802.1X ポートベース認証について
802.1X では、クライアント/サーバ ベースのアクセス コントロールと認証プロトコルとして 802.1X ポートベース認証を定義し、不正なクライアントが一般的にアクセス可能なポートを通じて LAN に接続するのを制限します。認証サーバは、オーセンティケータ(ネットワーク アクセス スイッチ)ポートに接続された各サプリカント(クライアント)を確認してから、スイッチまたは LAN が提供するサービスを利用できるようにします。
(注) 802.1X をサポートするには、Remote Authentication Dial-In User Service(RADIUS)用に設定された認証サーバが必要です。ネットワーク アクセス スイッチが設定済みの RADIUS サーバにパケットをルーティングできないと、802.1X 認証は機能しません。スイッチがパケットをルーティングできることを確認するには、スイッチからサーバに ping を送信します。
クライアントが認証されるまでは、クライアントが接続されたポートを使用する Extensible Authentication Protocol over LAN(EAPOL)トラフィックだけが許容されます。認証が成功すると、通常のトラフィックがポートを使用できるようになります。
802.1X ポートベースの認証を設定するには、以下に説明する概念を理解する必要があります。
• 「デバイスの役割」
• 「802.1X とネットワーク アクセス コントロール」
• 「認証の開始およびメッセージ交換」
• 「許可ステートおよび無許可ステートのポート」
• 「802.1X ホスト モード」
• 「802.1X 違反モード」
• 「MAC 移動の使用」
• 「MAC 置換の使用」
• 「VLAN 割り当てを使用した 802.1X 認証の利用」
• 「ゲスト VLAN を使用した 802.1X 認証の使用」
• 「MAC 認証バイパスを使用した 802.1X 認証の利用」
• 「Web ベース認証を使用した 802.1X 認証の利用」
• 「アクセス不能認証バイパスを使用した 802.1X 認証の利用」
• 「単方向制御ポートを使用した 802.1X 認証の利用」
• 「VLAN ユーザ分散を使用した 802.1X の利用」
• 「認証失敗 VLAN 割り当てを使用した 802.1X 認証の利用」
• 「ポート セキュリティを使用した 802.1X 認証の利用」
• 「ACL 割り当てとリダイレクト URL を使用した 802.1X 認証の使用」
• 「RADIUS によるセッション タイムアウトを使用した 802.1X 認証の利用」
• 「音声 VLAN ポートを使用した 802.1X 認証の利用」
• 「複数ドメイン認証と複数認証の使用」
• 「Network Edge Access Topology を使用した 802.1X サプリカントおよびオーセンティケータ」
• 「ポート上で 802.1X が失敗する場合」
• 「サポートされるトポロジ」
デバイスの役割
802.1X ポートベース認証では、ネットワーク装置は特定の役割を果たします。図 45-1 に、下記の各装置の役割を示します。
図 45-1 802.1X デバイスのロール
• クライアント:LAN へのアクセスを要求し、スイッチからの要求に応答するワークステーション。ワークステーションは、802.1X 準拠のクライアント ソフトウェアが動作するものでなければなりません。
• オーセンティケータ:クライアントの認証ステータスに基づいて、ネットワークへの物理アクセスを制御します。Catalyst 4500 シリーズ スイッチは、クライアントと認証サーバ間の仲介装置として機能し、クライアントに識別情報を要求してその情報を認証サーバで確認し、クライアントに応答をリレーします。スイッチは Extensible Authentication Protocol(EAP)フレームのカプセル化およびカプセル化解除を行い、RADIUS 認証サーバと対話します。
スイッチが EAPOL フレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りの EAP フレームが RADIUS 形式で再度カプセル化されます。カプセル化では EAP フレームの変更または検証は行われず、認証サーバはネイティブ フレーム フォーマットの EAP をサポートしなければなりません。スイッチが認証サーバからフレームを受信すると、サーバからフレーム ヘッダーが削除され、EAP フレームが残ります。これがイーサネット用にカプセル化されてクライアントに送信されます。
(注) Catalyst 4500 シリーズ スイッチでは、RADIUS クライアントおよび 802.1X をサポートするソフトウェアを実行している必要があります。
• 認証サーバ:クライアントの実際の認証を行います。認証サーバは、クライアントの識別情報を確認し、LAN およびスイッチ サービスへのクライアントのアクセスを許可することをスイッチに通知します。(サポートされる認証サーバは、EAP 拡張機能を備えた RADIUS 認証サーバのみです。これは、Cisco Secure Access Control Server バージョン 3.2 以降のリリースで使用できます)。
802.1X とネットワーク アクセス コントロール
ネットワーク アクセス コントロールは、ポート アクセス ポリシーが認証装置のアンチウイルス ポスチャによって影響を受ける機能です。
アンチ ウイルスのポスチャには、デバイスで実行されているオペレーティング システム、オペレーティング システムのバージョン、アンチウイルス ソフトウェアがインストールされているかどうか、使用できるウイルス シグニチャのバージョンなどの要素が含まれています。認証デバイスに NAC 対応 802.1X サプリカントがあり、802.1X を使用して NAC をサポートするように認証サーバが設定されている場合、ウイルスのポスチャ情報は 802.1X 認証交換の一部として自動的に含まれます。
NAC の詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/products/ps6128/index.html
認証の開始およびメッセージ交換
スイッチまたはクライアントのどちらからでも、認証を開始できます。以下を使用してポート上で認証をイネーブルにする場合、ポートのリンク ステートが移行したことを確認したときに、 authentication port-control auto インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(46) SG 以前のリリースでは dot1x port-control auto コマンド)を使用して、スイッチ認証を開始する必要があります。次に EAP-Request/Identity フレームをクライアントに送信して識別情報を要求します(一般に、スイッチは最初の Identity/Request フレームを送信して、そのあとで 1 つまたは複数の認証情報の要求を送信します)。クライアントはフレームを受信すると、EAP-Response/Identity フレームで応答します。
ただし、クライアントが起動時にスイッチからの EAP-Request/Identity フレームを受信しなかった場合、クライアントは EAPOL-Start フレームを送信して認証を開始できます。このフレームはスイッチに対し、クライアントの識別情報を要求するように指示します。
ネットワーク アクセス スイッチで 802.1X がイネーブルになっていない場合、またはサポートされていない場合は、クライアントからの EAPOL フレームはドロップされます。クライアントが認証の開始を 3 回試みても EAP EAP-Request/Identity フレームを受信しなかった場合、クライアントはポートが許可ステートにあるかのようにフレームの送信を開始します。ポートが認証ステートであるということは、クライアントが正しく認証されていることを意味します。クライアントが自らの識別情報を提示すると、スイッチは仲介デバイスとしての役割を開始し、認証が成功または失敗するまで、クライアントと認証サーバの間で EAP フレームを送受信します。認証が成功すると、スイッチ ポートは許可ステートになります。
実際に行われる EAP フレーム交換は、使用する認証方式によって異なります。図 45-2 に、認証サーバで One-Time-Password(OTP)認証方式を使用するクライアントによって開始されるメッセージ交換を示します。
図 45-2 メッセージ交換
許可ステートおよび無許可ステートのポート
スイッチ ポートのステートによって、クライアントがネットワーク アクセスを許可されているかどうかがわかります。ポートは、無許可ステートで開始します。ポートはこのステートにある間、802.1X プロトコル パケットを除いてすべての入力トラフィックおよび出力トラフィックを許容しません。クライアントが正常に認証されると、ポートは許可ステートに移行し、そのクライアントへのすべてのトラフィックが許容されます。
802.1X 非対応クライアントが無許可ステートの 802.1X ポートに接続している場合、スイッチはクライアントの識別情報を要求します。この状況では、クライアントは要求に応答せず、ポートは引き続き無許可ステートのままであり、クライアントはネットワーク アクセスを許可されません。802.1X 非対応クライアントに接続されたポート上にゲスト VLAN が設定されている場合、このポートは設定されたゲスト VLAN に追加され、許可ステートになります。詳細については、「ゲスト VLAN を使用した 802.1X 認証の使用」を参照してください。
これに対し、802.1x 対応のクライアントが、802.1x プロトコルを実行していないポートに接続すると、クライアントは EAPOL 開始フレームを送信して認証プロセスを開始します。応答を受信しなかった場合、クライアントは要求を固定回数だけ送信します。応答が得られないため、クライアントはポートが許可ステートにあるかのようにフレームの送信を開始します。
authentication port-control インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(46)SG 以前では dot1x port-control auto コマンド)およびこれらのキーワードを使用することにより、ポート認可状態をコントロールできます。
• force-authorized :802.1X 認証をディセーブルにして、認証交換を要求せずにポートを許可ステートに移行させます。ポートはクライアントの 802.1x ベース認証なしで通常のトラフィックを送受信します。この設定は、デフォルトです。
• force-unauthorized :ポートが無許可ステートのままになり、クライアントからの認証の試みをすべて無視します。スイッチはインターフェイスを使用してクライアントに認証サービスを提供できません。
• auto :802.1X 認証をイネーブルにして、ポートに無許可ステートを開始させ、EAPOL フレームだけがポートを使用して送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、または EAPOL-Start フレームを受信すると、認証プロセスが開始されます。スイッチはクライアントの識別情報を要求し、クライアントと認証サーバとの間で認証メッセージのリレーを開始します。スイッチはクライアントの MAC アドレスを使用して、ネットワーク アクセスを試みる各クライアントを一意に識別します。
クライアントが正常に認証されると(認証サーバから Accept フレームを受信する)、ポートが許可ステートに変わり、認証されたクライアントのフレームはすべてそのポートを使用して許可されます。認証が失敗した場合、ポートは無許可ステートのままですが、認証を再試行できます。認証サーバにアクセスできない場合、スイッチは要求を再送信できます。指定された回数試行してもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。
ポートのリンク ステートがアップからダウンに移行した場合、または EAPOL-Logoff フレームを受信した場合、ポートは無許可ステートに戻ります。
MDA がポートでイネーブルになっている場合、音声認証に適用可能な一部の例外付きでこのフローを使用できます。MDA の詳細については、以下を参照してください。「複数ドメイン認証と複数認証の使用」。
図 45-3 に、認証プロセスを示します。
図 45-3 認証フローチャート
シングルホスト モード
単一ホストまたは複数ホスト モードの 802.1X ポートを設定できます。単一ホスト モード(図 45-1 を参照)では、802.1X 対応スイッチ ポートに接続できるのは 1 つのクライアントだけです。スイッチは、ポートのリンク ステートがアップに変化したときに、EAPOL フレームを送信することでクライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
複数ホスト モード
複数ホスト モードでは、複数のホストを 1 つの 802.1X 対応ポートに接続できます。図 45-4に、ワイヤレス LAN 上での 802.1X ポートベースの認証を示します。このモードでは、接続されたクライアントのうち 1 つが許可されれば、クライアントすべてのネットワーク アクセスが許可されます。ポートが無許可ステートになると(再認証が失敗した場合、または EAPOL ログオフ メッセージを受信した場合)、スイッチは接続されたすべてのクライアントのネットワーク アクセスを拒否します。このトポロジでは、ワイヤレス アクセス ポイントが接続しているクライアントの認証を処理し、スイッチに対してクライアントとしての役割を果たします。
マルチ ホスト モードがイネーブルになっている場合、802.1X 認証を使用してポートおよびポート セキュリティを認証し、クライアントも含めて、すべての MAC アドレスへのネットワーク アクセスを管理できます。
図 45-4 マルチ ホスト モードの例
マルチドメイン認証モード
Cisco IOS Release 12.2(37)SG、Catalyst 4500 シリーズ スイッチ以降は、MDA(マルチドメイン認証)をサポートします。MDA では、802.1X を使用して、IP Phone(Cisco またはサードパーティ)および IP Phone に接続されている単一ホストを個々に認証でき、MAC 認証バイパス(MAB)または(ホストのみに対して)Web ベースの認証が可能です。このアプリケーションでは、マルチドメインは、データと音声の 2 つのドメインを指し、1 ポートごとに 2 つの MAC アドレスのみ使用できます。1 つのスイッチでは、これらが同じスイッチ ポートにある場合でも、データ VLAN にホストを、音声 VLAN に IP Phone をそれぞれ置くことができます。データ VLAN および音声 VLAN は、CLI 設定で指定できます。デバイスは、認証、許可、アカウンティング(AAA)サーバから受信したベンダー固有属性(VSA)によって、データまたは音声のいずれかとして認識されます。データ VLAN と音声 VLAN は、認証中に(AAA)サーバから受信した VSA からも取得されます。
図 45-5 マルチドメイン認証モードの例
図 45-5図 45-5 に、802.1X がイネーブルのポートに接続されている IP Phone に接続された単一ホストがある、典型的な MDA アプリケーションを示します。クライアントはスイッチに直接接続されないため、クライアントが接続されていない場合、スイッチでは、ポート リンクの切断を検出できません。別のデバイスで、接続されていないクライアントで確立された認証が後で使用されることを防ぐため、Cisco IP Phone は、Cisco Discovery Protocol(CDP)のホスト表示 Type-Length-Value(TLV)に対して、接続されているクライアントのポート リンク状態に変更があったスイッチを通知します。
MDA の設定方法については、「複数ドメイン認証と複数認証の使用」を参照してください。
マルチ認証モード
Cisco IOS Release 12.2(50)SG から、マルチ認証モードでは、音声 VLAN 上の 1 つのクライアントと、データ VLAN 上の複数の認証済みクライアントを使用できます。ハブまたはアクセス ポイントが 802.1X ポートに接続されているときに、接続されている各クライアントの認証を要求することにより、マルチ認証モードによって、複数ホスト モードを介して拡張セキュリティが用意されます。非 802.1X デバイスでは、個々のホスト認証のフォールバック方式として MAB または Web ベースの認証を使用でき、これによって、単一ポート上の異なる方式を介して異なるホストを認証できます。
マルチ認証では、認証サーバから受信した VSA により、データ VLAN または音声 VLAN のいずれかに対して認証済みデバイスを割り当てることによって、音声 VLAN 上で MDA 機能もサポートされます。
(注) ポートがマルチ認証モードの場合、ゲスト VLAN および認証失敗 VLAN は、データ デバイスに対してアクティブになりません。
認証前オープン アクセス
Cisco IOS Release 12.2(50)SG から、認証前にデバイスからネットワークにアクセスできるよう、4 つのホスト モードのうち任意のモードを追加設定することができます。この認証前オープン アクセスは、Pre-boot eXecution Environment(PXE)などのアプリケーションで役に立ちます。PXE では、デバイスがネットワークにアクセスし、認証クライアントを含むブート可能イメージをダウンロードする必要があります。
ホスト モード設定後に、 authentication open コマンドを入力することにより、認証前オープン アクセスをイネーブルにします。設定済みホスト モードに対する拡張機能として動作します。たとえば、単一ホスト モードで認証前オープン アクセスがイネーブルにされている場合、ポートでは、1 つの MAC アドレスのみ使用できます。認証前オープン アクセスがイネーブルの場合、ポート上に設定されている 802.1X とは別の他のアクセス制限によってのみ、ポート上の初期トラフィックは、制限されます。ポート上で 802.1X 以外のアクセス制限が設定されていない場合は、設定された VLAN 上でクライアント デバイスがフル アクセスできます。
802.1X 違反モード
違反モード(制限、シャットダウン、および置換)を設定するには、authentication violation インターフェイス コンフィギュレーション コマンドを使用します。
シングル ホスト モードで、セュリティ違反は、データ VLAN で複数のデバイスが検出された場合に発生します。マルチドメイン認証モードで、セュリティ違反は、データ VLAN または音声 VLAN で複数のデバイスが検出された場合に発生します。
セキュリティ違反は、マルチホスト モードまたはマルチ認証モードでは発生しません。
セキュリティ違反が発生すると、ポートは、次のような設定された違反アクションに応じて保護されます。
シャットダウン:ポートを errdisable にします(ポートのデフォルト動作)。
制限:ポート ステートは影響を受けません。ただし、攻撃 MAC アドレスからのトラフィックを制限するように、プラットフォームは通知を受けます。
置換:ポートを errdisable にし、または制限する代わりに、新しいホストで既存のホストを置換します。
詳細については、「違反アクションの設定」を参照してください。
MAC 移動の使用
ホストは、別のスイッチのポートに移動したかのように、制限なしで、同じまたは別の VLAN 上のスイッチ内のポート間で移動できる必要があります。
Cisco IOS Release 12.2(54) SG よりも前では、MAC アドレスが 1 つのスイッチ ポートで認証されると、そのアドレスは別の 802.1X スイッチ ポートで許可されません。スイッチが別の 802.1X ポートで同じ MAC アドレスを検出した場合、このアドレスは許可されません。
Cisco IOS Release 12.2(54) SG 以降では、同じスイッチの別のポートに MAC アドレスを移動できます。ただし、最初のホストが接続解除されたときに、ポートダウン イベントまたはプロキシ EAPoL-Logoff/CDP TLV が受信される場合、これは直接接続ホストまたは Cisco 電話機の背後にあるホストに対して、適切ではありません。これは、ハブから接続解除されるホスト、サードパーティの電話機、またはレガシー Cisco 電話に対して適切で、セッションは維持されます。MAC 移動ではこのようなホストをデバイスから接続解除して、同じスイッチの別のポートに直接接続できます。
デバイスが新しいポートで再認証されるように、MAC 移動をグローバルにイネーブルにできます。ホストが別のポートに移動すると、最初のポートのセッションが削除され、ホストは新しいポートで再認証されます。
MAC 移動はすべてのホスト モードでサポートされます (認証済みホストは、そのポートでイネーブルになっている任意のホスト モードで、スイッチの任意のポートに移動できます)。
詳細については、「MAC 移動の設定」を参照してください。
MAC 置換の使用
Cisco IOS Release 12.2(54) SG 以降では、新しいホストを放棄されたポートに接続できます。設定された違反アクションが置換である場合、ポートを errdisable にするか、または制限する代わりに、既存のホストは新しいホストに置換されます(単一ホスト モードおよび MDA モードの場合と同様)。
ただし、最初のホストが接続解除されたときに、ポートダウン イベントまたはプロキシ EAPoL-Logoff/CDP TLV が受信される場合、これは直接接続ホストまたは Cisco 電話機の背後にあるホストには関係しません。これは、ホストがハブ、サードパーティの電話機、またはレガシー Cisco 電話から接続解除されたときに、セッションを維持する場合に関係します。このポートに接続している新しいホストは、ホスト モードに違反し、違反が発生します。違反アクションがある置換である場合、NAD(スイッチ)は、最初のセッションを終了し、新しい MAC に基づいて認証シーケンスをリセットします。これは、単一ホストおよび MDA ホスト モードに適用されます。マルチ認証モードでは、同じポートの既存セッションの削除は試行されません。
詳細については、「MAC 置換の設定」を参照してください。
VLAN 割り当てを使用した 802.1X 認証の利用
VLAN 割り当てを使用すると、ネットワーク アクセスを特定のユーザに限定できます。VLAN 割り当てでは、802.1X で認証されたポートはポートに接続したクライアントのユーザ名に基づいて VLAN に割り当てられます。RADIUS サーバ データベースは、ユーザ名/VLAN マッピングを保持します。ポートの 802.1X 認証が成功すると、RADIUS サーバは VLAN 割り当てをスイッチに送信します。この場合の VLAN は、標準 VLAN または PVLAN です。
PVLAN をサポートするプラットフォームでは、ポートを PVLAN に割り当てることによってホストを分離できます。
スイッチおよび RADIUS サーバ上で設定する場合、VLAN 割り当てを使用した 802.1X 認証には次の特性があります。
• RADIUS サーバから VLAN が提供されない場合は、認証が成功したときにポートは自身のアクセス VLAN または独立 PVLAN に設定されます。
• 認証サーバが無効な VLAN 情報を提供した場合、ポートは無許可ステートのままになります。これは、設定エラーによって不適切な VLAN 上にポートが突然現れることを防ぐためです。
• 複数認証モードが 802.1X ポートでイネーブルの場合、Cisco IOS Release 15.0(2) SG 以降では、VLAN 割り当てが、最初に認証されたホストで正常に行われます。(ユーザ クレデンシャルに基づいて)後に許可されたデータ ホストは、正常に認証されたと見なされます。ただし、VLAN 割り当てがないか、ポートで最初に正常に認証されたホストと一致する VLAN 割り当てがあることを条件とします。これにより、ポートで正常に認証されたすべてのホストは、確実に同じ VLAN メンバになります。VLAN 割り当ての柔軟性は、最初に認証されたホストだけで生じます。
• 認証サーバが有効な VLAN 情報を提供した場合、認証に成功すると、ポートは許可ステートになり、指定された VLAN に追加されます。
• 複数ホスト モードがイネーブルの場合、すべてのホストは最初に認証されたユーザと同じ VLAN 内にあります。
• ポート上で 802.1X がディセーブルになると、そのポートは設定されたアクセス VLAN に戻ります。
• ポートは、アクセス ポート(「通常の」VLAN にのみ割り当て可能)か、または PVLAN ホスト ポート(PVLAN にのみ割り当て可能)として設定する必要があります。ポートを PVLAN ホスト ポートとして設定すると、ポート上のすべてのホストはそのポスチャが適合か不適合かにかかわらず、PVLAN に割り当てられることになります。Access-Accept に示された PVLAN タイプが、ポートに割り当てられると予測される PVLAN タイプ(アクセス ポートには通常の VLAN、PVLAN ホスト ポートにはセカンダリ PVLAN)と一致しない場合、VLAN 割り当ては失敗します。
• ゲスト VLAN が応答しないホストを処理するよう設定されている場合、ゲスト VLAN として設定されている VLAN タイプがポート タイプと一致する必要があります(つまり、アクセス ポート上で設定されたゲスト VLAN の場合は標準 VLAN、PVLAN ホスト ポート上で設定されたゲスト VLAN の場合は PVLAN)。ゲスト VLAN のタイプが、ポート タイプと一致しない場合、応答しないホストはゲスト VLAN が設定されていない場合と同じように処理されます(つまり、ネットワーク アクセスを拒否されます)。
• ポートを PVLAN に割り当てるには、示された VLAN がセカンダリ PVLAN である必要があります。スイッチは、ローカルに設定されたセカンダリ/プライマリのアソシエーションから暗黙のプライマリ VLAN を判別します。
(注) RADIUS が割り当てた VLAN で認証されているポートのアクセス VLAN または PVLAN ホスト VLAN マッピングを変更すると、ポートは RADIUS が割り当てた VLAN に残ったままになります。
VLAN 割り当てを設定するには、次の作業を実行する必要があります。
• network キーワードを使用して AAA 認証をイネーブルにし、RADIUS サーバからのインターフェイス設定を可能にします。aaa authorization network group radius コマンドを適用する方法については、「802.1X 認証のイネーブル化」を参照してください。
• 802.1X をイネーブルにします (VLAN 割り当て機能は、アクセス ポートに 802.1X が設定されると自動的にイネーブルになります)。
• RADIUS サーバにベンダー固有のトンネル属性を割り当てます。VLAN を適切に割り当てるには、RADIUS サーバが次の属性をスイッチに返す必要があります。
– トンネル タイプ = VLAN
– トンネル メディア タイプ = 802
– トンネル プライベート グループ ID = VLAN NAME
ゲスト VLAN を使用した 802.1X 認証の使用
ゲスト VLAN を使用すると、802.1X 非対応ホストが 802.1X 認証を使用するネットワークにアクセスできるようになります。たとえば、802.1X 認証をサポートするようにシステムをアップグレードしている間も、ゲスト VLAN を使用できます。
ゲスト VLAN はポート単位でサポートされ、その VLAN タイプがポート タイプと一致するかぎり、すべての VLAN をゲスト VLAN として使用できます。ポートがすでにゲスト VLAN 上で転送を行っている場合に、そのホストのネットワーク インターフェイス上で 802.1X サポートをイネーブルにすると、ポートはただちにゲスト VLAN から除外され、オーセンティケータは認証の開始を待機します。
ポート上での 802.1X 認証をイネーブルにすると、802.1X プロトコルが開始されます。ホストが一定期間内にオーセンティケータからのパケットに応答できなかった場合、オーセンティケータはそのポートを設定済みのゲスト VLAN に追加します。
ポートが PVLAN ホスト ポートとして設定されている場合、ゲスト VLAN はセカンダリ PVLAN である必要があります。ポートがアクセス ポートとして設定されている場合、ゲスト VLAN は通常の VLAN である必要があります。ポート上で設定されたゲスト VLAN が、ポート タイプに適さない場合、スイッチはゲスト VLAN が設定されていないように動作します(すなわち、応答しないホストはネットワーク アクセスを拒否されます)。
ゲスト VLAN の設定方法については、「ゲスト VLAN を使用した 802.1X 認証の設定」を参照してください。
ゲスト VLAN を使用した 802.1X 認証の使用上の注意事項
802.1X 認証をゲスト VLAN で使用する場合、次の注意事項を考慮してください。
• ゲスト VLAN を別の VLAN に再設定すると、認証失敗ポートもすべて移動され、ポートは現在の許可ステートのままです。
• ゲスト VLAN をシャット ダウンするか、または VLAN データベースから削除すると、すべての認証失敗ポートはただちに無許可ステートに移行し、認証プロセスが再び開始されます。
(注) ゲスト VLAN では定期的な再認証を行うことはできません。
Windows XP ホスト上でのゲスト VLAN 使用 802.1X 認証の使用上の注意事項
802.1X 認証を Windows XP ホストのゲスト VLAN で使用する場合は、次の注意事項を考慮してください。
• ホストがオーセンティケータに応答しない場合、ポートは接続を 3 回試行します(試行間隔は 30 秒です)。このあとは、ログイン/パスワード ウィンドウはホストに表示されなくなります。ネットワーク インターフェイス ケーブルを取り外し、再接続する必要があります。
• 不正なログイン/パスワードで応答するホストは、認証に失敗します。認証に失敗したホストは、ゲスト VLAN に追加されません。ホストが初めて認証に失敗すると、待機時間タイマーが始動し、タイマーが満了するまでアクティビティが一切発生しません。待機時間タイマーが満了すると、ホストにログイン/パスワード ウィンドウが表示されます。ホストが 2 度めも認証に失敗すると、待機時間タイマーが再度始動し、タイマーが満了するまでアクティビティは一切発生しません。ホストにはこのあとさらに、3 度めのログイン/パスワード ウィンドウが表示されます。ホストが 3 度めの認証に失敗すると、ポートは無許可ステートになり、ネットワーク インターフェイス ケーブルを取り外して再接続することが必要になります。
MAC 認証バイパスを使用した 802.1X 認証の利用
802.1X プロトコルには、クライアント(サプリカント)、オーセンティケータ、認証サーバの 3 つのエンティティがあります。通常、ホスト PC はサプリカント ソフトウェアを実行し、自分自身を認証するために資格情報をオーセンティケータに送信します。オーセンティケータはその情報を認証サーバに送信して認証を求めます。
しかし、すべてのホストにサプリカント機能があるわけではありません。802.1X を使用して自分自身を認証できないがネットワークにアクセスする必要がある装置は、MAC Authentication Bypass(MAB; MAC 認証バイパス)が使用できます。MAB は、接続先装置の MAC アドレスを使用してネットワーク アクセスを認可または拒否します。
通常、この機能はプリンタなどの装置が接続されているポートで使用します。これらの装置には 802.1X サプリカント機能がありません。
通常の構成では、RADIUS サーバはアクセスが必要な MAC アドレスのデータベースを保持します。この機能によって新しい MAC アドレスがポートで検出されると、装置の MAC アドレスとしてユーザ名とパスワードが使用された RADIUS 要求が生成されます。認証に成功したら、802.1X サプリカントを処理するときに 802.1X 認証で行われるのと同じコード パスを使用して、ポートからその装置にアクセスできるようになります。認証に失敗すると、ポートはゲスト VLAN に移動するか(ゲスト VLAN が設定されている場合)、未認証のままになります。
Catalyst 4500 シリーズ スイッチは、ポート レベルごとの MAC の再認証もサポートします。再認証機能は 802.1X から提供され、MAB 固有ではありません。再認証モードでは、ポートは RADIUS から送信された VLAN にとどまり、自分自身を再認証しようとします。再認証に成功すると、ポートは RADIUS から送信された VLAN にとどまります。失敗した場合は、ポートは未認証になり、ゲスト VLAN が設定されている場合はゲスト VLAN に移動します。
MAB の設定方法については、「MAC 認証バイパスを使用した 802.1X 認証の設定」を参照してください。
機能の相互作用
ここでは、MAB がイネーブルの場合の機能の相互作用と制約事項を示します。MAB とシームレスに相互作用する機能については説明していません(単方向制御ポートなど)。
• MAB は、ポートに 802.1X が設定されている場合にだけイネーブルにできます。MAB は MAC を認証するフォール バック メカニズムとしてのみ機能します。ポートに MAB と 802.1X を同時に設定すると、ポートは 802.1X を使用して認証しようとします。ホストが EAPOL 要求への応答に失敗した場合に MAB が設定されていると、802.1X ポートが開かれパケットを受信して MAC アドレスを取得します。無限に認証が続くことはありません。
デフォルトの 802.1X タイマー値に基づき、メカニズム間の移行にはおよそ 90 秒かかります。転送時間の値を小さくすれば時間を短くできますが、EAPOL 転送頻度に影響を与えます。より小さいタイマー値では、これよりも短い間隔中に EAPOL が送信されます。MAB がイネーブルな状態で 802.1X が EAPOL のフルセットを 1 回実行すると、学習された MAC アドレスが認証サーバに送信されて処理されます。
MAB モジュールは、ライン上で検出された最初の MAC アドレスの許可を実行します。RADIUS が承認する有効な MAC アドレスが受信されると、ポートは許可されたと見なされます。
MAB の結果として最初に許可されたポートで EAPOL パケットが受信されると、802.1X 認証は再起動できます。
図 45-6 に、MAB 時のメッセージ交換を示します。
図 45-6 MAC 認証バイパス時のメッセージ交換
• 認証に失敗した VLAN は、802.1X 認証に失敗したユーザだけが使用します。MAB は 802.1X 認証に失敗したユーザに対しては試みられません。802.1X 認証に失敗すると、MAB の設定の有無にかかわらずポートは認証失敗 VLAN(設定されている場合)に移動します。
• MAB とゲスト VLAN の両方が設定されており EAPOL パケットがポートで受信されなかった場合、802.1X ステート マシンは MAB ステートに移行し、ここでポートが開いてトラフィックを受信し MAC アドレスを取得します。ポートは、MAC を認識するまではこのステートのままです。アドレスが認証に失敗すると、ポートはゲスト VLAN(設定されている場合)に移動します。
ゲスト VLAN 内のポートは、指定されたゲスト VLAN のすべてのトラフィックに対してオープンです。通常は認証されるが、認証に失敗した装置が早い段階で検出されたためにゲスト VLAN になった非 802.1X サプリカントは、いつまでもゲスト VLAN に残ります。ただし、リンクが消失したりライン上で EAPOL が検出されるとゲスト VLAN 外に移動し、デフォルトの 802.1X モードに戻ります。
• MAB によって新しい MAC が認証されると、802.1X オーセンティケータ(またはポート セキュリティ)によってアクセスが制限されるようになり、ポートのセキュリティが保護されます。802.1X デフォルト ホスト パラメータは、単一ホストだけに定義されます。ポートがマルチユーザ ポストに変更されると、ポート セキュリティが採用され、このポートで許容される MAC アドレスの数が適用されます。
• Catalyst 4500 シリーズ スイッチは VVID を持つ MAB をサポートしますが、MAC アドレスはポート データ VLAN だけに表示されます。CDP を使用して学習したすべての IP Phone の MAC は、音声 VLAN で許容されます。
• MAB と VMPS の機能は重複しており、相互に排他的です。
Web ベース認証を使用した 802.1X 認証の利用
Web ベース認証機能(別名 Web 認証プロキシ)を使用して、IEEE 802.1X サプリカントを実行していないホスト システムでエンド ユーザを認証できます。
Web ベース認証を設定する場合は、次の注意事項に従ってください。
• Web ベース認証に対するフォールバックは、スイッチ ポート上のアクセス モードで設定されます。トランク モードのポートはサポートされません。
• Web ベース認証に対するフォールバックは、EtherChannels または EtherChannel メンバではサポートされません。
• Web ベース認証に対するフォールバックは、インターフェイス固有の設定ですが、Web ベース認証の動作は、グローバル フォールバック プロファイルで定義されます。グローバル フォールバック設定を変更する場合、認証フォールバックの次のインスタンスまで、新しいプロファイルは使用されません。
Web ベース認証の設定方法の詳細については、「Web ベース認証の設定」を参照してください。
アクセス不能認証バイパスを使用した 802.1X 認証の利用
スイッチが設定された RADIUS サーバに到達できないためにクライアント(サプリカント)が認証されない場合、アクセス不能認証バイパスがイネーブルのクリティカル ポートに接続するホストにネットワーク アクセスできるようにスイッチを設定できます。
アクセス不能認証バイパスがイネーブルの場合、スイッチは設定された RADIUS サーバのステータスをモニタリングします。RADIUS サーバが使用できない場合、認証サーバが使用不可であるために失敗したクライアントは許可されます。アクセス不能認証バイパス機能は、クライアント データおよび音声クライアントに対してイネーブルにできます。データ クライアントの場合、ポート単位のアクセス不能認証バイパス VLAN を指定できます。音声クライアントは、設定済みの音声 VLAN で許可されます。音声クライアント用のアクセス不能認証バイパスは、認証が音声デバイスに適用される複数ドメイン認証および複数認証モードでアクティブ化できます。
(注) アクセス不能認証バイパス機能によって、RADIUS が使用不可になった場合に、音声クライアントで設定済みの音声 VLAN にアクセスできます。音声デバイスは、正しく動作するために、CDP、LLDP、または DHCP(該当する場合)などの他のプロトコルで音声 VLAN ID を学習する必要があります。RADIUS サーバが使用できない場合、スイッチは、音声デバイスのものとして MAC アドレスを認識できなくなる場合があります。したがって、アクセス不能認証バイパス機能が音声デバイスに設定されている場合は、データ用にも設定する必要があります。音声デバイスは、重要なデータ VLAN と音声 VLAN の両方で許可される場合があります。ポート セキュリティがイネーブルの場合、これはポートに適用される最大ポート セキュリティ エントリに影響する場合があります。
デフォルトでは、RADIUS が使用できなくなった時点で許可されているデータ クライアントは、アクセス不能認証バイパスの影響を受けません。RADIUS が使用できなくなった場合に、ポートのすべての許可済みのデータ クライアントを再認証するには、authentication server dead action reinitialize vlan インターフェイス コンフィギュレーション コマンドを使用します。このコマンドは、マルチ認証モードに限られ、authentication server dead action authorize vlan コマンドと相互排他的です。
(注) マルチ認証モードでは、authentication server dead action authorize vlan コマンドを使用して、データ クライアントのアクセス不能認証バイパスをイネーブルにできません。これは無効です。代わりに、authentication server dead action reinitialize vlan vlan-id コマンドを使用します。
RADIUS が使用できるようになると、クリティカル許可されたポートは、自動的に自分自身を再認証するように設定されます。
(注) 適切に RADIUS サーバの可用性を検出するには、radius-server host コマンドで test username name オプションをイネーブルにする必要があります。RADIUS サーバの設定方法については、「スイッチ/RADIUS サーバ通信の設定」を参照してください。
アクセス不能認証バイパス機能は、ポートが Web ベース認証にフォール バックした後でアクティブにすることはできません。Web ベース認証を設定する方法の詳細については、「Web ベース認証の設定」を参照してください。
アクセス不能認証バイパスの設定方法については、「Web ベース認証の設定」を参照してください。
単方向制御ポートを使用した 802.1X 認証の利用
単方向制御ポートはハードウェアおよびソフトウェア機能が組み合わせられており、マジック パケットと呼ばれる特定のイーサネット フレームを受信すると、休止状態の PC の「電源を投入」します。通常、単方向制御ポートは、システムの電源が切断されていると考えられるような時間帯に管理者がリモート システムを管理する環境で使用されます。
802.1X ポート経由で接続されているホストで単方向制御ポートを使用した場合、ホストの電源が切断されると 802.1X ポートが未認証になるという独特の問題が発生します。この場合、ポートでは EAPOL パケットだけしか送受信できません。単方向制御ポートのマジック パケットはホストに到達できず、電源を投入しない限り PC で認証することもポートを開くこともできません。
単方向制御ポートは、未許可 802.1X ポートでパケットの送信を許容することにより、この問題を解決します。
(注) 単方向制御ポートは、ポートのスパニングツリー PortFast がイネーブルである場合のみ機能します。
802.1X 単方向制御ポートの設定方法については、「単方向制御ポートを使用した 802.1X 認証の設定」を参照してください。
単方向ステート
authentication control-direction in インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(46) またはそれ以前のリリースでは dot1x control-direction in インターフェイス コンフィギュレーション コマンド)を使用してポートを単一方向に設定すると、そのポートはスパニングツリー フォワーディング ステートに移行します。
単方向制御ポートをイネーブルにすると、接続ホストはスリープ モードまたは電源切断状態になります。ホストはそのネットワークの他の装置とトラフィックを交換しません。ホストがネットワークにトラフィックを送信できない単方向ポートに接続されている場合、ホストはネットワークの他の装置からのトラフィックだけを受信します。
双方向ステート
authentication control-direction both インターフェイス コンフィギュレーション コマンド(Cisco IOS Release 12.2(46) またはそれ以前のリリースでは dot1x control-direction both インターフェイス コンフィギュレーション コマンド)を使用してポートを双方向に設定すると、ポートは両方向のアクセスを制御します。この場合、スイッチ ポートは EAPOL パケット以外のパケットを送受信しません。
VLAN ユーザ分散を使用した 802.1X の利用
動的に VLAN ID または VLAN 名を割り当てる方法の代替方法は、VLAN グループ名を割り当てることです。802.1X VLAN ユーザ分散機能によって、複数の VLAN で同じグループに属する(また、共通 VLAN グループ名によって特徴付けられる)ユーザを分散できます。通常、過度に大規模なブロードキャスト ドメインを作成しないために、これを行います。
たとえば、この機能によって、すべてのアクセスレイヤ スイッチに対して、認証サーバから共通の VLAN グループの名前(技術組織に属するすべてのユーザに対する ENG-Group など)をダウンロードできます。VLAN グループ名は、各アクセスレイヤ スイッチの異なる VLAN に、個々にマッピングされます。同じ VLAN 番号が、個別のスイッチ間で使用されている必要はありません。同様に、VLAN はエッジ デバイスで名前を変更する必要はありません。
認証サーバが複数の VLAN グループ名または VLAN を返す場合、この機能は、これらのグループ間でユーザを均等に分散することを試みます。これは、認証またはポート セキュリティによって、そのスイッチ上の各 VLAN に割り当てられているユーザのカウントを内部で維持します。この情報に基づいて、この機能は、RADIUS サーバから取得されたすべての VLAN または VLAN グループの名前の中で、そのスイッチの最も負荷の少ない VLAN に、新たに認証されたユーザを割り当てます。
この VLAN 分散は、再割り当て中を除き、最初のユーザ認証中だけに、すべての有効な VLAN の負荷を考慮に入れます。一部の既存の認証済みユーザが削除されると、この機能は残りの認証済みユーザの再分配を試行しません。グループ分散は、完全な負荷分散を必ずしも保証しません。
配備例
大規模なキャンパス LAN の設計では、大規模なレイヤ 2 ドメインがない VLAN インフラストラクチャを設計する場合があります。同じ従業員 VLAN の場合、お客様には、それぞれ異なるキャンパス アクセス スイッチで、異なる VLAN が割り当てられる場合があります。VLAN 割り当てを使用して 802.1X を配備する場合、すべての従業員に対して 1 つの従業員 VLAN が割り当てられることはありません。スイッチで設定されている実際の VLAN を認識している必要があります。ユーザ分散によって、VLAN または VLAN グループ名のリストをスイッチに送信できます。スイッチは、対応する VLAN に対してローカル マッピングを実行できます。(図 45-7)。
図 45-7 VLAN ユーザ分散を備えている 802.1X
VLAN ユーザ分散の設定方法の詳細については、「VLAN ユーザ分散を使用した 802.1X の設定」を参照してください。
認証失敗 VLAN 割り当てを使用した 802.1X 認証の利用
ポート単位で認証失敗 VLAN 割り当てを使用すると、認証失敗ユーザがアクセスできるようにします。認証失敗ユーザは、802.1X には対応できるが認証サーバ内に有効な資格情報を持たないエンド ホストか、またはユーザ側の認証ポップアップ ウィンドウでユーザ名とパスワードの組み合わせが入力されていないエンド ホストです。
ユーザが認証プロセスに失敗した場合、このポートは認証失敗 VLAN に置かれます。このポートは再認証タイマーが切れるまで、認証失敗 VLAN に残ります。再認証タイマーが切れると、スイッチはポート再認証要求の送信を開始します。ポートが再認証に失敗した場合は、認証失敗 VLAN に残ります。ポートが再認証に成功した場合は、RADIUS サーバにより送信された VLAN、または新たに認証されたポートに設定された VLAN に移動されます。移動先は、RADIUS サーバが VLAN 情報を送信するように設定されているかどうかによって異なります。
(注) 定期的な再認証をイネーブルにする場合(「定期的な再認証のイネーブル化」を参照)、ローカル再認証タイマー値だけが使用できます。RADIUS サーバを使用して再認証タイマー値を割り当てることはできません。
ポートが認証失敗 VLAN に移動される前に、オーセンティケータが送信する最大認証試行回数を設定できます。オーセンティケータは、各ポートの失敗した認証試行回数をカウントします。失敗した認証試行とは、空の応答または EAP 失敗のいずれかを指します。オーセンティケータは、認証試行回数に対して失敗した認証のすべての試行をまとめてカウントします。最大試行回数を超えると、ポートは再認証タイマーが次に切れるまで認証失敗 VLAN に置かれます。
(注) EAP をサポートしない RADIUS は、EAP パケットを含まない応答を送信する場合があります。また、サードパーティ製の RADIUS サーバも空の応答を送信する場合があります。この動作が見つかると、認証試行カウンタは増加します。
認証失敗 VLAN 割り当てを設定する方法については、「認証失敗の場合の 802.1X 認証の設定」を参照してください。
認証失敗 VLAN 割り当ての使用上の注意事項
使用上の注意事項は次のとおりです。
• 再認証をイネーブルにする必要があります。再認証がディセーブルの場合、認証失敗 VLAN 内のポートは再認証試行を受け入れません。再認証プロセスを開始するには、認証失敗 VLAN がポートからのリンク ダウン イベントまたは EAP ログオフ イベントを受信する必要があります。ホストがハブの背後にある場合は、次の再認証が試行されるまでリンク ダウン イベントを受信しなかったり、新しいホストを検出しなかったりする可能性があります。
• EAP 失敗メッセージは、ユーザに送信されません。ユーザが認証に失敗した場合、ポートは認証失敗 VLAN に移され、EAP 成功メッセージがユーザに送信されます。ユーザには認証失敗が通知されないため、ネットワークへのアクセスが制限される理由がわからない場合があります。EAP 成功メッセージが送信される理由は、次のとおりです。
– EAP 成功メッセージが送信されなければ、ユーザは EAP 開始メッセージを送信して 60 秒ごとに(デフォルト)認証を試行します。
– 場合によっては、ユーザが EAP 成功に DHCP を設定していて、成功を確認しない限り、ポート上で DHCP が動作しないこともあります。
• ユーザはオーセンティケータから EAP 成功メッセージを受信したあと、不正なユーザ名とパスワードの組み合わせをキャッシュして、再認証ごとにこの情報を再利用する場合があります。ユーザが正確なユーザ名とパスワードの組み合わせを渡すまで、ポートは認証失敗 VLAN に残されます。
• 認証失敗ポートが無許可ステートに移行すると、認証プロセスが再開されます。再度認証プロセスに失敗する場合には、オーセンティケータは保留ステートで待機します。正しく再認証されると、すべての 802.1X ポートは再度初期化され、通常の 802.1X ポートとして扱われます。
• 認証失敗 VLAN を別の VLAN に再設定すると、認証失敗ポートもすべて移動され、ポートは現在の許可ステートのままになります。
• 認証失敗 VLAN をシャット ダウンするか、または VLAN データベースから削除すると、すべての認証失敗ポートはただちに無許可ステートに移行され、認証プロセスが再開されます。認証失敗 VLAN 設定がまだ存在するため、オーセンティケータは保留ステートで待機しません。認証失敗 VLAN が非アクティブである間は、すべての認証試行がカウントされ、VLAN がアクティブになるとすぐにポートは認証失敗 VLAN に置かれます。
• VLAN で許容される最大認証失敗数を再設定した場合、この変更は再認証タイマーが切れたあとで有効になります。
• レイヤ 3 ポートで使用される内部 VLAN は、認証失敗 VLAN として設定できません。
• 認証失敗 VLAN は、単一ホスト モード(デフォルトのポート モード)でのみサポートされます。
• ポートが認証失敗 VLAN に置かれると、ユーザの MAC アドレスが MAC アドレス テーブルに追加されます。ポートで新しい MAC アドレスが検出されると、セキュリティ違反として扱われます。
• 認証失敗ポートが認証失敗 VLAN に移動されると、Catalyst 4500 シリーズ スイッチは標準の 802.1X 認証の場合とは異なり、RADIUS-Account Start メッセージを送信しません。
ポート セキュリティを使用した 802.1X 認証の利用
単一ホスト モードまたは複数ホスト モードのどちらかの 802.1X ポートでポート セキュリティをイネーブルにできます ( switchport port-security インターフェイス コンフィギュレーション コマンドを使用してポートにポート セキュリティを設定します)。ポート上のポート セキュリティと 802.1X をイネーブルにすると、802.1X がポートを認証し、ポート セキュリティがポート上で許容される MAC アドレス数(クライアントの MAC アドレスを含む)を管理します。ポート セキュリティがイネーブルの状態で 802.1X ポートを使用すると、ネットワークにアクセスできるクライアントの数とグループを制限できます。
複数ホスト モードの指定については、「802.1X 設定をデフォルト値にリセットする方法」を参照してください。
次に、スイッチ上の 802.1X とポート セキュリティ間の対話の例を示します。
• クライアントが認証され、ポート セキュリティ テーブルがいっぱいでない場合、そのクライアントの MAC アドレスが、セキュア ホストのポート セキュリティ リストに追加されます。追加されると、ポートが通常どおりアクティブになります。
クライアントが認証されて、ポート セキュリティが手動で設定された場合、セキュア ホスト テーブル内のエントリは保証されます(ポート セキュリティのスタティック エージングがイネーブルになっていない場合)。
ポート上で別のホストが学習されると、セキュリティ違反が発生します。その場合に取られる処置は、セキュリティ違反を検出した機能(802.1X またはポート セキュリティ)によって異なります。
– 802.1X が違反を検出した場合は、ポートが errdisable になります。
– ポート セキュリティが違反を検出した場合は、ポートがシャットダウンするか、または制限されます(対処法は設定可能です)。
ポート セキュリティおよび 802.1X セキュリティ違反が発生した場合の説明を、次に示します。
– 単一ホスト モードの場合にポートが許可されると、クライアント MAC アドレス以外の受信されたすべての MAC アドレスによって、802.1X セキュリティ違反が引き起こされます。
– 単一ホスト モードの場合に、(設定済みのセキュア MAC アドレスによって)ポート セキュリティが限度に達していることが原因で、802.1X クライアントの MAC アドレスの導入に失敗すると、ポート セキュリティ違反が引き起こされます。
– 複数ホスト モードの場合にポートが許可されると、ポート セキュリティが限度に達していることが原因で導入できない追加 MAC アドレスにより、ポート セキュリティ違反が引き起こされます。
• 802.1X クライアントがログオフすると、ポートが無許可ステートに移行し、クライアントのエントリを含むセキュア ホスト テーブル内のすべてのダイナミック エントリが削除されます。そのあと、通常の認証が行われます。
• ポートが管理上のシャットダウン状態になると、ポートは無許可ステートになり、すべてのダイナミック エントリがセキュア ホスト テーブルから削除されます。
• ポート セキュリティ テーブルからクライアントの MAC アドレスを削除できるのは、802.1X のみです。複数ホスト モードでは、クライアントの MAC アドレスを除き、ポート セキュリティによって学習されたすべての MAC アドレスを、ポート セキュリティ コマンドライン インターフェイス(CLI)を使用して削除できます。
• ポート セキュリティによって 802.1X クライアントの MAC アドレスが期限切れになると、802.1X はクライアントの再認証を試行します。ポート セキュリティ テーブル内でクライアントの MAC アドレスを保持できるのは、再認証に成功した場合のみです。
• CLI を使用してポート セキュリティ テーブルを表示すると、802.1X クライアントのすべての MAC アドレスに dot1x というタグが付けられます。
ACL 割り当てとリダイレクト URL を使用した 802.1X 認証の使用
Cisco IOS Release 12.2(50)SG 以降では、ホストの 802.1X または MAB の認証中に、ACL などのホストごとのポリシーをダウンロードし、RADIUS サーバからスイッチへ URL をリダイレクトできます。ACL ダウンロードは、802.1X または MAB からのフォールバック後、Web 認証でもサポートされます。
ポートの 802.1X ホスト モードが、単一ホスト、MDA またはマルチ認証のいずれかの場合、ダウンロードされる ACL(DACL)は、認証ホストの IP アドレスをソース アドレスとして使用して変更されます。ホスト モードが複数ホストの場合、ソース アドレスは ANY として設定され、ダウンロードされる ACL またはリダイレクトは、ポート上のすべてのデバイスに適用されます。
ホストの認証中に ACL が指定されない場合、ポート上に設定されるスタティック デフォルト ACL は、ホストに適用されます。音声 VLAN ポートでは、ポートのスタティック デフォルト ACL だけが電話に適用されます。
ここでは、次の内容について説明します。
• 「URL リダイレクトでの Cisco Secure ACS と AV のペア」
• 「ACL」
ダウンロード可能な ACL と URL リダイレクトの設定方法については、「ACL 割り当てとリダイレクト URL を使用した 802.1X 認証の設定」を参照してください。
URL リダイレクトでの Cisco Secure ACS と AV のペア
ダウンロード可能な ACL がイネーブルの場合、Cisco Secure ACS では、RADIUS を介して AAA サービスが用意されます。
これらの Attribute-Value(AV)のペアは、RADIUS cisco-av-pair ベンダー固有属性(VSA)で Cisco Secure ACS に設定できます。
• CiscoSecure-Defined-ACL では、Cisco Secure ACS に DACL の名前を指定します。スイッチは ACL 名を、次の形式の CiscoSecure-Defined-ACL AV ペアを使用して受け取ります。
#ACL#-IP-name-number
name は ACL の名前、number はバージョン番号(3f783768 など)を表します。
Auth-Manager コードにより、指定されたダウンロード可能な ACL のアクセス コントロール エントリ(ACE)が、前にダウンロードされたかどうかが確認されます。前にダウンロードされていない場合、ACE がダウンロードされるよう、Auth-Manager コードにより、ダウンロード可能な ACL 名をユーザ名として AAA 要求が送信されます。次に、ダウンロード可能な ACL は、名前付き ACL としてスイッチ上に作成されます。この ACL には、任意のソース アドレスで ACE が存在し、エンドポイントに暗黙拒否ステートメントは存在しません。認証の完了後にダウンロード可能な ACL がインターフェイスに適用される場合、インターフェイスのホスト モードにより、ソース アドレスが任意のものからソース IP アドレスに変更されます。ACE は、エンドポイント デバイスが接続されているスイッチ インターフェイスに適用されているダウンロード可能な ACL に、プリペンドされます。トラフィックが CiscoSecure-Defined-ACL ACE に一致する場合、適切なアクションが実行されます。
• url-redirect および url-redirect-acl により、スイッチ上にローカル URL が指定されます。スイッチは、これらの cisco-av-pair VSA を次のように使用します。
– url-redirect = <HTTP または HTTPS URL>
– url-redirect-acl = スイッチの ACL 名または番号
これらの AV ペアは、エンドポイント デバイスから HTTP または HTTPS の要求を代行受信するようスイッチをイネーブルにし、ダウンロード可能な最新のアンチウイルス ファイルから指定されたリダイレクト アドレスへ、クライアント Web ブラウザを転送します。Cisco Secure ACS 上の url-redirect AV ペアには、Web ブラウザがリダイレクトされる URL が格納されます。url-redirect-acl AV ペアには、リダイレクトされる HTTP トラフィックまたは HTTPS トラフィックが指定されている ACL の名前または番号が含まれています。リダイレクト ACL の許可エントリに一致するトラフィックは、リダイレクトされます。
(注) リダイレクトまたはデフォルト ACL は、スイッチ上に定義する必要があります。
ACL
ダウンロード可能な ACL が認証サーバ上の特定のクライアントに設定されている場合、クライアント側のスイッチ ポートにデフォルト ポート ACL を設定する必要があります。
デフォルト ACL がスイッチ上に設定されている場合で、Cisco Secure ACS からスイッチにホスト アクセス ポリシーが送信される場合、スイッチ ポートに接続されているホストからトラフィックに、ポリシーが適用されます。ポリシーが適用されない場合、デフォルト ACL が適用されます。Cisco Secure ACS からスイッチにダウンロード可能な ACL が送信される場合、この ACL は、スイッチ ポート上にすでに設定されているデフォルト ACL より優先されます。ただし、スイッチで、Cisco Secure ACS からホスト アクセス ポリシーを受信する場合で、デフォルト ACL が設定されていない場合、認可の失敗が宣言されます。
ダウンロード可能なポリシーの設定方法については、「ダウンロード ポリシーの設定」を参照してください。
RADIUS によるセッション タイムアウトを使用した 802.1X 認証の利用
スイッチで使用する再認証タイムアウトを、ローカルに設定されたものと RADIUS によるもののどちらにするかを指定できます。スイッチがローカル設定のタイムアウトを使用するように設定されている場合、タイマーが切れるとホストを再認証します。
スイッチが RADIUS によるセッション タイムアウトを使用するように設定されている場合、スイッチは RADIUS Access-Accept メッセージの Session-Timeout および任意の Termination-Action 属性をスキャンします。スイッチは、セッションの期間を判断するためには Session-Timeout 属性の値を使用し、セッションのタイマーが切れた際のスイッチのアクションを判断するためには Termination-Action 属性の値を使用します。
Termination-Action 属性が存在し、その値が RADIUS-Request である場合、スイッチはホストを再認証します。Termination-Action 属性が存在しないか、またはその値が Default である場合、スイッチはセッションを終了します。
(注) ポート上のサプリカントは、そのセッションが終了され、新しいセッションを開始しようとすることを認識します。認証サーバがこの新しいセッションを別に処理しない限り、スイッチが新しいセッションを確立しても、クライアントはネットワーク接続に少しの割り込みしか確認しない可能性があります。
スイッチが RADIUS によるタイムアウトを使用するように設定されているが、Access-Accept メッセージに Session-Timeout 属性が含まれない場合、スイッチはサプリカントを再認証しません。これは、シスコのワイヤレス アクセス ポイントに一貫した動作です。
RADIUS によるセッション タイムアウトを設定する方法については、「RADIUS によるセッション タイムアウトの設定」を参照してください。
音声 VLAN ポートを使用した 802.1X 認証の利用
音声 VLAN ポートは特殊なアクセス ポートで、次の 2 つの VLAN ID が対応付けられています。
• IP Phone へ、または IP Phone から音声トラフィックを伝送するための Voice VLAN ID(VVID)。VVID は、ポートに接続された IP Phone を設定するために使用されます。
• IP Phone を使用してスイッチに接続されたワークステーションへ、またはワークステーションからデータ トラフィックを伝送する Port VLAN ID(PVID)。PVID は、ポートのネイティブ VLAN です。
音声 VLAN に設定する各ポートは、VVID および PVID に関連付けられています。この設定により、音声トラフィックとデータ トラフィックを異なる VLAN に分離できます。
ポートが AUTHORIZED か UNAUTHORIZED かにかかわらずリンクがある場合、音声 VLAN ポートはアクティブになります。音声 VLAN にあるすべてのトラフィックは正常に認識され、MAC アドレス テーブルに表示されます。Cisco IP Phone は、他のデバイスから受け取った CDP メッセージをリレーしません。いくつかの Cisco IP Phone がシリーズで接続されている場合、スイッチは直接接続している IP Phone のみを認識します。802.1X が音声 VLAN ポートでイネーブルの場合、スイッチは複数のホップの認識されていない Cisco IP Phone からのパケットをドロップします。
802.1X がポートでイネーブルの場合、VVID と同じ PVID を設定できません。音声 VLAN の詳細については、「音声インターフェイスの設定」を参照してください。
次の機能の相互作用に注意してください。
• 802.1X VLAN 割り当ては、音声 VLAN と同じ VLAN のポートに割り当てることができません。割り当てると 802.1X 認証が失敗します。これは、ダイナミック VLAN 割り当てでも同様です。
• 802.1X ゲスト VLAN は、802.1X 音声 VLAN ポート機能と連動します。ただし、同一 VLAN をゲスト VLAN と音声 VLAN には設定できません。
• 802.1X ポート セキュリティは 802.1X 音声 VLAN ポート機能と連動し、ポート単位で設定されます。2 つの MAC アドレスを設定する必要があります。1 つは VVID の Cisco IP Phone MAC アドレスで、もう 1 つは PVID の PC MAC アドレスです。
ただし、802.1 X ポート セキュリティのスティッキ MAC アドレス設定および 802.1X ポート セキュリティの静的に設定された MAC アドレス設定と一緒に、802.1X 音声 VLAN ポート機能を使用することはできません。
• 802.1X アカウンティングは、802.1X 音声 VLAN ポート機能による影響を受けません。
• 802.1X がポートで設定されている場合、ハブ経由で Catalyst 4500 シリーズ スイッチに複数の IP Phone を接続できません。
• 音声 PVLAN は PVLAN のホスト ポートとして設定できず、PVLAN のホスト ポートに割り当てられるのは PVLAN だけであるため、PVLAN 割り当てでは音声 VLAN が設定されたポートに PVLAN を割り当てることができません。
音声 VLAN に 802.1X を設定する方法については、「音声 VLAN に対する 802.1X 認証の設定」を参照してください。
複数ドメイン認証と複数認証の使用
MDA は、データ デバイスと IP Phone(Cisco または Cisco 以外のサードパーティ)などの音声デバイスの両方が、データ ドメインと音声ドメインに分割される同一スイッチ ポートで認証できるようにします。
マルチ認証では、複数のデータ デバイスと音声デバイスを使用できます。複数認証ポート上で音声 VLAN が設定されている場合は、MDA ポートと同様に、音声ドメイン内で認証を実行することができます。
MDA では、デバイス認証の順序が指定されません。ただし、最適な結果を得るには、MDA 対応ポートで、データ デバイスを認証する前に音声デバイスを認証する必要があります。
MDA を設定する場合は、次の注意事項に従ってください。
(注) 音声 VLAN の設定時にも同じ注意事項が複数認証に適用されます。
• DoS 攻撃(サービス拒絶攻撃)を防ぐために MDA 対応ポートで CoPP をイネーブルにすることを推奨します。「コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定」を参照してください。
• MDA またはマルチ認証をスイッチ ポートに設定するには、「複数ドメイン認証および複数認可の設定」を参照してください。
• ホスト モードがマルチドメインに設定されている場合、IP Phone の音声 VLAN を設定する必要があります。詳細については、「音声インターフェイスの設定」 を参照してください。
• 音声デバイスを許可するには、値 device-traffic-class=voice の Cisco Attribute Value(AV; 属性値)ペア属性を送信するように AAA サーバを設定する必要があります。この値を使用しない場合、音声デバイスはデータ デバイスとして扱われます。
• ゲスト VLAN および制限付き VLAN 機能は、MDA 対応ポートでのデータ デバイスにだけ適用されます。スイッチ は、 許可されなかった音声デバイスをデータ デバイスと 見なします。
• 複数のデバイスでポートの音声またはデータ ドメインの許可を行おうとすると、errordisable になります。
• デバイスが許可されるまで、ポートはそのトラフィックをドロップします。他社製 IP Phone または音声デバイスはデータおよび音声 VLAN の両方に許可されます。データ VLAN では、音声デバイスを DHCP サーバに接続して IP アドレスおよび音声 VLAN 情報を取得することができます。音声デバイスが音声 VLAN で送信を開始すると、データ VLAN へのアクセスはブロックされます。音声デバイスがデータ VLAN 上にトラフィックを送信し続けていると、MDA 内でセキュリティ違反が発生する可能性があります。
• MDA はフォールバック メカニズムとして MAC 認証バイパスを使用して、スイッチ ポートが 802.1X 認証をサポートしないデバイスに接続できるようにします。これは特に 802.1X サプリカントのないサードパーティ電話で役立ちます。詳細については、「MAC 認証バイパスを使用した 802.1X 認証の利用」を参照してください。
• ポート上でデータ デバイスまたは音声デバイスが検出されると、その MAC アドレスは認証が成功するまではブロックされます。許可に失敗した場合、MAC アドレスが 5 分間ブロックされたままになります。
• データ VLAN で複数のデバイスが検出された場合、またはポートが許可されていないときに音声 VLAN で複数の音声デバイスが検出された場合、そのポートは errdisable になります。
• ポートのホスト モードをシングルホスト モードまたはマルチホスト モードからマルチドメイン モードに変更すると、ポートでは許可されたデータ デバイスは許可されたままになります。ただし、音声 VLAN のポートで許可されている Cisco IP Phone は自動的に削除されるため、そのポート上で再認証される必要があります。
• ゲスト VLAN や制限付き VLAN などのアクティブ フォールバック メカニズムは、ポートをシングル モードまたはマルチホスト モードからマルチドメイン モードに変更したあとでも設定されたままになります。
• ポートのホスト モードをマルチドメイン モードからシングル モードまたはマルチホスト モードに変更すると、許可されているすべてのデバイスがポートから削除されます。
• データ ドメインが最初に許可され、ゲスト VLAN に設定された場合、非 802.1X 対応音声デバイスは音声 VLAN のパケットにタグを付け、認証をトリガーする必要があります。
• MDA 対応ポートでは、ユーザ単位 ACL を推奨しません。ユーザ単位 ACL ポリシーを備えた、許可されたデバイスは、ポートの音声 VLAN とデータ VLAN の両方のトラフィックに影響を与えることがあります。このようなデバイスを使用する場合は、ポートでユーザ単位 ACL を適用するデバイスは 1 台だけにしてください。
Network Edge Access Topology を使用した 802.1X サプリカントおよびオーセンティケータ
Network Edge Access Topology(NEAT)機能は、ワイヤリング クローゼット(会議室など)外の領域まで識別を拡張します。
サプリカント スイッチに接続するオーセンティケータ スイッチ インターフェイスで認証ホスト モードをイネーブルにできます。サプリカント スイッチが認証に成功すると、ポート モードがアクセスからトランクに変更されます。すべてのホスト モードで NEAT が確実に動作するようにするには、サプリカント スイッチで dot1x supplicant force-multicast グローバル コンフィギュレーション コマンドを使用します。アクセス VLAN は、オーセンティケータ スイッチで設定されている場合、認証が成功した後にトランク ポートのネイティブ VLAN になります。
(注) MAB と NEAT の併用はサポートされず、推奨されません。サプリカント スイッチを認証するには、802.1X だけを使用します。
(注) Catalyst 4500 シリーズ スイッチは、オーセンティケータのポートだけをサポートします。
配備
NEAT は、エンドホスト(PC または Cisco IP Phone)に対して 802.1X オーセンティケータとして動作するスイッチが、保護されていない位置(ワイヤリング クローゼットの外側)に配備されるシナリオを対象としています。
このようなトポロジのために、オーセンティケータ スイッチは必ずしも信頼できません。たとえば、コンパクト スイッチ(8 ポート Catalyst 3560 および Catalyst 2960)は、一般に、ワイヤリング クローゼットの外部に配備されます。これにより、ハッカーのデバイスが、スイッチを無効化し、ネットワークへのアクセス権を取得して、セキュリティが侵害されるおそれがあります。エッジ スイッチは、ネットワーク エッジ認証トポロジ(NEAT)と呼ばれる別のスイッチに対して自身を認証する必要があります。
図 45-8 に一般的な NEAT のトポロジを図示します。
図 45-8 一般的な NEAT トポロジ
NEAT は、このようなシナリオで次の機能を容易にします。
ホスト許可:許可済み(サプリカントでスイッチに接続する)ホストからのトラフィックだけがネットワークで許可されます。これらのスイッチは、Client Information Signalling Protocol(CISP)を使用して、サプリカント スイッチに接続する MAC アドレスをオーセンティケータ スイッチに送信します。
自動イネーブル化:オーセンティケータ スイッチでのトランク コンフィギュレーションを自動的にイネーブル化します。これにより、サプリカント スイッチから着信する複数の VLAN のユーザ トラフィックが許可されます。ACS では、device-traffic-class=switch として Cisco AV ペアを設定する必要があります。この方法の詳細については、「NEAT を使用したオーセンティケータ スイッチおよびサプリカント スイッチの設定」を参照してください。
ポート上で 802.1X が失敗する場合
802.1X は、タイムアウト、明示的な障害、およびプロトコルのタイムアウトの 3 通りの方法により、ポートで失敗することがあります。
タイムアウト:スイッチはリンク アップで 802.1X を試行しますが、接続されたエンド ポイントは 802.1X 対応ではありません。設定した数の再試行とタイムアウトの後に、いずれかが設定されている場合、スイッチは次の認証方式を試行します(MAB など)。MAB が失敗した場合、スイッチは、ゲスト VLAN(非応答 VLAN とも呼ばれます)を配備します(設定されている場合)。ゲスト VLAN は、authentication event no-response interface コマンドで設定されます。
明示的な障害:スイッチとエンド ポイントは、802.1X 認証シーケンス全体を実行し、その結果、明示的な障害が発生します(通常、RADIUS サーバからスイッチへの Access-Reject と、スイッチからエンドポイントに送信される EAP-Failure で示されます)。この場合、スイッチは MAB を試行し(「認証イベント障害アクション next-method」が設定されている場合)、AuthFail VLAN を配備します(「認証イベント障害アクション authorize vlan」が設定されている場合)。
プロトコルのタイムアウト:スイッチとエンド ポイントは、802.1X 認証プロセスを開始しますが、このプロセスを完了しません。たとえば、エンド ポイントは 802.1X EAPoL-Start メッセージを送信してから、スイッチへの応答を停止することがあります(エンドユーザによる情報の入力を待機しているために、エンドポイントにクレデンシャルがない場合など)。この場合、スイッチは接続された装置が EAPoL 対応であることを認識しているため、タイムアウト後にゲスト VLAN を配備しません。代わりに、タイムアウト後に認証を再開します。スイッチは、物理リンクのダウン イベントが検出されるまで、EAPoL 対応としてポートを引き続き分類します。プロトコルのタイムアウトが生じた場合に、ゲスト VLAN の配置をスイッチに強制するには、dot1x guest-vlan supplicant をグローバルに設定します。ポートがホストモードのマルチドメイン認証用に設定されている場合、スイッチは dot1x guest-vlan supplicant が設定されている場合と同様に動作します。
サポートされるトポロジ
802.1X ポートベースの認証は、次の 2 つのトポロジをサポートします。
• Point-to-point
• ワイヤレス LAN
ポイントツーポイント構成(図 45-1 を参照)では、複数ホスト モードがイネーブルでない場合(デフォルト)、802.1X 対応スイッチ ポートに接続できるクライアントは 1 台だけです。スイッチは、ポートのリンク ステートがアップ ステートに変化すると、クライアントを検出します。クライアントがログオフしたとき、または別のクライアントに代わったときには、スイッチはポートのリンク ステートをダウンに変更し、ポートは無許可ステートに戻ります。
ワイヤレス LAN の 802.1X ポートベース認証(図 45-9)では、クライアントが認証されるとすぐにワイヤレス アクセス ポイントとして認証される 802.1X ポートを複数ホスト ポートとして設定します (「802.1X 設定をデフォルト値にリセットする方法」を参照)。ポートが許可されると、ポートに間接的に接続されたホストを除くすべてのホストに対して、ネットワーク アクセスが許可されます。ポートが無許可になると(再認証が失敗するか、EAPOL-Logoff メッセージを受信すると)、スイッチは、無線アクセス ポイントに接続されたすべてのクライアントに対してネットワーク アクセスを拒否します。このトポロジでは、無線アクセス ポイントは、接続しているクライアントを認証する役割があり、スイッチに対してクライアントとして機能します。
図 45-9 ワイヤレス LAN の例
802.1X ポートベース認証の設定
802.1X を設定する手順は次のとおりです。
ステップ 1 802.1X 認証をイネーブルにします。「802.1X 認証のイネーブル化」を参照してください。
ステップ 2 スイッチ/RADIUS サーバ通信を設定します。「スイッチ/RADIUS サーバ通信の設定」を参照してください。
ステップ 3 802.1X タイマー値を調整します。「待機時間の変更」を参照してください。
ステップ 4 任意の機能を設定します。「RADIUS によるセッション タイムアウトの設定」を参照してください。
ここでは、802.1X を設定する方法について説明します。
• 「802.1X のデフォルト設定」
• 「802.1X 設定時の注意事項」
• 「802.1X 認証のイネーブル化」(必須)
• 「スイッチ/RADIUS サーバ通信の設定」(必須)
• 「複数ドメイン認証および複数認可の設定」
• 「ACL 割り当てとリダイレクト URL を使用した 802.1X 認証の設定」
• 「ユーザ単位の ACL とフィルタ ID ACL を使用した 802.1X 認証の設定」
• 「RADIUS によるセッション タイムアウトの設定」(任意)
• 「MAC 移動の設定」(任意)
• 「MAC 置換の設定」(任意)
• 「違反アクションの設定」(任意)
• 「ゲスト VLAN を使用した 802.1X 認証の設定」(任意)
• 「MAC 認証バイパスを使用した 802.1X 認証の設定」(任意)
• 「アクセス不能認証バイパスを使用した 802.1X 認証の設定」(任意)
• 「単方向制御ポートを使用した 802.1X 認証の設定」(任意)
• 「VLAN ユーザ分散を使用した 802.1X の設定」
• 「認証失敗の場合の 802.1X 認証の設定」(任意)
• 「音声 VLAN に対する 802.1X 認証の設定」(任意)
• 「VLAN 割り当てを使用した 802.1X 認証の設定」
• 「フォールバック認証のイネーブル化」
• 「定期的な再認証のイネーブル化」(任意)
• 「複数ホストのイネーブル化」(任意)
• 「待機時間の変更」(任意)
• 「スイッチからクライアントへの再送信時間の変更」(任意)
• 「スイッチからクライアントへのフレーム再送信回数の設定」(任意)
• 「NEAT を使用したオーセンティケータ スイッチおよびサプリカント スイッチの設定」
• 「手動によるポート接続クライアントの再認証」(任意)
• 「802.1X 認証ステートの初期化」
• 「802.1X クライアント情報の削除」
• 「802.1X 設定をデフォルト値にリセットする方法」(任意)
802.1X のデフォルト設定
表 45-1 に、802.1X のデフォルト設定を示します。
表 45-1 802.1X のデフォルト設定
|
|
認証、許可、アカウンティング(AAA) |
ディセーブル |
RADIUS サーバ • IP アドレス • UDP 認証ポート • キー |
• 指定なし • 1645 • 指定なし |
インターフェイスごとの 802.1x プロトコル イネーブル ステート |
強制認証 ポートはクライアントの 802.1x ベース認証なしで通常のトラフィックを送受信します。 |
定期的な再認証 |
ディセーブル |
再認証の試行間隔 |
3600 秒 |
待機時間 |
60 秒 スイッチがクライアントとの認証情報の交換に失敗した後、待機状態を続ける秒数。 |
再送信時間 |
30 秒 要求を再送信するまでに、スイッチがクライアントからの EAP-Request/Identity フレームに対する応答を待機する秒数です。 |
最大再送信回数 |
2 認証プロセスを再開するまでにスイッチが EAP-Request/Identity フレームを送信する回数です。 |
複数ホストのサポート |
ディセーブル |
クライアント タイムアウト時間 |
30 秒 認証サーバからの要求をクライアントにリレーするとき、クライアントに要求を再送信するまでにスイッチが応答を待機する時間です。 |
認証サーバ タイムアウト時間 |
30 秒 クライアントの応答を認証サーバにリレーするとき、サーバに応答を再送信するまでにスイッチが応答を待機する時間です。 この値は設定不可能です。 |
802.1X 認証のイネーブル化
802.1X ポート ベース認証をイネーブルにするには、まずスイッチ上で 802.1X をグローバルにイネーブルにしてから、AAA をイネーブルにし、認証方式リストを指定する必要があります。方式リストは、ユーザ認証のためクエリー送信を行う手順と認証方式を記述したものです。
ソフトウェアは、方式リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリスト内の次の認証方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。このサイクルのいずれかの時点で認証が失敗した場合には、認証プロセスは中止され、その他の認証方式が試みられることはありません。
(注) VLAN 割り当てを可能にするには、AAA 認証をイネーブルにして、ネットワーク関連のすべてのサービス要求に対してスイッチを設定する必要があります。
802.1X ポートベース認証を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
dot1x system-auth-control
|
スイッチ上で 802.1X をイネーブルにします。 スイッチ上で 802.1X をグローバルにディセーブルにするには、 no dot1x system-auth-control コマンドを使用します。 |
ステップ 3 |
Switch(config)#
aaa new-model
|
AAA をイネーブルにします。 AAA をディセーブルにするには、 no aaa new-model コマンドを使用します。 |
ステップ 4 |
Switch(config)#
aaa authentication dot1x
{
default
}
method1
[
method2
...]
|
802.1X AAA 認証方式リストを作成します。 authentication コマンドに名前付きリストが指定されない場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルトの状況で使用する方式を指定します。デフォルトの方式リストが、自動的にすべてのインターフェイスに適用されます。 次のキーワードのうち、少なくとも 1 つを入力します。 • group radius :すべての RADIUS サーバのリストを認証に使用します。 • none :認証を使用しません。クライアントは、クライアントが提供する情報を使用しないで、スイッチによって自動的に認証されます。 802.1X AAA 認証をディセーブルにするには、 no aaa authentication dot1x { default | list-name } method1 [ method2 ...] グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 5 |
Switch(config)#
aaa authorization network {default} group radius
|
(任意)ネットワーク関連のすべてのサービス要求(VLAN 割り当てなど)に対するユーザ RADIUS 許可を、スイッチに設定します。 |
ステップ 6 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、802.1X 認証をイネーブルにするインターフェイスを指定します。 |
ステップ 7 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 8 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 9 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 10 |
|
特権 EXEC モードに戻ります。 |
ステップ 11 |
Switch #
show dot1x interface
interface-id
details
|
入力を確認します。 この出力の 802.1X ポート サマリー セクションの PortControl 行を調べます。PortControl 値は auto に設定されています。 |
ステップ 12 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 13 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
(注) スパニングツリー PortFast をイネーブルにすると、許可直後にポートが必ずアップになります。
(注) ポートに任意の 802.1X パラメータを設定すると、ポート上に 802.1X 認証が自動的に作成されます。その結果、dot1x pae authenticator が設定に表示され、dot1x 認証が、手動介入なしに、レガシー設定で引き続き確実に動作します。
次に、ファスト イーサネット ポート 2/1 で 802.1X と AAA をイネーブルにし、設定を確認する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# dot1x system-auth-control
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# interface fastethernet2/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch# show authentication sessions interface f9/2
Interface: FastEthernet9/2
MAC Address: 0007.e95d.83c4
Oper host mode: single-host
Common Session ID: 0A050B160000009505106398
Acct Session ID: 0x0000009B
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# dot1x system-auth-control
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# interface fastethernet2/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch# show dot1x interface f9/2 details
Dot1x Info for FastEthernet9/2
-----------------------------------
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0007.e95d.83c4
Session ID = 0A050B160000009505106398
Auth SM State = AUTHENTICATING
Auth BEND SM State = REQUEST
Port Status = UNAUTHORIZED
次に、ポートが認可されるときの例を示します。
Switch# show authentication sessions int G4/5
Interface: GigabitEthernet4/5
MAC Address: 0015.e981.0531
Oper host mode: single-host
Common Session ID: 0A053F0F00000004041E6B0C
Acct Session ID: 0x00000021
Switch# show dot1x interface G4/5 details
Dot1x Info for GigabitEthernet4/5
-----------------------------------
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0015.e981.0531
Session ID = 0A053F0F00000004041E6B0C
Auth SM State = AUTHENTICATED
Auth BEND SM State = IDLE
スイッチ/RADIUS サーバ通信の設定
RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と各 UDP ポート番号、あるいは IP アドレスと各 UDP ポート番号で識別します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、サーバの同一 IP アドレス上にある複数の UDP ポートに RADIUS 要求を送信できるようになります。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。RADIUS のホストエントリは、設定された順序で試行されます。
スイッチ上で RADIUS サーバ パラメータを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
radius-server host {
hostname |
ip-address }
auth-port
port-number [
acct-port
port-number] [
test username
name] [
ignore-auth-port
] [
ignore-acct-port
] [
idle-time
min]
key
string
|
スイッチ上に RADIUS サーバ パラメータを設定します。 hostname | ip-address には、 リモート RADIUS サーバのホスト名または IP アドレスを指定します。 特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。 auth-port port-number : 認証要求のための UDP 宛先ポートを指定します。デフォルト値は 1645 です。 acct-port port-number : アカウンティング要求のための UDP 宛先ポートを指定します。デフォルト値は 1646 です。 RADIUS サーバの自動テストをイネーブルにし、RADIUS サーバのアップとダウンを検出するには、test username name を使用します。name パラメータはテスト アクセス要求で使用するユーザ名で、RADIUS サーバに送信されます。サーバに設定されている有効なユーザである必要はありません。ignore-auth-port オプションと ignore-acct-port オプションを使用すると、認証ポートとアカウンティング ポートのテストをそれぞれディセーブルにします。 idle-time min パラメータには、アイドル状態の RADIUS サーバがまだアップであることを確認するまでの時間を分単位で指定します。デフォルトは 60 分です。 key string には、スイッチと RADIUS サーバ上で動作する RADIUS デーモンとの間で使用する認証および暗号キーを指定します。key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。 コマンド構文の最後の項目として設定してください。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。このキーは RADIUS デーモンで使用する暗号と一致する必要があります。 RADIUS サーバを複数使用する場合は、このコマンドを繰り返し使用してください。 |
ステップ 3 |
Switch(config-if)#
radius deadtime min
|
(任意)ダウンしていた RADIUS サーバがアップしたかどうかをテストするまでの時間を分単位で指定します。デフォルトは 1 分です。 |
ステップ 4 |
Switch(config-if)#
radius dead-criteria time seconds tries num
|
(任意)RADIUS サーバがダウンしているかどうかを判断する基準を設定します。time パラメータには、サーバへの要求に応答がなくなってからサーバがダウンと判断されるまでの時間を秒単位で指定します。tries パラメータには、サーバがダウンと判断されるまでにサーバへの要求に応答がない回数を指定します。 これらのパラメータの推奨値は、radius-server retransmit に等しい tries および radius-server retransmit x radius-server timeout に等しい time です。 |
ステップ 5 |
Switch(config-if)#
ip radius source-interface m/p
|
すべての発信 RADIUS パケットの送信元アドレスとして使用する IP アドレスを確立します。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、IP アドレスが 172.120.39.46 であるサーバを RADIUS サーバとして指定する例を示します。最初のコマンドはポート 1612 を認証ポートとして指定し、暗号キーを rad123 に設定します。
2 番めのコマンドは、RADIUS サーバ上でキーを照合するように指定します。
Switch# configure terminal
Switch(config)# radius-server host 172.l20.39.46 auth-port 1612 key rad123
Switch(config)# ip radius source-interface g3/2
radius-server host グローバル コンフィギュレーション コマンドを使用して、すべての RADIUS サーバに対してタイムアウト、再送信回数、暗号キーの値をグローバルに設定できます。これらのオプションをサーバ単位で設定するには、 radius-server timeout 、 radius-server retransmit 、および radius-server key グローバル コンフィギュレーション コマンドを使用します。
さらに、RADIUS サーバで AAA クライアントも作成する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。
複数ドメイン認証および複数認可の設定
(注) 複数許可では、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースが必要です。
マルチドメイン認証(MDA)および複数認可を設定するには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# radius-server vsa send authentication
|
ネットワーク アクセス サーバが、ベンダー固有属性(VSA)を認識して使用するように設定します。 |
ステップ 3 |
Switch(config)#
interface
interface -id
|
複数ホストが間接的に接続されているポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)# [no]
authentication host-mode {single-host | multi-host | multi-domain} | multi-auth}
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)# [no]
dot1x host-mode {single-host | multi-host | multi-domain}
|
キーワードにより、次のものが許可されます。 • single-host:IEEE 802.1X 認可ポートの単一ホスト(クライアント)が許可されます。 • multi-host:単一ホストの認証後に 802.1X 認可ポートの複数ホストが許可されます。 • multi-domain:1 つのホストおよび(IP Phone、Cisco、または Cisco 以外などの)1 つの音声デバイスの両方が、IEEE 802.1X 認可ポートで認証されます。 (注) ホスト モードが multi-domain に設定されている場合、IP Phone の音声 VLAN を設定する必要があります。詳細については、「音声インターフェイスの設定」 を参照してください。 • multi-auth:複数のホストおよび IP Phone(Cisco または Cisco 以外)などの 1 つの音声デバイスが、IEEE 802.1X 認可ポートで認証されるようにします。このキーワードでは、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースが必要です。 指定されたインターフェイスについて 、 dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されていることを確認します。 ポート上で複数のホストをディセーブルにするには、 no authentication host-mode {multi-host | multi-domain | multi-auth} インターフェイス コンフィギュレーション コマンドを使用します(これよりも前のリリースでは、 no dot1x host-mode {multi-host | multi-domain} インターフェイス コンフィギュレーション コマンドを使用します)。 |
ステップ 5 |
Switch(config-if)# switchport voice vlan vlan-id
|
(任意)音声 VLAN を設定します。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show dot1x interface interface-id
[detail]
|
入力を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、802.1X 認証をイネーブルにし、複数ホストを許可する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config)# interface gigabitethernet2/1
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication host-mode multi-host
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch(config)# interface gigabitethernet2/1
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-host
次に、MDA をイネーブルにし、ポート上でホストと 802.1X 音声デバイス(802.1X サプリカントを持つ Cisco またはサードパーティ電話など)の両方を許可する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface FastEthernet3/1
Switch(config-if)# switchport access vlan 12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication host-mode multi-domain
Switch(config-if)# no shut
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface FastEthernet3/1
Switch(config-if)# switchport access vlan 12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
Switch(config-if)# no shut
次に、MDA をイネーブルにし、ポート上でホストと 802.1X 以外の音声デバイスを許可する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface FastEthernet3/1
Switch(config-if)# switchport access vlan 12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication host-mode multi-domain
Switch(config-if)# mab eap
Switch(config-if)# no shut
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface FastEthernet3/1
Switch(config-if)# switchport access vlan 12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode multi-domain
Switch(config-if)# dot1x mac-auth-bypass
Switch(config-if)# no shut
次に、ファスト イーサネット インターフェイス 3/1 での dot1x MDA 設定を確認する例を示します。
Switch# show dot1x interface FastEthernet3/1 detail
Dot1x Info for FastEthernet3/1
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0000.0000.ab01
Auth SM State = AUTHENTICATED
Authentication Method = Dot1x
Authorized By = Authentication Server
Supplicant = 0060.b057.4687
Auth SM State = AUTHENTICATED
Authentication Method = Dot1x
Authorized By = Authentication Server
次に、MDA をイネーブルにし、IEEE 802.1x 認可ポート上で複数ホストと 1 つの音声デバイスを認証する例を示します。
(注) この例は、Cisco IOS Release 12.2(50)SG およびそれ以降のリリースに適用できます。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# interface FastEthernet3/1
Switch(config-if)# switchport access vlan 12
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication host-mode multi-auth
Switch(config-if)# map eap
Switch(config-if)# no shut
ダウンロード可能 ACL
ダウンロード可能な ACL(DACL)機能を使用すると、認証サーバからデバイス固有の認可ポリシーをダウンロードできます。これらのポリシーは、該当するクライアントに対する認証に成功し、クライアントの IP アドレスが IP デバイス トラッキング テーブルに入力された後で、アクティブにされます (ポートが認証され、IP デバイス トラッキング テーブルに IP アドレス エントリが入力されると、ダウンロード可能な ACL がポート上で適用されます)。
次のセクションでは、関連する認証(802.1X または MAB)の設定を補うために必要な設定について説明します。(スイッチ上では独自の設定作業は不要です。設定のすべては ACS 上に存在します。)認証に成功後、show ip access-list コマンドを入力して、ダウンロード可能な ACL を表示します。
ダウンロード可能な ACL のスイッチの設定
ダウンロード可能な ACL にスイッチを設定するには、次の手順を実行します。
ステップ 1 IP デバイス トラッキング テーブルを設定します。
Switch(config)# ip device tracking
ステップ 2 認証を転送するよう、RADIUS VSA を設定します。
Switch(config)# radius-server vsa send authentication
ステップ 3 インターフェイスにスタティック ACL を設定します。
Switch(config-if)# ip access-group pacl-4 in
インターフェイスの設定:例
Switch# show running-configuration interface g2/9
Building configuration...
Current configuration : 617 bytes
interface GigabitEthernet2/9
switchport access vlan 29
switchport voice vlan 1234
access-group mode prefer port
ip access-group pacl-4 in
authentication event fail action authorize vlan 111
authentication event server dead action authorize vlan 333
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication order dot1x
authentication port-control auto
authentication timer restart 100
authentication timer reauthenticate 20
authentication timer inactivity 200
Switch# show ip access-list pacl-4
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit icmp host 1.1.1.1 host 2.2.2.2
DACL のデバッグ コマンド
IP デバイス トラッキング テーブルには、ARP または DHCP を介して認識されたホスト IP アドレスが含まれています。
次のコマンドにより、IP デバイス トラッキング テーブルでの制限が表示されます。
Switch# show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
--------------------------------------------------------------
IP Address MAC Address Interface STATE
--------------------------------------------------------------
50.0.0.12 0015.60a4.5e84 GigabitEthernet2/9 ACTIVE
次のコマンドにより、ACS からのダウンロード可能な ACL が Policy Enforced Module(EPM)セッションに含まれることが表示されます。
Switch# show epm session ip 50.0.0.12
Admission feature : DOT1X
ACS ACL : xACSACLx-IP-auth-48b79b6e
次のコマンドにより、ダウンロード可能な ACL の内容が表示されます。
Switch# show ip accesslists xACSACLx-IP-auth-48b79b6e
Extended IP access list xACSACLx-IP-auth-48b79b6e (per-user)
Cisco ACS での DACL の設定
(注) DACL は、Cisco ACS のみでサポートされます。
DACL に必要な ACS が正しく動作するように設定する手順は、次のとおりです。
ステップ 1 [Radius Shared Profile] > [Downloadable IP ACL Content](図 45-10)を選択すると表示されるウィンドウで、ダウンロード可能な IP ACL を設定します。
図 45-10 共有プロファイル コンポーネント
ステップ 2 [User] > [DACLs] を選択すると表示されるウィンドウを使用して、ユーザでこのダウンロード可能な ACL を接続します(図 45-11)。
図 45-11 ダウンロード可能 ACL
URL のリダイレクト
URL ダイレクトを設定するには、ACS とスイッチ上で設定する必要があります。
ACS の設定
2 つの Cisco-AV ペアを設定するには、ユーザまたはグループの Cisco IOS/PIX 6x RADIUS 属性で次のステートメントを追加します。
url-redirect=http://www.cisco.com
(注) デフォルト ポート ACL は、インターフェイス上で設定する必要があります。
スイッチの設定
URL リダイレクトのためにスイッチを設定するには、次の手順を実行します。
ステップ 1 IP デバイス トラッキング テーブルを設定します。
Switch(config)# ip device tracking
ステップ 2 send authentication コマンドを使用して、RADIUS を設定します。
Switch(config)# radius-server vsa send authentication
ステップ 3 URL リダイレクトの ACL(URLACL)を設定します。
Switch# ip access-list urlacl
ステップ 4 インターフェイスにスタティック ACL(PACL)を設定します。
Switch(config-if)# ip access-group pacl-4 in
インターフェイスの設定:例
Switch# show running-configuration int g2/9
Building configuration...
Current configuration : 617 bytes
interface GigabitEthernet2/9
switchport access vlan 29
switchport voice vlan 1234
access-group mode prefer port
ip access-group pacl-4 in
authentication event fail action authorize vlan 111
authentication event server dead action authorize vlan 333
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication order dot1x
authentication port-control auto
authentication timer restart 100
authentication timer reauthenticate 20
authentication timer inactivity 200
Switch# show access-list pacl-4
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit icmp host 1.1.1.1 host 2.2.2.2
次のコマンドを使用して、URL リダイレクトを確認します。
show ip device tracking コマンドにより、IP デバイス トラッキング テーブルでの制限が表示されます。
Switch(config)# show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
--------------------------------------------------------------
IP Address MAC Address Interface STATE
--------------------------------------------------------------
50.0.0.12 0015.60a4.5e84 GigabitEthernet2/9 ACTIVE
show epm session ip コマンドにより、特定のホストの EPM セッションが表示されます。ACS からダウンロードされる URL のリダイレクト ACL 情報および URL リダイレクト URL 情報を確認します。
Switch# show epm session ip 50.0.0.12
Admission feature : DOT1X
URL Redirect ACL : urlacl
URL Redirect : http://www.cisco.com
Cisco IOS ソフトウェアでサポートされる AV ペアの詳細については、 AAA クライアント上で実行されるソフトウェア リリースについての ACS コンフィギュレーションおよびコマンド リファレンス マニュアルを参照してください。
DACL と URL リダイレクトの注意事項
ダウンロード可能な ACL または URL リダイレクトでは、ACL ソースは ANY にする必要があります
(permit TCP ANY host 1.1.1.1 eq 80 または permit TCP ANY host 1.1.1.1 eq 443)。
ダウンロード ポリシーの設定
ダウンロード可能なポリシーを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# access-list access-list-number {deny | permit} source [source-wildcard] [log]
|
ソース アドレスおよびワイルドカードを使用してデフォルト ポート ACL を定義します。 access-list-number は、1 から 99 または 1300 から 1999 の十進数です。 条件が一致した場合にアクセスを拒否するか許可するかを指定するには、deny または permit を入力します。 source は、パケットの送信元となるネットワークまたはホストのアドレスで、次の形式で指定します。 • ドット付き 10 進数形式の 32 ビットの値 • source および source-wildcard の値 0.0.0.0 255.255.255.255 の省略形としてキーワード any source-wildcard の値は必要ではありません。 • source および source-wildcard の値 source 0.0.0.0 の省略形を意味するキーワード host。 (任意)source-wildcard ビットを送信元アドレスに適用します。 (任意)ログを入力して、エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します。 |
ステップ 3 |
Switch(config-if)# interface interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
Switch(config-if)# ip access-group {access-list-number | name} in
|
指定されたインターフェイスへのアクセスを制御します。 この手順は、ダウンロードされたポリシーを動作させるために必須です。 |
ステップ 5 |
|
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
Switch(config)# aaa new-model
|
AAA をイネーブルにします。 |
ステップ 7 |
Switch(config)# aaa authorization network default local
|
許可の方法をローカルに設定します。認可方式を削除するには、no aaa authorization network default local コマンドを使用します。 |
ステップ 8 |
Switch(config)# ip device tracking
|
IP デバイス トラッキング テーブルをイネーブルにします。 IP デバイス トラッキング テーブルをディセーブルにするには、no ip device tracking グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 9 |
Switch(config)#
ip device tracking [probe {count count | interval interval}]
|
(任意)IP デバイス トラッキング テーブルで、これらのパラメータを設定します。 • count:スイッチが ARP プローブを送信する回数です。指定できる範囲は 1 ~ 5 です。デフォルトは 3 です。 • interval:スイッチが ARP プローブを再送する前に、応答を待機する秒数。指定できる範囲は 30 ~ 300 秒です。デフォルトは 30 秒です。 |
ステップ 10 |
Switch(config)#
ip device tracking [probe {delay interval}]
|
(任意)IP デバイス トラッキング テーブルに対してオプションのプローブ遅延パラメータを設定します。 • interval:スイッチが ARP プローブの送信を遅延する秒数。追跡対象デバイスによるリンク アップおよび ARP プローブの生成により起動されます。指定できる範囲は 1 ~ 120 秒です。デフォルトは 0 秒です。 |
ステップ 11 |
Switch(config)# radius-server vsa send authentication
|
ベンダー固有属性を認識し使用するために、ネットワーク アクセス サーバを設定します。 (注) ダウンロード可能な ACL が機能する必要があります。 |
ステップ 12 |
|
特権 EXEC モードに戻ります。 |
ステップ 13 |
Switch# show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}
|
IP デバイス トラッキング テーブル内のエントリに関する情報を表示します。 |
ステップ 14 |
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ダウンロード可能なポリシーに関するスイッチを設定する例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# ip device tracking
Switch(config)# ip access-list extended default_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server vsa send authentication
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip access-group default_acl in
ユーザ単位の ACL とフィルタ ID ACL
Cisco IOS Release 12.2(52)SG よりも前のリリースでは、Catalyst 4500 プラットフォームでのみ、ダウンロード可能な ACL がサポートされます。これは、Cisco ACS サーバでは動作しますが、サードパーティ AAA サーバでは動作しません。With Cisco IOS Release 12.2(52)SG では、Catalyst 4500 スイッチからフィルタ ID/ユーザ単位の ACL 拡張機能が提供されます。これにより、サードパーティ製 AAA サーバを使用した ACL ポリシーの実施が可能になります。
フィルタ ID 機能により、次の機能が実行できるようになります。
フィルタ ID オプションを使用すると、管理者は、IETF 規格の RADIUS 属性を使用して、AAA サーバ上で ACL 名を定義できます。ACL そのものは、スイッチ上で事前にローカルに定義する必要があります。
ユーザ単位の ACL 機能により、次の機能が実行できるようになります。
ユーザ単位の ACL を使用すると、管理者は、Cisco RADIUS AV ペアを使用して、AAA サーバ上でユーザ単位の ACL を定義できます。このアクションによって、サードパーティ AAA サーバは、VSA として設定された Cisco Radius AV ペアを持つ Cisco Radius ディクショナリをロードすることにより、相互運用できるようになります。
(注) RADIUS のベンダー固有属性(VSA)を使用すると、ベンダーは、標準 RADIUS 属性に含まれない独自の専用 RADIUS 属性をサポートできます。
スイッチの設定
ユーザ単位の ACL とフィルタ ID ACL でスイッチを設定するには、次の手順を実行します。
ステップ 1 IP デバイス トラッキング テーブルを設定します。
Switch(config)# ip device tracking
ステップ 2 インターフェイスにスタティック ACL を設定します。
Switch(config-if)# ip access-group pacl-4 in
インターフェイスの設定:例
Switch# show running-configuration interface g2/9
Building configuration...
Current configuration : 617 bytes
interface GigabitEthernet2/9
switchport access vlan 29
switchport voice vlan 1234
access-group mode prefer port
ip access-group pacl-4 in
authentication event fail action authorize vlan 111
authentication event server dead action authorize vlan 333
authentication event server alive action reinitialize
authentication host-mode multi-auth
authentication order dot1x
authentication port-control auto
authentication timer restart 100
authentication timer reauthenticate 20
authentication timer inactivity 200
Switch# show ip access-list pacl-4
10 permit ip host 1.1.1.1 host 2.2.2.2
20 permit icmp host 1.1.1.1 host 2.2.2.2
ACS でのユーザ単位の ACL の設定
[Group/User Setting] ページで、[Cisco IOS/PIX 6.x RADIUS Attributes] セクションまでカーソルを移動します。[[009\001] cisco-av-pair] の横のボックスを選択し、ユーザ単位の ACL の要素を入力します。ユーザ単位の ACL の形式は、次のとおりです。
protocol_#:inacl# sequence number=ACE
protocol ip(IP ベースの ACL の場合)または mac(MAC ベースの ACL の場合)のいずれか
図 45-12 は、設定しているグループのメンバが 10.100.60.0 サブネットへのすべてのアクセスを拒否され、10.100.10.116 のサーバへの HTTP アクセスを拒否され、その他のすべての場所では許可されることを示しています。
図 45-12 ユーザ単位の ACL での ACE の定義
(注) 出力 ACL(OUTACL)はサポートされません。
ACS でのフィルタ ID の設定
[Group/User Setting] ページで、[IETF RADIUS Attributes] セクションまでカーソルを移動します。[Filter-Id] の横のボックスを選択し、このグループのメンバに適用する ACL を入力します(図 45-13)。
この形式の Filter-Id ia:
ACL このスイッチで以前に設定された ACL の数
図 45-13 フィルタ ID 属性の設定
(注) 出力 ACL(「100.out」など)はサポートされません。
ユーザ単位の ACL とフィルタ ID ACL のデバッグ コマンド
IP デバイス トラッキング テーブルには、ARP または DHCP を介して認識されたホスト IP アドレスが含まれています。次のコマンドにより、IP デバイス トラッキング テーブルでの制限が表示されます。
Switch# show ip device tracking all
IP Device Tracking = Enabled
IP Device Tracking Probe Count = 3
IP Device Tracking Probe Interval = 30
--------------------------------------------------------------
IP Address MAC Address Interface STATE
--------------------------------------------------------------
50.0.0.12 0015.60a4.5e84 GigabitEthernet2/9 ACTIVE
次のコマンドにより、ACS からのユーザ単位の ACL が Policy Enforced Module(EPM)セッションに含まれることが表示されます。
Switch# show epm session ip 50.0.0.12
Admission feature : DOT1X
Per-User ACL : deny ip any host 20.20.10.10
次のコマンドにより、ユーザ単位の ACL の内容が表示されます(前述のユーザ単位の ACL はインターフェイス上に設定されるデフォルト ポート ACL で、次の例では、151 がデフォルト ポート ACL です)。
Extended IP access list 151
deny ip host 20.20.0.3 host 20.20.10.10
10 permit ip any any (57 estimate matches)
次のコマンドにより、セッション数と、対応するクライアント IP アドレスが表示されます。
Switch# show epm session summary
Total sessions seen so far : 1
Total active sessions : 1
次のコマンドにより、ACL(ACS からの IP と MAC ACL の両方)が Policy Enforced Module(EPM)セッションに含まれることが表示されます。
Switch# show epm session ip 50.0.0.12
Admission feature : DOT1X
Per-User ACL : deny ip any host 20.20.10.10
Per-User ACL : deny any host 0000.AAAA.AAAA
次のコマンドにより、ユーザ単位の ACL の内容が表示されます(前述のユーザ単位の ACL はインターフェイス上に設定されるデフォルト ポート ACL で、前の例では、151 がデフォルト ポート ACL です)。
Extended IP access list 151
deny ip host 20.20.0.3 host 20.20.10.10
10 permit ip any any (57 estimate matches)
..(check for the mac access-list created)..
Extended MAC access list PerUser_MAC_ACL-589079192 (per-user)
deny any host 0000.aaaa.aaaa
次のコマンドにより、ACS からのフィルタ ID 155 が Policy Enforced Module(EPM)セッションに含まれることが表示されます。
(注) 156 IP 拡張 ACL はスイッチ上で事前に設定されるもので、これによってポリシー実行を発生させることができます。
Switch# show ip access-list 156
Extended IP access list 156
10 deny ip any host 155.155.155.156
20 deny ip any 156.100.60.0 0.0.0.255
30 deny tcp any host 156.100.10.116 eq www
Switch# show epm session ip 50.0.0.12
Admission feature : DOT1X
次のコマンドにより、インターフェイスに適用されるフィルタ ID の内容が表示されます。
Switch# show ip access-list int <gi6/3>
Switch# show ip access-list interface gi6/3
deny ip host 20.20.0.2 host 155.155.155.156
deny ip host 20.20.0.2 156.100.60.0 0.0.0.255
deny tcp host 20.20.0.2 host 156.100.10.116 eq www
ユーザ単位の ACL とフィルタ ID ACL の注意事項
ユーザ単位の ACL およびフィルタ ID ACL については、ACL ソースを ANY にする必要があります
(permit TCP ANY host 1.1.1.1 eq 80 または permit TCP ANY host 1.1.1.1 eq 443)。
ユーザ単位の ACL とフィルタ ID ACL の設定
ユーザ単位の ACL およびフィルタ ID ACL を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch# configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# access-list access-list-number {deny | permit} source [source-wildcard] [log]
|
ソース アドレスおよびワイルドカードを使用してデフォルト ポート ACL を定義します。 access-list-number は、1 から 99 または 1300 から 1999 の十進数です。 条件が一致した場合にアクセスを拒否するか許可するかを指定するには、deny または permit を入力します。 source は、パケットの送信元となるネットワークまたはホストのアドレスで、次の形式で指定します。 • ドット付き 10 進数形式の 32 ビットの値 • source および source-wildcard の値 0.0.0.0 255.255.255.255 の省略形としてキーワード any source-wildcard の値は必要ではありません。 • source および source-wildcard の値 source 0.0.0.0 の省略形を意味するキーワード host。 (任意)source-wildcard ビットを送信元アドレスに適用します。 (任意)ログを入力して、エントリと一致するパケットに関する情報ロギング メッセージをコンソールに送信します。 |
ステップ 3 |
Switch(config-if)# interface interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
Switch(config-if)# ip access-group {access-list-number | name} in
|
指定されたインターフェイスへのアクセスを制御します。 この手順は、ダウンロードされたポリシーを動作させるために必須です。 |
ステップ 5 |
|
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
Switch(config)# aaa new-model
|
AAA をイネーブルにします。 |
ステップ 7 |
Switch(config)# aaa authorization network default local
|
許可の方法をローカルに設定します。認可方式を削除するには、no aaa authorization network default local コマンドを使用します。 |
ステップ 8 |
Switch(config)# ip device tracking
|
IP デバイス トラッキング テーブルをイネーブルにします。 IP デバイス トラッキング テーブルをディセーブルにするには、no ip device tracking グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 9 |
Switch(config)#
ip device tracking [probe {count count | interval interval}]
|
(任意)IP デバイス トラッキング テーブルで、これらのパラメータを設定します。 • count:スイッチが ARP プローブを送信する回数です。指定できる範囲は 1 ~ 5 です。デフォルトは 3 です。 • interval:スイッチが ARP プローブを再送する前に、応答を待機する秒数。指定できる範囲は 30 ~ 300 秒です。デフォルトは 30 秒です。 |
ステップ 10 |
Switch(config)#
ip device tracking [probe {delay interval}]
|
(任意)IP デバイス トラッキング テーブルに対してオプションのプローブ遅延パラメータを設定します。 • interval:スイッチが ARP プローブの送信を遅延する秒数。追跡対象デバイスによるリンク アップおよび ARP プローブの生成により起動されます。指定できる範囲は 1 ~ 120 秒です。デフォルトは 0 秒です。 |
ステップ 11 |
|
特権 EXEC モードに戻ります。 |
ステップ 12 |
Switch# show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}
|
IP デバイス トラッキング テーブル内のエントリに関する情報を表示します。 |
ステップ 13 |
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ダウンロード可能なポリシーに関するスイッチを設定する例を示します。
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# ip device tracking
Switch(config)# ip access-list extended default_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip access-group default_acl in
RADIUS によるセッション タイムアウトの設定
Catalyst 4500 シリーズ スイッチでは、RADIUS による再認証タイムアウトを使用するように設定できます。
RADIUS によるタイムアウトを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication timer reauthenticate {interface
|
server}
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x timeout reauth-attempts {interface
|
server}
|
再認証の間隔(秒)を設定します。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show dot1x interface
interface-id
details
|
入力を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、スイッチがサーバから再認証時間を取得するように設定し、設定を確認する例を示します。
Cisco IOS Release 12.2(50)
Switch# configure terminal
Switch(config)# interface f7/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication timer reauthenticate server
Switch# show dot1x interface f7/1 det
Dot1x Info for FastEthernet7/11
-----------------------------------
PortControl = FORCE_AUTHORIZED
ReAuthentication = Disabled
ReAuthPeriod = (From Authentication Server)
Dot1x Authenticator Client List Empty
Cisco IOS Release 12.2(46) またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface f7/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x timeout reauth-attempts server
Switch# show dot1x interface f7/1 det
Dot1x Info for FastEthernet7/11
-----------------------------------
PortControl = FORCE_AUTHORIZED
ReAuthentication = Disabled
ReAuthPeriod = (From Authentication Server)
Dot1x Authenticator Client List Empty
MAC 移動の設定
MAC 移動を使用すると、認証されたホストをスイッチのポート間で移動できます。
(注) MAC 移動を設定する前に、ポート セキュリティを削除する必要があります。
スイッチで MAC 移動をグローバルにイネーブルにするには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
authentication mac-move permit
|
MAC 移動をグローバルにイネーブルにします。 |
ステップ 3 |
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
|
入力を確認します。 |
ステップ 5 |
Switch #
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次の例では、スイッチで MAC 移動をグローバルにイネーブルにする方法を示します。
Switch# configure terminal
Switch(config)# authentication mac-move permit
次の syslog メッセージは、MAC 移動が発生したときに表示されます。
%AUTHMGR-5-SECUREMACMOVE: <mac-addr> moved from <interface-name> to <interface-name>
MAC 置換の設定
MAC 置換によって、新規ユーザは、放棄されたポートに接続できます。
ユーザが接続を解除するが、スイッチが EAPOL ログオフを受信しなかった場合、セッションはアップのままです。単一または複数のドメイン モードでは、新しいホストがそのポートに接続できません。新しいホストが接続しようとした場合、違反がポートでトリガーされます。違反アクションが置換として設定されている場合、望ましい動作は、NAD(スイッチ)が、最初のセッションを終了し、新しい MAC に基づく認証シーケンスをリセットすることです。
スイッチの MAC 置換をイネーブルにする手順は、次のとおりです。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
authentication violation [restrict | shutdown | replace]
|
新しいホストが単一または複数のドメイン モードにある場合、古いセッションを切断し、新しいホストを認証します。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
|
入力を確認します。 |
ステップ 6 |
Switch #
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次の例では、スイッチで MAC 置換をグローバルにイネーブルにする方法を示します。
Switch# configure terminal
Switch(config)# interface f7/1
Switch(config-if)# authentication violation replace
次の syslog メッセージは、MAC 置換が発生したときに表示されます。
%AUTHMGR-5-SECUREMACREPLACE: <mac-addr> replaced <mac-addr> on <interface-name>
違反アクションの設定
違反に対する応答に基づいて、シャットダウン、制限、または置換のいずれかのモードで 802.1X セキュリティ違反動作を設定できます。
違反アクションを設定するには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)# authentication
|
(任意)セキュリティ違反が発生した場合のポートのディスポジションを設定します。 デフォルトでは、ポートはシャットダウンされます。restrict キーワードが設定されている場合、ポートはシャット ダウンしません。 新しいホストが単一または複数ドメインのモードで確認されると、置換モードは古いセッションを切断し、新しいホストを認証します。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
|
入力を確認します。 |
ステップ 6 |
Switch #
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、スイッチで違反モードをシャットダウンに設定する例を示します。
Switch# configure terminal
Switch(config)# authentication violation shutdown
シャットダウン モードでセキュリティ違反がトリガーされたときに、ポートは errdisable になります。次の syslog メッセージが表示されます。
%AUTHMGR-5-SECURITY_VIOLATION: Security violation on the interface <interface name>, new MAC address <mac-address> is seen.
%PM-4-ERR_DISABLE: security-violation error detected on <interface name>, putting <interface name> in err-disable state
ゲスト VLAN を使用した 802.1X 認証の設定
Catalyst 4500 シリーズ スイッチの各 802.1X ポートにゲスト VLAN を設定して、クライアントに限定されたサービス(802.1X クライアントのダウンロードなど)を提供できます。これらのクライアントは 802.1X 認証用にシステムをアップグレードできる場合もありますが、一部のホストには(Windows 98 システムなど)802.1X 対応でないものもあります。
802.1X ポート上でゲスト VLAN をイネーブルにしたときに、次のいずれかが当てはまる場合、Catalyst 4500 シリーズ スイッチは、ゲスト VLAN にクライアントを割り当てます。
• 認証サーバが、EAPOL 要求またはアイデンティティ フレームに対する応答を受信しない。
• EAPOL パケットがクライアントによって送信されない。
Cisco IOS Release 12.2(25)EWA 以降では、Catalyst 4500 シリーズ スイッチでは EAPOL パケット履歴が保持されます。リンクの存続期間中に他の EAPOL パケットがインターフェイス上で検出された場合、ネットワーク アクセスは拒否されます。EAPOL 履歴は、リンクの消失時にリセットされます。
スイッチ ポートがゲスト VLAN に移されると、許可される 802.1X 非対応クライアントの許容数に制限がなくなります。802.1X 対応クライアントが、ゲスト VLAN が設定されたのと同じポートに参加する場合、ポートはユーザ設定のアクセス VLAN 内で無許可ステートになり、認証が再開されます。
ゲスト VLAN は、単一ホスト モードまたは複数ホスト モードの 802.1X ポートでサポートされます。
(注) ポートがゲスト VLAN に追加されると、自動的に複数ホスト モードになり、このポートを使用してポートを無制限に接続できるようになります。複数ホスト設定を変更しても、ゲスト VLAN 内のポートには影響しません。
(注) RSPAN VLAN または音声 VLAN 以外の任意のアクティブな VLAN を、802.1X ゲスト VLAN として設定できます。
ポート上のゲスト VLAN に 802.1X を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、802.1X 認証をイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
or
Switch(config-if)#
switchport mode private-vlan host
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 有効な PVLAN トランクのアソシエーションを持つポートが、アクティブ ホストの PVLAN トランク ポートになることを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication event no-response action authorize vlan vlan-id
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x guest-vlan vlan-id
|
特定のインターフェイス上でゲスト VLAN をイネーブルにします。 特定のポート上でゲスト VLAN 機能をディセーブルにするには、no authentication event no-response action authorize vlan インターフェイス コンフィギュレーション コマンド(これよりも前のリリースでは、 no dot1x guest-vlan インターフェイス コンフィギュレーション コマンド)を使用します。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 7 |
|
コンフィギュレーション モードに戻ります。 |
ステップ 8 |
|
特権 EXEC モードに戻ります。 |
次に、FastEthernet 4/3 上の通常の VLAN 50 をスタティックなアクセス ポート上のゲスト VLAN としてイネーブルにする例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fa4/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication event no-response action authorize vlan 50
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fa4/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x guest-vlan 50
Switch(config-if)# dot1x port-control auto
次に、セカンダリ PVLAN 100 を PVLAN ホスト ポート上のゲスト VLAN としてイネーブルにする例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fa4/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication event no-response action authorize vlan 100
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fa4/3
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x guest-vlan 100
サプリカントがスイッチ上のゲスト VLAN で許容されるようにするには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch#
dot1x guest-vlan supplicant
|
(任意)サプリカントがスイッチ上のゲスト VLAN にグローバルに許容されるようにします。 (注) Cisco IOS リリース 12.3(31)SG の CLI では表示されませんが、dot1x guest-vlan supplicant コマンドを含むレガシー コンフィギュレーションは現在も動作します。このコマンドを使用することは推奨しません。ただし、認証が失敗したため、VLAN オプションによってこのコマンドは不要になります。 スイッチ上でサプリカントのゲスト VLAN 機能をディセーブルにするには、 no dot1x guest-vlan supplicant グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 3 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、802.1X 認証をイネーブルにするインターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
switchport mode access
or
Switch(config-if)#
switchport mode private-vlan host
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 有効な PVLAN トランクのアソシエーションを持つポートが、アクティブ ホストの PVLAN トランク ポートになることを指定します。 |
ステップ 5 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 6 |
Switch(config-if)#
dot1x guest-vlan vlan-id
|
アクティブ VLAN を 802.1X ゲスト VLAN として指定します。指定できる範囲は 1 ~ 4094 です。 |
ステップ 7 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 8 |
|
特権 EXEC モードに戻ります。 |
ステップ 9 |
Switch#
show dot1x interface
interface-id
|
入力を確認します。 |
ステップ 10 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ゲスト VLAN 機能をイネーブルにし、ゲスト VLAN として VLAN 5 を指定する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication event no-response action authorize vlan 5
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# dot1x guest-vlan supplicant
Switch(config)# interface gigabitethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x guest-vlan 5
Switch(config-if)# dot1x port-control auto
MAC 認証バイパスを使用した 802.1X 認証の設定
MAC 認証バイパス(MAB)をイネーブルにするには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
or
Switch(config-if)#
switchport mode private-vlan host
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 有効な PVLAN トランクのアソシエーションを持つポートが、アクティブ ホストの PVLAN トランク ポートになることを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
mab [eap]
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x mac-auth-bypass [eap]
|
スイッチの MAB をイネーブルにします。 eap オプションは、標準の RADIUS Access-Request、Access-Accept 通信に対して、完全な EAP 通信を使用する必要があることを指定します。デフォルトでは、eap オプションは MAB でイネーブルになっています。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
Switch#
show mab interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
(注) ポートの 802.1X MAB 設定を削除しても、ポートの認可ステートおよび認証ステートには影響がありません。ポートが無認証ステートであれば、そのステートのまま残ります。MAB のためにポートが認証ステートであれば、スイッチは 802.1X オーセンティケータに戻ります。MAC アドレスによりポートがすでに認可されている場合に、MAB 設定が削除されると、再認証されるまでポートは認可ステートのままになります。そのとき 802.1X サプリカントがライン上で検出されれば、MAC アドレスは削除されます。
次に、ギガビット イーサネット インターフェイス 3/3 で MAB をイネーブルにし、設定を確認する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface gigabitethernet3/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch# show mab int g3/3 details
MAB details for GigabitEthernet3/3
-------------------------------------
Mac-Auth-Bypass = Enabled
Client MAC = 0001.0001.0001
Session ID = C0A8016F0000002304175914
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface gigabitethernet3/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x mac-auth-bypass
Switch# show dot1x int g3/3 details
Dot1x Info for GigabitEthernet3/3
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Mac-Auth-Bypass = Enabled
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0000.0000.0001
Auth SM State = AUTHENTICATED
Authentication Method = MAB
Authorized By = Authentication Server
アクセス不能認証バイパスを使用した 802.1X 認証の設定
注意
アクセス不能認証バイパスを正しく機能させるには、
「スイッチ/RADIUS サーバ通信の設定」で説明されているようにスイッチを設定して RADIUS サーバのステートをモニタリングする必要があります。特に、RADIUS テスト ユーザ名、アイドル時間、ダウン時間、およびダウン基準を設定する必要があります。設定しない場合、スイッチは RADIUS サーバがダウンしても検出できなかったり、動作しない RADIUS サーバを動作していると早まってマーキングしてしまったりします。
ポートをクリティカル ポートとして設定し、アクセス不能認証バイパス機能をイネーブルにするには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
dot1x critical eapol
|
(任意)EAP 交換を通じてポートが部分的にクリティカル許可されているときに EAPOL-Success パケットを送信するかどうかを設定します。 デフォルトでは、EAP 交換を通じてポートが部分的にクリティカル許可されている場合、EAPOL-Success パケットを送信しません。ポートがクリティカル許可されているときに、進行中の EAP 交換がない場合、EAPOL-Success パケットは、このオプションに関係なく常に送信されます。 |
ステップ 3 |
[Catalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, and Supervisor Engine 6L-E] Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
[Supervisor Engine 7-E and Supervisor Engine 7L-E]
Cisco IOS Release 15.0(1)X およびそれ以降のリリース
Switch(config)#
authentication critical recovery delay
msec
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config)#
dot1x critical recovery delay
msec
|
(任意)RADIUS サーバが使用可能になったとき、クリティカル許可されたポートの再初期化スロットル レートを指定します。デフォルトのスロットル レートは 100 ミリ秒です。これは、1 秒に 10 ポートが再初期化されることを表します。 |
ステップ 4 |
Switch(config)#
interface
interface-id
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 5 |
Switch(config-if)#
switchport mode access
or
Switch(config-if)#
switchport mode private-vlan host
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 有効な PVLAN トランクのアソシエーションを持つポートが、アクティブ ホストの PVLAN トランク ポートになることを指定します。 |
ステップ 6 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 7 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 8 |
[Catalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, and Supervisor Engine 6L-E]
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
[Supervisor Engine 7-E and Supervisor Engine 7L-E]
Cisco IOS Release 15.0(1)XO およびそれ以降のリリース
Switch(config-if)#
authentication event server dead action authorize [vlan vlan-id]
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x critical
[Catalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, and Supervisor Engine 6L-E]
Cisco IOS Release 15.0(2)SG およびそれ以降のリリース
Supervisor Engine 7-E and Supervisor Engine 7L-E]
Cisco IOS Release XE 3.2.0SG およびそれ以降のリリース
Switch(config-if)#
[no] authentication event server dead action reinitialize [vlan vlan-id]
|
ポート上のデータ クライアントのアクセス不能認証バイパス機能をイネーブルにし、データ クライアントを割り当てる VLAN を指定します。VLAN を指定しない場合は、データ クライアントは、ポートで設定されたデータ VLAN に割り当てられます。 この機能をディセーブルにするには、no authentication event server dead action authorize vlan インターフェイス コンフィギュレーション コマンド(これよりも前のリリースでは、no dot1x critical インターフェイス コンフィギュレーション コマンド)を使用します。 または、Cisco IOS Release 15.0(2) SG 以降では、authentication event server dead action reinitialize vlan コマンドを使用してデータ クライアントのアクセス不能認証バイパスをイネーブルにすることができます。このコマンドは、RADIUS が使用できなくなり、クライアントが認証を試行するときに、すべての許可されたデータ クライアントの再認証を強制します。これはデータ デバイスだけに適用されます。音声デバイスは影響を受けません。 アクセス不能認証バイパスをディセーブルにするには、no authentication event server dead action reinitialize vlan インターフェイス コンフィギュレーション コマンドを使用します。 |
ステップ 9 |
[Catalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, and Supervisor Engine 6L-E]
Cisco IOS Release 15.0(2)SG およびそれ以降のリリース
Supervisor Engine 7-E and Supervisor Engine 7L-E]
Cisco IOS Release XE 3.2.0SG およびそれ以降のリリース
Switch(config-if)#
authentication event server dead action authorize voice
|
(任意)ポートの音声クライアントのアクセス不能認証バイパスをイネーブルにします。このコマンドは、複数ドメイン認証および複数認証モードに適用されます。 この機能をディセーブルにするには、no authentication event server dead action authorize voice インターフェイス コンフィギュレーション コマンドを使用します。 |
ステップ 10 |
[Catalyst 4900M, Catalyst 4948E, Supervisor Engine 6-E, and Supervisor Engine 6L-E]
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Supervisor Engine 7-E and Supervisor Engine 7L-E]
Cisco IOS Release 15.0(1)XO およびそれ以降のリリース
Switch(config-if)#
authentication event server alive action reinitialize
Cisco IOS Release 12.2(46)SG およびそれ以降のリリース
Switch(config-if)#
dot1x critical recovery action reinitialize
|
(任意)ポートがクリティカル許可されており RADIUS が使用可能であれば、ポートを再初期化することを指定します。 デフォルトでは、ポートを再初期化しません。 |
ステップ 11 |
|
特権 EXEC モードに戻ります。 |
ステップ 12 |
Switch#
show dot1x interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 13 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、アクセス不能認証バイパスを使用した 802.1X 認証の完全な設定例を示します。これには、「802.1X 認証のイネーブル化」および「スイッチ/RADIUS サーバ通信の設定」で指定した必須の AAA および RADIUS 設定が含まれます。
設定された RADIUS サーバの IP アドレスは 10.1.2.3 で、認証にはポート 1645 を、アカウンティングには 1646 を使用します。RADIUS 秘密キーは mykey です。テスト サーバ プローブに使用するユーザ名は randomizes です。アップとダウンの両方のサーバに対するテスト プローブは 1 分間に 1 回生成されます。ファスト イーサネット インターフェイス 3/1 は、AAA の応答がなくなると VLAN 17 でクリティカル認証され、AAA が再び使用可能になると自動的に再初期化するように設定されます。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# radius-server host 10.1.2.3 auth-port 1645 acct-port 1646 test username randomuser idle-time 1 key mykey
Switch(config)# radius deadtime 1
Switch(config)# radius dead-criteria time 15 tries 3
Switch(config)# interface f3/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication event server dead action authorize vlan 17
Switch# show dot1x int fastethernet 3/1 details
Dot1x Info for FastEthernet3/1
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Critical Recovery Action = Reinitialize
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0000.0000.0001
Auth SM State = AUTHENTICATING
Auth BEND SM Stat = RESPONSE
Authentication Method = Dot1x
Authorized By = Critical-Auth
Operational HostMode = SINGLE_HOST
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# radius-server host 10.1.2.3 auth-port 1645 acct-port 1646 test username randomuser idle-time 1 key mykey
Switch(config)# radius deadtime 1
Switch(config)# radius dead-criteria time 15 tries 3
Switch(config)# interface f3/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x critical
Switch(config-if)# dot1x critical vlan 17
Switch(config-if)# dot1x critical recovery action reinitialize
Switch# show dot1x int fastethernet 3/1 details
Dot1x Info for FastEthernet3/1
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Critical Recovery Action = Reinitialize
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0000.0000.0001
Auth SM State = AUTHENTICATING
Auth BEND SM Stat = RESPONSE
Authentication Method = Dot1x
Authorized By = Critical-Auth
Operational HostMode = SINGLE_HOST
単方向制御ポートを使用した 802.1X 認証の設定
単方向制御ポートを設定するには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
or
Switch(config-if)#
switchport mode private-vlan host
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 有効な PVLAN トランクのアソシエーションを持つポートが、アクティブ ホストの PVLAN トランク ポートになることを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication control-direction {in | both}
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x control-direction {in | both}
|
各ポートで単方向ポート制御をイネーブルにします。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
Switch#
show dot1x interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
(注) 単方向制御ポートは、ポートのスパニングツリー PortFast がイネーブルである場合のみ機能します。単方向制御ポートおよびスパニングツリー PortFast は、ホストに接続されたスイッチ ポートで実装する必要があります。2 つのポートがともにイーサネット ケーブルに接続されている場合、2 つのポート間でホスト学習のフラップが発生するため、CPU 使用率が高くなる可能性があります。
次に、単方向ポート制御をイネーブルにする例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface gigabitethernet3/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication control-direction in
Switch# show dot1x int g3/3
Dot1x Info for GigabitEthernet3/3
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface gigabitethernet3/3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x control-direction in
Switch# show dot1x int g3/3
Dot1x Info for GigabitEthernet3/3
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
VLAN ユーザ分散を使用した 802.1X の設定
VLAN ユーザ分散で 802.1X を設定するために、スイッチおよび ACS を設定する必要があります。
スイッチの設定
スイッチを設定するには、次の手順を実行します。
ステップ 1 スイッチの VLAN グループを作成します。
VLAN グループを作成し、VLAN グループにいくつかの VLAN を割り当てるには、次のコマンドを入力します。次に、VLAN グループ eng-group を作成し、そのグループに VLAN 20~24 をマッピングする例を示します。
Switch# configure terminal
Switch(config)# vlan group eng-group vlan-list 20-24
Switch# show vlan group group-name eng-group
---------------- -------------------
(注) VLAN グループの一部として指定する VLAN が、スイッチでイネーブルになっていることを確認します。指定した VLAN だけが、割り当てのために検討されます。
ステップ 2 マルチドメイン、シングル ホスト、またはマルチ ホストの各ポートを設定します。
詳細については、「802.1X 認証のイネーブル化」を参照してください。
show コマンド
VLAN グループのメンバ VLAN を表示するには、次の show コマンドを使用します。
|
|
|
デバイスに設定されているすべての VLAN グループのメンバ VLAN を表示します。 |
show vlan group group-name vlan-group-name
|
特定の VLAN グループ名が付いている VLAN グループのメンバ VLAN を表示します。 |
show vlan group group-name vlan-group-name user-count
|
指定した VLAN グループの各メンバ VLAN のユーザ数を表示します この機能は、分散のためにポート セキュリティによって追加された認証済みユーザと MAC アドレスだけをカウントします。その他の学習された MAC アドレスは、考慮に入れられません。Cisco IOS Release 12.2(54) SG 時点で、VLAN のユーザ数は、ホストが VLAN のポート セキュリティ、802.1X、MAB、またはフォール バック認証で学習される場合に増加します。 |
次に、show vlan group コマンドの出力例を示します。
Switch# show vlan group all
---------------- -------------------
Switch# show vlan group group-name my_group user-count
この例では、VLAN 3、4、5、7、および 9 は、VLAN グループ my group のメンバです。
ACS の設定
スイッチを設定したら、ACS 設定で VLAN グループの名前を指定する必要があります。
デフォルトでは、ACS によって、ユーザ 1 人あたりに 1 個の VLAN 名またはグループだけが送信されます。ただし、属性ごとに複数のタグを送信するように ACS を設定できます。これを行うには、ACS でユーザまたはグループの設定を変更する必要があります。(図 45-14 に示す例を参照してください)。
図 45-14 ACS の VLAN ユーザ分散:属性ごとにタグを変更するインターフェイス設定
属性ごとに必要なタグを追加した後、ユーザまたはグループの設定によって、RADIUS サーバからの値が複数のフィールドに表示されます(図 45-15)。
図 45-15 ACS の VLAN ユーザ分散:ユーザ 1 人あたりに設定した複数の VLAN 番号
これらの 2 つの作業を完了し、許可を受信した後、ACS は設定された VLAN のグループをスイッチに送信します。スイッチは、VLAN グループで設定された VLAN のリストを変更し、グループで最も負荷の少ない有効な VLAN がポートに割り当てられます。
認証失敗の場合の 802.1X 認証の設定
Catalyst 4500 シリーズ スイッチのレイヤ 2 ポートに認証失敗 VLAN アライメントを設定すると、認証プロセスに失敗するクライアントに限定的なネットワーク サービスを提供できます。
(注) 認証失敗 VLAN 割り当ては、他のセキュリティ機能(ダイナミック ARP インスペクション(DAI)、Dynamic Host Configuration Protocol(DHCP)スヌーピング、および IP ソース ガードなど)と併用できます。認証失敗 VLAN 上では、これらの機能を個別にイネーブルおよびディセーブルにできます。
認証失敗 VLAN 割り当てを使用した 802.1X を設定するには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、802.1X 認証をイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication event fail action authorize vlan
vlan-id
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x auth-fail vlan
vlan-id
|
特定のインターフェイス上で認証失敗 VLAN をイネーブルにします。 特定のポートで認証失敗 VLAN 機能をディセーブルにするには、no authentication event fail action authorize vlan インターフェイス コンフィギュレーション コマンドを使用します。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication event fail retry
max-attempts action [authorize vlan vlan-id | next-method]
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x auth-fail max-attempts
max-attempts
|
ポートが認証失敗 VLAN に移される前の、最大試行回数を設定します。 デフォルトの試行回数は 3 です。 |
ステップ 7 |
|
コンフィギュレーション モードに戻ります。 |
ステップ 8 |
|
特権 EXEC モードに戻ります。 |
ステップ 9 |
Switch#
show dot1x interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 10 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、スタティック アクセス ポート上の認証失敗 VLAN としてファスト イーサネット インターフェイス 4/3 上の通常の VLAN 40 をイネーブルにする例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface gigabitEthernet3/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Switch(config-if)# authentication event fail retry 5 action authorize vlan 40
Dot1x Info for GigabitEthernet3/1
-----------------------------------
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface gigabitEthernet3/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x auth-fail vlan 40
Switch(config-if)# dot1x auth-fail max-attempts 3
Critical Recovery Delay 100
Dot1x Info for GigabitEthernet3/1
-----------------------------------
ReAuthentication = Disabled
ReAuthPeriod = 3600 (Locally configured)
Auth-Fail-Max-attempts = 3
音声 VLAN に対する 802.1X 認証の設定
(注) 802.1X と音声 VLAN を同時に設定する必要があります。
(注) 同一ポート上に、認証失敗 VLAN と音声 VLAN の両方は設定できません。これら 2 つの機能を同じポート上で設定しようとすると、Syslog メッセージが表示されます。
音声 VLAN で 802.1X をイネーブルにするには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
switchport access vlan vlan-id
|
VLAN をアクセス モードのスイッチド インターフェイスに設定します。 |
ステップ 4 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 5 |
Switch(config-if)#
switchport voice vlan vlan-id
|
音声 VLAN をインターフェイスに設定します。 |
ステップ 6 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 7 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 8 |
|
コンフィギュレーション モードに戻ります。 |
ステップ 9 |
|
特権 EXEC モードに戻ります。 |
ステップ 10 |
Switch#
show dot1x interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 11 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ファスト イーサネット インターフェイス 5/9 上の音声 VLAN 機能で 802.1X をイネーブルにする例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport access vlan 2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport access vlan 2
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 10
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x port-control auto
VLAN 割り当てを使用した 802.1X 認証の設定
ダイナミック VLAN 割り当てをイネーブルにするには、スイッチで必要な追加設定はありません。複数認証(MDA)の設定については、「複数ドメイン認証および複数認可の設定」を参照してください。VLAN 割り当てをイネーブルにするには、Cisco ACS サーバを設定する必要があります。
VLAN 割り当てで 802.1X をイネーブルにするには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-if)#
switchport access vlan-id
|
VLAN をアクセス モードのスイッチド インターフェイスに設定します。 |
ステップ 4 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 5 |
Switch(config-if)#
switchport voice vlan vlan-id
|
音声 VLAN をインターフェイスに設定します。 |
ステップ 6 |
Switch(config-if)#
authentication host-mode multi-domain
|
インターフェイスで MDA をイネーブルにします。 |
ステップ 7 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 8 |
Switch(config-if)# dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 9 |
|
特権 EXEC モードに戻ります。 |
ステップ 10 |
Switch#
show dot1x interface
interface-id
details
|
(任意)入力を確認します。 |
ステップ 11 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、インターフェイス上に MDA を設定し、認証メカニズムとして 802.1X を設定する例を示します。
Switch(config)# interface FastEthernet3/3
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport mode access
Switch(config-if)# switchport voice vlan 16
Switch(config-if)# authentication host-mode multi-domain
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator
(注) ACS サーバで VLAN 割り当てを設定する必要があります。スイッチ上では、設定の変更は不要です。
Cisco ACS での VLAN 割り当ての設定
音声 VLAN 割り当てを使用して MDA をイネーブルにする手順は、1 つの手順を除いて、MDA をアクティブにする手順と同じです。その 1 つの手順とは、[User] > [IETF RADIUS Attributes] を選択後に、VLAN をダイナミック VLAN 割り当て用に設定する手順です(図 45-16)。この手順では、ダイナミック VLAN 割り当てに必要な ACS 設定が正しく機能するように設定されます。
図 45-16 ユーザ設定
(注) 手順は音声デバイスと同じですが、AAA サーバが Cisco Attribute-Value(AV)ペア属性を device-traffic-class=voice にして送信するように設定する必要がある点が異なります。
フォールバック認証のイネーブル化
マルチ認証モードのポート上では、MAB および Web ベース認証のいずれか一方または両方を、非 802.1X ホスト(EAPOL に対して応答しないホスト)に対するフォールバック認証方式として設定できます。認証方式の順序とプライオリティを設定します。
MAB の設定方法の詳細については、「MAC 認証バイパスを使用した 802.1X 認証の設定」を参照してください。
Web ベース認証の設定方法の詳細については、「Web ベース認証の設定」を参照してください。
(注) MDA またはマルチ認証ポート上で、Web ベース認証およびその他の認証方式が設定されている場合、ポートに接続されているすべてのデバイスで、ダウンロード可能な ACL ポリシーを設定する必要があります。
フォールバック認証をイネーブルにするには、次の作業を行います。
|
|
|
ステップ 1 |
Switch(config)# ip admission name rule-name proxy http |
Web ベース認証の認証ルールを設定します。 |
ステップ 2 |
Switch(config)# fallback profile profile-name |
Web ベース認証のフォールバック プロファイルを作成します。 |
ステップ 3 |
Switch(config-fallback-profile)# ip access-group rule-name in |
Web ベース認証前にネットワーク トラフィックに適用するデフォルト ACL を指定します。 |
ステップ 4 |
Switch(config-fallback-profile)# ip admission name rule-name |
IP 許可ルールをプロファイルに関連付け、Web ベース認証によって接続しているクライアントでこのルールが使用されるよう指定します。 |
ステップ 5 |
Switch(config-fallback-profile)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 6 |
Switch(config)# interface type slot/port |
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 type = fastethernet 、 gigabitethernet 、または tengigabitethernet |
ステップ 7 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
ポートで認証をイネーブルにします。 |
ステップ 8 |
Switch(config-if)# authentication order method1 [ method2 ] [ method3 ] |
(任意)使用される認証方式のフォールバック順序を指定します。 method の 3 つの値のデフォルト順序は、 dot1x 、 mab 、および webauth です。指定された順序により、再認証の(最も高いプライオリティから最も低いプライオリティへの)相対プライオリティも決定されます。 |
ステップ 9 |
Switch(config-if)# authentication priority method1 [ method2 ] [ method3 ] |
(任意)使用される認証方式の相対プライオリティを上書きします。 method の 3 つの値は、プライオリティのデフォルト順序で、 dot1x 、 mab 、および webauth です。 |
ステップ 10 |
Switch(config-if)# authentication event fail action next-method |
認証に失敗した場合に適用される次の認証方式を指定します。 |
ステップ 11 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)# mab [ eap ] Cisco IOS Release 12.2(46)SG およびそれ以前のリリース Switch(config-if)# dot1x mac-auth-bypass [ eap ] |
MAC 認証バイパスをイネーブルにします。オプションの eap キーワードは、RADIUS 認証中に使用される EAP 拡張機能を指定します。 |
ステップ 12 |
Switch(config-if)# authentication fallback profile-name |
指定されたプロファイルを使用した Web ベースの認証をイネーブルにします。 |
ステップ 13 |
Switch(config-if)# authentication violation [ shutdown | restrict ] |
(任意)セキュリティ違反が発生した場合のポートのディスポジションを設定します。デフォルトでは、ポートはシャットダウンされます。 restrict キーワードが設定されている場合、ポートはシャットダウンされず、違反 MAC アドレスに対してトラップ エントリがインストールされ、MAC アドレスからのトラフィックは廃棄されます。 |
ステップ 14 |
Switch(config-if)# authentication timer inactivity { seconds | server } |
(任意)MAB および 802.1X に対する無活動タイムアウト値を設定します。デフォルトでは、ポートに対する無活動の長さはディセーブルにされています。 • seconds :無活動タイムアウトの期間を指定します。指定できる範囲は 1 ~ 65535 秒です。 • server:認証サーバから無活動タイムアウト期間の値を取得することを指定します。 |
ステップ 15 |
Switch(config-if)# authentication timer restart seconds |
(任意)無認可ポートの認証の試行で、認証プロセスを再起動するまでの期間を指定します。 • seconds :再起動期間を指定します。指定できる範囲は 1 ~ 65535 秒です。 |
ステップ 16 |
Switch(config-if)# exit |
グローバル コンフィギュレーション モードに戻ります。 |
ステップ 17 |
Switch(config)# ip device tracking |
Web ベース認証に必要な IP デバイス トラッキング テーブルをイネーブルにします。 |
ステップ 18 |
Switch(config)# exit |
特権 EXEC モードに戻ります。 |
ステップ 19 |
Switch# show dot1x interface type slot/port |
入力を確認します。 |
次に、MAB への 802.1X フォールバックをイネーブルにし、続いて、802.1X がイネーブルにされたポートで Web ベース認証をイネーブルにする例を示します。
Switch(config)# ip admission name rule1 proxy http
Switch(config)# fallback profile fallback1
Switch(config-fallback-profile)# ip access-group default-policy in
Switch(config-fallback-profile)# ip admission rule1
Switch(config-fallback-profile)# exit
Switch(config)# interface gigabit5/9
Switch(config-if)# switchport mode access
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication order dot1x mab webauth
Switch(config-if)# mab eap
Switch(config-if)# authentication fallback fallback1
Switch(config)# ip device tracking
ポート上でフォールバック認証が設定されている場合に、802.1X を使用してホストが認証されたかどうかを特定するには、次のコマンドを入力します。
Switch# show authentication sessions interface g7/2
Interface: GigabitEthernet7/2
MAC Address: 0060.b057.4687
Oper host mode: multi-auth
Authorized By: Authentication Server
Common Session ID: C0A8013F0000000901BAB560
Acct Session ID: 0x0000000B
Switch# show dot1x interfaces g7/2 detail
Dot1x Info for GigabitEthernet7/2
-----------------------------------
Dot1x Authenticator Client List
-------------------------------
Supplicant = 0060.b057.4687
Session ID = C0A8013F0000000901BAB560
Auth SM State = AUTHENTICATED
Auth BEND SM State = IDLE
ポート上でフォールバック認証が設定されている場合に、MAB を使用してホストが認証されたかどうかを特定するには、次のコマンドを入力します。
Switch# show authentication sessions interface g7/2
Interface: GigabitEthernet7/2
MAC Address: 0060.b057.4687
IP Address: 192.168.22.22
Oper host mode: multi-auth
Authorized By: Authentication Server
Common Session ID: C0A8013F0000000B01BBD278
Acct Session ID: 0x0000000D
Switch# show mab interface g7/2 detail
MAB details for GigabitEthernet7/2
-------------------------------------
Mac-Auth-Bypass = Enabled
Client MAC = 0060.b057.4687
Session ID = C0A8013F0000000B01BBD278
ポート上でフォールバック認証が設定されている場合に、Web 認証を使用してホストが認証されたかどうかを特定するには、次のコマンドを入力します。
Switch# show authentication sessions interface G4/3
Interface: GigabitEthernet4/3
MAC Address: 0015.e981.0531
Oper host mode: single-host
Authorized By: Authentication Server
Common Session ID: 0A053F0F0000000200112FFC
Acct Session ID: 0x00000003
Switch# show ip admission cache
Authentication Proxy Cache
Total Sessions: 1 Init Sessions: 0
Client IP 10.5.63.13 Port 4643, timeout 1000, state ESTAB
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch(config)# ip admission name rule1 proxy http
Switch(config)# fallback profile fallback1
Switch(config-fallback-profile)# ip access-group default-policy in
Switch(config-fallback-profile)# ip admission rule1
Switch(config-fallback-profile)# exit
Switch(config)# interface gigabit5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication order dot1x mab webauth
Switch(config-if)# dot1x mac-auth-bypass eap
Switch(config-if)# adot1x fallback fallback1
Switch(config)# ip device tracking
定期的な再認証のイネーブル化
定期的な 802.1X クライアント再認証をイネーブルにして、その発生間隔を指定できます。再認証をイネーブルにする前に時間の間隔を指定しなかった場合、再認証を試行する間隔は 3600 秒になります。
自動 802.1X クライアント再認証はインターフェイス単位の設定で、個々のポートに接続しているクライアントに対して設定できます。特定のポートに接続するクライアントを手動で再認証する方法については、「待機時間の変更」を参照してください。
クライアントの定期的再認証をイネーブルにして、再認証を試行する間隔を秒数で設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、定期的再認証をイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication periodic
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x reauthentication
|
クライアントの定期的な再認証をイネーブルにします。デフォルトではディセーブルに設定されています。 定期的な再認証をディセーブルにするには、 no authentication periodic インターフェイス コンフィギュレーション コマンドを使用します(以前のリリースでは、 no dot1x reauthentication インターフェイス コンフィギュレーション コマンドを使用します)。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication timer reauthenticate {
seconds | server}
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x timeout reauth-period {
seconds | server}
|
再認証を試行する間隔(秒)を指定するか、またはスイッチが RADIUS によるセッション タイムアウトを使用するようにします。 指定できる範囲は 1 ~ 65,535 秒 です。デフォルトは 3600 秒です。 再認証を試行する間隔をデフォルトの秒数に戻すには、 no authentication timer reauthenticate グローバル コンフィギュレーション コマンド(これよりも前のリリースでは、 dot1x timeout reauth-attempts コマンド)を使用します。 このコマンドがスイッチの動作に影響を与えるのは、定期的再認証がイネーブルに設定されている場合だけです。 |
ステップ 7 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 8 |
|
特権 EXEC モードに戻ります。 |
次に、定期的な再認証をイネーブルにし、再認証を試行する間隔を 4000 秒に設定する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication periodic
Switch(config-if)# authentication timer reauthenticate 4000
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x timeout reauth-period 4000
Switch(config-if)# dot1x port-control auto
複数ホストのイネーブル化
図 45-9 のように、複数のホスト(クライアント)を 1 つの 802.1X 対応ポートに接続できます。このモードでは、ポートが許可されると、ポートに間接的に接続された他のすべてのホストに対して、ネットワーク アクセスが許可されます。ポートが無許可になると(再認証が失敗するか、EAPOL-Logoff メッセージを受信すると)、スイッチは、無線アクセス ポイントに接続されたすべてのクライアントに対してネットワーク アクセスを拒否します。
dot1x port-control インターフェイス コンフィギュレーション コマンドが auto に設定されている 802.1X 許可ポート上で、複数のホスト(クライアント)を許容するには、 次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、複数のホストを間接的に接続するインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication host-mode multi-host
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x host-mode multi-host
|
単一の 802.1x 許可ポートで複数のホスト(クライアント)を許可することができます。 に設定されていることを確認します。 ポート上で複数のホストをディセーブルにするには、no authentication host-mode multi-host インターフェイス コンフィギュレーション コマンド(これよりも前のリリースでは、 no dot1x host-mode multi-host インターフェイス コンフィギュレーション コマンド)を使用します。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
Switch#
show dot1x all interface
interface-id
|
入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、ファスト イーサネット インターフェイス 5/9 上で 802.1X をイネーブルにし、複数のホストを許容する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication host-mode multi-host
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x host-mode multi-host
Switch(config-if)# dot1x port-control auto
待機時間の変更
スイッチはクライアントを認証できなかった場合に、所定の時間だけアイドル状態を続け、その後再び認証を試みます。アイドル時間は、 quiet-period の値によって決まります。認証が失敗する理由としては、クライアントが無効なパスワードを提示した場合などが考えられます。デフォルトよりも小さい値を入力することによって、ユーザへの応答時間を短縮できます。
待機時間を変更するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始して、タイムアウトの待機時間( quiet-period )をイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Switch(config-if)#
dot1x timeout quiet-period
seconds
|
クライアントとの認証交換が失敗したあと、スイッチが待機する秒数( quiet-period )を設定します。 デフォルトの待機時間に戻すには、 no dot1x timeout quiet-period コンフィギュレーション コマンドを使用します。 指定できる範囲は 0 ~ 65,535 秒です。デフォルトは 60 秒です。 |
ステップ 6 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
|
入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、スイッチ上の待機時間( quiet period )を 30 秒に設定する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet4/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x timeout quiet-period 30
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet4/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x timeout quiet-period 30
Switch(config-if)# dot1x port-control auto
スイッチからクライアントへの再送信時間の変更
クライアントはスイッチからの EAP-Request/Identity フレームに対し、EAP-Response/Identity フレームで応答します。この応答を受信しなかった場合、スイッチは一定時間(再送信時間といいます)待機してから、フレームを再送信します。
(注) このコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。
スイッチがクライアントの通知を待機する時間を変更するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始して、タイムアウトの再送信時間をイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Switch(config-if)#
dot1x timeout tx-period
seconds
|
要求を再送信するまでに、スイッチがクライアントからの EAP-Request/Identity フレームに対する応答を待機する秒数を設定します。 指定できる範囲は 1 ~ 65,535 秒です。デフォルトは 30 秒です。 デフォルトの再送信時間に戻すには、 no dot1x timeout tx-period インターフェイス コンフィギュレーション コマンドを使用します。 |
ステップ 6 |
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch(config-if)#
authentication port-control auto
Cisco IOS Release 12.2(46)SG およびそれ以前のリリース
Switch(config-if)#
dot1x port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
|
入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、再送信時間を 60 秒に設定する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x timeout tx-period 60
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x timeout tx-period 60
Switch(config-if)# dot1x port-control auto
スイッチからクライアントへのフレーム再送信回数の設定
スイッチ/クライアント間の再送信回数の変更以外に、認証プロセスを再開するまでに、スイッチがクライアントに EAP-Request/Identity フレームおよびその他の EAP-Request フレームを送信する回数を変更できます。EAP-Request/Identity 再送信の回数は、dot1x max-reauth-req コマンドによって制御され、その他の EAP-Request フレームの再送信回数は dot1x max-req コマンドによって制御されます。
(注) これらのコマンドのデフォルト値の変更は、信頼性のないリンクや特定のクライアントおよび認証サーバの特殊な動作問題など、異常な状況を調整する場合だけ行うようにしてください。
スイッチ/クライアント間のフレーム再送信回数を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始し、 max-reauth-req および max-req またはどちらか一方に対してイネーブルにするインターフェイスを指定します。 |
ステップ 3 |
Switch(config-if)#
switchport mode access
|
非トランキング、タグなし単一 VLAN レイヤ 2 インターフェイスを指定します。 |
ステップ 4 |
Switch(config-if)#
dot1x pae authenticator
|
ポート上でデフォルト設定の 802.1X 認証をイネーブルにします。 「802.1X のデフォルト設定」を参照してください。 |
ステップ 5 |
Switch(config-if)#
dot1x max-req
count
または
Switch(config-if)#
dot1x max-reauth-req
count
|
(消失したり応答がなかったりする場合に)EAPOL DATA パケットが再送信される回数を指定します。たとえば、認証しているサプリカントがあってそこで問題が発生した場合、オーセンティケータは認証要求を中止する前にデータ要求を 3 回再送信します。count の範囲は 1 ~ 10 回です。デフォルトは 2 回です。 EAPOL-Identity-Request フレーム(のみ)のタイマーを指定します。802.1X に対応していないデバイスを接続した場合、ステート マシンがリセットされる前に 3 つの EAPOL-Id-Req フレームが送信されます。代わりに、ゲスト VLAN を設定している場合、このポートがイネーブルになる前に 3 フレームが送信されます。このパラメータのデフォルト値は 2 です。 再送信回数をデフォルトに戻すには、 no dot1x max-req および no dot1x max-reauth-req グローバル コンフィギュレーション コマンドを使用します。 |
ステップ 6 |
Switch(config-if)#
authentication port-control auto
|
インターフェイス上で、802.1X 認証をイネーブルにします。 |
ステップ 7 |
|
特権 EXEC モードに戻ります。 |
ステップ 8 |
|
入力を確認します。 |
ステップ 9 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次に、認証プロセスを再開するまでに、スイッチが EAP-Request/Identity フレームを再送信する回数を 5 に設定する例を示します。
Cisco IOS Release 12.2(50)SG およびそれ以降のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x max-reauth-req 5
Switch(config-if)# authentication port-control auto
Cisco IOS Release 12.2(46)SG またはそれ以前のリリース
Switch# configure terminal
Switch(config)# interface fastethernet5/9
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# dot1x max-reauth-req 5
Switch(config-if)# dot1x port-control auto
オーセンティケータとしてのスイッチの設定
オーセンティケータとしてスイッチを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# cisp enable
|
CISP をイネーブルにします。 |
ステップ 3 |
Switch(config)#
interface
interface-id
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 4 |
Switch(config-if)#
switchport mode access
|
ポート モードを access に設定します。 |
ステップ 5 |
Switch(config-if)# authentication port-control auto
|
ポート認証モードを auto に設定します。 |
ステップ 6 |
Switch(config-if)# dot1x pae authenticator
|
インターフェイスをポート アクセス エンティティ(PAE)オーセンティケータとして設定します。 |
ステップ 7 |
Switch(config-if)# spanning-tree portfast
|
単一ワーク ステーションまたはサーバに接続されたアクセス ポート上で Port Fast をイネーブルにします。 |
ステップ 8 |
|
特権 EXEC モードに戻ります。 |
ステップ 9 |
Switch#
show running-config interface
interface-id
|
設定を確認します。 |
ステップ 10 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
CISP がトランク ポートでイネーブルの場合、次の機能は無効です。CISP が設定されず、実行されていない場合、次の機能は期待どおりに動作します。
• VLAN 割り当て
• ゲスト、認証の失敗、音声およびクリティカル VLAN
• クリティカル認証
• Wake-on-LAN(WoL)
• Web 認証
• ポート セキュリティ
• 違反モード(制限、シャットダウン、および VLAN のシャットダウン)
次の例では、ポートで CISP をイネーブルにする方法を示します。Cisco ACS サーバで、次の手順を設定する必要があります。ユーザを Cisco AV ペアの値に設定すると、SSW は ASW で自身を認証できるようになります。ユーザが AV ペア値に対応付けられているため、ASW の正常な認証時に、SSW が認証されたインターフェイスでマクロが実行されます。
Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# interface GigabitEthernet5/23
Switch(config-if)# switchport mode access
Switch(config-if)# spanning-tree portfast
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
Cisco AV ペアの設定
次に、Cisco AV ペアの値を設定する必要があります。
ACS にログインし、ユーザの選択または生成を行います。[User Setup] に進み、[009 \ 001 cisco-av-pair] タブにスクロールします。device-traffic-class=switch を入力します(図 45-17)。
図 45-17 Cisco AV ペアの指定
Cisco IOS XE Release 3.2.0 SG(15.0(2)SG)以降では、spanning-tree bpduguard 機能は自動的にディセーブルにされているか、マクロの一部としてイネーブルにされています(ポート設定で以前にイネーブルにした場合)。サプリカント スイッチの認証前に設定にイネーブルにされた BPDU ガードがない場合、spanning-tree bpduguard 機能はマクロには適用されません。
(注) spanning-tree bpduguard のディセーブル化は、port level コマンドで以前にイネーブルにした場合にだけ発生します。特定のポート レベルの CLI なしで、spanning-tree bpduguard をグローバルにイネーブルにすると、オーセンティケータ スイッチが device-traffic-class=switch の AV ペアを受信し、マクロを適用した後に、NEAT がポートでこれをディセーブルにすることが防止されます。
次の 2 つのシナリオがあります。
シナリオ 1:ポート レベルでの BPDU ガードの設定の場合
許可の前
interface GigabitEthernet5/1
switchport access vlan 81
authentication port-control auto
spanning-tree bpduguard enable
内部マクロの事後の許可および適用
interface GigabitEthernet5/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 81
authentication port-control auto
spanning-tree portfast trunk
no spanning-tree bpduguard
シナリオ 2:(BPDU ガードをグローバルにイネーブル化するかどうかにかかわらず)ポート レベルの BPDU ガードの設定なし
許可の前
interface GigabitEthernet5/1
switchport access vlan 81
authentication port-control auto
内部マクロの事後の許可および適用
interface GigabitEthernet5/1
switchport trunk encapsulation dot1q
switchport trunk native vlan 81
authentication port-control auto
spanning-tree portfast trunk
no spanning-tree bpduguard
オーセンティケータ スイッチが device-traffic-class=switch の AV ペアを受信すると、次のマクロが、オーセンティケータ スイッチ ポートに適用されます。
no switchport access vlan $AVID
no switchport nonegotiate
switchport trunk native vlan $AVID
no spanning-tree bpduguard enable
spanning-tree portfast trunk
サプリカント スイッチがスイッチ デバイスとして認証された後、設定は次のように表示されます。
interface GigabitEthernet5/23
authentication port-control auto
spanning-tree portfast trunk
Radius Config (Cisco AV Pair value)
------------------------------------------------------
device-traffic-class=switch
show running-config interface コマンドは、サプリカント スイッチが認証された後に、スマート マクロが適用されたことを示すだけです。
Switch# show authentication session
Interface MAC Address Method Domain Status Session ID
Gi5/23 0024.9844.de23 dot1x DATA Authz Success 0909117A000000000010561C
Switch# show running-configuration interface gi 5/23
Building configuration...
Current configuration : 149 bytes
interface GigabitEthernet5/23
authentication port-control auto
spanning-tree portfast trunk
NEAT は、オーセンティケータのスイッチ ポート設定を変更します。したがって、NEAT をサポートするバージョンから NEAT をサポートしない別のバージョンに対して ISSU を実行するには、最初に ISSU のすべてのスイッチ ポートで NEAT を非アクティブにする必要があります。同様に、ISSU が進行中である場合は、NEAT をアクティブにできません。サプリカント スイッチが ISSU 中に認証しようとすると、許可はポートで失敗します。
サプリカントとしてのスイッチの設定
(注) Catalyst 4500 シリーズ スイッチは、サプリカント スイッチの機能をサポートしません。次のサプリカント特有のコマンドは、クイック リファレンスに示します。詳細については、『Catalyst 3750 Switch Software Configuration Guide』を参照してください。
サプリカントとしてスイッチを設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# cisp enable
|
CISP をイネーブルにします。 |
ステップ 3 |
Switch(config)#
dot1x credentials profile
|
802.1x クレデンシャル プロファイルを作成します。これは、サプリカントとして設定されるポートに接続する必要があります。 |
ステップ 4 |
Switch(config)# sername suppswitch
|
ユーザ名を作成します。 |
ステップ 5 |
Switch(config)# password password
|
新しいユーザ名のパスワードを作成します。 |
ステップ 6 |
Switch(config)# dot1x supplicant force-multicast
|
ユニキャストまたはマルチキャスト パケットのいずれかを受信した場合にスイッチに強制的にマルチキャスト EAPOL だけを送信させます。 これにより、NEAT がすべてのホスト モードでのサプリカント スイッチで機能できるようにもなります。 |
ステップ 7 |
Switch(config)# interface interface-id
|
設定するポートを指定し、インターフェイス コンフィギュレーション モードを開始します。 |
ステップ 8 |
Switch(config-if)# switchport trunk encapsulation dot1q
|
ポートをトランク モードに設定します。 |
ステップ 9 |
Switch(config-if)# switchport mode trunk
|
インターフェイスを VLAN トランク ポートとして設定します。 |
ステップ 10 |
Switch(config-if)# dot1x pae supplicant
|
インターフェイスをポート アクセス エンティティ(PAE)サプリカントとして設定します。 |
ステップ 11 |
Switch(config-if)# dot1x credentials profile-name
|
802.1x クレデンシャル プロファイルをインターフェイスに対応付けます。 |
ステップ 12 |
|
特権 EXEC モードに戻ります。 |
ステップ 13 |
Switch#
show running-config interface
interface
|
設定を確認します。 (注) このコマンドは、サプリカント スイッチが認証された後に、スマート マクロが適用されたことを示すだけです。 |
ステップ 14 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
次の例では、スイッチをサプリカントとして設定する方法を示します。
Switch# configure terminal
Switch(config)# cisp enable
Switch(config)# dot1x credentials test
Switch(config)# username suppswitch
Switch(config)# password myswitch
Switch(config)# dot1x supplicant force-multicast
Switch(config)# interface gigabitethernet1/0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# dot1x pae supplicant
Switch(config-if)# dot1x credentials test
Switch(config-if)# end
リンクダウン イベントまたは再認証イベントのためにサプリカント スイッチが認証解除された後に、次のマクロがオーセンティケータ スイッチ ポートに適用されます。
no switchport nonegotiate
no switchport trunk native vlan $AVID
no spanning-tree portfast trunk
switchport access vlan $AVID
spanning-tree bpduguard enable
ASP を使用した NEAT の設定
スイッチ VSA の代わりに AutoSmart Ports ユーザ定義マクロを使用して、オーセンティケータ スイッチを設定することもできます。詳細については、を参照してください。
設定時の注意事項
• BPDU ガードは、サプリカント スイッチの認証前にイネーブルになった場合、サプリカント スイッチの認証解除後に再度イネーブルになります。
• 同じ設定で NEAT ポートおよび非 NEAT ポートを設定できます。サプリカント スイッチが認証すると、ポート モードはベンダー固有属性(device-traffic-class=switch)に基づいてアクセスからトランクに変更されます。
• NEAT をイネーブルにするには、スイッチとしてベンダー固有属性(VSA)を設定する必要があります。トランクを 802.1X で設定し、CISP をグローバルにイネーブルにすることによって、NEAT はイネーブルになりません。
• VSA device-traffic-class=switch は、スイッチ デバイスとしてサプリカントを識別するために、オーセンティケータ スイッチを支援します。この識別によって、オーセンティケータ スイッチ ポート モードはアクセスからトランクに変更され、802.1X トランク カプセル化がイネーブルになります。アクセス VLAN がある場合、これはネイティブ トランク VLAN に変換されます。VSA はサプリカントのポート コンフィギュレーションは変更しません。
• 変更されたトランク パラメータは保持されますが、トランク リンクがダウンしているか、または認証がクリアされると、インターフェイスは次のように再設定されます。
– spanning-tree portfast
– switchport mode access
– switchport access vlan access-vlan-id
(注) access-vlan-id はインターフェイスに入力された switchport trunk native vlan x コマンドから取得されます。トランクのネイティブ VLAN を変更した場合、設定されたネイティブ VLAN は、ポートがアクセス モードに戻る場合に、アクセス VLAN ID として使用されます。
• インターフェイス上で NEAT を設定するには、802.1X 認証モードの単一ホストを使用することを推奨します。
• cisco-av-pairs は、ACS で device-traffic-class=switch として設定する必要があります。これは、サプリカントが正常に認証された後、トランクとしてインターフェイスを設定します。
• 手動で、または AutoSmart ポートなどの機能を使用して、device-traffic-class に基づくトランク モードの設定を変更しないでください。これは、802.1X 設定がトランク ポートでサポートされないためです。
• ホスト モードを変更すると同時にオーセンティケータ スイッチのポートに標準のポート設定を適用するには、スイッチの VSA ではなく、AutoSmart ポートのユーザ定義マクロを使用することもできます。これにより、オーセンティケータ スイッチ ポートでサポートされていないコンフィギュレーションを削除して、ポート モードをアクセスからトランクに変更できます。詳細については、を参照してください。
(注) Auto Smartports マクロだけを設定すると、エンド ホストはサプリカント スイッチとして識別されません。サプリカント スイッチを識別するためには、スイッチ VSA が必要です。ただし、Auto SmartPort マクロを設定すると、アクセスからトランクにポートを再設定する内部マクロは実行されず、Auto Smartports マクロによって、トランク ポートとしてポートを再設定する必要があります。
手動によるポート接続クライアントの再認証
次のコマンドを入力すると、任意のときに、特定のポートに接続されたクライアントを手動で再認証できます。
dot1x re-authenticate interface 特権 EXEC コマンド 。定期的再認証をイネーブルまたはディセーブルにする場合は、「定期的な再認証のイネーブル化」を参照してください。
次に、FastEthernet 1/1 ポートに接続したクライアントを手動で再認証する例を示します。
Switch# dot1x re-authenticate interface fastethernet1/1
Starting reauthentication on FastEthernet1/1
802.1X 認証ステートの初期化
dot1x initialize コマンドは、認証プロセスを現在の状態に関係なく再開します。
次に、ファスト イーサネット ポート 1/1 で認証プロセスを再開する例を示します。
Switch# dot1x initialize interface fastethernet1/1
次に、スイッチの全ポートで認証プロセスを再開する例を示します。
802.1X クライアント情報の削除
clear dot1x コマンドを実行すると、既存の全サプリカントを 1 つのインターフェイスまたはスイッチの全インターフェイスから完全に削除します。
次に、ファスト イーサネット ポート 1/1 の 802.1X クライアント情報を削除する例を示します。
Switch# clear dot1x interface fastethernet1/1
次に、スイッチの全ポートの 802.1X クライアント情報を削除する例を示します。
802.1X 設定をデフォルト値にリセットする方法
802.1X 設定をデフォルト値にリセットするには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
dot1x default
|
設定可能な 802.1x パラメータをデフォルト値にリセットします。 |
ステップ 3 |
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
|
入力を確認します。 |
ステップ 5 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
RADIUS によるスイッチ アクセスの制御
ここでは、RADIUS をイネーブルにして設定する方法について説明します。RADIUS は、詳細なアカウンティング情報を収集し、認証および許可プロセスに対して柔軟な管理を行います。RADIUS は、AAA を介して実装され、AAA コマンドを使用してのみイネーブルにできます。
(注) ここで使用するコマンドの構文および使用方法の詳細については、『Cisco IOS Security Command Reference, Release 12.2』を参照してください。
ここでは、次の設定について説明します。
• 「RADIUS の概要」
• 「RADIUS の動作」
• 「RADIUS 許可の変更」
• 「RADIUS の設定」
• 「RADIUS の設定の表示」
RADIUS の概要
RADIUS は、不正なアクセスからネットワークのセキュリティを保護する分散型クライアント/サーバ システムです。RADIUS クライアントは、サポート対象の Cisco ルータおよびスイッチ上で稼働します。クライアントは中央の RADIUS サーバに認証要求を送ります。中央の RADIUS サーバにはすべてのユーザ認証情報、ネットワーク サービス アクセス情報が登録されています。RADIUS ホストは、通常、シスコ(Cisco Secure Access Control Server バージョン 3.0)、Livingston、Merit、Microsoft、または他のソフトウェア プロバイダーの RADIUS サーバ ソフトウェアが稼働しているマルチユーザ システムです。詳細については、RADIUS サーバのマニュアルを参照してください。
RADIUS は、アクセスのセキュリティが必要な、次のネットワーク環境で使用します。
• それぞれが RADIUS をサポートする、マルチベンダー アクセス サーバによるネットワーク。たとえば、複数のベンダーのアクセス サーバが、1 つの RADIUS サーバベース セキュリティ データベースを使用します。複数ベンダーのアクセス サーバからなる IP ベースのネットワークでは、ダイヤルイン ユーザは RADIUS サーバを通じて認証されます。RADIUS サーバは、Kerberos セキュリティ システムで動作するようにカスタマイズされています。
• アプリケーションが RADIUS プロトコルをサポートするターンキー ネットワーク セキュリティ環境。たとえば、 スマート カード アクセス コントロール システムを使用するアクセス環境。あるケースでは、RADIUS は Enigma のセキュリティ カードとともに使用してユーザを確認し、ネットワーク リソースへのアクセスを許可します。
• すでに RADIUS を使用中のネットワーク。RADIUS クライアント装備の Cisco スイッチをネットワークに追加できます。これが TACACS+ サーバへの移行の最初のステップとなることもあります。図 45-18 を参照してください。
• ユーザが 1 つのサービスにしかアクセスできないネットワーク。RADIUS を使用すると、ユーザのアクセスを 1 つのホスト、Telnet などの 1 つのユーティリティ、または IEEE 802.1X などのプロトコルを使用するネットワークに制御できます。
• リソース アカウンティングが必要なネットワーク。RADIUS 認証または許可とは別個に RADIUS アカウンティングを使用できます。RADIUS アカウンティング機能によって、サービスの開始および終了時点でデータを送信し、このセッション中に使用されるリソース(時間、パケット、バイトなど)の量を表示できます。インターネット サービス プロバイダーは、RADIUS アクセス コントロールおよびアカウンティング ソフトウェアのフリーウェア バージョンを使用して、特殊なセキュリティおよび課金に対するニーズを満たすこともできます。
RADIUS は、次のようなネットワーク セキュリティ状況には適していません。
• マルチプロトコル アクセス環境。RADIUS は、AppleTalk Remote Access(ARA)、NetBIOS Frame Control Protocol(NBFCP)、NetWare Asynchronous Services Interface(NASI)、または X.25 PAD 接続をサポートしません。
• スイッチ間またはルータ間状態。RADIUS は、双方向認証を行いません。RADIUS は、他社製のデバイスが認証を必要とする場合に、あるデバイスから他社製のデバイスへの認証に使用できます。
• 各種のサービスを使用するネットワーク。RADIUS は、一般に 1 人のユーザを 1 つのサービス モデルにバインドします。
図 45-18 RADIUS サービスから TACACS+ サービスへの移行
RADIUS の動作
RADIUS サーバによってアクセス コントロールされるスイッチに、ユーザがログインおよび認証を試みると、次のイベントが発生します。
1. ユーザ名およびパスワードの入力を要求するプロンプトが表示されます。
2. ユーザ名および暗号化されたパスワードが、ネットワーク経由で RADIUS サーバに送信されます。
3. ユーザは RADIUS サーバから、次のいずれかの応答を受信します。
a. ACCEPT:ユーザが認証されたことを表します。
b. REJECT:ユーザの認証が失敗し、ユーザ名およびパスワードの再入力が要求されるか、またはアクセスが拒否されます。
c. CHALLENGE:ユーザに追加データを要求します。
d. CHALLENGE PASSWORD:ユーザは新しいパスワードを選択するように要求されます。
ACCEPT または REJECT 応答には、特権 EXEC またはネットワーク許可に使用する追加データがバンドルされています。ユーザは RADIUS 許可に進む前に、まず RADIUS 認証を正常に完了する必要があります(イネーブルに設定されている場合)。ACCEPT または REJECT パケットには次の追加データが含まれます。
• Telnet、SSH、rlogin、または特権 EXEC サービス
• 接続パラメータ(ホストまたはクライアントの IP アドレス、アクセス リスト、およびユーザ タイムアウトを含む)
概要
標準 RADIUS インターフェイスは通常、ネットワークに接続しているデバイスから要求が送信され、クエリーが送信されたサーバが応答するプル モデルで使用されます。Catalyst スイッチは、通常プッシュ モデルで使用される RFC 5176 で規定された RADIUS Change of Authorization(CoA)拡張機能をサポートし、外部の認証、許可、アカウンティング(AAA)またはポリシーサーバからのセッションのダイナミック再設定ができるようにします。
スイッチは、次のセッション単位の CoA 要求をサポートしています。
• セッション再認証
• セッション終了
• ポート シャットダウンでのセッション終了
• ポート バウンスでのセッション終了
Catalyst スイッチで、RADIUS インターフェイスはデフォルトでイネーブルに設定されています。
Change-of-Authorization 要求
Change of Authorization(CoA)要求は、RFC 5176 に記載されているように、プッシュ モデルで使用することによって、セッション識別、ホスト再認証、およびセッション終了を行うことができます。このモデルは、1 つの要求(CoA-Request)と 2 つの可能な応答コードで構成されています。
• CoA acknowledgement(ACK)[CoA-ACK]
• CoA non-acknowledgement(NAK)[CoA-NAK]
要求は CoA クライアント(通常は RADIUS またはポリシー サーバ)から発信されて、リスナーとして動作するスイッチに送信されます。
ここでは、次の内容について説明します。
• CoA 要求応答コード
• CoA 要求コマンド
• セッション再認証
RFC 5176 規定
Disconnect Request メッセージは Packet of Disconnect(POD)とも呼ばれますが、セッション終了に対してスイッチでサポートされています。
表 45-2 には、この機能でサポートされている IETF 属性を示します。
表 45-2 サポートされている IETF 属性
|
|
24 |
State |
31 |
Calling-Station-ID |
44 |
Acct-Session-ID |
80 |
Message-Authenticator |
101 |
Error-Cause |
表 45-3 には、Error-Cause 属性で取ることができる値を示します。
表 45-3 Error-Cause の値
|
|
201 |
削除された残留セッション コンテキスト |
202 |
無効な EAP パケット(無視) |
401 |
サポートされていない属性 |
402 |
見つからない属性 |
403 |
NAS 識別情報のミスマッチ |
404 |
無効な要求 |
405 |
サポートされていないサービス |
406 |
サポートされていない拡張機能 |
407 |
無効な属性値 |
501 |
管理上の禁止 |
502 |
ルート不可能な要求(プロキシ) |
503 |
セッション コンテキストが検出されない |
504 |
セッション コンテキストが削除できない |
505 |
その他のプロキシ処理エラー |
506 |
リソースが使用不可能 |
507 |
要求が発信された |
508 |
マルチ セッションの選択がサポートされてない |
前提条件
CoA インターフェイスを使用するには、スイッチにセッションがすでに存在している必要があります。CoA を使用すると、セッションの識別と接続解除要求を実行できます。アップデートは、指定されたセッションにだけ作用します。
CoA 要求応答コード
CoA 要求応答コードを使用すると、スイッチにコマンドを伝達できます。サポートされているコマンドを表 45-4に示します。
セッションの識別
特定のセッションに向けられた切断と CoA 要求については、スイッチは 1 つ以上の次の属性に基づいて、セッションを検索します。
• Calling-Station-Id(ホスト MAC アドレスを含む IETF 属性 #31)
• Audit-Session-Id VSA(シスコの Vendor-Specific Attribute(VSA; ベンダー固有属性))
• Acct-Session-Id(IETF 属性 #44)
CoA メッセージに含まれるすべてのセッション ID 属性がセッションと一致しない場合は、スイッチは「Invalid Attribute Value」エラー コード属性とともに、Disconnect-NAK または CoA-NAK を返します。
RFC 5176 で定義されている CoA 要求コードのパケットの形式は、コード、ID、長さ、オーセンティケータ、および Type Length Value(TLV; タイプ、長さ、値)形式の属性から構成されます。
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+-+-+-+-+-+-+-+-+-+-+-+-+-
属性フィールドは、Cisco Vendor-Specific Attribute(VSA; ベンダー固有属性)を送信するために使用します。
CoA ACK 応答コード
許可ステートの変更に成功した場合は、肯定確認応答(ACK)が送信されます。CoA ACK 内で返される属性は CoA 要求によって異なり、個々の CoA コマンドで検討されます。
CoA NAK 応答コード
否定確認応答(NAK)は許可ステートの変更に失敗したことを示し、エラーの理由を示す属性を含めることができます。CoA が成功したかを確認するには、 show コマンドを使用します。
CoA 要求コマンド
この項では、次の内容について説明します。
• セッション再認証
• セッションの終了
• CoA 接続解除要求
• CoA 要求:ホスト ポートのディセーブル化
• CoA 要求:バウンス ポート
スイッチは 表 45-4 に示すコマンドをサポートします。
表 45-4 スイッチでサポートされる CoA コマンド
|
|
Reauthenticate host |
Cisco:Avpair="subscriber:command=reauthenticate" |
Terminate session |
これは、VSA を要求しない、標準の接続解除要求です。 |
Bounce host port |
Cisco:Avpair="subscriber:command=bounce-host-port" |
Disable host port |
Cisco:Avpair="subscriber:command=disable-host-port" |
セッション再認証
不明な ID またはポスチャを持つホストがネットワークに加入して、制限されたアクセス許可プロファイル(たとえば、ゲスト VLAN)に関連付けられると、AAA サーバは通常、セッション再認証要求を生成します。再認証要求は、クレデンシャルが不明である場合にホストが適切な認証グループに配置されることを許可します。
セッション認証を開始するために、AAA サーバは Cisco:Avpair="subscriber:command=reauthenticate" の形式でシスコのベンダー固有属性(VSA)と 1 つ以上のセッション ID 属性を含む標準 CoA 要求メッセージを送信します。
現在のセッション ステートは、メッセージに対するスイッチの応答を決定します。セッションが現在、IEEE 802.1x によって認証されている場合、スイッチは EAPoL-RequestId メッセージ(下記の脚注 1 を参照)をサーバに送信することで応答します。
現在、セッションが MAC Authentication Bypass(MAB; MAC 認証バイパス)で認証されている場合は、スイッチはサーバにアクセス要求を送信し、初期正常認証で使用されるものと同じ ID 属性を渡します。
スイッチがコマンドを受信したときにセッション認証が実行中である場合は、スイッチはプロセスを終了し、認証シーケンスを再開し、最初に試行されるように設定された方式で開始します。
セッションがまだ認証されてない、あるいはゲスト VLAN、クリティカル VLAN、または同様のポリシーを使用して認証されている場合は、再認証メッセージがアクセス コントロール方式を再開し、最初に試行されるように設定された方式で開始します。セッションの現在の許可は、再認証によって異なる認証結果になるまで維持されます。
セッションの終了
3 種類の CoA 要求が、セッションを終了させることができます。CoA 接続解除要求は、ホスト ポートをディセーブルにせずにセッションを終了します。このコマンドを使用すると、指定されたホストのオーセンティケータ ステート マシンが再初期化されますが、そのホストのネットワークへのアクセスは制限されません。
ホストのネットワークへのアクセスを制限するには、Cisco:Avpair="subscriber:command=disable-host-port" VSA の設定で CoA 要求を使用します。このコマンドは、ネットワーク上で障害を引き起こしたと認識されているホストがある場合に便利であり、そのホストに対してネットワーク アクセスをただちにブロックする必要があります。ポートへのネットワーク アクセスを復旧する場合は、非 RADIUS メカニズムを使用して再びイネーブルにします。
プリンタなどのサプリカントを持たないデバイスが新しい IP アドレスを取得する必要がある場合(たとえば、VLAN 変更後)は、ポート バウンスでホスト ポート上のセッションを終了します(ポートを一時的にディセーブルにした後、再びイネーブルにする)。
CoA 接続解除要求
このコマンドは標準の接続解除要求です。このコマンドはセッション指向であるため、「セッションの識別」で示される 1 つ以上のセッション ID 属性とともに使用する必要があります。セッションが見つからない場合、スイッチは Disconnect-NAK メッセージと「Session Context Not Found」エラー コード属性を返します。セッションが ある 場合は、スイッチはセッションを終了します。セッションが完全に削除された後、スイッチは接続解除 ACK を返します。
スイッチがクライアントに接続解除 ACK を返す前にスタンバイ スイッチにフェールオーバーする場合は、クライアントから要求が再送信されるときに、新しいアクティブ スイッチ上でそのプロセスが繰り返されます。再送信後もセッションが見つからない場合は、Disconnect-ACK と「Session Context Not Found」エラー コード属性が送信されます。
CoA 要求:ホスト ポートのディセーブル化
このコマンドは、次の新しい VSA が含まれている標準 CoA 要求メッセージで伝達されます。
Cisco:Avpair="subscriber:command=disable-host-port"
このコマンドはセッション指向であるため、「セッションの識別」で示される 1 つ以上のセッション ID 属性とともに使用する必要があります。セッションが見つからない場合は、CoA-NAK メッセージと「Session Context Not Found」エラー コード属性が返されます。このセッションがある場合は、スイッチはホスト ポートをディセーブルにし、CoA-ACK メッセージを返します。
スイッチが CoA-ACK をクライアントに返す前にスイッチに障害が発生した場合は、クライアントから要求が再送信されるときに、新しいアクティブ スイッチ上でそのプロセスが繰り返されます。スイッチが CoA-ACK メッセージをクライアントに返した後で、かつその動作が完了していないときにスイッチに障害が発生した場合は、新しいアクティブ スイッチ上でその動作が再開されます。
(注) 再送信コマンドの後に接続解除要求が失敗すると、(接続解除 ACK が送信されてない場合に)チェンジオーバー前にセッションが正常終了し、または元のコマンドが実行されてスタンバイ スイッチがアクティブになるまでの間に発生した他の方法(たとえば、リンク障害)によりセッションが終了することがあります。
CoA 要求:バウンス ポート
このコマンドは、次の新しい VSA を含む標準の CoA-Request メッセージで伝達されます。
Cisco:Avpair="subscriber:command=bounce-host-port"
このコマンドはセッション指向であるため、「セッションの識別」で示される 1 つ以上のセッション ID 属性とともに使用する必要があります。セッションが見つからない場合は、CoA-NAK メッセージと「Session Context Not Found」エラー コード属性が返されます。このセッションがある場合は、スイッチはホスト ポートを 10 秒間ディセーブルにし、再びイネーブルにし(ポート バウンス)、CoA-ACK を返します。
スイッチが CoA-ACK をクライアントに返す前にスイッチに障害が発生した場合は、クライアントから要求が再送信されるときに、新しいアクティブ スイッチ上でそのプロセスが繰り返されます。スイッチが CoA-ACK メッセージをクライアントに返した後で、かつその動作が完了していないときにスイッチに障害が発生した場合は、新しいアクティブ スイッチ上でその動作が再開されます。
RADIUS のデフォルト設定
RADIUS および AAA は、デフォルトではディセーブルに設定されています。
セキュリティの失効を防止するため、ネットワーク管理アプリケーションを使用して RADIUS を設定することはできません。RADIUS をイネーブルに設定した場合、CLI を使用してスイッチにアクセスするユーザを認証できます。
RADIUS サーバ ホストの識別
スイッチと RADIUS サーバの通信には、次の要素が関係します。
• ホスト名または IP アドレス
• 認証の宛先ポート
• アカウンティングの宛先ポート
• キー ストリング
• タイムアウト時間
• 再送信回数
RADIUS セキュリティ サーバは、ホスト名または IP アドレス、ホスト名と特定の UDP ポート番号、または IP アドレスと特定の UDP ポート番号によって特定します。IP アドレスと UDP ポート番号の組み合わせによって、一意の ID が作成され、特定の AAA サービスを提供する RADIUS ホストとして個々のポートを定義できます。この一意の ID を使用することによって、同じ IP アドレスにあるサーバ上の複数の UDP ポートに、RADIUS 要求を送信できます。
同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえば認証など)を設定した場合、2 番めに設定されたホスト エントリは、最初に設定されたホスト エントリのフェールオーバー バックアップとして動作します。この例では、最初のホスト エントリがアカウンティング サービスを提供できなかった場合、スイッチは「 %RADIUS-4-RADIUS_DEAD
」メッセージを表示し、その後、同じデバイス上で 2 番めに設定されたホスト エントリでアカウンティング サービスを試みます (RADIUS ホスト エントリは、設定した順序に従って試行されます)。
RADIUS サーバとスイッチは、共有するシークレット テキスト ストリングを使用して、パスワードの暗号化および応答の交換を行います。RADIUS で AAA セキュリティ コマンドを使用するように設定するには、RADIUS サーバ デーモンが稼働するホストと、そのホストがスイッチと共有するシークレット テキスト(キー)ストリングを指定する必要があります。
タイムアウト、再送信回数、および暗号キーの値は、すべての RADIUS サーバに対してグローバルに設定することもできますし、サーバ単位で設定することもできます。また、グローバルな設定とサーバ単位での設定を組み合わせることもできます。スイッチと通信するすべての RADIUS サーバに対して、これらの設定をグローバルに適用するには、 radius-server timeout 、 radius-server retransmit 、および radius-server key の 3 つの固有のグローバル コンフィギュレーション コマンドを使用します。これらの設定を特定の RADIUS サーバに適用するには、 radius-server host グローバル コンフィギュレーション コマンドを使用します。
(注) スイッチ上にグローバルな機能とサーバ単位での機能(タイムアウト、再送信回数、およびキーコマンド)を設定した場合、サーバ単位で設定したタイムアウト、再送信回数、およびキーに関するコマンドは、グローバルに設定したタイムアウト、再送信回数、およびキーに関するコマンドを上書きします。すべての RADIUS サーバに対してこれらの値を設定する方法については、「すべての RADIUS サーバの設定」を参照してください。
既存のサーバ ホストを認証用にグループ化するため、AAA サーバ グループを使用するようにスイッチを設定できます。詳細については、「AAA サーバ グループの定義」を参照してください。
サーバ単位で RADIUS サーバとの通信を設定するには、次の作業を実行します。この手順は必須です。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
radius-server host {
hostname |
ip-address } [
auth-port
port-number ] [
acct-port
port-number ] [
timeout
seconds ] [
retransmit
retries ] [
key
string ]
|
リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。 • (任意) auth-port port-number には、認証要求の UDP 宛先ポートを指定します。 • (任意) acct-port port-number には、アカウンティング要求の UDP 宛先ポートを指定します。 • (任意) timeout seconds には、スイッチが RADIUS サーバの応答を待機して再送信するまでの時間間隔を指定します。指定できる範囲は 1 ~ 1000 です。この設定は、 radius-server timeout グローバル コンフィギュレーション コマンドによる設定を上書きします。 radius-server host コマンドでタイムアウトを設定しない場合は、 radius-server timeout コマンドの設定が使用されます。 • (任意) retransmit retries には、サーバが応答しない場合、または応答が遅い場合に、RADIUS 要求をサーバに再送信する回数を指定します。指定できる範囲は 1 ~ 1000 です。 radius-server host コマンドで再送信回数を指定しない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。 • (任意) key string には、RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号キーを指定します。 コマンドの最後のアイテムとして設定してください。先頭のスペースは無視されますが、key の中間および末尾のスペースは使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。 1 つの IP アドレスに対応する複数のホスト エントリをスイッチが認識するように設定するには、それぞれ異なる UDP ポート番号を使用して、このコマンドを必要な回数だけ入力します。スイッチ ソフトウェアは、指定された順序に従って、ホストを検索します。各 RADIUS ホストで使用するタイムアウト、再送信回数、および暗号キーをそれぞれ設定してください。 |
ステップ 3 |
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 5 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。
次に、1 つの RADIUS サーバを認証用に、もう 1 つの RADIUS サーバをアカウンティング用に設定する例を示します。
Switch(config)# radius-server host 172.29.36.49 auth-port 1612 key rad1
Switch(config)# radius-server host 172.20.36.50 acct-port 1618 key rad2
次に、 host1 を RADIUS サーバとして設定し、認証およびアカウンティングの両方にデフォルトのポートを使用するように設定する例を示します。
Switch(config)# radius-server host host1
(注) RADIUS サーバ上でも、いくつかの値を設定する必要があります。これらの設定値としては、スイッチの IP アドレス、およびサーバとスイッチの双方で共有するキー ストリングがあります。詳細については、RADIUS サーバのマニュアルを参照してください。
RADIUS ログイン認証の設定
AAA 認証を設定するには、認証方式の名前付きリストを作成してから、各種ポートにそのリストを適用します。方式リストは実行される認証のタイプと実行順序を定義します。このリストを特定のポートに適用してから、定義済み認証方式を実行する必要があります。唯一の例外はデフォルトの方式リスト(偶然に default と名前が付けられている)です。デフォルトの方式リストは、名前付き方式リストを明示的に定義されたインターフェイスを除いて、自動的にすべてのポートに適用されます。
方式リストは、ユーザ認証のためにクエリー送信を行う手順と認証方式を記述したものです。認証に使用する 1 つまたは複数のセキュリティ プロトコルを指定できるので、最初の方式が失敗した場合のバックアップ システムが確保されます。ソフトウェアは、リスト内の最初の方式を使用してユーザを認証します。その方式で応答が得られなかった場合、ソフトウェアはそのリストから次の方式を選択します。このプロセスは、リスト内の認証方式による通信が成功するか、定義された方式をすべて試し終わるまで繰り返されます。この処理のある時点で認証が失敗した場合(つまり、セキュリティ サーバまたはローカルのユーザ名データベースがユーザ アクセスを拒否すると応答した場合)、認証プロセスは停止し、それ以上認証方式が試行されることはありません。
ログイン認証を設定するには、次の作業を実行します。この手順は必須です。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
aaa new-model
|
AAA をイネーブルにします。 |
ステップ 3 |
Switch(config)#
aaa authentication login
{
default
|
list-name
}
method1
[
method2...
]
|
ログイン認証方式リストを作成します。 • login authentication コマンドに名前付きリストが指定され なかった 場合に使用されるデフォルトのリストを作成するには、 default キーワードの後ろにデフォルト状況で使用する方式を指定します。デフォルトの方式リストは、自動的にすべてのポートに適用されます。 • list-name には、作成するリストの名前として使用する文字列を指定します。 • method1... には、認証アルゴリズムが試行する実際の方式を指定します。追加の認証方式は、その前の方式でエラーが返された場合に限り使用されます。前の方式が失敗した場合は使用されません。 次のいずれかの方式を選択します。 – enable :イネーブル パスワードを認証に使用します。この認証方式を使用するには、あらかじめ enable password グローバル コンフィギュレーション コマンドを使用してイネーブル パスワードを定義しておく必要があります。 – group radius :RADIUS 認証を使用します。この認証方式を使用するには、あらかじめ RADIUS サーバを設定しておく必要があります。詳細については、「RADIUS サーバ ホストの識別」を参照してください。 – line :回線パスワードを認証に使用します。この認証方式を使用するには、あらかじめ回線パスワードを定義しておく必要があります。 password password ライン コンフィギュレーション コマンドを使用します。 – local :ローカル ユーザ名データベースを認証に使用します。データベースにユーザ名情報を入力しておく必要があります。 username name password グローバル コンフィギュレーション コマンドを使用します。 – local-case :大文字と小文字が区別されるローカル ユーザ名データベースを認証に使用します。 username password グローバル コンフィギュレーション コマンドを使用して、ユーザ名情報をデータベースに入力する必要があります。 – none :ログインに認証を使用しません。 |
ステップ 4 |
Switch(config)#
line
[
console
|
tty
|
vty
]
line-number
[
ending-line-number
]
|
ライン コンフィギュレーション モードを開始し、認証リストを適用する回線を設定します。 |
ステップ 5 |
Switch(config)#
login authentication
{
default
|
list-name
}
|
1 つの回線または複数回線に認証リストを適用します。 • default を指定する場合は、 aaa authentication login コマンドで作成したデフォルトのリストを使用します。 • list-name には、 aaa authentication login コマンドで作成したリストを指定します。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。AAA 認証をディセーブルにするには、 no aaa authentication login {default | list-name } method1 [ method2... ] グローバル コンフィギュレーション コマンドを使用します。ログインに関する RADIUS 認証をディセーブルにする、あるいはデフォルト値に戻すには、 no login authentication { default | list-name } ライン コンフィギュレーション コマンドを使用します。
(注) AAA 方式を使用して HTTP アクセスに対しスイッチのセキュリティを確保するには、ip http authentication aaa グローバル コンフィギュレーション コマンドでスイッチを設定する必要があります。AAA 認証を設定しても、AAA 方式を使用した HTTP アクセスに対しスイッチのセキュリティは確保しません。
ip http authentication コマンドの詳細については、Cisco.com ページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] > [Command References] にある『Cisco IOS Security Command Reference, Release 12.2』を参照してください。
AAA サーバ グループの定義
既存のサーバ ホストを認証用にグループ化するため、AAA サーバ グループを使用するようにスイッチを設定できます。設定済みのサーバ ホストのサブセットを選択して、それを特定のサービスに使用します。サーバ グループは、選択されたサーバ ホストの IP アドレスのリストを含むグローバルなサーバ ホスト リストとともに使用されます。
サーバ グループには、同じサーバの複数のホスト エントリを含めることもできますが、各エントリが一意の ID(IP アドレスと UDP ポート番号の組み合わせ)を持っていることが条件です。この場合、個々のポートをそれぞれ特定の AAA サービスを提供する RADIUS ホストとして定義できます。同じ RADIUS サーバ上の異なる 2 つのホスト エントリに同じサービス(たとえばアカウンティング)を設定した場合、2 番めに設定したホスト エントリは、最初に設定したホスト エントリのフェールオーバー バックアップとして動作します。
定義したグループ サーバに特定のサーバを対応付けるには、 server グループ サーバ コンフィギュレーション コマンドを使用します。サーバを IP アドレスで特定することもできますし、任意指定の auth-port および acct-port キーワードを使用して複数のホスト インスタンスまたはエントリを特定することもできます。
AAA サーバ グループを定義し、そのグループに特定の RADIUS サーバを関連付けるには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
radius-server host {
hostname |
ip-address } [
auth-port
port-number ] [
acct-port
port-number ] [
timeout
seconds ] [
retransmit
retries ] [
key
string ]
|
リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定します。 • (任意) auth-port port-number には、認証要求の UDP 宛先ポートを指定します。 • (任意) acct-port port-number には、アカウンティング要求の UDP 宛先ポートを指定します。 • (任意) timeout seconds には、スイッチが RADIUS サーバの応答を待機して再送信するまでの時間間隔を指定します。指定できる範囲は 1 ~ 1000 です。この設定は、 radius-server timeout グローバル コンフィギュレーション コマンドによる設定を上書きします。 radius-server host コマンドでタイムアウトを設定しない場合は、 radius-server timeout コマンドの設定が使用されます。 • (任意) retransmit retries には、サーバが応答しない場合、または応答が遅い場合に、RADIUS 要求をサーバに再送信する回数を指定します。指定できる範囲は 1 ~ 1000 です。 radius-server host コマンドで再送信回数を指定しない場合、 radius-server retransmit グローバル コンフィギュレーション コマンドの設定が使用されます。 • (任意) key string には、RADIUS サーバ上で動作する RADIUS デーモンとスイッチの間で使用する認証および暗号キーを指定します。 コマンドの最後のアイテムとして設定してください。先頭のスペースは無視されますが、key の中間および末尾のスペースは使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。 1 つの IP アドレスに対応する複数のホスト エントリをスイッチが認識するように設定するには、それぞれ異なる UDP ポート番号を使用して、このコマンドを必要な回数だけ入力します。スイッチ ソフトウェアは、指定された順序に従って、ホストを検索します。各 RADIUS ホストで使用するタイムアウト、再送信回数、および暗号キーをそれぞれ設定してください。 |
ステップ 3 |
Switch(config)#
aaa new-model
|
AAA をイネーブルにします。 |
ステップ 4 |
Switch(config)#
aaa group server radius
group-name
|
グループ名を指定して AAA サーバ グループを定義します。 このコマンドを使用すると、スイッチはサーバ グループ コンフィギュレーション モードになります。 |
ステップ 5 |
Switch(config)#
server
ip-address
|
特定の RADIUS サーバを定義済みのサーバ グループと関連付けます。AAA サーバ グループの RADIUS サーバごとに、このステップを繰り返します。 グループの各サーバは、ステップ 2 で定義済みのものでなければなりません。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ステップ 9 |
|
RADIUS ログイン認証をイネーブルにします。「RADIUS ログイン認証の設定」を参照してください。 |
特定の RADIUS サーバを削除するには、 no radius-server host { hostname | ip-address } グローバル コンフィギュレーション コマンドを使用します。サーバ グループをコンフィギュレーション リストから削除するには、 no aaa group server radius group-name グローバル コンフィギュレーション コマンドを使用します。RADIUS サーバの IP アドレスを削除するには、 no server ip-address サーバ グループ コンフィギュレーション コマンドを使用します。
次の例では、2 つの異なる RADIUS グループ サーバ( group1 および group2 )を認識するようにスイッチを設定しています。group1 では、同じ RADIUS サーバ上の異なる 2 つのホスト エントリを、同じサービス用に設定しています。2 番目のホスト エントリは、最初のエントリに対してフェールオーバー バックアップとして機能します。
Switch(config)# radius-server host 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config)# radius-server host 172.10.0.1 auth-port 1645 acct-port 1646
Switch(config)# aaa new-model
Switch(config)# aaa group server radius group1
Switch(config-sg-radius)# server 172.20.0.1 auth-port 1000 acct-port 1001
Switch(config-sg-radius)# exit
Switch(config)# aaa group server radius group2
Switch(config-sg-radius)# server 172.20.0.1 auth-port 2000 acct-port 2001
Switch(config-sg-radius)# exit
ユーザ イネーブル アクセスおよびネットワーク サービスに関する RADIUS 許可の設定
AAA 認証によってユーザが使用できるサービスが制限されます。AAA 認証をイネーブルにすると、スイッチは(ローカル ユーザ データベースまたはセキュリティ サーバ上に存在する)ユーザのプロファイルから取得した情報を使用して、ユーザのセッションを設定します。ユーザは、ユーザ プロファイル内の情報で認められている場合に限り、要求したサービスのアクセスが認可されます。
特権 EXEC モードへのユーザのネットワーク アクセスを制限するパラメータを設定するには、 radius キーワードを指定して aaa authorization グローバル コンフィギュレーション コマンドを使用します。
aaa authorization exec radius local コマンドは、次の許可パラメータを設定します。
• RADIUS を使用して認証を行った場合は、RADIUS を使用して特権 EXEC アクセスを許可します。
• 認証に RADIUS を使用しなかった場合は、ローカル データベースを使用します。
(注) 許可が設定されていても、CLI を使用してログインし、認証されたユーザに対しては、許可は省略されます。
特権 EXEC アクセスおよびネットワーク サービスに関する RADIUS 許可を指定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
aaa authorization network radius
|
ネットワーク関連のすべてのサービス要求に対するユーザ RADIUS 許可を、スイッチに設定します。 |
ステップ 3 |
Switch(config)#
aaa authorization exec radius
|
ユーザに特権 EXEC のアクセス権限がある場合、ユーザ RADIUS 許可を、スイッチに設定します。 exec キーワードを指定すると、ユーザ プロファイル情報( autocommand 情報など)が返される場合があります。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 6 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
許可をディセーブルにするには、 no aaa authorization { network | exec } method1 グローバル コンフィギュレーション コマンドを使用します。
RADIUS アカウンティングの起動
AAA アカウンティング機能は、ユーザがアクセスしたサービスと、消費したネットワーク リソース量をトラッキングします。AAA アカウンティングをイネーブルにすると、スイッチはユーザの活動状況をアカウンティング レコードの形式で RADIUS セキュリティ サーバに報告します。各アカウンティング レコードには、アカウンティング属性と値(AV)のペアが含まれ、セキュリティ サーバに保存されます。このデータをあとでネットワーク管理、クライアント請求、および監査のために分析できます。
各 Cisco IOS 特権レベルおよびネットワーク サービスに関する RADIUS アカウンティングをイネーブルにするには、次の手順を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
aaa accounting network start-stop radius
|
ネットワーク関連のあらゆるサービス要求に関して、RADIUS アカウンティングをイネーブルにします。 |
ステップ 3 |
Switch(config)#
aaa accounting exec start-stop radius
|
RADIUS アカウンティングをイネーブルにして、特権 EXEC プロセスの最初に記録開始アカウンティング通知、最後に記録停止通知を送信します。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 6 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
アカウンティングをディセーブルにするには、 no aaa accounting { network | exec } { start-stop } method1... グローバル コンフィギュレーション コマンドを使用します。
すべての RADIUS サーバの設定
スイッチとすべての RADIUS サーバ間のグローバル通信を設定するには、次の手順を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
radius-server key
string
|
スイッチとすべての RADIUS サーバ間で共有されるシークレット テキスト ストリングを指定します。 (注) key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。先頭のスペースは無視されますが、key の中間および末尾のスペースは使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。 |
ステップ 3 |
Switch(config)#
radius-server retransmit
retries
|
スイッチが RADIUS 要求をサーバに再送信する回数を指定します。デフォルトは 3 です。指定できる範囲は 1 ~ 1000 です。 |
ステップ 4 |
Switch(config)#
radius-server timeout
seconds
|
スイッチが RADIUS 要求に対する応答を待って、要求を再送信するまでの時間(秒)を指定します。デフォルトは 5 秒です。指定できる範囲は 1 ~ 1000 です。 |
ステップ 5 |
Switch(config)#
radius-server deadtime
minutes
|
認証要求に応答しない RADIUS サーバをスキップする時間(分)を指定し、要求がタイムアウトするまで待機することなく、次に設定されているサーバを試行できるようにします。デフォルトは 0 です。指定できる範囲は 1 ~ 1440 分です。 |
ステップ 6 |
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch#
show running-config
|
設定を確認します。 |
ステップ 8 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
再送信回数、タイムアウト、および待機時間の設定をデフォルトに戻すには、これらのコマンドの no 形式を使用します。
ベンダー固有の RADIUS 属性を使用するスイッチ設定
Internet Engineering Task Force(IETF)ドラフト規格に、ベンダー固有の属性(属性 26)を使用して、スイッチと RADIUS サーバ間でベンダー固有の情報を通信するための方式が定められています。各ベンダーは、Vendor-Specific Attribute(VSA)を使用することによって、一般的な用途には適さない独自の拡張属性をサポートできます。シスコが実装する RADIUS では、この仕様で推奨されるフォーマットを使用して、ベンダー固有のオプションを 1 つサポートしています。シスコのベンダー ID は 9 であり、サポート対象のオプションはベンダー タイプ 1(名前は cisco-avpair )です。この値は、次のフォーマットのストリングです。
protocol : attribute sep value *
protocol は、特定の許可タイプに使用するシスコのプロトコル属性の値です。 attribute および value は、シスコの TACACS+ 仕様で定義されている適切な Attribute Value(AV; 属性値)ペアです。 sep は、必須の属性の場合は = 、任意指定の属性の場合は * です。TACACS+ 許可で使用できるすべての機能は、RADIUS でも使用できます。
たとえば、次の AV ペアを指定すると、IP 許可時(PPP の IPCP アドレスの割り当て時)に、シスコの 複数の名前付き IP アドレス プール 機能が有効になります。
cisco-avpair= ”ip:addr-pool=first“
次に、スイッチから特権 EXEC コマンドへの即時アクセスが可能となるユーザ ログインを提供する例を示します。
cisco-avpair= ”shell:priv-lvl=15“
次に、RADIUS サーバ データベース内の許可 VLAN を指定する例を示します。
cisco-avpair= ”tunnel-type(#64)=VLAN(13)”
cisco-avpair= ”tunnel-medium-type(#65)=802 media(6)”
cisco-avpair= ”tunnel-private-group-ID(#81)=vlanid”
次に、この接続中に ASCII 形式の入力 ACL をインターフェイスに適用する例を示します。
cisco-avpair= “ip:inacl#1=deny ip 10.10.10.10 0.0.255.255 20.20.20.20 255.255.0.0”
cisco-avpair= “ip:inacl#2=deny ip 10.10.10.10 0.0.255.255 any”
cisco-avpair= “mac:inacl#3=deny any any decnet-iv”
次に、この接続中に ASCII 形式の出力 ACL をインターフェイスに適用する例を示します。
cisco-avpair= “ip:outacl#2=deny ip 10.10.10.10 0.0.255.255 any”
他のベンダーにも、それぞれ独自のベンダー ID、オプション、および対応する VSA があります。ベンダー ID および VSA の詳細については、RFC 2138『Remote Authentication Dial-In User Service (RADIUS)』を参照してください。
スイッチが VSA を認識して使用するように設定するには、次の手順を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
radius-server vsa send [
accounting |
authentication ]
|
スイッチが VSA(RADIUS IETF 属性 26 で定義)を認識して使用できるようにします。 • (任意)認識されるベンダー固有属性の集合をアカウンティング属性だけに限定するには、 accounting キーワードを使用します。 • (任意)認識されるベンダー固有属性の集合を認証属性だけに限定するには、 authentication キーワードを使用します。 キーワードを指定せずにこのコマンドを入力すると、アカウンティングおよび認証のベンダー固有属性の両方が使用されます。 |
ステップ 3 |
|
特権 EXEC モードに戻ります。 |
ステップ 4 |
Switch#
show running-config
|
設定を確認します。 |
ステップ 5 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
(注) RADIUS 属性の詳細なリストまたはベンダー固有属性 26 の詳細については、Cisco.com のページの [Documentation] > [Cisco IOS Software] > [12.2 Mainline] >[Command References] にある『Cisco IOS Security Configuration Guide, Release 12.2』の付録「RADIUS Attributes」を参照してください。
ベンダー独自の RADIUS サーバとの通信に関するスイッチ設定
RADIUS に関する IETF ドラフト規格では、スイッチと RADIUS サーバ間でベンダー独自仕様の情報を通信する方式について定められていますが、RADIUS 属性セットを独自に機能拡張しているベンダーもあります。Cisco IOS ソフトウェアは、ベンダー独自仕様の RADIUS 属性のサブセットをサポートしています。
前述したように、RADIUS(ベンダーの独自仕様によるものか、IETF ドラフトに準拠するものかを問わず)を設定するには、RADIUS サーバ デーモンが稼働しているホストと、そのホストがスイッチと共有するシークレット テキスト ストリングを指定する必要があります。RADIUS ホストおよびシークレット テキスト ストリングを指定するには、 radius-server グローバル コンフィギュレーション コマンドを使用します。
ベンダー固有の RADIUS サーバ ホストと共有秘密テキスト ストリングを指定するには、次の作業を実行します。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# radius-server host {hostname | ip-address} non-standard
|
リモート RADIUS サーバ ホストの IP アドレスまたはホスト名を指定し、そのホストでベンダー独自仕様の RADIUS を使用することを指定します。 |
ステップ 3 |
Switch(config)# radius-server key string
|
スイッチとベンダー独自仕様の RADIUS サーバとの間で共有されるシークレット テキスト ストリングを指定します。スイッチおよび RADIUS サーバは、このテキスト ストリングを使用して、パスワードの暗号化および応答の交換を行います。 (注) key は文字列であり、RADIUS サーバで使用されている暗号化キーと一致する必要があります。先頭のスペースは無視されますが、key の中間および末尾のスペースは使用されます。キーにスペースを使用する場合は、引用符がキーの一部分である場合を除き、引用符でキーを囲まないでください。 |
ステップ 4 |
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
Switch#
show running-config
|
設定を確認します。 |
ステップ 6 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ベンダー独自仕様の RADIUS ホストを削除するには、 no radius-server host {hostname | ip-address} non-standard グローバル コンフィギュレーション コマンド を使用します。キーをディセーブルにするには、 no radius-server key グローバル コンフィギュレーション コマンドを使用します。
次に、ベンダー独自仕様の RADIUS ホストを指定し、 スイッチとサーバの間 で rad124 という秘密キーを使用する例を示します。
Switch(config)# radius-server host 172.20.30.15 nonstandard
Switch(config)# radius-server key rad124
スイッチ上での CoA の設定
スイッチで CoA を設定するには、次の手順を実行します。この手順は必須です。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
aaa new-model
|
AAA をイネーブルにします。 |
ステップ 3 |
Switch(config)#
aaa server radius dynamic-author
|
スイッチを認証、許可、アカウンティング(AAA)サーバに設定し、外部ポリシー サーバとの相互作用を実行します。 |
ステップ 4 |
Switch(config-locsvr-da-radius)#
client
{
ip-address
|
name
} [
vrf
vrfname
] [
server-key
string
]
|
ダイナミック認証ローカル サーバ コンフィギュレーション モードを開始し、デバイスが CoA を受け取り、要求を取り外す RADIUS クライアントを指定します。 |
ステップ 5 |
Switch(config-locsvr-da-radius)#
server-ke
y [
0
|
7
]
string
|
RADIUS キーをデバイスと RADIUS クライアントとの間で共有されるように設定します。 |
ステップ 6 |
Switch(config-locsvr-da-radius)#
port
port-number
|
設定された RADIUS クライアントから RADIUS 要求をデバイスが受信するポートを指定します。 |
ステップ 7 |
Switch(config-locsvr-da-radius)#
auth-type {
any |
all |
session-key }
|
スイッチが RADIUS クライアントに使用する許可のタイプを指定します。 クライアントは、許可用に設定されたすべての属性と一致していなければなりません。 |
ステップ 8 |
Switch(config-locsvr-da-radius)#
ignore session-key
|
(任意)セッション キーを無視するようにスイッチを設定します。 ignore コマンドの詳細については、Cisco.com 上の『 Cisco IOS Intelligent Services Gateway Command Reference 』を参照してください。 |
ステップ 9 |
Switch(config-locsvr-da-radius)#
ignore server-key
|
(任意)サーバキーを無視するようにスイッチを設定します。 ignore コマンドの詳細については、Cisco.com 上の『 Cisco IOS Intelligent Services Gateway Command Reference 』を参照してください。 |
ステップ 10 |
Switch(config-locsvr-da-radius)# exit
|
グローバル コンフィギュレーション モードに切り替えます。 |
ステップ 11 |
Switch(config)#
authentication command bounce-port ignore
|
(任意)CoA 要求を無視して、セッションをホスティングするポートを一時的にディセーブルにするようにスイッチを設定します。ポートを一時的にディセーブルにする目的は、VLAN の変更が発生しても、その変更を検出するサプリカントがエンドポイント上にない場合に、ホストから DHCP 再ネゴシエーションを行わせることです。 |
ステップ 12 |
Switch(config)#
authentication command disable-port ignore
|
(任意)セッションをホスティングしているポートを管理上のシャットダウン状態にすることを要求する非標準コマンドを無視するようにスイッチを設定します。ポートをシャットダウンすると、セッションが終了します。 ポートを再びイネーブルにするには、標準の CLI または SNMP コマンドを使用します。 |
ステップ 13 |
|
特権 EXEC モードに戻ります。 |
ステップ 14 |
Switch#
show running-config
|
入力を確認します。 |
ステップ 15 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
AAA をディセーブルにするには、 no aaa new-model グローバル コンフィギュレーション コマンドを使用します。スイッチ上の AAA サーバ機能をディセーブルにするには、 no aaa server radius dynamic authorization グローバル コンフィギュレーション コマンドを使用します。
Switch(config)# aaa server radius dynamic-author
Switch(config-locsvr-da-radius)# client ip addr vrf vrfname
Switch(config-locsvr-da-radius)# server-key cisco123
Switch(config-locsvr-da-radius)# port 3799
(注) パケット オブ ディスコネクトのデフォルト ポートは 1700 です。ACS 5.1 と相互運用するためには、ポート 3799 が必要です。
Switch(config)# authentication command bounce-port ignore
CoA 機能のモニタリングおよびトラブルシューティング
スイッチ上で CoA 機能をモニタリングおよびトラブルシューティングするには、次の Cisco IOS コマンドを使用できます。
• debug radius
• debug aaa coa
• debug aaa pod
• debug aaa subsys
• debug cmdhd [ detail | error | events ]
• show aaa attributes protocol radius
RADIUS サーバ ロード バランシングの設定
この機能を使用すると、アクセス要求および認証要求を、サーバ グループ内のすべての RADIUS サーバに対して均等に送信できます。詳細については、『Cisco IOS Security Configuration Guide, Release 12.2』の「RADIUS Server Load Balancing」の章を参照してください。
http://www.cisco.com/en/US/docs/ios/12_2sb/feature/guide/sbrdldbl.html
RADIUS の設定の表示
RADIUS の設定を表示するには、 show running-config 特権 EXEC コマンドを使用します。