Catalyst 6500 シリーズ スイッチソフトウェア コン フィギュレーション ガイド リリース8.7
NAC の設定
NAC の設定
発行日;2012/01/31 | 英語版ドキュメント(2010/03/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

NAC の設定

LAN ポート IP による NAC の設定

LAN ポート IP による NAC の機能概要

概要

ウイルス感染およびネットワークへの影響

NAC の機能概要

ネットワーク アクセス デバイス(NAD)

Cisco Trust Agent

Cisco Secure ACS

リダイレクション

LAN ポート IP ポスチャ確認の要約

LAN ポート IP のハードウェアおよびソフトウェア要件

LAN ポート IP 設定時の注意事項および制限事項

LAN ポート IP の設定

LAN ポート IP の CLI コマンド例

LAN ポート IP のグローバルなイネーブル化またはディセーブル化

クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化

例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用

例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用

ホストのステート マシンの再起動

CTA パケット再送信回数と RADIUS サーバ再送信回数の指定

ホストの再確認

LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化

EAPOUDP 関連タイマーの設定

EOU レート制限の設定

EOU RADIUS アカウンティングのイネーブル化またはディセーブル化

ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化

ポート単位での LAN ポート IP の初期化

ポート単位での LAN ポート IP の再確認

スーパーバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション

グローバルな EOU 設定の表示

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示

ポート単位の LAN ポート IP ステートの要約の表示

ホスト固有の情報の表示

EOU 認証関連情報の表示

EOU ログの表示

ポスチャトークン単位の EOU 結果の表示

LAN ポート IP 設定の消去

すべてのホスト EOU セッションの消去

特定のホストの LAN ポート IP セッションの消去

例外グループからの IP アドレスの消去または例外グループの消去

EAPOUDP 関連タイマーのデフォルト値へのクリア

CTA パケットの再送信回数の消去

Policy-Based ACL の設定

既存のポリシー グループへの IP アドレスの追加

ポリシー テンプレートへのポリシー グループの追加

ポリシー グループからの IP アドレスの消去

ポリシー テンプレートからのポリシー グループの消去

ポリシー グループ情報の表示

ポリシー テンプレートおよび関連するポリシー グループの表示

アクセス不能認証バイパスの設定

アクセス不能認証バイパスのイネーブル化およびディセーブル化

AAA 失敗ポリシーの設定

RADIUS キープアライブ タイマーの設定

RADIUS 自動初期化機能の設定

ポート上での機能のクリティカル ステータスの表示

ポート上での AAA 失敗ポリシーの表示

RADIUS サーバ情報の表示

ポート上での MAC 許可バイパス設定の表示

ポート上での Web 許可設定の表示

ポート上での EOU 設定の表示

ポート上でのポリシー マッピングの消去

LAN ポート IP の設定例

Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート IP 拡張

LAN ポート IP 例外ホストに対する URL リダイレクト サポートの設定

プライベート VLAN ポート上での LAN ポート IP の設定

LAN ポート 802.1X による NAC の設定

LAN ポート 802.1X による NAC の機能

Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート 802.1X 拡張

LAN ポート 802.1X に対する URL リダイレクション サポート

LAN ポート 802.1X に対するセッション タイムアウト上書きのイネーブル化およびディセーブル化

NAC の設定

この章では、Catalyst 6500 シリーズ スイッチ上で Network Admission Control(NAC)を設定する手順について説明します。


) この章で使用しているコマンドの完全な構文および使用方法の詳細については、『Catalyst 6500 Series Switch Command Reference』を参照してください。



) IEEE 802.1X 認証の設定については、第 40 章「802.1X 認証の設定」を参照してください。



) MAC 認証バイパスの設定については、第 41 章「MAC 認証バイパスの設定」を参照してください。



) イーサネット、ファースト イーサネット、またはギガビット イーサネット ポートへのアクセスを試みたステーションの MAC アドレスが、そのポートに指定されている MAC アドレスと異なる場合に、ポート セキュリティ機能を使用してポートへのアクセスをブロックする手順については、第 38 章「ポート セキュリティの設定」を参照してください。この章では、ホスト MAC アドレスに基づく指定ホストに送信、または指定ホストから受信したトラフィックをフィルタリングする場合に、ポート セキュリティを使用する手順についても説明します。



) Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)を設定して、Catalyst 6500 シリーズ スイッチの Command-Line Interface(CLI; コマンドライン インターフェイス)へのアクセスを監視および制御する方法については、第 39 章「AAA によるスイッチ アクセスの設定」を参照してください。


この章で説明する内容は、次のとおりです。

「LAN ポート IP による NAC の設定」

「LAN ポート 802.1X による NAC の設定」

LAN ポート IP による NAC の設定

ここでは、LAN ポート IP による NAC の設定手順について説明します。

「LAN ポート IP による NAC の機能概要」

「LAN ポート IP ポスチャ確認の要約」

「LAN ポート IP のハードウェアおよびソフトウェア要件」

「LAN ポート IP 設定時の注意事項および制限事項」

「LAN ポート IP の設定」

「LAN ポート IP の CLI コマンド例」

「Policy-Based ACL の設定」

「アクセス不能認証バイパスの設定」

「LAN ポート IP の設定例」

「Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート IP 拡張」

概要

NAC は、ネットワーク化された企業に対して増加するワームおよびウイルスの脅威および影響に対処します。この機能は、ユーザがセキュリティの脅威を識別、防御、および適合するために役立つ Cisco Self-Defending Network Initiative の一部です。

NAC はその初期段階で、スイッチおよびルータがネットワークに接続しようとしているエンドポイントのアクセス権を制限できるようにします。アクセスは、現在のアンチウイルス ステート(アンチウイルス ソフトウェアのバージョン、ウイルス定義、およびスキャン エンジンのバージョン)などのエンドポイント デバイスの情報に基づいて行われます。

NAC システムにより、非準拠のデバイスに対するアクセスの拒否、検疫エリアへの配置、またはコンピューティング リソースへの制限付きアクセスの許可が可能になり、非セキュアなノードがネットワークに悪影響を及ばさないようにします。

シスコの NAC プログラムの主要コンポーネントは Cisco Trust Agent(CTA)で、エンドポイント システムに常駐して、ネットワーク上のシスコ製スイッチおよびルータと通信します。CTA は、使用されているアンチウイルス ソフトウェアのタイプなどのセキュリティ ステートの情報を収集して、シスコ製スイッチおよびルータにこの情報を送信します。次に、この情報は Cisco Secure Access Control Server(ACS)にリレーされて、アクセス コントロールが決定されます。ACS は、シスコ製スイッチまたはルータにエンドポイントに対する処理の実行を指示します。

ウイルス感染およびネットワークへの影響

ウイルス感染はネットワークに対する重大なセキュリティ侵犯の最も大きな原因です。ウイルス感染の原因は、非セキュアなエンドポイント(PC、ラップトップ、およびサーバなど)にあります。エンドポイントにアンチウイルス ソフトウェアがインストールされている場合でも、このソフトウェアがディセーブルである場合がよくあります。ソフトウェアがイネーブルであっても、エンドポイントに最新のウイルス定義およびスキャン エンジンがない場合もあります。また、アンチウイルス ソフトウェアがインストールされていない機器によって、より一層のセキュリティ上のリスクが発生します。

NAC の機能概要

エンドポイント システムまたはクライアントは、PC、ラップトップ、ワークステーション、およびサーバなどネットワーク上のホストとなっています。エンドポイント システムは潜在的なウイルス感染源であるため、これらのアンチウイルス ステートはネットワーク アクセスが許可される前に検証される必要があります。エンドポイントが、アップストリームのシスコ製ネットワーク アクセス デバイス(シスコ製スイッチまたはルータ)を介してネットワークに IP 接続しようとすると、ネットワーク アクセス デバイスはエンドポイントにアンチウイルス ステートを要求します。エンドポイント システムは、Cisco Trust Agent というクライアントを実行して、エンド デバイスから収集したアンチウイルス ステート情報をネットワーク アクセス デバイスに転送します。次に、この情報は Cisco Secure ACS に送信されます。ACS では、エンドポイントのアンチウイルス ステートを検証し、アクセス コントロールを決定して、ネットワーク アクセス デバイスに戻します。ネットワーク デバイスでは、エンド デバイスの許可、拒否、または検疫が行われます。Cisco Secure ACS は、バックエンドのアンチウイルス ベンダー固有のサーバを順々に使用して、エンドポイントのアンチウイルス ステートを評価する場合もあります。

図 44-1 に、Cisco NAC の機能を示します。

図 44-1 Cisco IOS NAC システム

ネットワーク アクセス デバイス(NAD)

Network Access Device(NAD; ネットワーク アクセス デバイス)はシスコ製スイッチまたはルータ(レイヤ 3 Extensible Authentication Protocol over UDP [EAPoUDP] アクセス ポイント)で、インターネットまたはリモートの企業ネットワークなどの外部ネットワークと接続しています。

Cisco Trust Agent

CTA はエンドポイント システムで実行される特殊なソフトウェアです。CTA は、スイッチまたはルータからのエンドポイント システムのアンチウイルス ステートに関する要求に応答します。ネットワーク アクセス デバイス(スイッチまたはルータ)は、CTA が稼動していないエンドポイント システムを「クライアントレス」として分類します。

Cisco Secure ACS

Cisco Secure ACS は、RADIUS 認証を使用して NAC に認証、許可、およびアカウンティング(AAA)サービスを提供します。Cisco Secure ACS は、エンドポイント システムのアンチウイルス証明に基づいて、ネットワーク アクセス デバイスにアクセス コントロールの決定を戻します。

Cisco Secure ACS 上で次のアトリビュート/値ペア(AV ペア)を設定するには、RADIUS cisco_av_pair Vendor-Specific Attiribute(VSA; ベンダー固有属性)を使用します。これらの AV ペアは、ネットワーク アクセス デバイスに他のアクセス コントロール アトリビュートと同時に送信されます。

url-redirect:AAA クライアントが HTTP 要求を代行受信し、新しい URL にリダイレクトできるようにします。このリダイレクションは、ポスチャ確認の結果、修復 Web サーバ上で利用可能な更新またはパッチがネットワーク アクセス コントロール エンドポイントで必要となる場合に役立ちます。たとえば、新しいウイルスの Directory Administration Tool(DAT)ファイルまたはオペレーティング システムのパッチをダウンロードして適用するために、修復 Web サーバにユーザをリダイレクトできます。

url-redirect=http://10.1.1.1
 

監査のための URL リダイレクト サポート :監査機能は、Cisco CTA がイネーブルでないホスト用です。監査は、ネットワーク アクセス デバイス(NAD)がクライアントレス認証を実行する際に監査で必要なポリシーを送信すると、ACS によりトリガーされます。監査は、監査サーバの URL をホストの URL リダイレクト ポリシーとして送信することで達成されます。ホストからの HTTP トラフィックが確認されると、監査サーバの URL が提供されます。Policy-Based ACL(PBACL)により設定されたポリシーは、監査サーバとホスト間の通信を許可します。通常、セッション タイムアウトは監査が完了するには短く、このタイムアウトが満了すると、再確認が実行されます。NAD は ACS に事前に受信したステート アトリビュートを送信して、新しいポリシーを伝達します。このセッション タイムアウト間に監査が終了しない場合、ACS は別の短いセッション タイムアウトを送信し、監査のポスチャ トークンが受信されるまでこのプロセスを継続します。このプロセスが完了しないか、または時間がかかる場合、監査サーバは ACS に「エラー」のポスチャ トークンを戻します。

posture-token:Cisco Secure ACS が、ポスチャ確認で取得した System Posture Token(SPT)のテキスト バージョンを送信できるようにします。SPT は常に数値形式で送信されます。ポスチャ トークン AV ペアを使用すると、AAA クライアントのポスチャ確認要求の結果を容易に表示できます。

posture-token=Healthy
 

有効な SPT は、最良のものから順に次のとおりです。

Healthy

Checkup

Quarantine

Infected

Unknown

ポスチャ確認(ポスチャ アセスメント)とは、一連のルールをポスチャ データに適用して、エンドポイントに設定する信用レベルのアセスメントを提供する動作を指します。ポスチャという用語は、ネットワークへのアクセスをシークするエンドポイント デバイスの実行およびヘルスに関するアトリビュートの集合を指します。これらのアトリビュートにはエンドポイント デバイス タイプおよびオペレーティング システムに関連するもの、エンドポイントに表示される各種セキュリティ アプリケーションに属するもの(Antivirus [AV; アンチウイルス] スキャニング ソフトウェアなど)があります。ポスチャ トークンは、ネットワーク アクセスの許可ルールの条件の 1 つです。ポスチャ確認と従来のユーザ認証によって、エンドポイント デバイスおよびユーザに対する完全なセキュリティ アセスメントが提供されます。

status-query-timeout:AAA クライアントのステータスクエリーのデフォルト値を指定した値(秒)で上書きします。

status-query-timeout=150
 

シスコのソフトウェアでサポートされる AV ペアの詳細については、ご使用の AAA クライアントに実装されているソフトウェア リリースのマニュアルを参照してください。

リダイレクション

NAC は、エンドポイント デバイスからの任意の HTTP 要求を指定のリダイレクト アドレスへリダイレクトする HTTP リダイレクションをサポートします。このサポート メカニズムにより、送信元からのすべての HTTP 要求が指定の Web ページ(URL)にリダイレクトされ、そこで最新のアンチウイルス ファイルがダウンロードされます。ACS 上で [url-redirect] VSA の値を設定し、それに相応してエンドポイント システムのアクセスを許可するダウンロード可能な Access Control List(ACL; アクセス コントロール リスト)内の Access Control Entry(ACE; アクセス コントロール エントリ)をリダイレクト URL アドレスに関連付ける必要があります。

LAN ポート IP ポスチャ確認の要約

LAN ポート IP は、ポスチャ確認エンドユーザ デバイスがポスチャに基づいてネットワークにアクセスすることを許可します。ポスチャ確認後、エンドユーザ デバイスは 5 つのステート(healthy、checkup、quarantine、infected、または unknown)のいずれかに分類されます。デバイスのポスチャ ステートにより、ネットワークのアクセス権が与えられます。

LAN ポート IP の実行メカニズムには、URL リダイレクションおよび監査が含まれます。ネットワーク アクセスの実行には、PBACL が使用されます。

ポスチャ確認の基本的手順は、次のとおりです。

1. NAD は、Address Resolution Protocol(ARP; アドレス解決プロトコル)検査および(または)Dynamic Host Configuration Protocol(DHCP)スヌーピングを使用して、MAC および IP アドレス バインディングを学習します。


) ポスチャ確認に DHCP トリガーを使用する場合、ARP 検査もイネーブルにする必要があります。ARP 検査がイネーブルでない場合、ポスチャ確認は完了しますが、セッションは数分で切断されます。これは、クライアントからの ARP プローブ応答が EAP over UDP(EOU)ステート マシンから見えないためです。


2. NAD は、ホストに EOU hello 要求を送信します。

3. CTA が稼動しているホストは、hello 応答により返答します。

4. NAD は、EOU 確認アイデンティティ要求を送信します。

5. CTA は、EOU 確認応答により返答します。

6. NAD は、EOU から抽出した EAP パケットを RADIUS アクセス要求に組み込んで、認証サーバ(ACS など)に送信します。

7. ACS はアクセス確認を返し、CTA には EOU 確認パケットの形式で転送されます。

8. ACS がポスチャ確認セッションに対して成功または失敗応答を送信するまで、手順 6 および手順 7 は継続されます。

9. 成功した場合、ACS は PBACL グループ、セッション タイムアウト、ステータス クエリー タイムアウト、認証済みユーザ名などが含まれるポスチャに関連付けられたポリシー、およびポスチャ トークン VSA を送信します。

ホストが NAD から送信された EOU hello 要求に応答しない場合、(事前に設定された試行回数の後)NAD はホストにクライアントレス(CTA なし)を宣言します。NAD はホストの代わりに擬似認証を実行して、ポリシーを伝達します。監査など他のポスチャ確認メカニズムがトリガーされます。

クライアントレス モードでは、NAD は 3 つの EOU hello メッセージ(デフォルト)を送信してから、ホストに CTA がないことを宣言します。クライアントレス認証の実行およびそのポリシーのインストールを行うこのプロセスは、約 90 秒かかります。CTA を持たないことが明らかなポート上でのこの遅延を避けるには、ポート単位の CLI を使用してポート モードをバイパスに設定します( set port eou mod / port bypass コマンドを入力)。この処理を実行すると、ポートは新しい IP アドレスを学習した場合、ただちにクライアントレス認証を行います。

ポスチャ確認非対応のためポスチャ確認を試行しないホストは例外です。例外と指定されたホストが検出された場合、事前設定済みのポリシーがインストールされます。

LAN ポート IP のハードウェアおよびソフトウェア要件

LAN ポート IP を設定する場合は、次のハードウェアおよびソフトウェア要件に従ってください。

Catalyst 6500 シリーズ スイッチ上では、Release 8.5(1) 以降のソフトウェア リリースが稼動している必要があります。

エンドポイント デバイス(PC、およびラップトップなど)上に CTA がインストールされている必要があります。

AAA の ACS が必要です。

LAN ポート IP 設定時の注意事項および制限事項

LAN ポート IP を設定する場合、次の設定時の注意事項および制限事項に従ってください。

アクセス コントロール リスト(ACL)および Policy-Based ACL(PBACL)の設定に精通している必要があります。

認証、許可、アカウンティング(AAA)の設定に精通している必要があります。

LAN ポート IP は、802.1X、MAC 認証バイパス、および Web ベース プロキシ認証など他のセキュリティ機能と連動します。次のように、802.1X ポートに適用される制限事項は LAN ポート IP にも適用されます。

LAN ポート IP は、アクセス ポート上だけで設定可能です。トランク ポート上では、設定できません。

LAN ポート IP ポートは、EtherChannel の一部にできません。

ダイナミック ポートでは、LAN ポート IP をイネーブルにできません。

LAN ポート IP は、イーサネット ポート上だけでイネーブルにできます。

LAN ポート IP ポートは、SPAN 宛先ポートにできません。

LAN ポート IP ポートは、プライベート VLAN の一部にできません。


) Release 8.6(1) 以降のソフトウェア リリースでは、LAN ポート IP ポートをプライベート VLAN の一部にすることができます。詳細については、「プライベート VLAN ポート上での LAN ポート IP の設定」を参照してください。


LAN ポート IP は、802.1X または MAC 認証バイパスなどの認証機能がイネーブルの場合、認証の終了後にだけ初期化されます。

802.1X:802.1X 認証では、VLAN 割り当てなどのレイヤ 2 ポリシーを適用し、ポートに Policy-Based ACL(PBACL)などのレイヤ 3 ポリシー アトリビュートも適用できます。LAN ポート IP ポリシーは、RADIUS サーバからダウンロードされたポリシーグループのメンバシップだけで構成されます。

マルチホストおよびマルチ認証モードは、サポートされません。LAN ポート IP での 802.1X は、単一ホスト モードだけでサポートされます。

補助 VLAN:LAN ポート IP は、マルチ VLAN アクセス ポート上でサポートされます。

ゲスト VLAN および認証失敗 VLAN:LAN ポート IP でこれら 2 つの機能が設定されている場合、LAN ポート IP の動作は、ポスチャ確認のためにゲスト VLAN または認証失敗 VLAN から IP アドレスを取得するという点だけが異なります。

DHCP スヌーピングおよび(または)ARP 検査:IP ラーニングは、ARP 検査または DHCP スヌーピングにより行われます。LAN ポート IP を機能させるには、少なくともいずれか 1 つの機能がイネーブルである必要があります。これらの機能は、LAN ポート IP をトリガーするために必要です(これらの機能の ACE を含む PBACL を LAN ポート IP が格納された VLAN にマッピングする必要があります)。これらの機能がいずれもイネーブルでない場合、レイヤ 2 スイッチはポート上に表示される新しい IP アドレスを学習できません。


) ポスチャ確認に DHCP トリガーを使用する場合、ARP 検査もイネーブルにする必要があります。ARP 検査がイネーブルでない場合、ポスチャ確認は完了しますが、セッションは数分で切断されます。これは、クライアントからの ARP プローブ応答が EOU ステート マシンから見えないためです。



) Supervisor Engine 1 は、ARP 検査をサポートしません。Supervisor Engine 1 を搭載している場合は、DHCP スヌーピングをイネーブルにする必要があります。


ポート セキュリティ:LAN ポート IP は、ポート セキュリティとともに機能します。ポート セキュリティで確認された MAC アドレスだけが、ポスチャ確認を通過できます。ポート セキュリティ違反が発生し、ポートがシャットダウンした場合、ポートの LAN ポート IP ステートも消去されます。認証機能を設定すると、認証機能が MAC アドレスをポート セキュリティに提供し、MAC アドレスが認証に成功したことが保証され、LAN ポート IP が初期化されます。

セキュリティ ACL(VACL):セキュリティ ACL は PBACL として使用され、PBACL は VACL モードで LAN ポート IP だけでサポートされます。

MAC 認証バイパス:LAN ポート IP は、MAC 認証バイパス、802.1X、または Web ベース プロキシ認証を使用した認証に成功した場合にだけ初期化されます。

Web ベース プロキシ認証:LAN ポート IP は、Web ベース プロキシ認証でアイデンティティ証明書の確認が完了した場合にだけ初期化されます。Web ベース プロキシ認証ステートでは、ポートは認証が完了するのを無期限で待機します。この段階では、DHCP および DNS だけが通過を許可されます。インターフェイス上で設定された ACL は、HTTP トラフィックのリダイレクションを処理します。インターフェイス上で設定された PBACL は、その他のトラフィックが許可されていないことを保証します。

LAN ポート IP の設定

ここでは、LAN ポート IP の設定方法について説明します。


) LAN ポート IP の設定情報を表示して、LAN ポート IP の設定要素を消去するには、「LAN ポート IP の CLI コマンド例」を参照してください。Policy-Based ACL(PBACL)を設定するには、「Policy-Based ACL の設定」を参照してください。



) 次の設定手順の詳細については、「LAN ポート IP の設定例」を参照してください。


LAN ポート IP を設定するには、次の手順を実行します。


ステップ 1 set eou { enable | disable } コマンドを入力して、スイッチ上で LAN ポート IP をグローバルにイネーブルにします( デフォルトはディセーブル)。

Console> (enable) set eou enable
EoU globally enabled.
Console> (enable)
 

ステップ 2 set port eou mod / port { bypass | auto | disable | initialize | revalidate } コマンドを入力して、ポート単位で LAN ポート IP をイネーブルにします。

Console> (enable) set port eou 7/1 auto
EoU enabled on 7/1
Console> (enable)
 

ステップ 3 次のコマンドを入力して、RADIUS サーバおよび RADIUS 鍵を定義します。

set radius server ip_addr [ auth-port port ] [ acct-port port ] [ primary ]

set radius key key

次に、RADIUS サーバを定義する例を示します。

Console> (enable) set radius server 10.76.39.93 auth-port 1812 primary
10.76.39.93 with auth-port 1812 acct-port 1813 added to radius server table as primary server.
Console> (enable)
 

次に、RADIUS 鍵を定義する例を示します。

Console> (enable) set radius key cisco
Radius key set to cisco
Console> (enable)
 

ステップ 4 次のように、Policy-Based ACL(PBACL)を定義して VLAN にマッピングします。

a. DHCP スヌーピングおよび(または)ARP 検査をイネーブルにします。

set security acl ip acl-name permit dhcp-snooping

set security acl ip acl-name permit arp-inspection

b. EAPoUDP リダイレクションをイネーブルにします。

set security acl ip acl-name permit eapoudp

c. 各種 LAN ポート IP ステートに対応するポリシー グループを使用して、他のポリシー文を定義します。

set security acl ip NACACL permit ip group healthy_hosts any

set security acl ip NACACL deny ip group infected_hosts any

set security acl ip NACACL permit ip group exception_hosts any

set security acl ip NACACL permit ip group clientless_hosts host 10.76.39.100

d. URL リダイレクションでは、次の ACE を適所で適用します。

set security acl ip NACACL permit url-redirect

ステップ 5 クライアントレスの反応がないホスト(NRH ホスト)について、 set eou allow clientless enable コマンドを入力してクライアントレス機能をイネーブルにします。

ステップ 6 NRH ホストのポリシーを定義します。上記の手順で定義された ACL には、指定されたグループが存在する必要があります。

set policy name exception_policy group exception_hosts

ステップ 7 例外ホストを指定し、 set eou authorize ip 77.0.0.90 policy exception_policy コマンドを入力してポリシーを割り当てます。

ステップ 8 RADIUS サーバを設定します。RADIUS サーバ設定の詳細については、次の URL で『 Implementing Network Admission Control Phase One Configuration and Deployment 』を参照してください。

http://www.cisco.com/en/US/docs/solutions/Enterprise/Security/ImplNAC/ImpNAC.html

ACL で使用されるポリシー グループが、ポスチャトークン VSA(26/9/1 sec:pg=healthy_hosts など)により設定されていることを確認します。

ACS のポリシー グループは定義されているが、VLAN にマッピングされた VACL がそのグループを参照しない場合、ポリシーのインストールが失敗するためポスチャ確認は失敗します。

ステップ 9 次のコマンドを入力して、sc0 インターフェイスで適切な IP アドレスが設定されていることを確認します。

set interface { sc0 | sl0 | sc1 } { up | down }

set interface sc0 [ vlan ] [ ip_addr / netmask [ broadcast ]]

ステップ 10 ホストが接続されている VLAN にデフォルト ルータが存在することを確認します。デフォルト ルータがない場合は、sc0 の IP アドレス用にホスト上のスタティックな ARP が必要です。

ステップ 11 ホストおよび管理インターフェイス(sc0)が同じ VLAN にあり、この VLAN に VACL が設定されている場合、スイッチの IP アドレスから RADIUS サーバへのトラフィックを許可する ACE を設定する必要があります。


 

LAN ポート IP の CLI コマンド例

ここでは、LAN ポート IP CLI の設定方法について説明します。

「LAN ポート IP のグローバルなイネーブル化またはディセーブル化」

「クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化」

「例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用」

「例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用」

「ホストのステート マシンの再起動」

「CTA パケット再送信回数と RADIUS サーバ再送信回数の指定」

「ホストの再確認」

「LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化」

「EAPOUDP 関連タイマーの設定」

「EOU レート制限の設定」

「EOU RADIUS アカウンティングのイネーブル化またはディセーブル化」

「ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化」

「ポート単位での LAN ポート IP の初期化」

「ポート単位での LAN ポート IP の再確認」

「スーパーバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション」

「グローバルな EOU 設定の表示」

「すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示」

「ポート単位の LAN ポート IP ステートの要約の表示」

「ホスト固有の情報の表示」

「EOU 認証関連情報の表示」

「EOU ログの表示」

「ポスチャトークン単位の EOU 結果の表示」

「LAN ポート IP 設定の消去」

「すべてのホスト EOU セッションの消去」

「特定のホストの LAN ポート IP セッションの消去」

「例外グループからの IP アドレスの消去または例外グループの消去」

「EAPOUDP 関連タイマーのデフォルト値へのクリア」

「CTA パケットの再送信回数の消去」

LAN ポート IP のグローバルなイネーブル化またはディセーブル化

スイッチ上で LAN ポート IP をイネーブルまたはディセーブルにするには、特権モードで次の作業を行います(デフォルトはディセーブル)。

 

作業
コマンド

スイッチ上で LAN ポート IP をグローバルにイネーブルまたはディセーブルにします。

set eou { enable | disable }

次に、スイッチ上で LAN ポート IP をグローバルにイネーブルにする例を示します。

Console> (enable) set eou enable
EoU globally enabled.
Console> (enable)

クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスのイネーブル化またはディセーブル化

クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスをグローバルにイネーブルまたはディセーブルにするには、特権モードで次の作業を行います(デフォルトはディセーブル)。

 

作業
コマンド

クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスをイネーブルまたはディセーブルにします。

set eou allow clientless { enable | disable }

次に、クライアントレス ホストに対する LAN ポート IP ポスチャ確認のバイパスをイネーブルする例を示します。

Console> (enable) set eou allow clientless enable
EoU Clientless hosts will be allowed
Console> (enable)

例外ホスト デバイスとしての IP アドレスのスタティックな許可およびデバイスへのポリシーの適用

このコマンドにより、特定の IP アドレスが例外ホストとして処理され、このホストが検出されると、ポリシー名により指定されたポリシーが動的にインストールされます。


) ポリシー テンプレートが存在しない場合は、次のコマンドを入力して、ポリシー テンプレートを作成します。


IP デバイスを静的に許可して、関連するポリシーをデバイスに適用するには、特権モードで次の作業を行います。

 

作業
コマンド

IP デバイスを静的に許可して、関連するポリシーをデバイスに適用します。

set eou authorize ip ip_addr policy policy_name

set eou authorize ip ip_addr ip_mask policy policy_name

次に、IP デバイスを静的に許可して、関連するポリシーをデバイスに適用する例を示します。

Console> (enable) set eou authorize ip 172.20.52.19 255.255.255.224 policy poll
Mapped IP address 172.20.52.0 IP mask 255.255.255.224 to policy name poll
Console> (enable)

例外ホスト デバイスとしての MAC アドレスのスタティックな許可およびデバイスへのポリシーの適用

このコマンドにより、特定の MAC アドレスが例外ホストとして処理され、このホストが検出されると、ポリシー名により指定されたポリシーが動的にインストールされます。


) ポリシー テンプレートが存在しない場合は、次のコマンドを入力して、テンプレートを作成します。


デバイスの MAC アドレスを使用してデバイスを静的に許可し、関連するポリシーをデバイスに適用するには、特権モードで次の作業を行います。

 

作業
コマンド

デバイスの MAC アドレスを使用してデバイスを静的に許可し、関連するポリシーをデバイスに適用します。

set eou authorize mac-address mac_address policy policy_name

set eou authorize mac-address mac_address mac_mask policy policy_name

次に、デバイスの MAC アドレスを使用してデバイスを静的に許可し、関連するポリシーをデバイスに適用する例を示します。

Console> (enable) set eou authorize mac-address 03-56-B7-45-65-56 policy poll
Mapped MAC 03-56-b7-45-65-56 to policy name poll.
Console> (enable)

ホストのステート マシンの再起動

ホストのステート マシンを再起動するには、特権モードで次の作業を行います。

 

作業
コマンド

ホストのステート マシンを再起動します。

set eou initialize all

set eou initialize authentication { clientless | eap | static }

set eou initialize ip ip-address

set eou initialize mac mac-address

set eou initialize posture-token posture-token

次に、IP アドレスを使用してホストのステート マシンを再起動する例を示します。

Console> (enable) set eou initialize ip 172.20.52.19
Initializing Eou for ipAddress 172.20.52.19
Console> (enable)

CTA パケット再送信回数と RADIUS サーバ再送信回数の指定

CTA が反応なしと宣言されるまでにパケットが CTA に再送信される回数および RADIUS サーバの再送信回数を指定するには、特権モードで次の作業を行います(デフォルトは 3 で、1 ~ 10 の範囲です)。

 

作業
コマンド

CTA が反応なしと宣言されるまでにパケットが CTA に再送信される回数、および RADIUS サーバの再送信回数を指定します。

set eou max-retry max-retry

次に、CTA が反応なしと宣言されるまでにパケットが CTA に再送信される回数、および RADIUS サーバの再送信回数を指定する例を示します。

Console> (enable) set eou max-retry 6
eou max-retry set to 6.
Console> (enable)

ホストの再確認

ホストを再確認するには、特権モードで次の作業を行います。

 

作業
コマンド

ホストを再確認します。

set eou revalidate all

set eou revalidate authentication { clientless | eap | static }

set eou revalidate ip ip-address

set eou revalidate mac mac-address

set eou revalidate posture-token posture-token

次に、すべてのクライアントレス ホストを再確認する例を示します。

Console> (enable) set eou revalidate authentication clientless
Revalidate all clientless hosts
Console> (enable)

LAN ポート IP イベントの EOU ロギングのイネーブル化またはディセーブル化

LAN ポート IP イベントの EOU ロギングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います(デフォルトはディセーブル)。

 

作業
コマンド

LAN ポート IP イベントの EOU ロギングをイネーブルまたはディセーブルにします。

set eou logging { enable | disable }

次に、LAN ポート IP イベントの EOU ロギングをイネーブルにする例を示します。

Console> (enable) set eou logging enable
EoU Logging enabled
Console> (enable)

EAPOUDP 関連タイマーの設定

EAPOUDP 関連タイマーを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

EAPOUDP 関連タイマーを設定します。

set eou timeout aaa aaa-timeout

set eou timeout hold-period hold-timeout

set eou timeout retransmit retransmit-timeout

set eou timeout revalidation revalidation-timeout

set eou timeout status-query status-query-timeout

タイマーのデフォルトおよび範囲は、次のとおりです。

aaa:デフォルトは 60 秒で、範囲は 1 ~ 60 秒です。

hold-period:デフォルトは 180 秒で、範囲は 60 ~ 86400 秒です。

retransmit:デフォルトは 3 秒で、範囲は 1 ~ 60 秒です。

revalidation:デフォルトは 36000 秒で、範囲は 5 ~ 86400 秒です。

status-query:デフォルトは 300 秒で、範囲は 30 ~ 1800 秒です。

次に、再確認タイマーを 200 秒に設定する例を示します。

Console> (enable) set eou timeout revalidation 200
Console> (enable)

EOU レート制限の設定

EOU レート制限(デフォルトは 0 で、範囲は 10 ~ 200)を設定するには、特権モードで次の作業を行います。


) レート制限のデフォルト値 0 はレート制限をディセーブルにします。レート制限がディセーブルの場合、同時 LAN ポート IP 認証セッションに制限はありません。


 

作業
コマンド

EOU レート制限を設定します。

set eou rate-limit ratelimit

次に、EOU レート制限を 40 に設定する例を示します。

Console> (enable) set eou rate-limit 40
eou ratelimit set to 40.
Console> (enable)

EOU RADIUS アカウンティングのイネーブル化またはディセーブル化

EOU RADIUS アカウンティングをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

EOU RADIUS アカウンティングをイネーブルまたはディセーブルにします。

set eou radius-accounting { enable | disable }

次に、EOU RADIUS アカウンティングをイネーブルにする例を示します。

Console> (enable) set eou radius-accounting enable
Radius Accounting for Eou Enabled.
Console> (enable)

ポート単位での LAN ポート IP のバイパス、ディセーブル化、またはイネーブル化

LAN ポート IP をポート単位でバイパス、ディセーブル化、またはイネーブル化できます。 auto モードを指定すると、クライアントが検出された場合に LAN ポート IP が自動的にイネーブルになります。

ポート単位で、LAN ポート IP のバイパス、ディセーブル化、auto モードの指定、または aaa-fail ポリシーを指定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート単位で LAN ポート IP のバイパス、ディセーブル化、auto モードの指定、または aaa-fail ポリシーを指定します。

set port eou mod / port { aaa-fail-policy | auto | bypass | disable | initialize | revalidate }

次に、ポート上で aaa-fail ポリシーをイネーブルにする例を示します。

Console> (enable) set port eou 1/2 aaa-fail-policy test_policy
Policy test_policy mapped as aaa-fail-policy on port 1/2
Console> (enable)
 

次に、ポート 5/1 で LAN ポート IP をイネーブルにする例を示します。

Console> (enable) set port eou 5/1 auto
EoU enabled on 5/1
Console> (enable)
 

次に、ポート 7/1 を bypass モードに設定する例を示します。

Console> (enable) set port eou 7/1 bypass
 
Eou Bypass enabled on 7/1
Console> (enable)

ポート単位での LAN ポート IP の初期化

ポート単位で LAN ポート IP を初期化するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート単位で LAN ポート IP を初期化します。

set port eou mod / port initialize

次に、ポート 7/1 で LAN ポート IP を初期化する例を示します。

Console> (enable) set port eou 7/1 initialize
Initializing EoU for all hosts on port 7/1
Console> (enable)

ポート単位での LAN ポート IP の再確認

ポート単位で LAN ポート IP を再確認するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート単位で LAN ポート IP を再確認します。

set port eou mod / port revalidate

次に、ポート 7/1 で LAN ポート IP を再確認する例を示します。

Console> (enable) set port eou 7/1 revalidate
Re-validating EoU for all hosts on port 7/1
Console> (enable)

スーパーバイザ エンジンへの LAN ポート IP 制御パケットのリダイレクション

スーパーバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトするには、特権モードで次の作業を行います。

 

作業
コマンド

スーパーバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトします。

set security acl ip acl_name permit eapoudp ip_mask [ before | modify ] ace_insert _ position

次に、スーパーバイザ エンジンにすべての LAN ポート IP 制御パケット(EAP over UDP パケット)をリダイレクトする例を示します。

Console> (enable) set security acl ip test permit eapoudp mask1 before pos1
Successfully configured EAPoUDP ACL test. Use 'commit' command to save changes
 

グローバルな EOU 設定の表示

グローバルな EOU 設定を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

グローバルな EOU 設定を表示します。

show eou config

次に、グローバルな EOU 設定を表示する例を示します。

Console> (enable) show eou config
Eou Protocol Version : 1
Eou Global Config
-----------------
Eou Global Enable : Enabled
Eou Clientless : Disabled
Eou Logging : Enabled
Eou Radius Accounting : Enabled
Eou MaxRetry : 3
Eou AAA timeout : 60
Eou Hold timeout : 180
Eou Retransmit timeout : 30
Eou Revalidation timeout : 3600
Eou Status Query timeout : 300
Eou Rate Limit : 40
Eou Udp Port : 21862
 
Ip Exception List and Policies
--------------------------------------
0.0.0.18 255.255.255.224 TEST
 
Console> (enable)

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約の表示

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示します。

show eou all

次に、すべての LAN ポート IP 対応ポート上の LAN ポート IP ステートの要約を表示する例を示します。

Console> (enable) show eou all
Eou Summary
-----------
Eou Global State = enabled
 
Currently Validating EOU Sessions = 0
mNo/pNo Host Ip Nac_Token Host_Fsm_State Username
------- ---------------- --------- -------------- --------
Console> (enable)

ポート単位の LAN ポート IP ステートの要約の表示

LAN ポート IP 対応ポートのポート単位の LAN ポート IP ステートの要約を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

LAN ポート IP 対応ポートのポート単位の LAN ポート IP ステートの要約を表示します。

show port eou mod/port

次に、ポート 7/1 上の LAN ポート IP ステートの要約を表示する例を示します。

Console> (enable) show port eou 7/1
Port EOU-State IP Address MAC Address
-------- --------- --------------- -----------------
7/1 bypass - -
 
Port FSM State Auth Type SQ-Timeout Session Timeout
-------- ------------- ----------- ---------- ---------------
7/1 - - - -
 
Port Posture URL Redirect
-------- ------------ --------------------
7/1 - -
 
Port Termination action Session id
-------- ------------------ --------------------------------
7/1 - -
Console> (enable)

ホスト固有の情報の表示

ホスト固有の情報を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

ホスト固有の情報を表示します。

show eou host { ip | mac } value

show eou host mac_address mac_address

次に、ホスト固有の情報を表示する例を示します。

Console> (enable) show eou host 9.6.2.15
HostIP HostMac Port Posture-token
--------------- ----------------- ------ --------------------
9.6.2.15 00-11-85-8d-bf-ab 2/5 Healthy
IP Address Eou State AuthType SQTimeout SessTimeout
--------------- ------------- -------- --------- -----------
9.6.2.15 authenticated eap 301 3600
Console> (enable)

EOU 認証関連情報の表示

次の認証関連情報を表示するには、通常モードで次の作業を行います。

clientless :すべてのクライアントレス ポートを表示します。

eap :EAP 認証をするすべてのポートを表示します。

static :例外リストのすべてのホストを表示します。

 

作業
コマンド

認証関連情報を表示します。

show eou authentication { clientless | eap | static }

次に、認証関連情報を表示する例を示します。

  • Console> (enable) show eou authentication eap
  • Host IP HostMac Port Posture-token
  • --------------- ------------------ ------- --------------------
  • 9.6.2.15 00-11-85-8d-bf-ab 2/5 Healthy
  • IP Address Eou State AuthType SQTimeout SessTimeout
  • --------------- ------------- --------- --------- -----------

9.6.2.15 authenticated eap 301 3600

Console> (enable)

EOU ログの表示

EOU ログを表示するには、通常モードで次の作業を行います。

 

作業
コマンド

EOU ログを表示します。

show eou log

次に、EOU ログを表示する例を示します。

Console> (enable) show eou log
LPIP-EVENT : New ip on port 3/12 9.9.150.21 from Arp-inspection
LPIP-ERROR : Failure to get host information for 9.9.143.20
LPIP-EVENT : Host 9.9.150.34 moved to EAPOUDP_TX_HELLO state
Console> (enable)

ポスチャトークン単位の EOU 結果の表示

ポスチャトークン単位の EOU 結果を表示するには、通常モードで次の作業を実行します。

 

作業
コマンド

ポスチャトークン単位の EOU 結果を表示します。

show eou posture-token posture_token

LAN ポート IP 設定の消去

LAN ポート IP 設定を消去して、デフォルト値に戻すには、特権モードで次の作業を実行します。

 

作業
コマンド

LAN ポート IP 設定を消去して、デフォルト値に戻します。

clear eou config

次に、LAN ポート IP 設定を消去して、デフォルト値に戻す例を示します。

Console> (enable) clear eou config
This command will disable EoU on all ports and take EoU parameter values back to defaults.
Do you want to continue (y/n) [n]? y
Console> (enable)

すべてのホスト EOU セッションの消去

このコマンドにより、すべてのポートで学習されたホストの EOU セッションすべてが消去されます。EOU 設定は消去されません。

すべてのポートで学習されたすべてのホスト EOU セッションを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

すべてのポートで学習されたホストの EOU セッションすべてを消去します。

clear eou all

次に、すべてのポートで学習されたホストの EOU セッションすべてを消去する例を示します。

Console> (enable) clear eou all
Console> (enable)

特定のホストの LAN ポート IP セッションの消去

MAC アドレスまたは IP アドレスにより特定のホストの LAN ポート IP セッションを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

MAC アドレスまたは IP アドレスにより特定のホストの LAN ポート IP セッションを消去します。

clear eou host { ip-address | mac-address }

次に、指定の IP アドレスのホストの EOU セッションを消去する例を示します。

Console> (enable) clear eou host 9.9.10.10
EOU session of host with IP 9.9.10.10 cleared.
Console> (enable)

例外グループからの IP アドレスの消去または例外グループの消去

例外グループから IP アドレスを消去するか、または例外グループを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

例外グループから IP アドレスを消去するか、または例外グループを消去します。

clear eou authorize ip ip-address policy policy_name

clear eou authorize ip ip-address ip_mask policy policy_name

clear eou authorize mac-address mac_address policy policy_name

clear eou authorize mac-address mac_address mac_mask policy policy_name

次に、例外グループから IP アドレスを消去する例を示します。

Console> (enable) clear eou authorize ip 10.1.1.1 255.255.255.240 policy pol1
Cleared host 10.1.1.1 255.255.255.240 from exception group and removed its policy mapping.
Console> (enable)

EAPOUDP 関連タイマーのデフォルト値へのクリア

EAPOUDP 関連タイマーをデフォルト値にクリアするには、特権モードで次の作業を行います。

 

作業
コマンド

EAPOUDP 関連タイマーをデフォルト値にクリアします。

clear eou timeout [ aaa | hold-period | restransmit | revalidation | status-query ]

次に、保留期間タイマーをデフォルト値にクリアする例を示します。

Console> (enable) clear eou timeout hold-period
Console> (enable)

CTA パケットの再送信回数の消去

グローバルな CTA パケットの再送信回数を消去するには、特権モードで次の作業を行います(このコマンドにより、再送信回数がデフォルト値の 3 に戻されます)。

 

作業
コマンド

グローバルな CTA パケット再送信回数を消去します。

clear eou max-retry

次に、グローバルな CTA パケットの再送信回数を消去する例を示します。

Console> (enable) clear eou max-retry
Eou max-retry set to 3
Console> (enable)

既存のポリシー グループへの IP アドレスの追加

このコマンドにより、既存のポリシー グループに IP アドレスを追加できるようになります。グループ データベースにグループ名が存在しない場合、このコマンドは失敗します。

既存のポリシー グループに IP アドレスを追加するには、特権モードで次の作業を行います。

 

作業
コマンド

既存のポリシー グループに IP アドレスを追加します。

set policy group group-name ip-address ip-address

次に、既存のポリシー グループに IP アドレスを追加する例を示します。

Console> (enable) set policy group grp1 ip-address 100.1.1.1 255.255.255.255
Added IP 100.1.1.1/255.255.255.255 to policy group grp1.
Console> (enable)

ポリシー テンプレートへのポリシー グループの追加

ポリシー テンプレートにポリシー グループを追加できます。ポリシー テンプレートが存在しない場合は、作成されます。同様に、ポリシー グループ名が存在しない場合も作成されます。

ポリシー テンプレートにポリシー グループを追加するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー テンプレートにポリシー グループを追加します。

set policy name policy-name group group-name

次に、ポリシー テンプレートにポリシー グループを追加する例を示します。

Console> (enable) set policy name pol1 group grp1
Added group grp1 to policy template pol1.
Console> (enable)

ポリシー グループからの IP アドレスの消去

ポリシー グループから IP アドレスを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー グループから IP アドレスを消去します。

clear policy group group-name ip-address ip-address

次に、ポリシー グループから IP アドレスを消去する例を示します。

Console> (enable) clear policy group grp1 ip-address 100.1.1.1
Cleared IP 100.1.1.1 from policy group grp1.
Console> (enable)

ポリシー テンプレートからのポリシー グループの消去

ポリシー テンプレートからポリシー グループを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー テンプレートからポリシー グループを消去します。

clear policy name policy-name group group-name

次に、ポリシー テンプレートからポリシー グループを消去する例を示します。

Console> (enable) clear policy name pol1 group grp1
Cleared group grp1 from policy template pol1.
Console> (enable)

ポリシー グループ情報の表示

ポリシー グループ情報を表示するには、通常モードで次の作業を行います。

 

作業
コマンド

ポリシー グループ情報を表示します。

show policy group { all | group-name }

次に、ポリシー グループ情報を表示する例を示します。

Console> (enable) show policy group all
Group Name = grp1
Group Id = 1
No.of IP Addresses = 3
Src Type = ACL CLI
List of Hosts in group.
-----------------------
Interface = 0/0
IpAddress = 100.1.1.1
Src type = CONFIG
 
Interface = 0/0
IpAddress = 100.1.1.2
Src type = CONFIG
 
--------------------------------------------------
Group Name = grp2
Group Id = 2
No.of IP Addresses = 0
Src Type = ACL CLI
Console> (enable)

ポリシー テンプレートおよび関連するポリシー グループの表示

ポリシー テンプレートおよび関連するポリシー グループを表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー テンプレートおよび関連するポリシー グループを表示します。

show policy name { all | policy-name }

次に、ポリシー テンプレートおよび関連するポリシー グループを表示する例を示します。

Console> (enable) show policy name all
Policy Template pol1
Security Policy Groups :grp1 grp2
Console> (enable)

アクセス不能認証バイパスの設定

スイッチが設定済み RADIUS サーバに到達できず、ホストが認証できない場合、スイッチがクリティカル ポートに接続されているホストへのネットワーク アクセスを許可するように設定できます。クリティカル ポートは Inaccessible Authentication Bypass(IAB; アクセス不能認証バイパス)機能によってイネーブルに設定されます。

IAB がイネーブルな場合、スイッチはクリティカル ポートに接続されているホストを認証するたびに、設定済み RADIUS サーバのステータスをチェックします。サーバが使用可能な場合、スイッチはホストを認証できます。ただし、すべての RADIUS サーバが使用できない場合、スイッチはホストへのネットワーク アクセスを許可して、ポートをクリティカル認証ステートにします。

IAB 機能の動作機能は、ポートの許可ステートによって異なります。

クリティカル ポートに接続されているホストが認証を試行するときに、ポートが無許可で、すべてのサーバが使用できない場合、スイッチは EAP 成功メッセージをホストに送信し、設定済みアクセス VLAN でポートをクリティカル認証ステートにします。

ポートが許可済みで再認証が行われる場合、スイッチは現在の VLAN でクリティカル ポートをクリティカル認証ステートにします。これは RADIUS サーバによって以前に割り当てられたものです。

認証交換時に RADIUS サーバが使用不能になった場合、現在の交換はタイム アウトになり、スイッチは次の認証試行時にクリティカル ポートをクリティカル認証ステートにします。

RADIUS サーバが使用可能な場合、IAB 初期化がイネーブルであれば、クリティカル ステートのすべてのポートは再初期化されます。IAB 初期化機能をイネーブルにするには、set radius keepalive init [enable | disable] コマンドを使用します。IAB 初期化機能は、デフォルトではディセーブルです。この機能がイネーブルでない場合、ポートは再認証タイマーが満了するまで待機します。

set radius keepalive [enable | disable] コマンドを使用して IAB がイネーブルに設定されている場合、スイッチはサーバに定期要求を送信します。要求間隔は設定可能です。set radius keepalivetimer time コマンドを使用してタイマーを設定します。サーバ ステートには Init、CheckUp、Dead または Alive ステートを指定できます。初期化ステートでは、最初の要求はすべての RADIUS サーバに送信されます。要求は応答を待機します。応答がない場合、サーバ ステートは CheckUp に移行します。CheckUp ステートでは、スイッチはサーバにさらに 2 つの要求を送信します。要求に対する応答がない場合、スイッチは [Dead] とマークされます。要求に対する応答があった場合、サーバは [Alive] とマークされます。再試行タイマーを設定するには、set radius timeout time コマンドを使用して、最初の要求に応答がない場合に 2 番めの要求を送信します。

次のセクションでは、IAB の設定手順について説明します。

「アクセス不能認証バイパスのイネーブル化およびディセーブル化」

「AAA 失敗ポリシーの設定」

「RADIUS キープアライブ タイマーの設定」

「RADIUS 自動初期化機能の設定」

「ポート上での機能のクリティカル ステータスの表示」

「ポート上での AAA 失敗ポリシーの表示」

「RADIUS サーバ情報の表示」

「ポート上での MAC 許可バイパス設定の表示」

「ポート上での Web 許可設定の表示」

「ポート上での EOU 設定の表示」

「ポート上でのポリシー マッピングの消去」

アクセス不能認証バイパスのイネーブル化およびディセーブル化

IAB をイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

IAB をイネーブルまたはディセーブルにします。

set port critical mod/port [disable | enable]

次に、IAB をディセーブルにする例を示します。

Console> (enable) set port critical 5/1 enable
Port, 5/1 Critical feature enabled.
Console> (enable)
 

次に、IAB をディセーブルにする例を示します。

Console> (enable) set port critical 5/1 disable
Port, 5/1 Critical feature disabled.
Console> (enable)

AAA 失敗ポリシーの設定

AAA 失敗ポリシーを設定するには、特権モードで次の作業を行います。

 

作業
コマンド

AAA 失敗ポリシーを設定します。

set port eou mod/port aaa-fail-policy policy-name

次に、EOU に AAA 失敗ポリシーを設定する例を示します。

Console> (enable) set port eou 12/1 aaa-fail-policy critical-eou-policy
Policy critical-eou-policy mapped as aaa-fail-policy on port 12/1
Console> (enable)

 

ポート上で Web ベース プロキシ認証を設定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で Web ベース プロキシ認証を設定します。

set port webauth mod/port [aaa-fail-policy | disable | enable | initialize] policy-name

次に、ポート上で webauth をイネーブルにする例を示します。

Console> (enable) set port web-auth 5/1 enable
Port 5/1 Web-auth is enabled.
Console> (enable)
 

次に、webauth に AAA 失敗ポリシーを設定する例を示します。

Console> (enable) set port web-auth 12/1 aaa-fail-policy critical-webauth-policy Policy critical-webauth-policy set as web-auth aaa-fail-policy for port 12/1
Console> (enable)

RADIUS キープアライブ タイマーの設定

RADIUS キープアライブ タイマーをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

RADIUS キープアライブ タイマーを設定します。

set radius keepalive [enable | disable]

次に、RADIUS キープアライブ タイマーをイネーブルにする例を示します。

Console> (enable) set radius keepalive enable
Radius Keepalive enabled.
 

次に、RADIUS キープアライブ タイマーをディセーブルにする例を示します。

Console> (enable) set radius keepalive disable
Radius Keepalive disabled.

RADIUS 自動初期化機能の設定

RADIUS 自動初期化機能をイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

RADIUS 自動初期化機能を設定します。

set radius auto-initialize [enable/disable]

次に、RADIUS 自動初期化機能をイネーブルにする例を示します。

Console> (enable) set radius auto-initialize enable
Radius Auto-initialize enabled.
 

次に、RADIUS 自動初期化機能をディセーブルにする例を示します。

Console> (enable) set radius auto-initialize disable
Radius Auto-initialize disabled.

ポート上での機能のクリティカル ステータスの表示

ポート上で機能のクリティカル ステータスを表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で機能のクリティカル ステータスを表示します。

show port critical mod/port

次に、ポート上で機能のクリティカル ステータスを表示する例を示します。

Console> (enable) show port critical 5/1
Port Critical State Features in Critical State
----- -------------- ---------------------------
5/1 enabled dot1x, eou

ポート上での AAA 失敗ポリシーの表示

ポート上で EOU の AAA 失敗ポリシーを表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で EOU の AAA 失敗ポリシーを表示します。

show port eou mod/port aaa-fail-policy

次に、ポート上で AAA 失敗ポリシーを表示する例を示します。

Console> (enable) show port eou 5/1 aaa-fail-policy
Port AAA-Fail-Policy
----- ------------------
5/1
 

ポート上で web-auth の AAA 失敗ポリシーを表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で web-auth の AAA 失敗ポリシーを表示します。

show port web-auth mod/port aaa-fail-policy

次に、ポート上で AAA 失敗ポリシーを表示する例を示します。

Console> (enable) show port web-auth 5/1 aaa-fail-policy
Port AAA-Fail-Policy
----- ------------------
5/1

RADIUS サーバ情報の表示

RADIUS サーバ情報を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

RADIUS サーバ情報を表示します。

show radius

次に、RADIUS サーバ情報を表示する例を示します。

Console> (enable) show radius
Active RADIUS Server : 0.0.0.0
RADIUS Deadtime : 0 minutes
RADIUS Key :
RADIUS Retransmit : 2
RADIUS Timeout : 5 seconds
Framed-Ip Address Transmit : Disabled
RADIUS Framed MTU : 1000 bytes
RADIUS Keepalive : Enabled
RADIUS Keepalive Timer : 0 minutes
RADIUS Autoinitialize Critical: Disabled
 
RADIUS-Server Status Auth-port Acct-port Resolved IP Addrese
-------------------------------- ------- --------- --------- -------------------

ポート上での MAC 許可バイパス設定の表示

ポート上で MAC 許可バイパス設定を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で MAC 許可バイパス設定を表示します。

show port mac-auth-bypass mod/port

次に、ポート上で MAC 許可バイパス設定を表示する例を示します。

Console> (enable) show port mac-auth-bypass 5/1
Port Mac-Auth-Bypass State MAC Address Auth-State Vlan
----- --------------------- ----------------- ----------------- -----
5/1 Disabled - - 1
 
Port Termination action Session Timeout Shutdown/Time-Left
----- ------------------ --------------- ------------------
5/1 - 3600 NO -
 
Port PolicyGroups
----- -----------------------------------------------------
5/1 -
 
Port Critical Critical-Status
----- -------- ---------------
5/1 Disabled -
Console> (enable)

ポート上での Web 許可設定の表示

ポート上で Web 許可設定を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で Web 許可設定を表示します。

show port web-auth mod/port

次に、ポート上で Web 許可設定を表示する例を示します。

Console> (enable) show port web-auth 5/1
 
Port IP-Address Vlan Enabled Web-Auth-State Critical-Status
----- --------------- ---- --------- ----------------- ---------------
5/1 - 1 enabled - -
 
Port IP-Address Session-Timeout Session-Timeleft Radius-Rcvd-Timeout
----- --------------- --------------- ---------------- -------------------
5/1 - - - No
 
Port IP-Address Policy-Groups
----- --------------- -------------
5/1 - -

ポート上での EOU 設定の表示

ポート上で EOU 設定を表示するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で EOU 設定を表示します。

show port eou mod/port

次に、ポート上で EOU 設定を表示する例を示します。

Console> (enable) show port eou 5/1
Port EOU-State IP Address MAC Address Critical-Status
-------- --------- --------------- ----------------- ---------------
5/1 disabled - - -
 
Port FSM State Auth Type SQ-Timeout Session Timeout
-------- ------------- ----------- ---------- ---------------
5/1 - - - -
 
Port Posture URL Redirect
-------- ------------ --------------------
5/1 - -
 
Port Termination action Session id
-------- ------------------ --------------------------------
5/1 - -
 
Port PolicyGroups
-------- ------------------------------------------------------
5/1 -
 
Port Critical
----- --------
5/1 enabled

ポート上でのポリシー マッピングの消去

ポート上でポリシー マッピングを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で EOU ポリシー マッピングを消去します。

clear port eou mod/port aaa-fail-policy

次に、ポート上で EOU ポリシー マッピングを消去する例を示します。

Console> (enable) clear port eou 5/1 aaa-fail-policy
aaa-fail-policy cleared successfully on port 5/1
 

ポート上で Web ベース プロキシ認証マッピングを消去するには、特権モードで次の作業を行います。

 

作業
コマンド

ポート上で webauth ポリシー マッピングを消去します。

clear port webauth mod/port aaa-fail-policy

次に、ポート上で webauth ポリシー マッピングを消去する例を示します。

Console> (enable) clear port webauth 5/1 aaa-fail-policy
aaa-fail-policy cleared successfully on port 5/1

LAN ポート IP の設定例

LAN ポート IP を設定する場合、次の設定例を使用します。

ポート 8/14 が RADIUS サーバに接続

ポート 8/13 が CTA を持つホストに接続

ポート 8/24 が CTA を持たないホストに接続

begin
!
# ***** NON-DEFAULT CONFIGURATION *****
!
!
#time: Fri Mar 4 2005, 17:11:20
!
#version 8.5(0.44)JAC
!
!
#Nac
set eou enable
set eou allow clientless enable
set policy name exception_policy group exception_hosts
set eou authorize ip 77.0.0.90 policy exception_policy
!
#radius
set radius server 10.76.39.93 auth-port 1812 primary
set radius key cisco
!
#vtp
set vtp mode transparent vlan
set vlan 12 name RADIUS_CONNECTIVIY type ethernet mtu 1500 said 100012 state active
set vlan 77 name ALL_HOSTS type ethernet mtu 1500 said 100077 state active
set vlan 1,3
!
#ip
set interface sc0 12 9.6.3.3/255.255.255.0 9.6.3.255
set interface sl0 down
set interface sc1 77 77.0.0.2/255.255.255.0 77.0.0.255
set ip route 10.0.0.0/255.0.0.0 9.6.3.1
!
!
#security ACLs
clear security acl all
#NACACL
set security acl ip NACACL permit arp
set security acl ip NACACL permit arp-inspection any any
set security acl ip NACACL permit dhcp-snooping
set security acl ip NACACL permit udp any eq 21862 host 9.6.3.3 eq 53000
set security acl ip NACACL permit ip group Healthy_hosts any
set security acl ip NACACL deny ip group infected_hosts any
set security acl ip NACACL permit ip group exception_hosts any
set security acl ip NACACL permit ip group clientless_hosts host 10.76.39.100
#
commit security acl all #
# map the ACL to VLAN 77
set security acl map NACACL 77
!
#module 8 : 48-port 10/100BaseTX Ethernet
set vlan 12 8/14
set vlan 77 8/13,8/24
set port name 8/13 HOSTS
set port name 8/14 RADIUS
set port name 8/24 HOSTS
set port eou 8/13 enable
set port eou 8/24 bypass
set port dhcp-snooping 8/14 trust enable
!
#module 9 empty
!
#module 15 : 1-port Multilayer Switch Feature Card
!
#module 16 empty
!
#switch port analyzer
set span permit-list disable
set span permit-list include
end
sup2> (enable)
 

Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)の設定(デフォルト ルータ)は、次のとおりです。

Router# show run
Building configuration...
Current configuration : 509 bytes
!
version 12.1
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
!
!
ip multicast-routing
ip dhcp-server 10.76.39.93
redundancy
high-availability
single-router-mode
!
!
!
interface Vlan12
ip address 9.6.3.6 255.255.255.0
!
interface Vlan77
ip address 77.0.0.76 255.255.255.0
ip helper-address 10.76.39.93
!
ip classless
ip route 10.76.0.0 255.255.0.0 Vlan12
no ip http server
!
!
!
line con 0
line vty 0 4
login
!
!
end

Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート IP 拡張

ここでは、Release 8.6(1) 以降のソフトウェア リリースでの NAC LAN ポート IP の設定に対する拡張について説明します。

「LAN ポート IP 例外ホストに対する URL リダイレクト サポートの設定」

「プライベート VLAN ポート上での LAN ポート IP の設定」

LAN ポート IP 例外ホストに対する URL リダイレクト サポートの設定

(プリンタや IP Phone などの)例外ホストはポスチャを確認できません。例外ホストの IP/MAC アドレスは例外リストに追加されます。インターフェイスで例外リスト内のホストが検出されると、事前設定ポリシーがインストールされます。

標準的な非例外ホストの場合、URL リダイレクションは正常なポスチャ確認後に、RADIUS サーバから受信した情報を通じて実行されます。例外ホストは RADIUS サーバと接続されていないため、ホストはサーバにアクセスする方法を検索するか、ホストがソフトウェア コンポーネント(アンチウイルス アップデートなど)をダウンロードできる URL をユーザが指定する必要があります。

設定時の注意事項および制限事項

LAN ポート IP 例外ホストへの URL リダイレクトを設定する場合、次の設定時の注意事項および制限事項に従ってください。

URL リダイレクションは複数ホストおよび複数認証ポートではサポートされていません。

URL リダイレクションは、VACL で ARP 検査を行い、ポートの VLAN に DHCP スヌーピングがマッピングされている場合にだけ機能します。

Supervisor Engine 1 では ARP 検査はサポートされていないため、Supervisor Engine 1 では URL リダイレクションはサポートされていません。

ポリシー名と URL リダイレクト文字列の指定

set policy name policy-name url-redirect url-redirect-string コマンドは URL リダイレクト文字列をポリシー名にマッピングします。最大 255 文字の URL 文字列を指定できます。URL 文字列が 255 文字を超えると、コマンドは失敗します。

ポリシー名と URL リダイレクト文字列を指定するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー名と URL リダイレクト文字列を指定します。

set policy name policy-name url-redirect url-redirect-string

次に、ポリシー名と URL リダイレクト文字列を指定する例を示します。

Console> (enable) set policy name exception_policy url-redirect http://cisco.com
Url Redirect http://cisco.com mapped to policy name exception_policy
Console> (enable)

ポリシー名と URL リダイレクト文字列マッピングの表示

ポリシー名と URL リダイレクト文字列マッピングを表示するには、通常モードで次の作業を行います。

 

作業
コマンド

ポリシー名と URL リダイレクト文字列マッピングを表示します。

show policy name [ all | policy-name ]

次に、指定したポリシーのポリシー名と URL リダイレクト文字列マッピングを表示する例を示します。

Console> (enable) show policy name exception_policy
Policy Name : exception_policy
----------------------------------------------
URL-Redirect : http://cisco.com
Console> (enable)
 

次に、すべてのポリシーのポリシー名と URL リダイレクト文字列マッピングを表示する例を示します。

Console> (enable) show policy name all
Policy Name : TEST
----------------------------------------------
Associated IP Address/Mask Information:
0.0.0.18/255.255.255.224
Policy Name : poll
----------------------------------------------
Associated IP Address/Mask Information:
0.0.0.19/255.255.255.224
Policy Name : BLDG_F
----------------------------------------------
Policy Name : exception_policy
----------------------------------------------
URL-Redirect : http://cisco.com
Console> (enable)

ポリシー名に関連付けられた URL リダイレクト文字列の消去

ポリシー名に関連付けられた URL リダイレクト文字列を消去するには、特権モードで次の作業を行います。

 

作業
コマンド

ポリシー名に関連付けられた URL リダイレクト文字列を消去します。

clear policy name policy-name url-redirect

次に、ポリシー名に関連付けられた URL リダイレクト文字列を消去する例を示します。

Console> (enable) clear policy name exception_policy url-redirect
Cleared url-redirect for the policy exception_policy
Console> (enable)

プライベート VLAN ポート上での LAN ポート IP の設定


) プライベート VLAN の詳細については、「スイッチ上でのプライベート VLAN の設定」を参照してください。


プライベート VLAN ポートは、プライマリ VLAN とセカンダリ VLAN の 2 つの VLAN に関連付けられています。ホストからのトラフィック(入トラフィック)はセカンダリ VLAN でタグ付けされ、ルータ ポートからのトラフィックはプライマリ VLAN でタグ付けされます。ポートで EOU をトリガーするには、ARP 検査または DHCP スヌーピング ACL をポート VLAN にマッピングする必要があります。プライベート VLAN のポートで EOU をトリガーするには、ARP 検査または DHCP スヌーピング ACL をセカンダリ VLAN に明示的にマッピングする必要があります。セカンダリ VLAN は入トラフィックに関連付けられている VLAN であるためです。

プライマリ VLAN とセカンダリ VLAN には異なる PBACL をマップできます。ポスチャ確認の完了後、プライマリ VLAN とセカンダリ VLAN にマッピングされた PBACL に、ホストがメンバーとなっているグループがある場合、このグループはホストの IP アドレスに対応するように拡張されます。

LAN ポート 802.1X による NAC の設定

ここでは、LAN ポート 802.1X による NAC の設定手順について説明します。

「LAN ポート 802.1X による NAC の機能」

「Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート 802.1X 拡張」

LAN ポート 802.1X による NAC の機能


) LAN ポート 802.1X 固有の CLI コマンドはありません。ポスチャ確認および認証は、標準の 802.1X 認証を通じて単一の EAP トンネル内でシームレスに行われます。IEEE 802.1X 認証の設定については、第 40 章「802.1X 認証の設定」を参照してください。



) LAN ポート IP に適用される制限事項は、LAN ポート 802.1X にも適用されます。LAN ポート IP の制限事項については、「LAN ポート IP 設定時の注意事項および制限事項」を参照してください。


LAN ポート 802.1X は標準の 802.1X 認証と組み合わさって、レイヤ 2 ネットワーク エッジでの統合型認証およびポスチャ確認メカニズムを提供します。LAN ポート 802.1X は、ネットワーク内で LAN ポート IP と同じポイントで動作しますが、ポスチャ確認の開始、ホストと認証サーバ間の通信、および生成されるアクセス制限の適用には、異なるメカニズムを使用します。

LAN ポート 802.1X ポスチャ確認は、標準の 802.1X メカニズム(サプリカントが NAD に EAPOL-Start メッセージを送信するか、または NAD が EAP-Request/Identity メッセージによりサプリカントをプローブする)によりトリガーされます。ポスチャ情報はバックエンド サーバにより確認されるため、ユーザ ID 証明書とともに送信されます。サプリカントと NAD 間の認証交換は、EAPOL 上で行われます。ポリシーの適用は、指定された VLAN に認証済みポートを割り当ててセグメンテーションを提供したり、ポスチャが不十分なホストを検疫したりすることにより、レイヤ 2 で行われます。


) LAN ポート 802.1X は、ポスチャされていないホストからの IPv4 非対応トラフィックを制限します。LAN ポート 802.1X は、このような制限が要件となっている配置に推奨されます。


LAN ポート 802.1X のポリシー適用は、次のとおりです(標準 802.1X 認証ではサポートされています)。

VLAN 割り当て:通常のネイティブ VLAN 割り当て(LAN ポート 802.1X では、プライベート VLAN 割り当てはサポートされません)。

セキュリティ ACL 割り当て:RADIUS サーバから送信される PBACL 名は、ポート インターフェイスに割り当てられ、PACL または VACL となります。

ポリシー グループ:PBACL ポリシー グループは、ACS サーバから送信されます。

LAN ポート 802.1X では、ポリシー適用に VLAN と PBACL の組み合わせが使用され、LAN ポート IP では PBACL だけが使用されます。

