Configuring IEEE 802.1x Port-Based Authentication(13回目)

はじめに

前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設
定を見ていきます。

Configuring a Restricted VLAN

スイッチにRestricted VLANを設定すると、認証に失敗したClientをRestricted VLAN
に割り当てることができます。IEEE 802.1x-capableのClientがRestricted VLAN
にまわされるのは、無効なユーザ名やパスワードをRADIUS Serverが受け取っ
て認証に失敗した場合です。

スイッチはシングルホストモードでのみRestricted VLANをサポートしていま
す。Guest VLANとは違ってマルチホストモードではサポートしていないので注
意が必要です。
以下に設定ステップを示します。この設定はオプショナルです。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
Restricted VLANを設定するインタフェースを入力します。

Step3
Switch(config-if)# switchport mode access
インタフェースをスイッチポートとして設定します。

Step4
Switch(config-if)# dot1x port-control auto
ポートでIEEE 802.1xを有効にします。

Step5
Switch(config-if)# dot1x auth-fail vlan vlan-id
Restricted VLAN用に割り当てるVLAN IDを指定します。SVIとなっているVLAN
やRSPAN用のVLAN、Voice VLANなど以外のVLANを指定できます。

Step6
Switch(config-if)# end
以上で設定は終了です。

また、Restricted VLANを割り当てる前に何度まで再認証されるかの回数も
dot1x auth-fail max-attemptsコマンド設定できます。このコマンドで指定で
きるのは1~3で、デフォルトは3回です。

Configuring the Inaccessible Authentication Bypass Feature

アクセス不能認証バイパス(Critical AuthenticationまたはAAA fail policy
とも呼ばれます)を設定できます。
以下に設定ステップを示します。この設定はオプショナルです。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# radius-server dead-criteria time time tries tries
RADIUS Serverがダウンしていると判断するまでの条件を指定します。Timeは
1~120秒まで指定できます。スイッチはこの値を動的に決めますが、デフォル
トは10~60の間です。
triesは1~100まで設定できます。スイッチはこの値を動的に決めますが、デ
フォルトは10~100の間です。これらの設定はオプショナルです。

Step3
Switch(config)# radius-server deadtime minutes
RADIUS Serverにリクエストが送信されない間の時間を指定します。Minutesに
は0~1440の値が入ります。デフォルトは0 minutesです。

Step4
Switch(config)# radius-server host ip-address [acct-port udp-port ] [auth-port udp-port]
[key string] [test username name [idle-time time] [ignore-acct-port] [ignore-auth-port]]
RADIUS Serverの設定を行います。コマンドの引数は以下のとおりです。

acct-port udp-port:RADIUS accountingで使用されるUDPポート番号を指定し
ます。デフォルトは1646です。

auth-port udp-port:RADIUS authenticationで使用されるUDPポート番号を指
定します。デフォルトは1645です。

key string:RADIUS Serverとスイッチ間の認証キーを指定します。

test username name:RADIUS Serverの自動ステータステストを有効にする場
合は、認証に使用されるusernameを指定します。

idle-time time:スイッチがRADIUS Serverにパケットを送信する間隔を指定
します。デフォルトは60minutesです。

ignore-acct-port:accountingポートのテストを無効にします。

ignore-auth-port:authenticationポートのテストを無効にします。

Step5
Switch(config)# dot1x critical { eapol | recovery delay msec }
アクセス不能認証のオプションを設定します。eapolはスイッチがCritical port
の認証に成功したときにEAPOL successメッセージを送信するようにします。
recovery delay msecは使用不能だったRADIUS Serverが使用可能になったとき
にcritical portを再認証するまでの遅延時間を指定します。デフォルトは1000msec
です。1~10000まで指定できます。この設定はオプショナルです。

Step6
Switch(config)# interface interce-id
アクセス不能認証を有効にするインタフェースを指定します。

Step7
Switch(config-if)# dot1x critical [recovery action reinitialize | vlan vlan-id]
アクセス不能認証を有効にします。指定する値は以下のとおりです。
recovery action reinitialize:RADIUS Serverが使用可能になった場合に再
認証します。

vlan vlan-id:Critical portになったときに割り当てられるVLANを指定します。

Step8
Swtich(config-if)# end
以上で設定は終了です。

次回も同じように設定を取り上げます。

By 『Overseas and Beyond』 Koichi

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA