IEEE802.1Xの設定 [Cisco Catalyst]

IEEE802.1Xの設定手順

CatalystスイッチをIEEE802.1X認証のオーセンティケータとして設定すること
ができます。設定の手順は次の通りです。

  • Step1. CatalystスイッチグローバルでIEEE802.1Xの有効化
  • Step2 インタフェースでIEEE802.1Xの有効化
  • Step3 RADIUサーバのIPアドレスの設定

Step1

CatalystスイッチグローバルでIEEE802.1Xを有効にするには、次のコマンドを入力します。

Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control

Step2

インタフェースでIEEE802.1Xを有効にするには、インタフェースコンフィグレーションモードで次のコマンドを入力します。

Switch(config-if)#dot1x port-control {auto|force-authorized|force-unauthorized}

オプションの意味は次のようになります。

  • auto
    IEEE802.1Xの認証を有効化し、サプリカント(クライアント)からのEAPメッセージを受信できるようにします。IEEE802.1Xを有効にする際は、通常、autoで設定します。
  • force-authorized
    IEEE802.1Xの認証を行うことなく、ポートを認証状態(Authorized)に移行させます。IEEE802.1Xをサポートしていないネットワークプリンタなどを接続するポートはforce-authorizedに設定します。デフォルトはこのモードです。
  • force-unauthorized
    ポートを常に非認証状態(Unauthorized)にします。未使用ポートをforce-unauthorizedに設定することで、未使用ポートが不正に利用されることを防止できます。

Step3

スイッチにRADIUサーバのIPアドレスの情報を設定するには、グローバルコンフィグレーションモードで次のコマンドを入力します。

Switch(config)#radius-server host [auth-port ] key

port-numberは、RADIUSサーバへ認証の要求を送信するときの送信先UDPポート番号です。デフォルトは1812です。stringは、RADIUSサーバにアクセスするためのパスワードに相当するものです。

※RADIUSサーバ上では、認証するユーザのユーザ名/パスワードの設定を行い
ます。また、オーセンティケータであるCatalystスイッチのIPアドレスと共有キーの登録が必要です。

IEEE802.1Xの認証の設定を確認するには、show dot1x allコマンドを使います。show dot1x allコマンドのサンプル出力は次の通りです。

―――――――――――――――――――――――――――――――――――
Switch# show dot1x all
Sysauthcontrol Enabled
Dot1x Protocol Version 2
Critical Recovery Delay 100
Critical EAPOL Disabled
Dot1x Info for FastEthernet0/1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
―――――――――――――――――――――――――――――――――――