2016年8月18日 / 最終更新日 : 2016年8月18日 Gene Cisco(シスコ)

CCIE R&S Configuration Part1 4.4 AAA認証

4.4. AAA認証

  • SW1F0/8で1X認証を有効化してください。
  • SW1へのVTYアクセスの認証をRADIUSサーバで行います。RADIUSサーバが利用できない場合は、SW1のローカルユーザデータベースを利用します。
  • SW1に登録するユーザ名は次の通りです。

 

表  ユーザ名/パスワード

ユーザ名 パスワード 特権レベル
Admin cisco 15
User User 1

 

  • RADIUSサーバのIPアドレスは1.1.1とします。また、キーは「cisco」です。

 

【設定】

SW1

---------------------------------------------------------------------------------
aaa new-model
!
aaa authentication login default none
aaa authentication login VTY group radius local
aaa authentication dot1x default group radius
!
dot1x system-auth-control
username Admin privilege 15 password 0 cisco
username User password 0 User
!
interface FastEthernet0/8
 dot1x port-control auto
!
radius-server host 1.1.1.1 auth-port 1645 acct-port 1646 key cisco
!
line vty 0 4
 login authentication VTY
---------------------------------------------------------------------------------

 

 

【確認のポイント】

  • show dot1x interface
    SW1で1Xの設定が正しいことを確認します。

 

 

【解説】

IEEE802.1Xの設定手順は次の通りです。

  1. AAAの有効化
    (config)#aaa new-model
  2. メソッドリストの定義
    (config)#aaa authentication dot1x {list-name|default} group radius
  3. IEEE802.1Xの有効化(グローバル)
    (config)#dot1x system-auth-control
  4. IEEE802.1Xの有効化(インタフェース)
    (config-if)#dot1x port-control {auto|force-authorized|force-unauthorized}

 

この手順に従って、SW1 F0/8でIEEE802.1Xのポート認証を設定します。SW1でのshow dot1x interfaceコマンドの出力は次のようになります。

SW1 show doti1x interface

---------------------------------------------------------------------------------
SW1#show dot1x interface fastEthernet 0/8
802.1X is enabled on FastEthernet0/8
Status                Unauthorized
Port-control          Auto
Supplicant            Not set
Multiple Hosts        Disallowed
Current Identifier    0
 
Authenticator State Machine
State               INITIALIZE
Reauth Count        0
 
Backend State Machine
State               INITIALIZE
Request Count       0
Identifier (Server) 0
 
Reauthentication State Machine
State               INITIALIZE
---------------------------------------------------------------------------------

また、SW1では次のようにVTYアクセスのための認証メソッドを定義して、VTYに適用します。

SW1

---------------------------------------------------------------------------------
aaa authentication login VTY group radius local
!
line vty 0 4
 login authentication VTY
---------------------------------------------------------------------------------
カテゴリー
Cisco(シスコ)ネットワークセキュリティ
タグ