IEEE802.1Xの設定 [Cisco Catalyst]
IEEE802.1Xの設定手順
CatalystスイッチをIEEE802.1X認証のオーセンティケータとして設定すること
ができます。設定の手順は次の通りです。
- Step1. CatalystスイッチグローバルでIEEE802.1Xの有効化
- Step2 インタフェースでIEEE802.1Xの有効化
- Step3 RADIUサーバのIPアドレスの設定
Step1
CatalystスイッチグローバルでIEEE802.1Xを有効にするには、次のコマンドを入力します。
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Step2
インタフェースでIEEE802.1Xを有効にするには、インタフェースコンフィグレーションモードで次のコマンドを入力します。
Switch(config-if)#dot1x port-control {auto|force-authorized|force-unauthorized}
オプションの意味は次のようになります。
- auto
IEEE802.1Xの認証を有効化し、サプリカント(クライアント)からのEAPメッセージを受信できるようにします。IEEE802.1Xを有効にする際は、通常、autoで設定します。 - force-authorized
IEEE802.1Xの認証を行うことなく、ポートを認証状態(Authorized)に移行させます。IEEE802.1Xをサポートしていないネットワークプリンタなどを接続するポートはforce-authorizedに設定します。デフォルトはこのモードです。 - force-unauthorized
ポートを常に非認証状態(Unauthorized)にします。未使用ポートをforce-unauthorizedに設定することで、未使用ポートが不正に利用されることを防止できます。
Step3
スイッチにRADIUサーバのIPアドレスの情報を設定するには、グローバルコンフィグレーションモードで次のコマンドを入力します。
Switch(config)#radius-server host
port-numberは、RADIUSサーバへ認証の要求を送信するときの送信先UDPポート番号です。デフォルトは1812です。stringは、RADIUSサーバにアクセスするためのパスワードに相当するものです。
※RADIUSサーバ上では、認証するユーザのユーザ名/パスワードの設定を行い
ます。また、オーセンティケータであるCatalystスイッチのIPアドレスと共有キーの登録が必要です。
IEEE802.1Xの認証の設定を確認するには、show dot1x allコマンドを使います。show dot1x allコマンドのサンプル出力は次の通りです。
――――――――――――――――――――――――――――――――――― Switch# show dot1x all Sysauthcontrol Enabled Dot1x Protocol Version 2 Critical Recovery Delay 100 Critical EAPOL Disabled Dot1x Info for FastEthernet0/1 ----------------------------------- PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = SINGLE_HOST ReAuthentication = Disabled QuietPeriod = 60 ServerTimeout = 30 SuppTimeout = 30 ReAuthPeriod = 3600 (Locally configured) ReAuthMax = 2 MaxReq = 2 TxPeriod = 30 RateLimitPeriod = 0 ―――――――――――――――――――――――――――――――――――