Network Edge Access Topology を使用した 802.1x サプリカントおよびオーセンティケータスイッチ
802.1x 規格では、一般の人がアクセス可能なポートから不正なクライアントが LAN に接続しないように規制する(適切に認証されている場合を除く)、クライアント/サーバ型のアクセス コントロールおよび認証プロトコルを定めています。認証サーバーがスイッチ ポートに接続する各クライアントを認証したうえで、スイッチまたは LAN が提供するサービスを利用できるようにします。設定情報を含む、802.1x の詳細については、「Configuring IEEE 802.1x Port-Based Authentication」を参照してください。
Network Edge Access Topology(NEAT)機能は、ワイヤリングクローゼット外の領域まで識別を拡張します。これにより、任意のタイプのデバイスをポートで認証できます。NEAT では、サプリカントスイッチとオーセンティケータ間でクライアントの MAC と VLAN 情報を伝播するために Client Information Signalling Protocol(CISP)が使用されます。CISP および NEAT は L2 ポートでのみサポートされ、L3 ポートではサポートされません。Cisco Catalyst IE9300 高耐久性シリーズ スイッチで NEAT を設定できます。
-
802.1x スイッチ サプリカント:802.1x サプリカント機能を使用することで、別のスイッチのサプリカントとして機能するようにスイッチを設定できます。この設定は、たとえば、スイッチがワイヤリング クローゼット外にあり、トランク ポートを介してアップストリーム スイッチに接続される場合に役に立ちます。802.1x スイッチ サプリカント機能を使用して設定されたスイッチは、セキュアな接続のためにアップストリーム スイッチで認証します。サプリカント スイッチが認証に成功すると、オーセンティケータ スイッチでポート モードがアクセスからトランクに変更されます。サプリカントスイッチでは、CISP を有効にするときに手動でトランクを設定する必要があります。
-
アクセス VLAN は、オーセンティケータ スイッチで設定されている場合、認証が成功した後にトランク ポートのネイティブ VLAN になります。
デフォルトでは、BPDU ガードが有効にされたオーセンティケータ スイッチにサプリカントのスイッチを接続する場合、オーセンティケータのポートはサプリカント スイッチが認証する前にスパニングツリー プロトコル(STP)のブリッジ プロトコル データ ユニット(BPDU)を受信した場合、errdisable 状態になる可能性があります。認証中にサプリカントのポートから送信されるトラフィックを制御できます。dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証が完了する前にオーセンティケータ ポートがシャットダウンすることがないように、認証中に一時的にサプリカントのポートをブロックします。認証に失敗すると、サプリカントのポートが開きます。no dot1x supplicant controlled transient グローバル コンフィギュレーション コマンドを入力すると、認証期間中にサプリカント ポートが開きます。これはデフォルトの動作です。
BPDU ガードが spanning-tree bpduguard enable インターフェイス コンフィギュレーション コマンドによりオーセンティケータのスイッチ ポートで有効になっている場合、サプリカント スイッチで dot1x supplicant controlled transient コマンドを使用することを強く推奨します。
![]() (注) |
spanning-tree portfast bpduguard default グローバル コンフィギュレーション コマンドを使用して、グローバルにオーセンティケータスイッチで BPDU ガードを有効にした場合、サプリカントスイッチで dot1x supplicant controlled transient コマンドを入力すると、BPDU の違反が避けられなくなります。 |
1 つ以上のサプリカントスイッチに接続するオーセンティケータ スイッチ インターフェイスで MDA または multiauth モードを有効にできます。マルチホスト モードはオーセンティケータ スイッチ インターフェイスではサポートされていません。
インターフェイスで有効になっているシングルホスト モードでオーセンティケータ スイッチをリブートすると、インターフェイスが認証前に err-disabled 状態に移行する場合があります。err-disabled 状態から回復するには、オーセンティケータ ポートをフラップしてインターフェイスを再度アクティブにし、認証を開始します。
すべてのホストモードで機能するように dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを NEAT のサプリカントスイッチで使用します。
-
ホスト許可:許可済み(サプリカントでスイッチに接続する)ホストからのトラフィックだけがネットワークで許可されます。これらのスイッチは、CISP を使用して、サプリカントスイッチに接続する MAC アドレスをオーセンティケータスイッチに送信します。
-
自動有効化:オーセンティケータ スイッチでのトランク コンフィギュレーションを自動的に有効化します。これにより、サプリカント スイッチから着信する複数の VLAN のユーザー トラフィックが許可されます。ISE で cisco-av-pair を device-traffic-class=switch として設定します(この設定は group または user 設定で行うことができます)。
図 1. CISP を使用したオーセンティケータまたはサプリカントスイッチ
1 |
ワークステーション(クライアント) |
2 |
サプリカント スイッチ(ワイヤリング クローゼット外) |
3 |
オーセンティケータ スイッチ |
4 |
Cisco ISE |
5 |
トランク ポート |
![]() (注) |
switchport nonegotiate コマンドは、NEAT を使用したサプリカントおよびオーセンティケータ スイッチではサポートされません。このコマンドは、トポロジのサプリカント側で設定しないでください。オーセンティケータ サーバ側で設定した場合は、内部マクロによってポートからこのコマンドが自動的に削除されます。 |