2006年9月16日 / 最終更新日 : 2006年9月16日 Gene Cisco(シスコ)

Configuring IEEE 802.1x Port-Based Authentication(12回目)

はじめに

前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設定を見ていきます。

Configuring IEEE 802.1x Accounting

IEEE 802.1x Accountingを有効にすると、システムがイベントをリロードしてRADIUS ServerへAccounting情報を送信できるようになります。これによりRADIUS ServerはアクティブなIEEE 802.1xセッションはクローズされたと推察します。
RADIUSは信頼性の低いUDPをトランスポートプロトコルに使用しているので、accountingメッセージはネットワークの状態によりロストしてしまう場合があります。スイッチがRADIUS Serverからのaccounting responseメッセージを、設定されたaccounting request再送回数までに受け取れない場合は以下のメッセージが表示されます。 

Accounting message %s for session %s failed to receive Accounting Response

また、accounting stopメッセージが受け取れない場合は以下のメッセージが表示されます。

00:09:55 %RADIUS-3-NOACCOUNTINGRESPONSE: Accounting message appears:
172.20.50.145 sam 11/06/03 07:01:16 11000002 failed to receive Accounting Response.

RADIUS Serverがaccounting(ロギングの開始、停止、中間アップデートメッセージ、タイムスタンプなど)を実行できるように設定をする必要があります。

これらの機能を有効にするには、RADIUS(ACS) ServerのNetowrk Configurationタブにある [Update/Watchdog packets from this AAA client]のロギングを有効にしてください。次にRADIUS(ACS) ServerのSystem Configurationタブにある[CVS RADIUS Accounting]を有効にしてください。
スイッチでAAAを有効にした後でIEEE 802.1x accountingの設定を行ってください。なお、この設定はオプショナルです。以下に設定ステップを示します。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
IEEE 802.1x accountingを設定するインタフェースを入力します。

Step3
Switch(config-if)# aaa accounting dot1x default start-stop group radius
このインタフェースでIEEE 802.1x accountingを有効にします。

Step4
Switch(config-if)# aaa accounting system default start-stop group radius
system accountingを有効にします。この設定はオプショナルです。System accountingはスイッチがリロードしたときにイベントメッセージを送信します。

Step5
Switch(config-if)# end
以上で設定は終了です。

Configuring a Guest VLAN

Guest VLANを設定すると、IEEE802.1x-capableではないClientをGuest VLANに割り当てることができます。IEEE 802.1x-capableかどうかは、EAPOL request/identityフレームが受信されなかったかどうかによります。
ClientがIEEE 802.1x-capableで認証にFailした場合はGuest VLANには割り当てられません。スイッチはGuest VLAN割り当てをシングルホストモードでもマルチホストモードでもサポートしています。
以下に設定ステップを示しています。この設定はオプショナルです。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
Guest VLANを設定するインタフェースを入力します。

Step3
Switch(config-if)# switchport mode access
インタフェースをスイッチポートとして設定します。

Step4
Switch(config-if)# dot1x port-control auto
ポートでIEEE 802.1xを有効にします。

Step5
Switch(config-if)# dot1x guest-vlan vlan-id
Guest VLAN用に割り当てるVLAN IDを指定します。

Step6
Switch(config-if)# end
以上で設定は終了です。

次回以降もIEEE 802.1xの設定をとりあげます。

By 『Overseas and Beyond』 Koichi

カテゴリー
Cisco(シスコ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA