この章では、Catalyst 3550スイッチでIEEE 802.1Xポートベースの認証を設定して、不正なデバイス(クライアント)がネットワークにアクセスするのを防止する方法について説明します。
IEEE 802.1Xポートベースの認証の概要
IEEE 802.1X規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルについて定義し、適切に認証されていないかぎり、許可のないクライアントが公的にアクセス可能なポートを介してLANに接続するのを防ぎます。認証サーバは、スイッチ ポートに接続された各クライアントを認証してから、スイッチまたはLANが提供するサービスを利用できるようにします。
クライアントが認証されるまでは、IEEE 802.1Xアクセス制御によって、クライアントに接続したポートを経由するExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning-Tree Protocol(STP;スパニングツリー プロトコル)トラフィックだけが許可されます。認証が成功すると、通常のトラフィックがポートを通過できます。
ここでは、IEEE 802.1Xポートベース認証について説明します。
- デバイスの役割
- 認証の開始とメッセージ交換
- 許可ステートおよび無許可ステートのポート
- IEEE 802.1Xアカウンティング
- IEEE 802.1XアカウンティングAVのペア
- IEEE 802.1Xホスト モード
- IEEE 802.1Xとポート セキュリティの使用方法
- IEEE 802.1Xと音声VLANポートの使用方法
- IEEE 802.1XとVLAN割り当ての使用方法
- IEEE 802.1XとゲストVLANの使用方法
- IEEE 802.1XとWake-on-LANの使用方法
- IEEE 802.1Xとユーザ単位のACLの使用方法
デバイスの役割
IEEE 802.1Xポートベース認証を使用すると、ネットワーク内のデバイスは 図8-1 のような特定の役割が割り当てられます。
図8-1 IEEE 802.1Xデバイスの役割
- クライアント ― LANおよびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステーション)。ワークステーションは、Microsoft Windows XPオペレーティング システムに付属しているようなIEEE 802.1X準拠のクライアント ソフトウェアを実行している必要があります(クライアントは、IEEE 802.1X規格の supplicant になります)。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP
- 認証サーバ ― 実際にクライアントの認証を行います。認証サーバは、クライアントのIDを確認し、クライアントからLANおよびスイッチ サービスへのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはクライアントにトランスペアレントです。このリリースでは、認証サーバとしてExtensible Authentication Protocol(EAP)拡張機能を備えたRADIUSセキュリティ システムのみサポートされています。この認証サーバは、Cisco Secure Access Control Serverバージョン3.0以降で使用可能です。RADIUSは、RADIUSサーバと1つまたは複数のRADIUSクライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。
- スイッチ (エッジ スイッチまたは無線アクセス ポイント) ― クライアントの認証ステータスに基づいてネットワークへの物理的なアクセスを制御します。スイッチは、クライアントと認証サーバとの間の媒介(プロキシ)として機能し、クライアントにID情報を要求し、その情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチにはRADIUSクライアントが組み込まれています。RADIUSクライアントは、EAPフレームのカプセル化/カプセル化解除、および認証サーバとの相互作用の役割を果たします。スイッチがEAPOLフレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。EAPフレームはカプセル化の間は変更されず、認証サーバはネイティブのフレーム形式でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。
媒介として機能するデバイスには、Catalyst 3750、Catalyst 3650、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUSクライアントおよびIEEE 802.1Xをサポートするソフトウェアを実行している必要があります。
認証の開始とメッセージ交換
スイッチまたはクライアントは、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したか、または定期的にポートがアップで未認証状態の間に、認証を開始します。スイッチはEAP要求/アイデンティティ フレームをクライアントに送信してアイデンティティを要求します。フレームの受信後、クライアントはEAP応答/アイデンティティ フレームで応答します。
ただし、起動中にクライアントがスイッチからEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、EAPOL開始フレームを送信して認証を開始できます。これにより、スイッチはクライアントのアイデンティティを要求するようになります。
クライアントがそのアイデンティティを供給すると、スイッチは媒介としての役割を開始し、認証が成功または失敗するまでクライアントと認証サーバとの間でEAPフレームを受け渡します。認証が成功すると、スイッチのポートは許可された状態になります。詳細については、 許可ステートおよび無許可ステートのポート を参照してください。
特定のEAPフレーム交換は、使用される認証方式に依存します。 図8-2 に、RADIUSサーバでOne-Time-Password(OTP;ワンタイム パスワード)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。
図8-2 メッセージ交換
許可ステートおよび無許可ステートのポート
スイッチ ポートのステートによって、スイッチがクライアントにネットワークのアクセスを許可します。ポートは、 無許可 ステートで開始します。このステートにある間は、音声VLANポートに設定されていないポートは、IEEE 802.1X、CDP、およびSTPパケットを除いてすべての入力トラフィックおよび出力トラフィックが許可されていません。クライアントが正常に認証されると、ポートは 許可 ステートに移行し、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。ポートが音声VLANポートに設定されている場合、クライアントが正常に認証される前にポートはVoice over IP(VoIP)トラフィックおよびIEEE 802.1Xプロトコル パケットを許可します。
IEEE 802.1Xをサポートしないクライアントが無許可のIEEE 802.1Xポートに接続している場合は、スイッチはクライアントにアイデンティティを要求します。この場合、クライアントは要求に応答できないので、ポートは無許可ステートのままで、クライアントはネットワーク アクセスが許可されません。
対照的に、IEEE 802.1X対応クライアントがIEEE 802.1X標準を実行していないポートに接続している場合、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、クライアントは要求を一定の回数だけ送信します。応答が得られないので、クライアントはポートが許可ステートにあるものとしてフレームの送信を開始します。
ポートの許可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと以下のキーワードを使用します。
- force-authorized ― IEEE 802.1X認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行させます。ポートは、クライアントのIEEE 802.1Xベースの認証なしで通常のトラフィックを送受信します。これがデフォルト設定です。
- force-unauthorized ― ポートを無許可ステートのままにし、クライアントが認証を試みてもすべて無視します。スイッチは、インターフェイスを介してクライアントに認証サービスを提供できません。
- auto ― IEEE 802.1X認証をイネーブルにして、ポートを無許可ステートで開始させ、EAPOLフレームだけがポート経由で送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、EAPOL開始フレームを受信すると、認証プロセスが開始されます。スイッチは、クライアントのアイデンティティを要求し、クライアントと認証サーバ間で認証メッセージのリレーを開始します。スイッチはネットワークにアクセスしようとする各クライアントを、クライアントのMAC(メディア アクセス制御)アドレスを使用して一意に識別します。
クライアントが正常に認証されると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントのフレームはすべてそのポート経由で送受信を許可されます。認証が失敗した場合は、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された試行回数のあとでもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。
クライアントはログオフするとEAPOLログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに移行します。
ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。
IEEE 802.1Xアカウンティング
IEEE 802.1X規格には、ネットワーク アクセスに対するユーザの許可と認証方法は定義されていますが、ネットワーク使用率を監視するものではありません。IEEE 802.1Xアカウンティングは、デフォルトでディセーブルに設定されています。IEEE 802.1Xアカウンティングをイネーブルにして、IEEE 802.1X対応ポートで次の内容をモニタできます。
スイッチはIEEE 802.1Xアカウンティング情報を記録しません。その代わりに、この情報をRADIUSサーバに送信します。RADIUSサーバは、アカウンティング メッセージを記録するように設定する必要があります。
IEEE 802.1XアカウンティングAVのペア
RADIUSサーバに送信される情報は、Attribute-Value(AV)のペア形式で表示されます。AVペアは異なるアプリケーションにデータを提供します(たとえば、課金アプリケーションはRADIUSパケットのAcct-Input-OctetsまたはAcct-Output-Octets属性にある情報を必要とする場合があります)。
AVペアはIEEE 802.1Xアカウンティング用に設定されたスイッチによって自動的に送信されます。次の3タイプのRADIUSアカウンティング パケットがスイッチによって送信されます。
表8-1 に、スイッチによって送信されたときのAVペアを示します。
|
以下の条件でのみ有効 1 |
||||
debug radius accounting
イネーブルEXECコマンドを入力すると、スイッチによって送信されるAVペアを表示できます。このコマンドの詳細については、次のURLの『
Cisco IOS Debug Command Reference』Release 12.2
を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122sup/122debug
AVペアの詳細については、RFC 3580「IEEE 802.1X Remote Authentication Dial In User Service(RADIUS)Usage Guidelines」を参照してください。
IEEE 802.1Xホスト モード
IEEE 802.1Xポートを1つのホスト モードまたは複数のホスト モードに設定できます。1つのホスト モード( 図8-1IEEE 802.1Xデバイスの役割 を参照)では、IEEE 802.1X対応のスイッチ ポートに接続できるクライアントは1台だけです。スイッチは、ポートのリンク ステートがアップに変化すると、EAPOLフレームを送信してクライアントを検出します。クライアントがログオフするか、別のクライアントに交換されると、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
複数のホスト モードでは、複数のホストを単一IEEE 802.1X対応ポートに接続できます。 図8-3複数のホスト モードの例 に、無線LANでのIEEE 802.1Xポートベースの認証を示します。このモードでは、接続クライアントのいずれか1つだけが許可されれば、すべてのクライアントがネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとしても機能します。
複数のホスト モードがイネーブルの場合、IEEE 802.1Xをポートの認証に使用し、クライアントを含むすべてのMACアドレスへのネットワーク アクセスをポート セキュリティが管理します。
図8-3 複数のホスト モードの 例
IEEE 802.1Xとポート セキュリティの使用方法
1つのホスト モードでも複数のホスト モードでも、IEEE 802.1Xポートでポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定しなければなりません)。ポート上でポート セキュリティおよびIEEE 802.1Xがイネーブルの場合、IEEE 802.1Xがポートを認証し、ポート セキュリティがクライアントのMACアドレスを含むすべてのMACアドレスへのネットワーク アクセスを管理します。この場合、IEEE 802.1Xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
たとえば、スイッチにおいて、IEEE 802.1Xとポート セキュリティの間には次のような相互作用があります。
- クライアントが認証され、ポート セキュリティ テーブルがいっぱいになっていない場合、クライアントのMACアドレスがセキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。
クライアントが認証されてポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリが保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。
クライアントが認証されてもセキュリティ テーブルがいっぱいの場合、セキュア違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブルの位置は他のホストに取って代わられます。
ポート セキュリティ違反モードは、セキュリティ違反の動作を判別します。詳細については、 セキュリティ違反 を参照してください。
- IEEE 802.1Xクライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリがクリアされます。ここで通常の認証が実行されます。
- ポートが管理上の理由からシャットダウンされる場合、ポートは無許可ステートになりすべてのダイナミック エントリはセキュア ホスト テーブルから削除されます。
- IEEE 802.1Xポートでは、1つのホスト モードでも複数のホスト モードでも、ポート セキュリティおよび音声VLAN(仮想LAN)を同時に設定できます。ポート セキュリティは、Voice VLAN Identifier(VVID)およびPort VLAN Identifier(PVID;ポートVLAN ID)の両方に適用されます。
- ポート セキュリティ テーブルからIEEE 802.1Xクライアント アドレスを手動で削除するときは、 dot1x re-authenticate イネーブルEXECコマンドを入力して、クライアントを再認証することを推奨します。
スイッチのポート セキュリティのイネーブル化については、 ポート セキュリティの設定 を参照してください。
IEEE 802.1Xと音声VLANポートの使用方法
音声VLANポートは、2つのVLAN識別子に関連付けられた特別なアクセス ポートです。
- IP Phone間の音声トラフィックを搬送するVVID。VVIDは、ポートに接続しているIP phoneの設定に使用されます。
- IP Phoneを通じてスイッチと接続しているワークステーション間のデータ トラフィックを搬送するPVID。PVIDは、ポートのネイティブVLANです。
1つのホスト モードでは、IP Phoneのみが音声VLANで許可されます。複数のホスト モードでは、要求元がPVIDで認証されたあとに追加のクライアントが音声VLANにトラフィックを送信できます。複数のホスト モードがイネーブルの場合、要求元認証は、PVIDおよびVVIDの両方に影響します。
リンクがあると音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージのあとにデバイスMACアドレスが表示されます。Cisco IP Phoneは、ほかのデバイスからのCDPメッセージを転送しません。その結果、複数のCisco IP Phoneが連続して接続されている場合は、スイッチは直接接続されているCisco IP Phoneのみを認識します。IEEE 802.1Xが音声VLANポート上でイネーブルの場合、スイッチは2ホップ以上離れた認証されないCisco IP Phoneからのパケットを廃棄します。
IEEE 802.1Xをポートでイネーブルにすると、音声VLANと同じようにポートVLANを設定できません。
音声VLANの詳細については、 第13章 「音声VLANの設定」 を参照してください。
IEEE 802.1XとVLAN割り当ての使用方法
VLAN割り当てを使用して、特定のユーザのネットワーク アクセスを制限できます。ポートのIEEE 802.1X認証が成功すると、RADIUSサーバはVLAN割り当てを送信して、スイッチ ポートを設定します。RADIUSサーバ データベースは、スイッチ ポートに接続されたクライアントのユーザ名に基づくVLANを割り当てる、ユーザ名とVLANのマッピングを維持します。
スイッチとRADIUSサーバを設定する際、IEEE 802.1XとVLAN割り当てには次の特性があります。
- RADIUSサーバがVLANを割り当てていないか、またはIEEE 802.1X許可がディセーブルの場合、ポートは認証が成功したあとにアクセスVLANに設定されます。
- IEEE 802.1X許可がイネーブルの場合でも、RADIUSサーバからのVLAN情報が無効の場合、ポートは無許可ステートに戻り、設定済みのアクセスVLANに保持されます。これにより、設定エラーによって不適切なVLAN上にポートが突然現れることを防止します。
設定エラーには、ルーテッド ポートへのVLANの指定、間違ったVLAN ID、存在しないかまたは内部(ルーテッド ポート)のVLAN ID、音声VLAN IDへの割り当て試行、などがあります。
- IEEE 802.1X許可がイネーブルでRADIUSサーバからのすべての情報が有効の場合、ポートは認証後指定したVLANに配置されます。
- IEEE 802.1Xポート上で複数のホスト モードがイネーブルの場合、すべてのホストは、最初に認証されたホストとして同じVLAN(RADIUSサーバで指定された)内に配置されます。
- IEEE 802.1Xおよびポート セキュリティがポートでイネーブルの場合、ポートはRADIUSサーバで割り当てられたVLANに配置されます。
- IEEE 802.1Xがポートでディセーブルの場合、設定済みのアクセス VLANに戻ります。
ポートが強制許可、強制無許可、無許可、またはシャットダウン ステートの場合は、設定済みのアクセスVLANに配置されます。
IEEE 802.1Xポートが許可されて、RADIUSサーバで割り当てられたVLANに配置される場合、ポート アクセスVLANの設定変更は無効になります。
VLAN割り当て機能を備えたIEEE 802.1Xは、トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS;VLANメンバーシップ ポリシー サーバ)を介したダイナミック アクセス ポートの割り当てではサポートされません。
VLAN割り当てを設定するには、以下を実行する必要があります。
- Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)許可をイネーブルにします。
- IEEE 802.1Xをイネーブルにします(アクセス ポートにIEEE 802.1Xを設定すると、VLAN割り当て機能は自動的にイネーブルになります)。
- RADIUSサーバにベンダー固有のトンネル アトリビュートを割り当てます。RADIUSサーバは次のアトリビュートをスイッチに戻さなければなりません。
- − [64] トンネル タイプ = VLAN
- − [65] トンネル メディア タイプ = IEEE 802
- − [81] トンネル プライベート グループID = VLAN名またはVLAN ID
アトリビュート[64]は、値 VLAN (type 13)でなければなりません。アトリビュート[65]は、値 IEEE 802 (type 6)でなければなりません。アトリビュート[81]には、IEEE 802.1X認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。
トンネル アトリビュートについては、 ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法 を参照してください。
IEEE 802.1XとゲストVLANの使用方法
スイッチの各IEEE 802.1XポートにゲストVLANを設定することにより、クライアントに制限付きのサービスを提供できます(IEEE 802.1Xクライアントのダウンロード方法など)。このようなクライアントは、IEEE 802.1X認証用にシステムをアップグレードする場合もあります。また、Windows 98システムなどのホストには、IEEE 802.1Xに対応していないものもあります。
IEEE 802.1XポートでゲストVLANがイネーブルの場合、認証サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しない場合またはEAPOLパケットがクライアントに送信されない場合に、スイッチはクライアントにゲストVLANを割り当てます。
Cisco IOS Release 12.2(25)SEより前では、スイッチはEAPOLパケット履歴を保持せず、EAPOLパケットがインターフェイスで検出されていたかどうかにかかわらず、ゲストVLANへの認証アクセスに失敗したクライアントを許可していました。 dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用して、このオプションの動作をイネーブルにできます。
Cisco IOS Release 12.2(25)SE以降、スイッチはEAPOLパケット履歴を保持するようになりました。リンクのライフタイム中に別のEAPOLパケットがインターフェイスで検出された場合、ネットワーク アクセスは拒否されます。EAPOL履歴はリンク消失でリセットされます。
スイッチ ポートがゲストVLANに移行すると、IEEE 802.1X非対応クライアントのアクセス数に制限がなくなります。IEEE 802.1X対応のクライアントが、ゲストVLANが設定されているのと同じポートに追加された場合、ポートはユーザ設定のアクセスVLANで無許可ステートになり、認証が再開されます。
ゲストVLANは、IEEE 802.1Xポートで1つのホストおよび複数のホスト モードでサポートされます。
RSPAN VLANまたは音声VLAN以外であればいずれのアクティブなVLANも、IEEE 802.1XゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。アクセス ポートでのみサポートされます。
設定手順の詳細については、 ゲストVLANの設定 を参照してください。
IEEE 802.1XとWake-on-LANの使用方法
IEEE 802.1XのWake-on-LAN(WoL)機能を使用すると、Magic Packetと呼ばれる特定のイーサネット フレームを受信すると、休止状態のPCを起動できます。この機能は、管理者が電源が切られたシステムに接続する必要がある環境で使用できます。
IEEE 802.1Xポートに接続されたホストでWoLを使用すると、ホストの電源が切断された場合にIEEE 802.1Xポートが無許可になるという特有の問題が発生します。このステートでは、ポートはEAPOLパケットの送受信のみが可能です。したがって、WoL Magic Packetはホストにまで到達できません。起動しないとPCは認証されず、ポートは開きません。
WoL機能を搭載したIEEE 802.1Xは、無許可のIEEE 802.1Xポートにパケットを送信することでこの問題を解決します。この機能はIEEE 802.1X仕様の単一方向制御ポートとも呼ばれます。
PortFastがポート上でイネーブルでない場合、ポートは強制的に双方向ステートになります。
単一方向ステート
dot1x control-direction in インターフェイス コンフィギュレーション コマンドを使用してポートを単一方向ポートとして設定する場合、ポートはスパニングツリー フォワーディング ステートに変更されます。
WoLがイネーブルの場合、接続されたホストはスリーピング モードまたはパワーダウン ステートになり、ホストはネットワークの他のデバイスとトラフィックを交換しません。ホストがネットワークにトラフィックを送信できない単一方向ポートに接続された場合、ホストはネットワークの他のデバイスからのトラフィックのみを受信できます。単一方向ポートが着信トラフィックを受信した場合、ポートは双方向(デフォルト)ステートに戻り、スパニングツリー ステートはブロッキング ステートに変更されます。ポートが初期化ステートに変更された場合、EAPOLパケット以外のトラフィックは許可されません。ポートが双方向ステートに戻った場合、スイッチは5分タイマーを開始します。タイマーが満了する前にポートが認証されない場合、ポートは単一方向ポートになります。
双方向ステート
dot1x control-direction both インターフェイス コンフィギュレーション コマンドを使用してポートを双方向ポートとして設定する場合、ポートは両方向でアクセス制御されます。このステートでは、スイッチ ポートはパケットを送受信しません。
IEEE 802.1Xとユーザ単位のACLの使用方法
ユーザ単位のAccess Control List(ACL;アクセス制御リスト)をイネーブルにして、IEEE 802.1X認証ユーザが異なるレベルのネットワーク アクセスやサービスを使えるようにできます。RADIUSサーバがIEEE 802.1Xポートに接続しているユーザを認証する場合、ユーザIDに基づくACLアトリビュートを取得し、スイッチに送信します。スイッチは、ユーザ セッションの間このアトリビュートをIEEE 802.1Xポートに適用します。認証失敗、またはリンクダウン状態が発生した場合は、スイッチがセッション終了時にユーザ単位のACL設定を削除します。スイッチは、RADIUS指定のACLを実行コンフィギュレーションに保存しません。ポートが許可されない場合、スイッチはポートからACLを削除します。
スイッチ ポートには、ユーザ単位のACLを1タイプだけ設定できます。ルータACLまたはポートACLです。ルータACLはレイヤ3インターフェイスに適用され、ポートACLはレイヤ2インターフェイスに適用されます。あるポートがポート ベースACLに設定されている場合、同じポートのルータ ベースACLを設定しようとするとスイッチがこれを拒否します。ただし、あるポートがルータ ベースACLに設定されていて、そのあとでポート ベースACLに設定される場合、ルータACLはポート ベースACLによって上書きされます。設定の矛盾を回避するには、RADIUSサーバに保存するユーザ プロファイルを慎重に計画しなければなりません。
RADIUSは、Vendor-Specific Attribute(VSA)などのユーザ単位のアトリビュートをサポートします。これらのVSAは、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位のACLに使用されるVSAは、入力方向では inacl#< n > で、出力方向では outacl#< n > です。MAC ACLは、入力方向のみサポートされます。
拡張ACL構文形式のみを使用して、RADIUSサーバに保存するユーザ単位の設定を定義します。RADIUSサーバから定義が渡される場合、拡張命名規則を使用して作成されます。ただし、フィルタ IDアトリビュートを使用する場合、標準ACLを示すことができます。
フィルタIDアトリビュートを使用して、すでにスイッチに設定されている着信または発信ACLを指定できます。アトリビュートには、ACL番号と、そのあとに入力フィルタリングか出力フィルタリングを示す .in または .out が含まれています。RADIUSサーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトで発信ACLに適用されます。サポートされるスイッチのCisco IOSアクセス リストは制限されているため、フィルタIDアトリビュートは、IP ACL番号1〜199および1300〜2699でしかサポートされません(IP標準およびIP拡張ACL)。
1つのポートがサポートするIEEE 802.1X認証ユーザは1ユーザのみです。複数ホスト モードがポートでイネーブルの場合、ユーザ単位のACLアトリビュートは関連ポートでディセーブルです。
ユーザ単位のACLの最大サイズは、4000 ACSII文字です。
ベンダー固有のアトリビュートの例については、 ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法 を参照してください。ACL設定の詳細については、 第28章 「ACLによるネットワーク セキュリティの設定」 を参照してください。
ユーザ単位のACLを設定するには、以下を実行する必要があります。
- AAA認証をイネーブルにします。
- network キーワードを使用してAAA許可をイネーブルにし、RADIUSサーバからのインターフェイス設定を可能にします。
- IEEE 802.1Xをイネーブルにします。
- RADIUSサーバにユーザ プロファイルとVSAを設定します。
- IEEE 802.1Xポートを1つのホスト モードに設定します。
IEEE 802.1X認証の設定
ここでは、スイッチにIEEE 802.1Xポートベースの認証を設定する手順を説明します。
- IEEE 802.1Xのデフォルト設定
- IEEE 802.1X設定時の注意事項
- 旧ソフトウェア リリースからのアップグレード
- IEEE 802.1X認証のイネーブル化 (必須)
- スイッチとRADIUSサーバ間通信を設定する方法 (必須)
- 定期的な再認証のイネーブル化 (任意)
- 手動によるポート接続クライアントの再認証 (任意)
- 待機時間の変更 (任意)
- スイッチとクライアント間の再送信時間の変更 (任意)
- スイッチとクライアント間のフレーム再送信回数の設定 (任意)
- 再認証回数の設定 (任意)
- ホスト モードの設定 (任意)
- ゲストVLANの設定 (任意)
- IEEE 802.1X設定をデフォルト値にリセットする方法 (任意)
- IEEE 802.1X認証の設定 (任意)
- IEEE 802.1Xアカウンティングの設定 (任意)
IEEE 802.1Xのデフォルト設定
表8-2 に、IEEE 802.1Xのデフォルト設定を示します。
IEEE 802.1X設定時の注意事項
IEEE 802.1X認証設定の注意事項は、次のとおりです。
- IEEE 802.1Xがイネーブルに設定されていると、他のレイヤ2またはレイヤ3機能がイネーブルになる前に、ポートは認証されます。
- IEEE 802.1Xプロトコルはレイヤ2スタティック アクセス ポート、音声VLANポート、およびレイヤ3ルーテッド ポートではサポートされていますが、次のポート タイプではサポートされていません。
- − トランク ポート ― トランク ポートでIEEE 802.1Xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1Xはイネーブルになりません。IEEE 802.1X対応ポートのモードをトランクに変更しようとしても、ポート モードは変更されません。
- − ダイナミック ポート ― ダイナミック モードのポートは、近接ポートとネゴシエーションしてトランク ポートになる可能性があります。ダイナミック ポートでIEEE 802.1Xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1Xはイネーブルになりません。IEEE 802.1X対応ポートのモードをダイナミックに変更しようとしても、ポート モードは変更されません。
- − ダイナミック アクセス ポート ― ダイナミック アクセス(VLAN Query Protocol [VQP])ポートでIEEE 802.1Xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1Xはイネーブルになりません。IEEE 802.1X対応ポートをダイナミックVLAN割り当てに変更しようとすると、エラー メッセージが表示され、VLAN設定は変更されません。
- − EtherChannelポート ― アクティブまたはアクティブにする予定のEtherChannelメンバーのポートを、IEEE 802.1Xポートとして設定しないでください。EtherChannelポートでIEEE 802.1Xをイネーブルにしようとすると、エラー メッセージが表示され、IEEE 802.1Xはイネーブルになりません。
- − Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)およびRemote SPAN(RSPAN)宛先ポート ― SPAN宛先ポート、RSPAN宛先ポート、またはRSPANリフレクタ ポートでIEEE 802.1Xをイネーブルにできます。ただし、ポートがSPAN宛先ポート、RSPAN宛先ポート、またはRSPANリフレクタ ポートとして削除されるまでは、IEEE 802.1Xはディセーブルになります。SPANまたはRSPAN送信元ポートでは、IEEE 802.1Xをイネーブルにできます。
- RSPAN VLANまたは音声VLAN以外であればいずれのVLANも、IEEE 802.1XゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされません。アクセス ポートでのみサポートされます。
- IEEE 802.1Xをポートでイネーブルにすると、音声VLANと同じようにポートVLANを設定できません。
- トランク ポート、ダイナミック ポート、またはVMPSを介したダイナミック アクセス ポート割り当ては、VLAN割り当て機能を備えたIEEE 802.1Xをサポートしません。
- dot1x system-auth-control グローバル コンフィギュレーション コマンドを入力して、スイッチでIEEE 802.1Xをグローバルにイネーブルにする前に、IEEE 802.1XおよびEtherChannelが設定されているインターフェイスからEtherChannel設定を削除してください。
- EAP-Transparent LAN Services(TLS;透過型LANサービス)およびEAP-MD5を使用したIEEE 802.1X認証用のCisco Access Control Server(ACS)アプリケーションを実行しているデバイスを使用していて、さらにスイッチがCisco IOS Release 12.1(14)EA1を実行している場合、デバイスで実行しているACSのバージョンが3.2.1以降であることを確認してください。
- DHCPクライアントが接続されているIEEE 802.1Xポートに対してゲストVLANを設定したあと、ホストIPアドレスをDHCPサーバから取得する必要があります。また、クライアントのDHCPプロセスがタイムアウトし、DHCPサーバからホストIPアドレスを取得しようとする前に、スイッチのIEEE 802.1X認証プロセスを再起動するための設定を変更できます。IEEE 802.1X認証プロセスの設定(IEEE 802.1X待機期間およびスイッチからクライアントへの転送時間)を減らします。
旧ソフトウェア リリースからのアップグレード
Cisco IOS Release 12.1(14)EA1では、IEEE 802.1Xに関する実装が旧リリースから変更されました。グローバル コンフィギュレーション コマンドの一部は、インターフェイス コンフィギュレーション コマンドになり、新しいコマンドも追加されました。
スイッチでIEEE 802.1Xが設定済みであり、Cisco IOS Release 12.1(14)EA1以降にアップグレードする場合は、コンフィギュレーション ファイルに新しいコマンドが含まれないので、IEEE 802.1Xは動作しません。アップグレードの終了後、 dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用して、IEEE 802.1Xをグローバルにイネーブルにする必要があります。IEEE 802.1Xが、旧リリースでインターフェイス上の複数のホスト モードで稼働していた場合、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用して再設定する必要があります。
IEEE 802.1X認証のイネーブル化
IEEE 802.1Xポートベースの認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。
ユーザ単位のACLおよびVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。
IEEE 802.1Xポートベースの認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
|
authentication コマンドに名前付きリストが 指定されない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。 method1 の場合、 group radius キーワードを入力して認証用のすべてのRADIUSサーバのリストを使用します。 
|
||
|
(任意)ユーザ単位のACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。 |
||
|
IEEE 802.1X認証をイネーブルにするクライアントに接続されたポートを指定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
インターフェイスでIEEE 802.1X認証をイネーブルにします。 設定の詳細については、 IEEE 802.1X設定時の注意事項 を参照してください。 |
||
|
出力されたIEEE 802.1X Port SummaryセクションのStatusカラムを調べてください。 enabled ステータスは、ポート制御値が auto または force-unauthorized に設定されていることを意味します。 |
||
AAAをディセーブルにするには、
no aaa new-model
グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1X AAA認証をディセーブルにするには、
no aaa authentication
dot1x
{
default
|
list-name
}
グローバル コンフィギュレーション コマンドを使用します。IEEE 802.1X AAA許可をディセーブルにするには、
no aaa authorization
グローバル コンフィギュレーション コマンドを使用します。スイッチでIEEE 802.1X認証をディセーブルにするには、
no
dot1x system-auth-control
グローバル コンフィギュレーション コマンドを使用します。
次に、ポートでAAAおよびIEEE 802.1Xをイネーブルにする例を示します。
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
スイッチとRADIUSサーバ間通信を設定する方法
RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、またはIPアドレスと特定のUDPポート番号で識別します。IPアドレスとUDPポート番号の組み合わせにより、一意の識別子が作成され、これにより、サーバ上の同一のIPアドレスの複数のUDPポートにRADIUS要求を送信できます。同一のRADIUSサーバ上の2つの異なるホスト エントリが同じサービス(たとえば、認証)を設定している場合、あとから設定されたホスト エントリは、最初のエントリのフェールオーバー バックアップとして機能します。RADIUSのホスト エントリは、設定された順序で試されます。
スイッチにRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
指定されたRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address }グローバル コンフィギュレーション コマンドを使用します。
次の例は、IPアドレスが172.20.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号化鍵をRADIUSサーバ上の鍵と一致する rad123 に設定します。
Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
radius-server host グローバル コンフィギュレーション コマンドを使用すると、すべてのRADIUSサーバに対してタイムアウト、再送信、および暗号化鍵の値をグローバルに設定できます。サーバ単位でこれらのオプションを設定する場合は、 radius-server timeout 、 radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、 すべてのRADIUSサーバに対する設定 を参照してください。
さらに、RADIUSサーバでいくつかの設定を行う必要があります。この設定とは、スイッチのIPアドレス、およびサーバとスイッチで共用するキー テキスト ストリングです。詳細については、RADIUSサーバのマニュアルを参照してください。
RADIUSサーバを使用したIEEE 802.1X認証の設定
Cisco IOS Release 12.2(25)SECでは、RADIUSサーバを使用してIEEE 802.1X認証を設定することもできます。
RADIUSサーバを使用してIEEE 802.1X認証を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
IEEE 802.1XゲストVLANとして、アクティブなVLANを指定します。指定できる範囲は1〜4094です。 RSPAN VLANまたは音声VLAN以外であればいずれのアクティブなVLANも、IEEE 802.1XゲストVLANとして設定できます。 |
||
次に、RADIUSサーバの使用中にIEEE 802.1Xを設定する例を示します。
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period server
定期的な再認証のイネーブル化
IEEE 802.1Xクライアントの定期的な再認証をイネーブルにして、その発生間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は3600秒ごとに行われます。
クライアントの定期的な再認証をイネーブルにして、再認証を試行する間隔(秒数)設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証を試行する間隔に戻すには、 no dot1x timeout reauth-period グローバル コンフィギュレーション コマンドを使用します。
次の例では、定期的な再認証をイネーブルにし、再認証を試行する間隔を4000秒に設定します。
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
手動によるポート接続クライアントの再認証
dot1x re-authenticate interface interface-id イネーブルEXECコマンドを入力すると、特定のポートに接続しているクライアントを手動でいつでも再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする場合は、 定期的な再認証のイネーブル化 を参照してください。
次の例では、ポートに接続したクライアントを手動で再認証します。
Switch# dot1x re-authenticate interface fastethernet0/1
待機時間の変更
スイッチがクライアントを認証できなかった場合は、スイッチは一定時間アイドル状態を続け、そのあと再試行します。アイドル時間は、quiet-periodの値によって決まります。クライアントが無効なパスワードを提供したため、クライアントの認証失敗が起こる可能性があります。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。
待機時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。
Switch(config-if)# dot1x timeout quiet-period 30
スイッチとクライアント間の再送信時間の変更
クライアントは、スイッチからのEAP要求/アイデンティティ フレームに、EAP応答/アイデンティティ フレームで応答します。スイッチはこの応答を受信しなかった場合、一定時間(再送信時間)待機してから、フレームを再送信します。
スイッチがクライアントの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を設定します。 |
||
デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を60秒に設定します。
Switch(config-if)# dot1x timeout tx-period 60
スイッチとクライアント間のフレーム再送信回数の設定
スイッチとクライアント間の再送信時間の変更だけでなく、(応答を受信しなかった場合)認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/アイデンティティ フレームを送信する回数を変更できます。
スイッチとクライアント間のフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
スイッチが、認証プロセスを再開するまでにEAP要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は1〜10で、デフォルトは2です。 |
||
デフォルトの再送信回数に戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、認証プロセスを再開するまでに、スイッチがEAP要求/アイデンティティ フレームを送信する回数を5回に設定します。
Switch(config-if)# dot1x max-req 5
再認証回数の設定
ポートが無許可ステートに変わる前にスイッチが認証プロセスを再起動する回数も変更できます。
再認証回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
ポートが無許可ステートに変更する前にスイッチが認証プロセスを再起動する回数を設定します。指定できる範囲は1〜10で、デフォルトは2です。 |
||
デフォルトの再認証回数に戻すには、 no dot1x max-reauth-req インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートが無許可ステートに変わる前にスイッチが認証プロセスを再起動する回数を4に設定する例を示します。
Switch(config-if)# dot1x max-reauth-req 4
ホスト モードの設定
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されているIEEE 802.1X許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
間接的に接続されている複数のホストに対してインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
IEEE 802.1X許可ポート上で、複数のホスト(クライアント)を許可します。 指定されたインターフェイスについて 、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。 |
||
ポート上の複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。
次に、ポートをイネーブルにして複数のホストを許可する例を示します。
Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
ゲストVLANの設定
ゲストVLANを設定する場合、サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなければ、IEEE 802.1X未対応のクライアントはゲストVLANになります。IEEE 802.1X対応のクライアントでも認証に失敗すれば、ネットワーク アクセスは許可されません。スイッチは、1つのホスト モードでも複数のホスト モードでもゲストVLANをサポートします。
ゲストVLANを設定するには、イネーブルEXECモードで次の手順を行います。この手順は任意です。
|
設定するインターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるインターフェイスのタイプについては、 IEEE 802.1X設定時の注意事項 を参照してください。 |
||
|
IEEE 802.1XゲストVLANとして、アクティブなVLANを指定します。指定できる範囲は1〜4094です。 内部VLAN(ルーテッド ポート)、RSPAN VLAN、または音声VLAN以外であれば、いずれのアクティブなVLANも、IEEE 802.1XゲストVLANとして設定できます。 |
||
ゲストVLANをディセーブルにして削除する場合は、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。
次に、ポートでIEEE 802.1XゲストVLANをイネーブルにする例を示します。
Switch(config)# interface fastethernet0/1
Switch(config-if)# dot1x guest-vlan 9
次に、スイッチの待機時間を3に設定して、スイッチが要求を再送信するまでクライアントからのEAP要求/アイデンティティ フレームの応答を待機する秒数を15に設定し、IEEE 802.1XポートがDHCPクライアントに接続されるときにVLAN2をIEEE 802.1XゲストVLANとしてイネーブルにする例を示します。
Switch(config-if)# dot1x timeout quiet-period 3
Switch(config-if)# dot1x timeout tx-period 15
Switch(config-if)# dot1x guest-vlan 2
dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用して、オプションのゲストVLAN動作をイネーブルにできます。イネーブルにするときに、スイッチはEAPOLパケット履歴を保持せず、EAPOLパケットがインターフェイスで検出されていたかどうかにかかわらず、ゲストVLANへの認証アクセスに失敗したクライアントを許可します。
オプションのゲストVLAN動作をイネーブルにしてゲストVLANを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。サポートされるポートのタイプについては、 IEEE 802.1X設定時の注意事項 を参照してください。 |
||
|
IEEE 802.1XゲストVLANとして、アクティブなVLANを指定します。指定できる範囲は1〜4094です。 内部VLAN(ルーテッド ポート)、RSPAN VLAN、または音声VLAN以外であれば、いずれのアクティブなVLANも、IEEE 802.1XゲストVLANとして設定できます。 |
||
オプションのゲストVLAN動作をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。ゲストVLANを削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは無許可ステートに戻ります。
次に、オプションのゲストVLAN動作をイネーブルにしてVLAN 5をIEEE 802.1XゲストVLANとして指定する例を示します。
Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# dot1x guest-vlan 5
IEEE 802.1X設定をデフォルト値にリセットする方法
IEEE 802.1X設定をデフォルト値にリセットするには、イネーブルEXECモードで次の手順を実行します。
IEEE 802.1X認証の設定
IEEE 802.1Xポートベースの認証を設定するには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。
ソフトウェアは方式リストの最初の方式を使用してユーザを認証します。この方式で応答に失敗した場合、ソフトウェアは方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試すまで続きます。このサイクルのいずれかの地点で認証が失敗すると、認証プロセスは停止し、他の認証方式が試行されることはありません。
ユーザ単位のACLまたはVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。
ステップ 3 VLAN割り当てが(場合によってはRADIUSサーバ設定に基づいて)イネーブルになります。
ステップ 4 スイッチが開始メッセージをアカウンティング サーバに送信します。
ステップ 6 スイッチは、再認証の結果に基づいて仮のアカウンティング アップデートをアカウンティング サーバに送信します。
ステップ 8 スイッチが停止メッセージをアカウンティング サーバに送信します。
IEEE 802.1Xポートベースの認証を設定するには、イネーブルEXECモードで次の手順を実行します。
|
authentication コマンドに名前付きリストが 指定されない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。 |
||
|
(任意)ユーザ単位のACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。
|
||
|
IEEE 802.1X認証をイネーブルにするクライアントに接続されたポートを指定して、インターフェイス コンフィギュレーション モードを開始します。 |
||
|
設定の詳細については、 IEEE 802.1X設定時の注意事項 を参照してください。 |
||
IEEE 802.1Xアカウンティングの設定
IEEE 802.1XアカウンティングによるAAAシステムのアカウンティングをイネーブルにすると、システムがイベントをリロードしてアカウンティングRADIUSサーバに記録するために送信できるようになります。これにより、サーバはすべてのアクティブIEEE 802.1Xセッションがクローズされたと判断します。
RADIUSは信頼性のないUDP転送プロトコルを使用しているため、ネットワークの状態が悪いとアカウンティング メッセージが紛失する場合もあります。アカウンティング要求の再送信を設定した回数行ったあとでも、アカウンティングの応答メッセージをスイッチがRADIUSサーバから受信していない場合、次のシステム メッセージが表示されます。
Accounting message %s for session %s failed to receive Accounting Response.
停止メッセージが正常に送信されないと、次のメッセージが表示されます。
00:09:55: %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message Start for session 172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.
AAAがスイッチでイネーブルになったあと、IEEE 802.1Xアカウンティングを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
(任意)システムのアカウンティングをイネーブルにして(すべてのRADIUSサーバのリストを使用)、スイッチのリロードのときに、システム アカウンティングのリロード イベント メッセージを生成します。 |
||
show radius statisticsイネーブルEXECコマンドを使用して、アカウンティング応答メッセージを受信していないRADIUSメッセージ数を表示します。
次に、IEEE 802.1Xアカウンティングを設定する例を示します。最初のコマンドは、アカウンティング用のUDPポートとして1813を指定し、RADIUSサーバを設定します。
Switch(config)# radius-server host 172.120.39.46 auth-port 1812 acct-port 1813 key rad123
Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius
IEEE 802.1X統計情報およびステータスの表示
すべてのインターフェイスのIEEE 802.1X統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のインターフェイスのIEEE 802.1X統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。
スイッチについてIEEE 802.1X管理および動作のステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のインターフェイスのIEEE 802.1X管理および動作のステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。
表示されるフィールドの詳細については、このリリースのコマンド リファレンスを参照してください。
