|
◆ IEEE802.1X認証のためのAAAの基本設定
ここでは、IEEE802.1X認証のための「認証」「認可」「アカウンティング」のAAA設定を解説します。
IEEE802.1X認証では認証のためにRADIUSサーバを使用するため、802.1X認証を有効化するCatalystに
事前にRADIUSクライアントのための以下の設定が必要です。
◆ RADIUSサーバの登録
(config)# radius server config-name
(config-radius-server)# address ipv4 address auth-port number acct-port number
(config-radius-server)# key string
◆ RADIUSサーバを認証サーバグループに登録( 複数のRADIUSサーバをグループに含められます )
(config)# aaa new-model
(config)# aaa group server radius group-name
(config-sg-server)# server name config-name
◆ AAA - Authentication 設定(IEEE802.1X認証のための設定)
AAAの「認証」では、以下の通り「aaa authentication dot1x default 〜」コマンドを使用します。
◆ AAAの有効化
(config)# aaa new-model
◆ IEEE802.1X認証リストの設定
(config)# aaa authentication dot1x default group [ radius | group-name ]
◆ IEEE802.1X認証をグローバルで有効化
(config)# dot1x system-auth-control
◆ AAA - Authorization 設定(IEEE802.1X認証のための設定)
AAAの「認可」では、以下のとおり「aaa authorization network default 〜」コマンドを使用します。
また、Web認証を使用する場合は「aaa authorization auth-proxy default 〜」コマンドも使用します。
◆ IEEE802.1X認可リストの設定(ダイナミックVLANやダイナミックACLなどで使用)
(config)# aaa authorization network default group [ radius | group-name ]
◆ AAA - Accouting 設定(IEEE802.1X認証のための設定)
AAAの「アカウンティング」では、以下の通り「aaa accounting dot1x default start-stop group」を
設定します。システムアカウンティングのために「aaa accounting system default start-stop」も設定。
◆ IEEE802.1Xアカウンティングの設定( IEEE802.1Xアカウンティングの有効化とRADIUSサーバの指定 )
(config)# aaa accounting dot1x default start-stop group [ radius | group-name ]
◆ IEEE802.1Xアカウンティングの設定( システムアカウンティングの有効化とRADIUSサーバの指定 )
(config)# aaa accounting system default start-stop group [ radius | group-name ]
Cisco ISEと連携する際には、以下のようなアカウンティング設定も設計内容に応じて実装させます。
aaa accounting update newinfo
aaa accounting update periodic 〜
◆ RADIUSクライアントの設定例( IEEE802.1X認証などでAAAを実装する例 )
Cisco(config) # radius-server ISE01
Cisco(config-radius-server) # address ipv4 192.168.10.101 auth-port 1812 acct-port 1813
Cisco(config-radius-server) # key Cisco123
Cisco(config) # aaa new-model
Cisco(config) # aaa group server radius GROUP-ISE
Cisco(config-sg-radius) # server name ISE01
Cisco(config) # dot1x system-auth-control
Cisco(config) # aaa authentication dot1x default group GROUP-ISE
Cisco(config) # aaa authorization network default group GROUP-ISE
Cisco(config) # aaa accounting dot1x default start-stop group GROUP-ISE
Cisco(config) # aaa accounting system default start-stop group GROUP-ISE
|
その他、CoAの有効化、IPデバイストラッキングの有効化、VSAアトリビュートサポートの設定など
色々なコマンドがCisco ISEと連携する上では必要となってきます。※ 別ページで詳細に解説します。
|