Configuring IEEE 802.1x Port-Based Authentication（3回目）

はじめに

前回は IEEE802.1xでの認証の初期化、メッセージ交換、ポートの状態などを
お勉強しました。今回からは動作モード、Accounting、VLAN割り当てについて
見ていきたいと思います。

IEEE 802.1x Host Mode

スイッチのポートに対するIEEE802.1x認証をシングルホストモードかマルチホ
ストモードかを選択できます。

シングルホストモードは、スイッチとクライアントを直接接続したタイプのモ
ードです。スイッチはクライアントが接続されるとIEEE 802.1x認証を開始し、
認証します。クライアントのケーブルが抜かれたりLogoffしたりすると、ポー
トをunauthorizedの状態にします。
マルチホストモードでは、IEEE 802.1xが有効になっている物理ポートに複数
のクライアントを接続できます。イメージとしてはスイッチにHUBか何かが接
続され、その配下に複数のPCが接続されている構成です。
この構成では複数のPCの中のどれか一台がIEEE 802.1x認証に成功すれば他の
PC全てがネットワークにアクセスできるようになります。なので、少なくとも
1つのPCだけはIEEE 802.1x認証をサポートしていなければなりません。
しかし、その1つのPCがLogoffをすると、その物理ポートはunauthorizedにな
ってしまうので他の全てのPCはネットワークに接続できなくなります。他の全
てのPCがIEEE 802.1x認証をサポートしていれば再度認証されてネットワーク
にアクセスできるようになります。
マルチホストモードを有効にすると、IEEE 802.1xで物理ポートを認証しつつ、
port-securityを利用して個々のMACアドレスを認証します。

IEEE 802.1x Accouting

IEEE 802.1xではどのようにユーザを認証してネットワークの使用に対する認
可を与えるかを定義していますが、どれだけネットワークを利用したかという
ことについては監視していません。
IEEE 802.1x accountingはデフォルトで無効です。AccountingはIEEE 802.1x
が有効になっているポートの利用状況をモニターできます。モニターできる項
目は以下のものがあります。

－User successfully authenticates
－User logs off
－Link-down occurs
－Re-authentication successfully occurs
－Re-authentication fails

スイッチはIEEE 802.1x accounting情報を記録しません。代わりにそのaccounting
情報を記録できるように設定されているRADIUSサーバに送信します。

IEEE 802.1x Accounting Attribute-Value Pairs

Accounting情報はAttribute-Value(AV)ペアの形でRADIUSサーバに送信されま
す。スイッチにIEEE 802.1x accountingの設定がされていれば、スイッチは自
動的にaccount情報のAVペアを送信します。
3つのRADIUS accountingパケットがスイッチから送信されます。

－新しいユーザセッションが始まるとSTARTが送信されます。
－既にあるセッションがUpdateされるとINTERIMが送信されます。
－セッションが終了するとSTOPが送信されます。

Accounting AVペアについてはこちらを参照してください。
「Configuring IEEE 802.1x Port-Based Authentication Table 8-1 Accounting AV Pairs」

debug radius accountingコマンドを実行するとスイッチが送っているAVペア
が見られます。

Using IEEE 802.1x Authentication with VLAN Assignment

VLAN Assignment機能を使うことで特定のユーザに特定のVLANを割り当てるこ
とが可能です。
IEEE 802.1x認証が成功すると、RADIUSサーバはVLAN情報をスイッチに送信し、
認証されたポートにそのVLANを割り当てることができます。
RADIUSサーバ側で、ユーザ名とVLANのマッピングを管理してユーザ名ごとに使
用できるVLANをスイッチに通知することができます。スイッチとRADIUSサーバ
でIEEE 802.1xとVLAN Assignmentを設定するときには、以下のような特徴があ
ります。

－もしRADIUSサーバによってVLANを指定されなかったり、IEEE802.1x認証が無効になっていたりする場合、そのポートに設定されたaccess VLANが使われます。
－IEEE 802.1x認証が有効になっているがRADIUSからのVLAN情報が正しくない場合、そのポートはunauthorizedになり、あらかじめ設定されているaccess VLANのままとなります。
この原因となるのは設定ミスである場合がほとんどです。例えばスイッチのVLAN Databaseに存在しないVLANをRADIUSが指定したり、スイッチがサポートしないVLAN IDが指定されていたりなどが挙げられます。
－IEEE 802.1x認証が有効で、RADIUSサーバからのVLAN情報も全て正しい場合、認証が成功した後に特定のVLANが割り当てられます。
－マルチホストモードが有効になっている場合、そのポート配下のすべてのクライアントは、IEEE 802.1x認証が行われたクライアントと同じVLANに属します。
－ポートが、force authorizedになっている場合、force unauthorizedになっている場合、shutdownされている場合、そのポートのVLANはあらかじめ設定されたaccess VLANに属します。
－IEEE 802.1x認証のVLAN Assignment機能はトランクポートやダイナミックポート、VMPSからVLANを割り当てられてポートではサポートされていません。

VLAN Assignmentを有効にするには以下のタスクが必要です。

－AAA authorizationを有効にします。
－IEEE 802.1x認証を有効にします。また物理ポートをstatic accessポートに設定します。
－RADIUSサーバにvendor-specific tunnel attributesを設定します。RADIUSサーバは以下のattributesをスイッチに返す必要があります。

[64] Tunnel-Type = VLAN
[65] Tunnel-Medium-Type = IEEE 802
[81] Tunnel-Private-Group-ID = VLAN name or VLAN ID

このVLAN Assignment機能は実機でやってみないとなかなかイメージしづらいですが、RADIUSサーバを用意しないといけないので実機で確認するのは難しそうですね。

次回はユーザごとにACLを割り当てたり、Guest VLANを割り当てたり、Restricted VLAN
を割り当てたり、という部分を勉強したいと思います。

By 『Overseas and Beyond』 Koichi