802.1x認証の機能
IEEE 802.1x規格では、クライアント/サーバベースのアクセス制御および認証プロトコルを定義しています。このプロトコルは、無許可の装置が公的にアクセス可能なポートからLANにアクセスするのを制限します。802.1xは、ポートごとに2つの個別の仮想アクセス ポイントを作成してネットワーク アクセスを制御します。一方のアクセス ポイントが未制御のポートで、もう一方は制御ポートです。1つのポートを通過するトラフィックはすべて、両方のアクセス ポイントで利用できます。802.1xは、スイッチまたはLANが提供するサービスを利用できるようにする前に、スイッチのポートに接続されている各ユーザ デバイスを認証し、そのポートをVLAN(仮想LAN)に割り当てます。802.1xアクセス制御によりデバイスが認証されるまでは、Extensible Authentication Protocol over LAN(EAPOL)トラフィックだけしか、そのデバイスの接続ポートを通過できません。認証に成功すると、通常のトラフィックがポートを通過できるようになります。
ここでは、次の内容について説明します。
• 「デバイスの役割」
• 「認証の開始とメッセージ交換」
• 「許可済みおよび無許可ステートのポート」
• 「トラフィック制御」
• 「認証サーバ」
• 「スイッチに設定可能な802.1xパラメータ」
• 「RADIUSサーバを使用した802.1x VLANの割り当て」
• 「DHCPでの802.1x認証の使用」
• 「外部VLANトラフィック用に設定されたポートでの802.1x認証」
• 「ゲストVLANに対する802.1x認証の使用」
• 「ポート セキュリティでの802.1x認証の使用」
デバイスの役割
802.1xポートベース認証を使用すると、ネットワーク内のデバイスには特定の役割が割り当てられます(図 36-1を参照)。
図 36-1 802.1xデバイスの役割
• 要求元 ― LANおよびスイッチ サービスへのアクセスを要求し、スイッチの要求に応答します。ワークステーションは、802.1x準拠のソフトウェアを実行している必要があります。
(注) IEEE 802.1x規格では、クライアントまたはホストに対して要求元という用語を使用します。Catalyst 6500シリーズCLIの構文ではホストが使用されるので、このマニュアルでは、要求元ではなくホストを使用します。
• 認証サーバ ― 実際にホストの認証を行います。認証サーバは、ホストのIDを確認し、LANおよびスイッチ サービスへのホストのアクセスを許可するかどうかをスイッチに通知します。スイッチはプロキシとして機能するので、認証サービスはホストにトランスペアレントです。このリリースでは、Extensible Authentication Protocol(EAP)拡張機能搭載のRemote Authentication Dial-In User Service(RADIUS)セキュリティ システムが唯一のサポート対象認証サーバです。Cisco Secure Access Control Serverバージョン3.0で利用できます。RADIUSは、RADIUSサーバと1つまたは複数のRADIUSクライアント間で安全な認証情報が交換されるクライアント/サーバ モデルで動作します。
• スイッチ ― ホストの認証ステータスに基づいてネットワークへの物理的なアクセスを制御します。スイッチは、ホストと認証サーバとの間の媒介(プロキシ)として機能し、ホストにID情報を要求し、その情報を認証サーバで確認し、ホストに応答をリレーします。スイッチはRADIUSクライアントと対話します。RADIUSクライアントはEAPフレームのカプセル化およびカプセル化解除を行い、認証サーバと対話します。
スイッチがExtensible Authentication Protocol over LAN(EAPOL)フレームを受信して認証サーバにリレーすると、イーサネット ヘッダーが取り除かれ、残りのEAPフレームがRADIUS形式で再度カプセル化されます。EAPフレームはカプセル化の間は変更や検査が行われず、認証サーバはネイティブのフレーム形式内でEAPをサポートする必要があります。スイッチが認証サーバからフレームを受信すると、サーバのフレーム ヘッダーが削除され、EAPフレームが残ります。これがイーサネット用にカプセル化されてホストに送信されます。
認証の開始とメッセージ交換
スイッチまたはホストは、認証を開始できます。set port dot1x mod/port port-control auto コマンドを使用してポート上で認証をイネーブルにする場合、スイッチは、ポートのリンク ステートがダウンからアップに移行したことを確認したときに、認証を開始する必要があります。スイッチは、EAP要求/IDフレームをホストに送信してIDを要求します(一般に、スイッチは最初のID/要求フレームを送信して、そのあとで1つまたは複数の認証情報の要求を送信します)。ホストは、フレームを受信するとEAP応答/IDフレームを送信します。
ただし、起動中にホストがスイッチからEAP要求/IDフレームを受信しない場合は、ホストはEAPOL開始フレームを送信して認証を開始できます。これにより、スイッチはホストのIDを要求するようになります。
(注) ネットワーク アクセス装置で802.1xがイネーブルになっていないかサポートされていない場合は、ホストからのEAPOLフレームは廃棄されます。認証の開始を3回試行してもホストがEAP要求/IDフレームを受信しない場合は、ホストはポートが許可済みステートにあるかのようにフレームを送信します。許可済みステートにあるポートは、ホストが正常に認証されたということです。詳細は、「許可済みおよび無許可ステートのポート」を参照してください。
ホストがIDを供給すると、スイッチは媒介として動作し、認証が成功または失敗するまでホストと認証サーバとの間でEAPフレームを受け渡します。認証が成功すると、スイッチのポートは許可された状態になります。詳細は、「許可済みおよび無許可ステートのポート」を参照してください。
特定のEAPフレーム交換は、使用される認証方式に左右されます。図 36-2に、RADIUSサーバでOne-Time-Password(OTP;ワンタイム パスワード)認証方式を使用するホストによって開始されるメッセージ交換を示します。
図 36-2 メッセージ交換
許可済みおよび無許可ステートのポート
スイッチ ポートのステートによって、ホストがネットワーク アクセスを許可されているかどうかがわかります。ポートは、 無許可 のステートで開始します。このステートでは、ポートは、802.1xプロトコル パケットを除いてすべての入力側トラフィックおよび出力側トラフィックを許可していません。ホストが正常に認証されると、ポートは 許可済み のステートに移行し、そのホストへのすべてのトラフィックは通常のフローが許可されます。
802.1xをサポートしないホストが無許可の802.1xポートに接続している場合は、スイッチはホストにIDを要求します。この場合、ホストは要求に応答できないので、ポートは無許可ステートのままで、ホストはネットワーク アクセスが許可されません。
802.1x対応ホストが802.1xプロトコルを実行していないポートに接続している場合、ホストはEAPOL開始フレームを送信して認証プロセスを開始します。応答が得られなかった場合、ホストは要求を固定回数だけ送信します。応答が得られないので、ホストはポートが許可済みステートにあるかのようにフレームの送信を開始します。
ポートの許可ステートを制御するには、set port dot1x mod/port port-control コマンドと以下のキーワードを使用します。
• force-authorized ― 802.1x認証をディセーブルにして、認証交換なしでポートを許可ステートに移行させます。ポートは、ホストの802.1xベースの認証なしで通常のトラフィックを送受信します。これがデフォルト設定です。
• force-unauthorized ― ポートを無許可ステートのままにし、ホストが認証を試みてもすべて無視します。スイッチは、インターフェイスを介してホストに認証サービスを提供できません。
• auto ― 802.1x認証をイネーブルにして、ポートに無許可ステートを開始させ、EAPOLフレームだけがポートを通じて送受信できるようにします。ポートのリンク ステートがダウンからアップに移行するか、EAPOL開始フレームを受信すると、認証プロセスが開始されます。スイッチは、ホストのIDを要求し、ホストと認証サーバ間で認証メッセージのリレーを開始します。ネットワークにアクセスしようとする各ホストは、ホストのMACアドレスを使用して一意に識別されます。
ホストが正常に認証されると(認証サーバからAcceptフレームを受信する)、ポート ステートが許可済みに切り替わり、認証されたホストのフレームはすべてそのポートを通じて許可されます。認証が失敗した場合は、ポートは無許可ステートのままですが、認証を再試行できます。スイッチは、認証サーバにアクセスできない場合、要求を再送信できます。指定された試行回数の後でもサーバから応答が得られない場合は、認証が失敗し、ネットワーク アクセスは許可されません。
ホストがログオフすると、サーバはEAPOLログオフ メッセージを送信し、スイッチ ポートを無許可ステートに移行させます。
ポートのリンク ステートがアップからダウンに移行した場合、またはEAPOLログオフ メッセージを受信した場合は、ポートは無許可ステートに戻ります。
表 36-1 に、802.1xの用語の説明を示します。
表 36-1 802.1xの用語
|
|
認証者PAE |
(「認証者」ともいいます。)ポイントツーポイントLANセグメントの一端のエンティティで、ホストの認証を実行します。認証者は実際の認証方式からは独立しており、認証交換のパススルーとしてのみ機能します。認証者はホストと対話し、ホストからの情報を認証サーバに引き渡し、認証サーバから指示されればホストを認証します。 |
認証サーバ |
認証者PAEに対して認証サービスを提供するエンティティ。ホストPAEの証明書を確認してから、ホストPAEがLAN/スイッチ サービスへのアクセスを許可するかどうかを、クライアントである認証者PAEに通知します。 |
許可ステート |
ホストPAEが許可された後のポートのステータス。 |
両方 |
未許可のスイッチ ポートでの着信および発信の双方向のフロー制御。 |
制御ポート |
セキュリティ保護されているアクセス ポイント。 |
EAP |
Extensible Authentication Protocol |
EAPOL |
LAN MACサービスで直接処理できる、カプセル化されたEAPメッセージ。 |
In |
未許可スイッチ ポートでの着信フレームに限ったフロー制御。 |
ポート |
LANインフラストラクチャへの単一ポイント接続(MACブリッジ ポートなど)。 |
PAE |
特定のシステム ポートに対応するプロトコル オブジェクト。 |
PDU |
プロトコル データ ユニット。 |
RADIUS |
Remote Access Dial-In User Service |
要求元PAE |
LAN/スイッチ サービスへのアクセスを要求し、認証者からの情報要求に応答するエンティティ。 |
未許可ステート |
認証要求元PAEが許可される前のポートのステータス。 |
未制御ポート |
セキュリティ保護されていないアクセス ポイントであり、制御されていないPDUの交換を許可します。 |
トラフィック制御
双方向または着信のみのトラフィックに制限することができます。
認証サーバ
認証者と認証サーバとの間で交換されたフレームは、認証メカニズムによって異なるので、802.1x規格では定義されていません。他のプロトコルを使用できますが、特に認証サーバがリモートに配置されているときは認証にはRADIUSを推奨します。RADIUSには、内蔵のEAPフレームのカプセル化をサポートする拡張機能が搭載されているためです。
スイッチに設定可能な802.1xパラメータ
スイッチ上で設定できる802.1xパラメータは、次のとおりです。
• Force-Authorized、Force-Unauthorized、または自動802.1xポート制御を指定
• 単一認証、複数認証、および複数ホスト認証を指定
• システム認証制御のイネーブル化およびディセーブル化
• 待機時間の指定
• 認証者からホストへの再送信時間の指定
• バックエンド認証者からホストへの再送信時間の指定
• バックエンド認証者から認証サーバへの再送信時間の指定
• バックエンド認証者からホストに再送信されるフレーム数の指定
• ホストの自動的な再認証時間の指定
• ホストの自動的な再認証のイネーブル化およびディセーブル化
RADIUSサーバを使用した802.1x VLANの割り当て
ソフトウェア リリース7.2(2)より前のスーパバイザ エンジン ソフトウェア リリースでは、802.1xクライアントが認証されると、そのクライアントはNVRAM(不揮発性RAM)に設定されたVLANに加入します。ソフトウェア リリース7.2(2)以降のリリースでは、認証後に802.1xホストはそのVLAN割り当てをRADIUSサーバから受信できます。
このVLAN割り当て機能によって、特定のVLANに対するユーザ アクセスを制限できます。たとえば、ゲスト ユーザはネットワークへのアクセスが制限されたVLANに割り当てることが可能です。
802.1x認証を受けたポートは、そのポートに接続されているホストのユーザ名に基づいて、VLANに割り当てられます。この機能は、ユーザ名とVLANのマッピングが保存されているRADIUSサーバと連動します。
あるポートの802.1x認証が完了すると、RADIUSサーバからVLANが送信され、ユーザはそのVLANへのアクセス権を与えられます。VLAN割り当てに関連した802.1xポートの動作は以下のとおりです。
• リンク確立時、802.1xポートはNVRAMに設定されている元のVLANに配備されています。
• リンク確立後、RADIUSが提供するVLANが有効であり、管理ドメイン内でアクティブな状態であれば、ポートはRADIUS提供のVLANに割り当てられます。
• ポートが別のVLANに属している場合、そのポートはRADIUSが提供するVLANに移動します。
• RADIUSが提供するVLANが管理ドメイン内でアクティブな状態でない場合、そのポートは非アクティブ ステートになります。
• RADIUS提供のVLANが無効であるか、またはポートのハードウェアに問題がある場合、そのポートは802.1x未許可ステートになります。
• 1つの802.1x ポートに対して複数のホスト オプションがイネーブルになっている場合は、最初の認証済みユーザが受信したRADIUS提供VLANと同じVLANにすべてのホストが入ります。
• 802.1x設定モジュールがダウン状態の場合は、802.1xポートのすべてのEnhanced Address Recognition Logic(EARL)エントリが消去されます。
• 802.1x設定モジュールがアップ状態に戻ると、すべての802.1xポートがNVRAMに設定されているVLANに割り当てられます。
• 802.1x設定モジュールのコンフィギュレーションが消去された場合、すべての802.1xポートがNVRAM設定VLANに移動し、802.1xポートのEARLエントリはすべて消去されます。
• 802.1xポートが許可ステートから未許可ステートに移行すると、そのポートはNVRAMに設定されたVLANに移動します。
「RADIUSサーバを使用した802.1x VLANの割り当て」の機能を正常に完了させるには、RADIUSサーバによって以下の3つのRFC2868属性を認証者(認証ホストと接続しているシスコ製スイッチ)に戻す必要があります。
• [64] Tunnel-Type = VLAN
• [65] Tunnel-Medium-Type = 802
• [81] Tunnel-Private-Group-Id = VLAN NAME
属性[64]には、「VLAN」値(タイプ 13)が含まれる必要があります。属性[65]には、「802」値(タイプ 6)が含まれる必要があります。属性[81]では、正常に認証された802.1x認証ホストを割り当てたVLAN名を指定します。
(注) VLANは、番号ではなく名前で指定する必要があります。
DHCPでの802.1x認証の使用
802.1x認証はDynamic Host Configuration Protocol(DHCP)をサポートしており、認証済みユーザのアイデンティティをDHCP発見プロセスに付加することによって、DHCPサーバが異なるエンド ユーザのクラスにIPアドレスを割り当てることを可能にします。これを利用すればネットワーク管理者は、エンド ユーザに付与されたIPアドレスをアカウンティングのために保護したり、レイヤ3の基準に準拠したサービスを提供したりできます。RADIUSサーバが要求元を認証すると、DHCPサーバはIPアドレスのリースに関連する認証済みユーザのアイデンティティを保持します。この認証済みユーザのアイデンティティは、DHCP発見プロセスに付加されます。それにより、異なるユーザのクラスごとに異なるアドレスを割り当てることができます。
要求元とRADIUSサーバとの間で802.1x認証が成功すると、スイッチはポートをフォワーディング ステートに設定し、RADIUSサーバから受信した属性を格納します。この属性は、DHCPサーバ内のアドレス プールへのマッピングに使用されます。スイッチはDHCPリレー エージェントとして機能できるため、DHCPメッセージを受け取り、そのメッセージを他のインターフェイスで伝送するために再生成できます。要求元が(認証後に)DHCPを発見すると、スーパバイザ エンジン上のDHCPリレー エージェントがパケットを受信し、RADIUSサーバから受信して格納した属性をDHCP発見パケットに付加し、再びブロードキャストします。ユーザとIPアドレスは、1対1、1対多、多対多でマッピングできます。1対多のマッピングを使用すれば、同じユーザが複数のポートの802.1xホストを通じて認証できます。
外部VLANトラフィック用に設定されたポートでの802.1x認証
Multiple VLAN Access Port(MVAP;多重VLANアクセス ポート)の802.1xをイネーブルにできます。また、802.1xポートの外部VLAN IDをイネーブルにできます。
802.1x認証用に設定されたポートおよび外部ポートを単一ホスト認証モードにして、IP Phoneからの外部VLANタグ付きパケットを転送する必要があります。IP PhoneにはホストPAE機能が装備されていないので、802.1x認証用に設定されたポートでIP Phoneからの外部VLANタグ付きパケットを受信したときは、パケットは許可トラフィックとして転送されます。
IP Phoneの先に接続されているホストPAEは認証されます。IP Phoneの先のホストPAEからのトラフィックだけが認証後転送されます。
(注) 802.1x対応VLANポートに接続したIP PhoneにホストPAEを接続した場合は、古いホストを取り外したあとで新しいホストPAEが認証されます。新しいホストPAEからのトラフィックだけが認証後転送されます。
ゲストVLANに対する802.1x認証の使用
ゲストVLAN機能によって、802.1x非対応ホストは802.1x認証を使用するネットワークにアクセスできます。802.1x認証をサポートするようにシステムをアップグレードするときに、ゲストVLAN機能を使用できます。
802.1xゲストVLANとしてVLANを設定すると、802.1x非対応ホストはすべてこのVLANに入れられます。どのようなVLAN(プライベートVLANとRSPAN VLANを除く)もゲストVLANとして設定できます。ポートがすでにゲストVLANで転送を行っているときに、そのホストのネットワーク インターフェイスでの802.1xサポートをイネーブルにすると、ポートは直ちにゲストVLANから除外され、認証者は認証発生待ちとなります。
ポートでの802.1x認証をイネーブルにすると、802.1xプロトコルが開始されます。ホストが一定時間内に認証者からのパケットに応答できない場合、認証者はそのホストをゲストVLANに入れます。
Windows XPホストでのゲストVLANに対する802.1x認証使用の際の使用上の注意事項
Windows XPホストでのゲストVLANに対する802.1x認証使用の際の、使用上の注意事項は次のとおりです。
• ホストが認証者に応答できない場合、ポートは180秒間接続されたままです。180秒が経過すると、ログイン/パスワード ウインドウはホストに表示されません。解決策はユーザに接続を解除させ、ネットワーク インターフェイス ケーブルを再接続することです。
• 不正なログイン/パスワードに応答するホストは、認証に失敗します。認証に失敗したホストはゲストVLANに入れられません。ホストが初めて認証に失敗すると、待機時間タイマーが始動し、稼働している間はアクティビティは一切発生しません。待機時間タイマーが切れると、ホストにログイン/パスワード ウインドウが提示されます。ホストが2度目も認証に失敗すると、待機時間タイマーが再度始動し、稼働している間はアクティビティは一切発生しません。ホストに3度目のログイン/パスワード ウインドウが提示されます。3度目も認証に失敗すると、ポートは接続しているが未許可の状態に入れられます。解決策はユーザに接続を解除させ、ネットワーク インターフェイス ケーブルを再接続することです。
(注) ゲストVLANはローカル スイッチに限定され、VTPを通じて伝播されることはありません。
ポート セキュリティでの802.1x認証の使用
802.1x認証はポート セキュリティ機能と互換性があります(詳細については、「ポート セキュリティの設定」を参照)。特定ポートの1つだけのMACアドレスのポート セキュリティをイネーブルにした場合は、そのMACアドレスだけがRADIUSサーバを介して認証されます。それ以外のMACアドレスを通じて接続しているユーザはすべて、アクセスが拒否されます。複数のMACアドレスのポート セキュリティをイネーブルにしている場合は、各アドレスは802.1x RADIUSサーバを介して認証が必要です。
(注) 警告CSCin25663のため、ポート セキュリティ用に設定するMACアドレスからログアウト メッセージを受信した場合、またはその特定のMACアドレスの再認証に失敗した場合、そのMACアドレスは削除されます。この問題は今後のソフトウェア リリースで解決されます。
(注) 802.1x認証とポート セキュリティが任意の802.1xポートでイネーブルになっているときは、ポートでは802.1x認証がポート セキュリティに優先されます。つまり、まずホストが認証され、それからポート セキュリティによって保護されます。
802.1xモード(単一認証、複数ホスト、または複数認証モード)に対してポート セキュリティをイネーブルにできます。1つのポートで一度にイネーブルにできるのは1つのモードだけです。デフォルトのポート モードは単一認証モードです。
単一認証および複数ホスト モードのポート セキュリティをディセーブルにできます。ただし、複数認証モードのポート セキュリティはディセーブルにできません。
802.1x認証を、MACアドレス ベースのポート セキュリティについてもイネーブルに設定されているポートでイネーブルにすると、最大許容数のMACアドレスを設定していないかぎりは、ポートで802.1x認証は発生しません。802.1x単一ホスト モード認証もイネーブルに設定されているポートに対して、最大許容数未満のMACアドレスを設定すると、設定済みのMACアドレスを削除するかどうかを尋ねるシステム メッセージが表示されます。このメッセージに[yes]と応答すると、MACアドレス ベースのポート セキュリティに対して設定されたMACアドレスは削除され、ポートは802.1x認証を使用して認証されます。その他のモードに対して802.1x認証がイネーブルに設定されている場合は、メッセージは表示されず、MACアドレスは保持されます。
複数認証モードでは、すべての接続ホストは802.1xを使用して認証され、ポート セキュリティを使用して保護されています。802.1xは、MACアドレスを認証してからMACアドレスにポート セキュリティを施して保護します。MACアドレスがEAPOLログオフ パケットを送信すると、ポート セキュリティ テーブルからMACアドレスが削除されます。
認証設定時の注意事項
ここでは、スイッチに802.1x認証を設定する際の注意事項について説明します。
• 802.1xは他のプロトコルでも機能しますが、リモートに配置された認証サーバではRADIUSを使用することを推奨します。
• 802.1xはイーサネット ポートでだけポートされます。
• ソフトウェア リリース7.5(1)では、2つの帯域内管理インターフェイスのsc0とsc1をサポートします。802.1x認証は、RADIUSサーバと通信するときは、常に認証者のIDとしてsc0インターフェイスを使用します。sc1インターフェイスでは802.1x認証はサポートされていません。
• 802.1xをトランク ポートでイネーブルに設定するには、そのポートのトランキング機能をオフにする必要があります。802.1xポートでトランキングをイネーブルに設定することはできません。
