Cisco 900 シリーズ ISR ソフトウェア コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2019年6月16日
章のタイトル: レイヤ 3 インターフェイスでの ID 機能の設定
レイヤ 3 インターフェイスでの ID 機能の設定
この章では、Cisco 900 サービス統合型ルータ(ISR)のオンボード ギガビット イーサネット レイヤ 3 ポートでサポートされている ID 機能について説明します。
- 認証方法
- ポートの認証状態の制御
- フレキシブル認証
- ホスト モード
- オープン アクセス
- Control-Direction(Wake-on-LAN)
- 事前認証アクセス制御リスト
- ダウンロード可能アクセス コントロール リスト
- フィルタ ID または名前付きアクセス制御リスト
- IP デバイス トラッキング
(注
) クリティカル認証(アクセス不能認証バイパスまたは AAA 失敗ポリシーとも呼ばれる)は、オンボード ギガビット イーサネット レイヤ 3 ポートの ID 機能をサポートしていません。
認証方法
ID 機能は、さまざまな種類のエンド ホストおよびユーザに適したさまざまなタイプの認証方法をサポートしています。主に次の 2 つの方法が使用されます。
IEEE 802.1X の設定
次の例で、Cisco 900 ISR で IEEE 802.1X を設定する方法を示します。
Router(config)# interface gigabitethernet 0
Router(config-if)# authentication port-control auto
Router(config-if)#dot1x pae authenticator
設定を確認するには、show authentication sessions コマンドを使用します。
MAC 認証バイパス(MAB)の設定
Router(config)# interface gigabitethernet 0
Router(config-if)# authentication port-control auto
設定を確認するには、show authentication sessions コマンドを使用します。
ポートの認証状態の制御
- force-authorized:IEEE 802.1X を無効にして、認証交換を要求せずにポートを認証済み状態に移行させます。ポートは、クライアントの IEEE 802.1X ベース認証を行わずに、通常のトラフィックを送受信します。
- force-unauthorized:クライアントによる認証の試みをすべて無視し、ポートを未認証状態のままにします。ルータは、インターフェイス経由でクライアントに認証サービスを提供できません。
- auto:IEEE 802.1X 認証を有効にして、ポートを未認証状態で開始します。ポート経由で送受信できるのは、Extensible Authentication Protocol over LAN(EAPoL)フレームのみです。ポートのリンク状態がダウンからアップに移行するか、EAPoL-Start フレームを受信すると、認証プロセスが開始されます。ルータは、クライアントの ID を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。ルータは、クライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。クライアントが正常に認証されると、ポートが認証済みの状態に変わり、認証されたクライアントからの全フレームはポート経由で許可されるようになります。認証が失敗した場合、ポートは無許可ステートのままですが、認証を再試行できます。
ポート認証状態の制御の設定
Router(config)# interface gigabitethernet 0
Router(config-if)# authentication port-control {auto | force-authorized | force-unauthorized}
ポート認証状態の制御を確認するには、show authentication sessions コマンドと show dot1x コマンドを使用します。
フレキシブル認証
フレキシブル認証シーケンシングを使用すると、ユーザは、ルータ ポートで認証方法のすべてまたは一部を有効にして、認証方法を実行する順序を指定できます。
フレキシブル認証の設定
フレキシブル認証の設定の詳細については、次を参照してください。
http://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/identity-based-networking-service/application_note_c27-573287.html
ホスト モード
オンボード ギガビット イーサネット レイヤ 3 ポートの ID 機能では、シングルホスト モードのみがサポートされています。シングルホスト モードの場合、IEEE 802.1X 対応のルータ ポートに接続できるのは 1 つのクライアントのみです。ルータは、ポートのリンク状態がアップに変化したときに、EAPoL フレームを送信することによってクライアントを検出します。クライアントがログオフした場合、または別のクライアントに替わった場合、ルータは、ポートのリンク状態をダウンに変更し、ポートは未認証状態に戻ります。
オープン アクセス
オープン アクセス機能を使用すると、クライアントまたはデバイスは、認証が実行される前にネットワーク アクセスを取得できます。この機能は、主にブート前実行環境(PXE)シナリオで必要です。このシナリオでは、デバイスが、PXE がタイムアウトする前にネットワークにアクセスし、サプリカントが含まれるブート可能イメージをダウンロードする必要があります。
オープン アクセスの設定
Router(config)# interface gigabitethernet 0
Control-Direction(Wake-on-LAN)
ルータが Wake-on-LAN(WoL)による IEEE 802.1X 認証を使用している場合、ルータは、マジック パケットを含むトラフィックを未認証の IEEE 802.1X ポートに転送します。ポートが未認証の間、スイッチは、EAPoL パケット以外の入力トラフィックをブロックし続けます。ホストはパケットを受信できますが、パケットをネットワーク内の他のデバイスに送信することはできません。
Control-Direction(Wake-on-LAN)の設定
次の例で、Control-Direction(Wake-on-LAN)を設定する方法を示します。
Router(config)# interface gigabitethernet 0
Router(config-if)# authentication control-direction both
デフォルトの control-direction setting-both を確認するには、show authentication sessions コマンドと show dot1x コマンドを使用します。
Router# show authentication sessions interface Gi0
Authorized By: Authentication Server
Common Session ID: 03030303000000000000BA04
Dot1x Info for GigabitEthernet0
-----------------------------------
authentication control-direction setting-in を確認するには、show authentication sessions コマンドと show dot1x コマンドを使用します。
Router# show authentication sessions interface gi0
Authorized By: Authentication Server
Common Session ID: 030303030000000C00310024
Router# show dot1x interface g0
Dot1x Info for GigabitEthernet0
事前認証アクセス制御リスト
Open-Access がインストールされている場合、デフォルトのポートアクセス制御リスト(ACL)をオーセンティケータで設定することを推奨します。ACL を使用すると、エンドポイントは、IP アドレスの取得と実行に必要な最小限のネットワーク アクセスを取得できます。
事前認証アクセス制御リストの設定
http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst6500/ios/12-2SY/configuration/guide/sy_swcg/port_acls.html#wp1039754
ダウンロード可能アクセス コントロール リスト
ダウンロード可能な ACL は dACL とも呼ばれます。dACL をポートで動作させるには、IP デバイストラッキング機能を有効にし、ポートに接続されているエンドポイントに IP アドレスを割り当てる必要があります。ポートでの認証後、show ip access-list privileged EXEC コマンドを使用して、ポートにダウンロードした ACL を表示します。
フィルタ ID または名前付きアクセス制御リスト
フィルタ ID も dACL として機能しますが、オーセンティケータに ACL コマンドが設定されています。認証、認可、およびアカウンティング(AAA)は、オーセンティケータに ACL の名前を提示します。
IP デバイス トラッキング
dACL およびフィルタ ID 機能を有効にするには、IP デバイス トラッキング機能が必要です。デバイスで dACL またはフィルタ ID をプログラムするには、IP アドレスが必要です。IP デバイストラッキングは、対応するデバイスの IP アドレスを Enterprise Policy Manager(EPM)モジュールに提示します。その IP アドレスを dACL に追加することにより、各ユーザ向けに dACL が変換されます。
フィードバック