Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(25)EY
802.1xポートベースの認証の設定
802.1xポートベースの認証の設定
発行日;2012/02/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

802.1xポートベースの認証の設定

802.1xポートベースの認証の概要

デバイスの役割

認証の開始とメッセージ交換

許可ステートおよび無許可ステートのポート

802.1xアカウンティング

サポート対象トポロジー

802.1xとポート セキュリティの使用方法

802.1xと音声VLANポートの使用方法

802.1xとVLAN割り当ての使用方法

802.1xとゲストVLANの使用方法

802.1xとユーザ単位ACLの使用方法

802.1x認証の設定

802.1xのデフォルト設定

802.1x設定時の注意事項

802.1x認証の設定

スイッチとRADIUSサーバ間通信を設定する方法

定期的な再認証の設定

手動によるポート接続クライアントの再認証

待機時間の変更

スイッチとクライアント間の再送信時間の変更

スイッチとクライアント間のフレーム再送信回数の設定

再認証回数の設定

ホスト モードの設定

ゲストVLANの設定

802.1x設定をデフォルト値にリセットする方法

802.1xアカウンティングの設定

802.1x統計情報およびステータスの表示

802.1xポートベースの認証の設定

この章では、Catalyst 3750 MetroスイッチでIEEE 802.1xポートベースの認証を設定する方法について説明します。 ホテル、空港、企業のロビーなどにLANが拡張されると、安全とは言えない環境になりますが、802.1xを使用すれば、無許可のデバイス(クライアント)がネットワークへアクセスするのを防ぐことができます。


) ここで使用されるコマンドの構文および使用方法の詳細については、このリリースのコマンド リファレンスを参照してください。


この章で説明する内容は、次のとおりです。

「802.1xポートベースの認証の概要」

「802.1x認証の設定」

「802.1x統計情報およびステータスの表示」

802.1xポートベースの認証の概要

IEEE 802.1x規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルについて定義し、不正なクライアントが公的にアクセス可能なポートを介してLANに接続するのを制限します。認証サーバは、スイッチ ポートに接続された各クライアントを認証してから、スイッチまたはLANが提供するサービスを利用できるようにします。

クライアントが認証されるまでは、802.1xアクセス制御によって、クライアントに接続したポートを経由するExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、
およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックだけを許可します。認証に成功すると、通常のトラフィックがポートを通過できます。

ここでは、802.1xポートベース認証について説明します。

「デバイスの役割」

「認証の開始とメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「802.1xアカウンティング」

「サポート対象トポロジー」

「802.1xとポート セキュリティの使用方法」

「802.1xと音声VLANポートの使用方法」

「802.1xとVLAN割り当ての使用方法」

「802.1xとゲストVLANの使用方法」

「802.1xとユーザ単位ACLの使用方法」

デバイスの役割

802.1xポートベース認証を使用すると、ネットワーク内のデバイスは図9-1のような特定の役割が割り当てられます。

図9-1 802.1xデバイスの役割

 

クライアント ― LANおよびスイッチ サービスへのアクセスを要求して、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Microsoft Windows XPオペレーティング システムで提供されるクライアントなど、802.1x準拠のクライアント ソフトウェアが稼働している必要があります(クライアントは、IEEE 802.1x規格の supplicant になります)。


Windows XPネットワーク接続および802.1x認証の問題を解決するには、次のURLにアクセスしてMicrosoft Knowledge Base Articleを参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ ― 実際にクライアントの認証を行います。認証サーバは、クライアントのIDを確認し、クライアントのLANおよびスイッチ サービスへのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはクライアントにトランスペアレントです。このリリースでサポートされている認証サーバは、Extensible
Authentication Protocol(EAP)拡張機能を装備したRADIUSセキュリティ システムだけです。これは、Cisco Secure Access Control Serverバージョン3.0以降で対応しています。RADIUSは、RADIUSサーバと1つまたは複数のRADIUSクライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。

スイッチ (エッジ スイッチまたは無線アクセス ポイント) ― クライアントの認証ステータスに基づいてネットワークへの物理的なアクセスを制御します。スイッチは、クライアントと認証サーバとの間の媒介(プロキシ)として機能し、クライアントにID情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチにはRADIUSクライアントが組み込まれています。RADIUSクライアントは、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの相互作用の役割を果たします。

スイッチがEAPOLフレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。EAPフレームはカプセル化の間は変更や検査が行われず、認証サーバはネイティブのフレーム形式でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。

媒介として機能できるデバイスには、Catalyst 3750、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUSクライアントおよび802.1xをサポートするソフトウェアを実行している必要があります。

認証の開始とメッセージ交換

スイッチまたはクライアントは、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したときに、認証を開始する必要があります。次にEAP要求/アイデンティティ フレームをクライアントに送信してアイデンティティを要求します(一般に、スイッチは最初のアイデンティティ/要求フレームを送信して、そのあとで1つまたは複数の認証情報の要求を送信します)。フレームの受信後、クライアントはEAP応答/アイデンティティ フレームで応答します。

ただし、起動中にクライアントがスイッチからEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、EAPOL開始フレームを送信して認証を開始できます。これにより、スイッチはクライアントのアイデンティティを要求するようになります。


) ネットワーク アクセス デバイスで802.1xがイネーブルになっていないかサポートされていない場合は、クライアントからのEAPOLフレームは廃棄されます。認証の開始を3回試行してもクライアントがEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、ポートが許可ステートであるものとしてフレームを送信します。許可ステートにあるポートは、事実上クライアントが正常に認証されたということです。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントがそのアイデンティティを供給すると、スイッチは媒介としての役割を開始し、認証が成功または失敗するまでクライアントと認証サーバとの間でEAPフレームを受け渡します。認証が成功すると、スイッチのポートは許可された状態になります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

特定のEAPフレーム交換は、使用される認証方式に依存します。図9-2に、RADIUSサーバでOne Time Password(OTP)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。

図9-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートによって、スイッチはネットワークへのクライアント アクセスを許可できます。ポートは、 無許可 ステートで開始します。このステートにある間は、ポートは、802.1x、CDP、STPのプロトコル パケットを除くすべての入力トラフィックおよび出力トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに移行し、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。

802.1xをサポートしないクライアントが無許可の802.1xポートに接続している場合は、スイッチはクライアントにアイデンティティを要求します。この場合、クライアントは要求に応答できないので、ポートは無許可ステートのままで、クライアントはネットワーク アクセスが許可されません。

対照的に、802.1x対応クライアントが802.1xプロトコルを実行していないポートに接続している場合、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、クライアントは要求を一定の回数だけ送信します。応答が得られないので、クライアントはポートが許可ステートにあるものとしてフレームの送信を開始します。

ポートの許可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと以下のキーワードを使用します。

force-authorized ― 802.1x認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行させます。ポートは、クライアントの802.1xベースの認証なしで通常のトラフィックを送受信します。これがデフォルト設定です。

force-unauthorized ― ポートを無許可ステートのままにし、クライアントが認証を試行してもすべて無視します。スイッチは、ポートを介してクライアントに認証サービスを提供できません。

auto ― 802.1x認証をイネーブルにして、ポートに無許可ステートで開始させ、EAPOLフレームだけがポート経由で送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、EAPOL開始フレームを受信すると、認証プロセスが開始されます。スイッチは、クライアントのアイデンティティを要求し、クライアントと認証サーバ間で認証メッセージのリレーを開始します。スイッチはネットワークにアクセスしようとする各クライアントを、クライアントのMAC(メディア アクセス制御)アドレスを使用して一意に識別します。

クライアントが正常に認証されると(認証サーバから許可フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントのフレームはすべてそのポート経由で送受信を許可されます。認証が失敗した場合は、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された試行回数以降もサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフするとEAPOLログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。

802.1xアカウンティング

IEEE 802.1x標準は、ネットワーク アクセスに対するユーザの許可および認証方法を定義しますが、ネットワークの使用状況を追跡しません。802.1xアカウンティングは、デフォルトではディセーブルに設定されています。802.1xアカウンティングをイネーブルにすると、802.1x対応ポートで次のアクティビティをモニタできます。

ユーザー認証の成功

ユーザのログオフ

リンクダウンの発生

再認証の成功

再認証の失敗

スイッチは802.1xアカウンティング情報をロギングしません。代わりに、この情報をRADIUSサーバに送信します。RADIUSサーバはアカウンティング メッセージをロギングするよう設定する必要があります。

サポート対象トポロジー

802.1xポートベースの認証は、次の2つのトポロジーでサポートされています。

ポイントツーポイント

無線LAN

ポイントツーポイントによる構成(802.1xデバイスの役割を参照)では、802.1x対応のスイッチ ポートに接続できるクライアントは1台だけです。スイッチは、ポートのリンク ステートがアップに変化すると、クライアントを検出します。クライアントがログオフするか、別のクライアントに交換されると、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図9-3に、無線LANでの802.1xポートベースの認証を示します。802.1xポートは複数ホスト ポートとして設定されており、このポートは1つのクライアントが認証されるとすぐに許可ステートになります。ポートが許可されると、そのポートに間接的に接続されている残りのホストはすべて、ネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。

図9-3 無線LANの例

 

802.1xとポート セキュリティの使用方法

単一ホスト モードまたは複数ホスト モードのどちらかで、802.1xポートおよびポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定しなければなりません)。ポート上のポート セキュリティと802.1xをイネーブルにすると、802.1xがポートを認証し、ポート セキュリティがクライアントのMACアドレスを含むすべてのMACアドレスについてネットワーク アクセスを管理します。この場合、802.1xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、802.1xとポート セキュリティの間には次のような相互作用があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントのMACアドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されてポート セキュリティが手動で設定された場合、クライアントはセキュア ホスト テーブル内にエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもセキュリティ テーブルがいっぱいの場合は、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブルの位置は他のホストに取って代わられます。

最初の認証ホストによってセキュリティ違反が発生した場合、ポートはerrdisableとなり、すぐにシャットダウンされます。

ポート セキュリティ違反モードは、セキュリティ違反の動作を判別します。詳細については、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、802.1xクライアントのアドレスをポート セキュリティ テーブルから手動で削除した場合は、 dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用して802.1xクライアントを再認証する必要があります。

802.1xクライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。この場合、通常の認証が実行されます。

ポートが管理上の理由からシャットダウンされる場合、ポートは無許可ステートになりすべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。

ポート セキュリティと音声VLAN(仮想LAN)は、単一ホストまたは複数ホスト モードのどちらかで、802.1xポートに同時に設定できます。ポート セキュリティは、voice VLAN identifier(VVID)とport VLAN identifier(PVID;ポートVLAN ID)の両方に適用されます。

スイッチのポート セキュリティをイネーブルにする方法の詳細については、「ポート セキュリティの設定」を参照してください。

802.1xと音声VLANポートの使用方法

音声VLANポートは、2つのVLAN IDに関連付けられた特殊なアクセス ポートです。

IP Phoneの入出力音声トラフィックを搬送するためのVVID。VVIDは、ポートに接続されているIP Phoneを設定するために使用されます。

IP Phoneを通じてスイッチと接続しているワークステーションの入出力データ トラフィックを搬送するためのPVID。PVIDは、ポートのネイティブVLANです。

音声VLANに設定された各ポートに、PVIDとVVIDが関連付けられます。この設定によって、音声トラフィックとデータ トラフィックを異なるVLANに分離できます。IP Phoneはポートの許可または無許可ステートに関わらず、音声トラフィック用としてVVIDを使用します。これによって、IP Phoneは802.1x認証とは独立して動作できます。

単一ホスト モードをイネーブルにすると、そのVVIDによって複数のIP Phoneが許可されます。ただし、PVIDでは、1つの802.1xクライアントしか許可されません。複数ホスト モードをイネーブルにする場合に802.1xユーザがプライマリVLANで認証されている場合、802.1x認証がプライマリVLANで成功すれば音声VLANへ無制限にクライアントを追加できます。

リンクが存在していれば音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージを受け取るとデバイスのMACアドレスが表示されます。Cisco IP Phoneは、他のデバイスからのCDPメッセージをリレーしません。そのため、複数のIP Phoneが直列で接続されても、スイッチは自身に直接接続されたIP Phoneしか認識しません。音声VLANポートで802.1xをイネーブルにすると、スイッチは2ホップ以上離れた認識されていないIP Phoneからのパケットは廃棄します。

802.1xをポートでイネーブルにすると、音声VLANと同等であるポートVLANを設定できません。

音声VLANの詳細については、「音声VLANの設定」を参照してください。

802.1xとVLAN割り当ての使用方法

スイッチは802.1xとVLAN割り当てをサポートしています。ポートの802.1x認証が成功すると、RADIUSサーバは、スイッチ ポートを設定するためにVLAN割り当てを送信します。RADIUSサーバのデータベースは、ユーザ名/VLANマッピングを維持します。このマッピングでは、スイッチ ポートに接続するクライアントのユーザ名に基づいてVLANを割り当てています。この機能を使用して、特定ユーザのネットワーク アクセスを制限できます。

スイッチとRADIUSサーバを設定する場合、802.1xとVLAN割り当てには次の特性があります。

RADIUSサーバがVLANを割り当てていないか、または802.1x許可がディセーブルの場合、認証が成功してからポートがアクセスVLANに設定されます。

802.1x認証がイネーブルだが、RADIUSサーバからのVLAN情報が有効でない場合には、ポートは無許可ステートに戻り、設定済みのアクセスVLAN内に留まります。これにより、設定エラーによって不適切なVLAN上にポートが突然現れることを防ぎます。

設定エラーには、ルーテッド ポートへのVLANの指定、間違ったVLAN ID、存在しないまたは内部(ルーテッド ポートの)のVLAN ID、あるいは音声VLAN IDへの割り当て試行、などがあります。

802.1x許可がイネーブルでRADIUSサーバからのすべての情報が有効の場合、ポートは認証のあとで指定したVLANに配置されます。

802.1xポートで複数ホスト モードがイネーブルの場合は、すべてのホストが最初に認証されたホストと同じVLAN(RADIUSサーバによって指定された)に配置されます。

802.1xとポート セキュリティがポート上でイネーブルの場合は、そのポートはRADIUSサーバによって割り当てられたVLANに配置されます。

802.1xがポートでディセーブルの場合は、設定済みのアクセス VLANに戻ります。

ポートが強制許可(force authorized)、強制無許可(force unauthorized)、無許可、シャットダウンのいずれかのステートの場合、そのポートは設定済みのアクセスVLANに配置されます。

802.1xポートが認証され、RADIUSサーバによって割り当てられたVLANに配置された場合、ポートのアクセスVLAN設定への変更は反映されません。

VLAN割り当て機能付きの802.1xは、トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)を使用したダイナミック アクセス ポート割り当てではサポートされていません。

VLAN割り当てを設定するには、次の作業を実行する必要があります。

network キーワードを使用してAuthentication, Authorization, Acconting(AAA;認証、許可、アカウンティング)許可をイネーブルにし、RADIUSサーバからのポート設定を可能にします。

802.1xをイネーブルにします(VLAN割り当て機能は、アクセス ポートに802.1xが設定されると自動的にイネーブルになります)。

RADIUSサーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUSサーバは次のアトリビュートをスイッチに戻さなければなりません。

[64] tunnel-type = VLAN

[65] tunnel-medium-type = 802

[81] tunnel-private-group-ID = VLAN名またはVLAN ID

アトリビュート[64]の値は、 VLAN (type 13)でなければなりません。アトリビュート[65]の値は、 802 (type 6)でなければなりません。アトリビュート[81]には、802.1x認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。

トンネル アトリビュートの例については、「ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法」を参照してください。

802.1xとゲストVLANの使用方法

スイッチ上の各802.1xポートにゲストVLANを設定し、クライアントへのサービスを限定できます(たとえば、802.1xクライアントのダウンロード方法)。これらのクライアントは802.1x認証対応のシステムにアップグレードされている場合もあれば、Windows 98システムなどの一部のホストは802.1xに対応していない場合もあります。

認証サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合、802.1x非対応のクライアントはポートのゲストVLAN(設定されている場合)に配置されます。ただし、サーバは、ネットワークへの認証アクセスに失敗した802.1x対応のクライアントは許可しません。スイッチ ポートがゲストVLANに移動された場合には、無制限にホストにアクセスが許可されます。802.1x対応のホストが、ゲストVLANが設定されているポートと同じポートに結合すると、そのポートはユーザ設定済みのアクセスVLAN内で無許可ステートに移行し、認証がやり直されます。

ゲストVLANは、単一ホストまたは複数ホスト モードの802.1xポートでサポートされています。

RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。

詳細については、「ゲストVLANの設定」を参照してください。

802.1xとユーザ単位ACLの使用方法

ユーザ単位のAccess Control List(ACL;アクセス制御リスト)をイネーブルにして、802.1x認証ユーザが異なるレベルのネットワーク アクセスやサービスを使えるようにできます。RADIUSサーバは、802.1xポートに接続されているユーザを認証すると、ユーザIDに基づきACLアトリビュートを検索し、それらをスイッチへ送信します。スイッチは、ユーザ セッションの間、それらのアトリビュートを802.1xポートに適用します。スイッチは、セッションの終了後、認証が失敗した場合、またはリンクダウン状態の発生時に、ユーザ単位のACL設定を削除します。スイッチは、RADIUS固有のACLを実行コンフィギュレーションには保存しません。ポートが無許可の場合、スイッチはそのポートからACLを削除します。

ルータACLおよび入力ポートACLを設定できます。ただし、ポートACLはルータACLよりも優先されます。入力済みのポートACLをVLANに属するポートに適用する場合、ポートACLはVLANインターフェイスに適用する入力済みのルータACLよりも優先されます。ポートACLが適用されたポート上で受信した着信パケットは、ポートACLによってフィルタリングされます。その他のポートに着信したルーテッド パケットは、ルータACLによってフィルタリングされます。発信されるルーテッド パケットは、ルータACLによってフィルタリングされます。設定の矛盾を回避するには、RADIUSサーバに保存するユーザ プロファイルを慎重に計画しなければなりません。

RADIUSは、Vendor Specific Attribute(VSA)などのユーザ単位アトリビュートをサポートします。これらのVSAは、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位ACLに使用されるVSAは、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACLは、入力方向でのみサポートされます。スイッチは、入力方向でのみVSAをサポートします。レイヤ2ポートの出力方向ではポートACLをサポートしません。詳細については、「ACLによるネットワーク セキュリティの設定」を参照してください。

拡張ACL構文形式のみを使用して、RADIUSサーバに保存するユーザ単位の設定を定義します。RADIUSサーバから定義が渡される場合、拡張命名規則を使用して作成されます。ただし、フィルタ IDアトリビュートを使用する場合、標準ACLを示すことができます。

フィルタIDアトリビュートを使用して、すでにスイッチに設定されている着信または発信ACLを指定できます。アトリビュートには、ACL番号と、その後に入力フィルタリングか出力フィルタリングを示す .in または .out が含まれています。RADIUSサーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトで発信ACLに適用されます。スイッチ上ではCisco IOSアクセス リストのサポートは限定されているため、フィルタIDアトリビュートは番号が1~199および1300~2699までのIP ACL(IP標準ACLとIP拡張ACL)でのみサポートされています。

1ポートがサポートする802.1x認証ユーザは1ユーザのみです。複数ホスト モードがポートでイネーブルの場合、ユーザ単位ACLアトリビュートは関連ポートでディセーブルです。

ユーザ単位ACLの最大サイズは、4000 ASCII文字です。

ベンダー固有のアトリビュートの例については、「ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法」を参照してください。ACLの設定の詳細については、「ACLによるネットワーク セキュリティの設定」を参照してください。

ユーザ単位ACLを設定するには、次の作業を実行する必要があります。

AAA認証をイネーブルにします。

network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのポート設定を可能にします。

802.1xをイネーブルにします

RADIUSサーバにユーザ プロファイルとVSAを設定します。

802.1xポートを単一ホスト モードに設定します。

802.1x認証の設定

ここでは、スイッチに802.1xポートベースの認証を設定する手順を説明します。

「802.1xのデフォルト設定」

「802.1x設定時の注意事項」

「802.1x認証の設定」(必須)

「スイッチとRADIUSサーバ間通信を設定する方法」(必須)

「定期的な再認証の設定」(任意)

「手動によるポート接続クライアントの再認証」(任意)

「待機時間の変更」(任意)

「スイッチとクライアント間の再送信時間の変更」(任意)

「スイッチとクライアント間のフレーム再送信回数の設定」(任意)

「再認証回数の設定」(任意)

「ホスト モードの設定」(任意)

「ゲストVLANの設定」(任意)

「802.1x設定をデフォルト値にリセットする方法」(任意)

「802.1xアカウンティングの設定」(任意)

802.1xのデフォルト設定

表9-1 に、802.1xのデフォルト設定を示します。

 

表9-1 802.1xのデフォルト設定

機能
デフォルト設定

AAA

ディセーブル。

RADIUSサーバ

IPアドレス

UDP認証ポート

 

指定なし

1812.

指定なし

スイッチの802.1xイネーブル ステート

ディセーブル。

ポート単位の802.1xイネーブル ステート

ディセーブル(force-authorized)

ポートは、クライアントの802.1xベースの認証なしで通常のトラフィックを送受信します。

定期的再認証

ディセーブル。

再認証試行間隔

3600秒

再認証数

2回(ポートが無許可ステートに変わるまでスイッチが認証プロセスを再起動する回数)

待機時間

60秒(クライアントとの認証交換が失敗したあと、スイッチが待機ステートにとどまる秒数)

再送信時間

30秒(スイッチが、クライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数)

最大再送信回数

2回(スイッチが、認証プロセスを再開するまでにEAP要求/アイデンティティ フレームを送信する回数)

ホスト モード

単一ホスト モード

ゲストVLAN

指定なし

クライアントのタイムアウト時間

30秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが応答を待ち、クライアントに要求を再送信するまでの時間)

認証サーバのタイムアウト時間

30秒(クライアントの応答を認証サーバにリレーするとき、スイッチが応答を待ち、サーバに応答を再送信するまでの時間。 この値は設定不可能)

802.1x設定時の注意事項

802.1x認証の設定時の注意事項は次のとおりです。

802.1xがイネーブルに設定されていると、他のレイヤ2またはレイヤ3機能がイネーブルになる前に、ポートが認証されます。

802.1xプロトコルはレイヤ2スタティック アクセス ポート、音声VLANポート、レイヤ3ルーテッド ポートでサポートされていますが、次のポート タイプではサポートされていません。

トランク ポート ― トランク ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート ― ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになる可能性があります。ダイナミック ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートで802.1xをイネーブルにしようとすると、エラー メッセージが表示され、802.1xはイネーブルになりません。802.1x対応ポートをダイナミックVLAN割り当てに変更しようとすると、エラー メッセージが表示され、VLAN設定は変更されません。

EtherChannelポート ― EtherChannelのアクティブ メンバーであるポートは802.1xポートとして設定しないでください。EtherChannelのまだアクティブになっていないポートで802.1xをイネーブルにしても、ポートはEtherChannelに加入しません。


) Cisco IOS Release 12.2(25)EYより前のソフトウェア リリースでは、EtherChannelのまだアクティブになっていないポートで802.1xをイネーブルにしても、ポートはEtherChannelに加入しません。


Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)宛先ポート ― SPANまたはRSPAN宛先ポートであるポートで802.1xをイネーブルにできます。ただし、SPANまたはRSPAN宛先ポートとして削除するまでは、802.1xはディセーブルになります。SPANまたはRSPAN送信元ポートでは、802.1xをイネーブルにできます。

RSPAN VLANまたは音声VLANを除き、任意のVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。

802.1xをポートでイネーブルにすると、音声VLANと同等であるポートVLANを設定できません。

VLAN割り当て機能付きの802.1xは、トランク ポート、ダイナミック ポート、またはVMPSを使用したダイナミック アクセス ポート割り当てではサポートされていません。

802.1x認証の設定

802.1xポートベースの認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う順番と認証方式を記述したものです。

ソフトウェアは、1番めにリストされた方式を使用して、ユーザを認証します。その方式が応答に失敗すると、ソフトウェアは方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試行するまで続きます。このサイクルのいずれかの地点で認証が失敗すると、認証プロセスは停止し、他の認証方式が試行されることはありません。

ユーザ単位ACLまたはVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

802.1xポートベースの認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAAをイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1 [ method2 ...]

802.1x認証方式リストを作成します。

authentication コマンドに名前付きリストが指定されて いない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

次のキーワードを最低1つ入力します。

group radius ― 認証にすべてのRADIUSサーバのリストを使用します。

none ― 認証を使用しません。スイッチは、クライアントから提供される情報を使用せずに、クライアントを自動的に認証します。

ステップ 4

dot1x system-auth-control

スイッチ上で802.1x認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ユーザ単位ACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。


) ユーザ単位ACLの場合は、単一ホスト モードを設定する必要があります。これはデフォルト設定です。


 

ステップ 6

interface interface-id

クライアントに接続されたポートの中で802.1x認証をイネーブルにするものを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

dot1x port-control auto

ポート上で802.1x認証をイネーブルにします。

機能の相互作用の詳細については、「802.1x設定時の注意事項」を参照してください。

ステップ 8

end

イネーブルEXECモードに戻ります。

ステップ 9

show dot1x

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。802.1x AAA許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で802.1x認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。

次に、ポート上でAAAおよび802.1xをイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet1/0/1
Switch(config)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end

スイッチとRADIUSサーバ間通信を設定する方法

RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、あるいはIPアドレスと特定のUDPポート番号で識別します。IPアドレスとUDPポート番号の組み合わせにより、一意の識別子が作成され、これにより、サーバ上の同一のIPアドレスの複数のUDPポートにRADIUS要求を送信できます。同一のRADIUSサーバ上の2つの異なるホスト エントリが同じサービス(たとえば、認証)を設定している場合、あとから設定されたホスト エントリは、最初のエントリの代替バックアップとして機能します。RADIUSのホスト エントリは、設定された順序で試されます。

スイッチ上にRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

RADIUSサーバ パラメータを設定します。

hostname | ip-address には、リモートRADIUSサーバのホスト名またはIPアドレスを指定します。

auth-port port-number には、認証要求のUDP宛先ポートを指定します。デフォルトは1812で、指定できる範囲は0~65536です。

key string には、スイッチとRADIUSサーバ上で稼働するRADIUSデーモンとの間で使用する認証および暗号化鍵を指定します。鍵は、RADIUSサーバ上で使用する暗号化鍵と一致する必要のある文字列です。


) 先行スペースは無視されますが、鍵の途中および末尾のスペースは使用されるため、鍵は必ずradius-server hostコマンド構文の最後の項目として設定してください。鍵にスペースを使用する場合は、鍵の一部として引用符を使用する場合を除いて、鍵を引用符で囲まないでください。この鍵は、RADIUSデーモン上で使用する暗号と一致する必要があります。


RADIUSサーバを複数使用する場合は、このコマンドを繰り返し入力してください。

ステップ 3

end

イネーブルEXECモードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IPアドレスが172.20.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号化鍵をRADIUSサーバ上の鍵と rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

radius-server host グローバル コンフィギュレーション コマンドを使用すると、すべてのRADIUSサーバに対してタイムアウト、再送信、および暗号化鍵の値をグローバルに設定できます。サーバ単位でこれらのオプションを設定する場合は、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべてのRADIUSサーバに対する設定」を参照してください。

さらに、RADIUSサーバでいくつかの設定を行う必要があります。この設定とは、スイッチのIPアドレス、およびサーバとスイッチで共有するキー ストリングです。詳細については、RADIUSサーバのマニュアルを参照してください。

定期的な再認証の設定

802.1xクライアントの定期的な再認証をイネーブルにして、その発生間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は3600秒ごとに行われます。

クライアントの定期的な再認証をイネーブルにして、再認証を試行する間隔(秒数)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

デフォルトではディセーブルに設定されている定期的な再認証をイネーブルにします。

ステップ 4

dot1x timeout reauth-period seconds

再認証を試行する間隔(秒数)設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは3600秒です。

このコマンドがスイッチの動作に影響するのは、定期的な再認証がイネーブルに設定されている場合だけです。

ステップ 5

end

イネーブルEXECモードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証試行間隔に戻すには、 no dot1x timeout
reauth-period インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、定期的再認証をイネーブルにし、再認証を試行する間隔を4000秒に設定します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

手動によるポート接続クライアントの再認証

dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用すると、特定のポートに接続しているクライアントを手動でいつでも再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする場合は、「定期的な再認証の設定」を参照してください。

次に、ポートに接続したクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet1/0/1

待機時間の変更

スイッチがクライアントを認証できなかった場合は、スイッチは一定時間アイドル状態を続け、その後再試行します。このアイドル時間は、 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドによって制御します。クライアントが無効なパスワードを提供したため、クライアントの認証に失敗する可能性があります。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。

待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

クライアントとの認証交換が失敗したあと、スイッチが待機ステートになる秒数を設定します。

指定できる範囲は1~65535秒で、デフォルトは60秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチ上の待機時間を30秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチとクライアント間の再送信時間の変更

クライアントは、スイッチからのEAP要求/アイデンティティ フレームに、EAP応答/アイデンティティ フレームで応答します。スイッチはこの応答を受信しなかった場合、一定時間(再送信時間)待機してから、フレームを再送信します。


) このコマンドのデフォルト値の変更は、信頼性のないリンクや、特定のクライアントおよび認証サーバの動作に問題があるなど、異常な状況を調整する場合以外は行わないようにしてください。


スイッチがクライアントの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は15~65535秒で、デフォルトは30秒です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1xinterface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を60秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチとクライアント間のフレーム再送信回数の設定

スイッチとクライアント間の再送信時間の変更だけでなく、(応答を受信しなかった場合)認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/アイデンティティ フレームを送信する回数を変更できます。


) このコマンドのデフォルト値の変更は、信頼性のないリンクや、特定のクライアントおよび認証サーバの動作に問題があるなど、異常な状況を調整する場合以外は行わないようにしてください。


スイッチとクライアント間のフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-req count

スイッチが、認証プロセスを再開するまでにEAP要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は1~10で、デフォルトは2です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの再送信回数に戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、認証プロセスを再開するまでに、スイッチがEAP要求/アイデンティティ フレームを送信する回数を5に設定する例を示します。

Switch(config-if)# dot1x max-req 5

再認証回数の設定

2回(ポートが無許可ステートに変わるまでスイッチが認証プロセスを再起動する回数)


) このコマンドのデフォルト値の変更は、信頼性のないリンクや、特定のクライアントおよび認証サーバの動作に問題があるなど、異常な状況を調整する場合以外は行わないようにしてください。


