Catalyst 3750 Metro スイッチ ソフトウェア コンフィギュレーション ガイド
IEEE 802.1x ポートベース認証の設定
IEEE 802.1x ポートベース認証の設定
発行日;2012/02/04 | 英語版ドキュメント(2011/06/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

IEEE 802.1x ポートベース認証の設定

IEEE 802.1x ポートベース認証の概要

デバイスの役割

認証の開始およびメッセージ交換

許可ステートおよび無許可ステートのポート

IEEE 802.1x アカウンティング

サポート対象トポロジ

IEEE 802.1x 準備チェック

IEEE 802.1x とポート セキュリティ

IEEE 802.1x と音声 VLAN ポート

IEEE 802.1x と VLAN 割り当て

IEEE 802.1x とゲスト VLAN

IEEE 802.1x と制限 VLAN

IEEE 802.1x とユーザ単位 ACL

IEEE 802.1x ユーザ分散

IEEE 802.1x ユーザ分散設定時の注意事項

IEEE 802.1x サプリカント スイッチおよびオーセンティケータ スイッチとネットワーク エッジ アクセス トポロジ(NEAT)

注意事項

コモン セッション ID

IEEE 802.1x 認証の設定

IEEE 802.1x のデフォルト設定

IEEE 802.1x 設定時の注意事項

ポート単位の最大許容デバイス数

IEEE 802.1x 準備チェックの設定

IEEE 802.1x 違反モードの設定

IEEE 802.1x 認証の設定

スイッチおよび RADIUS サーバ間の通信の設定

定期的な再認証の設定

ポートに接続するクライアントの手動での再認証

待機時間の変更

スイッチからクライアントへの再送信時間の変更

スイッチからクライアントへのフレーム再送信回数の設定

再認証回数の設定

ホスト モードの設定

ゲスト VLAN の設定

制限 VLAN の設定

IEEE 802.1x 設定をデフォルト値にリセットする方法

802.1X アカウンティングの設定

IEEE 802.1x ユーザ分散の設定

NEAT を使用したオーセンティケータとサプリカント スイッチの設定

ASP を使用した NEAT の設定

ダウンロード可能 ACL およびリダイレクト URL を使用した 802.1x 認証の設定

ダウンロード可能な ACL の設定

ダウンロード ポリシーの設定

IEEE 802.1x の統計情報およびステータスの表示

IEEE 802.1x ポートベース認証の設定

この章では、Catalyst 3750 Metro スイッチに IEEE 802.1x ポートベースの認証を設定する方法について説明します。 ホテル、空港、企業のロビーなどに LAN が拡張されると、安全とは言えない環境になりますが、IEEE 802.1x を使用すれば、無許可のデバイス(クライアント)がネットワークへアクセスすることを防止できます。

この章で使用するコマンドの構文および使用方法の詳細については、このリリースに対応するコマンド リファレンスを参照してください。


) IEEE 802.1x(dot1x)コマンドにはスイッチに表示されますが、サポートされないものがあります。サポートされないコマンドの一覧については、付録 C「Cisco IOS リリース 12.2(55)SE でサポートされていないコマンド」を参照してください。


この章で説明する内容は、次のとおりです。

「IEEE 802.1x ポートベース認証の概要」

「IEEE 802.1x 認証の設定」

「IEEE 802.1x の統計情報およびステータスの表示」

IEEE 802.1x ポートベース認証の概要

IEEE 802.1x 規格は、クライアント/サーバ ベースのアクセス コントロールと認証プロトコルについて定義しており、不正なクライアントが公的にアクセス可能なポートを介して LAN に接続することを制限しています。認証サーバがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。

IEEE 802.1x アクセス コントロールでは、クライアントを認証するまでの間、そのクライアントが接続しているポート経由では Extensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、および Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)トラフィックしか許可されません。認証に成功すると、通常のトラフィックをポート経由で送受信できます。

ここでは、IEEE 802.1x ポートベース認証について説明します。

「デバイスの役割」

「認証の開始およびメッセージ交換」

「許可ステートおよび無許可ステートのポート」

「IEEE 802.1x アカウンティング」

「サポート対象トポロジ」

「IEEE 802.1x 準備チェック」

「IEEE 802.1x とポート セキュリティ」

「IEEE 802.1x と音声 VLAN ポート」

「IEEE 802.1x と VLAN 割り当て」

「IEEE 802.1x とゲスト VLAN」

「IEEE 802.1x と制限 VLAN」

「IEEE 802.1x とユーザ単位 ACL」

「IEEE 802.1x ユーザ分散」

「IEEE 802.1x サプリカント スイッチおよびオーセンティケータ スイッチとネットワーク エッジ アクセス トポロジ(NEAT)」

「コモン セッション ID」

デバイスの役割

IEEE 802.1x ポートベース認証では、ネットワーク上のデバイスにはそれぞれ固有の役割があります(図 8-1を参照)。

図 8-1 IEEE 802.1x におけるデバイスの役割

 

クライアント :LAN およびスイッチ サービスへのアクセスを要求して、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションでは、Microsoft Windows XP オペレーティング システムで提供されるクライアントなど、IEEE 802.1x 準拠のクライアント ソフトウェアが稼動している必要があります(クライアントは、IEEE 802.1x 規格の サプリカント になります)。


Windows XP のネットワーク接続および IEEE 802.1x 認証の問題を解決するには、次の URL にある Microsoft Knowledge Base を参照してください。http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP


認証サーバ :クライアントの実際の認証を行います。認証サーバはクライアントの識別情報を確認し、そのクライアントに LAN およびスイッチ サービスへのアクセスを許可すべきかどうかをスイッチに通知します。スイッチはプロキシとして動作するので、認証サービスはクライアントに対して透過的に行われます。今回のリリースでサポートされる認証サーバは、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ システムだけです。これは Cisco Secure Access Control Server バージョン 3.0 以降で利用できます。RADIUS はクライアント/サーバ モデルで動作し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。

スイッチ (エッジ スイッチまたはワイヤレス アクセス ポイント):クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。スイッチはクライアントと認証サーバとの仲介デバイス(プロキシ)として動作し、クライアントに識別情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチには、EAP フレームのカプセル化とカプセル化解除、および認証サーバとの対話を処理する RADIUS クライアントが含まれています。

スイッチが EAPOL フレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS 形式で再度カプセル化されます。EAP フレームはカプセル化の間は変更や検査が行われないため、認証サーバはネイティブのフレーム形式で EAP をサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、残りの EAP フレームがイーサネット用にカプセル化され、クライアントに送信されます。

媒介として機能できるデバイスには、Catalyst 3750、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940 スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUS クライアントおよび IEEE 802.1x をサポートするソフトウェアを実行している必要があります。

認証の開始およびメッセージ交換

スイッチまたはクライアントは、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したときに、認証を開始する必要があります。次に EAP-Request/Identity フレームをクライアントに送信して識別情報を要求します(一般に、スイッチは最初の Identity/Request フレームを送信して、そのあとで 1 つまたは複数の認証情報の要求を送信します)。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。

ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。


) ネットワーク アクセス デバイスで IEEE 802.1x がイネーブルになっていない、またはサポートされていない場合は、クライアントからの EAPOL フレームはドロップされます。クライアントが認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートであるものとしてフレームを送信します。ポートが許可ステートであるということは、クライアントの認証が成功したことを実質的に意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。


クライアントが自らの識別情報を提示すると、スイッチは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。

実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図 8-2 に、クライアントが RADIUS サーバとの間で One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用する際に行われるメッセージ交換を示します。

図 8-2 メッセージ交換

 

許可ステートおよび無許可ステートのポート

スイッチ ポートのステートによって、スイッチはネットワークへのクライアント アクセスを許可できます。ポートは最初、 無許可 ステートです。このステートにある間は、ポートは、IEEE 802.1x、CDP、STP のプロトコル パケットを除くすべての入力トラフィックおよび出力トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに移行し、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。

IEEE 802.1x をサポートしないクライアントが無許可の IEEE 802.1x ポートに接続している場合は、スイッチがクライアントに識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。

対照的に、IEEE 802.1x 対応クライアントが IEEE 802.1x プロトコルを実行していないポートに接続している場合、クライアントは EAPOL-Start フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。また、応答がない場合は、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。

dot1x port-control インターフェイス コンフィギュレーション コマンドおよび次のキーワードを使用して、ポートの許可ステートを制御できます。

force-authorized :IEEE 802.1x 認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行させます。ポートはクライアントとの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。これは、デフォルト設定です。

force-unauthorized :クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはポートを介してクライアントに認証サービスを提供できません。

auto :IEEE 802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行するか、EAPOL-Start フレームを受信すると、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。

クライアントが認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントからのすべてのフレームがポート経由での送受信を許可されます。認証に失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、スイッチは要求を再送信します。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、ネットワーク アクセスは許可されません。

クライアントはログオフすると EAPOL ログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに移行します。

ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。

IEEE 802.1x アカウンティング

IEEE 802.1x 標準では、ユーザの認証およびユーザのネットワーク アクセスに対する許可方法を定義しています。ただし、ネットワークの使用方法についてはトラッキングしません。IEEE 802.1x アカウンティングは、デフォルトでディセーブルです。IEEE 802.1x アカウンティングをイネーブルにすると、次のアクティビティを IEEE 802.1x 対応のポート上で監視できます。

ユーザ認証の成功

ユーザのログオフ

リンクダウンの発生

再認証の成功

再認証の失敗

スイッチは IEEE 802.1x アカウンティング情報を記録しません。その代わり、スイッチはこの情報を RADIUS サーバに送信します。RADIUS サーバは、アカウンティング メッセージを記録するように設定する必要があります。

サポート対象トポロジ

IEEE 802.1x ポートベースの認証は、次の 2 つのトポロジでサポートされています。

ポイントツーポイント

無線 LAN

ポイントツーポイントによる構成(図 8-1を参照)では、IEEE 802.1x 対応のスイッチ ポートに接続できるクライアントは 1 台だけです。スイッチは、ポートのリンク ステートがアップに変化すると、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。

図 8-3 に、無線 LAN での IEEE 802.1x ポートベースの認証を示します。IEEE 802.1x ポートは複数ホスト ポートとして設定されており、このポートは 1 つのクライアントが認証されるとすぐに許可ステートになります。ポートが許可されると、そのポートに間接的に接続されている残りのホストはすべて、ネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOL ログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。

図 8-3 無線 LAN の例

 

IEEE 802.1x 準備チェック

IEEE 802.1x 準備チェックでは、すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されたデバイスに関する情報を表示します。この機能を使用すると、スイッチ ポートに接続されたデバイスが IEEE 802.1x 対応かどうかを判別できます。IEEE 802.1x 機能をサポートしていないデバイスには、代替認証を使用します。

この機能は、クライアント上のサプリカントが NOTIFY EAP 通知パケットによるクエリーをサポートしている場合にだけ稼動します。クライアントは、IEEE 802.1x タイムアウト値の範囲内で応答する必要があります。

スイッチに IEEE 802.1x 準備チェックを設定する方法については、「IEEE 802.1x 準備チェックの設定」を参照してください。

IEEE 802.1x とポート セキュリティ

シングルホスト モードまたはマルチホスト モードのどちらかで、IEEE 802.1x ポートおよびポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定する必要があります)。ポート上のポート セキュリティと IEEE 802.1x をイネーブルにすると、IEEE 802.1x がポートを認証し、ポート セキュリティがクライアントの MAC アドレスを含むすべての MAC アドレスについてネットワーク アクセスを管理します。この場合、IEEE 802.1x ポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。

たとえば、スイッチにおいて、IEEE 802.1x とポート セキュリティの間には次のような相互作用があります。

クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントの MAC アドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。

クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリは保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。

クライアントが認証されてもポート セキュリティ テーブルがいっぱいの場合、セキュリティ違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントがエージング アウトした場合に発生します。クライアントのアドレスがエージング アウトした場合、そのクライアントのセキュア ホスト テーブル内でのエントリは他のホストに取って代わられます。

最初に認証されたホストが原因でセキュリティ違反が発生すると、ポートは errdisable ステートになり、ただちにシャットダウンします。

セキュリティ違反発生時の動作は、ポート セキュリティ違反モードによって決まります。詳細については、「セキュリティ違反」を参照してください。

no switchport port-security mac-address mac-address インターフェイス コンフィギュレーション コマンドを使用して、IEEE 802.1x クライアントのアドレスをポート セキュリティ テーブルから手動で削除した場合は、 dot1x re-authenticate interface interface-id 特権 EXEC コマンドを使用して IEEE 802.1x クライアントを再認証する必要があります。

IEEE 802.1x クライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。

ポートが管理上のシャットダウン状態になると、ポートは未認証ステートになり、ダイナミック エントリはすべてセキュア ホスト テーブルから削除されます。

シングルホスト モードまたはマルチホスト モードのいずれの場合でも、IEEE 802.1x ポート上でポート セキュリティと音声 VLAN を同時に設定できます。ポート セキュリティは、Voice VLAN Identifier(VVID)および Port VLAN Identifier(PVID; ポート VLAN ID)の両方に適用されます。

dot1x violation-mode インターフェイス コンフィギュレーション コマンドを設定すると、新しいデバイスが IEEE 802.1x 対応のポートに接続している場合、またはすでに最大許容数のデバイスが認証されている場合に、ポートをシャットダウンする、Syslog エラーを生成する、または新しいデバイスからのパケットを廃棄することができます。詳細については、「ポート単位の最大許容デバイス数」またはこのリリースのコマンド リファレンスを参照してください。

スイッチ上でポート セキュリティをイネーブルにする手順については、「ポート セキュリティの設定」を参照してください。

IEEE 802.1x と音声 VLAN ポート

音声 VLAN ポートは特殊なアクセス ポートで、次の 2 つの VLAN ID が対応付けられています。

IP Phone との間で音声トラフィックを伝送する VVID。VVID は、ポートに接続された IP Phone を設定するために使用されます。

IP Phone を通じて、スイッチと接続しているワークステーションとの間でデータ トラフィックを伝送する PVID。PVID は、ポートのネイティブ VLAN です。

音声 VLAN に設定された各ポートに、PVID と VVID が関連付けられます。この設定によって、音声トラフィックとデータ トラフィックを異なる VLAN に分離できます。IP Phone はポートの許可または無許可ステートにかかわらず、音声トラフィック用として VVID を使用します。これによって、IP Phone は IEEE 802.1x 認証とは独立して動作できます。

シングルホスト モードをイネーブルにすると、その VVID によって複数の IP Phone が許可されます。ただし、PVID で許可されるのは、1 つの IEEE 802.1x クライアントだけです。マルチホスト モードをイネーブルにする場合に IEEE 802.1x ユーザがプライマリ VLAN で認証されている場合、IEEE 802.1x 認証がプライマリ VLAN で成功すれば、音声 VLAN へ無制限にクライアントを追加できます。

リンクが存在していれば、音声 VLAN ポートはアクティブになり、IP Phone からの最初の CDP メッセージを受け取ると、デバイスの MAC アドレスが表示されます。Cisco IP Phone は、他のデバイスから受け取った CDP メッセージをリレーしません。その結果、複数の IP Phone が直列に接続されている場合、スイッチは直接接続されている 1 台の IP Phone だけを認識します。音声 VLAN ポートで IEEE 802.1x をイネーブルにすると、2 ホップ以上離れた認識されていない IP Phone からのパケットはスイッチによりドロップされます。

IEEE 802.1x をポートでイネーブルにすると、音声 VLAN と同等であるポート VLAN を設定できません。

音声 VLAN の詳細については、「音声 VLAN の設定」を参照してください。

IEEE 802.1x と VLAN 割り当て

スイッチは IEEE 802.1x と VLAN 割り当てをサポートしています。ポートの IEEE 802.1x 認証が成功すると、RADIUS サーバは VLAN 割り当てを送信し、スイッチ ポートを設定します。RADIUS サーバのデータベースは、ユーザ名/VLAN マッピングを維持します。このマッピングでは、スイッチ ポートに接続するクライアントのユーザ名に基づいて VLAN を割り当てています。この機能を使用して、特定のユーザのネットワーク アクセスを制限できます。

スイッチと RADIUS サーバを設定する場合、IEEE 802.1x と VLAN 割り当てには次の特性があります。

RADIUS サーバが VLAN を割り当てていないか、または IEEE 802.1x 許可がディセーブルの場合、認証が成功してからポートがアクセス VLAN に設定されます。

802.1x 認証がイネーブルだが、RADIUS サーバからの VLAN 情報が有効でない場合には、ポートは無許可ステートに戻り、設定済みのアクセス VLAN 内に留まります。これにより、設定エラーによって不適切な VLAN に予期せぬポートが現れることを防ぎます。

設定エラーには、ルーテッド ポートへの VLAN の指定、誤った VLAN ID、存在しないまたは内部(ルーテッド ポートの)の VLAN ID、あるいは音声 VLAN ID への割り当て試行、などがあります。

IEEE 802.1x 許可がイネーブルで RADIUS サーバからのすべての情報が有効の場合、ポートは認証のあとで指定した VLAN に配置されます。

IEEE 802.1x ポートでマルチホスト モードがイネーブルの場合、すべてのホストは最初に認証されたホストと同じ VLAN(RADIUS サーバにより指定)に配置されます。

IEEE 802.1x とポート セキュリティがポート上でイネーブルの場合は、そのポートは RADIUS サーバによって割り当てられた VLAN に配置されます。

IEEE 802.1x がポートでディセーブルの場合は、設定済みのアクセス VLAN に戻ります。

ポートが、強制許可(force-authorized)ステート、強制無許可(force-unauthorized)ステート、無許可ステート、またはシャットダウン ステートの場合、ポートは設定済みのアクセス VLAN に配置されます。

IEEE 802.1x ポートが認証され、RADIUS サーバによって割り当てられた VLAN に配置された場合、ポートのアクセス VLAN 設定への変更は反映されません。

VLAN 割り当て機能付きの IEEE 802.1x は、トランク ポート、ダイナミック ポート、または VLAN Membership Policy Server(VMPS; VLAN メンバシップ ポリシー サーバ)を使用したダイナミック アクセス ポート割り当てではサポートされていません。

VLAN 割り当てを設定するには、次の作業を実行する必要があります。

network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのポート設定を可能にします。

IEEE 802.1x をイネーブルにします(VLAN 割り当て機能は、アクセス ポートに IEEE 802.1x が設定されると、自動的にイネーブルになります)。

RADIUS サーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUS サーバは次のアトリビュートをスイッチに返す必要があります。

[64] Tunnel-Type = VLAN

[65] Tunnel-Medium-Type = 802

[81] Tunnel-Private-Group-ID = VLAN 名または VLAN ID

アトリビュート [64] は、値 VLAN (タイプ 13)でなければなりません。アトリビュート [65] は、値 802 (タイプ 6)でなければなりません。アトリビュート [81] は、IEEE 802.1x 認証ユーザに割り当てられた VLAN 名 または VLAN ID を指定します。

トンネル アトリビュートの例については、「ベンダー固有の RADIUS アトリビュートを使用するスイッチ設定」を参照してください。

IEEE 802.1x とゲスト VLAN

スイッチ上の各 IEEE 802.1x ポートにゲスト VLAN を設定し、クライアントへのサービスを限定できます(たとえば、IEEE 802.1x クライアントのダウンロード方法)。これらのクライアントは IEEE 802.1x 認証用にシステムをアップグレードできる場合がありますが、一部のホスト(Windows 98 システムなど)は IEEE 802.1x 対応ではありません。

認証サーバが EAP-Request/Identity フレームへの応答を受信しなかった場合は、IEEE 802.1x 非対応のクライアントはポートのゲスト VLAN(設定されている場合)に配置されます。ただし、サーバは、ネットワークへの認証アクセスに失敗した IEEE 802.1x 対応のクライアントは許可しません。

スイッチは、EAPOL パケット履歴を保持します。EAPOL パケットがリンクのライフタイム中にインターフェイス上で検出されると、スイッチはそのインターフェイスに接続されたデバイスが IEEE 802.1x 対応のサプリカントであると判断し、インターフェイスはゲスト VLAN ステートには移行しません。インターフェイスのリンク ステータスがダウンした場合、EAPOL 履歴はクリアされます。EAPOL パケットがインターフェイス上で検出されない場合は、インターフェイスがゲスト VLAN ステートに移行します。

スイッチが IEEE 802.1x 対応の音声デバイスを許可しようとする際に、AAA サーバが使用できない場合、許可試行は失敗しますが、EAPOL パケットの検出は EAPOL 履歴に保存されます。AAA サーバが使用可能になると、スイッチは音声デバイスを許可します。ただし、スイッチは他のデバイスのゲスト VLAN へのアクセスをこれ以上許可しません。この状況を回避するには、次のいずれかのコマンド シーケンスを使用します。

dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを入力して、ゲスト VLAN へのアクセスを許可します。

shutdown インターフェイス コンフィギュレーション コマンドに続けて no shutdown インターフェイス コンフィギュレーション コマンドを入力して、ポートを再起動します。


) インターフェイスがゲスト VLAN ステートに移行したあとに EAPOL パケットが回線上で検出された場合は、インターフェイスは無許可ステートに戻り、IEEE 802.1x 認証が再開されます。


スイッチ ポートがゲスト VLAN に移動された場合は、無制限にホストにアクセスが許可されます。IEEE 802.1x 対応のホストが、ゲスト VLAN が設定されているポートと同じポートに結合すると、そのポートはユーザ設定済みのアクセス VLAN 内で無許可ステートに移行し、認証が再開されます。

ゲスト VLAN は、単一ホスト モードおよび複数ホスト モードの IEEE 802.1x ポート上でサポートされます。

RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x ゲスト VLAN として設定することができます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

詳細については、「ゲスト VLAN の設定」を参照してください。

IEEE 802.1x と制限 VLAN

スイッチ上の各 IEEE 802.1x ポートに制限 VLAN( 認証失敗 VLAN と呼ばれることもあります)を設定し、制限されたサービスをゲスト VLAN にアクセスできないクライアントに提供できます。これらのクライアントは、認証プロセスに失敗したため他の VLAN にアクセスできない IEEE 802.1x 対応クライアントです。制限 VLAN により、認証サーバで有効なクレデンシャルを持たないユーザ(一般的には企業への訪問者)が、制限されたサービス セットにアクセスできます。管理者は制限 VLAN のサービスを制御できます。


) 両方のタイプのユーザに同じサービスを提供する場合、ゲスト VLAN と制限 VLAN の両方を同じに設定できます。


この機能を使用しないと、クライアントが無限に認証失敗を繰り返してしまい、スイッチ ポートがスパニング ツリー ブロッキング ステートのままになります。制限 VLAN の機能を使用することで、クライアントの認証試行回数を指定し(デフォルト値は 3 回)、一定回数後にスイッチ ポートを制限 VLAN の状態に移行させることができます。

認証サーバはクライアントの認証試行回数をカウントします。この回数が設定された最高失敗回数を超えると、ポートは制限 VLAN に移動します。失敗した試行回数は、RADIUS サーバが EAP failure で応答したときや、EAP パケットなしの空の応答を返したときからカウントされます。ポートが制限 VLAN に変わったら、このカウント数はリセットされます。

認証に失敗したユーザの VLAN は、もう一度認証を実行するまで制限された状態が続きます。制限 VLAN 内のポートは設定された間隔に従って再認証を試みます(デフォルトは 60 秒)。再認証に失敗している間は、ポートの VLAN は制限された状態が続きます。再認証に成功した場合、ポートは設定された VLAN もしくは RADIUS サーバによって送信された VLAN に移行します。再認証はディセーブルにすることもできますが、ディセーブルにすると、認証プロセスを再開するためには、ポートが リンク ダウン または EAP ログオフ イベントを受信する必要があります。クライアントがハブを介して接続している場合、再認証機能はイネーブルにしておくことを推奨します。クライアントの接続をハブから切り離すと、ポートに リンク ダウン EAP ログオフ イベントが送信されない場合があります。

ポートは制限 VLAN に移動したあとに、EAP 失敗メッセージではなく、模擬 EAP 成功メッセージをクライアントに送信します。このメッセージによって、繰り返し実行している再認証を停止させることができます。クライアントによっては(Windows XP が稼動しているデバイスなど)、EAP 成功なしで DHCP を実装できません。

制限 VLAN は、レイヤ 2 ポートにある IEEE 802.1x ポート上でシングルホスト モードの場合にだけサポートされます。

RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限 VLAN として設定できます。制限 VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でだけサポートされます

この機能はポート セキュリティと連動します。ポートが認証されると、すぐに MAC アドレスがポート セキュリティに提供されます。ポート セキュリティが MAC アドレスを許可しない場合、またはセキュア アドレスの数が最大値に達した場合は、ポートが無許可および errdisable となります。

ダイナミック ARP インスペクション、DHCP スヌーピング、および IP ソース ガードなどの他のポート セキュリティ機能は、制限 VLAN 上で独立して設定できます。

IEEE 802.1x とユーザ単位 ACL

ユーザ単位の Access Control List(ACL; アクセス コントロール リスト)をイネーブルにして、IEEE 802.1x 認証ユーザに対して異なるレベルのネットワーク アクセスおよびサービスを提供します。RADIUS サーバが IEEE 802.1x ポートに接続されたユーザを認証すると、ユーザ ID に基づいて ACL アトリビュートを取得してスイッチに送信します。スイッチは、ユーザ セッションの期間中、そのアトリビュートを IEEE 802.1x ポートに適用します。セッションが終了した場合、認証が失敗した場合、またはリンクダウン状態になった場合には、スイッチはユーザ単位の ACL を削除します。スイッチは、RADIUS 指定の ACL を実行コンフィギュレーションに保存しません。ポートが無許可の場合、スイッチはそのポートから ACL を削除します。

ルータ ACL および入力ポート ACL を設定できます。ただし、ポート ACL はルータ ACL よりも優先されます。入力済みのポート ACL を VLAN に属するポートに適用する場合は、VLAN インターフェイスに適用する入力済みのルータ ACL よりもポート ACL が優先されます。ポート ACL が適用されたポート上で受信した着信パケットは、ポート ACL によってフィルタリングされます。その他のポートに着信したルーテッド パケットは、ルータ ACL によってフィルタリングされます。発信するルーテッド パケットは、ルータ ACL によってフィルタリングされます。設定の矛盾を避けるために、RADIUS サーバにストアするユーザ プロファイルを慎重に計画します。

RADIUS は、Vendor-Specific Attribute(VSA; ベンダー固有属性)などのユーザ単位アトリビュートをサポートします。これらの VSA は、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位 ACL に使用される VSA は、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACL は、入力方向でだけサポートされます。スイッチは、入力方向でだけ VSA をサポートします。このスイッチでは、レイヤ 2 ポートで出力方向のポート ACL はサポートされません。詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。

拡張 ACL 構文形式だけを使用して、RADIUS サーバにストアするユーザ単位の設定を定義します。RADIUS サーバから定義が渡されると、拡張命名規定を使用して作成されます。ただし、Filter-Id アトリビュートを使用する場合、標準 ACL を示すことができます。

Filter-Id アトリビュートを使用して、すでにスイッチに設定されているインバウンドまたはアウトバウンド ACL を指定できます。アトリビュートには、ACL 番号と、その後ろに入力フィルタリング、出力フィルタリングを示す .in または .out が含まれています。RADIUS サーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトでアウトバウンド ACL に適用されます。スイッチでの Cisco IOS のアクセス リストに関するサポートが制限されているため、Filter-ID アトリビュートは 1 ~ 199 および 1300 ~ 2699 の IP ACL(IP 標準 ACL および IP 拡張 ACL)に対してだけサポートされます。

1 ポートがサポートする IEEE 802.1x 認証ユーザは 1 ユーザだけです。マルチホスト モードがポートでイネーブルの場合、ユーザ単位 ACL アトリビュートは関連ポートでディセーブルです。

ユーザ単位 ACL の最大サイズは、4000 ASCII 文字です。

VSA の例については、「ベンダー固有の RADIUS アトリビュートを使用するスイッチ設定」を参照してください。ACL の設定の詳細については、「ACL によるネットワーク セキュリティの設定」 を参照してください。

ユーザ単位の ACL を設定するには、次の作業を実行する必要があります。

AAA 認証をイネーブルにします。

network キーワードを使用して AAA 許可をイネーブルにし、RADIUS サーバからのポート設定を可能にします。

IEEE 802.1x をイネーブルにします。

RADIUS サーバにユーザ プロファイルと VSA を設定します。

シングルホスト モードの IEEE 802.1x ポートを設定します。


) ユーザ単位の ACL は、シングルホスト モードでだけサポートされます。


IEEE 802.1x ユーザ分散

IEEE 802.1x ユーザ分散を設定すると、同じグループ名のユーザを複数の異なる VLAN に分散してロード バランシングを実現できます。

VLAN は、RADIUS サーバから提供されるか、またはスイッチ CLI を使用して VLAN グループ名で設定します。

1 人のユーザに複数の VLAN 名を送信するように RADIUS サーバを設定します。複数の VLAN 名は、ユーザへの応答の一部として送信できます。IEEE 802.1x ユーザ分散では、特定の VLAN 上のすべてのユーザをトラッキングし、許可されたユーザを最も使用率の低い VLAN に移動して、ロード バランシングを実現します。

1 人のユーザに 1 つの VLAN グループ名を送信するように RADIUS サーバを設定します。VLAN グループ名は、ユーザへの応答の一部として送信できます。選択したグループ名は、スイッチ CLI を使用して設定した複数の VLAN グループ名の中から検索できます。VLAN グループ名が見つかると、この VLAN グループ名に属する VLAN の中から最も使用率の低い VLAN が検索されます。ロード バランシングは、該当する許可されたユーザをこの VLAN に移動することで実現されます。


) RADIUS サーバは、VLAN ID、VLAN 名、VLAN グループ名を任意に組み合わせて VLAN 情報を送信できます。


IEEE 802.1x ユーザ分散設定時の注意事項

VLAN グループに少なくとも 1 つの VLAN がマッピングされていることを確認します。

1 つの VLAN グループに複数の VLAN をマッピングできます。

VLAN を追加または削除して、VLAN グループを変更できます。

VLAN グループ名から既存の VLAN を削除した場合、VLAN の認証済みポートは削除されませんが、マッピングは既存の VLAN グループから削除されます。

VLAN グループ名から最後の VLAN を削除すると、空になった VLAN グループは削除されます。

アクティブな VLAN がグループにマッピングされている場合でも、VLAN グループを削除できます。VLAN グループを削除した場合、グループ内のいずれかの VLAN で認証済みステートになっているポートまたはユーザは削除されませんが、VLAN グループへの VLAN マッピングは削除されます。

詳細については、「IEEE 802.1x ユーザ分散の設定」を参照してください。

IEEE 802.1x サプリカント スイッチおよびオーセンティケータ スイッチとネットワーク エッジ アクセス トポロジ(NEAT)

Network Edge Access Topology(NEAT; ネットワーク エッジ アクセス トポロジ)機能は、識別情報をワイヤリング クローゼット(会議室など)の外部領域まで拡張します。これにより、すべてのタイプのデバイスがポートで認証できるようになります。

IEEE 802.1x スイッチ サプリカント:IEEE 802.1x サプリカント機能を使用すると、スイッチを別のスイッチへのサプリカントとして動作するように設定できます。この設定は、スイッチがワイヤリング クローゼットの外部にあり、トランク ポート経由でアップストリーム スイッチに接続される場合などに役立ちます。IEEE 802.1x スイッチ サプリカント機能で設定したスイッチは、アップストリーム スイッチを使用してセキュアな接続を認証します。

サプリカント スイッチが認証に成功すると、ポート モードがアクセスからトランクに変わります。

アクセス VLAN がオーセンティケータ スイッチに設定されている場合は、認証に成功したあと、そのアクセス VLAN がトランク ポートのネイティブ VLAN になります。

1 つまたは複数のサプリカント スイッチに接続するオーセンティケータ スイッチ インターフェイスでは、MDA モードまたは複数認証モードをイネーブルにすることができます。マルチホスト モードは、オーセンティケータ スイッチ インターフェイスではサポートされません。

Network Edge Access Topology(NEAT)がすべてのホスト モードで機能するようにするには、サプリカント スイッチで dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。

Host Authorization:サプリカント スイッチに接続している許可されたホストからのトラフィックだけをネットワークで許可します。図 8-4 に示すように、スイッチは Client Information Signalling Protocol(CISP)を使用して、サプリカント スイッチに接続している MAC アドレスをオーセンティケータ スイッチに送信します。

Auto enablement:オーセンティケータ スイッチでトランク設定を自動的にイネーブルにし、サプリカント スイッチから着信する複数の VLAN からのユーザ トラフィックを許可します。Access Control Server(ACS; アクセス コントロール サーバ)で、cisco-av-pair を device-traffic-class=switch として設定します(この設定は group または user 設定で行うことができます)。

図 8-4 CISP を使用したオーセンティケータ スイッチとサプリカント スイッチ

 

 

1

ワークステーション(クライアント)

2

サプリカント スイッチ(ワイヤリング クローゼットの外部)

3

オーセンティケータ スイッチ

4

アクセス コントロール サーバ(ACS)

5

トランク ポート

 

 

注意事項

他の認証ポートと同じ設定を使用して NEAT ポートを設定できます。サプリカント スイッチが認証すると、スイッチの Vendor-Specific Attribute(VSA; ベンダー固有属性)に基づいてポート モードがアクセスからトランクに変わります(device-traffic-class=switch)。

VSA は、オーセンティケータ スイッチのポート モードをアクセスからトランクに変更し、ネイティブ トランク VLAN への変換時には、IEEE 802.1x トランクのカプセル化とアクセス VLAN をイネーブルにします。VSA は、サプリカント スイッチのいずれのポート設定も変更しません。

ホスト モードを変更し、同時にオーセンティケータ スイッチ ポートに標準ポート設定を適用するには、スイッチ VSA の代わりに、AutoSmart Ports ユーザ定義マクロを使用することもできます。この方法を使用すると、オーセンティケータ スイッチ ポートでサポートされない設定を削除し、ポート モードをアクセスからトランクに変更できます。詳細については、「SmartPort マクロの設定」を参照してください。

詳細については、「NEAT を使用したオーセンティケータとサプリカント スイッチの設定」を参照してください。

コモン セッション ID

認証マネージャでは、使用している認証方式に関係なく、クライアントに単一セッション ID(コモン セッション ID と呼ばれることもあります)を使用します。この ID は、表示コマンドや Management Information Base(MIB; 管理情報ベース)などのすべてのレポートに使用されます。セッション ID は、セッション単位のすべての Syslog メッセージに表示されます。

セッション ID には、次の情報が含まれます。

Network Access Device(NAD; ネットワーク アクセス デバイス)の IP アドレス

一意の 32 ビット整数(機械的に増加します)

セッション開始タイム スタンプ(32 ビット整数)

次に、show authentication コマンドによる出力にセッション ID が表示される例を示します。この例では、セッション ID は 160000050000000B288508E5 です。

Switch# show authentication sessions
Interface MAC Address Method Domain Status Session ID
Fa4/0/4 0000.0000.0203 mab DATA Authz Success 160000050000000B288508E5
 

次に、Syslog 出力にセッション ID が表示される例を示します。この例でも、セッション ID は 160000050000000B288508E5 です。

1w0d: %AUTHMGR-5-START: Starting 'mab' for client (0000.0000.0203) on Interface Fa4/0/4
AuditSessionID 160000050000000B288508E5
1w0d: %MAB-5-SUCCESS: Authentication successful for client (0000.0000.0203) on Interface
Fa4/0/4 AuditSessionID 160000050000000B288508E5
1w0d: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client
(0000.0000.0203) on Interface Fa4/0/4 AuditSessionID 160000050000000B288508E5
 

セッション ID は、NAD、AAA サーバ、その他のレポート分析アプリケーションでクライアントを識別するために使用されます。ID は自動的に表示されます。どのような設定も必要ありません。

IEEE 802.1x 認証の設定

ここでは、スイッチに IEEE 802.1x ポートベースの認証を設定する手順を説明します。

「IEEE 802.1x のデフォルト設定」

「IEEE 802.1x 設定時の注意事項」

「IEEE 802.1x 準備チェックの設定」(任意)

「IEEE 802.1x 違反モードの設定」

「IEEE 802.1x 認証の設定」(必須)

「スイッチおよび RADIUS サーバ間の通信の設定」(必須)

「定期的な再認証の設定」(任意)

「ポートに接続するクライアントの手動での再認証」(任意)

「待機時間の変更」(任意)

「スイッチからクライアントへの再送信時間の変更」(任意)

「スイッチからクライアントへのフレーム再送信回数の設定」(任意)

「再認証回数の設定」(任意)

「ホスト モードの設定」(任意)

「ゲスト VLAN の設定」(任意)

「制限 VLAN の設定」(任意)

「IEEE 802.1x 設定をデフォルト値にリセットする方法」(任意)

「802.1X アカウンティングの設定」(任意)

「IEEE 802.1x ユーザ分散の設定」(任意)

「NEAT を使用したオーセンティケータとサプリカント スイッチの設定」(任意)

「ダウンロード可能 ACL およびリダイレクト URL を使用した 802.1x 認証の設定」(任意)

IEEE 802.1x のデフォルト設定

表 8-1 に、IEEE 802.1x のデフォルト設定を示します。

 

表 8-1 IEEE 802.1x のデフォルト設定

機能
デフォルト設定

AAA

ディセーブル。

RADIUS サーバ

IP アドレス

UDP 認証ポート

 

指定なし。

1812。

指定なし。

スイッチの IEEE 802.1x イネーブル ステート

ディセーブル。

ポート単位の IEEE 802.1x イネーブル ステート

ディセーブル(force-authorized)。

ポートはクライアントの IEEE 802.1x ベース認証を行わずに、通常のトラフィックを送受信します。

定期的な再認証

ディセーブル。

再認証の間隔(秒)

3600 秒。

再認証回数

2 回(ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数)。

待機時間

60 秒(スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数)。

再送信時間

30 秒(スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数)。

最大再送信回数

2 回(スイッチが認証プロセスを再開する前に、EAP-Request/Identity フレームを送信する回数)。

ホスト モード

シングルホスト モード。

ゲスト VLAN

指定なし。

制限 VLAN

指定なし。

クライアント タイムアウト時間

30 秒 (認証サーバからの要求をクライアントにリレーするとき、スイッチが返答を待ち、クライアントに要求を再送信するまでの時間)。

認証サーバ タイムアウト時間

30 秒(クライアントからの応答を認証サーバにリレーするとき、スイッチが応答を待ち、応答をサーバに再送信するまでの時間)。

dot1x timeout server-timeout インターフェイス コンフィギュレーション コマンドを使用すると、このタイムアウト時間を変更できます。

IEEE 802.1x 設定時の注意事項

IEEE 802.1x 認証を設定する場合の注意事項は、次のとおりです。

IEEE 802.1x がイネーブルに設定されていると、他のレイヤ 2 またはレイヤ 3 機能がイネーブルになる前に、ポートが認証されます。

IEEE 802.1x プロトコルはレイヤ 2 スタティック アクセス ポート、音声 VLAN ポート、レイヤ 3 ルーテッド ポートでサポートされていますが、次のポート タイプではサポートされていません。

トランク ポート:トランク ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをトランクに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック ポート:ダイナミック モードのポートは、ネイバーとトランク ポートへの変更をネゴシエートする場合があります。ダイナミック ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートのモードをダイナミックに変更しようとしても、エラー メッセージが表示され、ポート モードは変更されません。

ダイナミック アクセス ポート:ダイナミック アクセス(VLAN Query Protocol(VQP))ポートで IEEE 802.1x をイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1x はイネーブルになりません。IEEE 802.1x 対応ポートを変更してダイナミック VLAN を割り当てようとしても、エラー メッセージが表示され、VLAN 設定は変更されません。

EtherChannel ポート:EtherChannel のアクティブ メンバーであるポートは IEEE 802.1x ポートとして設定しないでください。まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、ポートは EtherChannel に加入しません。


) Cisco IOS リリース 12.2(25)EY よりも前のソフトウェア リリースでは、まだアクティブになっていない EtherChannel のポートで IEEE 802.1x をイネーブルにしても、ポートは EtherChannel に加入しません。


Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)宛先ポート:SPAN または RSPAN 宛先ポートであるポートで IEEE 802.1x をイネーブルにすることができます。ただし、SPAN または RSPAN 宛先ポートとして削除するまでは、IEEE 802.1x はディセーブルになります。SPAN または RSPAN 送信元ポートでは、IEEE 802.1x をイネーブルにすることができます。

RSPAN VLAN または音声 VLAN を除き、任意の VLAN を IEEE 802.1x ゲスト VLAN として設定することができます。ゲスト VLAN の機能は、内部 VLAN(ルーテッド ポート)またはトランク ポート上ではサポートされません。サポートされるのはアクセス ポートのみです。

IEEE 802.1x をポートでイネーブルにすると、音声 VLAN と同等であるポート VLAN を設定できません。

VLAN 割り当て機能付きの IEEE 802.1x は、トランク ポート、ダイナミック ポート、または VMPS を使用したダイナミック アクセス ポート割り当てではサポートされていません。

RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意の VLAN を IEEE 802.1x 制限 VLAN として設定できます。制限 VLAN 機能は、内部 VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でだけサポートされます。

プライベート VLAN ポートでは IEEE 802.1x の設定ができますが、IEEE 802.1x とポート セキュリティ、音声 VLAN、ゲスト VLAN、制限 VLAN、またはユーザ単位 ACL をともに設定することはできません。

ポート単位の最大許容デバイス数

これは、IEEE 802.1x 対応ポート上で許容されるデバイスの最大数です。

シングルホスト モードでは、1 つのデバイスだけがアクセス VLAN で許可されます。ポートで音声 VLAN も設定されている場合は、数が制限されない Cisco IP Phone が音声 VLAN を介してトラフィックを送受信します。

MultiDomain Authentication(MDA)モードでは、アクセス VLAN には 1 つのデバイスが許可され、音声 VLAN には 1 つの IP Phone が許可されます。

マルチホスト モードでは、ポート上で 1 つの IEEE 802.1x サプリカントだけが許可されますが、アクセス VLAN に許可される非 IEEE 802.1x ホスト数は無制限です。音声 VLAN 上での許容デバイス数は無制限です。

IEEE 802.1x 準備チェックの設定

IEEE 802.1x 準備チェックでは、すべてのスイッチ ポート上の IEEE 802.1x アクティビティを監視し、IEEE 802.1x をサポートするポートに接続されたデバイスに関する情報を表示します。この機能を使用すると、スイッチ ポートに接続されたデバイスが IEEE 802.1x 対応かどうかを判別できます。

IEEE 802.1x 準備チェックは、IEEE 802.1x 用に設定できるすべてのポートで許可されます。準備チェックは、 dot1x force-unauthorized として設定されたポート上で使用できません。

スイッチで準備チェックをイネーブルにするときには、次の注意事項に従ってください。

通常準備チェックは、スイッチで IEEE 802.1x をイネーブルにする前に使用されます。

dot1x test eapol-capable 特権 EXEC コマンドをインターフェイスを指定せずに使用した場合、スイッチ スタック上のすべてのポートがテストされます。

IEEE 802.1x 対応ポートで dot1x test eapol-capable コマンドを設定し、リンクがアップになると、ポートは接続されたクライアントにその IEEE 802.1x 機能についてクエリーを送信します。クライアントが通知パケットにより応答した場合、このクライアントは IEEE 802.1x 対応です。クライアントがタイムアウト時間内に応答した場合、Syslog メッセージが生成されます。クライアントがクエリーに応答しない場合、このクライアントは IEEE 802.1x 対応ではありません。Syslog メッセージは生成されません。

準備チェックは、複数のホスト(IP Phone に接続された PC など)を処理するポート上で送信できます。タイムアウト時間内に準備チェックに応答した各クライアントには、Syslog メッセージが生成されます。

スイッチ上で IEEE 802.1x 準備チェックをイネーブルにするには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

dot1x test eapol-capable [ interface interface-id ]

スイッチ上で IEEE 802.1x 準備チェックをイネーブルにします。

(任意) interface-id には、IEEE 802.1x 準備をチェックするポートを指定します。

キーワードを省略した場合、スイッチ上のすべてのインターフェイスがテストされます。

ステップ 1

configure terminal

(任意)グローバル コンフィギュレーション モードを開始します。

ステップ 2

dot1x test timeout timeout

(任意)EAPOL 応答を待機するのに使用されるタイムアウトを設定します。指定できる範囲は 1 ~ 65535 秒です。デフォルト値は 10 秒です。

ステップ 3

end

(任意)特権 EXEC モードに戻ります。

ステップ 4

show running-config

(任意)変更したタイムアウト値を確認します。

次に、スイッチ上で準備チェックをイネーブルにしてポートにクエリーを送信する例を示します。ポートに接続されたデバイスが IEEE 802.1x 対応かどうかを確認するため、クエリーが送信されたポートから受信される応答についても示します。

switch# dot1x test eapol-capable interface gigabitethernet1/0/13
 
DOT1X_PORT_EAPOL_CAPABLE:DOT1X: MAC 00-01-02-4b-f1-a3 on gigabitethernet1/0/13 is EAPOL capable

IEEE 802.1x 違反モードの設定

次のような場合に、IEEE 802.1x ポートがシャットダウンする、Syslog エラーを生成する、または新しいデバイスからのパケットを廃棄するように設定できます。

デバイスが IEEE 802.1x 対応ポートに接続している

すでに最大許容数のデバイスがポート上で認証されている

スイッチ上でセキュリティ違反アクションを設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用するデフォルトのリストを作成するには、デフォルト状況で使用することになっている方法に続いて default キーワードを使用します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

method1 には、 group radius キーワードを入力して、認証用のすべての RADIUS サーバ リストを使用できるようにします。

キーワード以外にもコマンドラインのヘルプ ストリングに表示されますが、サポートされていません。

ステップ 4

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 5

switchport mode access

ポートをアクセス モードにします。

ステップ 6

dot1x violation-mode {shutdown | restrict | protect}

違反モードを設定します。キーワードの意味は次のとおりです。

shutdown:ポートを errdisable ステートにします。

restrict:Syslog エラーを生成します。

protect:ポートにトラフィックを送信するすべての新しいデバイスからのパケットをドロップします。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show dot1x

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

IEEE 802.1x 認証の設定

IEEE 802.1x ポートベースの認証をイネーブルにするには、AAA をイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためにクエリー送信を行う順番と認証方式を記述したものです。

ソフトウェアは、1 番めにリストされた方式を使用して、ユーザを認証します。その方式が応答に失敗すると、ソフトウェアは方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの地点で認証が失敗すると、認証プロセスは停止し、他の認証方式が試行されることはありません。

ユーザ単位 ACL または VLAN 割り当てを可能にするには、AAA 許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。

IEEE 802.1x ポートベースの認証を設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa new-model

AAA をイネーブルにします。

ステップ 3

aaa authentication dot1x { default } method1 [ method2 ...]

IEEE 802.1x 認証方式リストを作成します。

authentication コマンドに名前付きリストが 指定されていない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。

次のキーワードを最低 1 つ入力します。

group radius :認証にすべての RADIUS サーバのリストを使用します。

none :認証を使用しません。スイッチは、クライアントから提供される情報を使用せずに、クライアントを自動的に認証します。

ステップ 4

dot1x system-auth-control

スイッチで IEEE 802.1x 認証をグローバルにイネーブルにします。

ステップ 5

aaa authorization network { default } group radius

(任意)ユーザ単位 ACL や VLAN 割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザ RADIUS 許可をスイッチに設定します。

(注) ユーザ単位 ACL を設定するには、シングルホスト モードを設定する必要があります。この設定は、デフォルトです。

ステップ 6

interface interface-id

IEEE 802.1x 認証をイネーブルにするクライアントに接続しているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

機能の相互作用については、「IEEE 802.1x 設定時の注意事項」を参照してください。

ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

show dot1x

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1x AAA 許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で IEEE 802.1x 認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。

次に、ポート上で AAA および IEEE 802.1x をイネーブルにする例を示します。

Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet1/0/1
Switch(config)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# end

スイッチおよび RADIUS サーバ間の通信の設定

RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS ホスト エントリは、設定した順序に従って試行されます。

スイッチ上に RADIUS サーバ パラメータを設定するには、特権 EXEC モードで次の手順を実行します。この手順は必須です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

radius-server host { hostname | ip-address } auth-port port-number key string

RADIUS サーバ パラメータを設定します。

hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。

auth-port port-number には、 認証要求の UDP 宛先ポートを指定します。デフォルト値は 1812 です。指定できる範囲は 0 ~ 65536 です。

key string には、 スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号鍵を指定します。key は文字列であり、RADIUS サーバで使用されている暗号鍵と一致する必要があります。

コマンド構文の最後の項目として設定してください。鍵にスペースを使用する場合は、引用符が鍵の一部分である場合を除き、引用符で鍵を囲まないでください。鍵は RADIUS デーモンで使用する暗号鍵に一致している必要があります。

複数の RADIUS サーバを使用する場合には、このコマンドを繰り返し入力します。

ステップ 3

end

特権 EXEC モードに戻ります。

ステップ 4

show running-config

設定を確認します。

ステップ 5

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。

次に、IP アドレス 172.20.39.46 のサーバを RADIUS サーバとして指定し、ポート 1612 を許可ポートとして使用し、暗号鍵を RADIUS サーバ上の鍵と同じ rad123 に設定する例を示します。

Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
 

すべての RADIUS サーバについて、タイムアウト、再送信回数、および暗号鍵値をグローバルに設定するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。これらのオプションをサーバ単位で設定するには、 radius-server timeout radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、「すべての RADIUS サーバの設定」を参照してください。

RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。

定期的な再認証の設定

IEEE 802.1x クライアントの定期的な再認証をイネーブルにし、再認証の間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は 3600 秒ごとに行われます。

クライアントの定期的な再認証をイネーブルにし、再認証を行う間隔(秒)を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x reauthentication

クライアントの定期的な再認証(デフォルトではディセーブル)をイネーブルにします。

ステップ 4

dot1x timeout reauth-period seconds

再認証の間隔(秒)を指定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 3600 秒です。

このコマンドがスイッチの動作に影響するのは、定期的な再認証をイネーブルに設定した場合だけです。

ステップ 5

end

特権 EXEC モードに戻ります。

ステップ 6

show dot1x interface interface-id

設定を確認します。

ステップ 7

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証試行間隔に戻すには、 no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、定期的な再認証をイネーブルにし、再認証の間隔を 4000 秒に設定する例を示します。

Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000

ポートに接続するクライアントの手動での再認証

dot1x re-authenticate interface interface-id 特権 EXEC コマンドを入力すると、いつでも特定のポートに接続するクライアントを手動で再認証できます。 この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする方法については、「定期的な再認証の設定」を参照してください。

次に、ポートに接続するクライアントを手動で再認証する例を示します。

Switch# dot1x re-authenticate interface fastethernet1/0/1

待機時間の変更

スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、そのあと再び認証を試みます。 dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドがその待ち時間を制御します。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。

待機時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout quiet-period seconds

スイッチがクライアントとの認証情報の交換に失敗したあと、待機状態を続ける秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 60 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

待機時間をデフォルトに戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチの待機時間を 30 秒に設定する例を示します。

Switch(config-if)# dot1x timeout quiet-period 30

スイッチからクライアントへの再送信時間の変更

クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。スイッチがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機し、そのあとフレームを再送信します。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチがクライアントからの通知を待機する時間を変更するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x timeout tx-period seconds

スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの秒数を設定します。

指定できる範囲は 1 ~ 65535 秒です。デフォルトは 30 秒です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信時間をデフォルトに戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが EAP-Request/Identity フレームに対するクライアントからの応答を待ち、要求を再送信するまでの時間を 60 秒に設定する例を示します。

Switch(config-if)# dot1x timeout tx-period 60

スイッチからクライアントへのフレーム再送信回数の設定

スイッチからクライアントへの再送信時間を変更できるだけでなく、(クライアントから応答が得られなかった場合に)スイッチが認証プロセスを再起動する前に、クライアントに EAP-Request/Identity フレームを送信する回数を変更できます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


スイッチからクライアントへのフレーム再送信回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

スイッチが認証プロセスを再起動する前に、EAP-Request/Identity フレームを送信する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルト値は 2 です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再送信回数をデフォルトに戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。

次に、スイッチが認証プロセスを再起動する前に、EAP-Request/Identity 要求を送信する回数を 5 に設定する例を示します。

Switch(config-if)# dot1x max-req 5

再認証回数の設定

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を変更することもできます。


) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のクライアントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要があるときに限って変更してください。


再認証回数を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x max-reauth-req count

ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を設定します。指定できる範囲は 1 ~ 10 です。デフォルト値は 2 です。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

再認証回数をデフォルトに戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。

次の例では、ポートが無許可ステートに移行する前に、スイッチが認証プロセスを再起動する回数を 4 に設定する方法を示します。

Switch(config-if)# dot1x max-reauth-req 4

ホスト モードの設定

IEEE 802.1x ポートは、シングルホスト モードまたはマルチホスト モードで設定できます。シングルホスト モードでは、IEEE 802.1x ポートで 1 台のホストだけが許可されます。ホストが認証されると、ポートは許可ステートになります。ホストがポートから切断されると、ポートは無許可ステートになります。認証済みのホスト以外のホストからのパケットはドロップされます。

図 8-3 に示すように、複数のホストを 1 つの IEEE 802.1x 対応ポートに接続できます。このモードでは、接続ホストのいずれか 1 つだけが許可されれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可(再認証が失敗するか EAPOL ログオフ メッセージを受信した場合)になると、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。

マルチホスト モードをイネーブルにすると、ポート認証に IEEE 802.1x を使用し、ポート セキュリティによってクライアントを含むすべての MAC アドレスのネットワーク アクセスを管理できます。

dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている IEEE 802.1x 許可ポート上で、複数のホスト(クライアント)を許可するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

複数ホストが間接的に接続されているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x host-mode multi-host

IEEE 802.1x 許可ポートで複数のホスト(クライアント)の接続を許可します。

指定されたポートについて dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

dot1x host-mode single-host インターフェイス コンフィギュレーション コマンドを入力して、ポート上で単一のホストを許可するようにインターフェイスを設定します。


dot1x host-mode multi-domain インターフェイス コンフィギュレーション コマンドはコマンドライン インターフェイス ヘルプで表示されますが、サポートされません。インターフェイス上でこのコマンドを設定すると、インターフェイスは errdisable ステートになる可能性があります。


ポート上で複数のホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポート上で IEEE 802.1x をイネーブルにして、複数ホストを許可する例を示します。

Switch(config)# interface fastethernet1/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host

ゲスト VLAN の設定

サーバが EAP-Request/Identity フレームに対する応答を受信しない場合、ゲスト VLAN を設定すると、IEEE 802.1x 対応でないクライアントはゲスト VLAN に配置されます。IEEE 802.1x 対応であっても、認証に失敗したクライアントにはネットワークへのアクセスが許可されません。スイッチは、シングルホスト モードまたはマルチホスト モードでゲスト VLAN をサポートします。

ゲスト VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、「IEEE 802.1x 設定時の注意事項」を参照してください。

ステップ 3

dot1x guest-vlan vlan-id

アクティブ VLAN を IEEE 802.1x ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN または音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x ゲスト VLAN として設定できます。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ゲスト VLAN をディセーブルにして削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートが現在、ゲスト VLAN で許可されている場合は、ポートは無許可ステートに戻ります。

次に、ポート上で VLAN 2 を IEEE 802.1x ゲスト VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet1/0/2
Switch(config-if)# dot1x guest-vlan 2

制限 VLAN の設定

スイッチで制限 VLAN を設定した場合は、認証サーバが有効なユーザ名とパスワードを受信しないと、IEEE 802.1x 準拠のクライアントが制限 VLAN に移動します。スイッチは、シングルホスト モードでだけ制限 VLAN をサポートします。

制限 VLAN を設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポート タイプについては、 「IEEE 802.1x 設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を、IEEE 802.1x 制限 VLAN に指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限 VLAN として設定することができます。

ステップ 6

end

特権 EXEC モードに戻ります。

ステップ 7

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 8

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

制限 VLAN をディセーブルにして削除するには、 no dot1x auth-fail vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。

次に、 VLAN 2 を IEEE 802.1x 制限 VLAN としてイネーブルにする例を示します。

Switch(config)# interface gigabitethernet0/2
Switch(config-if)# dot1x auth-fail vlan 2
 

dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用して、ユーザが制限 VLAN に割り当てられるまでの認証失敗回数の最大値を設定します。指定できる認証試行回数は 1 ~ 3 です。デフォルト値は 3 回です。

認証試行回数を最大に設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポート タイプについては、 「IEEE 802.1x 設定時の注意事項」を参照してください。

ステップ 3

switchport mode access

または

switchport mode private-vlan host

ポートをアクセス モードにします。

または

レイヤ 2 ポートをプライベート VLAN ホスト ポートとして設定します。

ステップ 4

dot1x port-control auto

ポート上で IEEE 802.1x 認証をイネーブルにします。

ステップ 5

dot1x auth-fail vlan vlan-id

アクティブな VLAN を、IEEE 802.1x 制限 VLAN に指定します。指定できる範囲は 1 ~ 4094 です。

内部 VLAN(ルーテッド ポート)、RSPAN VLAN、プライマリ プライベート VLAN、および音声 VLAN を除き、任意のアクティブ VLAN を IEEE 802.1x 制限 VLAN として設定することができます。

ステップ 6

dot1x auth-fail max-attempts max attempts

ポートが制限 VLAN に移行するための認証試行回数を指定します。指定できる範囲は 1 ~ 3 秒です。デフォルトは 3 です。

ステップ 7

end

特権 EXEC モードに戻ります。

ステップ 8

show dot1x interface interface-id

(任意)設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

設定数をデフォルトに戻すには、 no dot1x auth-fail max-attempts インターフェイス コンフィギュレーション コマンドを使用します。

次に、ポートを制限 VLAN にするために、認証試行回数を 2 に設定する方法を示します。

Switch(config-if)# dot1x auth-fail max-attempts
 

IEEE 802.1x 設定をデフォルト値にリセットする方法

IEEE 802.1x 設定をデフォルト値にリセットするには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

dot1x default

設定変更可能な IEEE 802.1x パラメータをデフォルト値にリセットします。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show dot1x interface interface-id

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

802.1X アカウンティングの設定

IEEE 802.1x アカウンティングを使用して、AAA システム アカウンティングをイネーブルにすると、ロギングのためにシステム リロード イベントをアカウンティング RADIUS サーバに送信できます。サーバは、アクティブな IEEE 802.1x セッションすべてが終了したものと判断します。

RADIUS は信頼性の低い UDP トランスポート プロトコルを使用するため、ネットワーク状態が良好でないと、アカウンティング メッセージが失われることがあります。設定した回数のアカウンティング要求の再送信後、スイッチが RADIUS サーバからアカウンティング応答メッセージを受信しない場合、次のメッセージが表示されます。

Accounting message %s for session %s failed to receive Accounting Response.
 

このストップ メッセージが正常に送信されない場合、次のメッセージが表示されます。

00:09:55: %RADIUS-4-RADIUS_DEAD: RADIUS server 172.20.246.201:1645,1646 is not responding.
 

) ロギングの開始、停止、仮のアップデート メッセージ、タイム スタンプなどのアカウンティング タスクを実行するように、RADIUS サーバを設定する必要があります。これらの機能をオンにするには、RADIUS サーバの [Network Configuration] タブの [Update/Watchdog packets from this AAA client] のロギングをイネーブルにします。次に、RADIUS サーバの [System Configuration] タブの [CVS RADIUS Accounting] をイネーブルにします。


AAA がスイッチでイネーブルになったあと、IEEE 802.1x アカウンティングを設定するには、特権 EXEC モードで次の手順を実行します。この手順は任意です。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

aaa accounting dot1x default start-stop group radius

すべての RADIUS サーバのリストを使用して、IEEE 802.1x アカウンティングをイネーブルにします。

ステップ 3

aaa accounting system default start-stop group radius

(任意)システム アカウンティングをイネーブルにし(すべての RADIUS サーバのリストを使用)、スイッチがリロードするときにシステム アカウンティング リロード イベント メッセージを生成します。

ステップ 4

end

特権 EXEC モードに戻ります。

ステップ 5

show running-config

設定を確認します。

ステップ 6

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

アカウンティング応答メッセージを受信しない RADIUS メッセージ数を表示するには、show radius statistics 特権 EXEC コマンドを使用します。

次に、IEEE 802.1x アカウンティングを設定する例を示します。最初のコマンドは、アカウンティングの UDP ポートとして 1813 を指定して、RADIUS サーバを設定します。

Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius

IEEE 802.1x ユーザ分散の設定

VLAN グループを設定して VLAN をマッピングするには、グローバル コンフィギュレーションで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

vlan group vlan-group-name vlan-list vlan-list

VLAN グループを設定し、そのグループに 1 つの VLAN または VLAN の範囲をマッピングします。

ステップ 2

show vlan group all vlan-group-name

設定を確認します。

ステップ 3

no vlan group vlan-group-name vlan-list vlan-list

VLAN グループ設定または VLAN グループ設定の要素を削除します。

次に、VLAN グループを設定してグループに VLAN をマッピングし、VLAN グループの設定と指定した VLAN へのマッピングを確認する例を示します。

switch(config)# vlan group eng-dept vlan-list 10
 
switch(config)# show vlan group group-name eng-dept
Group Name Vlans Mapped
------------- --------------
eng-dept 10
switch# show dot1x vlan-group all
Group Name Vlans Mapped
------------- --------------
eng-dept 10
hr-dept 20
 

次に、VLAN を既存の VLAN グループに追加し、VLAN が追加されたことを確認する例を示します。

switch(config)# vlan group eng-dept vlan-list 30
switch(config)# show vlan group eng-dept
Group Name Vlans Mapped
------------- --------------
eng-dept 10,30
 

次に、VLAN を VLAN グループから削除する例を示します。

switch# no vlan group eng-dept vlan-list 10
 

次に、VLAN グループから VLAN をすべて削除すると、その VLAN グループが削除される例を示します。

switch(config)# no vlan group eng-dept vlan-list 30
Vlan 30 is successfully cleared from vlan group eng-dept.
 
switch(config)# show vlan group group-name eng-dept
 

次に、すべての VLAN グループを削除する例を示します。

switch(config)# no vlan group end-dept vlan-list all
switch(config)# show vlan-group all

これらのコマンドの詳細については、『 Cisco IOS Security Command Reference 』を参照してください。

NEAT を使用したオーセンティケータとサプリカント スイッチの設定

この機能を設定するには、ワイヤリング クローゼット外部の 1 つのスイッチがサプリカントとして設定され、オーセンティケータ スイッチに接続されている必要があります。

概要については、「IEEE 802.1x サプリカント スイッチおよびオーセンティケータ スイッチとネットワーク エッジ アクセス トポロジ(NEAT)」を参照してください。


cisco-av-pairs が ACS 上で device-traffic-class=switch として設定されている必要があります。これは、サプリカントが正常に認証されたあと、インターフェイスをトランクとして設定します。


スイッチをオーセンティケータに設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cisp enable

CISP をイネーブルにします。

ステップ 3

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

switchport mode access

ポート モードをアクセスに設定します。

ステップ 5

authentication port-control auto

ポート認証モードを自動に設定します。

ステップ 6

dot1x pae authenticator

インターフェイスを Port Access Entity(PAE; ポート アクセス エンティティ)オーセンティケータとして設定します。

ステップ 7

spanning-tree portfast

単一ワークステーションまたはサーバに接続されたアクセス ポート上で PortFast をイネーブルにします。

ステップ 8

end

特権 EXEC モードに戻ります。

ステップ 9

show running-config interface interface-id

設定を確認します。

ステップ 10

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、スイッチを IEEE 802.1x オーセンティケータとして設定する例を示します。

Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# interface gigabitethernet2/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# spanning-tree portfast trunk
 

スイッチをサプリカントに設定するには、特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

cisp enable

CISP をイネーブルにします。

ステップ 3

dot1x credentials profile

IEEE 802.1x クレデンシャル プロファイルを作成します。これは、サプリカントとして設定されているポートに付加されている必要があります。

ステップ 4

username suppswitch

ユーザ名を作成します。

ステップ 5

password password

新しいユーザ名用のパスワードを作成します。

ステップ 6

dot1x supplicant force-multicast

ユニキャストまたはマルチキャストのいずれかのパケットを受信したときに、マルチキャスト EAPOL パケットだけを送信するようにスイッチに強制します。

これにより、いずれのホスト モードでも、NEAT がサプリカント スイッチで機能できるようになります。

ステップ 7

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 8

switchport trunk encapsulation dot1q

ポートをトランク モードに設定します。

ステップ 9

switchport mode trunk

インターフェイスを VLAN トランク ポートとして設定します。

ステップ 10

dot1x pae supplicant

インターフェイスを Port Access Entity(PAE)サプリカントとして設定します。

ステップ 11

dot1x credentials profile-name

IEEE 802.1x クレデンシャル プロファイルをインターフェイスに付加します。

ステップ 12

end

特権 EXEC モードに戻ります。

ステップ 13

show running-config interface interface-id

設定を確認します。

ステップ 14

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次の例では、スイッチをサプリカントとして設定する方法を示します。

Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# dot1x credentials test
Switch(config)# username suppswitch
Switch(config)# password myswitch
Switch(config)# dot1x supplicant force-multicast
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk

Switch(config-if)# dot1x pae supplicant
Switch(config-if)# dot1x credentials test
Switch(config-if)# end

ASP を使用した NEAT の設定

オーセンティケータ スイッチを設定するには、スイッチ VSA の代わりに AutoSmart Ports ユーザ定義マクロを使用することもできます。詳細については、「SmartPort マクロの設定」を参照してください。

ダウンロード可能 ACL およびリダイレクト URL を使用した 802.1x 認証の設定

スイッチで 802.1x 認証を設定するほか、ACS を設定する必要があります。詳細については、Cisco Secure ACS コンフィギュレーション ガイドを参照してください。


) スイッチにダウンロードする前に、ダウンロード可能な ACL を ACS で設定する必要があります。


ポートでの認証後、show ip access-list 特権 EXEC コマンドを使用して、ポートにダウンロードした ACL を表示します。

ダウンロード可能な ACL の設定

これらのポリシーは、クライアントが認証され、クライアント IP アドレスが IP デバイス トラッキング テーブルに追加された後で有効になります。その後スイッチがダウンロード可能な ACL をポートに適用します。

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

ip device tracking

IP デバイス トラッキング テーブルを設定します。

ステップ 3

aaa new-model

AAA をイネーブルにします。

ステップ 4

aaa authorization network default group radius

許可の方法をローカルに設定します。許可の方法を削除するには、no aaa authorization network default group radius コマンドを使用します。

ステップ 5

radius-server vsa send authentication

radius vsa send authentication を設定します。

ステップ 6

interface interface-id

設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。

ステップ 7

ip access-group acl-id in

ポートの入力方向のデフォルト ACL を設定します。

(注) acl-id はアクセス リストの名前または番号です。

ステップ 8

show running-config interface interface-id

設定を確認します。

ステップ 9

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

ダウンロード ポリシーの設定

特権 EXEC モードで次の手順を実行します。

 

 
コマンド
目的

ステップ 1

configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

access-list access-list-number deny source source-wildcard log

送信元アドレスおよびワイルドカードを使用してデフォルト ポート ACL を定義します。

access-list-number には、1 ~ 99 または 1300 ~ 1999 の 10 進数を指定します。

deny または permit を入力し、条件と一致した場合にアクセスを拒否するか、許可するかを指定します。

source は、次のようなパケットを送信するネットワークまたはホストの送信元アドレスです。

ドット付き 10 進表記で 32 ビットの値。

source および source-wildcard の値 0.0.0.0 255.255.255.255 の省略形を意味するキーワード any。source-wildcard 値を入力する必要はありません。

source および source-wildcard の値 source 0.0.0.0 の省略形を意味するキーワード host。

(任意)source-wildcard ビットを送信元アドレスに適用します。

(任意)ログを入力して、エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します。

ステップ 3

interface interface-id

インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip access-group acl-id in

ポートの入力方向のデフォルト ACL を設定します。

(注) acl-id はアクセス リストの名前または番号です。

ステップ 5

exit

グローバル コンフィギュレーション モードに戻ります。

ステップ 6

aaa new-model

AAA をイネーブルにします。

ステップ 7

aaa authorization network default group radius

許可の方法をローカルに設定します。許可の方法を削除するには、no aaa authorization network default group radius コマンドを使用します。

ステップ 8

ip device tracking

IP デバイス トラッキング テーブルをイネーブルにします。

IP デバイス トラッキング テーブルをディセーブルにするには、no ip device tracking グローバル コンフィギュレーション コマンドを使用します。

ステップ 9

ip device tracking probe [ count | interval | use-svi ]

(任意)IP デバイス トラッキング テーブルを設定します。

count count:スイッチが ARP プローブを送信する回数を設定します。指定できる範囲は 1 ~ 5 です。デフォルト値は 3 です。

interval interval:スイッチが ARP プローブを再送信するまでに応答を待機する時間(秒単位)を設定します。指定できる範囲は 30 ~ 300 秒です。デフォルト値は 30 秒です。

use-sv i:Switch Virtual Intertface(SVI; スイッチ仮想インターフェイス)の IP アドレスを ARP プローブの送信元として使用します。

ステップ 10

radius-server vsa send authentication

ベンダー固有属性を認識し使用するために、ネットワーク アクセス サーバを設定します。

(注) ダウンロード可能な ACL が機能する必要があります。

ステップ 11

end

特権 EXEC モードに戻ります。

ステップ 12

show ip device tracking all

IP デバイス トラッキング テーブルに関するエントリの情報を表示します。

ステップ 13

copy running-config startup-config

(任意)コンフィギュレーション ファイルに設定を保存します。

次に、ダウンロード ポリシーのスイッチを設定する例を示します。

Switch# config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default group radius
Switch(config)# ip device tracking
Switch(config)# ip access-list extended default_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server vsa send authentication
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# ip access-group default_acl in
Switch(config-if)# exit

 

IEEE 802.1x の統計情報およびステータスの表示

すべてのポートに関する IEEE 802.1x 統計情報を表示するには、 show dot1x all statistics 特権 EXEC コマンドを使用します。特定のポートに関する IEEE 802.1x 統計情報を表示するには、 show dot1x statistics interface interface-id 特権 EXEC コマンドを使用します。

スイッチについて IEEE 802.1x 管理および動作のステータスを表示するには、 show dot1x all 特権 EXEC コマンドを使用します。特定のポートに関する IEEE 802.1x 管理および動作のステータスを表示するには、 show dot1x interface interface-id 特権 EXEC コマンドを使用します。

出力フィールドの詳細については、このリリースに対応するコマンド リファレンスを参照してください。