2006年9月23日 / 最終更新日 : 2006年9月23日 Gene Cisco(シスコ)

Configuring IEEE 802.1x Port-Based Authentication(15回目)

はじめに

前回から設定例のお勉強を始めました。今回も引き続きIEEE 802.1xの設定例
についてみていきます。

IEEE 802.1x Accounting Configuration Example

IEEE 802.1x Accountingの設定例です。

Switch# conf t
Switch(config)# radius-server host 172.120.39.46 acct-port 1813 key radiuskey

RADIUS Serverの設定ですが、ここではアカウンティング用に1813というUDPポ
ート番号を指定しています。この値はRADIUS Server側でアカウンティング用
に何番のポート番号を使用するかを確認してから設定します。

Switch(config)# aaa accounting dot1x default start-stop group radius
Switch(config)# aaa accounting system default start-stop group radius
Switch(config)# end

aaa accounting dot1xは、dot1xの接続は始まったり終了したりするとアカウ
ンティングログメッセージをRADIUS Serverに送信します。aaa accounting system
は、オプショナルですがスイッチ自体のreloadなどのイベントをRADIUS Server
に通知します。

Guest VLAN Configuration Example

Guest VLANの設定例です。Guest VLANはIEEE 802.1xに対応していないクライ
アントを収容するためのVLANです。

Switch# conf t
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x guest-vlan 100
Switch(config-if)# end

dot1xを有効にする設定から書いていますが、既にdot1xが有効になっているポ
ートではdot1x guest-vlanコマンドのみでOKです。

Restricted VLAN Configuration Example

Restricted VLANの設定例です。Restricted VLANは認証に失敗したクライアン
トが収容されるVLANです。

Switch# conf t
Switch(config)# int fa 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x fail-vlan 200

Guest VLANのときと同様にIEEE 802.1xを有効にしているところから記述して
いますが、dot1x fail-vlanコマンドのみでもOKです。

Switch(config-if)# dot1x auth-fail max-attempts 1
Switch(config-if)# end

デフォルトでは3回認証に失敗するとRestricted VLANに割り当てられますが、
この設定では、1回でも認証に失敗するとRestricted VLANに割り当てられるよ
うにしています。

Inaccessible Authentication Bypass Configuration Example

Switch# conf t
Switch(config)# radius-server dead-criteria time 30 tries 20

まずRADIUS Serverが動いているかダウンしているかを判断するための設定です。
これらの設定はOptionalです。radius-server dead-criteriaの設定は、30秒
間のポーリングを20回行って応答がなければダウンしていると判断します。

Switch(config)# radius-server host 172.16.1.1 key radiuskey test username user1 idle-time 30

RADIUS Serverが動作しているかを確認するポーリング時に使用するユーザ名
です。この例ではuser1というユーザ名を使用しています。idle-timeはポーリ
ングを行う間隔です。この例では30分となっています。

Switch(config)# dot1x critical eapol

アクセス不能バイパスを使ってアクセスが認められた場合は、スイッチが擬似
的にEAPOL-Successメッセージをクライアントに送信します。これはクライア
ントがDHCPによりアドレスを取得している場合に必要な設定です。

Switch(config)# dot1x critical recovery delay 2000

RADIUS Serverが使用可能と判断されたあとに、criticalポートを再認証する
までのdelay時間です。この例では2秒となっています。

Switch(config)# interface fa 0/1
Switch(config-if)# dot1x critical
Swtich(config-if)# dot1x critical recovery action reinitalize
Switch(config-if)# dot1x critical vlan 20
Switch(config-if)# end

RADIUS Serverが使用不能になったときにcriticalポートとして特別にネット
ワークへの接続を許可したいポートにdot1x criticalコマンドを設定します。
dot1x critical recoveryコマンドはRADIUS Serverが使用可能と判断されたと
きに、再度認証を始めるポートに設定します。この設定をしておけば、RADIUS Server
が復旧した後にdelayで指定されている時間待ったのち、通常時の認証処理を
行うことができます。

dot1x critical vlanコマンドはcriticalポートとしてアクセスできている間
のみに割り当てられるVLANです。正規の認証時にアクセスできるVLANと分けた
いときに設定します。

次回もIEEE 802.1xの様々な設定例をとりあげます。

By 『Overseas and Beyond』 Koichi

カテゴリー
Cisco(シスコ)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA