Configuring IEEE 802.1x Port-Based Authentication(5回目)

はじめに

前回は認証されたユーザ単位のACLの適用やGuest VLANについてお勉強しまし
た。今回はRestricted VLANとアクセス不能認証バイパスについてお勉強しま
しょう。

ちなみに、このIEEE 802.1xは内容が濃いです。CCIEでは出題内容についての
深さがBlueprintからは推し量れないので、結局できるだけ深く勉強するしか
ありません。
またBlueprintに書かれていないことであっても出題されます。「ここまでの
内容は問われないよな」と思いたくなりますが、そうタカを括っていると、思
わぬ落とし穴にはまったりしますのでしっかり勉強しましょう(笑)

Using IEEE 802.1x Authentication with Restricted VLAN

IEEE 802.1x対応のクライアントで、認証に失敗したクライアントをRestricted VLAN
に割り当てることができます。Guest VLANはIEEE 802.1x非対応のクライアン
トに割り当てられるVLANとして12.2(25)SEEから仕様変更されています。
12.2(25)SEDのソフトウェアコンフィグレーションガイドを参照してもらうと
Restricted VLANについての記述がないのが分かると思います。

Restricted VLANの機能を使わない場合は、認証の失敗と再認証を繰り返し、
スイッチはポートをSTPのBlocking状態のままにします。この機能を使った場
合は特定の回数の認証失敗を経て(デフォルトでは3回)そのポートをRestricted VLAN
に割り当てます。スイッチは認証失敗の回数をカウントしています。このカウ
ントが設定された最大値を上回ると、ポートにRestricted VLANが割り当てら
れます。
この失敗回数のカウントは、RADIUSからのEAP failureか、中身が空のEAPパケ
ットを受け取るとカウントアップされます。ポートがRestricted VLANになる
と認証失敗カウンタはクリアされます。

認証に失敗したユーザは、次の再認証までRestricted VLANのままです。再認
証のインターバルは設定できますがデフォルトで60秒です。もし、再認証でも
認証が失敗するとRestricted VLANのままですが、再認証で成功すると設定さ
れたVLANかRADIUSサーバから指定されたVLANが割り当てられます。

再認証は無効にできますが、もし無効にすると認証プロセスが起こるのはリン
クダウンを検出したときか EAP Logoffパケットを受信したときのみです。シ
スコは再認証を有効にすることを推奨しているようです。例えばクライアント
がHUBやスイッチを介して接続されている場合にクライアントがHUBからケーブ
ルを抜いた場合、IEEE 802.1xスイッチはリンクダウンを検出できませんし、
EAP Logoffのパケットも検出もできなくなってしまうからです。
ただし、Restricted VLANはシングルホストモードでのみサポートされていま
すので、あまりHUBを介した接続は無いかもしれませんね。

ポートがRestricted VLANになった場合、スイッチはクライアントに擬似的に
EAP successメッセージを送ります。これは、クライアントが永遠に認証を試
みようとするのを防ぐためです。また、クライアント(例えばWindows XPが動
いているクライアントなど)によってはは、EAP successメッセージを受け取
らないとDHCPを動作させることができません。

Guest VLANと同様にRSPANで使用されるVLANやVoice VLANはRestricted VLANと
して使用できません。またPort-Securityを併せて設定することができますが、
port-securityが機能するのはポートの状態がauthorizedになったとき、つま
り認証に成功したときです。Port-securityのViolationが発生するとポートは
unauthorizedの状態になります。

他のセキュリティ機能であるDynamic ARP InspectionやDHCP Snooping、
IP source guardなどはRestricted VLANとは独立して同じポートに設定できま
す。

Using IEEE 802.1x Authentication with Inaccessible Authentication Bypass

12.2(25)SEE以降のReleaseでは、スイッチがRADIUSサーバに到達できずにホス
トを認証できなかった場合に、ホストのネットワークへのアクセスを許可する
Critical portというのを設定できます。
Critical portというのは、アクセス不能認証バイパス機能(Critical認証、
またはAAA失敗ポリシー)に対して有効になっているポートのことです。
アクセス不能認証バイパスの機能が有効になっていると、スイッチはCritical port
に接続されるクライアントの認証を試みるたびに設定されたRADIUSサーバの状
態をチェックします。

サーバが利用可能であれば認証を行えますが、利用不可の場合スイッチは
critical-authentication stateという特別な状態にしてクライアントにネッ
トワークへのアクセスを許可します。
アクセス不能認証バイパスの動作はポートの認証状態によって異なります。

-ホストがcritical portに接続してそのポートがunauthorizedのとき、スイ
ッチはcritical portをcritical-authentication stateにして設定されたVLAN
を割り当てます。

-ポートが既にauthorizedの状態で再認証が起こったとき、スイッチは
critical portの状態をcritical-authentication stateに変えて、既に割り当
てられているVLANをそのまま使用します。RADIUSサーバが使用不能の状態に陥
っても、先に割り当てられたVLANをそのまま使える、ということです。

-認証中にRADIUSサーバが使用不能の状態に陥ってしまった場合、現在の認証
プロセスはタイムアウトし、スイッチは次の再認証までcritical portを
critical-authentication stateにします。

RADUISサーバが認証可能な状態になったとき、全てのcritical-authentication state
を自動的に再認証の状態に変えます。アクセス不能認証バイパス機能は、以下
の機能と相互に動作できます。

-Guest VLAN
-Restricted VLAN
-IEEE 802.1x accounting
-Private VLAN
-Voice VLAN
-Remote Switched Port Analyzer (RSPAN)

Guest VLANが有効になっているポートでは、次のように相互に動作します。

-複数のRADIUSサーバのうち、少なくとも1台だけが利用可能な場合、スイッ
チはクライアントからEAPパケットを検出できなかった場合にGuest VLANを割
り当てることができます。

-複数のRADIUSサーバのうち、全てのサーバが利用不可能な場合でクライアン
トがcritical portに接続していた場合、 スイッチはcritical portの状態を
critical-authenticationstateにしてスイッチに設定されたVLANを割り当てま
す。

-複数のRADIUSサーバのうち、全てのサーバが利用不可能な場合でクライアン
トがcritical portに接続されていない場合、Guest VLANが設定されていても、
スイッチはクライアントにGuest VLANを割り当てられません。

-全てのRADIUSサーバが使用できずにクライアントがCritical portに接続さ
れていて、そのクライアントが以前Guest VLANに割り当てられいた場合、スイ
ッチはポートをGuest VLANのままにします。

Restricted VLANが適用されているインタフェースでRADIUSサーバが使用でき
ない場合、スイッチはcritical portをRestricted VLANのままにして
critical-authentication stateにします。

IEEE 802.1x accountingでRADIUSサーバが使用できない場合、accountingには
影響しません。

Private VLANが設定されているポートにアクセス不能認証バイパスを設定でき
ます。とありますが、Cat3550ではPrivate VLANはサポートされてないハズです(笑)

Voice VLANが設定されているポートでアクセス不能認証バイパスは動作します
が、access VLANとVoice VLANは異なるVLANを使う必要があります。

RSPAN VLANをアクセス不能認証バイパスのaccess VLANとして使用しないでく
ださい。

次回はVoice VLANポートとIEEE 802.1x、Port SecurityとIEEE 802.1x、
Wake-on-LANとIEEE 802.1xについてお勉強します。

By 『Overseas and Beyond』 Koichi

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA