はじめに
前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設 定を見ていきます。
Configuring a Restricted VLAN
スイッチにRestricted VLANを設定すると、認証に失敗したClientをRestricted VLAN に割り当てることができます。IEEE 802.1x-capableのClientがRestricted VLAN にまわされるのは、無効なユーザ名やパスワードをRADIUS Serverが受け取っ て認証に失敗した場合です。
スイッチはシングルホストモードでのみRestricted VLANをサポートしていま
す。Guest VLANとは違ってマルチホストモードではサポートしていないので注
意が必要です。
以下に設定ステップを示します。この設定はオプショナルです。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# interface interface-id
Restricted VLANを設定するインタフェースを入力します。
Step3
Switch(config-if)# switchport mode access
インタフェースをスイッチポートとして設定します。
Step4
Switch(config-if)# dot1x port-control auto
ポートでIEEE 802.1xを有効にします。
Step5
Switch(config-if)# dot1x auth-fail vlan vlan-id
Restricted VLAN用に割り当てるVLAN IDを指定します。SVIとなっているVLAN
やRSPAN用のVLAN、Voice VLANなど以外のVLANを指定できます。
Step6
Switch(config-if)# end
以上で設定は終了です。
また、Restricted VLANを割り当てる前に何度まで再認証されるかの回数も dot1x auth-fail max-attemptsコマンド設定できます。このコマンドで指定で きるのは1~3で、デフォルトは3回です。
Configuring the Inaccessible Authentication Bypass Feature
アクセス不能認証バイパス(Critical AuthenticationまたはAAA fail policy
とも呼ばれます)を設定できます。
以下に設定ステップを示します。この設定はオプショナルです。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# radius-server dead-criteria time time tries tries
RADIUS Serverがダウンしていると判断するまでの条件を指定します。Timeは
1~120秒まで指定できます。スイッチはこの値を動的に決めますが、デフォル
トは10~60の間です。
triesは1~100まで設定できます。スイッチはこの値を動的に決めますが、デ
フォルトは10~100の間です。これらの設定はオプショナルです。
Step3
Switch(config)# radius-server deadtime minutes
RADIUS Serverにリクエストが送信されない間の時間を指定します。Minutesに
は0~1440の値が入ります。デフォルトは0 minutesです。
Step4
Switch(config)# radius-server host ip-address [acct-port udp-port ] [auth-port udp-port]
[key string] [test username name [idle-time time] [ignore-acct-port] [ignore-auth-port]]
RADIUS Serverの設定を行います。コマンドの引数は以下のとおりです。
acct-port udp-port:RADIUS accountingで使用されるUDPポート番号を指定し ます。デフォルトは1646です。
auth-port udp-port:RADIUS authenticationで使用されるUDPポート番号を指 定します。デフォルトは1645です。
key string:RADIUS Serverとスイッチ間の認証キーを指定します。
test username name:RADIUS Serverの自動ステータステストを有効にする場 合は、認証に使用されるusernameを指定します。
idle-time time:スイッチがRADIUS Serverにパケットを送信する間隔を指定 します。デフォルトは60minutesです。
ignore-acct-port:accountingポートのテストを無効にします。
ignore-auth-port:authenticationポートのテストを無効にします。
Step5
Switch(config)# dot1x critical { eapol | recovery delay msec }
アクセス不能認証のオプションを設定します。eapolはスイッチがCritical port
の認証に成功したときにEAPOL successメッセージを送信するようにします。
recovery delay msecは使用不能だったRADIUS Serverが使用可能になったとき
にcritical portを再認証するまでの遅延時間を指定します。デフォルトは1000msec
です。1~10000まで指定できます。この設定はオプショナルです。
Step6
Switch(config)# interface interce-id
アクセス不能認証を有効にするインタフェースを指定します。
Step7
Switch(config-if)# dot1x critical [recovery action reinitialize | vlan vlan-id]
アクセス不能認証を有効にします。指定する値は以下のとおりです。
recovery action reinitialize:RADIUS Serverが使用可能になった場合に再
認証します。
vlan vlan-id:Critical portになったときに割り当てられるVLANを指定します。
Step8
Swtich(config-if)# end
以上で設定は終了です。
次回も同じように設定を取り上げます。
By 『Overseas and Beyond』 Koichi
