 |
IEEE 802.1x�K�i�́A�N���C�A���g/�T�[�o �x�[�X�̃A�N�Z�X����ƔF�v���g�R���ɂ��Ē�`���A�s���ȃN���C�A���g�����I�ɃA�N�Z�X�\�ȃ|�[�g�����LAN�ɐڑ�����̂𐧌����܂��B�F�T�[�o�́A�X�C�b�` �|�[�g�ɐڑ����ꂽ�e�N���C�A���g��F���Ă���A�X�C�b�`�܂���LAN������T�[�r�X�𗘗p�ł���悤�ɂ��܂��B
�N���C�A���g���F�����܂ł́A802.1x�A�N�Z�X����ɂ���āA�N���C�A���g�ɐڑ������|�[�g���o�R����Extensible Authentication Protocol over LAN�iEAPOL�j�g���t�B�b�N�����������܂��B�F����������ƁA�ʏ�̃g���t�B�b�N���|�[�g��ʉ߂ł��܂��B
�����ł́A802.1x�|�[�g�x�[�X�F�ɂ��Đ������܂��B
802.1x�|�[�g�x�[�X�F���g�p����ƁA�l�b�g���[�N���̃f�o�C�X�� 802.1x�f�o�C�X�̖��� �̂悤�ȓ���̖��������蓖�Ă��܂��B
�X�C�b�`��EAPOL�t���[������M���ĔF�T�[�o�Ƀ����[����ƁA�C�[�T�l�b�g �w�b�_�[����菜����A�c���EAP�t���[����RADIUS�`���ōēx�J�v�Z��������܂��BEAP�t���[���̓J�v�Z�����̊Ԃ͕ύX�⌟�����s��ꂸ�A�F�T�[�o�̓l�C�e�B�u�̃t���[���`����EAP���T�|�[�g����K�v������܂��B�X�C�b�`���F�T�[�o����t���[������M����ƁA�T�[�o�̃t���[�� �w�b�_�[���폜����AEAP�t���[�����c��܂��B���ꂪ�C�[�T�l�b�g�p�ɃJ�v�Z��������ăN���C�A���g�ɑ��M����܂��B
�}��Ƃ��ċ@�\�ł���f�o�C�X�ɂ́ACatalyst 3550�}���`���C�� �X�C�b�`�ACatalyst 2950�X�C�b�`�ACatalyst 2955�X�C�b�`�A�܂��͖���A�N�Z�X �|�C���g������܂��B�����̃f�o�C�X�́ARADIUS�N���C�A���g�����802.1x���T�|�[�g����\�t�g�E�F�A�����s���Ă���K�v������܂��B
�X�C�b�`�܂��̓N���C�A���g�́A�F���J�n�ł��܂��B dot1x port-control auto �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���ă|�[�g��ŔF���C�l�[�u���ɂ���ꍇ�A�X�C�b�`�́A�|�[�g�̃����N �X�e�[�g���_�E������A�b�v�Ɉڍs�������Ƃ��m�F�����Ƃ��ɁA�F���J�n����K�v������܂��B����EAP�v��/�A�C�f���e�B�e�B �t���[�����N���C�A���g�ɑ��M���ăA�C�f���e�B�e�B��v�����܂��i��ʂɁA�X�C�b�`�͍ŏ��̃A�C�f���e�B�e�B/�v���t���[���𑗐M���āA���̂��Ƃ�1�܂��͕����̔F�؏��̗v���𑗐M���܂��j�B�t���[���̎�M��A�N���C�A���g��EAP����/�A�C�f���e�B�e�B �t���[���ʼn������܂��B
�������A�N�����ɃN���C�A���g���X�C�b�`����EAP�v��/�A�C�f���e�B�e�B �t���[������M���Ȃ��ꍇ�́A�N���C�A���g�́AEAPOL�J�n�t���[���𑗐M���ĔF���J�n�ł��܂��B����ɂ��A�X�C�b�`�̓N���C�A���g�̃A�C�f���e�B�e�B��v������悤�ɂȂ�܂��B
�N���C�A���g�����̃A�C�f���e�B�e�B����������ƁA�X�C�b�`�͔}��Ƃ��Ă̖������J�n���A�F�������܂��͎��s����܂ŃN���C�A���g�ƔF�T�[�o�Ƃ̊Ԃ�EAP�t���[�����n���܂��B�F����������ƁA�X�C�b�`�̃|�[�g�͋����ꂽ��ԂɂȂ�܂��B�ڍׂɂ��ẮA ���X�e�[�g����і����X�e�[�g�̃|�[�g ���Q�Ƃ��Ă��������B
�����EAP�t���[�������́A�g�p�����F�ؕ�Ɉˑ����܂��B ���b�Z�[�W���� �ɁARADIUS�T�[�o��One-Time-Password�iOTP;�����^�C�� �p�X���[�h�j�F�ؕ���g�p����N���C�A���g�ɂ���ĊJ�n����郁�b�Z�[�W�����������܂��B
�X�C�b�` �|�[�g�̃X�e�[�g�ɂ���āA�N���C�A���g���l�b�g���[�N �A�N�Z�X��������Ă��邩�ǂ������킩��܂��B�|�[�g�́A ������ �X�e�[�g�ŊJ�n���܂��B���̃X�e�[�g�ɂ���Ԃ́A�|�[�g�́A802.1x�v���g�R�� �p�P�b�g�������Ă��ׂĂ̓�̓g���t�B�b�N����яo�̓g���t�B�b�N��������Ă��܂���B�N���C�A���g������ɔF�����ƁA�|�[�g�� ���� �X�e�[�g�Ɉڍs���A���̃N���C�A���g�ւ̂��ׂẴg���t�B�b�N�͒ʏ�̃t���[��������܂��B
802.1x���T�|�[�g���Ȃ��N���C�A���g��������802.1x�|�[�g�ɐڑ����Ă���ꍇ�́A�X�C�b�`�̓N���C�A���g�ɃA�C�f���e�B�e�B��v�����܂��B���̏ꍇ�A�N���C�A���g�͗v���ɉ����ł��Ȃ��̂ŁA�|�[�g�͖����X�e�[�g�̂܂܂ŁA�N���C�A���g�̓l�b�g���[�N �A�N�Z�X��������܂���B
�ΏƓI�ɁA802.1x�Ή��N���C�A���g��802.1x�v���g�R�������s���Ă��Ȃ��|�[�g�ɐڑ����Ă���ꍇ�A�N���C�A���g��EAPOL�J�n�t���[���𑗐M���ĔF�v���Z�X���J�n���܂��B�����������Ȃ������ꍇ�A�N���C�A���g�͗v�������̉������M���܂��B�����������Ȃ��̂ŁA�N���C�A���g�̓|�[�g�����X�e�[�g�ɂ�����̂Ƃ��ăt���[���̑��M���J�n���܂��B
�|�[�g�̋��X�e�[�g�𐧌䂷��ɂ́A dot1x port-control �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h�ƈȉ��̃L�[���[�h���g�p���܂��B
�N���C�A���g������ɔF�����Ɓi�F�T�[�o����Accept�t���[������M����Ɓj�A�|�[�g�����X�e�[�g�ɕς��A�F���ꂽ�N���C�A���g�̃t���[���͂��ׂĂ��̃|�[�g�o�R�ő���M��������܂��B�F�����s�����ꍇ�́A�|�[�g�͖����X�e�[�g�̂܂܂ł����A�F���Ď��s�ł��܂��B�F�T�[�o�ɃA�N�Z�X�ł��Ȃ��ꍇ�A�X�C�b�`�͗v�����đ��M�ł��܂��B�w�肳�ꂽ���s�̌�ł��T�[�o���牞���������Ȃ��ꍇ�́A�F�����s���A�l�b�g���[�N �A�N�Z�X�͋�����܂���B
�N���C�A���g�̓��O�I�t�����EAPOL���O�I�t ���b�Z�[�W�𑗐M���܂��B����ɂ��A�X�C�b�` �|�[�g�͖����X�e�[�g�Ɉڍs���܂��B
�|�[�g�̃����N �X�e�[�g���A�b�v����_�E���Ɉڍs�����ꍇ�A�܂���EAPOL���O�I�t �t���[������M�����ꍇ�́A�|�[�g�͖����X�e�[�g�ɖ߂�܂��B
Multiple VLAN Access Port�iMVAP�j�́A2��VLAN�ɑ�����|�[�g�ł��B���̐ݒ�ɂ��A�����g���t�B�b�N�ƃf�[�^�g���t�B�b�N���قȂ�VLAN�ɕ������邱�Ƃ��ł��܂��B����VLAN�ɐݒ肳�ꂽ�X�C�b�` �|�[�g�ɂ́A���̃g���t�B�b�N��������邽�߂Ɍʂ�VLAN���ݒ肳��Ă��܂��B
���̂��߁A����VLAN�ɐݒ肳�ꂽ�|�[�g�́A�|�[�g�̃l�C�e�B�uVLAN��port VLAN identifier�iPVID;�|�[�gVLAN ID�j�ƁA�|�[�g�ɐڑ����ꂽIP Phone��ݒ肷��̂Ɏg����voice VLAN identifier�iVVID;����VLAN ID�j�ɂ��ꂼ��Ή��t�����Ă��܂��B
����VLAN��ݒ肵���|�[�g��802.1x���C�l�[�u���ɂ���ƁACDP���b�Z�[�W��IP Phone������܂�VLAN�̓|�[�g�Ń_�E���i�܂薳���X�e�[�g�j�̂܂܂ɂȂ�܂��BCDP���b�Z�[�W������VLAN���A�N�e�B�u�ɂȂ�A802.1x�F�Ƃ͓Ɨ����ēd�b�����삵�܂��BCDP�G���g�����^�C���A�E�g�ɂȂ邩�A���邢�� cdp clear table �C�l�[�u��EXEC�R�}���h���g���ăN���A�����ƁAVLAN�͔�A�N�e�B�u�ɂȂ�܂��B
�|�[�g�ɐڑ����ꂽ���[�N�X�e�[�V������PVID���g�p���A�ʏ�ǂ���802.1X�ŔF����܂��B�|�[�g�����X�e�[�g�������X�e�[�g�ł��邩�ɂ�����炸�AIP Phone�͉����g���t�B�b�N�p��VVID�ɃA�N�Z�X���܂��B
���̃��[�N�X�e�[�V������IP Phone���u���b�N���Ă��鉹��VLAN�ł�1�̃N���C�A���g�̂�����܂��B�����z�X�g ���[�h���C�l�[�u���ɂ���ۂ�802.1x���[�U���v���C�}��VLAN�ŔF����Ă���ꍇ�A802.1x�F���v���C�}��VLAN�Ő�������Ή���VLAN�֖������ɃN���C�A���g��lj��ł��܂��B
802.1x���|�[�g�ŃC�l�[�u���ɂ���ƁA����VLAN�Ɠ����悤�Ƀ|�[�gVLAN��ݒ�ł��܂���B
dot1x multiple-hosts �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p����802.1x�|�[�g�Ń|�[�g �Z�L�����e�B���C�l�[�u���ɂł��܂��B switchport port-security �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���ă|�[�g�Ƀ|�[�g �Z�L�����e�B��ݒ肵�Ȃ���Ȃ�܂���B�����z�X�g ���[�h���C�l�[�u���̏ꍇ�A802.1x���|�[�g��F���A�N���C�A���g���܂ނ��ׂĂ�MAC�A�h���X�ւ̃l�b�g���[�N �A�N�Z�X���|�[�g �Z�L�����e�B���Ǘ����܂��B���̏ꍇ�A802.1x�����z�X�g�|�[�g����ăl�b�g���[�N�փA�N�Z�X�ł���N���C�A���g�̐��ƃO���[�v�𐧌��ł��܂��B
���Ƃ��A�X�C�b�`�ɂ����āA802.1x�ƃ|�[�g �Z�L�����e�B�̊Ԃɂ͎��̂悤�ȑ��ݍ�p������܂��B
�N���C�A���g���F����ă|�[�g �Z�L�����e�B���蓮�Őݒ肳�ꂽ�ꍇ�A�Z�L���A �z�X�g �e�[�u�����̃G���g����ۏ���܂��i�|�[�g �Z�L�����e�B�̃X�^�e�B�b�N �G�[�W���O���C�l�[�u���ɂȂ��Ă��Ȃ��ꍇ�j�B
�N���C�A���g���F����Ă��Z�L�����e�B �e�[�u���������ς��̏ꍇ�A�Z�L���A�ᔽ���������܂��B����́A�Z�L���A �z�X�g�̍ő吔���X�^�e�B�b�N�ɐݒ肳��Ă��邩�A�܂��̓Z�L���A �z�X�g �e�[�u���ł̃N���C�A���g�̗L�������ꂽ�ꍇ�ɔ������܂��B�N���C�A���g�̃A�h���X�̗L�������ꂽ�ꍇ�A���̃N���C�A���g�̃Z�L���A �z�X�g �e�[�u���̈ʒu�͑��̃z�X�g�Ɏ���đ����܂��B���̏ꍇ�A���I�ȍĔF���C�l�[�u���ɂ��A�ĔF�̊Ԋu���|�[�g �Z�L�����e�B�̃G�[�W���O�^�C�����Z�����Ȃ���Ȃ�܂���B
�|�[�g �Z�L�����e�B�ᔽ���[�h�́A�Z�L�����e�B�ᔽ�̓���ʂ��܂��B�ڍׂɂ��ẮA �Z�L�����e�B�ᔽ ���Q�Ƃ��Ă��������B
�X�C�b�`��ł�802.1X�ƃ|�[�g �Z�L�����e�B�̃C�l�[�u���̏ڍׂɂ��ẮA �����z�X�g�̃C�l�[�u���� ����� �|�[�g �Z�L�����e�B�̐ݒ� ���Q�Ƃ��Ă��������B
���[�U�P�ʂ�ACL���C�l�[�u���ɂ��āA802.1x�F���[�U���قȂ郌�x���̃l�b�g���[�N �A�N�Z�X��T�[�r�X���g����悤�ɂł��܂��B���[�U�P�ʂ�ACL�A�g���r���[�g��RADIUS�T�[�o����擾���A���[�U �Z�b�V������Ԃɑ��ēK�p����܂��B
�X�C�b�`�́A���[�U�P��ACL�A���[�^ACL�A�܂��̓|�[�gACL�̂����A1�^�C�v�݂̂��T�|�[�g���܂��B���[�^ACL�̓��C��3�C���^�[�t�F�C�X�ɓK�p����A�|�[�gACL�̓��C��2�܂��̓��C��3�C���^�[�t�F�C�X�ɓK�p����܂��B����|�[�g���|�[�g �x�[�XACL�ɐݒ肳��Ă���ꍇ�A���[�^ �x�[�XACL��ݒ肵�悤�Ƃ���ƃX�C�b�`����������ۂ��܂��B�ΏƓI�ɁA����|�[�g�����[�^ �x�[�XACL�ɐݒ肳��Ă���ꍇ�A�|�[�g �x�[�XACL��ݒ肵�悤�Ƃ���ƃX�C�b�`����������ۂ��܂��B�ݒ�̖������������ɂ́ARADIUS�T�[�o�ɕۑ����郆�[�U �v���t�@�C����T�d�Ɍv�悵�Ȃ���Ȃ�܂���B
1�|�[�g���T�|�[�g����802.1x�F���[�U��1���[�U�݂̂ł��B�����z�X�g ���[�h���|�[�g�ŃC�l�[�u���̏ꍇ�A���[�U�P��ACL�A�g���r���[�g�͊֘A�|�[�g�Ńf�B�Z�[�u���ł��B
QoS �}�b�v�����VLAN�}�b�v�̓��[�U�P��ACL���T�|�[�g���܂���B
RADIUS�́AVendor Specific Attribute�Ȃǂ̃��[�U�P�ʃA�g���r���[�g���T�|�[�g���܂��B������Vendor-Specific Attribute�iVSA�j�́A�I�N�e�b�g �X�g�����O�`���ŁA�F�v���Z�X���ɃX�C�b�`�ɓn����܂��B���[�U�P��ACL�Ɏg�p�����VSA�́A��͕��ł� inacl#< n > �ŁA�o�͕��ł� outacl#< n > �ł��BMAC ACL�́A�o�͕��̂݃T�|�[�g����܂��B
�g��ACL�\���`���݂̂��g�p���āARADIUS�T�[�o�ɕۑ����郆�[�U�P�ʂ̐ݒ���`���܂��BRADIUS�T�[�o�����`���n�����ꍇ�A�g�������K�����g�p���č쐬����܂��B�������A�t�B���^ ID�A�g���r���[�g���g�p����ꍇ�A�W��ACL���������Ƃ��ł��܂��B
�t�B���^ID�A�g���r���[�g���g�p���āA���łɃX�C�b�`�ɐݒ肳��Ă��钅�M�܂��͔��MACL���w��ł��܂��B�A�g���r���[�g�ɂ́AACL�ԍ��ƁA���̌�ɓ�̓t�B���^�����O���o�̓t�B���^�����O������ .in �܂��� .out ���܂܂�Ă��܂��BRADIUS�T�[�o�� .in �܂��� .out �\���������Ȃ��ꍇ�A�A�N�Z�X ���X�g�̓f�t�H���g�Ŕ��MACL�ɓK�p����܂��X�C�b�`�ł́AIP�W�������IP�g���A�N�Z�X ���X�g���T�|�[�g����Ă��܂��i�ԍ���1�`199�A1300�`2699�j�B
VSA�̗�ɂ��ẮA �x���_�[�ŗL��RADIUS�A�g���r���[�g�p�ɃX�C�b�`��ݒ肷���@ ���Q�Ƃ��Ă��������BACL�̐ݒ�̏ڍׂɂ��ẮA ACL�ɂ��l�b�g���[�N �Z�L�����e�B�̐ݒ� ���Q�Ƃ��Ă��������B
VLAN���蓖�Ă��g�p���ē���̃��[�U�ɑ��ăl�b�g���[�N �A�N�Z�X�𐧌��ł��܂��BVLAN���蓖�Ăł́A802.1x�F�|�[�g�̓|�[�g�ɐڑ������N���C�A���g�̃��[�U���Ɋ�Â���VLAN�Ɋ��蓖�Ă��܂��BRADIUS�T�[�o �f�[�^�x�[�X�́A���[�U����VLAN�̃}�b�s���O���ێ����܂��B�|�[�g��802.1x�F������������ARADIUS�T�[�o��VLAN���蓖�Ă����[�U�ɑ��M���܂��B
�X�C�b�`��RADIUS�T�[�o��ݒ肷��ہA802.1x��VLAN���蓖�Ăɂ͎��̓���������܂��B
�ݒ�G���[�ɂ́A���[�e�b�h �|�[�g�ւ�VLAN�̎w��A�Ԉ����VLAN ID�A���݂��Ȃ��܂��͓����i���[�e�b�h �|�[�g�́j��VLAN ID�A���邢�͉���VLAN ID�ւ̊��蓖�Ď��s�A�Ȃǂ�����܂��B
VLAN���蓖�Ă�ݒ肷��ɂ́A�ȉ������s����K�v������܂��B
�A�g���r���[�g[64]�́A�l VLAN �itype 13�j�łȂ���Ȃ�܂���B�A�g���r���[�g[65]�́A�l 802 �itype 6�j�łȂ���Ȃ�܂���B�A�g���r���[�g[81]�ɂ́A802.1x�F���[�U�Ɋ��蓖�Ă�ꂽ VLAN�� ���w�肵�܂��B
VSA�̏ڍׂɂ��ẮA �x���_�[�ŗL��RADIUS�A�g���r���[�g�p�ɃX�C�b�`��ݒ肷���@ ���Q�Ƃ��Ă��������B
802.1x�|�[�g�x�[�X�̔F�́A����2�̃g�|���W�[�ŃT�|�[�g����Ă��܂��B
�|�C���g�c�[�|�C���g�i 802.1x�f�o�C�X�̖��� ���Q�Ɓj�ł́A802.1x�Ή��̃X�C�b�` �|�[�g�ɐڑ��ł���N���C�A���g��1�䂾���ł��B�X�C�b�`�́A�|�[�g�̃����N �X�e�[�g���A�b�v�ɕω�����ƁA�N���C�A���g�����o���܂��B�N���C�A���g�����O�I�t���邩�A�ʂ̃N���C�A���g�Ɍ��������ƁA�X�C�b�`�̓|�[�g�̃����N �X�e�[�g���_�E���ɕύX���A�|�[�g�͖����X�e�[�g�ɖ߂�܂��B
����LAN�̗� �ɁA����LAN�ł�802.1x�|�[�g�x�[�X�̔F�������܂��B802.1x�|�[�g�͕����z�X�g �|�[�g�Ƃ��Đݒ肳��Ă���A���̃|�[�g��1�̃N���C�A���g���F�����Ƃ����ɋ��X�e�[�g�ɂȂ�܂��B�|�[�g���������ƁA���̃|�[�g�ɊԐړI�ɐڑ�����Ă���c��̃z�X�g�͂��ׂāA�l�b�g���[�N �A�N�Z�X��������܂��B�|�[�g�������ɂȂ�Ɓi�ĔF�����s���邩�AEAPOL���O�I�t ���b�Z�[�W����M����j�A�X�C�b�`�́A�ڑ����Ă��邷�ׂẴN���C�A���g�ɑ��ăl�b�g���[�N �A�N�Z�X�����ۂ��܂��B���̃g�|���W�[�ł́A����A�N�Z�X �|�C���g�́A�ڑ����Ă���N���C�A���g��F�������������A�X�C�b�`�ɑ��ăN���C�A���g�Ƃ��ċ@�\���܂��B
�����ł́A�X�C�b�`��802.1x�|�[�g�x�[�X�̔F��ݒ肷��菇��������܂��B
802.1x�̃f�t�H���g�ݒ� �ɁA802.1x�̃f�t�H���g�ݒ�������܂��B
802.1x�F�ؐݒ莞�̒��ӎ����Ɠ�������́A���̂Ƃ���ł��B
802.1x�|�[�g�x�[�X�̔F���C�l�[�u���ɂ���ɂ́AAAA���C�l�[�u���ɂ��ĔF�ؕ��X�g���w�肷��K�v������܂��B���X�g�́A���[�U�F�̂��߃N�G�����M���s���菇�ƔF�ؕ���L�q�������̂ł��B
�\�t�g�E�F�A�́A���X�g���̍ŏ��̕���g�p���ă��[�U��F���܂��B���̕�ʼn����������Ȃ������ꍇ�A�\�t�g�E�F�A�͂��̃��X�g���玟�̕��I�����܂��B���̃v���Z�X�́A���X�g���̔F�ؕ�ɂ��ʐM���������邩�A��`���ꂽ������ׂĎ����܂ő����܂��B���̃T�C�N���̂����ꂩ�̒n�_�ŔF�����s����ƁA�F�v���Z�X�͒�~���A���̔F�ؕ����s����邱�Ƃ͂���܂���B
���[�U�P��ACL����� VLAN���蓖�Ă��\�ɂ���ɂ́AAAA�����C�l�[�u���ɂ��ăl�b�g���[�N�֘A�̂��ׂẴT�[�r�X�v���ɑ��ăX�C�b�`��ݒ肷��K�v������܂��B
802.1x�|�[�g�x�[�X�̔F��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B���̎菇�͕K�{�ł��B
|
|
||
|
|
||
|
|
authentication �R�}���h�ɖ��O�t�����X�g�� �w�肳��Ȃ� �ꍇ�Ɏg�p�����f�t�H���g�̃��X�g���쐬����ɂ́A default �L�[���[�h�̌��Ƀf�t�H���g�̏Ŏg�p�������w�肵�܂��B�f�t�H���g�̕��X�g�́A�����I�ɂ��ׂẴC���^�[�t�F�C�X�ɓK�p����܂��B |
|
|
|
�i�C�Ӂj���[�U�P��ACL��VLAN���蓖�ĂȂǁA�l�b�g���[�N�֘A�̂��ׂẴT�[�r�X�v���ɑ��郆�[�URADIUS�����X�C�b�`�ɐݒ肵�܂��B |
|
|
|
�i�C�Ӂj�R���t�B�M�����[�V���� ���[�h �R�}���h���C�l�[�u���ɂ��ă��[�U�P��ACL���g�p�\�ɂ���悤�ɃX�C�b�`��ݒ肵�܂��B |
|
|
|
�C���^�[�t�F�C�X �R���t�B�M�����[�V���� ���[�h���J�n���A�N���C�A���g�ɐڑ����ꂽ�C���^�[�t�F�C�X�̒��ŁA802.1x�F���C�l�[�u���ɂ�����̂��w�肵�܂��B |
|
|
|
�C���^�[�t�F�C�X���802.1x�F���C�l�[�u���ɂ��܂��B
�g�����N�A�_�C�i�~�b�N�A�_�C�i�~�b�N �A�N�Z�X�A |
|
|
|
||
|
|
�o�͂��ꂽ802.1x Port Summary�Z�N�V������Status�J�����ׂĂ��������B enabled �X�e�[�^�X�́A�|�[�g����l auto �܂��� force-unauthorized �ɐݒ肳��Ă��邱�Ƃ��Ӗ����܂��B |
|
|
|
AAA���f�B�Z�[�u���ɂ���ɂ́A no aaa new-model �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B802.1x AAA�F���f�B�Z�[�u���ɂ���ɂ́A no aaa authentication dot1x { default | list-name } method1 [ method2 ...] �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��BAAA�����f�B�Z�[�u���ɂ���ɂ́A no aaa authorization �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B802.1x�F���f�B�Z�[�u���ɂ���ɂ́A dot1x port-control force-authorized �܂��� no dot1x port-control �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�ł́A�|�[�gFast Ethernet 0/1���AAA�����802.1x���C�l�[�u���ɂ��܂��B
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
RADIUS�Z�L�����e�B �T�[�o�́A�z�X�g���܂���IP�A�h���X�A�z�X�g���Ɠ����UDP�|�[�g�ԍ��A���邢��IP�A�h���X�Ɠ����UDP�|�[�g�ԍ��Ŏ��ʂ��܂��BIP�A�h���X��UDP�|�[�g�ԍ��̑g�ݍ��킹�ɂ��A��ӂ̎��ʎq���쐬����A����ɂ��A�T�[�o��̓����IP�A�h���X�̕�����UDP�|�[�g��RADIUS�v���𑗐M�ł��܂��B�����RADIUS�T�[�o���2�̈قȂ�z�X�g �G���g���������T�[�r�X�i���Ƃ��A�F�j��ݒ肵�Ă���ꍇ�A���Ƃ���ݒ肳�ꂽ�z�X�g �G���g���́A�ŏ��̃G���g���̃t�F�[�� �I�[�o�[ �o�b�N�A�b�v�Ƃ��ċ@�\���܂��BRADIUS�̃z�X�g �G���g���́A�ݒ肳�ꂽ�����Ŏ�����܂��B
�X�C�b�`���RADIUS�T�[�o �p�����[�^��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B���̎菇�͕K�{�ł��B
�w�肳�ꂽRADIUS�T�[�o���폜����ɂ́A no radius-server host { hostname | ip-address }�O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�́AIP�A�h���X��172.20.39.46�̃T�[�o��RADIUS�T�[�o�Ƃ��Ďw�肵�A�|�[�g1612�����|�[�g�Ƃ��Ďg�p���A�Í�������RADIUS�T�[�o��̌��� rad123 �ɐݒ肵�܂��B
Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
radius-server host �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p����ƁA���ׂĂ�RADIUS�T�[�o�ɑ��ă^�C���A�E�g�A�đ��M�A����шÍ������̒l���O���[�o���ɐݒ�ł��܂��B�T�[�o�P�ʂł����̃I�v�V������ݒ肷��ꍇ�́A radius-server timeout �A radius-server retransmit �A����� radius-server key �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ڍׂɂ��ẮA ���ׂĂ�RADIUS�T�[�o�ɑ���ݒ� ���Q�Ƃ��Ă��������B
����ɁARADIUS�T�[�o�ł������̐ݒ���s���K�v������܂��B���̐ݒ�Ƃ́A�X�C�b�`��IP�A�h���X�A����уT�[�o�ƃX�C�b�`�ŋ��p����L�[ �e�L�X�g �X�g�����O�ł��B�ڍׂɂ��ẮARADIUS�T�[�o�̃}�j���A�����Q�Ƃ��Ă��������B
802.1x�N���C�A���g�̒��I�ȍĔF���C�l�[�u���ɂ��āA���̔����Ԋu���w��ł��܂��B�ĔF�̊Ԋu���w�肵�Ȃ������ꍇ�́A�ĔF��3600�b���Ƃɍs���܂��B
802.1x�N���C�A���g�����ĔF�̓O���[�o���ݒ�ŁA�X�̃|�[�g�ɐڑ����Ă���N���C�A���g�P�ʂł͐ݒ�ł��܂���B����̃|�[�g�ɐڑ����Ă���N���C�A���g���蓮�ōĔF����ɂ́A �蓮�ɂ��|�[�g�ڑ��N���C�A���g�̍ĔF�� ���Q�Ƃ��Ă��������B
�N���C�A���g�̒��I�ȍĔF���C�l�[�u���ɂ��āA�ĔF�����s����Ԋu�i�b���j�ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
���I�ȍĔF���f�B�Z�[�u���ɂ���ɂ́A no dot1x re-authentication �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B�ĔF�����s����Ԋu���f�t�H���g�̕b���ɖ߂��ɂ́A no dot1x timeout re-authperiod �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�ł́A���I�ĔF���C�l�[�u���ɂ��A�ĔF�����s����Ԋu��4000�b�ɐݒ肵�܂��B
Switch(config)# dot1x re-authentication
dot1x re-authenticate interface interface-id �C�l�[�u��EXEC�R�}���h���g�p����ƁA����̃|�[�g�ɐڑ����Ă���N���C�A���g���蓮�ł��ł��ĔF�ł��܂��B���I�ȍĔF���C�l�[�u���܂��̓f�B�Z�[�u���ɂ���ꍇ�́A ���I�ȍĔF�̃C�l�[�u���� ���Q�Ƃ��Ă��������B
���̗�ł́A�|�[�gFast Ethernet 0/1�ɐڑ������N���C�A���g���蓮�ōĔF���܂��B
Switch# dot1x re-authenticate interface fastethernet0/1
�X�C�b�`���N���C�A���g��F�ł��Ȃ������ꍇ�́A�X�C�b�`�͈�莞�ԃA�C�h����Ԃ𑱂��A���̌�Ď��s���܂��B�A�C�h�����Ԃ́Aquiet-period�̒l�ɂ���Č��܂�܂��B�N���C�A���g������ȃp�X���[�h��������߁A�N���C�A���g�̔F�؎��s���N����\��������܂��B�f�t�H���g��菬�������l���͂��邱�ƂŁA���[�U�ɑ��鉞�����Ԃ�Z�k�ł��܂��B
�N���C�A���g�́A�X�C�b�`�����EAP�v��/�A�C�f���e�B�e�B �t���[���ɁAEAP����/�A�C�f���e�B�e�B �t���[���ʼn������܂��B�X�C�b�`�͂��̉�������M���Ȃ������ꍇ�A��莞�ԁi�đ��M���ԁj�ҋ@���Ă���A�t���[�����đ��M���܂��B
�X�C�b�`���N���C�A���g�̒ʒm��ҋ@���鎞�Ԃ�ύX����ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
|
|
||
|
|
�X�C�b�`���N���C�A���g�����EAP�v��/�A�C�f���e�B�e�B �t���[���ɑ��鉞����҂��A�v�����đ��M����܂ł̕b����ݒ肵�܂��B |
|
|
|
||
|
|
||
|
|
�f�t�H���g�̍đ��M���Ԃɖ߂��ɂ́A no dot1x timeout tx-period �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�ł́A�X�C�b�`���N���C�A���g�����EAP�v��/�A�C�f���e�B�e�B �t���[���ɑ��鉞����҂��A�v�����đ��M����܂ł̕b����60�b�ɐݒ肵�܂��B
�X�C�b�`�ƃN���C�A���g�Ԃ̍đ��M���Ԃ̕ύX�����łȂ��A�i��������M���Ȃ������ꍇ�j�F�v���Z�X���ĊJ����܂łɁA�X�C�b�`���N���C�A���g��EAP�v��/�A�C�f���e�B�e�B �t���[���𑗐M�����ύX�ł��܂��B
�X�C�b�`�ƃN���C�A���g�Ԃ̃t���[���đ��M��ݒ肷��ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
|
|
||
|
|
�X�C�b�`���A�F�v���Z�X���ĊJ����܂ł�EAP�v��/�A�C�f���e�B�e�B �t���[�����N���C�A���g�ɑ��M�����ݒ肵�܂��B�w��ł���͈͂�1�`10�ŁA�f�t�H���g��2�ł��B |
|
|
|
||
|
|
||
|
|
�f�t�H���g�̍đ��M�ɖ߂��ɂ́A no dot1x max-req �O���[�o�� �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�ł́A�F�v���Z�X���ĊJ����܂łɁA�X�C�b�`��EAP�v��/�A�C�f���e�B�e�B �t���[���𑗐M�����5�ɐݒ肵�܂��B
����LAN�̗� �̂悤�ɁA�����̃z�X�g��1��802.1x�Ή��|�[�g�ɐڑ��ł��܂��B���̃��[�h�ł́A�ڑ��z�X�g�̂����ꂩ1�������������A���ׂẴz�X�g���l�b�g���[�N �A�N�Z�X��������܂��B�|�[�g�������i�ĔF�����s���邩EAPOL���O�I�t ���b�Z�[�W����M�����ꍇ�j�ɂȂ�ƁA�ڑ����ꂽ���ׂẴN���C�A���g�̃l�b�g���[�N �A�N�Z�X�����ۂ���܂��B
�����z�X�g ���[�h���C�l�[�u���̏ꍇ�A802.1x���|�[�g�̔F�Ɏg�p���A�N���C�A���g���܂ނ��ׂĂ�MAC�A�h���X�ւ̃l�b�g���[�N �A�N�Z�X���|�[�g �Z�L�����e�B���Ǘ����܂��B
dot1x port-control �C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h�� auto �ɐݒ肳��Ă���802.1x���|�[�g��ŁA�����̃z�X�g�i�N���C�A���g�j�ƃ|�[�g �Z�L�����e�B��������ɂ́A�C�l�[�u��EXEC���[�h�Ŏ��̎菇�����s���܂��B
�|�[�g��̕����|�[�g���f�B�Z�[�u���ɂ���ɂ́Ano dot1x multiple-hosts�C���^�[�t�F�C�X �R���t�B�M�����[�V���� �R�}���h���g�p���܂��B
���̗�ł́AFast Ethernet 0/1�|�[�g���802.1x���C�l�[�u���ɂ��A�����|�[�g�������܂��B
Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
���ׂẴC���^�[�t�F�C�X��802.1x���v����\������ɂ́A show dot1x statistics �C�l�[�u��EXEC�R�}���h���g�p���܂��B����̃C���^�[�t�F�C�X��802.1x���v����\������ɂ́A show dot1x statistics interface interface-id �C�l�[�u��EXEC�R�}���h���g�p���܂��B
�X�C�b�`�ɂ���802.1x�Ǘ�����ѓ���̃X�e�[�^�X��\������ɂ́A show dot1x �C�l�[�u��EXEC�R�}���h���g�p���܂��B����̃C���^�[�t�F�C�X��802.1x�Ǘ�����ѓ���̃X�e�[�^�X��\������ɂ́A show dot1x interface interface-id �C�l�[�u��EXEC�R�}���h���g�p���܂��B
�\�������t�B�[���h�̏ڍׂɂ��ẮA���̃����[�X�̃R�}���h ���t�@�����X���Q�Ƃ��Ă��������B
All contents copyright (C) 1992--2003 Cisco Systems K.K.
