CLIを使用したCatalyst 1300スイッチでの認可変更の設定

目的

この記事の目的は、コマンドラインインターフェイス(CLI)を使用して、Catalyst 1300スイッチの認可変更(CoA)機能の基本設定を実行する方法を示すことです。

該当するデバイスとソフトウェアバージョン

• Catalyst 1300 スイッチ | 4.1.3.36

はじめに

認可変更(CoA)はRADIUSプロトコルの拡張機能であり、認証された後で認証、認可、アカウンティング(AAA)またはdot1xユーザセッションのプロパティを変更できます。AAA内のユーザまたはグループのポリシーが変更された場合、管理者はCisco Identity Services Engine(ISE)などのAAAサーバからRADIUS CoAパケットを送信して、認証を再初期化し、新しいポリシーを適用できます。

Cisco Identity Services Engine(ISE)は、完全な機能を備えたネットワークベースのアクセスコントロールおよびポリシー適用エンジンです。セキュリティの分析と適用、RADIUSおよびTACACSサービス、ポリシーの配布などを提供します。Cisco ISEは現在、Catalyst 1300スイッチ用にサポートされている唯一のCoAダイナミック認可クライアントです。詳細については、『ISE管理ガイド』を参照してください。

CoAのサポートは、ファームウェアバージョン4.1.3.36でCatalyst 1300スイッチに追加されました。これには、ユーザの接続解除と、ユーザセッションに適用される認可の変更のサポートが含まれます。このデバイスは、次のCoAアクションをサポートしています。

• セッションの切断
• ホストポートのCoAコマンドを無効にする
• Bounce host port CoAコマンド
• Reauthenticate host CoAコマンド

この記事では、CLIを使用したCatalyst 1300スイッチでの基本的なCoA設定コマンドについて説明します。手順は、ユーザの設定と要件によって異なります。

目次

• CLIを使用した基本的なCoA設定
• CoA設定のその他のコマンド
• 特権EXECモードのCLIコマンド

CLIを使用した基本的なCoA設定

RADIUSサーバとRADIUSアカウンティングの設定

RADIUSサーバを設定するには、グローバルコンフィギュレーションモードで次のコマンドを使用します。

手順 1

radius-server keyコマンドを使用すると、デバイスとRADIUSデーモン間のRADIUS通信に対して認証キーを設定できます。

手順 2

RADIUSサーバホストを設定するには、radius-server hostコマンドを使用します。

• IPアドレスはISEサーバのIPアドレスです。
• key <key-string>：デバイスとRADIUSサーバ間のすべてのRADIUS通信に対して、認証キーと暗号化キーを指定します。このキーは、RADIUSデーモンで使用される暗号化と一致する必要があります。
• Priority：サーバの使用順序を指定します。0が最高の優先順位です。(範囲：0 ～ 65535)
• usage dot1.x:RADIUSサーバを802.1xポート認証に使用することを指定します。

手順 3

動的承認サーバの設定

手順 1

グローバルコンフィギュレーションモードから、次のコマンドを実行して、CoAコンフィギュレーションモードに入ります。

手順 2

デバイスとCoAクライアント間で共有されるRADIUSキー（範囲：0 ～ 128文字）を設定するには、ダイナミック認可ローカルサーバコンフィギュレーションモードでコマンドserver-key <key-string>を使用します。CoA要求で指定されるキーは、このキーと一致する必要があります。

手順 3

CoAクライアントのホストIPアドレスを入力します。IPアドレスは、IPv4、IPv6、またはIPv6zアドレスです。

手順 4

802.1xの設定

802.1Xをグローバルに有効にするには、dot1x system-auth-controlコマンドを使用します。

ポートでの802.1xの設定

手順 1

インターフェイスコンフィギュレーションを入力し、interface GigabitEthernet<インターフェイスID>コマンドを使用してインターフェイスIDを選択します。

手順 2

ポートの許可状態の手動制御を有効にするには、dot1x port-controlコマンドを使用します。Autoモードでは、デバイスとクライアント間の802.1X認証交換に基づいて、ポートの802.1X認証がイネーブルになり、ポートがauthorized状態またはunauthorized状態に移行します。

手順 3

すべての802.1X対応ポートまたは指定した802.1X対応ポートの再認証を手動で開始するには、特権EXECモードでdot1x re-authenticateコマンドを使用します。

手順 4

ポートセキュリティラーニングモードを設定するには、ポートセキュリティモードインターフェイス（イーサネット、ポートチャネル）コンフィギュレーションモードコマンドを使用します。セキュアなdelete-on-resetパラメータは、delete-on-reset time-of-liveを備えた制限付きのラーニングセキュアMACアドレスを使用するセキュアモードです。

手順 5

インターフェイスの設定を終了するには、次のように入力します。

CoA設定のその他のコマンド

設定と設定に基づいて使用できる他のCoAコマンドの一部を次に示します。

• attribute event-timestamp drop-packet：このコマンドは、動的認可ローカルサーバコンフィギュレーションモードで、接続解除パケット(PoD)要求またはイベントタイムスタンプ属性を含まないCoA要求を廃棄するようにデバイスを設定するために使用されます。

• authenticationコマンドbounce-port ignore:RADIUS認可変更(CoA)バウンスポートコマンドを無視するようにデバイスを設定するには、グローバルコンフィギュレーションモードでauthenticationコマンドbounce-port ignoreコマンドを使用します。

• authenticationコマンドdisable-port ignore:RADIUS CoA disable-portコマンドを無視するようにデバイスを設定するには、グローバルコンフィギュレーションモードでこのコマンドを使用します。

• domain delimiter <character>：受信したPoDおよびCoA要求のユーザ名ドメイン区切り記号を設定するには、動的承認ローカルサーバコンフィギュレーションモードでdomain delimiterコマンドを使用します。

この例では、$文字がデリミタとして設定されています。

• domain stripping [right-to-left]：受信したPoDおよびCoA要求のユーザ名のドメイン削除を有効にし、動作を定義するには、dynamic authorization local server(DNS)設定モードでdomain strippingコマンドを使用します。

• ignore server-key：このコマンドは、動的認可ローカルサーバコンフィギュレーションモードで、CoAサーバキーを無視するようにデバイスを設定するために使用されます。

特権EXECモードのCLIコマンド

特権EXECモードから、認証済みクライアントに対してshowコマンドを実行し、クライアントカウンタをクリアして、ダイナミック認可サーバ設定を表示できます。

• show aaa clientsコマンドを使用して、AAA(CoA)クライアントの統計情報を表示します。

• CoA設定を表示するには、show aaa server radius dynamic-authorコマンドを使用します。

• clear aaa countersは、aaa clientsカウンタのクリアに使用できます

結論

これで、CLIを使用したCatalyst 1300スイッチでの基本的な認可変更(CoA)設定が完了しました。

Catalyst 1300スイッチのCLIコマンドの詳細は、『Cisco Catalyst 1300スイッチシリーズCLIガイド』を参照してください。