 |
この章では、Catalyst 3750スイッチでIEEE 802.1xポートベースの認証を設定する方法について説明します。 LANが、ホテル、空港、企業のロビーなどに拡張されると、安全とは言えない環境になりますが、802.1xを使用すれば、無許可のデバイス(クライアント)がネットワークへアクセスするのを防ぐことができます。 特に明記しないかぎり、 スイッチ という用語はスタンドアロン スイッチおよびスイッチ スタックを意味します。
IEEE 802.1x規格は、クライアント/サーバ ベースのアクセス制御と認証プロトコルについて定義し、不正なクライアントが公的にアクセス可能なポートを介してLANに接続するのを制限します。認証サーバは、スイッチ ポートに接続された各クライアントを認証してから、スイッチまたはLANが提供するサービスを利用できるようにします。
クライアントが認証されるまでは、802.1xアクセス制御によって、クライアントに接続したポートを経由するExtensible Authentication Protocol over LAN(EAPOL)、Cisco Discovery Protocol(CDP)、およびSpanning Tree Protocol(STP;スパニング ツリー プロトコル)トラフィックだけを許可します。認証が成功すると、通常のトラフィックがポートを通過できます。
802.1xポートベース認証を使用すると、ネットワーク内のデバイスは 802.1xデバイスの役割 のような特定の役割が割り当てられます。
スイッチがEAPOLフレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。EAPフレームはカプセル化の間は変更や検査が行われず、認証サーバはネイティブのフレーム形式でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。
媒介として機能できるデバイスには、Catalyst 3750、Catalyst 3550、Catalyst 2970、Catalyst 2955、Catalyst 2950、Catalyst 2940スイッチ、または無線アクセス ポイントがあります。これらのデバイスは、RADIUSクライアントおよび802.1xをサポートするソフトウェアを実行している必要があります。
スイッチまたはクライアントは、認証を開始できます。 dot1x port-control auto インターフェイス コンフィギュレーション コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したことを確認したときに、認証を開始する必要があります。次にEAP要求/アイデンティティ フレームをクライアントに送信してアイデンティティを要求します(一般に、スイッチは最初のアイデンティティ/要求フレームを送信して、そのあとで1つまたは複数の認証情報の要求を送信します)。フレームの受信後、クライアントはEAP応答/アイデンティティ フレームで応答します。
ただし、起動中にクライアントがスイッチからEAP要求/アイデンティティ フレームを受信しない場合は、クライアントは、EAPOL開始フレームを送信して認証を開始できます。これにより、スイッチはクライアントのアイデンティティを要求するようになります。
クライアントがそのアイデンティティを供給すると、スイッチは媒介としての役割を開始し、認証が成功または失敗するまでクライアントと認証サーバとの間でEAPフレームを受け渡します。認証が成功すると、スイッチのポートは許可された状態になります。詳細については、 許可ステートおよび無許可ステートのポート を参照してください。
特定のEAPフレーム交換は、使用される認証方式に依存します。 メッセージ交換 に、RADIUSサーバでOne Time Password(OTP;ワンタイム パスワード)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。
スイッチ ポートのステートによって、クライアントがネットワーク アクセスを許可されているかどうかがわかります。ポートは、 無許可 ステートで開始します。このステートにある間は、ポートは、802.1x、CDP、STPのプロトコル パケットを除くすべての入トラフィックおよび出トラフィックを許可しません。クライアントが正常に認証されると、ポートは 許可 ステートに移行し、そのクライアントへのすべてのトラフィックは通常のフローが許可されます。
802.1xをサポートしないクライアントが無許可の802.1xポートに接続している場合は、スイッチはクライアントにアイデンティティを要求します。この場合、クライアントは要求に応答できないので、ポートは無許可ステートのままで、クライアントはネットワーク アクセスが許可されません。
対照的に、802.1x対応クライアントが802.1xプロトコルを実行していないポートに接続している場合、クライアントはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、クライアントは要求を一定の回数だけ送信します。応答が得られないので、クライアントはポートが許可ステートにあるものとしてフレームの送信を開始します。
ポートの許可ステートを制御するには、 dot1x port-control インターフェイス コンフィギュレーション コマンドと以下のキーワードを使用します。
クライアントが正常に認証されると(認証サーバからAcceptフレームを受信すると)、ポートが許可ステートに変わり、認証されたクライアントのフレームはすべてそのポート経由で送受信を許可されます。認証が失敗した場合は、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された試行回数の後でもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。
クライアントはログオフするとEAPOLログオフ メッセージを送信します。これにより、スイッチ ポートは無許可ステートに移行します。
ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ フレームを受信した場合は、ポートは無許可ステートに戻ります。
802.1xポートベースの認証は、次の2つのトポロジーでサポートされています。
ポイントツーポイント( 802.1xデバイスの役割 を参照)では、802.1x対応のスイッチ ポートに接続できるクライアントは1台だけです。スイッチは、ポートのリンク ステートがアップに変化すると、クライアントを検出します。クライアントがログオフするか、別のクライアントに交換されると、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
無線LANの例 に、無線LANでの802.1xポートベースの認証を示します。802.1xポートは複数ホスト ポートとして設定されており、このポートは1つのクライアントが認証されるとすぐに許可ステートになります。ポートが許可されると、そのポートに間接的に接続されている残りのホストはすべて、ネットワーク アクセスを許可されます。ポートが無許可になると(再認証が失敗するか、EAPOLログオフ メッセージを受信する)、スイッチは、接続しているすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジーでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。
単一ホスト モードまたは複数ホスト モードのどちらかで、802.1xポートおよびポート セキュリティを設定できます( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定しなければなりません)。ポート上のポート セキュリティと802.1xをイネーブルにすると、802.1xがポートを認証し、ポート セキュリティがクライアントのMACアドレスを含むすべてのMACアドレスについてネットワーク アクセスを管理します。この場合、802.1xポートを介してネットワークへアクセスできるクライアントの数とグループを制限できます。
たとえば、スイッチにおいて、802.1xとポート セキュリティの間には次のような相互作用があります。
クライアントが認証されてポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリを保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。
クライアントが認証されてもセキュリティ テーブルがいっぱいの場合は、セキュア違反が発生します。これは、セキュア ホストの最大数がスタティックに設定されているか、またはセキュア ホスト テーブルでのクライアントの有効期限が切れた場合に発生します。クライアントのアドレスの有効期限が切れた場合、そのクライアントのセキュア ホスト テーブルの位置は他のホストに取って代わられます。
最初の認証ホストによってセキュリティ違反が引き起こされた場合、インターフェイスはerrdisableとなり、すぐにシャットダウンされます。
ポート セキュリティ違反モードは、セキュリティ違反の動作を判別します。詳細については、 セキュリティ違反 を参照してください。
スイッチのポート セキュリティをイネーブルにする方法の詳細については、 ポート セキュリティの設定 を参照してください。
音声VLANポートは、2つのVLAN IDに関連付けられた特殊なアクセス ポートです。
音声VLANに設定された各ポートに、PVIDとVVIDが関連付けられます。この設定によって、音声トラフィックとデータ トラフィックを異なるVLANに分離することができます。
Cisco IOS Release 12.1(14)EA1より前のリリースでは、単一ホスト モードのスイッチは単一ホストからのトラフィックのみを受け取り、音声トラフィックは受信できませんでした。複数ホスト モードでは、スイッチはクライアントがプライマリVLAN上で認証されるまで音声トラフィックを受け取れなかったため、IP Phoneはユーザがログインするまで動作不能でした。
Cisco IOS Release 12.1(14)EA1以上では、IP Phoneは、ポートの許可ステートまたは無許可ステートに関わらず、音声トラフィック用としてVVIDを使用します。これによって、IP Phoneは802.1x認証とは独立して動作できます。
単一ホスト モードをイネーブルにすると、そのVVIDによって複数のIP Phoneが許可されます。ただし、PVIDでは、1つの802.1xクライアントしか許可されません。複数ホスト モードをイネーブルにする際に802.1xユーザがプライマリVLANで認証されている場合、802.1x認証がプライマリVLANで成功すれば音声VLANへ無制限にクライアントを追加できます。
リンクが存在していれば音声VLANポートはアクティブになり、IP Phoneからの最初のCDPメッセージを受け取るとデバイスのMACアドレスが明らかになります。Cisco IP Phoneは、他のデバイスからのCDPメッセージをリレーしません。そのため、複数のIP Phoneが直列で接続されても、スイッチは自身に直接接続されたIP Phoneしか認識しません。音声VLANポートで802.1xをイネーブルにすると、スイッチは2ホップ以上離れた認識されていないIP Phoneからのパケットは廃棄します。
802.1xをポートでイネーブルにすると、音声VLANと同じようにポートVLANを設定できません。
音声VLANの詳細については、 音声VLANの設定 を参照してください。
Cisco IOS Release 12.1(14)EA1より古いリリースでは、802.1xポートが認証されると、RADIUSサーバがデータベースから許可済みVLANの情報を戻しても、そのポートは自身に設定されたアクセスVLANに対して許可されていました。アクセスVLANは、アクセス ポートに割り当てられたVLANであり、このポートとの間で送受信されたすべてのパケットは、このVLANに属しています。
ただし、Cisco IOS Release 12.1(14)EA1以上では、スイッチは802.1xとVLAN割り当てをサポートしています。ポートの802.1x認証が成功すると、RADIUSサーバは、スイッチ ポートを設定するためにVLAN割り当てを送信します。RADIUSサーバのデータベースは、ユーザ名/VLANの対応を維持します。この対応では、スイッチ ポートに接続するクライアントのユーザ名に基づいてVLANを割り当てています。この機能を使用して、特定ユーザのネットワーク アクセスを制限できます。
スイッチとRADIUSサーバを設定する際、802.1xとVLAN割り当てには次の特性があります。
設定エラーには、ルーテッド ポートへのVLANの指定、間違ったVLAN ID、存在しないまたは内部(ルーテッド ポートの)のVLAN ID、あるいは音声VLAN IDへの割り当て試行、などがあります。
ポートが強制許可(force authorized)、強制無許可(force unauthorized)、無許可、シャットダウンのいずれかのステートの場合、そのポートは設定済みのアクセスVLANに配置されます。
802.1Xポートが認証され、RADIUSサーバによって割り当てられたVLANに配置された場合、ポートのアクセスVLAN設定への変更は反映されません。
VLAN割り当て機能付きの802.1xは、トランク ポート、ダイナミック ポート、またはVLAN Membership Policy Server(VMPS)を使用したダイナミック アクセス ポート割り当てではサポートされていません。
VLAN割り当てを設定するには、次の作業を実行する必要があります。
アトリビュート[64]は、値 VLAN (type 13)でなければなりません。アトリビュート[65]は、値 802 (type 6)でなければなりません。アトリビュート[81]には、802.1x認証ユーザに割り当てられた VLAN名 または VLAN ID を指定します。
トンネル アトリビュートの例については、 ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法 を参照してください。
スイッチ上の各802.1xポートにゲストVLANを設定し、クライアントへのサービスを限定できます(たとえば、802.1xクライアントのダウンロード方法)。これらのクライアントは802.1x認証対応のシステムにアップグレードされている場合もあれば、Windows 98システムなどの一部のホストは802.1xに対応していない場合もあります。
認証サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合、802.1x非対応のクライアントはポートのゲストVLAN(設定されている場合)に配置されます。ただし、サーバは、ネットワークへの認証アクセスに失敗した802.1x対応のクライアントは許可しません。スイッチ ポートがゲストVLANに移動された場合には、無制限にホストにアクセスが許可されます。802.1x対応のホストが、ゲストVLANが設定されているポートと同じポートに結合すると、そのポートはユーザ設定済みのアクセスVLAN内で無許可ステートに移行し、認証がやり直されます。
ゲストVLANは、単一ホストまたは複数ホスト モードの802.1xポートでサポートされています。
RSPAN VLANまたは音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。ゲストVLAN機能は、内部VLAN(ルーテッド ポート)またはトランク ポートではサポートされていません。アクセス ポート上でのみサポートされます。
詳細については、 ゲストVLANの設定 を参照してください。
ユーザ単位のAccess Control List(ACL;アクセス制御リスト)をイネーブルにして、802.1x認証ユーザが異なるレベルのネットワーク アクセスやサービスを使えるようにできます。RADIUSサーバは、802.1xポートに接続されているユーザを認証すると、ユーザIDに基づきACLアトリビュートを検索し、それらをスイッチへ送信します。スイッチは、ユーザ セッションの間、それらのアトリビュートを802.1xポートに適用します。スイッチは、セッションの終了後、認証が失敗した場合、またはリンクダウン状態の発生時に、ユーザ単位のACL設定を削除します。スイッチは、RADIUS固有のACLを実行コンフィギュレーションには保存しません。ポートが無許可の場合、スイッチはそのポートからACLを削除します。
同じCatalyst 3750スイッチ上で、ACLの設定およびポートACLの入力を行うことができます。ただし、ポートACLはルータACLよりも優先されます。入力済みのポートACLをVLANに属するインターフェイスに適用する場合、ポートACLはVLANインターフェイスに適用する入力済みのルータACLよりも優先されます。ポートACLが適用されたポート上で受信した着信パケットは、ポートACLによってフィルタリングされます。その他のポートに着信したルーテッド パケットは、ルータACLによってフィルタリングされます。発信されるルーテッド パケットは、ルータACLによってフィルタリングされます。設定の矛盾を回避するには、RADIUSサーバに保存するユーザ プロファイルを慎重に計画しなければなりません。
RADIUSは、Vendor Specific Attribute(VSA)などのユーザ単位アトリビュートをサポートします。これらのVSAは、オクテット ストリング形式で、認証プロセス中にスイッチに渡されます。ユーザ単位ACLに使用されるVSAは、入力方向では inacl#<n> で、出力方向では outacl#<n> です。MAC ACLは、入力方向でのみサポートされます。Catalyst 3750スイッチは、入力方向でのみVSAをサポートします。レイヤ2インターフェイスの出力方向ではポートACLをサポートしません。詳細については、 ACLによるネットワーク セキュリティの設定 を参照してください。
拡張ACL構文形式のみを使用して、RADIUSサーバに保存するユーザ単位の設定を定義します。RADIUSサーバから定義が渡される場合、拡張命名規則を使用して作成されます。ただし、フィルタ IDアトリビュートを使用する場合、標準ACLを示すことができます。
フィルタIDアトリビュートを使用して、すでにスイッチに設定されている着信または発信ACLを指定できます。アトリビュートには、ACL番号と、その後に入力フィルタリングか出力フィルタリングを示す .in または .out が含まれています。RADIUSサーバが .in または .out 構文を許可しない場合、アクセス リストはデフォルトで発信ACLに適用されます。スイッチ上ではCisco IOSアクセス リストのサポートは限定されているため、フィルタIDアトリビュートは番号が1〜199および1300〜2699までのIP ACL(IP標準ACLとIP拡張ACL)でのみサポートされています。
1ポートがサポートする802.1x認証ユーザは1ユーザのみです。複数ホスト モードがポートでイネーブルの場合、ユーザ単位ACLアトリビュートは関連ポートでディセーブルです。
ユーザ単位ACLの最大サイズは、4000 ASCII文字です。
ベンダー固有のアトリビュートの例については、 ベンダー固有のRADIUSアトリビュート用にスイッチを設定する方法 を参照してください。ACLの設定の詳細については、 ACLによるネットワーク セキュリティの設定 を参照してください。
ユーザ単位ACLを設定するには、以下を実行する必要があります。
スイッチがスイッチ スタックで追加または削除されても、RADIUSサーバとスタック間のIP接続がそのまま残っている限りは、802.1x認証には影響はありません。このことは、スタック マスターがスイッチ スタックから削除された場合にも当てはまります。スタック マスターに障害が生じると、スタック メンバーが スイッチ スタックの管理 に記載された選択プロセスを使用して新たなスタック マスターとなり、802.1x認証プロセスが通常どおり継続される点に注意してください。
RADIUSサーバへのIP接続が、サーバに接続されていたスイッチが削除された、またはそのスイッチに障害が発生したといった理由で切断された場合には、次のイベントが発生します。
障害が発生したスイッチが再びアップし、スイッチ スタックに参加した場合は、起動時間と、認証が試行されるまでにRADIUSサーバへの接続が再確立されたかどうかによって、認証は失敗することもあればしないこともあります。
RADIUSサーバへの接続の切断を避けるには、冗長接続を確立しておく必要があります。たとえば、スタック マスターへの冗長接続とスタック メンバーへの別の冗長接続を確立しておけば、スタック マスターに障害が発生しても、スイッチ スタックはRADIUSサーバへの接続を維持できます。
ここでは、スイッチに802.1xポートベースの認証を設定する手順を説明します。
802.1xのデフォルト設定 に、802.1xのデフォルト設定を示します。
Cisco IOS Release 12.1(14)EA1では、802.1xの実装はそれ以前のリリースとは異なっています。一部のグローバル コンフィギュレーション コマンドがインターフェイス コンフィギュレーション コマンドとなり、新たなコマンドが追加されました。
802.1xが設定済みのスイッチをCisco IOS Release 12.1(14)EA1以上へアップグレードした場合は、コンフィギュレーション ファイルに新規コマンドが含まれないため、802.1xは動作しません。アップグレードが完了後に、 dot1x system-auth-control グローバルコンフィギュレーション コマンドを使用してグローバルに802.1xをイネーブル化する必要があります。802.1xが以前のリリースのインターフェイス上で複数ホスト モードで稼働していた場合は、必ず、 dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用してそれを再設定してください。
802.1xポートベースの認証をイネーブルにするには、AAAをイネーブルにして認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリ送信を行う手順と認証方式を記述したものです。
ソフトウェアは、1番目にリストされた方式を使用して、ユーザを認証します。その方式が応答に失敗すると、ソフトウェアは方式リストの次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試すまで続きます。このサイクルのいずれかの地点で認証が失敗すると、認証プロセスは停止し、他の認証方式が試行されることはありません。
ユーザ単位ACLまたはVLAN割り当てを可能にするには、AAA許可をイネーブルにしてネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。
|
authentication コマンドに名前付きリストが 指定されない 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのインターフェイスに適用されます。 |
||
|
(任意)ユーザ単位ACLやVLAN割り当てなど、ネットワーク関連のすべてのサービス要求に対するユーザRADIUS許可をスイッチに設定します。 |
||
|
インターフェイス コンフィギュレーション モードを開始し、クライアントに接続されたインターフェイスの中で、802.1x認証をイネーブルにするものを指定します。 |
||
|
機能の相互作用の詳細については、 802.1x設定時の注意事項 を参照してください。 |
||
AAAをディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。802.1x AAA認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } グローバル コンフィギュレーション コマンドを使用します。802.1x AAA許可をディセーブルにするには、 no aaa authorization グローバル コンフィギュレーション コマンドを使用します。スイッチ上で802.1x認証をディセーブルにするには、 no dot1x system-auth-control グローバル コンフィギュレーション コマンドを使用します。
次の例は、スタック メンバー2のポートFast Ethernet 0/1上でAAAおよび802.1xをイネーブルにする方法を示しています。
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface fastethernet2/0/1
Switch(config)# switchport mode access
Switch(config-if)# dot1x port-control auto
RADIUSセキュリティ サーバは、ホスト名またはIPアドレス、ホスト名と特定のUDPポート番号、あるいはIPアドレスと特定のUDPポート番号で識別します。IPアドレスとUDPポート番号の組み合わせにより、一意の識別子が作成され、これにより、サーバ上の同一のIPアドレスの複数のUDPポートにRADIUS要求を送信できます。同一のRADIUSサーバ上の2つの異なるホスト エントリが同じサービス(たとえば、認証)を設定している場合、あとから設定されたホスト エントリは、最初のエントリのフェール オーバー バックアップとして機能します。RADIUSのホスト エントリは、設定された順序で試されます。
スイッチ上にRADIUSサーバ パラメータを設定するには、イネーブルEXECモードで次の手順を実行します。この手順は必須です。
特定のRADIUSサーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。
次の例は、IPアドレスが172.20.39.46のサーバをRADIUSサーバとして指定し、ポート1612を許可ポートとして使用し、暗号化鍵をRADIUSサーバ上の鍵と rad123 に設定します。
Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
radius-server host グローバル コンフィギュレーション コマンドを使用すると、すべてのRADIUSサーバに対してタイムアウト、再送信、および暗号化鍵の値をグローバルに設定できます。サーバ単位でこれらのオプションを設定する場合は、 radius-server timeout 、 radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。詳細については、 すべてのRADIUSサーバに対する設定 を参照してください。
さらに、RADIUSサーバでいくつかの設定を行う必要があります。この設定とは、スイッチのIPアドレス、およびサーバとスイッチで共用するキー ストリングです。詳細については、RADIUSサーバのマニュアルを参照してください。
802.1xクライアントの定期的な再認証をイネーブルにして、その発生間隔を指定できます。再認証の間隔を指定しなかった場合は、再認証は3600秒ごとに行われます。
クライアントの定期的な再認証をイネーブルにして、再認証を試行する間隔(秒数)を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
定期的な再認証をディセーブルにするには、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します。デフォルトの再認証試行間隔に戻すには、 no dot1x timeout reauth-period インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、定期的再認証をイネーブルにし、再認証を試行する間隔を4000秒に設定します。
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
dot1x re-authenticate interface interface-id イネーブルEXECコマンドを使用すると、特定のポートに接続しているクライアントを手動でいつでも再認証できます。この手順は任意です。定期的な再認証をイネーブルまたはディセーブルにする場合は、 定期的な再認証の設定 を参照してください。
次の例は、スタック メンバー2のポートFast Ethernet 0/1に接続したクライアントを手動で再認証する方法を示しています。
Switch# dot1x re-authenticate interface fastethernet2/0/1
スイッチがクライアントを認証できなかった場合は、スイッチは一定時間アイドル状態を続け、その後再試行します。アイドル時間は、quiet-periodの値によって決まります。クライアントが無効なパスワードを提供したため、クライアントの認証失敗が起こる可能性があります。デフォルトより小さい数値を入力することで、ユーザに対する応答時間を短縮できます。
デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period インターフェイス コンフィギュレーション コマンドを使用します。
Switch(config-if)# dot1x timeout quiet-period 30
クライアントは、スイッチからのEAP要求/アイデンティティ フレームに、EAP応答/アイデンティティ フレームで応答します。スイッチはこの応答を受信しなかった場合、一定時間(再送信時間)待機してから、フレームを再送信します。
スイッチがクライアントの通知を待機する時間を変更するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を設定します。 |
||
デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、スイッチがクライアントからのEAP要求/アイデンティティ フレームに対する応答を待ち、要求を再送信するまでの秒数を60秒に設定します。
Switch(config-if)# dot1x timeout tx-period 60
スイッチとクライアント間の再送信時間の変更だけでなく、(応答を受信しなかった場合)認証プロセスを再開するまでに、スイッチがクライアントにEAP要求/アイデンティティ フレームを送信する回数を変更できます。
スイッチとクライアント間のフレーム再送信回数を設定するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
スイッチが、認証プロセスを再開するまでにEAP要求/アイデンティティ フレームをクライアントに送信する回数を設定します。指定できる範囲は1〜10で、デフォルトは2です。 |
||
デフォルトの再送信回数に戻すには、 no dot1x max-req インターフェイス コンフィギュレーション コマンドを使用します。
次の例では、認証プロセスを再開するまでに、スイッチがEAP要求/アイデンティティ フレームを送信する回数を5に設定します。
Switch(config-if)# dot1x max-req 5
802.1xポートは、単一ホスト モードまたは複数ホスト モードに設定できます。単一ホスト モードでは、802.1xポートで1台のホストだけが許可されます。ホストが認証されると、ポートは許可ステートになります。ホストがポートから切断されると、ポートは無許可ステートになります。認証済みのホスト以外のホストからのパケットは廃棄されます。
無線LANの例 のように、複数のホストを1つの802.1x対応ポートに接続できます。このモードでは、接続ホストのいずれか1つだけが許可されれば、すべてのホストがネットワーク アクセスを許可されます。ポートが無許可(再認証が失敗するかEAPOLログオフ メッセージを受信した場合)になると、接続されたすべてのクライアントのネットワーク アクセスが拒否されます。
複数ホスト モードがイネーブルの場合、802.1xをポートの認証に使用し、クライアントを含むすべてのMACアドレスへのネットワーク アクセスをポート セキュリティが管理します。
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている802.1x許可ポート上で、複数のホスト(クライアント)を許可するには、イネーブルEXECモードで次の手順を実行します。この手順は任意です。
|
802.1x許可ポート上で、複数のホスト(クライアント)を許可します。 指定されたインターフェイスについて 、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。 |
||
ポート上の複数ホストをディセーブルにするには、no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンドを使用します。
次の例は、スタック メンバー2のインターフェイスFastEthernet 0/1上で802.1xをイネーブルにし、複数ポートを許可する方法を示しています。
Switch(config)# interface fastethernet2/0/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
ゲストVLANを設定すると、サーバがEAPOL要求/アイデンティティ フレームへの応答を受信しなかった場合に、802.1x非対応のクライアントはゲストVLANに配置されます。802.1x対応だが、認証に失敗したクライアントは、ネットワークへのアクセスは許可されません。スイッチは、単一ホスト モードまたは複数ホスト モードでゲストVLANをサポートします。
|
インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスを指定します。サポートされているインターフェイス タイプについては、 802.1x設定時の注意事項 を参照してください。 |
||
|
アクティブVLANを802.1xゲストVLANとして指定します。指定できる範囲は1〜4094です。 内部VLAN(ルーテッド ポート)、RSPAN VLAN、または音声VLANを除き、任意のアクティブVLANを802.1xゲストVLANとして設定できます。 |
||
ゲストVLANをディセーブル化し削除するには、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンドを使用します。ポートは、無許可ステートに戻ります。
この例は、スタック メンバー2のインターフェイスGigabitEthernet 0/2上でVLAN 2を802.1xゲストVLANとしてイネーブルにする方法を示しています。
Switch(config)# interface gigabitethernet2/0/2
Switch(config-if)# dot1x guest-vlan 2
すべてのインターフェイスの802.1x統計情報を表示するには、 show dot1x all statistics イネーブルEXECコマンドを使用します。特定のインターフェイスの802.1x統計情報を表示するには、 show dot1x statistics interface interface-id イネーブルEXECコマンドを使用します。
スイッチについて802.1x管理および動作のステータスを表示するには、 show dot1x all イネーブルEXECコマンドを使用します。特定のインターフェイスの802.1x管理および動作のステータスを表示するには、 show dot1x interface interface-id イネーブルEXECコマンドを使用します。
All contents copyright (C) 1992--2004 Cisco Systems K.K.
