Configuring IEEE 802.1x Port-Based Authentication(4回目)

はじめに

前回は動作モード、Accounting、VLAN割り当てについてお勉強しました。今回
からは認証されたユーザ単位のACLの適用やGuest VLANやRestricted VLANの適
用についてお勉強したいと思います。

Using IEEE 802.1x Authentication with Per-User ACLs

IEEE 802.1xで認証されたユーザに、異なったアクセスレベルやサービスを提
供するため、ユーザ毎のACLを割り当てることができます。
RADIUSサーバを使用しているIEEE 802.1x認証で、認証が有効になっている物
理ポートにユーザが接続されると、RADIUSサーバでユーザのIDが認証されます。
そのIDにACLの属性が割り当てられていれば、RADIUSサーバはそのACLをスイッ
チに送信します。
スイッチはそのユーザが接続されてIEEE 802.1xセッションが有効になってい
る間、その物理ポートにACLを適用します。スイッチはIEEE 802.1xセッション
が終了したら(ユーザがケーブルを抜くかLogoffするか、など)、スイッチは
物理ポートからACLを取り除きます。
スイッチはRADIUSサーバから指定されたACLを自身のRunning Configurationに
保存しません。

設定できるACLのタイプは、Router ACLかPort ACLのどちらか一方です。Router ACL
はLayer 3 インタフェースに適用され、Port ACLはLayer 2 インタフェースに
適用されます。
物理ポートにPort ACLが適用されていた場合、後からそのポートにRouter ACL
を適用しようとしてもスイッチは拒否します。しかし、先にRouter ACLが適用
されていて後からPort ACLを適用した場合、スイッチはPort ACLを上書きしま
す。よってRouter ACLは無効になってしまいます。

RADIUSはユーザごとのAttributeをサポートしており、vendor-specific attributes
も含まれます。これらのvendor-specific attributes (VSAs)はオクテットス
トリング形式でスイッチに送られます。INのPort ACLのVSAsはinacl#で、OUT
はoutacl#です。MAC ACLはINの方向のみサポートされています。
拡張ACLの構文を利用してユーザ毎のACLをRADIUSサーバに保存します。RADIUS
サーバからACLの定義が送られてくるときは拡張名前付ACLとして送られます。
しかし、Filter-IDというAttributeを使えば、標準ACLを示すことができます。
Filter-ID Attributeを使用すると予めスイッチに設定されているACLを指定で
きます。AttributeにはACL番号とその後にINかOUTかを示す.inまたは.outが含
まれます。もしRADIUSサーバが.inまたは.outの構文を許可しない場合はデフォ
ルトでOUT方向に適用します。
サポートされるスイッチのアクセスリストは制限されているためFilter-ID Attribute
はIP ACL番号1~199および1300~2699しかサポートされません。(IP標準およ
びIP拡張ACL)

IEEE 802.1x認証を利用したユーザ毎のACL割り当ては、1人のユーザしかサポ
ートされません。なので、マルチホストモードが有効になっているポートでは、
ユーザ毎のACL割り当てが無効になります。ユーザ毎のACLの最大サイズは4000
ASCII文字です。

Using IEEE 802.1x Authentication with Guest VLAN

スイッチがクライアントに限定的なサービスを提供するためにIEEE 802.1xが
有効になっているポートにGuest VLANを設定できます。
Guest VLANの使われ方は様々ですが、例えばWindows 98が載っているクライア
ントはIEEE 802.1x対応のクライアントソフトが付属していないため、IEEE 802.1x
認証が有効なポートには接続できません。そこで、Guest VLAN上にIEEE 802.1x
対応のクライアントソフトを配置しておいて、まずGuest VLANにアクセスさせ
てソフトウェアをインストールさせて、認証できるようになったらIDに応じて
VLANを割り当てる、なんて使い方をすることができます。
Guest VLANはクライアントからEAP request/identityフレームが受信されない
場合か、EAPOL startフレームをクライアントが送らない場合に、クライアン
トが接続している物理ポートに割り当てられます。

Cisco IOS 12.2(25)SEより以前のReleaseでは、スイッチはEAPOLパケットの履
歴を維持しておらず、認証が失敗したクライアントに対してもEAPOLのパケッ
トを検出したにも関わらずGuest VLANを割り当てていました。
この動作はdot1x guest-vlan supplicantグローバルコンフィグレーションコ
マンドで設定できました。しかし、Cisco IOS Release 12.2(25)SEEからはこ
のコマンドをサポートしていません。
代わりにEAPOLを検出して認証に失敗したクライアントにはRestricted VLANを
割り当てることができます。dot1x auth-fail vlanインタフェースコンフィグ
レーションコマンドで設定できます。
12.2(25)SEEからはスイッチはEAPOLパケット履歴を維持しています。EAPOLパ
ケットがインタフェースで検出されると、スイッチはそのリンクにはIEEE 802.1x
に対応のサプリカントが接続されていると判断し、Guest VLANを割り当てなく
なります。
EAPOL履歴はインタフェースがリンクダウンするとクリアされます。もしイン
タフェース上でEAPOLパケットが検出されない場合はIEEE 802.1x非対応のクラ
イアントが接続されていると判断してGuest VLANを割り当てます。

Guest VLANに割り当てた後にそのインタフェース上でEAPOLパケットを検出し
た場合、ポートの状態をunauthorizedに変えてIEEE 802.1x認証をリスタート
させます。
Guest VLANはシングルホストモードでもマルチホストモードでも動作します。
マルチホストモードのポートがGuest VLANになった場合その配下に接続できる
クライアントの台数などの制限はありません。
Guest VLANはRSPANとして利用されるVLANやVoice VLANを除いたVLANで設定で
きます。

12.2(25)SEEより後のReleaseではMAC認証バイパスを設定できます。MAC認証バ
イパスはIEEE 802.1x認証が有効になっているポートでEAPOLが検出できない場
合に、クライアントからのイーサフレームを受信すると、そのMACアドレスを
RADIUSサーバにIDとして問い合わせ認証させる仕組みです。
MAC認証バイパスが成功するとIEEE 802.1x認証が成功したときと同様のアクセ
スが許可されますが、認証が失敗するとGuest VLANが割り当てられます。
MAC認証バイパスについては後で解説します。

今回はRestricted VLANについて説明したかったのですが、長くなってしまっ
たので次回に取り上げます。

By 『Overseas and Beyond』 Koichi

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA