スイッチの設定 802.1X ポート認証設定

目標

IEEE 802.1x はクライアントとサーバ間のアクセスコントロールを促進する規格です。 サービスがローカル エリア ネットワーク （LAN）かスイッチによってクライアントに提供することができる前にスイッチポートに接続されるクライアントはリモート認証ダイヤルイン ユーザ サービス（RADIUS）を動作する認証サーバによって認証されなければなりません。

802.1X 認証はから LAN 公表アクセス可能なポートを通ってに不正 な クライアントを接続制限します。 802.1X 認証はクライアント/サーバモデルです。 このモデルでは、ネットワークデバイスに次の特定のロールがあります:

• クライアントかサプリカント—クライアントかサプリカントは LAN への要求 アクセス ネットワークデバイスです。 クライアントはオーセンティケータに接続されます。

• オーセンティケータ—オーセンティケータはどのサプリカント ポートがに接続されるかネットワークサービスを提供するネットワークデバイスであり。 次の認証方式はサポートされます:

• 802.1X ベース—すべての認証モードでサポートされる。 802.1X ベースの認証では、オーセンティケータは 802.1X メッセージか EAP over LAN （EAPOL）パケットから Extensible Authentication Protocol（EAP） メッセージを得、認証サーバに RADIUSプロトコルを使用して、渡します。

• MAC ベース—すべての認証モードでサポートされる。 ベースの Media Access Control（MAC）によってオーセンティケータ自体はネットワーク アクセスを追求しているクライアントに代わってソフトウェアの EAP Clientパートを実行します。

• Webベース—マルチセッション モードでだけサポートされる。 Webベース 認証によって、オーセンティケータはネットワーク アクセスを追求しているクライアントに代わって自体ソフトウェアの EAP Clientパートを実行します。

• 認証サーバ—認証サーバはクライアントの実際の認証を行います。 デバイスのための認証サーバは EAP 拡張機能が付いている RADIUS認証サーバです。

注: ネットワークデバイスはクライアントまたはサプリカント、オーセンティケータ、またはポートごとの両方のどちらである場合もあります。

イメージは下記のネットワークを表示する特定のロールに従ってデバイスを設定した。 この例では、SG350X スイッチは使用されます。

802.1X の設定のガイドライン:

1. バーチャルアクセス ネットワーク（VLAN）を作成して下さい。 VLAN をスイッチの Webベース ユーティリティを使用して作成するために、ここをクリックして下さい。 CLI ベース手順に関しては、ここをクリックして下さい。

2. スイッチの VLANの設定にポートを設定して下さい。 Webベース ユーティリティを使用して設定するために、ここをクリックして下さい。 CLI を使用するために、ここをクリックして下さい。

3. スイッチの 802.1X プロパティを設定して下さい。 802.1X はスイッチで 802.1X ポートベース 認証を有効に するためにグローバルに 有効に する必要があります。 手順についてはここをクリックしてください。

4. （オプションの）スイッチの時間 範囲を設定して下さい。 学ぶためにスイッチの時間 範囲設定を行う方法をここをクリックして下さい。

5. 802.1X ポート 認証を設定して下さい。 この技術情報は方法で手順をスイッチの 802.1X ポート認証設定を行う提供します。

学ぶためにスイッチの MAC ベースの認証を設定する方法をここをクリックして下さい。

適当なデバイス

• Sx300 シリーズ

• Sx350 シリーズ

• SG350X シリーズ

• Sx500 シリーズ

• Sx550X シリーズ

[Software Version]

• 1.4.7.06 — Sx300、Sx500

• 2.2.8.04 — Sx350、SG350X、Sx550X

スイッチの設定 802.1X ポート認証設定

設定 RADIUSクライアント設定

ステップ 1.スイッチの Webベース ユーティリティへのログインは表示 モード ドロップダウン リストでそれから『Advanced』 を選択 します。

注: 利用可能 な メニューオプションはデバイス モデルによって変わるかもしれません。 この例では、SG550X-24 は使用されます。

ステップ 2.セキュリティ > RADIUSクライアントへのナビゲート。

ステップ 3. RADIUS 表 セクションにスクロールし、RADIUSサーバを追加するために『Add…』 をクリック して下さい。

ステップ 4.サーバーの定義フィールドの IP アドレスか名前によって RADIUSサーバを規定 するためにかどうか選択して下さい。 IPバージョン フィールドの RADIUSサーバの IP アドレスのバージョンを選択して下さい。

注: この例で IP アドレスおよびバージョン 4 によって使用します。

ステップ 5. RADIUSサーバで IP アドレスによって入力するか、または指名して下さい。

注: サーバのIPアドレス/Name フィールドで 192.168.1.146 の IP アドレスを入力します。

ステップ 6.サーバの優先順位を入力して下さい。 優先順位はユーザを認証するためにデバイスがサーバを接続するように試みる順序を判別します。 デバイスは高優先順位 RADIUSサーバから最初に開始します。 0 は高優先順位です。

ステップ 7.デバイスと RADIUSサーバ間の通信を認証し、暗号化するために使用されるキー ストリングを入力して下さい。 このキーは RADIUSサーバで設定されるキーを一致する必要があります。 それは暗号化されたまたはプレーンテキスト 形式で入力することができます。 使用 デフォルトが選択される場合、デバイスは DEFAULT 鍵 ストリングの使用によって RADIUSサーバに認証するように試みます。

注: ユーザが定義するの（プレーンテキスト）使用して、キー例で入ります。

学ぶためにスイッチの RADIUSサーバ設定を行う方法をここをクリックして下さい。

ステップ 8 応答フィールドのためのタイムアウトでは、どちらかの使用 デフォルトをまたはユーザが定義する選択して下さい。 ユーザが定義したら再試行の最大数が作った場合選択されましたり、デバイスがクエリを再試行する前に RADIUSサーバからの返事を待っている秒数、または次のサーバへの切り替えに入ります。 使用 デフォルトが選択される場合、デバイスは既定のタイムアウト値を使用します。

注: この例では、使用 デフォルトは選択されました。

ステップ 9.認証 ポート フィールドで認証要求のための RADIUSサーバ ポートの UDP ポート番号を入力して下さい。 アカウンティングポート フィールドで説明要求のための RADIUSサーバ ポートの UDP ポート番号を入力して下さい。

注: この例では、認証 ポートおよびアカウンティングポート両方のためにデフォルト値を使用します。

ステップ 10： ユーザが定義したら再試行フィールドに、入力します失敗が発生すると考慮される前に RADIUSサーバに送信 される 要求の数を選択されます。 使用 デフォルトが選択された場合、デバイスはリトライの数のためにデフォルト値を使用します。

ユーザが定義したらデッドタイムの間、入力します無責任な RADIUSサーバがサービス要求のためにバイパスされる前に渡る必要がある分数を選択されます。 使用 デフォルトが選択された場合、デバイスはデッドタイムの間デフォルト値を使用します。 0 分に入った場合、デッドタイムがありません。

注: この例では、両方のフィールドに使用 デフォルトを選択します。

ステップ 11： 使用方法 Type フィールドでは、RADIUSサーバ 認証種別を入力して下さい。 次のオプションがあります。

• ログイン– RADIUSサーバはデバイスを管理することを頼む認証ユーザ向けに使用されます。

• 802.1X – RADIUSサーバは 802.1X 認証のために使用されます。

• 全 RADIUSサーバは認証ユーザ向けに使用され、802.1X 認証のためのデバイスを管理することを頼む。

ステップ 12： [Apply] をクリックします。

802.1X ポート認証設定を設定して下さい

ステップ 1.スイッチの Webベース ユーティリティへのログインは表示 モード ドロップダウン リストでそれから『Advanced』 を選択 します。

注: 利用可能 な メニューオプションはデバイス モデルによって変わるかもしれません。 この例では、SG350X-48MP は使用されます。

注: 持っていれば Sx300 または Sx300 シリーズはステップ 2.に切り替えましたり、スキップします。

ステップ 2. > 802.1X 認証 > ポート 認証 『Security』 を選択 して下さい。

ステップ 3.インターフェイスの種類 ドロップダウン リストからインターフェイスを選択して下さい。

• シングル ポートだけ選択される必要がある場合 port — インターフェイスの種類 ドロップダウン リストから、『Port』 を選択 して下さい。

• ラグ— インターフェイスの種類廃棄リストから、設定するためにラグを選択して下さい。 これはラグ設定で定義されるポートの集まりに影響を与えます。

注: この例では、ユニット 1 のポートは選択されます。

注: Sx300 シリーズのような非スタック可能 スイッチがあったらステップ 5.に切り替えて下さい、スキップして下さい。

ステップ 4.始動にインターフェイスのポートまたはラグのリストを『Go』 をクリック して下さい。

ステップ 5.設定したいと思うポートをクリックして下さい。

注: この例では、GE4 は選択されます。

ステップ 6.ページをスクロールしそして『Edit』 をクリック して下さい。

別のインターフェイスを編集したいと思う場合ステップ 7. （オプションの）はユニットおよびポート ドロップダウン リストから選択します。

注: この例では、ユニット 1 のポート GE4 は選択されます。

ステップ 8.管理上のポート 制御域の望ましいポート制御に対応する Radio ボタンをクリックして下さい。 次のオプションがあります。

• 不正 な強制—不正 な状態にポートを移動することによってインターフェイス アクセスを拒否します。 ポートはトラフィックを廃棄します。

• 自動—サプリカントの認証に基づく承認されるか、または不正 な状態間のポート移動。

• 承認される強制—認証なしでポートを承認します。 ポートはトラフィックを転送します。

注: この例では、自動は選択されます。

ステップ 9.選択されたポートのダイナミック VLAN 割り当てを設定するために RADIUS VLAN 割り当て Radio ボタンをクリックして下さい。 次のオプションがあります。

• disable — 機能は有効に なりません。

• リジェクト— RADIUSサーバがサプリカントを承認したが、サプリカント VLAN を提供しなかったら、サプリカントは拒否されます。

• RADIUSサーバがサプリカントを承認したら static —、しかしサプリカント VLAN を、サプリカント受け入れられます提供しませんでした。

注: この例では、スタティックは選択されます。

ステップ 10： 不正ポートのためのゲスト VLAN を有効に するためにゲスト VLAN チェックボックスのイネーブルをチェックして下さい。 ゲスト VLAN は不正ポートに 802.1 プロパティのゲスト VLAN ID エリアで選択される VLAN に加入させます自動的に。

ステップ 11. （オプションの）チェック 開架をイネーブルにするイネーブル 開架 チェックボックス。 開架は監視悪い状況 ネットワークに接続するホストのコンフィギュレーションに関する問題を理解するのを助け、固定されるべきこれらの問題を有効に します。

注: 開架がインターフェイスで有効に なるとき、スイッチは認証結果に関係なくインターフェイスに接続されるステーションのためのネットワークへの成功および割り当てアクセスように RADIUSサーバから届くすべての失敗を扱います。 この例では、開架は無効に なります。

ステップ 12： ポート上で 802.1X 認証を有効に するためにイネーブル 802.1X ベースの認証チェックボックスをチェックして下さい。

ステップ 13： サプリカント MAC アドレスに基づいてポート 認証を有効に するためにイネーブル MAC ベースの認証チェックボックスをチェックして下さい。 8 MAC ベースの認証だけポートで使用することができます。

注: 成功する MAC 認証に関しては RADIUSサーバ サプリカント ユーザ名 および パスワードはサプリカント MAC アドレスである必要があります。 MAC アドレスは小文字になしで入力されてあり。 または–区切り記号（0020aa00bbcc のような）。

注: この例では、MAC ベースの認証は無効に なります。

ステップ 14： スイッチの Webベース 認証を有効に するためにイネーブル WEB ベース認証 チェックボックスをチェックして下さい。 この例では、Webベース 認証は無効に なります。

注: この例では、Webベース 認証は無効に なります。

ステップ 15： （オプションの）ポートを所定の時間以降に再認証させますイネーブル定期的な再認証 チェックボックスをチェックして下さい。 今回は再認証期間フィールドで定義されます。

注: この例では、期間再認証は有効に なります。

ステップ 16： （オプションの）再認証期間フィールドで値を入力して下さい。 この値はインターフェイスがポートを再認証する前に秒の量を表します。 デフォルト値は 3600 秒であり、範囲は 300 から 4294967295 秒からです。

注: この例では、6000 秒は設定されます。

ステップ 17： （オプションの）イネーブルを即時ポート再認証を強制するために再認証します Now チェックボックスをチェックして下さい。 この例では、即時再認証は無効に なります。

オーセンティケータ State 領域はポートの許可状態を表示する。

ステップ 18： （オプションの）ポートが承認されること時間の制限を有効に するためにイネーブル タイム 範囲検査チェック ボックスをチェックして下さい。

注: この例では、時間 範囲は有効に なります。 この機能をスキップすることを好む場合ステップ 20 に進んで下さい。

ステップ 19： （オプションの）時間 範囲名前ドロップダウン リストから、使用するために時間 範囲を選択して下さい。

注: この例では、昼番は選択されます。

ステップ 20： 最大 WBA ログイン試行 エリアで、制限を設定 するために制限のために無限かユーザが定義するクリックしないで下さい。 ユーザが定義したら選択されましたり、Webベース 認証のために許可されるログイン試行の最大数を入力します。

注: 無限この例では選択されます。

ステップ 21： 最大 WBA 無音期間エリアで、制限を設定 するために制限のために無限かユーザが定義するクリックしないで下さい。 ユーザが定義したら選択されましたり、インターフェイスで許可される Webベース 認証のための沈黙期の最大長を入力します。

注: 無限この例では選択されます。

ステップ 22： 最大値ホスト エリアで、制限を設定 するために制限のために無限かユーザが定義するクリックしないで下さい。 ユーザが定義したら選択されましたり、インターフェイスで許可される承認されたホストの最大数を入力します。

注: マルチセッション モードの Webベース 認証における単一のホスト モードを模倣するために 1 にこの値を設定 して下さい。 無限この例では選択されます。

ステップ 23： 待機 時間 フィールドでは、スイッチによってが静かな状態を後失敗した認証交換維持した時間に入って下さい。 スイッチが静かな状態にあるとき、それはスイッチがクライアントからの新しい認証要求を聞き取っていないことを意味します。 デフォルト値は 60 秒であり、範囲は 1 から 65535 秒からです。

注: この例では、待機 時間は 120 秒に設定 されます。

ステップ 24： 送り直す Eap フィールドでは、スイッチが要求を送り直す前にサプリカントからの応答メッセージを待っている時間に入って下さい。 デフォルト値は 30 秒であり、範囲は 1 から 65535 秒からです。

注: この例では、EAP を送り直すことは 60 秒に設定 されます。

ステップ 25： 最大 Eap 要求 フィールドでは、送信 することができる Eap 要求の最大数を入力して下さい。 EAP は 802.1X で使用されるスイッチとクライアント間の認証情報交換を提供する認証方式です。 この場合、Eap 要求は認証のためのクライアントに送信 されます。 クライアントはそして応答し、認証情報を一致するなりません。 クライアントが応答しない場合、別の Eap 要求は送り直すことに一定 Eap 値基づき、認証プロセスは再起動します。 デフォルト値は 2 であり、範囲は 1 から 10.からです。

注: この例では、2 のデフォルト値は使用されます。

ステップ 26： サプリカント タイムアウト フィールドでは、Eap 要求がサプリカントに送り直される前に時間に入って下さい。 デフォルト値は 30 秒であり、範囲は 1 から 65535 秒からです。

注: この例では、サプリカント タイムアウトは 60 秒に設定 されます。

ステップ 27： サーバタイムアウト フィールドでは、スイッチが RADIUSサーバに再度要求を送信 する前に経過時間に入って下さい。 デフォルト値は 30 秒であり、範囲は 1 から 65535 秒からです。

注: この例では、サーバタイムアウトは 60 秒に設定 されます。

ステップ 28： それから『Close』 をクリック します 『Apply』 をクリック して下さい。

ステップ 29： （オプションの）スタートアップ コンフィギュレーション コンフィギュレーション・ファイルに設定を保存するために『SAVE』 をクリック して下さい。

今うまくスイッチの 802.1X ポート認証設定を行う必要があります。

マルチプルインターフェイスにインターフェイスコンフィギュレーション設定を加えて下さい

ステップ 1.マルチプルインターフェイスに認証の設定を適用したいと思うことインターフェイスの Radio ボタンをクリックして下さい。

注: この例では、GE4 は選択されます。

ステップ 2.それから『Copy』 をクリック します設定をスクロールして下さい。

ステップ 3 フィールドへのでは、選択されたインターフェイスの設定を適用してほしいインターフェイスの範囲を入力して下さい。 入力としてインターフェイスのインターフェイス番号か名前を使用できます。 1 のようなカンマで（、3、5 分かれる各インターフェイスに入ることができますまたは GE1、GE3、GE5）またはインターフェイスの範囲を入力することができます（1-5 または GE1-GE5 のような）。

注: この例では、コンフィギュレーションの設定はポート 47 に 48 に加えられます。

ステップ 4.それから『Close』 をクリック します 『Apply』 をクリック して下さい。

イメージは下記の設定の後で変更を描写します。

今 1 つのポートの 802.1X 認証設定を完全にコピーし、スイッチの他のポートに適用する必要があります。