この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
802.1X では、クライアント サーバ ベースのアクセス制御と認証プロトコルを定義し、許可されていないクライアントが公にアクセス可能なポートを経由して LAN に接続するのを規制します。認証サーバは、NX-OS デバイスのポートに接続されるクライアントを個々に認証します。
802.1X アクセス制御では、クライアントが認証されるまで、そのクライアントが接続しているポート経由の Extensible Authentication Protocol over LAN(EAPOL)トラフィックのみが許可されます。認証に成功すると、通常のトラフィックをポート経由で送受信することができます。
ここでは、802.1X ポートベースの認証に関する次の内容について説明します。
• 「装置のロール」
802.1X ポート ベースの認証では、図7-1 に示すように、ネットワーク上の装置にはそれぞれ特定のロールがあります。
図7-1 に示す特定のロールは、次のとおりです。
• サプリカント ― LAN および NX-OS デバイス サービスへのアクセスを要求し、NX-OS デバイスからの要求に応答するクライアント装置です。ワークステーションでは、Microsoft Windows XP が動作する装置で提供されるような、802.1X 準拠のクライアント ソフトウェアが稼働している必要があります。
(注) Windows XP のネットワーク接続および 802.1X ポートベースの認証の問題に関しては、次の URL にある「Microsoft Knowledge Base」を参照してください。
http://support.microsoft.com/support/kb/articles/Q303/5/97.ASP
• 認証サーバ ― サプリカントの実際の認証を行います。認証サーバはサプリカントの識別情報を確認し、LAN および NX-OS デバイスのサービスへのアクセスをサプリカントに許可すべきかどうかを NX-OS デバイスに通知しますNX-OS デバイスはプロキシとして動作するので、認証サービスはサプリカントに対しては透過的に行われます。認証サーバとして、Extensible Authentication Protocol(EAP)拡張機能を備えた Remote Authentication Dial-In User Service(RADIUS)セキュリティ装置だけがサポートされています。この認証サーバは、Cisco Secure Access Control Server バージョン 3.0 で使用可能です。RADIUS はサプリカント サーバ モデルを使用し、RADIUS サーバと 1 つまたは複数の RADIUS クライアントとの間でセキュア認証情報を交換します。
• オーセンティケータ ― サプリカントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。オーセンティケータは、サプリカントと認証サーバとの仲介装置(プロキシ)として動作し、サプリカントから識別情報を要求し、得られた識別情報を認証サーバに確認し、サプリカントに応答をリレーします。オーセンティケータには、EAP フレームのカプセル化/カプセル化解除、および認証サーバとの対話を処理する、RADIUS クライアントが含まれています。
オーセンティケータが EAPOL フレームを受信して認証サーバにリレーする際は、イーサネット ヘッダーを取り除き、残りの EAP フレームを RADIUS 形式にカプセル化します。このカプセル化のプロセスでは EAP フレームの変更または確認が行われないため、認証サーバはネイティブ フレーム フォーマットの EAP をサポートする必要があります。オーセンティケータは認証サーバからフレームを受信すると、サーバのフレーム ヘッダーを削除し、残りの EAP フレームをイーサネット用にカプセル化してサプリカントに送信します。
(注) NX-OS デバイスは、802.1X オーセンティケータにのみなれます。
オーセンティケータ(NX-OS デバイス)とサプリカント(クライアント)のどちらも認証を開始できます。ポート上で認証をイネーブルにした場合、オーセンティケータはポートのリンク ステートがダウンからアップに移行した時点で、認証を開始する必要があります。続いて、オーセンティケータは EAP-Request/Identity フレームをサプリカントに送信して識別情報を要求します(通常、オーセンティケータは、1 つまたは複数の識別情報の要求のあとに、最初の Identity/Request フレームを送信します)。サプリカントはフレームを受信すると、EAP-Response/Identity フレームで応答します。
サプリカントがブートアップ時にオーセンティケータから EAP-Request/Identity フレームを受信しなかった場合、サプリカントは EAPOL 開始フレームを送信することにより認証を開始することができます。この開始フレームにより、オーセンティケータはサプリカントの識別情報を要求します。
(注) ネットワーク アクセス装置で 802.1X がイネーブルになっていない場合、またはサポートされていない場合、NX-OS デバイスはサプリカントからの EAPOL フレームをすべてドロップします。サプリカントが、認証の開始を 3 回試みても EAP-Request/Identity フレームを受信しなかった場合、サプリカントはポートが許可ステートにあるものとしてデータを送信します。ポートが許可ステートになっている場合は、サプリカントの認証が成功したことを意味します。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。
サプリカントが自己の識別情報を提示すると、オーセンティケータは仲介装置としてのロールを開始し、認証が成功または失敗するまで、サプリカントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、オーセンティケータのポートは許可ステートになります。詳細については、「許可ステートおよび無許可ステートのポート」を参照してください。
EAP フレームの特殊な交換は、使用する認証方式によって異なります。図7-2 に、サプリカントが RADIUS サーバに One-Time-Password(OTP; ワンタイム パスワード)認証方式を使用して開始するメッセージ交換を示します。OTP 認証装置は、シークレット パスフレーズを使用して、一連のワンタイム(使い捨て)パスワードを生成します。ユーザのシークレット パスフレーズは、認証時やパスフレーズの変更時などにネットワークを通過することはありません。
サプリカントのネットワークへのアクセスが許可されるかどうかは、オーセンティケータのポート ステートで決まります。ポートは最初、無許可ステートです。このステートにあるポートは、802.1X プロトコル パケットを除いたすべての入力および出力トラフィックを禁止します。サプリカントの認証に成功すると、ポートは許可ステートに移行し、サプリカントのすべてのトラフィック送受信を通常どおりに許可します。
802.1X 認証をサポートしていないクライアントが無許可ステートの 802.1X ポートに接続した場合、オーセンティケータはクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートとなり、クライアントはネットワーク アクセスを許可されません。
反対に、802.1X 対応のクライアントが、802.1X プロトコルの稼働していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答がなければ、クライアントは同じ要求を所定の回数だけ送信します。応答がないため、クライアントはポートが許可ステートであるものとしてフレーム送信を開始します。
• force authorized ― 802.1X ポートベースの認証をディセーブルにし、認証情報の交換を必要としないで許可ステートに移行します。ポートはクライアントとの 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。この認証ステートはデフォルトです。
• force unauthorized ― ポートが無許可ステートのままになり、クライアントからの認証の試みをすべて無視します。オーセンティケータは、インターフェイスを経由してクライアントに認証サービスを提供することができません。
• auto ― 802.1X ポートベースの認証をイネーブルにします。ポートは無許可ステートで開始し、ポート経由で送受信できるのは EAPOL フレームだけです。ポートのリンク ステートがダウンからアップに移行したとき、またはサプリカントから EAPOL 開始フレームを受信したときに、認証プロセスが開始します。オーセンティケータは、クライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。オーセンティケータはサプリカントの MAC(メディア アクセス制御)アドレスを使用して、ネットワーク アクセスを試みる各サプリカントを一意に識別します。
サプリカントの認証に成功すると(認証サーバから Accept フレームを受信すると)、ポートが許可ステートに変わり、認証されたサプリカントからの全フレームがポート経由での送受信を許可されます。認証が失敗すると、ポートは無許可ステートのままですが、認証を再試行することはできます。認証サーバに到達できない場合、オーセンティケータは要求を再送信できます。所定の回数だけ試行してもサーバから応答が得られない場合には、認証が失敗し、サプリカントのネットワーク アクセスは認可されません。
サプリカントはログオフするとき、EAPOL ログオフ メッセージを送信します。このメッセージによって、オーセンティケータのポートは無許可ステートに移行します。
ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL ログオフ フレームを受信した場合に、ポートは無許可ステートに戻ります。
MAC 認証バイパス機能を使用して、サプリカントの MAC アドレスに基づいてサプリカントを認証するように、NX-OS デバイスを設定できます。たとえば、プリンタなどの装置に接続されている 802.1X 機能を設定したインターフェイスで、この機能をイネーブルにすることができます。
サプリカントからの EAPOL 応答を待機している間に 802.1X 認証がタイムアウトした場合は、MAC 認証バイパスを使用して NX-OS デバイスはクライアントの許可を試みます。
インターフェイスで MAC 認証バイパス機能をイネーブルにすると、NX-OS デバイスは MAC アドレスをサプリカント ID として使用します。認証サーバには、ネットワーク アクセスが許可されたサプリカントの MAC アドレスのデータベースがあります。NX-OS デバイスは、インターフェイスでクライアントを検出したあと、クライアントからのイーサネット パケットを待ちます。NX-OS デバイスは、MAC アドレスに基づいてユーザ名とパスワードを含んだ RADIUS アクセス/要求フレームを認証サーバに送信します。許可に成功した場合、NX-OS デバイスはネットワークへのクライアント アクセスを許可します。許可に失敗した場合、ゲスト VLAN が設定されていれば、ポートにゲスト VLAN を割り当てます。
リンクのライフタイム中に EAPOL パケットがインターフェイスで検出される場合、このインターフェイスに接続されている装置が 802.1X 対応サプリカントであることを NX-OS デバイスが判別し、(MAC 認証バイパスではなく)802.1X 認証を使用してインターフェイスを許可します。インターフェイス リンク ステータスがダウンになると EAPOL 履歴がクリアされます。
NX-OS デバイスがすでに MAC 認証バイパスを使用してインターフェイスを許可していて、802.1X サプリカントを検出した場合、NX-OS デバイスはインターフェイスに接続されているクライアントを無許可にしません。再認証を実行する際に、Termination-Auction RADIUS アトリビュート値が DEFAULT であるために前のセッションが終了した場合、NX-OS デバイスは 802.1X 認証を優先再認証プロセスとして使用します。
MAC 認証バイパスで許可されたクライアントを再認証することができます。再認証プロセスは、802.1X で認証されたクライアントと同様です。再認証中に、ポートは前に割り当てられた VLAN に残ります。再認証に成功した場合、スイッチはポートを同じ VLAN 内に保持します。再認証に失敗した場合、ゲスト VLAN が設定されていればポートにゲスト VLAN を割り当てます。
再認証が Session-Timeout RADIUS アトリビュート(Attribute [27])と Termination-Action RADIUS アトリビュート(Attribute [29])に基づいていて、Termination-Action RADIUS アトリビュート(Attribute [29])アクションが初期化の場合、(アトリビュート値は DEFAULT)、MAC 認証バイパス セッションが終了して、再認証中に接続が失われます。MAC 認証バイパスがイネーブルで 802.1X 認証がタイムアウトした場合、スイッチは MAC 認証バイパス機能を使用して再許可を開始します。これらの AV ペアの詳細については、RFC 3580『 IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines 』を参照してください。
802.1X 認証 ― 802.1X 認証がポートでイネーブルの場合のみ、MAC 認証バイパスをイネーブルにできます。
ポート セキュリティ ― 「ポート セキュリティを使用した 802.1X」を参照してください。
Network Admission Control(NAC)レイヤ 2 IP 検証 ― 例外リスト内のホストを含む 802.1X ポートが MAC 認証バイパスで認証されたあとに、この機能が有効になります。
802.1X 機能では、1 つのポートのトラフィックを 1 台のエンドポイント装置に限定(シングルホスト モード)したり、1 つのポートのトラフィックを複数のエンドポイント装置に許可(マルチホスト モード)することができます。
シングルホスト モードでは、802.1X ポートで 1 台のエンドポイント装置だけからのトラフィックが許可されます。エンドポイント装置が認証されると、NX-OS デバイスはポートを許可ステートにします。エンドポイント装置がログオフすると、NX-OS デバイスはポートを無許可ステートに戻します。802.1X のセキュリティ違反とは、認証に成功して許可された単一の MAC アドレスとは異なる MAC アドレスをソースとするフレームが検出された場合をいいます。このような場合、この Security Association(SA; セキュリティ アソシエーション)違反(他の MAC アドレスからの EAPOL フレーム)が検出されたインターフェイスはディセーブルにされます。シングルホスト モードは、ホストツースイッチ型トポロジで 1 台のホストが NX-OS デバイスのレイヤ 2 ポート(イーサネット アクセス ポート)またはレイヤ 3 ポート(ルーテッド ポート)に接続されている場合にのみ適用できます。
マルチホスト モードに設定されている 802.1X ポートで、認証が必要になるのは最初のホストだけです。最初のホストの許可に成功すると、ポートは許可ステートに移行します。ポートが許可ステートになると、後続のホストがネットワーク アクセスの許可を受ける必要はありません。再認証に失敗したり、または EAPOL ログオフ メッセージを受信して、ポートが無許可ステートになった場合には、接続しているすべてのクライアントはネットワーク アクセスを拒否されます。マルチホスト モードでは、SA 違反の発生時にインターフェイスをシャットダウンする機能がディセーブルになります。マルチホスト モードは、スイッチツースイッチ型トポロジおよびホストツースイッチ型トポロジの両方に適用できます。
NX-OS デバイスでは、同じレイヤ 2 ポート上に 802.1X 認証とポート セキュリティを設定できます。802.1X は、RADIUS サーバを使用して、ポートに接続されるエンドポイント装置を認証します。ポート セキュリティは、MAC アドレスに基づいてポートを保護します(ポートの最大 MAC アドレス数まで)。この違いは、2 つの機能を組み合わせて使用することができます。NX-OS ソフトウェアでは、ホストツースイッチ型トポロジとスイッチツースイッチ型トポロジの両方で、802.1X 認証とレイヤ 2 ポートのポート セキュリティをサポートしています。
802.1X とポート セキュリティを組み合わせる場合は、802.1X とポート セキュリティの両方がサプリカントの MAC アドレスを認証する必要があります。マルチホスト モードでは、ポート セキュリティは最初のサプリカントの MAC アドレスのみ認証します。最初のサプリカントの認証に成功すると、NX-OS デバイスは他のサプリカントからの後続トラフィックをポート セキュリティに送信します。
ポート セキュリティの詳細については、 第 13 章「ポート セキュリティの設定」 を参照してください。
8021X ポートベースの認証は、次の 2 つのトポロジでサポートされます。
ポイントツーポイント構成では(802.1X 装置のロールを参照)、802.1X 対応のオーセンティケータ(NX-OS デバイス)ポートにサプリカント(クライアント)を 1 台だけ接続することができます。オーセンティケータは、ポートのリンク ステートがアップ ステートに移行したときにサプリカントを検出します。サプリカントがログオフしたとき、または別のサプリカントに代わったときには、オーセンティケータはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
図7-3に、ワイヤレス LAN 上での 802.1X ポートベースの認証を示します。802.1X ポートはマルチホスト ポートとして設定され、1 台のサプリカントが認証されるとすぐにポートが許可されます。ポートが許可されると、ポートに間接的に接続されている他のすべてのホストは、ネットワークへのアクセスを許可されます。ポートが無許可ステートになった場合(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、NX-OS デバイスは接続しているすべてのサプリカントのネットワーク アクセスを禁止します。
802.1X の設定と操作は、Virtual Device Context(VDC)に対してローカルです。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
|
|
---|---|
802.1X にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。 |
• ネットワーク内の 1 つまたは複数の RADIUS サーバがアクセス可能であること
• MAC アドレス認証バイパス機能をイネーブルにする場合(MAC アドレス認証バイパスのイネーブル化を参照)を除き、802.1X サプリカントがポートに接続されていること
802.1X ポートベースの認証には、次の設定に関する注意事項と制限事項があります。
• NX-OS ソフトウェアは、物理ポートでのみ 802.1X をサポートしています。
• NX-OS ソフトウェアは、サブインターフェイスまたはポートチャネルでは 802.1X をサポートしません。
• 802.1X 認証をイネーブルにした場合、サプリカントが認証されてから、イーサネット インターフェイス上のレイヤ 2 またはレイヤ 3 のすべての機能がイネーブルになります。
• NX-OS ソフトウェアは、ポート チャネルまたはトランク内のイーサネット インターフェイスでのみ 802.1X 認証をサポートします。
• NX-OS ソフトウェアは、ポート チャネル内のトランク インターフェイスまたはメンバー インターフェイス上ではシングルホスト モードをサポートしません。
• NX-OS ソフトウェアは、トランク インターフェイス上では MAC アドレス認証バイパス機能をサポートしません。
• 「インターフェイスの 802.1X 認証タイマーの変更」
• 「シングルホスト モードまたはマルチホスト モードのイネーブル化」
• 「NX-OS デバイス上での 802.1X 認証のディセーブル化」
• 「802.1X グローバル設定のデフォルト値へのリセット」
• 「802.1X インターフェイス設定のデフォルト値へのリセット」
• 「オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定」
• 「インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定」
• 「8021.X の RADIUS アカウンティングのイネーブル化」
• 「802.1X の AAA アカウンティング方式の設定」
(注) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。
ステップ 1 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
ステップ 2 リモート RADIUS サーバとの接続を設定します(802.1X の AAA 認証方式の設定を参照)。
ステップ 3 イーサネット インターフェイスで 802.1X 認証をイネーブルにします(インターフェイスでの 802.1X 認証の制御を参照)。
オプションとして、802.1X 認証の次のメンテナンス タスクも実行できます。
• 定期的な自動再認証をイネーブルにします(グローバル定期再認証のイネーブル化を参照)。
• 手動で再認証を実行します(手動によるサプリカントの再認証を参照)。
• 802.1X 機能のステートを初期化します(手動による 802.1X 認証の初期化を参照)。
• 802.1X グローバル認証タイマーを変更します(802.1X グローバル認証タイマーの変更を参照)。
• インターフェイスの 802.1X 認証タイマーを変更します(インターフェイスの 802.1X 認証タイマーの変更を参照)。
• インターフェイスで複数ホストをイネーブルにします(シングルホスト モードまたはマルチホスト モードのイネーブル化を参照)。
• インターフェイスで MAC アドレス認証バイパス機能をイネーブルにします(MAC アドレス認証バイパスのイネーブル化を参照)。
• 802.1X 認証を禁止します(NX-OS デバイス上での 802.1X 認証のディセーブル化を参照)
• 802.1X 機能をディセーブルにします(802.1X 機能のディセーブル化を参照)。
• 802.1X グローバル設定をデフォルト値にリセットします(802.1X グローバル設定のデフォルト値へのリセットを参照)。
• インターフェイスの 802.1X 設定をデフォルト値にリセットします(802.1X インターフェイス設定のデフォルト値へのリセットを参照)。
• フレーム再送信リトライ回数を変更します(オーセンティケータとサプリカント間のフレーム再送信最大リトライ回数のグローバル設定を参照)。
• 802.1X 認証の RADIUS アカウンティングをイネーブルにします(8021.X の RADIUS アカウンティングのイネーブル化を参照)。
• 802.1X の AAA アカウンティングを設定します(802.1X の AAA アカウンティング方式の設定を参照)。
• 802.1X 認証の最大要求数を変更します(インターフェイスでのオーセンティケータとサプリカント間のフレーム再送信最大リトライ回数の設定を参照)。
• 802.1X 再認証の最大要求数を変更します(インターフェイスでの再認証最大リトライ回数の設定を参照)。
|
|
|
---|---|---|
802.1X 認証にリモート RADIUS サーバを使用できます。RADIUS サーバおよび RADIUS サーバ グループを設定し、デフォルト AAA 認証方式を指定したあとに、NX-OS デバイスは 802.1X 認証を実行します。
RADIUS サーバの設定手順については、 第 3 章「RADIUS の設定」 を参照してください。RADIUS サーバ グループの設定手順については、 第 2 章「AAA の設定」 を参照してください。
2. aaa authentication dot1x default group group-list
|
|
|
---|---|---|
802.1X 認証に使用する RADIUS サーバ グループを指定します。 group-list 引数は、グループ名をスペースで区切ったリストです。グループ名は次のとおりです。 |
||
インターフェイス上で実行される 802.1X 認証を制御できます。インターフェイスの 802.1X 認証ステートは、次のとおりです。
• auto ― インターフェイス上の 802.1X 認証をイネーブルにします。
• force-authorized ― インターフェイス上の 802.1X 認証をディセーブルにし、認証を行わずにインターフェイス上のすべてのトラフィックを許可します。このステートがデフォルトです。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
3. dot1x port-control { auto | forced-authorized | forced-unauthorized }
|
|
|
---|---|---|
interface ethernet slot / port |
||
dot1x port-control { auto | force-authorized | forced-unauthorized } |
||
802.1X グローバル定期再認証をイネーブルにし、再認証を実行する頻度を指定します。期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔は 3600 秒(1 時間)です。
手動でサプリカントを再認証する場合は、「手動によるサプリカントの再認証」を参照してください。
(注) 再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
NX-OS デバイス上ですべてのサプリカントの定期再認証をイネーブルにします。デフォルトでは、定期再認証はディセーブルです。 |
||
デフォルト値は 3600 秒です。有効な範囲は 1 ~ 65535 です。 (注) 定期再認証をイネーブルにする場合にのみ、このコマンドは NX-OS デバイスの動作に影響します。 |
||
インターフェイスの 802.1X 定期再認証をイネーブルにし、再認証を実行する頻度を指定します。期間を指定しないで再認証をイネーブルにした場合、再認証を行う間隔はグローバル値にデフォルト設定されます。
手動でサプリカントを再認証する場合は、「手動によるサプリカントの再認証」を参照してください。
(注) 再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
NX-OS デバイス全体のサプリカントまたはインターフェイスのサプリカントを手動で再認証できます。
(注) 再認証プロセス中、すでに認証されているサプリカントのステータスは影響を受けません。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
NX-OS デバイスまたは特定のインターフェイスのすべてのサプリカントの認証を、手動で初期化することができます。
(注) 認証を初期化すると、クライアントの認証プロセスを開始する前に既存のすべての認証ステータスがクリアされます。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
NX-OS デバイスでは、次の 802.1X グローバル認証タイマーがサポートされます。
• 待機時間タイマー ― NX-OS デバイスがサプリカントを認証できない場合、所定の時間アイドル状態を続けたあと、再試行します。待機時間タイマーの値でアイドル時間が決まります。認証が失敗する原因には、サプリカントが提供したパスワードが無効な場合があります。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。デフォルト値は 60 秒です。有効な範囲は 1 ~ 65535 です。
• スイッチとサプリカント間の再送信時間タイマー ― クライアントは、NX-OS デバイスの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。NX-OS デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機したあと、フレームを再送信します。デフォルトは 30 秒です。有効な範囲は 1 ~ 65535 秒です。
(注) また、待機時間タイマーおよびスイッチとサプリカント間の送信時間タイマーをインターフェイス レベルでも設定できます(インターフェイスの 802.1X 認証タイマーの変更を参照)。
(注) このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う必要がある場合にのみ変更してください。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. dot1x timeout quiet-period seconds
NX-OS デバイスのインターフェイス上で変更できる 802.1X 認証タイマーは、次のとおりです。
• 待機時間タイマー ― NX-OS デバイスがサプリカントを認証できない場合、スイッチは所定の時間アイドル状態になり、そのあと再試行します。待機時間タイマーの値でアイドルの時間が決まります。認証が失敗する原因には、サプリカントが無効なパスワードを提供した場合があります。デフォルトより小さい値を入力して、ユーザへの応答時間を短縮できます。デフォルトは、グローバル待機時間タイマーの値です。有効な範囲は 1 ~ 65535 秒です。
• レート制限タイマー ― レート制限時間中、サプリカントから過剰に送信されている
EAPOL-Start パケットを抑制します。オーセンティケータはレート制限時間中、認証に成功したサプリカントからの EAPOL-Start パケットを無視します。デフォルト値は 0 秒で、オーセンティケータはすべての EAPOL-Start パケットを処理します。有効な範囲は 1 ~ 65535 秒です。
• レイヤ 4 パケットに対するスイッチと認証サーバ間の再送信タイマー ― 認証サーバは、レイヤ 4 パケットを受信するたびにスイッチに通知します。スイッチがパケット送信後に通知を受信できない場合、NX-OS デバイスは所定の時間だけ待機したあと、パケットを再送信します。デフォルト値は 30 秒です。有効な範囲は 1 ~ 65535 秒です。
• EAP 応答フレームに対するスイッチとサプリカント間の再送信タイマー ― サプリカントは、NX-OS デバイスの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。NX-OS デバイスがこの応答を受信できなかった場合、所定の時間(再送信時間)だけ待機したあと、フレームを再送信します。デフォルト値は 30 秒です。有効な範囲は 1 ~ 65535 秒です。
• EAP 要求フレームに対するスイッチとサプリカント間の再送信タイマー ― サプリカントは、NX-OS デバイスに EAP 要求フレームを受信したことを通知します。オーセンティケータがこの通知を受信できなかった場合、オーセンティケータは所定の時間だけ待機したあと、フレームを再送信します。デフォルトは、グローバル再送信時間タイマーの値です。有効な範囲は 1 ~ 65535 秒です。
(注) このデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にのみ変更してください。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
3. dot1x timeout quiet-period seconds
4. dot1x timeout ratelimit-period seconds
5. dot1x timeout server-timeout seconds
6. dot1x timeout supp-timeout seconds
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
|
|
|
---|---|---|
interface ethernet slot / port |
||
ホスト モードを設定します。デフォルトは、 single-host です。 (注) 指定のインターフェイスに対し dot1x |
||
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
|
|
|
---|---|---|
interface ethernet slot / port |
||
MAC アドレス認証バイパスをイネーブルにします。デフォルトはバイパスのディセーブルです。 eap キーワードを使用して、許可に EAP を使用するように NX-OS デバイスを設定します。 |
||
NX-OS デバイス上の 802.1X 認証をディセーブルにすることができます。デフォルトでは、802.1X 機能をイネーブルにすると、NX-OS ソフトウェアが 802.1X 認証をイネーブルにします。ただし、802.1X 機能をディセーブルにした場合、設定は NX-OS デバイスから削除されます。NX-OS ソフトウェアでは、802.1X の設定を失わずに 802.1X 認証をディセーブルにできます。
(注) 802.1X 認証をディセーブルにすると、設定されているポート モードに関係なく、すべてのインターフェイスのポート モードがデフォルトの force-authorized になります(インターフェイスでの 802.1X 認証の制御を参照)。802.1X 認証を再びイネーブルにすると、NX-OS ソフトウェアはインターフェイス上に設定したポート モードを復元します。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
NX-OS デバイス上の 802.1X 認証をディセーブルにします。デフォルトはイネーブルです。 (注) NX-OS デバイス上の 802.1X 認証をイネーブルにするには、dot1x system-auth-control コマンドを使用します。 |
||
NX-OS デバイス上の 802.1X 機能をディセーブルにすることができます。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
|
||
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
interface ethernet slot / port |
||
オーセンティケータとサプリカント間の再送信時間を変更できるだけでなく、(サプリカントから応答がなかった場合に)NX-OS デバイスが認証プロセスを再開するまでに、サプリカントに EAP-Request/Identity フレームを送信する回数を設定することができます。
(注) このコマンドのデフォルト値は、リンクの信頼性が低下した場合や、特定のサプリカントおよび認証サーバの動作に問題がある場合など、異常な状況に対する調整を行う場合にのみ変更してください。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
802.1X 認証プロセスを再開するまでの、最大要求リトライ回数を変更します。デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。 (注) 指定のインターフェイスに対し dot1x |
||
セッションがタイムアウトするまでに、NX-OS デバイスがインターフェイス上でサプリカントに認証要求を再送信する最大回数を設定できます。デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
interface ethernet slot / port |
||
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
|
|
|
---|---|---|
8021.X に対する AAA アカウンティングをイネーブルにします。デフォルトはディセーブルです。 group-list 引数は、グループ名をスペースで区切ったリストです。グループ名は次のとおりです。 |
||
セッションがタイムアウトするまでに、NX-OS デバイスがインターフェイス上でサプリカントに再認証要求を再送信する最大回数を設定できます。デフォルトは 2 回です。有効な範囲は 1 ~ 10 回です。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
2. interface ethernet slot / port
|
|
|
---|---|---|
interface ethernet slot / port |
||
802.1X 情報を表示するには、次の作業のいずれかを行います。
|
|
---|---|
show dot1x interface ethernet slot / port [ details | statistics | summary ] |
|
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
NX-OS デバイスが保持している 802.1X のアクティビティに関する統計情報を表示します。
正しい VDC にいることを確認します(または switchto vdc コマンドを使用)。
NX-OS デバイス上の 802.1X 機能をイネーブルにします(802.1X 機能のイネーブル化を参照)。
1. show dot1x { all | interface ethernet slot / port } statistics
|
|
|
---|---|---|
switch# show dot1x { all | interface ethernet slot / port } statistics |
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
(注) 802.1X 認証が必要なすべてのインターフェイスに対して、dot1x port-control auto コマンドを繰り返してください。
表7-1 に、802.1X パラメータのデフォルト設定を示します。
802.1X の実装に関連する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
• 「MIB」
|
|
---|---|
『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』 |
|
|
---|---|
802.1X IEEE Standard for Local and Metropolitan Area Networks Port-Based Network Access Control |
|
IEEE 802.1X Remote Authentication Dial In User Service (RADIUS) Usage Guidelines |
|
|
---|---|
MIB の確認とダウンロードを行うには、次の URL にアクセスします。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |