2006年9月10日 / 最終更新日 : 2006年9月10日 Gene Cisco(シスコ)

Configuring IEEE 802.1x Port-Based Authentication(10回目)

はじめに

前回はIEEE 802.1xの設定についてお勉強しました。今回も同様に様々なIEEE 802.1x
の設定について見てきます。

Configuring the Switch-to-RADIUS Server Communication

RADIUS Serverはホスト名かIPアドレス、それに対応するUDPポート番号で識別
されます。IPアドレスとUDPの組み合わせは一意の識別子となり、ひとつのア
ドレスをもつRADIUSサーバ上でも複数のUDPポートを使用することでそれぞれ
にリクエストを送ることができます。
RADIUS Serverの設定ステップを以下に示します。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# radius-server host {hostname | ip-address}
auth-port port-number key key-string
auth-port port-numberはRADIUSサーバへのリクエストを送信するときのあて
先UDPポート番号です。デフォルトでは1812となっています。
key stringは、指定したアドレスのRADIUSサーバとの認証と暗号化に使用する
文字列です。

Step3
Switch(config)# end
以上で設定は終わりです。

他にもtimeout値、retransmission、複数のRADIUS Serverに有効な認証・暗号
化キーの設定ができます。それぞれradius-server timeout、radius-server retransmission、
radius-server keyグローバルコンフィグレーションコマンドで設定できます。

Configuring the Host Mode

IEEE 802.1xが有効になっているポートでシングルホストモードかマルチホス
トモードかを指定することができます。ホストモードを設定する前に対象のポ
ートでdot1x port-control autoと設定されているかを確認しましょう。
デフォルトの設定はdot1x port-control force-authorizedですのでIEEE 802.1x
は機能していません。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
ホストモードを指定したいインタフェースを入力します。

Step3
Switch(config-if)# dot1x host-mode multi-host
マルチホストモードに指定します。デフォルトはシングルホストモードです。

Step4
Switch(config-if)# end

以上でホストモードの設定は終了です。

Enabling Periodic Re-Authentication

どれくらいの間隔で再認証を起こさせるかを設定することができます。この値
を指定せずに再認証を有効にするとデフォルトで3600秒ごとに再認証を行いま
す。
再認証はデフォルトで無効なので、まず再認証を有効にする必要があります。

Step1
Switch# conf t
まず、Global Configuration Modeに移ります。

Step2
Switch(config)# interface interface-id
再認証を有効にしたいインタフェースを入力します。

Step3
Switch(config-if)# dot1x reauthentication
再認証を有効にします。デフォルトは無効です。

Step4
Switch(config-if)# dot1x timeout reauth-period {seconds | server}
secondsは再認証が起こる間隔を指定します。デフォルトは3600秒です。1~65535
まで指定できます。

serverはRADIUSサーバからのSession-Timeout(attribute[27])と
Termination-Action(attribute[29]の値を使用します。

Step5
Switch(config-if)# end
以上で再認証の設定は終了です。

Manually Re-Authenticating a Client Connected to Port

dot1x re-authenticateコマンドが設定されているポートを任意のタイミング
で再認証させることができます。特権モードで

Switch# dot1x re-authenticate interface fa0/1

と入力するとこのポートで再認証を起こすことができます。

次回以降も様々なIEEE 802.1xの設定について見ていきます。

By 『Overseas and Beyond』 Koichi

カテゴリー
Cisco(シスコ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA