Cisco IOS RPD 1.1 用 Cisco リモート PHY デバイス ソフトウェア設定ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月4日
章のタイトル: ネットワーク認証
ネットワーク認証
このドキュメントでは、Cisco cBR シリーズ コンバージド ブロードバンド ルータ上のリモート PHY デバイス ネットワーク認証について説明します。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://tools.cisco.com/ITDIT/CFN/ からアクセスできます。http://www.cisco.com/ のアカウントは必要ありません。
Cisco リモート PHY デバイスのハードウェア互換性マトリックス
 (注) | Cisco リモート PHY デバイスのあるリリースで導入されたハードウェア コンポーネントは、特に明記しない限り、それ以降のすべてのリリースでもサポートされます。 |
|
Cisco HFC プラットフォーム |
リモート PHY デバイス |
|---|---|
|
Cisco GS7000 ノード |
Cisco RPD IOS 1.1 以降のリリース シスコ リモート PHY デバイス 1x2
|
ネットワーク認証に関する情報
RPD は、認証されたネットワークと認証されていないネットワークの両方で動作できる必要があります。RPD に認証が必要かどうかは、接続されているネットワークによって決まります。場合によっては、RPD が非信頼ネットワーク上にあり、信頼ネットワーク上のデバイスに接続する必要があり、この場合、セキュリティの脆弱性が生じます。802.1X は、潜在的なセキュリティ問題を解消する認証サービスを提供するために導入されました。
802.1X は、認証サービスを提供するために EAP(Extensible Authentication Protocol)を使用するレイヤ 2 プロトコルです。ネットワーク認証を使用するには、次の証明書が必要です。
-
Cablelabs ルート CA 証明書:caRoot.pem
-
CableLabs デバイス CA 証明書:deviceCA.pem
-
RPD 証明書:rpdCert.pem、秘密キー:rpd.key
-
Cablelabs サービス プロバイダー CA 証明書:spCA.pem
-
AAA サーバ証明書:aaaCert.pem、秘密キー:aaa.key
ネットワーク認証を有効にする方法
ここでは、RPD のネットワーク認証を有効にする方法について説明します。
RADIUS サーバへの証明書のインストール
RADIUS サーバ に証明書をインストールするには、次の手順を実行します。
| ステップ 1 | AAA サーバの CA 証明書を組み合わせます。 例: cat spCA.pem caRoot.pem > ca_root_srv.pem |
| ステップ 2 | freeRadiusサーバで、"ca_root_srv.pem"、"spCA.pem"、"aaaCert.pem"、"aaa.key" を "/etc/freeradius/certs" にコピーします。 |
RADIUS サーバの設定
RPD に証明書をインストールするには、次の手順を実行します。
| ステップ 1 | /etc/freeradius/clients.conf で新しいクライアントを定義します。 例: client rphytest_ng13 {
ipaddr = 20.5.0.36
secret = rphytest
shortname = ng13_switch
require_message_authenticator = yes
}
"ipaddr" は、スイッチの管理 IP アドレスです。 |
| ステップ 2 | "/etc/freeradius/eap.conf" で、"tls" の次の行を変更して、サーバの秘密キー ファイルと証明書ファイルを指定します。 例: tls {
…
private_key_file = ${certdir}/aaa.key
certificate_file = ${certdir}/aaaCert.pem
CA_file = ${cadir}/ca_root_srv.pem
}
|
| ステップ 3 | RADIUS サーバで RADIUS を開始します。 例: sudo freeradius 1 つの freeradius インスタンスのみが実行されていることを確認します。 |
スイッチの設定
スイッチを設定するには、以下の手順に従います。
(注) | この手順は、Catalyst 3750 スイッチのために使用され、他のスイッチには異なるコマンドが使用される場合があります。 |
| ステップ 1 | グローバル コンフィギュレーション モードで、次の設定を追加します。 例: dot1x system-auth-control /* enable 802.1x */ aaa new-model aaa authentication dot1x default group radius radius-server host 10.79.41.103 auth-port 1812 key rphytest |
| ステップ 2 | RPD に接続するインターフェイスに次の設定を追加します。 例: authentication port-control auto dot1x pae authenticator |
認証ステータスの確認
RPD の dot1x 認証情報を表示するには、次の例に示されているとおり、show dot1x コマンドを使用します。
Router# show dot1x summary Interface Core-id EAP_Received Status vbh0 CORE-3415960568 True UP Router# show dot1x detail Interface Core-id EAP_Received Status vbh0 CORE-3415960568 True UP bssid=01:80:c2:00:00:03 freq=0 ssid= id=0 mode=station pairwise_cipher=NONE group_cipher=NONE key_mgmt=IEEE 802.1X (no WPA) wpa_state=COMPLETED ip_address=30.85.40.47 address=00:04:9f:00:03:73 Supplicant PAE state=AUTHENTICATED suppPortStatus=Authorized EAP state=SUCCESSselected Method=13 (EAP-TLS)EAP TLS cipher=ECDHE-RSA-AES256-SHA tls_session_reused=0 eap_session_id=0d53798f5b46014cc92a4ac1151521bae6a14c98f919eb5e8c81a701b7272be7f812e7e5a75881768d74d311795a3b1f0e37bfa7fff7cbc4685d36f216bec59850 uuid=ab722cfb-84dc-5835-a905-edfec20f78c3
フィードバック