Catalyst 6500 シリーズ スイッチ ソフトウェア コンフィギュレーション ガイド Software Release 8.5
NAC の設定
NAC の設定
発行日;2012/06/27 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

NAC の設定

LAN ポート IP による NAC の設定

LAN ポート IP による NAC の機能概要

概要

ウイルス感染およびネットワークへの影響

NAC の機能概要

NAD

Cisco Trust Agent

Cisco Secure ACS

修復

LAN ポート IP ポスチャ確認の要約

LAN ポート IP のハードウェアおよびソフトウェア要件

LAN ポート IP 設定時の注意事項および制限事項

LAN ポート IP の設定

LAN ポート IP の CLI コマンド例

LAN ポート IP のグローバルなイネーブル化またはディセーブル化

クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化

例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用

例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用

ホストのステート マシンの再起動

CTA パケットの再送信回数の指定

ホストの再確認

LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化

EAPOUDP 関連タイマーの設定

EOU レート制限の設定

EOU RADIUS アカウンティングのイネーブル化またはディセーブル化

ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化

ポート単位での LAN ポート IP の初期化

ポート単位での LAN ポート IP の再確認

スーパバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション

グローバルな EOU 設定の表示

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示

ポート単位の LAN ポート IP ステートの要約の表示

ホスト固有の情報の表示

EOU 認証関連情報の表示

EOU ログの表示

ポスチャトークン単位の EOU 結果の表示

LAN ポート IP 設定の消去

すべての LAN ポート IP パラメータの消去

特定のホストの LAN ポート IP セッションの消去

例外グループからの IP アドレスの消去または例外グループの消去

EAPOUDP 関連タイマーのデフォルト値へのクリア

CTA パケットの再送信回数の消去

PBACL の設定

既存のポリシー グループへの IP アドレスの追加

ポリシー テンプレートへのポリシー グループの追加

ポリシー グループからの IP アドレスの消去

ポリシー テンプレートからのポリシー グループの消去

ポリシー グループ情報の表示

ポリシー テンプレートおよび関連するポリシー グループの表示

LAN ポート IP の設定例

LAN ポート 802.1X による NAC の設定

NAC の設定

この章では、Catalyst 6500 シリーズ スイッチ上で Network Admission Control(NAC)を設定する手順について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) IEEE 802.1X 認証の設定については、「802.1X 認証の設定」を参照してください。



) MAC(メディア アクセス制御)認証バイパスの設定については、「MAC 認証バイパスの設定」を参照してください。



) イーサネット、ファスト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合、ポート セキュリティ機能を使用してポートへのアクセスをブロックする手順については、「ポート セキュリティの設定」を参照してください。また、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングする場合に、ポート セキュリティを使用する場合に、ポート セキュリティを使用する手順についても説明します。



) Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチの CLI(コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法については、「AAA によるスイッチ アクセスの設定」を参照してください。


この章で説明する内容は、次のとおりです。

「LAN ポート IP による NAC の設定」

「LAN ポート 802.1X による NAC の設定」

LAN ポート IP による NAC の設定

ここでは、LAN ポート IP による NAC の設定手順について説明します。

「LAN ポート IP による NAC の機能概要」

「LAN ポート IP ポスチャ確認の要約」

「LAN ポート IP のハードウェアおよびソフトウェア要件」

「LAN ポート IP 設定時の注意事項および制限事項」

「LAN ポート IP の設定」

「LAN ポート IP の CLI コマンド例」

「PBACL の設定」

「LAN ポート IP の設定例」

LAN ポート IP による NAC の機能概要

ここでは、LAN ポート IP の概要について説明します。

「概要」

「ウイルス感染およびネットワークへの影響」

「NAC の機能概要」

「NAD」

「Cisco Trust Agent」

「Cisco Secure ACS」

「修復」

概要

NAC 機能は、ネットワーク化された企業に対して増加するワームおよびウイルスの脅威および影響に対処します。この機能は、ユーザがセキュリティの脅威を識別、防御、および適合するのに役立つ Cisco Self-Defending Network Initiative の一部です。

NAC はその初期段階で、スイッチおよびルータがネットワークに接続しようとしているエンドポイントのアクセス権を制限できるようにします。アクセスは、現在のアンチウイルス ステート(アンチウイルス ソフトウェアのバージョン、ウイルス定義、およびスキャン エンジンのバージョン)などのエンドポイント デバイスの情報に基づいて行われます。

NAC システムにより、非準拠のデバイスに対するアクセスの拒否、検疫エリアへの配置、またはコンピューティング リソースへの制限付きアクセスの許可が可能になり、非セキュアなノードがネットワークに悪影響を及ばさないようにします。

シスコの NAC プログラムの主要コンポーネントは Cisco Trust Agent で、エンドポイント システムに常駐して、ネットワーク上のシスコ製スイッチおよびルータと通信します。Cisco Trust Agent は、使用されているアンチウイルス ソフトウェアが何であるかなどのセキュリティ ステートの情報を収集して、シスコ製スイッチおよびルータにこの情報を送信します。次に、この情報は Cisco Secure Access Control Server(ACS)にリレーされて、アクセス制御が決定されます。ACS は、シスコ製スイッチまたはルータにエンドポイントに対する処理の実行を指示します。

ウイルス感染およびネットワークへの影響

ウイルス感染は、ネットワークに対する重大なセキュリティ違反において単独では最大の原因で、多大な経済的損失をもたらすことが少なくありません。ウイルス感染の原因は、非セキュアなエンドポイント(PC、ラップトップ、およびサーバなど)にあります。エンドポイントにアンチウイルス ソフトウェアがインストールされている場合でも、このソフトウェアがディセーブルである場合がよくあります。ソフトウェアがイネーブルであっても、エンドポイントに最新のウイルス定義およびスキャン エンジンがない場合もあります。また、アンチウイルス ソフトウェアがインストールされていない機器によって、より一層のセキュリティ上のリスクが発生します。現在のアンチウイルス ベンダーはアンチウイルス ソフトウェアのディセーブル化をより困難にしていますが、最新ではないウイルス定義およびスキャン エンジンのリスクには対処していません。

NAC の機能概要

エンドポイント システムまたはクライアントは、通常 PC、ラップトップ、ワークステーション、およびサーバなどネットワーク上のホストとなっています。エンドポイント システムは潜在的なウイルス感染源であるため、これらのアンチウイルス ステートはネットワーク アクセスが許可される前に検証される必要があります。エンドポイントが、アップストリームのシスコ製ネットワーク アクセス デバイス(シスコ製スイッチまたはルータ)を介してネットワークに IP 接続しようとすると、ネットワーク アクセス デバイスはエンドポイントにアンチウイルス ステートを要求します。エンドポイント システムは、Cisco Trust Agent というクライアントを実行して、エンド デバイスから収集したアンチウイルス ステート情報をネットワーク アクセス デバイスに転送します。次に、この情報は Cisco Secure ACS に送信されます。ACS では、エンドポイントのアンチウイルス ステートを検証し、アクセス制御を決定して、ネットワーク アクセス デバイスに戻します。ネットワーク デバイスでは、エンド デバイスの許可、拒否、または検疫が行われます。Cisco Secure ACS は、バックエンドのアンチウイルス ベンダー固有のサーバを順々に使用して、エンドポイントのアンチウイルス ステートを評価する場合もあります。

図42-1 に、Cisco NAC の機能を示します。

図42-1 Cisco IOS NAC システム

 

NAD

通常、Network Access Device(NAD)はシスコ製スイッチまたはルータ(レイヤ 3 Extensible Authentication Protocol over UDP [EAPoUDP] アクセス ポイント)で、インターネットまたはリモートの企業ネットワークなどの外部ネットワークと接続しています。

Cisco Trust Agent

Cisco Trust Agent は、エンドポイント システムで稼働する専門ソフトウェアです。Cisco Trust Agent は、スイッチまたはルータからのエンドポイント システムのアンチウイルス ステートに関する要求に応答します。NAD(スイッチまたはルータ)は、Cisco Trust Agent が稼働していないエンドポイント システムを「クライアントレス」として分類します。

Cisco Secure ACS

Cisco Secre ACS は、業界標準の RADIUS 認証プロトコルを使用して NAC に AAA サービスを提供します。Cisco Secre ACS は、エンドポイント システムのアンチウイルス証明に基づいて、NAD にアクセス制御の決定を戻します。

Cisco Secre ACS 上で次のアトリビュート/値ペア(AV ペア)を設定するには、RADIUS cisco_av_pair Vendor-Specific Attiribute(VSA)を使用します。これらの AV ペアは、NAD に他のアクセス制御アトリビュートと同時に送信されます。

url-redirect ― AAA クライアントが HTTP 要求を代行受信し、新しい URL にリダイレクトできるようにします。このリダイレクションは、ポスチャ確認の結果、修復 Web サーバ上で利用可能な更新またはパッチがネットワーク アクセス制御エンドポイントで必要となる場合に特に役立ちます。たとえば、新しいウイルスの Directory Administration Tool(DAT)ファイルまたはオペレーティング システムのパッチをダウンロードして適用するのに、修復 Web サーバにユーザをリダイレクトできます。次の例を参照してください。

url-redirect=http://10.1.1.1
 

監査サポートへの URL リダイレクト:監査機能は、Cisco Trust Agent(CTA)がイネーブルでないホスト用です。監査機能は、NAD がクライアントレス認証を実行する際に監査で必要なポリシーを送信するすると、ACS によりトリガーされます。監査機能は、監査サーバの URL を ホストの URL リダイレクト ポリシーとして送信することで達成されます。ホストからの HTTP トラフィックが確認されると、監査サーバの URL が提供されます。Policy-Based ACL(PBACL)により設定されたポリシーは、監査サーバとホスト間の通信を許可します。通常、セッション タイムアウトは監査が完了するには短く、このタイムアウトが満了すると、再確認が実行されます。NAD は ACS に事前に受信したステート アトリビュートを送信して、新しいポリシーを伝達します。このセッション タイムアウト間に監査が終了しない場合、ACS は別の短いセッション タイムアウトを送信し、監査のポスチャ トークンが受信されるまでこのプロセスを継続します。このプロセスが完了しないか、または時間がかかる場合、監査サーバは ACS に「エラー」のポスチャ トークンを戻します。


posture-token ― Cisco Secure ACS が、ポスチャ確認で取得した System Posture Token(SPT)のテキスト バージョンを送信できるようにします。SPT は常に数値形式で送信されます。posture-token AV ペアを使用することにより、ポスチャ確認要求の結果が AAA クライアント上で読み取りやすくなります。次の例を参照してください。

posture-token=Healthy
 

有効な SPT は、最良のものから順に次のとおりです。

Healthy

Checkup

Quarantine

Infected

Unknown

status-query-timeout ― AAA クライアントのステータスクエリのデフォルト値を指定した値(秒)で上書きします。次の例を参照してください。

status-query-timeout=150
 

シスコのソフトウェアでサポートされる AV ペアの詳細については、ご使用の AAA クライアントに実装されているソフトウェア リリースのマニュアルを参照してください。

修復

NAC は、エンドポイント デバイスからの任意の HTTP 要求を指定のリダイレクト アドレスへリダイレクトする HTTP リダイレクションをサポートします。このサポート メカニズムにより、送信元からのすべての HTTP 要求が指定の Web ページ(URL)にリダイレクトされ、そこで最新のアンチウイルス ファイルがダウンロードされます。HTTP リダイレクションが機能するには、ACS 上で [url-redirect] VSA の値を設定し、それに相応してエンドポイント システムのアクセスを許可するダウンロード可能な Access Control List(ACL; アクセス制御リスト)内の Access Control Entry(ACE; アクセス制御エントリ)をリダイレクト URL アドレスに関連付ける必要があります。

LAN ポート IP ポスチャ確認の要約

LAN ポート IP は、エンドユーザ デバイスのポスチャを確認し、そのポスチャに基づいてネットワークのアクセス権を与えるメカニズムです。ポスチャ確認後、エンドユーザ デバイスは 5 つのステート(healthy、checkup、quarantine、infected、または unknown)のいずれかに分類されます。デバイスのポスチャ ステートにより、ネットワークのアクセス権が与えられます。

LAN ポート IP の実行メカニズムには、URL リダイレクションおよび監査が含まれます。ネットワーク アクセスの実行には、PBACL が使用されます。

ポスチャ確認の基本的手順は、次のとおりです。

1. NAD は、Address Resolution Protocol(ARP; アドレス解決プロトコル)検査および(または)Dynamic Host Configuration Protocol(DHCP)スヌーピングを使用して、MAC および IP アドレス バインディングを学習します。

2. NAD は、ホストに EOU hello 要求を送信します。

3. CTA が稼働しているホストは、hello 応答により返答します。

4. NAD は、EOU 確認アイデンティティ要求を送信します。

5. CTA は、EOU 確認応答により返答します。

6. NAD は、EOU から抽出した EAP パケットを RADIUS アクセス要求に組み込んで、認証サーバ(ACS など)に送信します。

7. ACS はアクセス確認を返し、CTA には EOU 確認パケットの形式で転送されます。

8. ACS がポスチャ確認セッションに対して成功または失敗応答を送信するまで、手順 6 および手順 7 は継続されます。

9. 成功した場合、ACS は PBACL グループ、セッション タイムアウト、ステータス クエリ タイムアウト、認証済みユーザ名などが含まれるポスチャに関連付けられたポリシー、およびポスチャ トークン VSA を送信します。