• 802.1xをダイナミック ポートでイネーブルに設定するには、そのポートのDVLAN機能をオフにする必要があります。802.1xポートでDVLANをイネーブルに設定することはできません。
• 802.1xをチャネリング ポートでイネーブルに設定するには、そのポートのチャネリング機能をオフにする必要があります。802.1xポートでチャネリングをイネーブルに設定することはできません。
• Switched Port Analyzer(SPAN;スイッチド ポート アナライザ)宛先ポートでは802.1xをイネーブルに設定することはできません。また、802.1xポートでSPAN宛先を設定することはできません。ただし、802.1xポートをSPAN送信元ポートとしては設定できます。
• 外部VLANに dot1p または untagged を設定できません。また、外部VLANは802.1x対応ポートのネイティブVLANと同じにしてはなりません。
• 802.1x対応外部VLANポートでは、複数認証オプションをイネーブルにできません。802.1x対応外部VLANポートで複数ホスト オプションをイネーブルにすることは推奨できません。
• 802.1x対応外部VLANポートは、ポートの外部VLANがゲストVLANと同じ場合は、ゲストVLANに入れられないので、ゲストVLANを外部VLANと同じに割り当てないでください。
スイッチにおける802.1x認証の設定
ここでは、スイッチ上で802.1x 認証を設定する手順について説明します。
(注) VLAN割り当てに関するRADIUSサーバの使用については、「RADIUSサーバを使用した802.1x VLANの割り当て」を参照してください。
• 「802.1xのグローバルなイネーブル化」
• 「802.1xのグローバルなディセーブル化」
• 「各ポートに対する802.1x認証のイネーブル化」
• 「複数802.1x認証のイネーブル化」
• 「ホストの自動再認証の設定およびイネーブル化」
• 「手動でのホストの再認証」
• 「複数ホストのイネーブル化」
• 「複数ホストのディセーブル化」
• 「待機時間の設定」
• 「認証者からホストへのEAP要求/IDフレーム再送信時間の設定」
• 「バックエンド認証者からホストへのEAP要求フレーム再送信時間の設定」
• 「バックエンド認証者から認証サーバへのトランスポート レイヤ パケット再送信時間の設定」
• 「バックエンド認証者からホストへの再送信フレーム数の設定」
• 「802.1xコンフィギュレーション パラメータをデフォルト値に戻す」
• 「DHCPリレー エージェントでの802.1x認証のイネーブル化」
• 「DHCPリレー エージェントでの802.1x認証のディセーブル化」
• 「802.1xゲストVLANの設定」
• 「showコマンドの使用方法」
802.1xのグローバルなイネーブル化
各ポートに対して802.1x認証を設定するには、先にシステム全体でイネーブルに設定する必要があります。802.1x認証をグローバルなイネーブルにすると、802.1x認証の要求する特定の要件を各ポートが満たしていれば、各ポートに802.1x認証を設定できます。各ポートに802.1x認証を設定する手順については、「各ポートに対する802.1x認証のイネーブル化」を参照してください。
802.1x認証をグローバルにイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
802.1xをグローバルにイネーブルにします。 |
set dot1x system-auth-control enable |
802.1x認証をグローバルにイネーブルにする例を示します。
Console> (enable) set dot1x system-auth-control enable
dot1x system-auth-control enabled.
802.1xのグローバルなディセーブル化
802.1x認証をシステム全体に対してイネーブルに設定しているときは、これをグローバルにディセーブルにできます。802.1x認証をグローバルにディセーブルにすると、それまで802.1x認証を設定していたポートを含め、どのポートでも802.1x認証を利用できなくなります。
802.1x認証をグローバルにディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
802.1x認証をグローバルにディセーブルにします。 |
set dot1x system-auth-control disable |
802.1x認証をグローバルにディセーブルにする例を示します。
Console> (enable) set dot1x system-auth-control disable
dot1x system-auth-control disabled.
各ポートに対する802.1x認証のイネーブル化
802.1x認証をグローバルにイネーブルにすると、コンソールから各ポートに対して802.1x認証をイネーブルにする必要があります。802.1x認証をグローバルにイネーブルに設定する手順については、「802.1xのグローバルなイネーブル化」を参照してください。
(注) スイッチ上で802.1x認証をイネーブルにする前に、少なくとも1つのRADIUSサーバを指定します。RADIUSサーバの指定手順については、「AAAによるスイッチ アクセスの設定」を参照してください。
スイッチへのアクセスのための802.1x認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
特定のポートで802.1x制御をイネーブルにします。 |
set port dot1x mod / port port-control auto |
ステップ 2 |
802.1xの設定を確認します。 |
show port dot1x mod / port |
モジュール4のポート1で802.1x認証をイネーブルにし、その設定を確認する例を示します。
Console> (enable) set port dot1x 4/1 port-control auto
Port 4/1 dot1x port-control is set to auto.
Trunking disabled for port 4/1 due to Dot1x feature.
Spantree port fast start option enabled for port 4/1.
Console> (enable) show port dot1x 4/1
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
4/1 connecting finished auto unauthorized
Port Multiple-Host Re-authentication
----- ------------- -----------------
(注) 新しい認証のために現状のマシンをクリアするには、set port dot1x mod/port initializeコマンドを使用します。
複数802.1x認証のイネーブル化
複数のホストが802.1xポートにアクセスできるように、複数認証を指定できます。複数認証はシスコ独自のもので、1つのポートで複数のdot1xホストが可能で、すべてのホストが別個に認証されています。複数の802.1x認証をイネーブルにする際は次の注意事項に従ってください。
• 複数の認証済みポートの非802.1xホストからのトラフィックはブロックされます。
• ゲストVLANは、複数の認証済みポートでイネーブルにできません。
• MVAP上では複数認証はイネーブルにできません。
• 複数の認証済みポートはポートVLANになり、RADIUS指定のVLANにはなりません。
• ポートで複数認証をイネーブルにするには、先にポート セキュリティをポートでイネーブルにする必要があります。
• 複数の認証済みポートでは、ポート セキュリティをディセーブルにできません。
• ポート セキュリティ タイマーは、複数の認証済みポートで使用します。再認証タイマーは、複数の認証済みポートでは使用しません。
複数802.1x認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
特定のポートで複数802.1x認証をイネーブルにします。 |
set port dot1x mod / port multiple-authentication { enable | disable } |
ステップ 2 |
802.1xの設定を確認します。 |
show port dot1x mod / port |
モジュール3のポート1で複数802.1x認証をイネーブルにし、その設定を確認する例を示します。
Console> (enable) set port dot1x 3/1 multiple-authentication enable
Enable PortSecurity before enabling multiple-authentication
Console> (enable) set port security 3/1 enable
Port 3/1 security enabled.
Trunking disabled for Port 3/1 due to Security Mode.
Console> (enable) set port dot1x 3/1 multiple-authentication enable
Dot1x multiple-authentication mode enabled
Console> (enable) show port dot1x 3/1
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
3/1 - - force-authorized -
Port Port-Mode Re-authentication
----- ------------- -----------------
ホストの自動再認証の設定およびイネーブル化
802.1xホストの自動再認証をイネーブルに設定する前であれば、802.1x認証がホストを再認証する頻度を指定できます。ホストの自動再認証をイネーブルに設定する前に期間を指定しない場合は、802.1xは3,600秒をデフォルト設定とします(有効な値は1~65,535秒です)。
特定ポートに接続したホストの802.1xホスト自動再認証をイネーブルにできます。特定ポートに接続したホストを手動で再認証する手順については、「手動でのホストの再認証」を参照してください。
802.1x認証がホストを再認証する頻度を設定し、802.1x自動再認証をイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
ホストの再認証の時間定数を設定します。 |
set dot1x re-authperiod seconds |
ステップ 2 |
再認証をイネーブルにします。 |
set port dot1x re-authentication enable |
ステップ 3 |
802.1xの設定を確認します。 |
show port dot1x mod / port |
自動再認証を7,200秒に設定し、802.1x再認証をイネーブルにし、設定を確認する例を示します。
Console> (enable) set dot1x re-authperiod 7200
dot1x re-authperiod set to 7200 seconds
Console> (enable) set port dot1x re-authentication enable
Port 4/1 re-authentication enabled.
Console> (enable) show port dot1x 4/1
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
4/1 connecting finished auto unauthorized
Port Multiple-Host Re-authentication
----- ------------- -----------------
手動でのホストの再認証
特定のポートに接続したホストは、いつでも手動で再認証できます。802.1xホストに自動再認証の設定をする場合は、「ホストの自動再認証の設定およびイネーブル化」を参照してください。
特定のポートに接続したホストを手動で再認証するには、イネーブル モードで次の作業を行います。
|
|
特定のポートに接続したホストを手動で再認証します。 |
set port dot1x mod/port re-authenticate |
モジュール4のポート1に接続したホストを手動で再認証する例を示します。
Console> (enable) set port dot1x 4/1 re-authenticate
Port 4/1 re-authenticating...
dot1x re-authentication successful...
dot1x port 4/1 authorized.
複数ホストのイネーブル化
特定ポートをイネーブルにして複数ユーザのアクセスを可能にします。ポートが複数のユーザに対してイネーブルで、そのポートに接続したホストが正常に許可されているとき、MACアドレスを持つホストはすべてそのポートに対してトラフィックを送受信することができます。その後ハブを介して複数のホストをそのポートに接続すると、そのポートのセキュリティ レベルを低くすることができます。
特定のポートで複数ユーザのアクセスをイネーブルにするには、イネーブル モードで次の作業を行います。
|
|
特定のポートで複数ホストをイネーブルにします。 |
set port dot1x mod/port multiple-host enable |
モジュール4のポート1で複数ホストのアクセスをイネーブルにする例を示します。
Console> (enable) set port dot1x 4/1 multiple-host enable
Port 4/1 multiple hosts allowed.
複数ホストのディセーブル化
イネーブルに設定されているポートで複数ユーザのアクセスをディセーブルに設定できます。
特定のポートで複数ユーザのアクセスをディセーブルにするには、イネーブル モードで次の作業を行います。
|
|
特定のポートで複数ホストをディセーブルにします。 |
set port dot1x mod/port multiple-host disable |
モジュール4のポート1で複数ホストのアクセスをディセーブルにする例を示します。
Console> (enable) set port dot1x 4/1 multiple-host disable
Port 4/1 multiple hosts not allowed.
待機時間の設定
認証者がホストを認証できないときは、一定時間のアイドル状態を経て再試行します。アイドル時間は、quiet-periodの値によって決まります(デフォルトの設定は60秒です)。この値は、0~65,535秒の範囲で設定できます。
待機時間の値を設定するには、イネーブル モードで次の作業を行います。
|
|
待機時間の値を設定します。 |
set dot1x quiet-period seconds |
待機時間を45秒に設定する例を示します。
Console> (enable) set dot1x quiet-period 45
dot1x quiet-period set to 45 seconds.
認証者からホストへのEAP要求/IDフレーム再送信時間の設定
ホストは、EAP要求/IDフレームを受信したことを認証者に通知します。認証者は、この通知を受信しないときは、一定時間待機してから、フレームを再送信します。認証者が通知を待つ時間を1~65,535秒の範囲で設定できます(デフォルトの設定は30秒です)。
認証者からホストへのEAP要求/IDフレームの再送信時間を設定するには、イネーブル モードで次の作業を行います。
|
|
認証者からホストへのEAP要求/IDフレームの再送信時間を設定します。 |
set dot1x tx-period seconds |
認証者からホストへのEAP要求/IDフレームの再送信時間を15秒に設定する例を示します。
Console> (enable) set dot1x tx-period 15
dot1x tx-period set to 15 seconds.
バックエンド認証者からホストへのEAP要求フレーム再送信時間の設定
ホストは、EAP要求フレームを受信したことをバックエンド認証者に通知します。バックエンド認証者は、この通知を受信しないときは、一定時間待機してから、フレームを再送信します。バックエンド認証者が通知を待つ時間を1~65,535秒の範囲で設定できます(デフォルトの設定は30秒です)。
バックエンド認証者からホストへのEAP要求フレーム再送信時間を設定するには、イネーブル モードで次の作業を行います。
|
|
バックエンド認証者からホストへのEAP要求フレーム再送信時間を設定します。 |
set dot1x supp-timeout seconds |
バックエンド認証者からホストへのEAP要求フレーム再送信時間を15秒に設定する例を示します。
Console> (enable) set dot1x supp-timeout 15
dot1x supp-timeout set to 15 seconds.
バックエンド認証者から認証サーバへのトランスポート レイヤ パケット再送信時間の設定
認証サーバは、トランスポート レイヤ パケットを受信するたびにバックエンド認証者に通知します。バックエンド認証者は、パケットの送信後この通知を受信しないときは、一定時間待機してから、パケットを再送信します。バックエンド認証者が通知を待つ時間を1~65,535秒の範囲で設定できます(デフォルトの設定は30秒です)。
バックエンド認証者から認証サーバへのトランスポート レイヤ パケットの再送信時間の値を設定するには、イネーブル モードで次の作業を行います。
|
|
バックエンド認証者から認証サーバへの、トランスポート レイヤ パケットの再送信時間を設定します。 |
set dot1x server-timeout seconds |
バックエンド認証者から認証サーバへの、トランスポート レイヤ パケットの再送信時間を15秒に設定する例を示します。
Console> (enable) set dot1x server-timeout 15
dot1x server-timeout set to 15 seconds.
バックエンド認証者からホストへの再送信フレーム数の設定
認証サーバは、一定数のフレームを受信するたびにバックエンド認証者に通知します。バックエンド認証者は、フレーム送信後この通知を受信しないときは、一定時間待機してから、そのフレームを再送信します。バックエンド認証者が再送信するフレーム数を1~10の範囲(デフォルトは2)で設定できます。
バックエンド認証者からホストに再送信されるフレーム数を設定するには、イネーブル モードで次の作業を行います。
|
|
バックエンド認証者からホストへの再送信フレーム数を設定します。 |
set dot1x max-req count |
バックエンド認証者からホストに再送信されるフレーム数を、4に設定する例を示します。
Console> (enable) set dot1x max-req 4
802.1xコンフィギュレーション パラメータをデフォルト値に戻す
1つのコマンドで、802.1xコンフィギュレーション パラメータをデフォルト値に戻すことができます。これは802.1xをグローバルにディセーブル化することにもなります。
802.1xコンフィギュレーション パラメータをデフォルト値に戻すには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
802.1xコンフィギュレーション パラメータをデフォルト値に戻し、802.1xをグローバルにディセーブルにします。 |
clear dot1x config |
ステップ 2 |
802.1xの設定を確認します。 |
show dot1x |
802.1xコンフィギュレーション パラメータをデフォルト値に戻し、設定を確認する例を示します。
Console> (enable) clear dot1x config
This command will disable dot1x on all ports and take dot1x parameter values back to factory defaults.
Do you want to continue (y/n) [n]?
Console> (enable) show dot1x
PAE Capability Authenticator Only
system-auth-control enabled
re-authperiod 3600 seconds
server-timeout 30 seconds
DHCPリレー エージェントでの802.1x認証のイネーブル化
DHCPリレー エージェントが特定のVLANの802.1xパラメータをDHCPサーバに送信できるようにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
DHCPリレー エージェントの802.1x認証をイネーブルにします。このコマンドは、指定されたACL名でACEエントリを生成します。このACLは他のACEエントリを持つこともできますが、DHCPのACEエントリが優先されます。 |
set security acl ip acl_name permit dot1x-dhcp |
ステップ 2 |
802.1xの設定を確認します。 |
show dot1x |
802.1xのDHCPリレー トラフィック用のACLエントリを作成する例を示します。
Console> (enable) set security acl ip dhcp_relay permit dot1x-dhcp
Successfully configured Dot1x Dhcp ACL for dhcp_relay. Use ‘commit’ command to save changes
ACLエントリを作成後、DHCP以外のトラフィックを許可するようにACLを設定する例を示します。
Console> (enable) set security acl ip dhcp_relay permit any
dhcp_relay editbuffer modified. Use ’commit’ command to apply changes.
ACEをNVRAMにコミットする例を示します。
Console> (enable) commit security acl dhcp_relay
Commit operation in progress
ACL ‘dhcp_relay’ successfully commited.
dhcp-relay-aclに適用するVLANをマッピングする例を示します。
Console> (enable) set security acl map dhcp_relay 1-3,20
Mapping in progress...
ACL dhcp_relay successfully mapped to VLAN 1.
ACL dhcp_relay successfully mapped to VLAN 2.
ACL dhcp_relay successfully mapped to VLAN 3.
ACL dhcp_relay successfully mapped to VLAN 20.