再認証は、標準の 802.1X 認証と同様に機能し、RADIUS サーバが送信したセッション タイムアウトおよびターミネーション アクション アトリビュート、またはローカルの CLI で設定したアトリビュートを使用します。これらのアトリビュートは、RADIUS サーバからの Access-Accept メッセージの一部として受信されません。

LAN ポート 802.1X では、ホストは次のカテゴリのいずれかに分類されます。

拡張 CTA:この CTA は、単一の EAP トンネル内の認証 Type-Length-Value(TLV)とポスチャ TLV の両方を送信でき、RADIUS サーバからのポリシー適用には、VLAN 割り当てと PBACL グループの両方が含まれます。

レガシー サプリカントおよびレガシー CTA:これらのホストには、拡張 CTA がありません。CTA に接続できない標準 802.1X サプリカントはあります。また、EAPoUDP を使用してポスチャ確認できるレガシー CTA もあります。これらのホストでは、LAN ポート 802.1X が完了すると、スイッチがポスチャ確認の結果を確認します。ポスチャ結果が受信されなければ、ホストに拡張 CTA がないと見なされます。ポート上で設定されている LAN ポート IP は、ポスチャ確認を行うようトリガーされます。このカテゴリは、LAN ポート IP と 802.1X 認証の組み合わせです。

レガシー サプリカントおよび CTA なし:これらの 802.1X 対応ホストには、CTA がありません。802.1X 認証の完了後、スイッチはポスチャ確認が実行されていないことを認識し、ポート上で LAN ポート IP がイネーブルの場合は、スイッチは LAN ポート IP でポスチャ確認を実行するよう指示します。LAN ポート IP が実行されると、ホストが EoU パケットに応答していないことを認識し、ホストにクライアントレス ポスチャ ポリシーをダウンロードします。対照的に、802.1X 認証では認証結果に基づいてポリシーを適用します。

サプリカントなしおよびレガシー CTA:ホストに 802.1X 対応のサプリカントがない場合、802.1X のタイム アウトが発生し、ポートはゲスト VLAN に移行されます。または MAC 認証バイパスが設定されている場合は、ホストの MAC アドレスを認証するために MAC 認証バイパスが要求されます。ポートの許可後(MAC 認証バイパスまたはゲスト VLAN により)、LAN ポート IP が設定されている場合は、LAN ポート IP がポスチャ確認を行い、ポスチャ ポリシーを取得します。

サプリカントなしおよび CTA なし:ダム ホストが 802.1X 非対応のスイッチ ポートに接続されている場合、または CTA がインストールされていない場合、スイッチは最初は EAPOL 交換を試みます。応答の取得に失敗すると、スイッチはポートをゲスト VLAN ステートに移行するか、MAC アドレス バイパス(設定されている場合)が MAC アドレスを認証するように要求します。ポートがこれらいずれかの機能により許可されると、スイッチは LAN ポート IP(設定されている場合)がポスチャ確認を行うよう要求します。LAN ポート IP では、hello メッセージに応答がないことを認識し、クライアントレス認証を行って、反応がないホスト用にポスチャ ポリシーを取得します。

Release 8.6(1) 以降のソフトウェア リリースでの LAN ポート 802.1X 拡張

ここでは、Release 8.6(1) 以降のソフトウェア リリースでの、NAC LAN ポート 802.1X の設定に対する拡張について説明します。

「LAN ポート 802.1X に対する URL リダイレクション サポート」

「LAN ポート 802.1X に対するセッション タイムアウト上書きのイネーブル化およびディセーブル化」

LAN ポート 802.1X に対する URL リダイレクション サポート

LAN ポート 802.1X 認証に成功したら、URL リダイレクションを使用して HTTP トラフィックをスーパーバイザ エンジンにリダイレクトできます。URL リダイレクションは ACL を ACE で設定することを要求します。これにより、宛先が TCP ポート 80 のすべての入トラフィックがスーパーバイザ エンジンにリダイレクトされます。 set security acl ip acl-name permit url-redirect コマンドを入力して ACE を作成します。この ACE でポート/VLAN にマップされるすべての ACL は、すべての HTTP トラフィックをスーパーバイザ エンジンにリダイレクトします。

URL リダイレクションは、認証済みホストの IP アドレスを URL リダイレクト リストに表示することを要求します。ホストの IP アドレスは次の 3 つの方法で取得できます。

RADIUS サーバから送信された Framed IP Address

DHCP スヌーピング

ARP inspection

DHCP スヌーピングには最高の優先順位が指定され、その後に ARP 検査、Framed IP が続きます。IP アドレスが、現在よりも高い優先順位メカニズムによって受信され、前の IP アドレスが現在のものと異なる場合、インストールされたポリシーは削除されて最新の IP アドレスで更新されます。また、URL リダイレクト リストに追加されたホスト IP アドレスは、優先 IP アドレスで更新されます。

URL リダイレクションの結果、NAD は URL リダイレクト マッチ ACL(ローカルで設定された、または ACS からダウンロードされた)と一致する、ホストからのすべての HTTP トラフィックを代行受信します。代行受信された HTTP TCP セッションは NAD で終了されます。次に URL リダイレクト機能は、機能固有のハンドラを起動します。このハンドラは、終了された TCP セッションを介して、HTTP 302 リダイレクト ステータス コードをホストに次の形式で書き込みます。

HTTP/1.1 302 Page Moved
Location: <REDIRECT URL-ADDRESS>
Pragma: no-cache
Cache-Control: no-cache
 

リダイレクト URL アドレスは RADIUS サーバから送信されます。ホスト ブラウザが 302 ステータス コードを受信すると、指定されたリダイレクト URL アドレスへの新規 HTTP 要求が作成され、リダイレクションが行われます。

RADIUS サーバから送信されるリダイレクト URL を、RADIUS サーバ上で設定する必要があります。標準的な URL リダイレクト VSA は次のようになります。

Url-redirect=<url-address>
 

インターフェイス上で ACL によってすべての HTTP パケットがソフトウェアにリダイレクトされないようにするために、リダイレクト URL を宛先とするパケットが URL リダイレクションでソフトウェアにリダイレクトされないようにする必要があります。ACL に ACE をインストールして、トラフィックのホストへのリダイレクトを許可する URL リダイレクション ACE の前に行われるようにする必要があります。この位置に ACE をインストールすることで、リダイレクト要求が事前設定された ACE に遭遇して、スーパーバイザ エンジンによって代行受信されないようにすることができます。

LAN ポート IP、Web ベース プロキシ認証、LAN ポート 802.1X を使用して、ホストを URL リダイレクションに追加できます。Web ベース プロキシ認証には最高の優先順位が指定され、その後に LAN ポート IP、LAN ポート 802.1X が続きます。ホスト ポートは 802.1X 認証が成功した後にだけ開かれます。ホストが Web にアクセスする場合、Web ベース プロキシ認証によって認証され、その後に LAN ポート IP によってポスチャ確認される必要があります。ホストは 802.1X 認証が成功した後に、RADIUS サーバから受信する URL へのアクセスが許可されます。

URL リダイレクションを LAN ポート 802.1X で使用するには、ACL が DHCP スヌーピング、ARP 検査、URL リダイレクト ACE が設定されたポートの VLAN にマッピングされている必要があります。

LAN ポート 802.1X に対するセッション タイムアウト上書きのイネーブル化およびディセーブル化

802.1X 認証が成功した後、ポートで再認証がイネーブルになっている場合、802.1X 認証は再認証タイマーが満了したときにポートを再認証します。再認証タイマーの値は、CLI を使用して設定するか、RADIUS サーバから送信できます。 set port dot1x mod/port re-authperiod server { disable | enable } コマンドで、RADIUS サーバからの再認証タイマーの値を使用するか、CLI 設定値を使用するかを指定できます。デフォルトでは、RADIUS サーバから受信したセッション タイムアウト値が CLI 設定のタイムアウト値に優先されます。セッション タイムアウト上書きマッピングの推奨値については、 表 44-1 を参照してください。

 

表 44-1 セッション タイムアウト上書きマッピング値

再許可イネーブル
サーバからの再許可期間イネーブル
セッション タイムアウト受信
終了処理
NAS 処理

なし

オプション

該当なし

該当なし

再許可なし

あり

なし

該当なし

該当なし

ローカル タイマーでの再許可

あり

あり

なし

該当なし

再許可なし

あり

あり

あり

デフォルトまたは処理なし

RADIUS タイマーでの終了

あり

あり

あり

RADIUS 要求

RADIUS タイマーでの再許可


) 認証済みのポートで 802.1X IAB をイネーブルにしていて、RADIUS サーバに再認証時に到達できない場合、ポートは認証済みステートのままになります。


LAN ポート 802.1X に対してセッション タイムアウト上書きをイネーブルまたはディセーブルにするには、特権モードで次の作業を行います。

 

作業
コマンド

LAN ポート 802.1X に対してセッション タイムアウト上書きをイネーブルまたはディセーブルにします。

set port dot1x mod/port re-authperiod server { disable | enable }

次に、LAN ポート 802.1X に対してセッション タイムアウト上書きをイネーブルにする例を示します。

Console> (enable) set port dot1x 5/8 re-authperiod server enable
Port 5/8 session-timeout-override option is enabled
Console> (enable)
 

次に、LAN ポート 802.1X に対するセッション タイムアウト上書き設定を表示する例を示します。

Console> (enable) show port dot1x 5/8
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
5/8 - - force-authorized -
 
Port Port-Mode Re-authentication Shutdown-timeout Control-Mode
admin oper
----- ------------- ----------------- ---------------- ---------------
5/8 SingleAuth disabled disabled Both -
 
Port Posture-Token Critical-Status Termination action Session-timeout
----- ------------- --------------- ------------------ ---------------
5/8 - - - -
 
Port Session-Timeout-Override Url-Redirect
----- ------------------------ ----------------------------------
5/8 enabled -
 
Port Critical
----- --------
5/8 disabled
Console> (enable)