ホストが NAD から送信された EOU hello 要求に応答しない場合、NAD(事前に設定された試行回数のあと)はホストにクライアントレス(CTA なし)を宣告します。NAD はホストの代わりに擬似認証を実行して、ポリシーを伝達します。監査などほかのポスチャ確認メカニズムがトリガーされます。

クライアントレス モードでは、NAD は 3 つの EOU hello メッセージ(デフォルト)を送信してから、ホストに CTA がないことを宣告します。クライアントレス認証の実行およびそのポリシーのインストールを行うこのプロセスでは、約 90 秒(30 秒 が 3 回)かかります。CTA を持たないことが明らかなポート上でのこの遅延を避けるには、ポート単位の CLI を使用してポート モードをバイパスに設定します( set port eou mod / port bypass)。これを実行すると、ポートは新しい IP アドレスを学習した場合、直ちにクライアントレス認証を行います。

ポスチャ確認非対応のためポスチャ確認を試行しないホストは例外です。例外と指定されたホストが検出された場合、事前設定済みのポリシーがインストールされます。

LAN ポート IP のハードウェアおよびソフトウェア要件

LAN ポート IP を設定する場合は、次のハードウェアおよびソフトウェア要件に従ってください。

Catalyst 6500 シリーズ スイッチ上では、Release 8.5(1) 以降のソフトウェア リリースが稼働している必要があります。

エンドポイント デバイス(PC、およびラップトップなど)上に CTA がインストールされている必要があります。

AAA 用の Cisco Secure ACS が必要です。

LAN ポート IP 設定時の注意事項および制限事項

LAN ポート IP を設定する場合、次の設定時の注意事項および制限事項に従ってください。

ACL および PBACL の設定に精通している必要があります。

AAA の設定に精通している必要があります。

LAN ポート IP は、802.1X、MAC 認証バイパス、および Web ベース プロキシ認証など他のセキュリティ機能と連動します。次のように、802.1X ポートに適用される制限事項は LAN ポート IP にも適用されます。

LAN ポート IP は、アクセス ポート上でのみ設定可能です。トランク ポート上では、設定できません。

LAN ポート IP ポートを、EtherChannel の一部にすることはできません。

ダイナミック ポートでは、LAN ポート IP をイネーブルにできません。

LAN ポート IP は、イーサネット ポート上でのみイネーブルにできます。

LAN ポート IP ポートは、SPAN 宛先ポートにできません。

LAN ポート IP ポートを、プライベート VLAN の一部にすることはできません。

LAN ポート IP は、802.1X または MAC 認証バイパスなどの認証機能がイネーブルの場合、認証の終了後にのみ初期化されます。

802.1X ― 802.1X 認証では、VLAN 割り当てなどのレイヤ 2 ポリシーを適用し、ポートに PBACL などのレイヤ 3 ポリシー アトリビュートも適用できます。LAN ポート IP ポリシーは、RADIUS サーバからダウンロードされたポリシーグループのメンバーシップでのみ構成されます。802.1X のディセーブルおよびイネーブルは、LAN ポート IP に影響しません。

マルチホストおよびマルチ認証モードは、サポートされません ― LAN ポート IP での 802.1X は、単一ホスト モードでのみサポートされます。

補助 VLAN ― LAN ポート IP は、マルチ VLAN アクセス ポート上でのみサポートされます。

ゲスト VLAN および認証失敗 VLAN ― LAN ポート IP でこれら 2 つの機能が設定されている場合、LAN ポート IP の動作は、ポスチャ確認のためにゲスト VLAN または認証失敗 VLAN から IP アドレスを取得するという点のみが異なります。

DHCP スヌーピングおよび(または)ARP 検査 ― IP ラーニングは、ARP 検査または DHCP スヌーピングにより行われます。LAN ポート IP を機能させるには、少なくともいずれかの機能がイネーブルである必要があります。これらの機能は、LAN ポート IP をトリガーするのに必要です(これらの機能の ACE を含む PBACL を LAN ポート IP が格納された VLAN にマッピングする必要があります)。これらの機能がいずれもイネーブルでない場合、レイヤ 2 スイッチはポート上に表示される新しい IP アドレスを学習できません。


) Supervisor Engine 1 は、ARP 検査をサポートしません。Supervisor Engine 1 を搭載している場合は、DHCP スヌーピングをイネーブルにする必要があります。


ポート セキュリティ ― LAN ポート IP は、ポート セキュリティと組み合わさって機能します。ポート セキュリティで確認された MAC アドレスのみが、ポスチャ確認を通過できます。ポート セキュリティ違反が発生し、ポートがシャットダウンした場合、ポートの LAN ポート IP ステートも消去されます。認証機能を設定すると、認証機能が MAC アドレスをポート セキュリティに提供し、MAC アドレスが認証に成功したことが保証され、LAN ポート IP が初期化されます。

セキュリティ ACL(VACL) ― セキュリティ ACL は PBACL として使用され、PBACL は VACL モードで LAN ポート IP でのみサポートされます。

MAC 認証バイパス ― LAN ポート IP は、MAC 認証バイパス、802.1X、または Web ベース プロキシ認証を使用した認証に成功した場合にのみ初期化されます。これらの認証機能のイネーブル化またはディセーブル化は、LAN ポート IP に影響しません。

Web ベース プロキシ認証 ― LAN ポート IP は、Web ベース プロキシ認証でアイデンティティ証明書の確認が完了した場合にのみ初期化されます。Web ベース プロキシ認証ステートでは、ポートは認証の完了を無期限に待機し、この段階で通過を許可されるのは、DHCP または Domain Name System(DNS; ドメイン ネーム システム)のみです。インターフェイス上で設定された ACL は、HTTP トラフィックのリダイレクションを処理します。インターフェイス上で設定された PBACL は、その他のトラフィックが許可されていないことを保証します。

LAN ポート IP の設定

ここでは、LAN ポート IP を設定する手順について説明します。


) LAN ポート IP の設定情報を表示して、LAN ポート IP の設定要素を消去するには、「LAN ポート IP の CLI コマンド例」を参照してください。PBACL を設定するには、「PBACL の設定」を参照してください。



) 次の設定手順の詳細については、「LAN ポート IP の設定例」を参照してください。


LAN ポート IP を設定するには、次の手順を実行します。


ステップ 1 次のように、set eou { enable | disable } コマンドを使用して、スイッチ上で LAN ポート IP をグローバルにイネーブルにします( デフォルトはディセーブル)。

Console> (enable) set eou enable
EoU globally enabled.
Console> (enable)
 

ステップ 2 次のように、 set port eou mod / port { bypass | auto | disable | initialize | revalidate } コマンドを使用して、ポート単位で LAN ポート IP をイネーブルにします。

Console> (enable) set port eou 7/1 auto
EoU enabled on 7/1
Console> (enable)
 

ステップ 3 次のコマンドを使用して、RADIUS サーバおよび RADIUS 鍵を定義します。

set radius server ip_addr [ auth-port port ] [ acct-port port ] [ primary ]

set radius key key

次に、RADIUS サーバを定義する例を示します。

Console> (enable) set radius server 10.76.39.93 auth-port 1812 primary
10.76.39.93 with auth-port 1812 acct-port 1813 added to radius server table as primary server.
Console> (enable)
 

次に、RADIUS 鍵を定義する例を示します。

Console> (enable) set radius key cisco
Radius key set to cisco
Console> (enable)
 

ステップ 4 次のように、 PBACL を定義して VLAN にマッピングします。

a. DHCP スヌーピングおよび(または)ARP 検査をイネーブルにします。

set security acl ip acl-name permit dhcp-snooping

set security acl ip acl-name permit arp-inspection

b. EAPoUDP リダイレクションをイネーブルにします。

set security acl ip acl-name permit eapoudp

c. 各種 LAN ポート IP ステートに対応するポリシー グループを使用して、他のポリシー ステートメントを定義します。例:

set security acl ip NACACL permit ip group healthy_hosts any

set security acl ip NACACL deny ip group infected_hosts any

set security acl ip NACACL permit ip group exception_hosts any

set security acl ip NACACL permit ip group clientless_hosts host 10.76.39.100

d. URL リダイレクションでは、次の ACE を適所で適用します。

set security acl ip NACACL permit url-redirect

ステップ 5 次のように、クライアントレス Non-Responsive Host(NRH ホスト)では、クライアントレス機能をイネーブルにします。

set eou allow clientless enable

ステップ 6 また、NRH ホストのポリシーを定義することもできます。上記の手順で定義された ACL には、指定されたグループが存在する必要があります。

set policy name exception_policy group exception_hosts

ステップ 7 次のように、例外ホストを指定して、ポリシーを割り当てます。

set eou authorize ip 77.0.0.90 policy exception_policy

ステップ 8 RADIUS サーバを設定します。RADIUS サーバ設定の詳細については、次の URL で『 Implementing Network Admission Control Phase One Configuration and Deployment 』を参照してください。

http://www.cisco.com/application/pdf/en/us/guest/netsol/ns466/c654/cdccont_0900aecd80217e26.pdf

ACL で使用されるポリシー グループが、ポスチャトークン VSA(26/9/1 sec:pg=healthy_hosts など)により設定されていることを確認します。

ACS のポリシー グループは定義されているが、VLAN にマッピングされた VACL がそのグループを参照しない場合、ポリシーのインストールが失敗するためポスチャ確認は失敗します。

ステップ 9 次のように、sc0 インターフェイスで適切な IP アドレスが設定されていることを確認します。

set interface { sc0 | sl0 | sc1 } { up | down }

set interface sc0 [ vlan ] [ ip_addr / netmask [ broadcast ]]

ステップ 10 ホストが接続されている VLAN にデフォルト ルータが存在することを確認します。デフォルト ルータがない場合は、sc0 の IP アドレス用にホスト上のスタティックな ARP が必要です。

ステップ 11 ホストおよび管理インターフェイス(sc0)が同じ VLAN にあり、この VLAN に VACL が設定されている場合、スイッチの IP アドレスから RADIUS サーバへのトラフィックを許可する ACE を設定する必要があります。


 

LAN ポート IP の CLI コマンド例

ここでは、次の LAN ポート IP の CLI コマンド例を紹介します。

「LAN ポート IP のグローバルなイネーブル化またはディセーブル化」

「クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化」

「例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用」

「例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用」

「ホストのステート マシンの再起動」

「CTA パケットの再送信回数の指定」

「ホストの再確認」

「LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化」

「EAPOUDP 関連タイマーの設定」

「EOU レート制限の設定」

「EOU RADIUS アカウンティングのイネーブル化またはディセーブル化」

「ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化」

「ポート単位での LAN ポート IP の初期化」

「ポート単位での LAN ポート IP の再確認」

「スーパバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション」

「グローバルな EOU 設定の表示」

「すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示」

「ポート単位の LAN ポート IP ステートの要約の表示」

「ホスト固有の情報の表示」

「EOU 認証関連情報の表示」

「EOU ログの表示」

「ポスチャトークン単位の EOU 結果の表示」

「LAN ポート IP 設定の消去」

「すべての LAN ポート IP パラメータの消去」

「特定のホストの LAN ポート IP セッションの消去」

「例外グループからの IP アドレスの消去または例外グループの消去」

「EAPOUDP 関連タイマーのデフォルト値へのクリア」

「CTA パケットの再送信回数の消去」

LAN ポート IP のグローバルなイネーブル化またはディセーブル化

スイッチ上で LAN ポート IP をイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います(デフォルトはディセーブルです)。

 

作業
コマンド

スイッチ上で LAN ポート IP をグローバルにイネーブルまたはディセーブルにします。

set eou { enable | disable }

次に、スイッチ上で LAN ポート IP をグローバルにイネーブルにする例を示します。

Console> (enable) set eou enable
EoU globally enabled.
Console> (enable)

クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化

クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスをグローバルにイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を実行します(デフォルトはディセーブル)。

 

作業
コマンド

クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスをイネーブルにします。

set eou allow clientless { enable | disable }

次に、クライアントレス ホストおよび例外ホストに対する LAN ポート IP ポスチャ確認のバイパスをイネーブルする例を示します。

Console> (enable) set eou allow clientless enable
EoU Clientless hosts will be allowed
Console> (enable)

例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用

これにより、特定の IP アドレスが例外ホストとして処理され、このホストが検出されると、ポリシー名により指定されたポリシーがダイナミックにインストールされます。


) ポリシー テンプレートが存在しない場合は、次のコマンドを実行して、ポリシー テンプレートを作成します。


IP デバイスをスタティックに許可して、関連するポリシーをデバイスに適用するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

IP デバイスをスタティックに許可して、関連するポリシーをデバイスに適用します。

set eou authorize ip ip_addr policy policy_name

set eou authorize ip ip_addr ip_mask policy policy_name

次に、IP デバイスをスタティックに許可して、関連するポリシーをデバイスに適用する例を示します。

Console> (enable) set eou authorize ip 172.20.52.19 255.255.255.224 policy poll
Mapped IP address 172.20.52.0 IP mask 255.255.255.224 to policy name poll
Console> (enable)

例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用

これにより、特定の MAC アドレスが例外ホストとして処理され、このホストが検出されると、ポリシー名により指定されたポリシーがダイナミックにインストールされます。


) ポリシー テンプレートが存在しない場合は、set eou authorize コマンドを実行して、テンプレートを作成します。


デバイスの MAC アドレスを使用してデバイスをスタティックに許可し、関連するポリシーをデバイスに適用するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

デバイスの MAC アドレスを使用してデバイスをスタティックに許可し、関連するポリシーをデバイスに適用します。

set eou authorize mac-address mac_address policy policy_name

set eou authorize mac-address mac_address mac_mask policy policy_name

次に、デバイスの MAC アドレスを使用してデバイスをスタティックに許可し、関連するポリシーをデバイスに適用する例を示します。

Console> (enable) set eou authorize mac-address 03-56-B7-45-65-56 policy poll
Mapped MAC 03-56-b7-45-65-56 to policy name poll.
Console> (enable)

ホストのステート マシンの再起動

ホストのステート マシンを再起動するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ホストのステート マシンを再起動します。

set eou initialize all

set eou initialize authentication { clientless | eap | static }

set eou initialize ip ip-address

set eou initialize mac mac-address

set eou initialize posture-token posture-token

次に、IP アドレスを使用してホストのステート マシンを再起動する例を示します。

Console> (enable) set eou initialize ip 172.20.52.19
Initializing Eou for ipAddress 172.20.52.19
Console> (enable)

CTA パケットの再送信回数の指定

CTA が反応なしと宣告されるまでにパケットが CTA に再送信される回数を指定するには、イネーブル モードで次の作業を実行します(デフォルトは 3 で、1 ~ 10 の範囲です)。

 

作業
コマンド

CTA が反応なしと宣告されるまでにパケットが CTA に再送信される回数を指定します。

set eou max-retry max-retry

次に、CTA が反応なしと宣告されるまでにパケットが CTA に再送信される回数を 6 に指定する例を示します。

Console> (enable) set eou max-retry 6
eou max-retry set to 6.
Console> (enable)

ホストの再確認

ホストを再確認するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ホストを再確認します。

set eou revalidate all

set eou revalidate authentication { clientless | eap | static }

set eou revalidate ip ip-address

set eou revalidate mac mac-address

set eou revalidate posture-token posture-token

次に、すべてのクライアントレス ホストを再確認する例を示します。

Console> (enable) set eou revalidate authentication clientless
Revalidate all clientless hosts
Console> (enable)

LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化

LAN ポート IP イベントの EOU ロギングをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います(デフォルトはディセーブル)。

 

作業
コマンド

LAN ポート IP イベントの EOU ロギングをイネーブルまたはディセーブルにします。

set eou logging { enable | disable }

次に、LAN ポート IP イベントの EOU ロギングをイネーブルにする例を示します。

Console> (enable) set eou logging enable
EoU Logging enabled
Console> (enable)

EAPOUDP 関連タイマーの設定

EAPOUDP 関連タイマーを設定するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

EAPOUDP 関連タイマーを設定します。

set eou timeout aaa aaa-timeout

set eou timeout hold-period hold-timeout

set eou timeout retransmit retransmit-timeout

set eou timeout revalidation revalidation-timeout

set eou timeout status-query status-query-timeout

タイマーのデフォルトおよび範囲は、次のとおりです。

aaa ― デフォルトは 60 秒で、範囲は 1 ~ 60 秒です。

hold-period ― デフォルトは 180 秒で、範囲は 60 ~ 86400 秒です。

retransmit ― デフォルトは 30 秒で、範囲は 1 ~ 60 秒です。

revalidation ― デフォルトは 3600 秒で、範囲は 5 ~ 86400 秒です。

status-query ― デフォルトは 300 秒で、範囲は 30 ~ 1800 秒です。

次に、再確認タイマーを 200 秒に設定する例を示します。

Console> (enable) set eou timeout revalidation 200
Console> (enable)

EOU レート制限の設定

EOU レート制限(デフォルトは 0 で、範囲は 10 ~ 200)を設定するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

EOU レート制限を設定します。

set eou rate-limit ratelimit

次に、EOU レート制限を 40 に設定する例を示します。

Console> (enable) set eou rate-limit 40
eou ratelimit set to 40.
Console> (enable)

EOU RADIUS アカウンティングのイネーブル化またはディセーブル化

EOU RADIUS アカウンティングをイネーブルまたはディセーブルにするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

EOU RADIUS アカウンティングをイネーブルまたはディセーブルにします。

set eou radius-accounting { enable | disable }

次に、EOU RADIUS アカウンティングをイネーブルにする例を示します。

Console> (enable) set eou radius-accounting enable
Radius Accounting for Eou Enabled.
Console> (enable)

ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化

LAN ポート IP をポート単位でバイパス、ディセーブル化、またはイネーブル化できます。 auto モードを指定すると、クライアントが検出された場合に LAN ポート IP が自動的にイネーブルになります。

ポート単位で、LAN ポート IP のバイパス、ディセーブル化、または auto モードを指定するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

ポート単位で LAN ポート IP のバイパス、ディセーブル化、または auto モードを指定します。

set port eou mod / port { auto | bypass | disable | initialize | revalidate }

次に、ポート 5/1 で LAN ポート IP をイネーブルにする例を示します。

Console> (enable) set port eou 5/1 auto
EoU enabled on 5/1
Console> (enable)
 

次に、ポート 7/1 を bypass モードに設定する例を示します。

Console> (enable) set port eou 7/1 bypass
 
Eou Bypass enabled on 7/1
Console> (enable)

ポート単位での LAN ポート IP の初期化

ポート単位で LAN ポート IP を初期化するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート単位で LAN ポート IP を初期化します。

set port eou mod / port initialize

次に、ポート 7/1 で LAN ポート IP を初期化する例を示します。

Console> (enable) set port eou 7/1 initialize
Initializing EoU for all hosts on port 7/1
Console> (enable)

ポート単位での LAN ポート IP の再確認

ポート単位で LAN ポート IP を再確認するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

ポート単位で LAN ポート IP を再確認します。

set port eou mod / port revalidate

次に、ポート 7/1 で LAN ポート IP を再確認する例を示します。

Console> (enable) set port eou 7/1 revalidate
Re-validating EoU for all hosts on port 7/1
Console> (enable)

スーパバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション

スーパバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトするには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

スーパバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトします。

set security acl ip acl_name permit eapoudp ip_mask [ before | modify ] ace_insert _ position

次に、スーパバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトする例を示します。

提供される予定です。

グローバルな EOU 設定の表示

グローバルな EOU 設定を表示するには、ユーザ モードで次の作業を行います。

 

作業
コマンド

グローバルな EOU 設定を表示します。

show eou config

次に、グローバルな EOU 設定を表示する例を示します。

Console> (enable) show eou config
Eou Protocol Version : 1
Eou Global Config
-----------------
Eou Global Enable : Enabled
Eou Clientless : Disabled
Eou Logging : Enabled
Eou Radius Accounting : Enabled
Eou MaxRetry : 3
Eou AAA timeout : 60
Eou Hold timeout : 180
Eou Retransmit timeout : 30
Eou Revalidation timeout : 3600
Eou Status Query timeout : 300
Eou Rate Limit : 40
Eou Udp Port : 21862
 
Ip Exception List and Policies
--------------------------------------
0.0.0.18 255.255.255.224 TEST
 
Console> (enable)

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示するには、ユーザ モードで次の作業を実行します。

 

作業
コマンド

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示します。

show eou all

次に、すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示する例を示します。

Console> (enable) show eou all
Eou Summary
-----------
Eou Global State = enabled
 
Currently Validating EOU Sessions = 0
mNo/pNo Host Ip Nac_Token Host_Fsm_State Username
------- ---------------- --------- -------------- --------
Console> (enable)

ポート単位の LAN ポート IP ステートの要約の表示

LAN ポート IP 対応ポートのポート単位の LAN ポート IP ステートの要約を表示するには、ユーザ モードで次の作業を実行します。

 

作業
コマンド

LAN ポート IP 対応ポートのポート単位の LAN ポート IP ステートの要約を表示します。

show port eou mod/port

次に、ポート 7/1 上の LAN ポート IP ステートの要約を表示する例を示します。

Console> (enable) show port eou 7/1
Port EOU-State IP Address MAC Address
-------- --------- --------------- -----------------
7/1 bypass - -
 
Port FSM State Auth Type SQ-Timeout Session Timeout
-------- ------------- ----------- ---------- ---------------
7/1 - - - -
 
Port Posture URL Redirect
-------- ------------ --------------------
7/1 - -
 
Port Termination action Session id
-------- ------------------ --------------------------------
7/1 - -
Console> (enable)

ホスト固有の情報の表示

ホスト固有の情報を表示するには、ユーザ モードで次の作業を行います。

 

作業
コマンド

ホスト固有の情報を表示します。

show eou host { ip | mac } value

show eou host mac_address mac_address

次に、ホスト固有の情報を表示する例を示します。

Console> (enable) show eou host 9.6.2.15
HostIP HostMac Port Posture-token
--------------- ----------------- ------ --------------------
9.6.2.15 00-11-85-8d-bf-ab 2/5 Healthy
IP Address Eou State AuthType SQTimeout SessTimeout
--------------- ------------- -------- --------- -----------
9.6.2.15 authenticated eap 301 3600
Console> (enable)

EOU 認証関連情報の表示

次の認証関連情報を表示するには、ユーザ モードで次の作業を行います。

clientless ― すべてのクライアントレス ポートを表示します。

eap ― EAP 認証をするすべてのポートを表示します。

static ― 例外リストのすべてのホストを表示します。

 

作業
コマンド

認証関連情報を表示します。

show eou authentication { clientless | eap | static }

次に、認証関連情報を表示する例を示します。

  • Console> (enable) show eou authentication eap
  • Host IP HostMac Port Posture-token
  • --------------- ------------------ ------- --------------------
  • 9.6.2.15 00-11-85-8d-bf-ab 2/5 Healthy
  • IP Address Eou State AuthType SQTimeout SessTimeout
  • --------------- ------------- --------- --------- -----------

9.6.2.15 authenticated eap 301 3600

Console> (enable)

EOU ログの表示

EOU ログを表示するには、ユーザ モードで次の作業を行います。

 

作業
コマンド

EOU ログを表示します。

show eou log

次に、EOU ログを表示する例を示します。

Console> (enable) show eou log
LPIP-EVENT : New ip on port 3/12 9.9.150.21 from Arp-inspection
LPIP-ERROR : Failure to get host information for 9.9.143.20
LPIP-EVENT : Host 9.9.150.34 moved to EAPOUDP_TX_HELLO state
Console> (enable)

ポスチャトークン単位の EOU 結果の表示

ポスチャトークン単位の EOU 結果を表示するには、ユーザ モードで次の作業を実行します。

 

作業
コマンド

ポスチャトークン単位の EOU 結果を表示します。

show eou posture-token posture_token

LAN ポート IP 設定の消去

LAN ポート IP 設定を消去して、デフォルト値に戻すには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

LAN ポート IP 設定を消去して、デフォルト値に戻します。

clear eou config

次に、LAN ポート IP 設定を消去して、デフォルト値に戻す例を示します。

Console> (enable) clear eou config
This command will disable EoU on all ports and take EoU parameter values back to defaults.
Do you want to continue (y/n) [n]? y
Console> (enable)

すべての LAN ポート IP パラメータの消去

このコマンドにより、すべてのポートで学習されたホストの EOU セッションすべてが消去されます。EOU 設定は消去されません。すべての LAN ポート IP パラメータを消去するには、イネーブル モードで次の作業を行います。

 

作業
コマンド

すべての LAN ポート IP パラメータを消去します。

clear eou all

次に、すべての LAN ポート IP パラメータを消去する例を示します。

Console> (enable) clear eou all
Console> (enable)

特定のホストの LAN ポート IP セッションの消去

MAC アドレスまたは IP アドレスにより特定のホストの LAN ポート IP セッションを消去するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

MAC アドレスまたは IP アドレスにより特定のホストの LAN ポート IP セッションを消去します。

clear eou host { ip-address | mac-address }

次に、指定の IP アドレスのホストの EOU セッションを消去する例を示します。

Console> (enable) clear eou host 9.9.10.10
EOU session of host with IP 9.9.10.10 cleared.
Console> (enable)

例外グループからの IP アドレスの消去または例外グループの消去

例外グループから IP アドレスを消去するか、または例外グループを消去するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

例外グループから IP アドレスを消去するか、または例外グループを消去します。

clear eou authorize ip ip-address policy policy_name

clear eou authorize ip ip-address ip_mask policy policy_name

clear eou authorize mac-address mac_address policy policy_name

clear eou authorize mac-address mac_address mac_mask policy policy_name

次に、例外グループから IP アドレスを消去する例を示します。

Console> (enable) clear eou authorize ip 10.1.1.1 255.255.255.240 policy pol1
Cleared host 10.1.1.1 255.255.255.240 from exception group and removed its policy mapping.
Console> (enable)

EAPOUDP 関連タイマーのデフォルト値へのクリア

EAPOUDP 関連タイマーをデフォルト値にクリアするには、イネーブル モードで次の作業を行います。

 

作業
コマンド

EAPOUDP 関連タイマーをデフォルト値にクリアします。

clear eou timeout [ aaa | hold-period | restransmit | revalidation | status-query ]

次に、保留期間タイマーをデフォルト値にクリアする例を示します。

Console> (enable) clear eou timeout hold-period
Console> (enable)

CTA パケットの再送信回数の消去

グローバルな CTA パケットの再送信回数を消去するには、イネーブル モードで次の作業を実行します(このコマンドにより、再送信回数がデフォルト値の 3 に戻されます)。

 

作業
コマンド

グローバルな CTA パケット再送信回数を消去します。

clear eou max-retry

次に、グローバルな CTA パケットの再送信回数を消去する例を示します。

Console> (enable) clear eou max-retry
Eou max-retry set to 3
Console> (enable)

既存のポリシー グループへの IP アドレスの追加

このコマンドにより、既存のポリシー グループに IP アドレスを追加できるようになります。グループ データベースにグループ名が存在しない場合、このコマンドは失敗します。

既存のポリシー グループに IP アドレスを追加するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

既存のポリシー グループに IP アドレスを追加します。

set policy group group-name ip-address ip-address

次に、既存のポリシー グループに IP アドレスを追加する例を示します。

Console> (enable) set policy group grp1 ip-address 100.1.1.1 255.255.255.255
Added IP 100.1.1.1/255.255.255.255 to policy group grp1.
Console> (enable)

ポリシー テンプレートへのポリシー グループの追加

ポリシー テンプレートにポリシー グループを追加できます。ポリシー テンプレートが存在しない場合は、作成されます。同様に、グループ名が存在しない場合も作成されます。

ポリシー テンプレートにポリシー グループを追加するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

ポリシー テンプレートにポリシー グループを追加します。

set policy name policy-name group group-name

次に、ポリシー テンプレートにポリシー グループを追加する例を示します。

Console> (enable) set policy name pol1 group grp1
Added group grp1 to policy template pol1.
Console> (enable)

ポリシー グループからの IP アドレスの消去

ポリシー グループから IP アドレスを消去するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

ポリシー グループから IP アドレスを消去します。

clear policy group group-name ip-address ip-address

次に、ポリシー グループから IP アドレスを消去する例を示します。

Console> (enable) clear policy group grp1 ip-address 100.1.1.1
Cleared IP 100.1.1.1 from policy group grp1.
Console> (enable)

ポリシー テンプレートからのポリシー グループの消去

ポリシー テンプレートからポリシー グループを消去するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

ポリシー テンプレートからポリシー グループを消去します。

clear policy name policy-name group group-name

次に、ポリシー テンプレートからポリシー グループを消去する例を示します。

Console> (enable) clear policy name pol1 group grp1
Cleared group grp1 from policy template pol1.
Console> (enable)

ポリシー グループ情報の表示

ポリシー グループ情報を表示するには、ユーザ モードで次の作業を行います。

 

作業
コマンド

ポリシー グループ情報を表示します。

show policy group { all | group-name }

次に、ポリシー グループ情報を表示する例を示します。

Console> (enable) show policy group all
Group Name = grp1
Group Id = 1
No.of IP Addresses = 3
Src Type = ACL CLI
List of Hosts in group.
-----------------------
Interface = 0/0
IpAddress = 100.1.1.1
Src type = CONFIG
 
Interface = 0/0
IpAddress = 100.1.1.2
Src type = CONFIG
 
--------------------------------------------------
Group Name = grp2
Group Id = 2
No.of IP Addresses = 0
Src Type = ACL CLI
Console> (enable)

ポリシー テンプレートおよび関連するポリシー グループの表示

ポリシー テンプレートおよび関連するポリシー グループを表示するには、イネーブル モードで次の作業を実行します。

 

作業
コマンド

ポリシー テンプレートおよび関連するポリシー グループを表示します。

show policy name { all | policy-name }

次に、ポリシー テンプレートおよび関連するポリシー グループを表示する例を示します。

Console> (enable) show policy name all
Policy Template pol1
Security Policy Groups :grp1 grp2
Console> (enable)

LAN ポート IP の設定例

LAN ポート IP を設定する場合、次の設定例を使用します。

ポート 8/14 が RADIUS サーバに接続

ポート 8/13 が CTA を持つホストに接続

ポート 8/24 が CTA を持たないホストに接続

begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Fri Mar 4 2005, 17:11:20
!
#version 8.5(0.44)JAC
!
!
#Nac
set eou enable
set eou allow clientless enable
set policy name exception_policy group exception_hosts
set eou authorize ip 77.0.0.90 policy exception_policy
!
#radius
set radius server 10.76.39.93 auth-port 1812 primary
set radius key cisco
!
#vtp
set vtp mode transparent vlan
set vlan 12 name RADIUS_CONNECTIVIY type ethernet mtu 1500 said 100012 state active
set vlan 77 name ALL_HOSTS type ethernet mtu 1500 said 100077 state active
set vlan 1,3
!
#ip
set interface sc0 12 9.6.3.3/255.255.255.0 9.6.3.255
set interface sl0 down
set interface sc1 77 77.0.0.2/255.255.255.0 77.0.0.255
set ip route 10.0.0.0/255.0.0.0 9.6.3.1
!
!
#security ACLs
clear security acl all
#NACACL
set security acl ip NACACL permit arp
set security acl ip NACACL permit arp-inspection any any
set security acl ip NACACL permit dhcp-snooping
set security acl ip NACACL permit udp any eq 21862 host 9.6.3.3 eq 53000
set security acl ip NACACL permit ip group Healthy_hosts any
set security acl ip NACACL deny ip group infected_hosts any
set security acl ip NACACL permit ip group exception_hosts any
set security acl ip NACACL permit ip group clientless_hosts host 10.76.39.100
#
commit security acl all #
# map the ACL to VLAN 77
set security acl map NACACL 77
!
#module 8 : 48-port 10/100BaseTX Ethernet
set vlan 12 8/14
set vlan 77 8/13,8/24
set port name 8/13 HOSTS
set port name 8/14 RADIUS
set port name 8/24 HOSTS
set port eou 8/13 enable
set port eou 8/24 bypass
set port dhcp-snooping 8/14 trust enable
!
#module 9 empty
!
#module 15 : 1-port Multilayer Switch Feature Card
!
#module 16 empty
!
#switch port analyzer
set span permit-list disable
set span permit-list include
end
sup2> (enable)
 

Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)の設定(デフォルト ルータ)は、次のとおりです。

Router# show run
Building configuration...
Current configuration : 509 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
!
!
ip multicast-routing
ip dhcp-server 10.76.39.93
redundancy
high-availability
single-router-mode
!
!
!
interface Vlan12
ip address 9.6.3.6 255.255.255.0
!
interface Vlan77
ip address 77.0.0.76 255.255.255.0
ip helper-address 10.76.39.93
!
ip classless
ip route 10.76.0.0 255.255.0.0 Vlan12
no ip http server
!
!
!
line con 0
line vty 0 4
login
!
!
end

LAN ポート 802.1X による NAC の設定


) LAN ポート 802.1X 固有の CLI コマンドはありません。ポスチャ確認および認証は、標準の 802.1X 認証を通じて単一の EAP トンネル内でシームレスに行われます。IEEE 802.1X 認証の設定については、「802.1X 認証の設定」を参照してください。



) LAN ポート IP に適用される制限事項は、LAN ポート 802.1X にも適用されます。LAN ポート IP の制限事項については、「LAN ポート IP 設定時の注意事項および制限事項」を参照してください。


LAN ポート 802.1X は標準の 802.1X 認証と組み合わさって、レイヤ 2 ネットワーク エッジでの統合型認証およびポスチャ確認メカニズムを提供します。LAN ポート 802.1X は、ネットワーク内で LAN ポート IP と同じポイントで動作しますが、ポスチャ確認の開始、ホストと認証サーバ間の通信、および生成されるアクセス制限の適用には、異なるメカニズムを使用します。

LAN ポート 802.1X ポスチャ確認は、標準の 802.1X メカニズム(要求元が NAD に EAPOL-Start メッセージを送信するか、または NAD が EAP-Request/Identity メッセージにより要求元をプローブする)によりトリガーされます。ポスチャ情報はバックエンド サーバにより確認されるため、ユーザ ID 証明書とともに送信されます。要求元と NAD 間の認証交換は、EAPOL 上で行われます。ポリシーの適用は、指定された VLAN に認証済みポートを割り当ててセグメンテーションを提供したり、ポスチャが不十分なホストを検疫することにより、レイヤ 2 で行われます。


) LAN ポート IP とは異なり、LAN ポート 802.1X ではポスチャが適切でないホストからの非 IP バージョン 4 トラフィックを制限するため、このような制限を必要とする配置での使用が推奨されます。


LAN ポート 802.1X のポリシー適用は、次のとおりです(標準 802.1X 認証ではサポートされています)。

VLAN 割り当て ― 通常のネイティブ VLAN 割り当て(LAN ポート 802.1X では、プライベート VLAN 割り当てはサポートされません)

セキュリティ ACL 割り当て ― RADIUS サーバから送信される PBACL 名は、ポート インターフェイスに割り当てられ、PACL または VACL となります。

ポリシー グループ ― PBACL ポリシー グループは、ACS サーバから送信されます。

LAN ポート 802.1X では、ポリシー適用に VLAN と PBACL の組み合わせが使用され、LAN ポート IP では PBACL のみが使用されます。

再認証は、標準の 802.1X 認証と同様に機能し、RADIUS サーバが送信したセッション タイムアウトおよびターミネーション アクション アトリビュート、またはローカルの CLI で設定したアトリビュートを使用します。これらのアトリビュートは、RADIUS サーバからの Access-Accept メッセージの一部として受信されません。

LAN ポート 802.1X では、ホストは次のカテゴリのいずれかに分類されます。

拡張 CTA ― この CTA は、単一の EAP トンネル内の認証 Type-Length-Value(TLV)とポスチャ TLV の両方を送信でき、RADIUS サーバからのポリシー適用には、VLAN 割り当てと PBACL グループの両方が含まれます。

レガシー要求元およびレガシー CTA ― これらのホストには、拡張 CTA がありません。CTA に接続できない標準 802.1X 要求元はあります。また、EAPoUDP を使用してポスチャ確認できるレガシー CTA もあります。これらのホストでは、LAN ポート 802.1X が完了すると、スイッチがポスチャ確認の結果を確認します。ポスチャ結果が受信されなければ、ホストに拡張 CTA がないとみなされます。ポート上で設定されている LAN ポート IP は、ポスチャ確認を行うようトリガーされます。このカテゴリは、LAN ポート IP と 802.1X 認証の組み合わせです。

レガシー 要求元および CTA なし ― これらの 802.1X 対応ホストには、CTA がありません。802.1X 認証の完了後、スイッチはポスチャ確認が実行されていないことを認識し、ポート上で LAN ポート IP がイネーブルの場合は、スイッチは LAN ポート IP でポスチャ確認を実行するよう指示します。LAN ポート IP が実行されると、ホストが EoU パケットに応答していないことを認識し、ホストに「クライアントレス」ポスチャ ポリシーをダウンロードします。対照的に、802.1X 認証では認証結果に基づいてポリシーを適用します。

要求元なしおよびレガシー CTA ― ホストに 802.1X 対応の要求元がない場合、802.1X のタイム アウトが発生し、ポートはゲスト VLAN に移行されます。または MAC 認証バイパスが設定されている場合は、ホストの MAC アドレスを認証するのに MAC 認証バイパスが要求されます。ポートの許可後(MAC 認証バイパスまたはゲスト VLAN により)、LAN ポート IP が設定されている場合は、LAN ポート IP がポスチャ確認を行い、ポスチャ ポリシーを取得します。

要求元なしおよび CTA なし ― ダム ホストが 802.1X 対応でなく、CTA もインストールされていないスイッチ ポートに接続されている場合、スイッチは最初、EAPOL 交換を行い、応答がない場合は、ポートをゲスト VLAN ステートに移行するか、または MAC アドレス バイパス(設定されている場合)が MAC アドレスを認証するよう要求します。ポートがこれらいずれかの機能により許可されると、スイッチは LAN ポート IP(設定されている場合)がポスチャ確認を行うよう要求します。LAN ポート IP では、hello メッセージに応答がないことを認識し、クライアントレス認証を行って、反応がないホスト用にポスチャ ポリシーを取得します。