スイッチでの802.1xサプリカントクレデンシャルの設定

概要

IEEE 802.1xは、クライアントとサーバ間のアクセス制御を容易にする標準です。ローカルエリアネットワーク(LAN)またはスイッチによってクライアントにサービスを提供するには、スイッチポートに接続されたクライアントが、リモート認証ダイヤルインユーザサービス(RADIUS)を実行する認証サーバによって認証される必要があります。

802.1x認証は、不正なクライアントがパブリックにアクセス可能なポートを介してLANに接続するのを制限します。802.1x認証は、クライアントサーバモデルです。このモデルでは、ネットワークデバイスには次の役割があります。

• クライアントまたはサプリカント：クライアントまたはサプリカントは、LANへのアクセスを要求するネットワークデバイスです。クライアントはオーセンティケータに接続されています。
• オーセンティケータ：オーセンティケータは、ネットワークサービスを提供し、サプリカントポートが接続されているネットワークデバイスです。次の認証方式がサポートされています。

- 802.1x-based：すべての認証モードでサポートされます。802.1xベースの認証では、オーセンティケータは802.1xメッセージまたはEAP over LAN(EAPoL)パケットからExtensible Authentication Protocol(EAP)メッセージを抽出し、RADIUSプロトコルを使用して認証サーバに渡します。

- MACベース：すべての認証モードでサポートされます。メディアアクセス制御(MAC)ベースでは、オーセンティケータ自体が、ネットワークアクセスを求めるクライアントに代わってソフトウェアのEAPクライアント部分を実行します。

- Webベース：マルチセッションモードでのみサポートされます。Webベース認証では、オーセンティケータ自体が、ネットワークアクセスを求めるクライアントに代わってソフトウェアのEAPクライアント部分を実行します。

• 認証サーバ：認証サーバは、クライアントの実際の認証を実行します。デバイスの認証サーバは、EAP拡張を備えたRADIUS認証サーバです。

注：ネットワークデバイスは、クライアントまたはサプリカント、オーセンティケータ、または両方のポートを使用できます。

次の図は、特定のロールに従ってデバイスを設定したネットワークを示しています。この例では、SG350Xスイッチが使用されています。

ただし、スイッチの一部のポートをサプリカントとして設定することもできます。サプリカントクレデンシャルがスイッチの特定のポートに設定されたら、802.1x対応ではないデバイスを直接接続して、デバイスが保護されたネットワークにアクセスできるようにします。次の図は、スイッチをサプリカントとして設定したネットワークのシナリオを示しています。

802.1xの設定の前提条件:

• RADIUS サーバを設定します。スイッチのRADIUSサーバーの設定方法については、ここをクリックしてください。
• 仮想ローカルエリアネットワーク(VLAN)を作成します。 スイッチのWebベースのユーティリティを使用してVLANを作成するには、ここをクリックします。CLIベースの手順については、ここをクリックします。
• スイッチのポートからVLANへの設定を行います。Webベースのユーティリティを使用して設定するには、ここをクリックします。CLIを使用するには、ここをクリックします。
• スイッチのグローバル802.1xプロパティを設定します。スイッチのWebベースのユーティリティを使用してグローバル802.1xプロパティを設定する方法については、ここをクリックしてください。CLIベースの手順については、ここをクリックします。
• （オプション）スイッチで時間範囲を設定します。スイッチで時間範囲を設定する方法については、ここをクリックしてください。CLIを使用するには、ここをクリックします。
• スイッチで802.1xサプリカントクレデンシャルを設定します。手順は、この記事で説明します。CLIベースの手順については、ここをクリックします。 
• 802.1xポート認証を設定します。スイッチのWebベースのユーティリティを使用するには、ここをクリックします。CLIを使用するには、ここをクリックします。 

目的

スイッチは、有線ネットワーク上で802.1xサプリカント（クライアント）として設定できます。802.1xを使用してスイッチを認証できるように、暗号化されたユーザ名とパスワードを設定できます。

IEEE 802.1xポートベースのネットワークアクセス制御を使用するネットワークでは、802.1xオーセンティケータがアクセスを許可するまで、サプリカントはネットワークにアクセスできません。ネットワークで802.1xを使用する場合は、スイッチで802.1x認証情報を設定して、オーセンティケータに情報を提供できるようにする必要があります。

この記事では、スイッチで802.1xサプリカントクレデンシャルを設定する方法について説明します。

該当するデバイス

• Sx350Xシリーズ
• SG350Xシリーズ
• SG550Xシリーズ

[Software Version]

• 2.3.0.130

802.1xサプリカントクレデンシャルの設定

802.1xサプリカントクレデンシャルの作成

ステップ1：スイッチのWebベースのユーティリティにログインし、[Display Mode]ドロップダウンリストで[Advanced]を選択します。

注：使用できるメニューオプションは、デバイスのモデルによって異なります。この例では、SG350X-48MPが使用されています。

ステップ2:[Security] > [802.1X Authentication] > [Supplicant Credentials]を選択します。

ステップ3:[Add] ボタンをクリックして、サプリカントの新しいユーザクレデンシャルを追加します。

ステップ4:[Credential Name]フィールドに資格情報名を入力します。

注：この例では、ciscoと入力します。

ステップ5:[ユーザー名]フィールドに、クレデンシャル名に関連付けるユーザ名を入力します。

注：この例では、switchuserが使用されています。

ステップ6:（オプション）[Description]フィールドに認証情報の説明を入力します。

注：この例では、SG350Xサプリカントが使用されています。

ステップ7：使用するパスワードのタイプに対応するオプションボタンをクリックし、[Allocated]フィールドにパスワードを入力します。

注：この例では、プレーンテキストを選択し、使用するパスワードはC!$C0123456です。

ステップ8:[Apply]をクリックし、[Close]をクリックします。

ステップ9:（オプション）[Save]ボタンをクリックし、設定をスタートアップコンフィギュレーションファイルに保存します。

802.1xサプリカントクレデンシャルの編集

ステップ1：編集するクレデンシャル名のチェックボックスをオンにします。

注：この例では、ciscoが選択されています。

ステップ2:[Edit]ボタンをクリックします。

ステップ3:（オプション）暗号化されたパスワードをプレーンテキストで表示するには、「機密データをプレーンテキストとして表示」ボタンをクリックします。

ステップ4:（オプション）[OK]をクリックして、暗号化されたパスワードをプレーンテキストで表示します。

ステップ5：クレデンシャルの詳細を適宜更新します。

注：この例では、パスワードはC!$C012345678に更新されています。

ステップ6:[Apply]をクリックし、[Close]をクリックします。

これで、スイッチのサプリカントクレデンシャルの詳細が正常に編集されたはずです。

暗号化されたパスワードをプレーンテキストとして表示

ステップ1：暗号化されたパスワードをプレーンテキストで表示するには、[機密データをプレーンテキストとして表示する]ボタンをクリックします。

ステップ2:（オプション）パスワードがプレーンテキスト形式で表示されます。[機密データを暗号化して表示]ボタンをクリックすると、パスワードの暗号化形式が表示されます。

これで、機密パスワードがプレーンテキストとして正常に表示されるはずです。

802.1xサプリカントクレデンシャルの削除

ステップ1：削除するクレデンシャル名のチェックボックスをオンにします。

ステップ2:[削除]ボタンをクリックします。

これで、スイッチのサプリカントクレデンシャルのテーブルからエントリが正常に削除されたはずです。

802.1xサプリカントインターフェイスの設定

設定した802.1xサプリカントクレデンシャルを適用するには、スイッチで802.1x認証情報を設定して、オーセンティケータに情報を提供できるようにする必要があります。スイッチで802.1xポート認証を設定するには、上記の前提条件を参照してください。