Catalyst 6500 シリーズ スイッチソフトウェア コン フィギュレーション ガイド リリース8.7
MAC 認証バイパスの設定
MAC 認証バイパスの設定
発行日;2012/01/31 | 英語版ドキュメント(2009/09/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

MAC 認証バイパスの設定

MAC 認証バイパス機能の概要

概要

MAC アドレス再認証の概要

MAC 認証バイパス ステートの概要

MAC 認証バイパス ステート イベントの概要

MAC 認証バイパスの設定時の注意事項および制限事項

MAC 認証バイパスの設定

MAC 認証バイパスのグローバルなイネーブル化およびディセーブル化

ポート上での MAC 認証バイパスのイネーブル化およびディセーブル化

ポートの MAC 認証バイパス ステートの初期化

ポートの MAC アドレスの再認証

シャットダウン タイムアウト時間の指定

認証失敗タイムアウト時間の指定

再認証タイムアウト時間の指定

再認証のイネーブル化またはディセーブル化

セキュリティ違反モードの指定

MAC 認証バイパス RADIUS アカウンティングのイネーブル化またはディセーブル化

MAC 認証バイパス対応ポートでの PVLAN の設定

PVLAN ポートでの MAC 認証バイパスの設定

MAC 認証バイパス情報の表示

MAC 認証バイパスのグローバル設定の表示

ACL 割り当てを使用した MAC 認証バイパス(MAB)の設定

QoS ACL を使用した MAC 認証バイパスの設定

MAB を使用した NAC 監査のためのエージェントレス ホストの設定

NAC エージェントレス ホストの監査の概要

スイッチの設定

Cisco Secure ACS サーバの設定

NAC 監査サーバのインストールと設定

エージェントレス ホスト ポスチャ トークンの表示

エージェントレス ホスト監査とセキュリティ機能の相互作用

MAC 認証バイパスの設定

この章では、Catalyst 6500 シリーズ スイッチ上で MAC 認証バイパスを設定する手順について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) IEEE 802.1X 認証の設定については、第 40 章「802.1X 認証の設定」 を参照してください。



) イーサネット、ファースト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合に、ポート セキュリティ機能を使用してポートへのアクセスをブロックする手順については、第 38 章「ポート セキュリティの設定」を参照してください。また、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングする場合に、ポート セキュリティ機能を使用する手順についても説明します。



) Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチの Command-Line Interface(CLI; コマンドライン インターフェイス)へのアクセスをモニタおよび制御する方法については、第 39 章「AAA によるスイッチ アクセスの設定」 を参照してください。



) Network Admission Control(NAC)の設定については、第 44 章「NAC の設定」を参照してください。


この章で説明する内容は、次のとおりです。

「MAC 認証バイパス機能の概要」

「MAC 認証バイパスの設定時の注意事項および制限事項」

「MAC 認証バイパスの設定」

「ACL 割り当てを使用した MAC 認証バイパス(MAB)の設定」

「MAB を使用した NAC 監査のためのエージェントレス ホストの設定」

MAC 認証バイパス機能の概要

ここでは、Catalyst 6500 シリーズ スイッチの MAC 認証バイパス機能について説明します。

「概要」

「MAC アドレス再認証の概要」

「MAC 認証バイパス ステートの概要」

「MAC 認証バイパス ステート イベントの概要」

概要

MAC 認証バイパスは、802.1X のサプリカント機能を持たない装置(プリンタおよび IP Phone など)へのネットワーク アクセスを可能にする 802.1 X に代わるものです。MAC 認証バイパスは、接続装置の MAC アドレスを使用してネットワーク アクセスを許可または拒否します。

MAC 認証バイパスをサポートするために、RADIUS 認証サーバでは、ネットワークへのアクセスが必要な装置の MAC アドレスのデータベースを維持します。MAC 認証バイパスは、Calling-Station-ID(アトリビュート 31)として MAC アドレスおよび値が 10 の Service-Type(アトリビュート 6)を含む RADIUS 要求を生成します。

装置の MAC アドレスを入手するには、スイッチ ポートを VLAN(仮想 LAN)内でフォワーディング ステートにする必要があります。ポートが VLAN でフォワーディング ステートでなければ、スイッチ上でユニキャスト トラフィックを受信または送信できません。スイッチ ポートは、ポート上でラーニングがディセーブルなネイティブ VLAN で起動するため、パケットはスーパーバイザ エンジンにリダイレクトされます。スーパーバイザ エンジンが新しい MAC アドレスを確認すると、Content-Addressable Memory(CAM; 連想メモリ)エントリおよびトラップ ビットを挿入します。トラップ ビットは、MAC アドレスからの不必要なフラッディングからスーパーバイザ エンジンを保護するよう設定されています。スーパーバイザ エンジンは、MAC 認証が終了するまで、それ以上のパケットをリダイレクトしません。認証が成功すると、RADIUS サーバが VLAN を送信し、ポートはこの VLAN に移行します。認証成功後、トラップ エントリは削除されます。RADIUS サーバ指定の VLAN に移行したポートは、他のスイッチ ポートと同様に動作します。MAC 認証が失敗した場合、ポートは認証失敗 VLAN(設定されている場合)に移行します(認証失敗 VLAN については、「認証失敗 VLAN の設定」を参照してください)。

MAC アドレス再認証の概要

再認証モードでは、ポートは RADIUS サーバ指定の VLAN のままで自身を再認証しようとします。再認証が成功した場合、ポートは RADIUS サーバ指定の VLAN のままです。再認証が失敗した場合、ポートは認証失敗 VLAN(設定されている場合)に移行されるか、または既存の VLAN から管理上設定された VLAN に移行されます。失敗したポートには、定期的に再認証が試されます。以前認証された VLAN 上の失敗ポートの MAC アドレス CAM エントリは削除され、ポートは初期化プロセスにより、自動的に管理上設定された VLAN に移行し、ポート自身への再認証を試行します。再認証が成功した場合、ポートは RADIUS サーバ指定の VLAN に移行されます。

また、RADIUS サーバ指定のタイマーも再認証をトリガーします。RADIUS サーバのアトリビュート 27 および 29 は、再認証動作を制御します。アトリビュート 27(セッション タイムアウト)では、認証が再試行されるまでの時間を指定し、アトリビュート 29(ターミネーション アクション)では、再認証動作が次のいずれになるかを指定します。

初期化:既存のセッションは、再認証結果が確認できるまで、中断されます。

再認証:再認証試行中は、既存のセッションは中断されません。

MAC 認証バイパス ステートの概要

ここでは、次の MAC 認証バイパス ステートについて説明します。

待機:待機ステートの場合、スイッチは認証される必要がある MAC アドレスの受信を待機します。ラーニングはディセーブルで、アイドル タイマーが開始します。ポートは、フォワーディング ステートでユニキャスト トラフィックを受信し、ポート上のすべてのレイヤ 2 エントリは消去されます。他に機能が設定されている場合は、ポートは認証結果を待ってから(結果が成功でも失敗でも)他のステートに移行します。トラフィックが確認されなければ、ポートは待機ステートのままです。

認証:スイッチがリダイレクトされたパケットからポートの MAC アドレスを学習すると、MAC 認証バイパス ステート マシンは認証に移行します。このステートでは、RADIUS 要求が作成され、RADIUS サーバに送信されます。スイッチは、RADIUS サーバ応答を待機します。認証が成功すると、ポートは認証済みステートに移行します。このステートでは、ポート上で RADIUS サーバ指定の VLAN が設定され、スタティック CAM エントリが RADIUS サーバ指定の VLAN に挿入され、古い VLAN 上のトラップ エントリは削除されます。認証に失敗すると、ポートは認証失敗ステートに移行します。RADIUS タイムアウトまたは初期化が発生した場合、ポートは再度待機ステートに移行します。

認証済み:認証済みステートでは、RADIUS が受信したポリシー(VLAN)がポート上で設定されます。初期化がある場合、ポートは待機ステートに移行し、再認証イベントを受信すると、認証ステートに移行します。認証済みステートでは、ポート上のトラップ エントリが古い VLAN から削除され、スタティック CAM エントリが新しい VLAN に挿入されます。

認証失敗:認証失敗ステートでは、他の機能が設定されていなければ、ポートは待機ステートに移行するまで [auth-fail-timeout](秒)待機します。フォールバック機能(Web ベースのプロキシ認証、802.1X、または認証失敗 VLAN など)が設定されている場合、ポートはこれらのステートに移行します。トラップは認証失敗ステートのまま存在するため、MAC アドレスは [auth-fail-timeout](秒)間自身を再認証できません。ポートが認証失敗ステートから待機ステートに移行すると、トラップ エントリは消去され、ポートは認証プロセスを再開します。

終了:MAC 認証バイパスがホストの認証に失敗すると、アクセスを許可する可能性がある他の機能(Web ベースのプロキシ認証、802.1X、または認証失敗 VLAN)がポートに設定されていない場合は、終了ステートになります。終了ステートでは、ポートの許可またはアップ、および他の機能で必要とされる任意のポリシーの付加が行われます。たとえば、ゲスト VLAN が設定されている場合、ポートはゲスト VLAN に追加されます。Web ベースのプロキシ認証が設定されている場合は、HTTP リダイレクションなどで Dynamic Host Configuration Protocol(DHCP)、Domain Name System(DNS; ドメイン ネーム システム)、Access Control Entry(ACE; アクセス コントロール エントリ)を許可するためにポリシーが付加されます。他の機能が設定されていない場合は、認証が失敗すると、ポートは待機、認証、認証失敗、および待機ステートを移動するか、またはトラフィックを確認するまで待機ステートのままです。

MAC 認証バイパス ステート イベントの概要

ここでは、次の MAC 認証バイパス イベントについて説明します。

AuthenticateMac:このイベントは、コンポーネントを処理するリダイレクトされたパケットがポート上で MAC アドレスを確認すると、通知されます。このイベントは、MAC 認証バイパス ステート マシンが待機ステートの場合に通知されます。

Initialize:このイベントは CLI によりトリガーされ、どのステートでも受信されます。このイベントを受信すると、ポートは待機ステートに移行し、クリーンアップ(ポートの拒否、任意のスタティック エントリまたはトラップ CAM エントリのクリーンアップなど)が必要な場合は、実行します。

Reauthenticate:このイベントは、セッション タイムアウトの時間切れか、または CLI トリガー(CLI から入力された実行コマンド)が原因で受信されます。このイベントは、ポートが認証済みステートである場合にだけ受け入れられます。それ以外の場合、無視されます。CLI により発生したイベントでは、CLI はポートが認証済みステートの場合にだけ受け入れられることを通知します。

Authentication success:このイベントは、RADIUS サーバからの認証が成功した場合に、通知されます。このイベントは、ポートが認証ステートの場合にだけ受け入れられ、ポートを認証済みステートに移行させます。

Authentication failure:イベントは、RADIUS サーバからの認証失敗を受信した場合に、通知されます。このイベントは、ポートが認証ステートの場合にだけ受け入れられ、このポートを認証失敗ステートに移行させます。

RADIUS timeout:このイベントは、RADIUS サーバが応答しない場合に受信されます。このイベントはポートが認証ステートの場合にだけ受け入れられ、最大再試行回数の満了後、RADIUS サーバが応答しなければ、ポートを待機ステートに移行させます。

AuthFail timeout:このイベントは、ポートが RADIUS サーバの認証失敗による認証失敗ステートにあり、ポートをアップにするその他の潜在的機能が設定されていない場合に、受信されます。このイベントにより、ポートは待機ステートに移行し、認証プロセスを再開します。

Security violation:このイベントは、待機ステート以外のすべてのステートで受信されます。このイベントは、ポート上で 2 つめの MAC アドレスが確認された場合に通知されます。セキュリティ違反の場合に行う措置は、MAC アドレスの制限またはポートのシャット ダウンのいずれかで、設定されたグローバル違反モードによって異なります。

MAC 認証バイパスの設定時の注意事項および制限事項

ここでは、MAC 認証バイパスの設定時の注意事項および制限事項について説明します。

セキュリティ違反:MAC 認証バイパスでは、ポートごとに 1 つのホストだけがサポートされます。ポート上に複数のホストが表示された場合、セキュリティ違反となりポートはシャット ダウンします。補助 VLAN ポートの場合、ポートごとに 1 つのホストの制限はデータ VLAN 上のホストにだけ適用されます。つまり、補助(音声)VLAN ではホスト数の制限はありません。

ポリシーの適用:MAC 認証バイパスでは、802.1X でサポートされるすべてのポリシー適用メカニズムがサポートされます。

DHCP スヌーピング:MAC 認証バイパスは、DHCP スヌーピングとは無関係です。MAC アドレスが認証に成功するまでは、MAC アドレスからのトラフィックは許可されず(トラップ エントリのため)、MAC 認証のトリガーとなるトラフィックは DHCP など任意のタイプのトラフィックとなります。

802.1X:MAC 認証バイパスは独立した機能ですが、802.1X と組み合わせて使用する場合は、MAC アドレス認証の代替として機能します。ポート上で MAC 認証バイパスと 802.1X の両方が設定されている場合、ポートは 802.1X を使用して認証しようとします。ホストが EAPOL 要求に応答しない場合、認証試行を継続せずに、802.1X ポートが MAC 認証バイパス ステートに移行され、MAC 認証バイパスを使用して認証が試行されます。

認証失敗 VLAN:802.1X 認証が失敗すると、MAC 認証バイパスが設定されているかどうかにかかわらず、認証失敗 VLAN が設定されている場合は、ポートは認証失敗 VLAN に移行されます。この認証失敗 VLAN は、802.1X 認証失敗ユーザ専用で、MAC 認証バイパス用の汎用認証失敗 VLAN ではありません。認証失敗 VLAN については、「認証失敗 VLAN の設定」を参照してください。

ゲスト VLAN:802.1X ゲスト VLAN および MAC 認証バイパスは、既存のゲスト VLAN 動作に対する一部の変更点を除いて、連動します。MAC 認証バイパスおよびゲスト VLAN が設定されていて、ポートで Extensible Authentication Protocol over LAN(EAPOL)パケットが受信されない場合、802.1X ステート マシンは MAC 認証バイパス ステートに移行され、ポートをネイティブ VLAN でフォワーディングに設定し、ラーニングをディセーブルにします。ゲスト VLAN が設定されていない場合、ポートは MAC 認証バイパス ステートのままでポート上の MAC アドレスを待機します。ゲスト VLAN の詳細については、「ゲスト VLAN に対する 802.1X 認証の概要」を参照してください。

ポート セキュリティ:新しくリダイレクトされた MAC アドレスは、ポート セキュリティより先に MAC 認証バイパス機能により確認されます。MAC アドレスが認証に成功すると、新しく学習された MAC アドレスがポート セキュリティ機能に通知されます。着信パスでは、MAC 認証バイパス機能はどのポート セキュリティ機能よりも先に開始します。

補助 VLAN:MAC 認証バイパスは、補助(音声)VLAN でサポートされます。MAC 認証バイパスは、ポート VLAN 上だけで表示される MAC アドレスに制限されます。Cisco Discovery Protocol(CDP)を介して学習されるすべての IP Phone MAC アドレスは、補助 VLAN 上で許可されます。

Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション):MAC 認証バイパスと連動します。

VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ):MAC 認証バイパスと VMPS は同時に使用できません。CLI により、同時に両方の機能を設定できないようにされます。

LAN ポート IP:MAC 認証バイパスと LAN ポート IP の両方を設定する場合、先に MAC 認証バイパスが実行されます。認証後、MAC 認証バイパス機能が LAN ポート IP 機能のトリガーとなります。LAN ポート IP 例外リスト内のホストは、MAC 認証バイパス(設定されている場合)による認証後、アクセスできるようになります。

Web ベース プロキシ認証:インターフェイスで MAC 認証バイパスと Web ベース プロキシ認証の両方が設定されている場合、MAC 認証バイパスはレイヤ 2 の機能であるため、Web ベース プロキシ認証より先に MAC 認証バイパスが開始します。レイヤ 2 の機能は常に、レイヤ 3 の機能よりも先に試行されます。

RADIUS アカウンティング:RADIUS アカウンティングがサポートされます。

SNMP サポート:必要な Set および Get 要求はすべて、SNMP にエクスポートされます。MAC 認証バイパスに対する SNMP サポートは、今後のソフトウェア リリースで対応する予定です。

ハイ アベイラビリティ:ハイ アベイラビリティがサポートされます。ポートの MAC 認証バイパスの開始ステートと終了ステート(許可および無許可)は、スタンバイ スーパーバイザ エンジンに同期化されます。中間ステートは、同期化されません。

MAC 認証バイパスの設定

ここでは、MAC 認証バイパスを設定する手順について説明します。

「MAC 認証バイパスのグローバルなイネーブル化およびディセーブル化」

「ポート上での MAC 認証バイパスのイネーブル化およびディセーブル化」

「ポートの MAC 認証バイパス ステートの初期化」

「ポートの MAC アドレスの再認証」

「シャットダウン タイムアウト時間の指定」

「認証失敗タイムアウト時間の指定」

「再認証タイムアウト時間の指定」

「再認証のイネーブル化またはディセーブル化」

「セキュリティ違反モードの指定」

「MAC 認証バイパス RADIUS アカウンティングのイネーブル化またはディセーブル化」

「MAC 認証バイパス対応ポートでの PVLAN の設定」

「PVLAN ポートでの MAC 認証バイパスの設定」

「MAC 認証バイパス情報の表示」

「MAC 認証バイパスのグローバル設定の表示」

MAC 認証バイパスのグローバルなイネーブル化およびディセーブル化

デフォルトはディセーブルです。MAC 認証バイパスをグローバルにイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパスをグローバルにイネーブルまたはディセーブルにします。

set mac-auth-bypass { disable | enable }

次に、MAC 認証バイパスをグローバルにイネーブルにする例を示します。

Console> (enable) set mac-auth-bypass enable
Mac-Auth-Bypass enabled globally.
Console> (enable)

ポート上での MAC 認証バイパスのイネーブル化およびディセーブル化

ポート上で MAC 認証バイパスをイネーブルまたはディセーブルにする場合、同じポート上の PortFast も自動的にイネーブルまたはディセーブルになります。デフォルトはイネーブルです。

ポートで MAC 認証バイパスをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で MAC 認証バイパスをイネーブルまたはディセーブルにします。

set port mac-auth-bypass mod/port { disable | enable }

次に、ポートで MAC 認証バイパスをイネーブルにする例を示します。

Console> (enable) set port mac-auth-bypass 3/1 enable
MAC-Auth-Bypass successfully enabled on 3/1.
Console> (enable)

ポートの MAC 認証バイパス ステートの初期化

ポートの MAC 認証バイパス ステートを初期化して、ポートが再度認証を行えるようにするには、特権モードで次の作業を実行します。

 

作業
コマンド

ポートの MAC 認証バイパス ステートを初期化して、ポートが再度認証を行えるようにします。

set port mac-auth-bypass mod/port initialize

次に、ポートの MAC 認証バイパス ステートを初期化して、ポートが再度認証を行えるようにする例を示します。

Console> (enable) set port mac-auth-bypass 3/1 initialize
Mac-Auth-Bypass successfully Initialized 3/1.
Console> (enable)

ポートの MAC アドレスの再認証

ポートの MAC アドレスを再認証するには、特権モードで次の作業を行います。

 

作業
コマンド

ポートの MAC アドレスを再認証します。

set port mac-auth-bypass mod/port reauthenticate

次に、ポートの MAC アドレスを再認証する例を示します。

Console> (enable) set port mac-auth-bypass 3/1 reauthenticate
Reauthenticating MAC address 00-00-00-00-00-01 on port 3/1 using Mac-Auth-Bypass.
Console> (enable)

シャットダウン タイムアウト時間の指定

ポート上でセキュリティ違反があった場合、ポートはシャット ダウンされます。ポートが自動的に再イネーブル化されるまでのシャット ダウン時間(秒)を指定するには、グローバルな set mac-auth-bypass shutdown-timeout seconds コマンドを使用します。範囲は、 30 ~ 65535 秒です。デフォルト値は 60 秒です。シャットダウン タイムアウト時間を 0 秒に指定すると、自動ポート イネーブル機能がディセーブルとなり、手動でポートを再イネーブル化する必要があります。

シャットダウン タイムアウト時間を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

シャットダウン タイムアウト時間を指定します。

set mac-auth-bypass shutdown-timeout seconds

次に、シャットダウン タイムアウト時間を指定する例を示します。

Console> (enable) set mac-auth-bypass shutdown-timeout 40
Shutdown Timeout set to 40 seconds.
Console> (enable)

認証失敗タイムアウト時間の指定

グローバルな set mac-auth-bypass auth-fail-timeout seconds コマンドにより、ポートが再認証を試行するまで認証失敗(AuthFail)ステートで待機する時間(秒)を指定できます。値の範囲は 5 ~ 65535 秒です。デフォルト値は 60 秒です。

認証失敗タイムアウト時間を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

認証失敗タイムアウト時間を指定します。

set mac-auth-bypass auth-fail-timeout seconds

次に、認証失敗タイムアウト時間を指定する例を示します。

Console> (enable) set mac-auth-bypass auth-fail-timeout 60
Authfail Timeout set to 60 seconds.
Console> (enable)

再認証タイムアウト時間の指定

グローバルな set mac-auth-bypass reauth-timeout seconds コマンドにより、グローバルな再認証がイネーブルとなってから、再認証がトリガーされるまでの時間(秒)を指定できます。範囲は、300 ~ 65535 秒です。デフォルトは 3600 秒です。

再認証タイムアウト時間を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

再認証タイムアウト時間を指定します。

set mac-auth-bypass reauth-timeout seconds

次に、再認証タイムアウト時間を指定する例を示します。

Console> (enable) set mac-auth-bypass reauth-timeout 400
Reauth Timeout set to 400 seconds.
Console> (enable)

再認証のイネーブル化またはディセーブル化

グローバルな set mac-auth-bypass re-authentication コマンドをイネーブルにすると、すべての MAC 認証バイパス値がデフォルトに戻ります。 デフォルトはディセーブルです。

MAC 認証バイパス再認証をグローバルにイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパス再認証をグローバルにイネーブルまたはディセーブルにします。

set mac-auth-bypass reauthentication { disable | enable }

次に、MAC 認証バイパス再認証をグローバルにイネーブルにする例を示します。

Console> (enable) set mac-auth-bypass reauthentication enable
Global reauthentication mode enabled.
Console> (enable)

セキュリティ違反モードの指定

ポート上でセキュリティ違反が発生すると、ポートは制限モードになるか、またはシャット ダウンされます。制限モードでは、セキュリティ違反の原因となる MAC アドレスが、トラップ エントリとしてフォワーディング テーブルに追加されます。デフォルトは shutdown です。

セキュリティ違反モードをグローバルに指定するには、特権モードで次の作業を行います。

 

作業
コマンド

セキュリティ違反モードをグローバルに指定します。

set mac-auth-bypass violation { restrict | shutdown }

次に、セキュリティ違反モードで「restricted」を指定する例を示します。

Console> (enable) set mac-auth-bypass violation restrict
Mac-Auth-Bypass security violation mode set to restrict.
Console> (enable)

MAC 認証バイパス RADIUS アカウンティングのイネーブル化またはディセーブル化

デフォルトはディセーブルです。MAC 認証バイパス RADIUS アカウンティングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパス RADIUS アカウンティングをイネーブルまたはディセーブルにします。

set mac-auth-bypass radius-accounting { disable | enable }

MAC 認証バイパス RADIUS アカウンティング ステートを確認します。

show mac-auth-bypass config

次に、MAC 認証バイパス RADIUS アカウンティングをイネーブルにする例を示します。

Console> (enable) set mac-auth-bypass radius-accounting enable
Radius Accounting for MacAuth enabled.
Console> (enable)
 

次に、MAC 認証バイパス RADIUS アカウンティング ステートを確認する例を示します。

Console> (enable) show mac-auth-bypass config
Mac-Auth-Bypass Global Config
-----------------------------
Mac-Auth-Bypass Status = Enabled
AuthFail Timeout = 60
RadiusAccounting = Enabled
Reauthentication = Disabled
Reauth Timeout = 3600
Shutdown Timeout = 60
Violation mode = Shutdown
Console> (enable)

MAC 認証バイパス対応ポートでの PVLAN の設定

MAC 認証バイパス対応ポートで PVLAN を設定するには、特権モードで次の作業を実行します。

 

作業
コマンド

MAC 認証バイパスを設定します。

set mac-auth-bypass {enable | disable}

MAC 認証バイパス対応ポートで PVLAN を設定します。

set port mac-auth-bypass mod/port {enable | disable}

ポートで PVLAN を設定します。

set pvlan primary vlan secondary vlan mod/port

次に、PVLAN ポート 3/13 で MAC 認証バイパス対応を設定する例を示します。

Console> (enable) set mac-auth-bypass enable
Mac-Auth-Bypass enabled globally.
Console> (enable) set port mac-auth-bypass 3/13 enable
Mac-Auth-Bypass successfully enabled on port(s) 3/13
Console> (enable) show port mac-auth-bypass 3/13
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- ----------------- -----
3/13 Enabled 00-00-00-00-00-00 waiting 25
 
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
3/13 initialize 3600 NO -
 
Port PolicyGroups
----- -----------------------------------------------------
3/13 -
 
Port Critical Critical-Status
----- -------- ---------------
3/13 Enabled -
Console> (enable) set pvlan 12 30 3/13
Host mode set to enable for port 3/13.
BPDU guard set to enable for port 3/13.
Trunk mode set to off for ports 3/13
Successfully set the following ports to Private Vlan 12,30:
3/13
Console> (enable)

PVLAN ポートでの MAC 認証バイパスの設定

PVLAN ポートで MAC 認証バイパスを設定するには、特権モードで次の作業を実行します。

 

作業
コマンド

ポートで PVLAN を設定します。

set pvlan primary vlan secondary vlan mod/port

MAC 認証バイパスを設定します。

set mac-auth-bypass {enable | disable}

MAC 認証バイパス対応ポートで PVLAN を設定します。

set port mac-auth-bypass mod/port {enable | disable}

次に、PVLAN ポート 3/13 で MAC 認証バイパス対応を設定する例を示します。

Console> (enable) set pvlan 12 30 3/13
Successfully set the following ports to Private Vlan 12,30:
3/13
Console> (enable) set mac-auth-bypass enable
Mac-Auth-Bypass enabled globally.
Console> (enable) set port mac-auth-bypass 3/13 enable
Mac-Auth-Bypass successfully enabled on port(s) 3/13
Console> (enable)

MAC 認証バイパス情報の表示

show port mac-auth-bypass { mod/port }コマンドにより、ポート ステート( 認証、認証済み、送信元 MAC アドレス学習の待機など)、およびポートの RADIUS サーバ指定の VLAN が表示されます。

MAC 認証バイパス情報を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパスがイネーブルなスイッチ上のすべてのポートまたは単一のポートの MAC 認証バイパス情報を表示します。

show port mac-auth-bypass [ mod/port ]

MAC 認証バイパスがイネーブルなスイッチ上のすべてのポートまたは指定の MAC アドレスを持つポートの MAC 認証バイパス情報を表示します。

show mac-auth-bypass { all | config | mac_address }

次に、ポート 5/1 の MAC 認証バイパス情報を表示する例を示します。

Console> (enable) show port mac-auth-bypass 5/1
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- -------------- -----
5/1 Disabled - - 1
 
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
5/1 - 3600 - -
Console> (enable)
 

次に、MAC 認証バイパスがイネーブルなスイッチ上のすべてのポートの MAC 認証バイパス情報を表示する例を示します。

Console> (enable) show mac-auth-bypass all
 
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- -------------- -----
5/1 Disabled - - 1
5/2 Enabled 00-00-00-00-00-00 waiting 1
5/3 Enabled 00-00-00-00-00-00 waiting 1
5/4 Enabled 00-00-00-00-00-00 waiting 1
5/5 Enabled 00-00-00-00-00-00 waiting 1
5/6 Enabled 00-00-00-00-00-00 waiting 1
5/7 Enabled 00-00-00-00-00-00 waiting 1
5/8 Enabled 00-00-00-00-00-00 waiting 1
.
.
.
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
5/1 - 3600 - -
5/2 reauthenticate 3600 NO -
5/3 reauthenticate 3600 NO -
5/4 reauthenticate 3600 NO -
5/5 reauthenticate 3600 NO -
5/6 reauthenticate 3600 NO -
5/7 reauthenticate 3600 NO -
5/8 reauthenticate 3600 NO -
.
.
.
Console> (enable)

MAC 認証バイパスのグローバル設定の表示

show mac-auth-bypass config コマンドにより、MAC 認証バイパスのグローバルな設定値 (タイマー値、違反モード、グローバル再認証モードなど)が表示されます。

MAC 認証バイパスの グローバルな設定値 を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

MAC 認証バイパスの グローバルな設定値 を表示します。

show mac-auth-bypass { all | config | mac_address }

次に、MAC 認証バイパスの グローバルな設定値 を表示する例を示します。

Console> (enable) show mac-auth-bypass config
Mac-Auth-Bypass Global Config
-----------------------------
Mac-Auth-Bypass Status = Enabled
AuthFail Timeout = 60
RadiusAccounting = Enabled
Reauthentication = Disabled
Reauth Timeout = 3600
Shutdown Timeout = 60
Violation mode = Shutdown
Console> (enable)

ACL 割り当てを使用した MAC 認証バイパス(MAB)の設定

MAC Authentication Bypass(MAB; MAC 認証バイパス)対応ポートでは、802.1X 対応ポートと同様に、ACL の割り当てがサポートされます。詳細については、「ACL 割り当てでの 802.1X の設定」を参照してください。

スイッチで ACL を定義しコミットしておく必要があります。MAB による ACL マッピングは実行時の設定であり、NVRAM に反映されません。マッピングは、MAB のスタティック CAM エントリが削除されるときや再認証時に、RADIUS からマッピングすべき異なる ACL が送信されるか、ACL がまったく送信されなかった場合に削除されます。