クライアントからサーバに転送されるDHCPパケットには、DHCPリレー エージェント情報フィールドが追加されます。「dhcp-relay-acl」にマッピングされていないVLANとすべてのDHCPパケットは変更なく従来どおりスイッチされます。
DHCPリレー エージェントでの802.1x認証のディセーブル化
DHCPリレー エージェントが特定のVLANの802.1xパラメータをDHCPサーバに送信しないようにするには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
DHCPリレー エージェントの802.1x認証をディセーブルにします。 |
clear security acl map acl_name vlan_ID |
ステップ 2 |
802.1xの設定を確認します。 |
show dot1x |
VLAN1~3および20の802.1x認証パラメータを送信しないようにDHCPリレー エージェントを設定し、その設定を確認する例を示します。
Console> (enable) clear security acl map dhcp_relay 1-3,20
Successfully cleared mapping between ACL dhcp_relay and VLAN 1.
Successfully cleared mapping between ACL dhcp_relay and VLAN 2.
Successfully cleared mapping between ACL dhcp_relay and VLAN 3.
Successfully cleared mapping between ACL dhcp_relay and VLAN 20.
802.1xゲストVLANの設定
ゲストVLANはグローバルに設定します。一般的に、ゲストVLANは最小限のサービスをサポートし、最小限のネットワーク アクセスを行います。ホストは、set port dot1x mod/port port-control auto コマンド オプションが使用された場合にだけ、ゲストVLANに割り当てられます。
set port dot1x mod/port port-controlコマンド オプションをautoから force-authorizedまたはforce-unauthorizedに変更すると、ホストはゲストVLANから削除され、ポートVLANに戻されます。VLANはゲストVLANとして設定する場合はアクティブである必要はありませんが、ホストが利用する場合には、先にアクティブになっている必要があります。
VLANを802.1xゲストVLANとして設定するには、イネーブル モードで次の作業を行います。
|
|
|
ステップ 1 |
アクティブVLANを802.1xゲストVLANとして設定します。 |
set port dot1x mod/port guest-vlan vlan |
ステップ 2 |
802.1xの設定を確認します。 |
show dot1x |
ポート2/2でVLAN 200を802.1xゲストVLANとして設定する例を示します。
Console> (enable) set port dot1x 2/2 guest-vlan 200
Port 2/2 Guest Vlan is set to 100
Console> (enable)Console> (enable) show dot1x
PAE Capability Authenticator Only
system-auth-control enabled
re-authperiod 3600 seconds
server-timeout 30 seconds
showコマンドの使用方法
次のshowコマンドを使用すると、802.1x認証とその設定に関する情報にアクセスできます。
• show port dot1x help
• show port dot1x
• show port dot1x statistics
• show dot1x
• show cam static
show port dot1xコマンドの使用方法のオプションを表示するには、ユーザ モードで次の作業を行います。
|
|
show port dot1xコマンドの使用方法のオプションを表示します。 |
show port dot1x help |
show port dot1xコマンドの使用方法のオプションを表示する例を示します。
Console> (enable) show port dot1x help
Usage: show port dot1x [<mod[/port]>]
show port dot1x statistics [<mod[/port]>]
特定モジュールの特定ポートでの認証者PAEおよびバックエンド認証者に関するすべてのパラメータの値を表示するには、ユーザ モードで次の作業を行います。
|
|
特定モジュールの特定ポートでの、認証者PAEおよびバックエンド認証者に関するすべての設定可能なパラメータ値および現在のステート パラメータ値を表示します。 |
show port dot1x mod/port |
モジュール4のポート1での認証者PAEおよびバックエンド認証者に関するすべてのパラメータ値を表示する例を示します。
Console> (enable) show port dot1x 4/1
Port Auth-State BEnd-State Port-Control Port-Status
----- ------------------- ---------- ------------------- -------------
4/1 connecting finished auto unauthorized
Port Multiple-Host Re-authentication
----- ------------- -----------------
特定モジュールの特定ポートで認証者によって送受信されるEAPフレーム別の統計情報を表示するには、ユーザ モードで次の作業を行います。
|
|
特定モジュールの特定ポートで認証者によって送受信されるEAPフレーム別の統計情報を表示します。 |
show port dot1x statistics mod/port |
モジュール4のポート1で認証者によって送受信されるEAPフレーム別の統計情報を表示する例を示します。
Console> (enable) show port dot1x statistics 4/1
Port Tx_Req/Id Tx_Req Tx_Total Rx_Start Rx_Logoff Rx_Resp/Id Rx_Resp
----- --------- ------ -------- -------- --------- ---------- -------
Port Rx_Invalid Rx_Len_Err Rx_Total Last_Rx_Frm_Ver Last_Rx_Frm_Src_Mac
----- ---------- ---------- -------- --------------- -------------------
4/1 0 0 0 0 00-00-00-00-00-00
グローバル802.1xパラメータを表示するには、ユーザ モードで次の作業を行います。
|
|
PAE機能、プロトコルのバージョン、system-auth-control、および他のグローバルdotlxパラメータを表示します。 |
show dot1x |
グローバル802.1xパラメータを表示する例を示します。
Console> (enable) show dot1x
PAE Capability Authenticator Only
system-auth-control enabled
re-authperiod 3600 seconds
server-timeout 30 seconds
Dhcp-relay-agent enabled vlan(s) 1-3, 20
Console> (enable)(DRAFT LABEL) ALPHA DRAFT - CISCO CONFIDENTIAL
802.1x認証MACアドレスを表示するには、ユーザ モードで次の作業を行います。
|
|
802.1x認証MACアドレスを表示します。 |
show cam static |
802.1x認証MACアドレスを表示する例を示します。この例では、802.1xとポート セキュリティの両方がイネーブルに設定されています。
Console> (enable) show cam static 8/17
* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry $ = Dot1x Security Entry
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
---- ------------------ ----- -------------------------------------------
12 00-40-ca-13-ae-bf $ 8/17
17 00-30-94-c2-c3-c1 X 8/17
Total Matching CAM Entries Displayed =2