Configuring IEEE 802.1x Port-Based Authentication(16回目)
目次
はじめに
前回から設定例のお勉強を始めました。今回も引き続きIEEE 802.1xの設定例
についてみていきます。
IEEE 802.1x Authentication with WoL Configuration Example
WoLとIEEE 802.1xを併用する場合の設定例です。この設定はオプショナルです。
Switch# conf t
Switch(config)# int fa 0/1
Switch(config)# switchport mode access
Switch(config)# dot1x port-control auto
Switch(config)# dot1x control-direction in
dot1x control-directionコマンドでWoLのパケットを扱えるようにしています。
デフォルトはbothですが、このコマンドの意味するところはdot1xの制御をboth
でやるかinのみでやるか、と思っています。
よって、WoLのMagic Packetをクライアントに届けたい場合、dot1xで制御する
のはinのみすれば、ホストへのパケットはdot1xで制御されないことになり、
ホストはMagic Packetを受け取って起動することができると思います。
#これは私の勝手な理解で、実際に検証してみたわけではありません。
MAC Authentication Bypass Configuration Example
MAC認証バイパスの設定例です。この設定はオプショナルです。
Switch# conf t
Switch(config)# int fa 0/1
Switch(config)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x mac-auth-bypass
dot1x mac-auth-bypassコマンドを設定することで、IEEE 802.1xの認証ができ
ないクライアントのためにMACアドレスで認証できるようにします。
Configuring Exercise
練習問題をやってみましょう。以下の条件に合うような設定を考えてみてください。
-RADIUS Serverは認証用のポートとして1612を使う。
#アドレスや認証キーは任意です。
-IEEE 802.1x認証に使うポートはfa 0/1、fa0/2、fa0/3。
-fa 0/1に接続されるクライアントは3時間ごとに定期的に再認証される。
-fa 0/2に接続されるクライアントがIEEE 802.1xに対応してい無い場合、VLAN100に割り当てる
-fa 0/3に接続されるクライアントがIEEE 802.1x認証に失敗した場合、VLAN200に割り当てる。
-fa 0/2か0/3のどちらかに複数のクライアントを接続させたい。適切なポートを選んで設定する。
さて、できましたでしょうか。これから解説します。
-RADIUS Serverは認証用のポートとして1612を使う。
この問題は以下のように設定します。
Switch(config)# radius-server host 1.1.1.1 auth-port 1612
Switch(config)# radius-key radiuskey
auth-portのオプションで認証用のポートを指定します。keyの設定は一行にま
とめてしまっても構いません。
-IEEE 802.1x認証に使うポートはfa 0/1、fa0/2、fa0/3。
この問題は以下のように設定します。
Switch(config)# aaa new-mode
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# int range fa 0/1 – 3
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
dot1xを有効にするにはまずaaa new-modelコマンドから始まります。その後、
aaa authenticationコマンドを設定し、dot1x system-auth-controlコマンド
でグローバルにdot1xを有効にするのを忘れないようにしましょう。
また、インタフェースはデフォルトで無効な状態になっていますので
dot1x port-control autoコマンドで有効にしましょう。
-fa 0/1に接続されるクライアントは3時間ごとに定期的に再認証される。
この問題は以下のように設定します。
Switch(config)# int fa 0/1
Switch(config-if)# dot1x reauthentication
Switch(config-if)# dot1x reauth-preriod 10800
再認証の間隔は秒単位で指定なので気をつけましょう。
-fa 0/2に接続されるクライアントがIEEE 802.1xに対応してい無い場合、VLAN100に割り当てる
この問題の以下のように設定します。
Switch(config)# vlan 100
Switch(config-vlan)# int fa 0/2
Switch(config-if)# dot1x guest-vlan 100
VLAN100が無い場合は、VLAN100を作るのを忘れないようにしましょう。
-fa 0/3に接続されるクライアントがIEEE 802.1x認証に失敗した場合、VLAN200に割り当てる。
この問題は以下のように設定します。
Switch(config)# vlan 200
Switch(config-vlan)# int fa 0/2
Switch(config-if)# dot1x fail-vlan 200
これも先ほどと同様にVLAN200が無い場合は、VLAN200を作るのを忘れないようにしましょう。
-fa 0/2か0/3のどちらかに複数のクライアントを接続させたい。適切なポートを選んで設定する。
この問題は以下のように設定します。
Switch(config)# int fa 0/2
Switch(config-if)# dot1x host-mode multi-host
マルチホストモードはRestricted VLANではサポートされていません。
Guest VLANはマルチホストモードもサポートしています。
By 『Overseas and Beyond』 Koichi