設定する場合は、次の注意事項に留意してください。

特記されている場合を除き、MAC 認証バイパスの注意事項は、802.1X 認証の注意事項と同じです。詳細については、「802.1X 認証」を参照してください。

ポートが MAC アドレスにより許可されたあと、ポートの MAC 認証バイパスをディセーブルにする場合、ポート ステートに影響はありません。

EAP を使った MAC 認証バイパスがインターフェイス上でイネーブルになっている場合は、その後にインターフェイス上で実行される default interface コマンドによってディセーブルになることはありません。

ポートが無許可ステートでクライアント MAC アドレスが認証サーバ データベースでない場合、ポートは無許可ステートのままになります。ただし、クライアント MAC アドレスがデータベースに追加された場合、スイッチは MAC 認証バイパスを使用してポートを再許可します。

ポートが許可ステートの場合、再許可が発生するまでポートはこのステートのままになります。

MAC 認証バイパスをルーテッド ポートで使用するために、MAC アドレス ラーニングがポートでイネーブルになっていることを確認してください。

Release 12.2(33)SXH 以降のリリースでは、MAC 認証バイパスで接続されているけれども非アクティブになっているホストのタイムアウト期間を任意で設定することができます。指定できる範囲は 1 ~ 65535 秒ですが、再認証タイムアウトよりも小さい値に設定する必要があります。タイムアウト値を設定する前にポート セキュリティをイネーブルにする必要があります。詳細については、「ポート セキュリティの設定」を参照してください。

Web ベース認証

Web ベース認証を設定する場合は、次の注意事項に留意してください。

Web ベース認証へのフォールバックは、アクセス モードのスイッチ ポートに設定されます。トランク モードのポートはサポートされません。

Web ベース認証へのフォールバックは、EtherChannel または EtherChannel のメンバーではサポートされません。

Web ベース認証へのフォールバックはインターフェイス固有の設定ですが、Web ベース認証のフォールバック動作はグローバルなフォールバック プロファイルで定義されます。フォールバックのグローバル設定が変更された場合、新しいプロファイルは次の認証フォールバック インスタンスまで使用されません。

Web ベース認証の設定の詳細については、「Web ベース認証の設定」を参照してください。

802.1X 認証のイネーブル化

802.1X ポートベース認証をイネーブルにするには、AAA をイネーブルにして認証方式リストを指定する必要があります

方式リストは、ユーザ認証のためクエリー送信を行う手順と認証方式を記述したものです。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはその方式リストから次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試行するまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。

VLAN 割り当てを可能にするには、AAA 許可をイネーブルにしてすべてのネットワーク関連サービス要求に対してスイッチを設定する必要があります。

802.1X AAA 処理は、次のようになります。

1. ユーザがスイッチ上のポートに接続します。

2. 認証が実行されます。

3. 必要に応じて、RADIUS サーバ設定に基づいて VLAN 割り当てがイネーブルになります。

4. スイッチが開始メッセージをアカウンティング サーバに送信します。

5. 必要に応じて再認証が実行されます。

6. 再認証結果に基づいてスイッチが一時的なアカウンティング アップデートをアカウンティング サーバに送信します。

7. ユーザがポートから切断されます。

8. スイッチが停止メッセージをアカウンティング サーバに送信します。

802.1X ポートベース認証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa new-model

AAA をイネーブルにします。

ステップ 2

Router(config)# aaa authentication dot1x { default } method1 [ method2 ... ]

802.1X ポートベース認証方式リストを作成します。

aaa authentication コマンドに名前付きリストが指定されて いない 場合に使用するデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用される方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して認証用にすべての RADIUS サーバのリストを使用します。

コマンドラインのヘルプ ストリングには他のキーワードが表示されますが、 group radius キーワードだけがサポートされます。

ステップ 3

Router(config)# dot1x system-auth-control

802.1X ポートベース認証をグローバルにイネーブルにします。

ステップ 4

Router(config)# aaa authorization network {default} group radius

(任意)VLAN 割り当てなど、ネットワーク関連のすべてのサービス要求に対してユーザ RADIUS 許可を使用するようにスイッチを設定します。

ステップ 5

Router(config)# radius-server host ip-address

RADIUS サーバの IP アドレスを指定します。

ステップ 6

Router(config)# radius-server key string

スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用される認証および暗号キーを指定します。

ステップ 7

Router(config)# mls acl tcam static-share

(任意)スタティック共有をイネーブルにします。これにより、多数のインターフェイスが同じ PACL および VLAN ベース機能を持っている場合に、より効率的に TCAM が使用されるようになります。

ステップ 8

Router(config)# interface type 3 slot/port

インターフェイス コンフィギュレーション モードを開始し、802.1X の認証をイネーブルにするインターフェイスを指定します。

ステップ 9

Router(config-if)# switchport mode access

前の手順で RADIUS サーバを設定した場合に限り、ポートをアクセス モードに設定します。

ステップ 10

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control auto

インターフェイスでのポートベース認証をイネーブルにします。

コマンドの no 形式を使用すると、インターフェイスでのポートベース認証がディセーブルになります。

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config-if)# dot1x port-control auto

機能の相互作用の詳細については、「802.1X 認証機能の設定時の注意事項」を参照してください。

ステップ 11

Router(config-if)# dot1x pae authenticator

インターフェイスでの 802.1X 認証をイネーブルにします。

ステップ 12

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 13

Router# show dot1x all

設定を確認します。

表示の [802.1X Port Summary] セクションの [Status] カラムを確認してください。 enabled というステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。

3.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 で AAA と 802.1X をイネーブルにする例を示します。

Router(config)# aaa new-model
Router(config)# aaa authentication dot1x default group radius
Router(config)# dot1x system-auth-control
Router(config)# mls acl tcam static-share
Router(config)# interface fastethernet 5/1
Router(config-if)# authentication port-control auto
Router(config-if)# dot1x pae authenticator
Router(config-if)# end
 

次に、設定を確認する例を示します。

Router# show dot1x all
 
Sysauthcontrol Enabled
Dot1x Protocol Version 2
 
Dot1x Info for GigabitEthernet1/7
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
 

スイッチと RADIUS サーバ間の通信設定

RADIUS セキュリティ サーバは、次のいずれかによって識別されます。

ホスト名

ホスト IP アドレス

ホスト名と特定の UDP ポート番号

IP アドレスと特定の UDP ポート番号

IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、同一 IP アドレスのサーバ上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

RADIUS サーバ パラメータを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip radius source-interface interface_name

