Configuring IEEE 802.1x Port-Based Authentication(8回目)
目次
はじめに
前回はMAC認証バイパスとIEEE 802.1xのデフォルト設定についてお勉強しまし
た。今回はIEEE 802.1xを設定する際のガイドラインをみて、実際の設定方法
について詳しく見ていきます。
IEEE 802.1x Authentication Configuration Guidelines
このセクションでは以下の機能についてのガイドラインを示します。
-IEEE 802.1x Authentication
-VLAN Assignment, Guest VLAN, Restricted VLAN, andInaccessible Authentication Bypass
-MAC Authentication Bypass
IEEE 802.1x Authentication
IEEE 802.1x認証を有効にすると、他のL2、L3の機能が有効になる前にポート
が認証されます。
dot1x system-auth-contolコマンドを使ってグローバルにIEEE802.1x認証を有
効にしようとすると、有効になる前にEtherChannelポートにIEEE 802.1x認証
の設定がされている場合はEtherChannelの設定を削除してください。
IEEE 802.1x認証用にCisco ACSを使用してEAP-Transparent LAN Service (TLS)
およびEAP-MD5を使用している場合で、かつスイッチのIOSが12.1(14)EA1を実
行している場合、ACSのバージョンは3.2.1以降にしてください。
IEEE 802.1xプロトコルはL2 static-access ports、Voice VLAN ports、
L3 routed portsをサポートします。しかし、これらのポートでも、以下の場
合に当てはまるポートはサポートされません。
-Trunk port
-Dynamic ports
-Dynamic-access ports
-Etherchannel ports
-Switched Port Analyzer (SPAN)
Trunk portでIEEE 802.1x認証を有効にしようとしてもエラーメッセージが表
示されて認証は有効になりません。逆にIEEE 802.1x認証が設定されているポ
ートをTrunk portに変えようとしても、Trunk portには変わりません。
Dynamic portsは、隣接するスイッチとネゴシエーションしてポートをTrunk port
にしようとします。ですので、Dynamic portでIEEE 802.1x認証を有効にしよ
うとしてもエラーメッセージが表示されて、認証は有効になりません。
Dynamic-access ports でも同様にIEEE 802.1xは有効になりません。
EtherChannel portsでもIEEE 802.1xは有効になりません。EtherChannelに参
加しているポート、またはまだ参加していなくても設定自体が入っているポー
トではIEEE 802.1x認証は有効にしないでください。
VLAN Assignment, Guest VLAN, Restricted VLAN, and Inaccessible Authentication Bypass
IEEE 802.1x認証が有効になっているポートでは、Voice VLANと同じVLANを設
定するとはできません。
IEEE 802.1x認証とVLAN割り当て機能は、trunk port、dynamic port、VMPSを
使ったVLAN割り当てが設定されているポートをサポートしていません。
Private-VLANではIEEE 802.1x認証を設定できますがPrivate-VLAN上で
Port Security、Voice VLAN、Guest VLAN、Restricted VLAN、Per-user ACLな
どを設定しないでください。
RSPAN VLANとVoice VLAN以外のVLANはGuest VLANとして使用することができま
す。ただし、SVIとして使われているVLANやtrunk portになっているVLANは使
用しないでください。access portに割り当てられているVLANのみ有効です。
この制限はRestricted VLANでも同じです。
DHCP クライアントが接続されている IEEE 802.1xポートに対してGuest VLAN
を設定した後、クライアントはIP アドレスを DHCPサーバから取得する必要が
あります。
また、クライアントの DHCP プロセスがタイムアウトし、DHCPサーバからIPア
ドレスを取得しようとする前に、スイッチのIEEE802.1x認証プロセスがリスタ
ートする設定を変更できます。dot1x timeout quiet-period および
dot1x timeout tx-periodコマンドを使ってIEEE 802.1x認証プロセスに関連す
るタイマを減らします。値を減らす量は、接続されている IEEE 802.1xクライ
アントタイプによって異なります。
次にアクセス不能認証バイパス機能に関するガイドラインです。
この機能はシングルホストモードでもマルチホストモードでもサポートされて
います。
クライアントがWindows XPの場合でそのクライアントが接続しているポートが
critical-authentication stateの場合、WinXPはインタフェースが認証されて
いないと表示します。
WindowsXPクライアントがDHCPサーバからアドレスを割り当てられる場合、
EAP-Successメッセージを受け取らないとDHCPプロセスを開始しません。
アクセス不能認証バイパスとRestricted VLAN機能を一緒に設定できます。ス
イッチがRestricted VLANのcritical stateポートを再認証するときに全ての
RADIUSサーバが使用できない場合スイッチはポートをcritical authentication state
にしてRestrictedVLANのままで接続を許可します。
同じスイッチポートにアクセス不能認証バイパスとPort Securityを設定でき
ます。
MAC Authentication Bypass
基本的にはMAC認証バイパスのガイドラインはIEEE 802.1x認証のガイドライン
と同じです。あるポートがMACアドレス認証で許可された後にMAC認証バイパス
を無効にしても、そのポートの状態には影響を与えません。
ポートがunauthorized stateでクライアントのMACアドレスが認証サーバのデ
ータベースに無い場合、ポートはunauthorized stateのままです。しかし、そ
のクライアントのMACアドレスが認証サーバのデータベースに追加されると、
スイッチは再認証してポートを許可します。
ポートがauthorized stateの場合、そのポートは再認証が起こるまで同じ状態
のままです。
長くなってしまったので、実際の設定方法は次回取り上げます。
By 『Overseas and Beyond』 Koichi
