Configuring IEEE 802.1x Port-Based Authentication（7回目）

はじめに

前回はVoice VLANポートとIEEE 802.1x、Port SecurityとIEEE 802.1x Wake-on-LAN
とIEEE 802.1xについてお勉強しました。
今回はMAC認証バイパスとIEEE 802.1xの設定についてみていきます。

Using IEEE 802.1x Authentication with MAC Authentication Bypass

MAC認証バイパス機能を使って、クライアントのMACアドレスベースでIEEE 802.1x
認証を行うことが可能です。例えば、IEEE 802.1xが有効になっているポート
にプリンタなどをを接続する場合に利用できます。
MAC認証バイパスが有効になっている場合、クライアントのMACアドレスをIDと
して利用できます。スイッチがクライアントからEAPOLフレームを待っている
間にtimeoutすると、スイッチはMAC認証バイパスで認証しようとします。

認証サーバ（RADIUSなど）はクライアントのMACアドレスに関するテーブルを
保持していて、それをもとにネットワークへのアクセスを許可します。

スイッチはIEEE 802.1xポートにクライアントが接続されてEAPOLフレームがこ
なかった場合、クライアントからEthernetフレームが送信されるのを待ちます。
フレームを受信すると、スイッチはMACアドレスをusernameとpasswordにして
RADIUS-access/requestパケットをRADIUSサーバに送信します。
認証が成功するとスイッチはクライアントのネットワーク接続を許可します。
失敗すると、設定されていればGuest VLANなどに割り当てます。
スイッチはポートがMAC認証バイパスで許可されている場合でIEEE 802.1x-capable
のクライアントを検出しても、unauthorized stateにはしません。再認証が起
こったときにTermination-Action RADIUS attribute valueがデフォルトの場
合、優先される認証方法としてIEEE 802.1x認証が行われます。

MAC認証バイパスで認証されたクライアントを再認証することができます。再
認証プロセスはIEEE 802.1xで認証されていた場合と同様です。再認証をして
いる間、ポートは以前から割り当てられているVLANのままです。再認証に成功
すれば同じVLANのままですが失敗するとGuest VLANなどに割り当てられます。

MAC認証バイパスは以下の機能と相互作用します。

－IEEE 802.1x認証
MAC認証バイパスはIEEE 802.1x認証が有効になっているポートのみに設定でき
ます。

－Guest VLAN
クライアントのMACアドレスで認証できなかった場合、スイッチはGuest VLAN
を割り当てることができます（もし設定されていれば）

－Restricted VLAN
この機能はMAC認証バイパスが設定されているポートではサポートされていま
せん。

Configuring IEEE 802.1x Authentication

まず、デフォルト設定や設定のガイドラインを見てみましょう。

Default IEEE 802.1x Authentication Configuration

Switch IEEE 802.1x enable state
－Disable

Per-Interface IEEE 802.1x enable state
－Disabled(force-authorized)
つまり、いつでも認証された状態です。

AAA
－Disabled

RADIUS Server
－アドレスは指定されていません。
－使用するUDPポート番号は1812
－Keyは指定されていません。

Host mode
－シングルホストモード

Control Direction
－Bidrectional control
Control DirectionについてはWake-on-LANのところで説明
しています。

Periodic re-authentication
－再認証の設定はされていません。

Number of seconds between re-authentication attempts
－再認証が設定されている場合、再認証を試みるまでの時間は
3600秒となります。

Re-authentication number
－2回まで再認証を試みます。応答がなければunauthorized stateにします。

Quiet period
－クライアントとの認証に失敗した場合、次の認証まで待つ時間は60秒です。

Retransmission time
－EAPのリクエストをクライアントに送って、応答が返ってくるまでの待ち時間は30秒です。

Maximum retransmission number
－認証プロセスをリスタートさせるまでEAPリクエストを送る回数は2回です。

Client timeout period
－認証サーバからの要求をクライアントにリレーするときスイッチがクライア
ントに要求を再送信するまでの待ち時間は30秒です。

Authentication server timeout period
－クライアントからの応答を認証サーバにリレーするときスイッチがサーバか
らの応答を受け取るまでの待ち時間は30秒です。なお、この値は設定変更でき
ません。

Guest VLAN
－設定されていません。

アクセス不能認証バイパス
－Disabled

Restricted VLAN
－設定されていません。

Authenticator(switch) mode
－設定されていません。

MAC認証バイパス
－Disabled

次回はIEEE 802.1xを設定する際のガイドラインをみて、実際の設定方法について詳しく見ていきます。

By 『Overseas and Beyond』 Koichi