RADIUS パケットが、指定されたインターフェイスの IP アドレスを含むように指定します。

ステップ 2

Router(config)# radius-server host { hostname | ip_address }

スイッチに RADIUS サーバ ホスト名または IP アドレスを設定します。

複数の RADIUS サーバを使用する場合は、このコマンドを再度入力します。

ステップ 3

Router(config)# radius-server key string

スイッチと、RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する、許可および暗号キーを設定します。

RADIUS サーバ パラメータを設定する場合、次の点に注意してください。

hostname または ip_address には、リモート RADIUS サーバのホスト名または IP アドレスを 定します。

key string は、別のコマンド ラインで指定します。

key string には、 スイッチ と RADIUS サーバ上で動作する RADIUS デーモンとの間で使用される認証および暗号キーを指定します。キーはテキスト ストリングで、RADIUS サーバで使用する暗号キーと一致する必要があります。

key string を指定する場合、キーの途中および末尾でスペースが使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。このキーは RADIUS デーモンで使用される暗号と一致する必要があります。

radius-server host グローバル コンフィギュレーション コマンドを使用して、タイムアウト、再送信回数、暗号キーの値を、すべての RADIUS サーバにグローバルに設定できます。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、次の URL にある『 Cisco IOS Security Configuration Guide』Release 12.2 を参照してください。

http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/fsecur_c.html

次の URL の『 Cisco IOS Security Command Reference 』Release 12.2

http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/fsecur_r.html


) RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、サーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。


次に、スイッチで RADIUS サーバ パラメータを設定する例を示します。

Router(config)# ip radius source-interface Vlan80
Router(config)# radius-server host 172.l20.39.46
Router(config)# radius-server key rad123

802.1X オーセンティケータのホスト モードの設定

802.1X 対応ポートは、「802.1X ホスト モード」の説明にあるように、単一クライアントまたは複数クライアントに対してアクセスを許可することができます。

802.1X 許可ポートのホスト モードを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type 4 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control auto

インターフェイスでのポートベース認証をイネーブルにします。

コマンドの no 形式を使用すると、インターフェイスでのポートベース認証がディセーブルになります。

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config-if)# dot1x port-control auto

機能の相互作用の詳細については、「802.1X 認証機能の設定時の注意事項」を参照してください。

ステップ 3

Router(config-if)# dot1x pae authenticator

インターフェイスでの 802.1X 認証をイネーブルにします。

ステップ 4

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication host-mode single-host

許可ポートで単一の認証済みホスト(クライアント)を許可します。

Router(config-if)# authentication host-mode multi-host

1 つのクライアントが認証されると、許可ポートで複数のクライアントを許可します。

Router(config-if)# authentication host-mode multi-domain

単一の IP 電話と単一のデータ クライアントを許可ポートで独立して認証できるようにします。

Router(config-if)# authentication host-mode multi-auth

単一の IP 電話と複数のデータ クライアントを許可ポートで独立して認証できるようにします。

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config-if)# dot1x host-mode { single-host | multi-host }

ステップ 5

Router(config-if)# authentication open

(任意)Cisco IOS Release 12.2(33)SXI 以降のリリースで、認証前オープン アクセスをイネーブルにします。

ステップ 6

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show dot1x interface type1 slot/port

設定を確認します。

4.type = fastethernetgigabitethernet、または tengigabitethernet

次に、インターフェイス FastEthernet 5/1 で 802.1X をイネーブルにし、複数のホストを許可する例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication port-control auto
Router(config-if)# dot1x pae authenticator
Router(config-if)# authentication host-mode multi-host

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x host-mode multi-host
 

フォールバック認証のイネーブル化

マルチ認証モードのポートでは、MAB と Web ベース認証のいずれかまたは両方を、802.1X 以外のホスト(EAPOL に応答しないホスト)用のフォールバック認証方式として設定できます。認証方式の順序とプライオリティを設定できます。

MAB の設定の詳細については、「MAC 認証バイパスの設定」を参照してください。

Web ベース認証の設定の詳細については、「Web ベース認証の設定」を参照してください。

Cisco IOS Release 12.2(33)SXI 以降のリリースで、フォールバック認証をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# ip admission name rule-name proxy http

Web ベース認証の認証ルールを設定します。

ステップ 2

Router(config)# fallback profile profile-name

Web ベース認証のフォールバック プロファイルを作成します。

ステップ 3

Router(config-fallback-profile)# ip access-group rule-name in

Web ベース認証の前にネットワーク トラフィックに適用するデフォルト ACL を指定します。

ステップ 4

Router(config-fallback-profile)# ip admission name rule-name

IP 許可ルールをプロファイルに関連付け、Web ベース認証で接続するクライアントがこのルールを使用するように指定します。

ステップ 5

Router(config-fallback-profile)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

Router(config)# interface type 5 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

Router(config-if)# authentication port-control auto

ポートでの認証をイネーブルにします。

ステップ 8

Router(config-if)# authentication order method1 [ method2 ] [ method3 ]

(任意)使用される認証方式のフォールバック順序を指定します。デフォルトの順序では、 method の 3 つの値は、 dot1x mab 、および webauth です。また、指定した順序は、最大から最小まで、再認証の方式の相対的なプライオリティも決定します。

ステップ 9

Router(config-if)# authentication priority method1 [ method2 ] [ method3 ]

(任意)使用される認証方式の相対的なプライオリティを上書きします。デフォルトのプライオリティの順序では、 method の 3 つの値は、 dot1x mab 、および webauth です。

ステップ 10

Router(config-if)# authentication event fail action next-method

認証が失敗した場合には設定された次の認証方式が使用されるように指定します。

ステップ 11

Router(config-if)# mab [ eap ]

MAC 認証バイパスをイネーブルにします。任意の eap キーワードは、RADIUS 認証中に EAP 拡張機能が使用されるように指定します。

ステップ 12

Router(config-if)# authentication fallback profile-name

指定したプロファイルを使用する Web ベース認証をイネーブルにします。

ステップ 13

Router(config-if)# authentication violation [ shutdown | restrict ]

(任意)セキュリティ違反が発生した場合のポートの処理を設定します。デフォルトのアクションは、ポートのシャット ダウンです。 restrict キーワードが設定した場合、ポートはシャット ダウンされませんが、違反した MAC アドレスに対するトラップ エントリが設定され、その MAC アドレスからのトラフィックはドロップされます。

ステップ 14

Router(config-if)# authentication timer inactivity { seconds | server }

(任意)MAB および 802.1X の無活動タイムアウト値を設定します。デフォルトでは、ポートの非アクティブ エージングはディセーブルに設定されています。

seconds :無活動タイムアウト期間を指定します。指定できる範囲は 1 ~ 65535 秒です。

server:無活動タイムアウト期間の値が認証サーバから取得されるように指定します。

ステップ 15

Router(config-if)# authentication timer restart seconds

(任意)無許可ポートの認証を試行するために認証プロセスを再開するまでの期間を指定します。

seconds :再開までの期間を指定します。指定できる範囲は 1 ~ 65535 秒です。

ステップ 16

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 17

Router(config)# ip device tracking

Web ベース認証に必要な IP 装置追跡テーブルをイネーブルにします。

ステップ 18

Router(config)# exit

特権 EXEC モードに戻ります。

ステップ 19

Router# show dot1x interface type1 slot/port

設定を確認します。

5.type = fastethernetgigabitethernet、または tengigabitethernet

次に、802.1X 対応ポートで、802.1X から MAB へのフォールバックをイネーブルにし、次に Web ベース認証をイネーブルにする例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# ip admission name rule1 proxy http
Router(config)# fallback profile fallback1
Router(config-fallback-profile)# ip access-group default-policy in
Router(config-fallback-profile)# ip admission rule1
Router(config-fallback-profile)# exit
Router(config)# interface gigabit1/0/1
Router(config-if)# switchport mode access
Router(config-if)# authentication port-control auto
Router(config-if)# dot1x pae authenticator
Router(config-if)# authentication order dot1x mab webauth
Router(config-if)# mab eap
Router(config-if)# authentication fallback fallback1
Router(config-if)# exit
Router(config)# ip device tracking
Router(config)# exit
 

Cisco IOS Release 12.2(33)SXH:

Router(config)# ip admission name rule1 proxy http
Router(config)# fallback profile fallback1
Router(config-fallback-profile)# ip access-group default-policy in
Router(config-fallback-profile)# ip admission rule1
Router(config-fallback-profile)# exit
Router(config)# interface gigabit1/0/1
Router(config-if)# switchport mode access
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x fallback fallback1
Router(config-if)# exit
Router(config)# ip device tracking
Router(config)# exit
 

定期的な再認証のイネーブル化

Release 12.2(33)SXH 以降のリリースでは、802.1X クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証を行うまでの期間を手動で指定するか、RADIUS サーバで指定されたセッションタイムアウト期間を使用することができます。期間を指定せずに再認証をイネーブルにする場合、再認証を行う間隔は 3600 秒です。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type6 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication periodic

 

クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x reauthentication

 

ステップ 3

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication timer reauthenticate [ seconds | server ]

 

以下のキーワードを使用して再認証の間隔(秒)を指定します。

seconds 1 ~ 65535 の秒数を設定します。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値に基づく秒数を使用します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x timeout reauth-period [ seconds | server ]

ステップ 4

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 5

Router# show dot1x interface type slot/port

設定を確認します。

6.type = fastethernetgigabitethernet、または tengigabitethernet

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4,000 秒に設定する例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication periodic
Router(config-if)# authentication timer reauthenticate 4000

Cisco IOS Release 12.2(33)SXH:

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x reauthentication
Router(config-if)# dot1x timeout reauth-period 4000
 

手動によるポート接続クライアントの再認証


) 再認証は、すでに許可されているポートのステータスには影響しません。


特定のポートに接続されているクライアントを手動で再認証するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# dot1x re-authenticate interface type 7 slot/port

ポートに接続されているクライアントを手動で再認証します。

ステップ 2

Router# show dot1x all

設定を確認します。

7.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントを手動で再認証する例を示します。

Router# dot1x re-authenticate interface fastethernet 5/1

ポート接続クライアント認証の初期化


) 認証の初期化では、既存の認証をディセーブルにしてから、ポートに接続されているクライアントを認証します。


ポートに接続されているクライアントの認証を初期化するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# dot1x initialize interface type 8 slot/port

ポートに接続されているクライアントの認証を初期化します。

ステップ 2

Router# show dot1x all

設定を確認します。

8.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントに対する認証を初期化する例を示します。

Router# dot1x initialize interface fastethernet 5/1

802.1X クライアント情報の削除

すべての既存サプリカントをインターフェイスまたはスイッチ上のインターフェイスから完全に削除するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# clear dot1x interface type 9 slot/port

指定したポートに接続されているクライアントの 802.1X クライアント情報を削除します。

Router# clear dot1x all

すべてのポートに接続されているすべてのクライアントの 802.1X クライアント情報を削除します。

ステップ 2

Router# show dot1x all

設定を確認します。

9.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポート FastEthernet 5/1 に接続されているクライアントに対する 802.1X クライアント情報を削除する例を示します。

Router# clear dot1x interface fastethernet 5/1

認証セッションのクリア

すべての認証セッションまたは選択した認証セッションをクリアするには、次の作業を行います。

 

コマンド
目的

Router# clear authentication sessions
[ handle handle ] [ interface interface ]
[ mac mac ] [ method method ]

現在の認証セッションをクリアします。オプションを指定しない場合、現在のすべてのアクティブ セッションがクリアされます。キーワードを追加したり組み合わせたりすることで、特定のセッションや一部のセッションをクリアすることができます。

次に、ポート Fast Ethernet 5/1 に接続されているすべての MAB 認証セッションをクリアする例を示します。

Router# clear authentication sessions interface fastethernet 5/1 method mab

802.1X タイムアウトの変更

インターフェイス コンフィギュレーション モードで dot1x timeout {attribute} seconds コマンド形式を使用して複数の 802.1X タイムアウト属性を変更することができます。ここでは、待機時間タイムアウトを変更する方法について詳細に説明し、次に同じコマンド形式を使用して他の 802.1X タイムアウトを変更する方法について説明します。

待機時間の設定

スイッチがクライアントを認証できなかった場合、スイッチは所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドはアイドル期間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。

待機時間を変更するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type10 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 0 ~ 65535 秒で、デフォルトは 60 です。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

10.type = fastethernetgigabitethernet、または tengigabitethernet

次に、スイッチの待機期間を 30 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout quiet-period 30
 

次に、スイッチでデフォルトの待機期間に戻す例を示します。

Router(config-if)# no dot1x timeout quiet-period

スイッチとクライアント間の再送信時間の設定

クライアントはスイッチからの EAP 要求/アイデンティティ フレームに対し、EAP 応答/アイデンティティ フレームで応答します。スイッチがこの応答を受信しなかった場合、スイッチは所定の時間(再送信時間)だけ待機したあと、フレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチが要求を再送信する前にクライアントからの EAP 要求/アイデンティティ フレームに対する応答を待機する時間を変更するには、インターフェイス コンフィギュレーション モードで dot1x timeout tx-period seconds コマンドを使用します。指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 です。デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period コマンドを使用します。

次に、スイッチが EAP 要求/アイデンティティ フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout tx-period 60

スイッチとクライアント間の EAP 要求フレーム再送信時間の設定

クライアントは EAP 要求フレームを受信したことをスイッチに通知します。スイッチがこの通知を受信しなかった場合、スイッチは所定の時間だけ待機したあと、フレームを再送信します。

スイッチが通知を待機する時間を設定するには、インターフェイス コンフィギュレーション モードで dot1x timeout supp-timeout seconds コマンドを使用します。指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 です。デフォルトの再送信時間に戻すには、 no dot1x supp-timeout コマンドを使用します。

次に、スイッチからクライアントへの EAP 要求フレームの再送信時間を 25 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout supp-timeout 25

スイッチと認証サーバ間のレイヤ 4 パケット再送信時間の設定

認証サーバは、レイヤ 4 パケットを受信するたびにスイッチに通知します。スイッチがパケット送信後に通知を受信しなかった場合、スイッチは所定の時間だけ待機したあと、パケットを再送信します。

スイッチから認証サーバへのレイヤ 4 パケットの再送信値を設定するには、インターフェイス コンフィギュレーション モードで dot1x timeout server-timeout seconds コマンドを使用します。指定できる範囲は 1 ~ 65535 秒で、デフォルトは 30 です。デフォルトの再送信時間に戻すには、 no dot1x server-timeout コマンドを使用します。

次に、スイッチから認証サーバへのレイヤ 4 パケットの再送信時間を 25 秒に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x timeout server-timeout 25

スイッチとクライアント間のフレーム再送信回数の設定

スイッチとクライアント間の再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再開するまでに、クライアントに EAP 要求/アイデンティティ フレームを送信する回数を変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type11 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x max-req count

スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は 1 ~ 10 で、デフォルトは 2 です。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

11.type = fastethernetgigabitethernet、または tengigabitethernet

次に、スイッチが認証プロセスを再開するまでに、EAP 要求/アイデンティティ フレームを送信する回数を 5 に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x max-req 5

再認証回数の設定

ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数も変更することができます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type12 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x max-reauth-req count

ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数を設定します。指定できる範囲は 0 ~ 10 で、デフォルトは 2 です。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

12.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポートが無許可ステートに変更される前にスイッチが認証プロセスを再開する回数を 4 に設定する例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x max-reauth-req 4

IEEE 802.1X アカウンティングの設定

802.1X アカウンティングによる AAA システム アカウンティングをイネーブルにすることにより、ログ用のアカウンティング RADIUS サーバにシステム リロード イベントを送信することができます。その後、すべてのアクティブ 802.1X セッションがクローズしていることをサーバが判別できます。

RADIUS では信頼性の低い UDP 転送プロトコルを使用しているので、ネットワークの状態が悪いためにアカウンティング メッセージが消失することもあります。設定可能なアカウンティング要求の再送信回数を超えてもスイッチが RADIUS サーバからアカウンティング応答メッセージを受信しない場合は、次のシステム メッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されないときには、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) 開始、停止、および一時アップデートのメッセージやタイムスタンプのロギングなど、アカウンティング タスクを実行するように RADIUS サーバを設定する必要があります。これらの機能をオンにするには、RADIUS サーバの [Network Configuration] タブで「Update/Watchdog packets from this AAA client」のロギングをイネーブルにします。次に、RADIUSサーバの [System Configuration] タブで「CVS RADIUS Accounting」をイネーブルにします。


スイッチ上で AAA をイネーブルにしたあとで 802.1X アカウンティングを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して 802.1X アカウンティングをイネーブルにします。

ステップ 2

Router(config)# aaa accounting system default start-stop group radius

(任意)(すべての RADIUS サーバのリストを使用して)システム アカウンティングをイネーブルにし、スイッチのリロード時にシステム アカウンティングのリロード イベント メッセージを生成します。

ステップ 3

Router(config)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show running-config

設定を確認します。

show radius statistics 特権 EXEC コマンドを使用して、アカウンティング応答メッセージを受信していない RADIUS メッセージ数を表示します。

次に、802.1X アカウンティングを設定する例を示します。最初のコマンドでは RADIUS サーバを設定し、アカウンティング用の UDP ポートとして 1813 を指定します。

Router(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Router(config)# aaa accounting dot1x default start-stop group radius
Router(config)# aaa accounting system default start-stop group radius

VLAN ユーザ分散の設定

Cisco IOS Release 12.2(33)SXI1 以降のリリースでは、複数の VLAN を含む VLAN グループを定義できます。さらに、VLAN ロード バランシングのために、802.1X 認証中のユーザに対する応答の一部として VLAN グループ名を提供するように RADIUS サーバを設定できます。提供された VLAN グループ名が定義済みの VLAN グループ名の中に見つかった場合、新たに認証されたユーザは、VLAN グループ内でユーザ追加数が最も少ない VLAN に配置されます。

VLAN グループを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# vlan group group-name vlan-list vlan-list

VLAN グループを作成するか、既存の VLAN グループに VLAN を追加します。

group-name :VLAN グループの名前です。名前は最大 32 文字で、文字から始める必要があります。

vlan-list vlan-list :VLAN グループに属する VLAN です。グループのメンバーは、単一の VLAN ID、VLAN ID のリスト、または VLAN ID の範囲として指定できます。複数のエントリは、ハイフン(-)またはカンマ(,)で区切ります。

ステップ 2

Router(config)# no vlan group group-name vlan-list vlan-list

(任意) vlan-list で指定したメンバーを VLAN グループから削除します。

(注) VLAN グループに VLAN が残っていない場合、その VLAN グループは削除されます。

ステップ 3

Router# show vlan group [ group-name group-name ]

指定した VLAN グループ、またはすべての VLAN グループのメンバーである VLAN および VLAN の範囲を表示します。

次に、VLAN 7 ~ 9 と 11 を VLAN グループにマッピングする例を示します。

Router(config)# vlan group ganymede vlan-list 7-9,11
 

次に、VLAN 7 を VLAN グループから削除する例を示します。

Router(config)# no vlan group ganymede vlan-list 7
 

ゲスト VLAN の設定

Cisco IOS Release 12.2(33)SXH 以降のリリースでは、ゲスト VLAN を設定すると、サーバが EAP 要求/アイデンティティ フレームに対する応答を受信しない場合に、802.1X 対応でないクライアントはゲスト VLAN に配置されます。802.1X 対応であっても、認証に失敗したクライアントはネットワーク アクセスを認可されません。ゲスト VLAN として動作する際、ポートに設定されたホスト モードに関係なく、ポートはマルチホスト モードで機能します。

ゲスト VLAN を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type13 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport mode access

or

Router(config-if)# switchport mode private-vlan host

ポートをアクセス モードに設定します。

または

ポートをプライベート VLAN ホスト ポートとして設定します。

ゲスト VLAN は、ルーテッド ポートやトランク ポートではサポートされません。

ステップ 3

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control auto

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x port-control auto

 

ポートでの認証をイネーブルにします。

ステップ 4

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication event no-response action authorize vlan vlan-id

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x guest-vlan vlan-id

 

アクティブ VLAN をゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN をゲスト VLAN として設定できます。

ステップ 5

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# dot1x pae authenticator

or

Router(config-if)# mab

 

ポート認証方式を 802.1X にするか、または MAC アドレス バイパスにするかを指定します。

Cisco IOS Release 12.2(33)SXH 以前のリリースでは、このコマンドは必要ありません。認証方式は 802.1X になります。

ステップ 6

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show dot1x interface type slot/port

設定を確認します。

13.type = fastethernetgigabitethernet、または tengigabitethernet

次に、802.1X ゲスト VLAN として VLAN 2 をイネーブルにする例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication port-control auto
Router(config-if)# authentication event no-response action authorize vlan 2
Router(config-if)# dot1x pae authenticator

Cisco IOS Release 12.2(33)SXH:

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x guest-vlan 2
 

次に、スイッチにクライアント通知タイムアウトとして 3 秒を設定し、要求を再送信する前にスイッチがクライアントからの EAP 要求/アイデンティティ フレームに対する応答を待機する秒数として 15 を設定し、802.1X ポートが DHCP クライアントに接続される際に 802.1X ゲスト VLAN として VLAN 2 をイネーブルにする例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# dot1x timeout supp-timeout 3
Router(config-if)# dot1x timeout tx-period 15
Router(config-if)# authentication event no-response action authorize vlan 2
Router(config-if)# dot1x pae authenticator
 

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x timeout supp-timeout 3
Router(config-if)# dot1x timeout tx-period 15
Router(config-if)# dot1x guest-vlan 2
 

制限 VLAN の設定

スイッチに制限 VLAN を設定すると、認証サーバが有効なユーザ名とパスワードを受信しなかった場合、802.1X 準拠のクライアントは制限 VLAN に移動されます。制限 VLAN として動作する際、ポートに設定されたホスト モードに関係なく、ポートはシングルホスト モードで機能します。

制限 VLAN を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type14 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# switchport mode access

or

Router(config-if)# switchport mode private-vlan host

ポートをアクセス モードに設定します。

または

ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 3

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control auto

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x port-control auto

 

ポートでのポートベース認証をイネーブルにします。

ステップ 4

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication event fail [ retry retries ] action authorize vlan vlan-id

 

アクティブ VLAN を制限 VLAN として指定します。 vlan-id の範囲は 1 ~ 4094 です。

(任意) retry キーワードは、ポートを制限 VLAN に移動する前に許可される認証試行回数を指定します。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x auth-fail vlan vlan-id

 

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライベート プライマリ PVLAN、または音声 VLAN を除き、任意のアクティブ VLAN を制限 VLAN として設定できます。

ステップ 5

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x auth-fail max-attempts max-attempts

 

(任意) max-attempts キーワードは、ポートを制限 VLAN に移動する前に許可される認証試行回数を指定します。

ステップ 6

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show dot1x interface type slot/port

設定を確認します。

14.type = fastethernetgigabitethernet、または tengigabitethernet

制限 VLAN をディセーブルにして削除するには、 authentication event fail コマンドまたは dot1x auth-fail コマンドの no 形式を使用します。ポートは無許可ステートに戻ります。

ユーザが制限 VLAN に割り当てられる前に許可される認証試行最大回数を設定できます。

Cisco IOS Release 12.2(33)SXI 以降のリリースでは、 authentication event fail [ retry retries ] action authorize vlan コマンドで retry キーワードを使用して、試行回数を設定できます。 retries (認証試行の許容回数)の範囲は 1 ~ 5 です。デフォルトは 2 回です。

Cisco IOS Release 12.2(33)SXH では、 dot1x auth-fail max-attempts max-attempts インターフェイス コンフィギュレーション コマンドを使用して、試行回数を設定できます。 max-attempts (認証試行の許容回数)の範囲は 1 ~ 3 です。デフォルトは 3 回です。

次に、制限 VLAN として VLAN 2 をイネーブルにし、3 回の試行失敗後にホストを割り当てる例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication port-control auto
Router(config-if)# authentication event fail retry 3 action authorize vlan 2
Router(config-if)# dot1x pae authenticator

Cisco IOS Release 12.2(33)SXH:

Router(config)# interface fastethernet 5/1

Router(config-if)# dot1x port-control auto

Router(config-if)# dot1x auth-fail vlan 2
Router(config-if)# dot1x auth-fail max-attempts 3
 

アクセス不能認証バイパス機能の設定

クリティカル認証または AAA 失敗ポリシーとも呼ばれるアクセス不能認証バイパス機能を設定することができます。

ポートをクリティカル ポートとして設定してアクセス不能認証バイパス機能をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# radius-server dead-criteria time time tries tries

(任意)RADIUS サーバが利用不能または 停止 と見なされるときを判別するのに使用される条件を設定します。

time の範囲は 1 ~ 120 秒です。スイッチは 10 ~ 60 秒のデフォルトの time 値をダイナミックに決定します。

tries の範囲は 1 ~ 100 です。スイッチは 10 ~ 100 のデフォルトの tries パラメータをダイナミックに決定します。

ステップ 2

Router(config)# radius-server deadtime minutes

(任意)RADIUS サーバに要求が送信されない分数を設定します。指定できる範囲は 0 ~ 1440 分(24 時間)です。デフォルトは 0 分です。

ステップ 3

Router(config)# radius-server host ip-address [ acct-port udp-port ] [ auth-port udp-port ] [ key string ] [ test username name [ idle-time time ] [ ignore-acct-port ] [ ignore-auth-port ]]

(任意)以下のキーワードを使用して RADIUS サーバのパラメータを設定します。

acct-port udp-port: RADIUS アカウンティング サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルトは 1646 です。

auth-port udp-port: RADIUS 認証サーバの UDP ポートを指定します。UDP ポート番号の範囲は 0 ~ 65536 です。デフォルトは 1645 です。

(注) RADIUS アカウンティング サーバの UDP ポートおよび RADIUS 認証サーバの UDP ポートは、デフォルト以外の値に設定してください。

key string: スイッチと RADIUS デーモン間のすべての RADIUS 通信に使用される認証および暗号キーを指定します。

} グローバル コンフィギュレーション コマンドを使用して認証および暗号キーを設定することも可能です。

test username name RADIUS サーバ ステータスの自動化テストをイネーブルにして、使用されるユーザ名を指定します。

idle-time time: スイッチがサーバにテスト パケットを送信するまでの分数を設定します。指定できる範囲は 1 ~ 35791 分です。デフォルトは 60 分(1 時間)です。

ignore-acct-port RADIUS サーバ のアカウンティング ポートでのテストをディセーブルにします。

ignore-auth-port RADIUS サーバの認証ポートでのテストをディセーブルにします。

ステップ 4

Router(config)# dot1x critical eapol

(任意)スイッチが正常にクリティカル ポートを認証した場合にスイッチが送信する EAPOL-Success メッセージを指定します。

ステップ 5

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication critical recovery delay milliseconds

Cisco IOS Release 12.2(33)SXH:

Router(config)# dot1x critical recovery delay milliseconds

(任意)利用不能な RADIUS サーバが利用可能になったときに、スイッチがクリティカル ポートを再初期化するタイミングを遅らせる回復遅延期間を設定します。指定できる範囲は 1 ~ 10000 ミリ秒です。デフォルトは 1000 ミリ秒です(ポートが毎秒再初期化可能になります)。

ステップ 6

Router(config)# interface type 15 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication event server dead action authorize [ vlan vlan-id ]

 

アクセス不能認証バイパス機能をイネーブルにして、AAA サーバに到達できない場合に、指定した VLAN 上のポートが許可されるようにします。VLAN を指定しない場合は、アクセス VLAN が使用されます。

キーワードは、スイッチ ポートでだけ使用できます。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x critical [ vlan vlan-id ]

 

ステップ 8

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication event server alive action reinitialize

 

アクセス不能認証バイパス回復機能を設定し、回復アクションとして、認証サーバが使用可能になったときにポートを認証するように指定します。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x critical recovery action reinitialize

 

ステップ 9

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 10

Router# show dot1x [ interface type slot/port ]

設定を確認します。

15.type = fastethernetgigabitethernet、または tengigabitethernet

RADIUS サーバのデフォルト設定に戻すには、 no radius-server dead-criteria no radius-server deadtime 、および no radius-server host グローバル コンフィギュレーション コマンドを使用します。アクセス不能認証バイパスのデフォルト設定に戻すには、 no dot1x critical { eapol } グローバル コンフィギュレーション コマンド を使用します。アクセス不能認証バイパスをディセーブルにするには、 no authentication event server dead action authorize (または no dot1x critical) インターフェイス コンフィギュレーション コマンドを使用します。

次に、アクセス不能認証バイパス機能を設定する例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# radius-server dead-criteria time 30 tries 20
Router(config)# radius-server deadtime 60
Router(config)# radius-server host 1.1.1.2 acct-port 1550 auth-port 1560 key abc1234 test username user1 idle-time 30
Router(config)# dot1x critical eapol
Router(config)# authentication critical recovery delay 2000
Router(config)# interface gigabitethernet 0/1
Router(config-if)# authentication event server dead action authorize vlan 123
Router(config-if)# authentication event server alive action reinitialize

Cisco IOS Release 12.2(33)SXH:

Router(config)# radius-server dead-criteria time 30 tries 20
Router(config)# radius-server deadtime 60
Router(config)# radius-server host 1.1.1.2 acct-port 1550 auth-port 1560 key abc1234 test username user1 idle-time 30
Router(config)# dot1x critical eapol
Router(config)# dot1x critical recovery delay 2000
Router(config)# interface gigabitethernet 0/1
Router(config-if)# dot1x critical vlan 123
Router(config-if)# dot1x critical recovery action reinitialize

MAC 認証バイパスの設定

インターフェイス上で MAC 認証バイパスを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type16 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control { auto | force-authorized | force-unauthorized }

 

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x port-control { auto | force-authorized | force-unauthorized }

ポートでの 802.1X 認証をイネーブルにします。

キーワードには次のような意味があります。

auto :認証が成功するまで EAPOL トラフィックだけを許可します。

force-authorized :すべてのトラフィックを許可し、認証は不要です。

force-unauthorized :どのトラフィックも許可しません。

ステップ 3

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# mab [ eap ]

 

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x mac-auth-bypass [ eap ]

 

インターフェイス上で MAC 認証バイパスをイネーブルにします。

(任意) eap キーワードを使用して、許可に EAP を使用するようにスイッチを設定します。

ステップ 4

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# no mab eap

 

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# no dot1x mac-auth-bypass eap

 

(任意) mab eap または dot1x mac-auth-bypass eap コマンドを使用して、EAP がすでに設定されている場合に、許可時の EAP の使用をディセーブルにします。

ステップ 5

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# no mab

 

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# no dot1x mac-auth-bypass

 

(任意)インターフェイス上で MAC 認証バイパスをディセーブルにします。

コマンドによってディセーブルになることはありません。

ステップ 6

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 7

Router# show dot1x interface type slot/port

設定を確認します。

16.type = fastethernetgigabitethernet、または tengigabitethernet


) MAC 認証バイパスをルーテッド ポートで使用するために、MAC アドレス ラーニングがポートでイネーブルになっていることを確認してください。


次に、ポートで MAC 認証バイパスをイネーブルにする例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication port-control auto
Router(config-if)# mab

Cisco IOS Release 12.2(33)SXH:

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x port-control auto
Router(config-if)# dot1x mac-auth-bypass

NAC レイヤ 2 IEEE 802.1X 検証の設定

Cisco IOS Release 12.2(33)SXH 以降では、NAC レイヤ 2 IEEE 802.1X 検証を設定することができます。これは RADIUS サーバを使った 802.1X 認証とも呼ばれます。NAC レイヤ 2 IEEE 802.1X の設定は 802.1X の設定と同じですが、RADIUS サーバでポスチャ トークンと VLAN 割り当てを設定する手順が追加されます。

NAC レイヤ 2 IEEE 802.1X 検証を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type17 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication port-control auto

インターフェイスでのポートベース認証をイネーブルにします。

コマンドの no 形式を使用すると、インターフェイスでのポートベース認証がディセーブルになります。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x port-control auto

機能の相互作用の詳細については、「802.1X 認証機能の設定時の注意事項」を参照してください。

ステップ 3

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication periodic

 

クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x reauthentication

 

ステップ 4

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication timer reauthenticate [ seconds | server ]

 

以下のキーワードを使用して再認証の間隔(秒)を指定します。

seconds 1 ~ 65535 の秒数を設定します。デフォルトは 3600 秒です。

server :Session-Timeout RADIUS 属性(属性 [27])および Termination-Action RADIUS 属性(属性 [29])の値に基づく秒数を使用します。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

Cisco IOS Release 12.2(33)SXH:

Router(config-if)# dot1x timeout reauth-period [ seconds | server ]

ステップ 5

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 6

Router# show dot1x interface type slot/port

802.1X 認証設定を確認します。NAC ポスチャ トークンが 802.1X 認証設定とともに表示されていることを確認します。

17.type = fastethernetgigabitethernet、または tengigabitethernet

次に、NAC レイヤ 2 IEEE 802.1X 検証を設定する例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config)# authentication port-control auto
Router(config-if)# authentication periodic
Router(config-if)# authentication timer reauthenticate server

Cisco IOS Release 12.2(33)SXH:

Router(config)# interface fastethernet 5/1
Router(config)# dot1x port-control auto
Router(config-if)# dot1x reauthentication
Router(config-if)# dot1x timeout reauth-period server

NAC エージェントレス監査のサポートの設定

エージェントレス クライアントのための NAC 監査アーキテクチャをサポートするには、スイッチは認証中の 802.1X クライアントの IP アドレスをスヌーピングし、エージェントレス クライアント用に一意のセッション ID を作成して割り当て、この情報を RADIUS サーバに渡して NAC 監査サーバと共有できるようにする必要があります。スイッチがこの情報を取得して共有できるようにするには、スイッチ上で ARP と DHCP スヌーピングをイネーブルにし、特定の RADIUS 属性の送信をイネーブルにする必要があります。

NAC エージェントレス監査をサポートするための RADIUS およびトラッキング設定を設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# radius-server attribute 8 include-in-access-req

アクセス要求パケットまたはアカウンティング要求パケット内で Framed-IP-Address RADIUS 属性(属性 [8])を送信するようにスイッチを設定します。

ステップ 2

Router(config)# radius-server vsa send authentication

認証段階でスイッチによって生成される RADIUS Access-Request 内のベンダー固有属性(VSA)(特に audit-session-id)を認識して使用するようにネットワーク アクセス サーバを設定します。

ステップ 3

Router(config)# radius-server vsa send accounting

後続の RADIUS Accounting-Request に VSA を含めることができるようにします。

ステップ 4

Router(config)# ip device tracking

IP 装置追跡テーブルをイネーブルにします。

DACL またはリダイレクト URL に関するスイッチの設定

接続されたホストの認証中に RADIUS サーバからの DACL または リダイレクト URL を受け入れるようにスイッチ ポートを設定するには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router# config terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

Router(config)# radius-server vsa send authentication

認証段階でスイッチによって生成される RADIUS Access-Request 内のベンダー固有属性(VSA)を認識して使用するようにネットワーク アクセス サーバを設定します。

(注) この手順は、リダイレクト URL を使用する場合、または DACL が Filter-ID 属性ではなく VSA を使用してダウンロードされる場合にだけ必要となります。

ステップ 3

Router(config)# ip device tracking

IP 装置追跡テーブルをイネーブルにします。

ステップ 4

Router(config)# ip access-list extended dacl-name

VSA または Filter-ID 属性によって参照される ACL を設定します。

(注) この手順は、RADIUS サーバ で定義され、VSA を使用してダウンロードされる DACL には必要ありません。

ステップ 5

Router(config-std-nacl)# { permit | deny } ...

ACL を 定義します

(注) 送信元アドレスは ANY にする必要があります。

ステップ 6

Router(config-std-nacl)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 7

Router(config)# ip access-list extended acl-name

ポート用のデフォルト ACL を定義します。

ステップ 8

Router(config-std-nacl)# { permit | deny } ...

ACL を 定義します

ステップ 9

Router(config-std-nacl)# exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 10

Router(config)# interface type18 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 11

Router(config-if)# ip access-group acl-name in

インターフェイスでデフォルトのスタティック ACL を適用します。

ステップ 12

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

18.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ダウンロード可能ポリシーに関してスイッチを設定する例を示します。

Router# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# radius-server vsa send authentication
Router(config)# ip device tracking
Router(config)# ip access-list extended my_dacl
Router(config-ext-nacl)# permit tcp any host 10.2.3.4
Router(config-ext-nacl)# exit
Router(config)# ip access-list extended default_acl
Router(config-ext-nacl)# permit ip any any
Router(config-ext-nacl)# exit
Router(config)# interface fastEthernet 2/13
Router(config-if)# ip access-group default_acl in
Router(config-if)# exit
 

WoL を使った 802.1X 認証の使用

Wake-on-LAN(WoL)を使った 802.1X 認証をイネーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type19 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config-if)# authentication control-direction { both | in }

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config-if)# dot1x control-direction { both | in }

ポートでの WoL を使った 802.1X 認証をイネーブルにし、以下のキーワードを使用してポートを双方向または単一方向に設定します。

both :ポートを双方向に設定します。ポートはホストとのパケットの送受信を行うことができません。デフォルトでは、ポートは双方向です。

in :ポートを単一方向に設定します。ポートはホストにパケットを送信できますが、ホストからはパケットを受信できません。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x interface type slot/port

設定を確認します。

19.type = fastethernetgigabitethernet、または tengigabitethernet

WoL を使った 802.1X 認証をディセーブルにするには、 no authentication control-direction (または no dot1x control-direction )インターフェイス コンフィギュレーション コマンドを使用します。

次に、WoL を使った 802.1X 認証をイネーブルにし、ポートを双方向に設定する例を示します。

Cisco IOS Release 12.2(33)SXI 以降のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# authentication control-direction both

Cisco IOS Release 12.2(33)SXH 以前のリリース:

Router(config)# interface fastethernet 5/1
Router(config-if)# dot1x control-direction both
 

ポート上での 802.1X 認証のディセーブル化

no dot1x pae インターフェイス コンフィギュレーション コマンドを使用して、ポートでの 802.1X 認証をディセーブルにすることができます。

ポートでの 802.1X 認証をディセーブルにするには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type20 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# no dot1x pae authenticator

ポートでの 802.1X 認証をディセーブルにします。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x interface type slot/port

設定を確認します。

20.type = fastethernetgigabitethernet、または tengigabitethernet

802.1X をポートでイネーブルにするもののポートに接続されているクライアントを許可できないようにする 802.1X Port Access Entity(PAE)オーセンティケータとしてポートを設定するには、 dot1x pae authenticator インターフェイス コンフィギュレーション コマンドを使用します。

次にポートでの 802.1X 認証をディセーブルにする例を示します。

Router(config)# interface fastethernet 5/1
Router(config-if)# no dot1x pae authenticator
 

802.1X 設定のデフォルト値へのリセット

802.1X 設定をデフォルト値に戻すには、次の作業を行います。

 

コマンド
目的

ステップ 1

Router(config)# interface type21 slot/port

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

Router(config-if)# dot1x default

設定可能な 802.1X パラメータをデフォルト値にリセットします。

ステップ 3

Router(config-if)# end

特権 EXEC モードに戻ります。

ステップ 4

Router# show dot1x all

設定を確認します。

21.type = fastethernetgigabitethernet、または tengigabitethernet

次に、ポートの 802.1X 認証設定をデフォルト値にリセットする例を示します。

 
Router(config)# interface gigabitethernet 3/27
Router(config-if)# dot1x default
 

認証のステータスおよび情報の表示

ここでは、認証のステータスおよび情報を表示するコマンドについて説明します。

「802.1X ステータスの表示」

「認証の方式およびステータスの表示」

「MAC 認証バイパスのステータスの表示」

この出力に表示されるフィールドの詳細については、『Cisco IOS Master Command List, Release 12.2SX』を参照してください。

802.1X ステータスの表示

スイッチのグローバルな 802.1X 管理ステータスおよび動作ステータスを表示したり、個別のポートの 802.1X 設定を表示したりするには、次の作業を行います。

 

コマンド
目的

Router# show dot1x [ all | interface type22 slot/port ]

スイッチのグローバルな 802.1X 管理ステータスおよび動作ステータスを表示します。

(任意) all キーワードを使用して、802.1X 認証を使用するすべてのインターフェイスのグローバルな 802.1X ステータスと 802.1X 設定を表示します。

(任意) interface キーワードを使用して、特定のインターフェイスの 802.1X 設定を表示します。

22.type = fastethernetgigabitethernet、または tengigabitethernet

次に、グローバルな 802.1X ステータスを表示する例を示します。

 
Router# show dot1x
Sysauthcontrol Disabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
 
Router#
 

次に、802.1X 認証を使用するすべてのインターフェイスのグローバルな 802.1X ステータスと 802.1X 設定を表示する例を示します。

 
Router# show dot1x all
Sysauthcontrol Disabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
 
Dot1x Info for GigabitEthernet3/27
-----------------------------------
PAE = AUTHENTICATOR
PortControl = FORCE_AUTHORIZED
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
 
Router#

認証の方式およびステータスの表示

認証の方式およびステータスを表示するには、次のいずれかの作業を行います。

 

コマンド
目的

Router# show authentication registrations

登録済みのすべての方式の詳細を表示します。

Router# show authentication interface interface

特定のインターフェイスの認証情報を表示します。

Router# show authentication method method

指定した方式を使用して許可された現在の認証セッションを一覧表示します。

Router# show authentication sessions
[ handle handle ] [ interface interface ]
[ mac mac ] [ method method ] [ session-id session-id ]

現在の認証セッションに関する情報を表示します。オプションを指定しない場合、現在のすべてのアクティブ セッションが一覧表示されます。キーワードを追加したり組み合わせたりすることで、特定のセッションや一部のセッションに関する詳細情報を表示することができます。

表 53-3 に、考えられる認証セッションのステートを示します。

 

表 53-3 認証セッションのステート

ステート
説明

Idle

セッションは初期化されており、どの方式もまだ実行されていません。

Running

ある方式がこのセッションで実行されています。

No methods

どの方式でも、このセッションの結果が提供されていません。

Authc Success

ある方式で、このセッションの認証成功の結果が提供されました。

Authc Failed

ある方式で、このセッションの認証失敗の結果が提供されました。

Authz Success

すべての機能がこのセッションに正しく適用されています。

Authz Failed

ある機能がこのセッションに適用されませんでした。

表 53-4 に、考えられる認証方式のステートを示します。

 

表 53-4 認証方式のステート

ステート
説明

Not run

指定した方式はこのセッションで実行されていません。

Running

指定した方式がこのセッションで実行されています。

Failed over

指定した方式は失敗しました。次の方式で結果が提供されます。

Success

指定した方式で、このセッションの認証成功の結果が提供されました。

Authc Failed

指定した方式で、このセッションの認証失敗の結果が提供されました。

次に、登録済みの認証方式を表示する例を示します。

Router# show authentication registrations
Auth Methods registered with the Auth Manager:
Handle Priority Name
3 0 dot1x
2 1 mab
1 2 webauth
 

次に、特定のインターフェイスに関する認証の詳細を表示する例を示します。

Router# show authentication interface g1/0/23
Client list:
MAC Address Domain Status Handle Interface
0123.4567.abcd DATA Authz Success 0xE0000000 GigabitEthernet1/0/23
 
Available methods list:
Handle Priority Name
3 0 dot1x
2 1 mab
Runnable methods list:
Handle Priority Name
2 0 mab
3 1 dot1x
 

次に、スイッチ上のすべての認証セッションを表示する例を示します。

Router# show authentication sessions
 
Interface MAC Address Method Domain Status Session ID
Gi1/48 0015.63b0.f676 dot1x DATA Authz Success 0A3462B1000000102983C05C
Gi1/5 000f.23c4.a401 mab DATA Authz Success 0A3462B10000000D24F80B58
Gi1/5 0014.bf5d.d26d dot1x DATA Authz Success 0A3462B10000000E29811B94
 

次に、指定の認証方式を使用して許可されたセッションを表示する例を示します。

Router# show authentication method dot1x
Interface MAC Address Method Domain Status Session ID
Gi1/48 0015.63b0.f676 dot1x DATA Authz Success 0A3462B1000000102983C05C
Gi1/5 0014.bf5d.d26d dot1x DATA Authz Success 0A3462B10000000E29811B94
 

次に、インターフェイス上のすべての認証セッションを表示する例を示します。

Router# show authentication sessions interface f1/47
 
Interface: FastEthernet1/47
MAC Address: Unknown
IP Address: Unknown
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Guest Vlan
Vlan Policy: 20
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000000002763C
Acct Session ID: 0x00000002
Handle: 0x25000000
 
Runnable methods list:
Method State
mab Failed over
dot1x Failed over
 
----------------------------------------
 
Interface: FastEthernet1/47
MAC Address: 0005.5e7c.da05
IP Address: Unknown
User-Name: 00055e7cda05
Status: Authz Success
Domain: VOICE
Oper host mode: multi-domain
Oper control dir: both
Authorized By: Authentication Server
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0A3462C8000000010002A238
Acct Session ID: 0x00000003
Handle: 0x91000001
 
Runnable methods list:
Method State
mab Authc Success
dot1x Not run
 

次に、指定のセッション ID の認証セッションを表示する例を示します。

Router# show authentication sessions session-id 0B0101C70000004F2ED55218
 
Interface: GigabitEthernet9/2
MAC Address: 0000.0000.0011
IP Address: 20.0.0.7
Username: johndoe
Status: Authz Success
Domain: DATA
Oper host mode: multi-host
Oper control dir: both
Authorized By: Critical Auth
Vlan policy: N/A
Session timeout: N/A
Idle timeout: N/A
Common Session ID: 0B0101C70000004F2ED55218
Acct Session ID: 0x00000003
Handle: 0x91000001
 
Runnable methods list:
Method State
mab Authc Success
dot1x Not run
 

次に、指定の認証方式によって許可されたすべてのクライアントを表示する例を示します。

Router# show authentication sessions method mab
 
No Auth Manager contexts match supplied criteria
 
Router# show authentication sessions method dot1x
 
Interface MAC Address Domain Status Session ID
Gi9/2 0000.0000.0011 DATA Authz Success 0B0101C70000004F2ED55218
 

MAC 認証バイパスのステータスの表示

MAB のステータスを表示するには、次の作業を行います。

 

コマンド
目的

Router# show mab { all | interface type23 slot/port } [ detail ]

すべてのインターフェイスまたは特定のインターフェイスに関する MAB 認証の詳細を表示します。

23.type = fastethernetgigabitethernet、または tengigabitethernet

表 53-5 に、考えられる MAB 認証ステート マシンのステートを示します。

 

表 53-5 MAB のステート

ステート
説明

INITIALIZE

許可セッションは初期化されています。

ACQUIRING

セッションはクライアントの MAC アドレスを取得中です。

AUTHORIZING

セッションは MAC ベースの許可を待機中です。

TERMINATE

許可セッションの結果が取得されました。

次に、単一のインターフェイスに関する簡単な MAB ステータスを表示する例を示します。

Router# show mab interface fa1/0/1
 
MAB details for FastEthernet1/0/1
-------------------------------------
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None
 

次に、単一のインターフェイスに関する詳細な MAB ステータスを表示する例を示します。

Router# show mab interface fa1/0/1 detail
 
MAB details for FastEthernet1/0/1
-------------------------------------
Mac-Auth-Bypass = Enabled
Inactivity Timeout = None
 
MAB Client List
---------------
Client MAC = 000f.23c4.a401
MAB SM state = TERMINATE
Auth Status = AUTHORIZED