Configuring IEEE 802.1x Port-Based Authentication(9回目)
目次
はじめに
前回はIEEE 802.1xを設定する際のガイドラインをお勉強しました。今回から
はIOSのUpgradeの話と設定について見ていきます。
Upgrading from a Previous Software Release
Cisco IOS Release 12.1(14)EA1のバージョンでは、それ以前のバージョンと
IEEE 802.1xの実装が変わっています。いくつかのグローバルコンフィグレー
ションコマンドがインタフェースコンフィグレーションコマンドになっていた
り、新しいコマンドが追加されていたりします。
IEEE 802.1x認証が設定されているスイッチで、12.1(14)EA1より前のIOSを新
しくアップグレードする場合、コンフィグレーションファイルに新しいコマン
ドが含まれないため、IEEE 802.1x認証は機能しません。
アップグレードが終わったら、dot1x system-auth-coontrolグローバルコンフ
ィグレーションコマンドで、グローバルにIEEE 802.1x認証を有効にする必要
があります。
もし以前のIOSでマルチホストモードのIEEE 802.1x認証を動作させていた場合
は、dot1x host-mode multi-hostインタフェースコンフィグレーションコマン
ドで再度設定する必要があります。
さらに12.2(25)SEE以降のリリースでIEEE 802.1x認証の実装が変わっています。
何が変わったかというと、IEEE 802.1x認証を有効にしたとき、PortFastはコ
ンフィグレーションに追加されず、dot1x pae authenticatiorとrunning-configuration
に表示されます。
#paeとはPort Access Entityの略です。
Configuring IEEE 802.1x Authentication
IEEE 802.1xポートベース認証を設定するには、AAAを有効にして認証方法リス
トを指定する必要があります。方法リストというのはユーザを認証するための
認証方法とクエリーを送信する順番を記述したものです。
IOSは方法リストの先頭から認証に利用されます。もしその方法で応答がなけ
れば、次に記述されている認証方法を利用します。このプロセスを認証が成功
するまで続けるか、方法リストの最後まで継続します。
もし認証が失敗した場合(authentication failのメッセージを受けとった場
合)には、そこでプロセスを止めて、それ以降に認証方法が記述されていたと
してもそれらの方法を試すことなく処理を終えます。
per-user ACLやVLAN割り当てを行う場合は、AAA Authorizationの設定を行う
必要があります。
以下にIEEE 802.1x AAAプロセスを示します。
Step1: ユーザがスイッチのポートに接続します。
Step2: 認証がスタートします。
Step3: VLAN割り当てが設定されていれば、RADIUSサーバの設定にもとづいてVLAN
割り当てが行われます。
Step4: スイッチがAccountingサーバにstart messageを送ります。
Step5: 必要に応じて再認証が実行されます。
Step6: スイッチは再認証の結果にもとづいて仮のAccounting updateを
Accounting Serverに送信します。
Step7: ユーザがスイッチと接続されているケーブルを抜きます。
Step8: スイッチはAccounting Serverにstop messageを送ります。
ではIEEE 802.1xポートベース認証の設定ステップを以下に示します。
Step1
Switch# conf t
まず、Global Configuration Modeに移ります。
Step2
Switch(config)# aaa new-model
AAAを有効化します。
Step3
Switch(config)# aaa authentication dot1x {default} method1
IEEE 802.1x認証で使用する認証方法リストを設定します。
Step4
Switch(config)# dot1x system-auth-control
IEEE 802.1x認証をグローバルに有効にします。
Step5
Switch(config)# aaa authorization network {default} group radius
per-user ACLsやVLAN割り当てを行うための設定をします。この設定はoptional
です。
Step6
Switch(config)# radius-server host ip-address
RADIUSサーバのアドレスを指定します。
Step7
Switch(config)# radius-server key key-string
RADIUSサーバとの認証&暗号化キーを設定します。
Step8
Switch(config)# interface interface-id
IEEE 802.1x認証を有効にするインタフェースを指定します。
Step9
Switch(config-if)# switchport mode access
スイッチポートをアクセスポートに設定します。
Step10
Switch(config-if)# dot1x port-control auto
IEEE 802.1x認証を有効にします。
Step11
Switch(config-if)# end
以上で設定は終了です。
次回以降はIEEE 802.1xの様々な設定について見ていきます。
By 『Overseas and Beyond』 Koichi
