Catalyst 6500 シリーズ スイッチソフトウェア コン フィギュレーション ガイド リリース8.7
ホストのエージングのトラッキング
ホストのエージングのトラッキング
発行日;2012/01/31 | 英語版ドキュメント(2009/09/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

ホストのエージングのトラッキング

ホストのエージングのトラッキング機能概要

IP デバイスのトラッキングのグローバル設定

IP デバイスのトラッキング間隔の指定

IP デバイスのトラッキング カウントの指定

IP デバイスのトラッキングのポート設定

802.1x 認証を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

Web ベースのプロキシ認証を使用した IP デバイスのトラッキングのポートでのイネーブル化またはディセーブル化

EoU を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

ホストのエージングのトラッキング

この章では、802.1X、MAC 認証バイパス、Web ベース プロキシ認証、および EoU を使用したCatalyst 6500 シリーズ スイッチでの IP デバイスのトラッキングの設定方法について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) IEEE 802.1X 認証の設定については、第 40 章「802.1X 認証の設定」を参照してください。



) MAC 認証バイパスの設定については、第 41 章「MAC 認証バイパスの設定」を参照してください。



) Web ベース プロキシ認証の設定については、第 42 章「Web ベース プロキシ認証の設定」を参照してください。



) EoU の設定手順については、第 44 章「NAC の設定」を参照してください。


この章で説明する内容は、次のとおりです。

「ホストのエージングのトラッキング機能概要」

「IP デバイスのトラッキングのグローバル設定」

「802.1x 認証を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化」

「MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化」

「Web ベースのプロキシ認証を使用した IP デバイスのトラッキングのポートでのイネーブル化またはディセーブル化」

ホストのエージングのトラッキング機能概要

レイヤ 2 認証機能である 802.1x、および MAC 認証バイパスは、ハードウェアのパケット スイッチングを確認するために CAM テーブルにエントリをインストールします。CAM エントリはスタティックであり、必ずしも最新でない場合があります。エントリは、セッション終了時に認証機能によって削除されない場合、ハードウェアとともにエージングします。認証セッション満了前にホストが脱退するか、CAM エントリが削除されるという通知が認証マネージャにされていない場合、古くなったエントリはハードウェアのスイッチング テーブルに残存します。レイヤ 3 プロトコルの LAN ポート IP および Web ベースプロキシ認証機能でも、セッション満了前にホストが脱退した場合に CAM エントリをエージング アウトする方法はありません。

認証マネージャに含まれている IP デバイスのトラッキング機能がホストの存在を追跡し、CAM テーブル内に残存しているエントリを削除します。デバイスのトラッキング機能により、ハードウェアのエントリおよび認証セッションが確実にエージング アウトされます。エージングの結果、ホストは Enhanced Address Recognition Logic(EARL)から削除されます。

IP デバイスのトラッキングのグローバル設定

イネーブルに設定されている場合、IP デバイスのトラッキング機能により、ホストが引き続き存在するかを確認するプローブが送信されます。プローブは、通常の間隔で指定された回数だけ送信されます。デフォルトはイネーブルです。

IP デバイスをグローバルにトラッキングする機能をイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

IP デバイスのトラッキングをグローバルにイネーブルまたはディセーブルにします。

set ip device-tracking { disable | enable }

次に、IP デバイスのトラッキングをグローバルにイネーブルにする例を示します。

Console> (enable) set ip device-tracking enable
Successfully enabled device tracking.
Console> (enable)
 

次に、IP デバイスのトラッキングにおける現在のグローバル設定を表示する例を示します。

Console> (enable) show ip device-tracking
Device tracking mode : Enabled
Device tracking count : 3
Device tracking timeout : 30
Console> (enable)
 

ここでは、プローブの間隔およびプローブのカウント値の設定方法を示します。

「IP デバイスのトラッキング間隔の指定」

「IP デバイスのトラッキング カウントの指定」


probe interval 値および probe count 値は、グローバルにだけ設定でき、認証方式のすべてのタイプで共通です。


IP デバイスのトラッキング間隔の指定

IP デバイスをトラッキングするために送信するプローブの通常の間隔を秒数で設定できます。値の範囲は 5 ~ 65535 秒です。デフォルトは 30 秒です。

プローブの間隔を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

プローブを送信する時間間隔を秒数で指定します。

set ip device-tracking probe interval interval

次に、IP デバイスのトラッキング間隔を設定する例を示します。

Console> (enable) set ip device-tracking probe interval 45
Device tracking probe interval set to 45 secs.
Console> (enable)

IP デバイスのトラッキング カウントの指定

IP デバイスをトラッキングするために、ホストがアイドル状態になってから送信するプローブの回数を 1 ~ 10 回まで設定できます。デフォルトのプローブ数は 3 です。

プローブ カウントを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ホストの存在を確認する回数を指定します。

set ip device-tracking probe count count

次に、IP デバイスのトラッキングにおけるプローブ カウントの設定例を示します。

Console> (enable) set ip device-tracking probe count 5
Device tracking probe count set to 5.
Console> (enable)

IP デバイスのトラッキングのポート設定

次に、IP デバイスのトラッキングに関するポートの設定方法について説明します。

「802.1x 認証を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化」

「MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化」

「Web ベースのプロキシ認証を使用した IP デバイスのトラッキングのポートでのイネーブル化またはディセーブル化」

「EoU を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化」

802.1x 認証を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

802.1x 認証を使用したモジュールまたはポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

802.1x 認証を使用してモジュールまたはポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにします。デフォルトはディセーブルです。

set port dot1x mod/port ip-device-tracking { disable | enable }

次に、802.1x 認証を使用するポートでの IP デバイスのトラッキングをイネーブルにする例を示します。

Console> (enable) set port dot1x 3/1 ip-device-tracking enable
Port 3/1 ip-device-tracking option is enabled.
Console> (enable)
 

次に、802.1x 認証を使用するポートでの IP デバイスのトラッキングの現在の設定を表示する例を示します。

Console> (enable) show port dot1x 3/13
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
3/13 authenticated idle auto authorized
 
Port Port-Mode Re-authentication Shutdown-timeout Control-Mode
admin oper
----- ------------- ----------------- ---------------- ---------------
3/13 SingleAuth enabled disabled Both Both
 
Port Posture-Token Critical-Status Termination action Session-timeout
----- ------------- --------------- ------------------ ---------------
3/13 Healthy no Initialize 3600
 
Port Session-Timeout-Override Url-Redirect
----- ------------------------ ---------------------------------------
3/13 disabled -
 
Port Critical ReAuth-When IP-Device-Tracking
----- -------- ----------- ------------------
3/13 disabled 105 enabled
Console> (enable)

MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

MAC 認証バイパスを使用したモジュールまたはポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパスを使用した IP デバイスのトラッキングのポートまたはモジュールでの設定をイネーブルまたはディセーブルにする デフォルトはディセーブルです。

set port mac-auth-bypass mod/port ip-device-tracking { disable | enable }

次に、MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングをイネーブルにする例を示します。

Console> (enable) set port mac-auth-bypass 3/1 ip-device-tracking enable
Port 3/1 ip-device-tracking option is enabled.
Console> (enable)
 
 

次に、MAC 認証バイパスを使用したポートでの IP デバイスのトラッキングの現在の設定を確認する例を示します。

Console> (enable) show port mac-auth-bypass 3/1
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- ----------------- -----
3/1 Enabled 00-00-00-00-00-00 waiting 1
 
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
3/1 initialize 300 NO -
 
Port PolicyGroups
----- -------------------------------------------------------------------
3/1 -
 
Port Security ACL Sec ACL Type QoS ACL Type
----- -------------------------------- ----------------- ----------------
3/1 - - -
 
Port QoS Ingress ACL QoS Egress ACL
----- -------------------------------- ----------------------------------
3/1 - -
 
Port Critical Critical-Status Ip-Device-Tracking
----- -------- --------------- ------------------
3/1 Disabled - Enabled
Port Session-ID
----- --------------------------------
3/1 -
 
Port Posture Token URL-Redirect
----- ------------- ---------------------------------
3/1 -
 

Web ベースのプロキシ認証を使用した IP デバイスのトラッキングのポートでのイネーブル化またはディセーブル化

Web ベースのプロキシ認証を使用したポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

Web ベースのプロキシ認証を使用してモジュールまたはポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにする。 デフォルトはイネーブルです。

set port web-auth mod/port ip-device-tracking { disable | enable }

次に、Web ベースのプロキシ認証を使用したポートでの IP デバイスのトラッキングをイネーブルにする例を示します。

Console> (enable) set port web-auth 3/1 ip-device-tracking enable
Port 3/1 ip-device-tracking option is enabled.
Console> (enable)
 

次に、Web ベースのプロキシ認証を使用したポートでの IP デバイスのトラッキングの現在の設定を表示する例を示します。

Console> (enable) show port web-auth 3/1
Port IP-Address Vlan Enabled Web-Auth-State Critical-Status
----- --------------- ---- --------- ----------------- ---------------
3/1 - 1 enabled - -
 
Port IP-Address Session-Timeout Session-Timeleft Radius-Rcvd-Timeout
----- --------------- --------------- ---------------- -------------------
3/1 - - - No
 
Port IP-Address Policy-Groups
----- --------------- -------------
3/1 - -
Port IP-Address Ip-Device-Tracking
----- --------------- ------------------
3/1 - Enabled

EoU を使用したポートでの IP デバイスのトラッキングのイネーブル化またはディセーブル化

EoU を使用したポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

EoU を使用してモジュールまたはポートでの IP デバイスのトラッキングをイネーブルまたはディセーブルにする。デフォルトはイネーブルです。

set port eou mod/port ip-device-tracking { disable | enable }

次に、EoU を使用したポートでの IP デバイスのトラッキングをイネーブルにする例を示します。

Console> (enable) set port eou 3/1 ip-device-tracking enable
Port 3/1 ip-device-tracking option is enabled.
Console> (enable)
 

次に、EoU を使用したポートでの IP デバイスのトラッキングの現在の設定を確認する例を示します。

Console> (enable) show port eou 3/1
Port EOU-State IP Address MAC Address Critical-Status
-------- --------- --------------- ----------------- ---------------
3/1 auto - - -
Port FSM State Auth Type SQ-Timeout Session Timeout
-------- ------------- ----------- ---------- ---------------
3/1 - - - -
Port Posture URL Redirect
-------- ------------ --------------------
3/1 - -
Port Termination action Session id
-------- ------------------ --------------------------------
3/1 - -
Port PolicyGroups
-------- ------------------------------------------------------
3/1 -
Port Critical Ip-Device-Tracking
----- -------- ------------------
3/1 disabled enabled