QoS ACL を使用した MAC 認証バイパスの設定

MAC 認証バイパス対応のポートは、802.1X 対応ポート上の QoS ポリシーと同様に、RADIUS によって送信された ACL と、QoS ポリシーベースの認証をサポートします。詳細については、「QoS ACL での 802.1X の設定」を参照してください。

QoS ACL を使用して MAB を設定する場合は、次の注意事項に従ってください。

スイッチで QoS ACL を定義しコミットしておく必要があります。

同じアトリビュート タイプ( invacl outvacl 、または inpacl )の複数の QoS ACL が MAB ポートに送信された場合、そのアトリビュート タイプの最初の ACL だけが設定されます。

MAB の最小許容可能再認証タイムアウトは、300 秒から 30 秒に短縮されました。デフォルトは 30 秒です。

動的に適用された QoS ACL は、コマンドを使用して削除できません。MAB が初期化されるときに自動的に削除されます。

次に、MAB 対応ポートの QoS ACL 情報を表示する例を示します。

Console (enable)> show port mac-auth-bypass 3/13
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- ----------------- -----
3/13 Enabled 00-11-22-33-01-87 authenticated 391
 
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
3/13 initialize 3600 NO -
 
Port PolicyGroups
----- ----------------------------------------------------------------
3/13 -
 
Port Security ACL Sec ACL Type QoS ACL Type
----- -------------------------------- ----------------- ----------------
3/13 my_security_pacl Pacl Vacl
 
Port QoS Ingress Policy QoS Egress Policy
----- -------------------------------- ----------------------------------
3/13 my_qos_invacl my_qos_outvacl
 
Port Critical Critical-Status
----- -------- ---------------
3/13 Disabled -

MAB を使用した NAC 監査のためのエージェントレス ホストの設定


) Catalyst 6500 シリーズ ソフトウェア リリース 8.7(1) 以降では、MAC 認証バイパスをイネーブルにしたエージェントレス ホストの NAC 監査をサポートしています。この機能は、Supervisor Engine 2 と、他のスーパーバイザ エンジン上で 802.1X をイネーブルにしたエージェントレス ホストではサポートされていません。


ここでは、MAC 認証バイパスをイネーブルにしたエージェントレス ホストを監査する方法について説明します。

「NAC エージェントレス ホストの監査の概要」

「スイッチの設定」

「Cisco Secure ACS サーバの設定」

「NAC 監査サーバのインストールと設定」

「エージェントレス ホスト ポスチャ トークンの表示」

「エージェントレス ホスト監査とセキュリティ機能の相互作用」

NAC エージェントレス ホストの監査の概要

Network Admission Control(NAC)を使用すると、デバイスがネットワークの保護されたエリアにアクセスする前に、セキュリティ ポリシーへの準拠を確認するため、エンドポイント デバイスのポスチャが有効になります。NAC でホストのポスチャを判定する方法としては、Posture Agent(PA; ポスチャ エージェント)を使用する方法と、ホストに PA がインストールされていない場合にエージェントレス ホストに対して監査サーバを使用する方法があります。

NAC では、ポスチャ エージェントがないために認証を実行できないホストに対し、いくつかの方法でネットワーク アクセスを許可できます。エージェントレス ホストには、プリンタ、スキャナ、サポートされていないオペレーティング システムが動作しているホストが挙げられます。1 つの方法は、外部監査サーバと、MAC 認証バイパス対応の NAD ポートに接続されたエージェントレス ホストを使用することです。ポスチャを判定するためには、中央の ACS サーバで MAC アドレスを登録し、共有プロファイルと許可ポリシーを作成しておく必要があります。

監査サーバは、クライアントレス デバイスのセキュリティ準拠、脆弱性、脅威をプローブおよびスキャンする機能を備えています。アクセス サーバは、応答しないすべてのホストに対して共通の制限的なポリシーを適用するのではなく、監査サーバの結果を使用してホスト固有のネットワーク アクセス ポリシーを決定します。

スイッチの設定

NAC 監査サーバがエージェントレス ホストのポスチャを判定するには、特権モードで次の作業を行います。

 

作業
コマンド

ステップ 1

MAC 認証バイパスを、スイッチでグローバルにイネーブルにします。

set mac-auth-bypass enable

ステップ 2

スイッチで MAC 認証バイパスの再認証をイネーブルにします。

set mac-auth-bypass reauthentication enable

ステップ 3

ポートごとに MAC 認証バイパスをイネーブルにします。

set port mac-auth-bypass mod/port enable

スイッチを設定する際には、次の注意事項に従ってください。

スイッチで RADIUS が設定されており、Cisco Secure ACS サーバに接続されている必要があります。

監査設定を MAB の Network Access Profile(NAP; ネットワーク アクセス プロファイル)から削除する場合は、ポートを再度初期化する必要があります。

セッション タイムアウト値は、DACL がすべての ACL をダウンロードするために必要な時間よりも大きくし、他の監査要件に基づいて決定する必要があります。

Cisco Secure ACS サーバの設定

エージェントレス ホストを監査するためには、スイッチを Cisco Secure ACS サーバと、Qualys などのサードパーティ製 NAC 監査サーバに接続する必要があります。監査サーバがインストールされ動作している場合は、ACS サーバ上で監査サーバの情報を設定します。この機能が正しく動作するためには、Cisco Secure ACS サーバ 4.1 以降が必要です。

ACS サーバで NAC エージェントレス ホストと NAC 監査サーバの情報を設定するには、次の手順を実行します。


ステップ 1 CSUtil ツールを使用して、NAC 監査ベンダーの信頼できるルート CA を ACS の証明書ストアにインポートします。

ステップ 2 CSUtil を使用して、NAC 監査サーバの監査デバイスタイプ アトリビュート ファイルをインポートします。

ステップ 3 CSUtil を使用して、監査ベンダーの NAC アトリビュートと値のペアをインポートします。

ステップ 4 ACS でポスチャ検証をイネーブルにします。

ステップ 5 ACS 上で外部ポスチャ検証監査サーバのセットアップ ページを使用して、ACS 上で外部監査サーバを設定します。

ステップ 6 共有プロファイル コンポーネントを定義します。

ステップ 7 ネットワーク アクセス プロファイル(NAP)許可ポリシーを設定します。


) NAP プロファイルで、MAB を設定し、監査サーバ、さまざまなポスチャ トークンに適用する DACL または共有 RAC ポリシー、監査サーバがホストと通信できない場合に適用するフェール オープン ポリシーを指定します。


ステップ 8 ACS 上の外部監査サーバ ポスチャ検証のセットアップ ページを使用して、監査対象のホスト、RADIUS 辞書内にデバイス アトリビュートがある監査ベンダー用のデバイスタイプの取得とマッピングを設定します。

ステップ 9 ACS 上でデバイス グループ ポリシーを設定します。

エージェントレス ホストの監査の詳細と、これらの各作業を実行するための詳しい手順については、次のマニュアルを参照してください。

『Configuration Guide for CISCO Secure ACS』

『NAC Framework Configuration Guide』

『NAC Audit Vendor Configuration Guide』

NAC 監査サーバのインストールと設定

NAC 監査サーバのインストールと設定については、監査サーバに付属の NAC 監査ベンダーのマニュアルを参照してください。監査サーバをインストールおよび設定する前に、監査サーバがスイッチに物理的に接続されていることを確認してください。

エージェントレス ホスト ポスチャ トークンの表示

エージェントレス ホストに対し、見つかった脆弱性の数とその重大度が評価されます。この脆弱性情報がキャッシュされた監査レポートから取得され、NAC 監査サーバ上の評価方法設定によってポスチャ トークンが決定されます。

エージェントレス ホストは次のいずれかのポスチャ エージェントを保持できます。

Infected :重大度が 5 の脆弱性が 1 つ以上検出された場合。感染したホストの監査レポートはキャッシュされ、5 分後に期限切れになります。

Quarantine :重大度が 4 の脆弱性が 1 つ以上検出された場合。検疫ホストの監査レポートはキャッシュされ、10 分後に期限切れになります。

Check-up :重大度が 3 の脆弱性が 1 つ以上検出された場合。チェックアップ ホストの監査レポートはキャッシュされ、1 時間後に期限切れになります。

Healthy :重大度が 5、4、3 の脆弱性が検出されなかった場合。健康なホストの監査レポートはキャッシュされ、24 時間後に期限切れになります。

Unknown :存在しないホストまたは停止しているホストがプローブに応答しない場合。不明なホストの監査レポートはキャッシュされ、12 時間後に期限切れになります。


) トラフィックには監査のための遅延があります。この遅延の間、ホストは遷移ポスチャ トークンを保持します。


次に、MAC 認証バイパス対応の ポート のポスチャ トークンを表示する例を示します。

Console> (enable) show port mac-auth-bypass 6/25
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
---- ---------------------- ----------- ---------- -------
6/25 Disabled - - 5
 
Port Termination action Session Timeout Shutdown/Time-Left
---- ------------------- --------------- ------------------
6/25 - 3600 NO -
 
Port PolicyGroups
---- -----------------------------------------------------
6/25 -
 
Port Critical Critical-Status
---- ----------- ---------------
6/25 Disabled -
 
Port Session-id
---- --------------------------------
6/25 000015a90000099a000019ba000003e1
 
Port Posture -Token Url-Redirect
---- -------------- -------------------
6/25 Healthy http://10.76.255.100:2002

エージェントレス ホスト監査とセキュリティ機能の相互作用

ここでは、NAC 監査と他のセキュリティ機能の動作について説明します。

802.1X:ACS が 802.1X で認証されるポートを監査する場合、MAB の設定を確認します。ACS は、MAB がイネーブルの場合にだけポートを監査します。イネーブルでない場合は、ポートをゲスト VLAN の一部と見なします。

MAB:MAB のトリガー方法にかかわらず、MAB が失敗しない限り監査が実行されます。

レイヤ 3 機能:MAB 対応のエージェントレス ホスト監査による影響を受けません。

クリティカル認証:RADIUS サーバがないため、相互作用はできず、以前のポスチャ(存在する場合)が保持されます。

PVLAN:影響はありません。