再認証回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

ポートが無許可ステートに変わるまでスイッチが認証プロセスを再起動する回数を設定します。指定できる範囲は1~10で、デフォルトは2です。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

デフォルトの再認証回数に戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートが無許可ステートに変わるまで、スイッチが認証プロセスを再起動する回数を4に設定する例を示します。

Switch(config-if)# dot1x max-reauth-req 4

ホスト モードの設定

802.1xポートは、単一ホスト モードまたは複数ホスト モードに設定できます。単一ホスト モードでは、802.1xポートで1台のホストだけが許可されます。ホストが認証されると、ポートは許可ステートになります。ホストがポートから切断されると、ポートは無許可ステートになります。認証済みのホスト以外のホストからのパケットは廃棄されます。

図9-3のように、複数のホストを1つの802.1x対応ポートに接続できます。このモードでは、接続ホストのいずれか1つだけが許可されれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可(再認証が失敗するかEAPOLログオフ メッセージを受信した場合)になると、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。

複数ホスト モードがイネーブルの場合、802.1xをポートの認証に使用し、クライアントを含むすべてのMACアドレスへのネットワーク アクセスをポート セキュリティが管理します。

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数のホストを間接的に接続するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

802.1x許可ポート上で、複数のホスト(クライアント)を許可します。

指定されたポートについて dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ポート上の複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上で802.1xをイネーブルにして、複数ホストを許可する例を示します。

Switch(config)# interface fastethernet1/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

ゲストVLANの設定

ゲストVLANを設定すると、サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合に、802.1x非対応のクライアントはゲストVLANに配置されます。802.1x対応であっても認証に失敗したクライアントは、ネットワークへのアクセスは許可されません。スイッチは、単一ホスト モードまたは複数ホスト モードでゲストVLANをサポートします。

ゲストVLANを設定するには、イネーブルEXECモードで次の手順を行います。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされているポート タイプについては、「802.1x設定時の注意事項」を参照してください。

ステップ 3

dot1x guest-vlan vlan-id

アクティブVLANを802.1xゲストVLANとして指定します。指定できる範囲は1~4094です。

内部VLAN(ルーテッド ポート)、RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲストVLANをディセーブル化し削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは、無許可ステートに戻ります。

次に、ポート上でVLAN 2を802.1xゲストVLANとしてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# dot1x guest-vlan 2

802.1x設定をデフォルト値にリセットする方法

802.1x設定をデフォルト値にリセットするには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定変更可能な802.1xパラメータをデフォルト値にリセットします。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1xアカウンティングの設定

AAAシステム アカウンティングと802.1xアカウンティングをイネーブルにすることにより、ロギング用にシステム リロード イベントをアカウンティングRADIUSサーバに送信できます。サーバは、アクティブな802.1xセッションすべてが終了したものと判断します。

RADIUSは信頼性の低いUDPトランスポート プロトコルを使用しているので、悪いネットワーク状態によりアカウンティング メッセージが失われる場合があります。設定したアカウンティング要求の再送信回数を超えても、スイッチがRADIUSサーバからアカウンティング応答メッセージを受信しない場合、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

停止メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
 

) 開始、停止、暫定的な更新メッセージ、タイム スタンプのロギングなどのアカウンティング タスクを実行するようにRADIUSサーバを設定する必要があります。この機能をオンにするには、
RADIUSサーバのNetwork Configurationタブの「Update/Watchdog packets from this AAA client」のロギングをイネーブルにします。次に、RADIUSサーバのSystem Configurationタブの「CVS RADIUS
Accounting」をイネーブルにします。


AAAをスイッチでイネーブルにしたあとで802.1xアカウンティングを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。

 

 
コマンド
説明

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting dot1x default start-stop group radius

すべてのRADIUSサーバのリストを使用して802.1xアカウンティングをイネーブルにします。

ステップ 3

aaa accounting system default start-stop group radius

(任意)(すべてのRADIUSサーバのリストを使用して)システム アカウンティングをイネーブルにし、スイッチがリロードするときにシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 4

end

イネーブルEXECモードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信しないRADIUSメッセージ数を表示するには、show radius statistics イネーブルEXECコマンドを使用します。

次に、802.1xアカウンティングを設定する例を示します。最初のコマンドはRADIUSサーバを設定し、1813をアカウンティング用のUDPポートに指定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius
 

802.1x統計情報およびステータスの表示

すべてのポートの802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のポートの802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。

スイッチについて802.1x管理および動作のステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のポートの802.1x管理および動作のステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。

表示されるフィールドの詳細については、このリリースのコマンド リファレンスを参照してください。