 IEEE802.1X : 認証プロセス
CatalystスイッチのポートでIEEE802.1X認証が有効な場合、下図の認証フローに従いイベントが発生します。
※1 MAC認証バイパスのイベントフローは、クライアントからのEAPOLパケットをスイッチが検出しない場合に発生します。
IEEE802.1X : 許可ステートと無許可ステート
IEEE802.1Xが有効なスイッチポートは無許可ステートで開始されます。無許可ステートである場合、ポートは
EAPOL、CDP、STPトラフィック以外は送信しませんが、ポートに音声VLANが設定されている場合は正常に
認証される前でもVoIPトラフィックの転送は許可します。正常に認証されると許可ステートとなり、トラフィックが
通常通り転送されます。このポートの許可ステートは
[ dot1x port-control ] I/Fコマンドにより制御できます。
| dot1x port-control |
説明 |
| force-authorized |
IEEE802.1X認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに
移行させる。ポートはIEEE 802.1X認証なしで通常のトラフィックを送受信する。これがデフォルト。
|
| force-unauthorized |
ポートを無許可ステートのままにし、クライアントが認証を試みても全無視をする。スイッチは、
このポートを介してクライアントに認証サービスを提供できない。一般的に使用されない設定。
|
| auto |
IEEE802.1X認証をイネーブルにしてポートを無許可ステートで開始させ、EAPOLフレームだけが
ポート経由で送受信できるようにする。ポートのリンク
ステートがダウンからアップに移行するか、
EAPOL 開始フレームを受信すると認証プロセスが開始される。これが802.1X認証のための設定。
|
※ ポートのリンクステートが [ アップからダウンに移行 ] した場合、ポートは無許可ステートに移行します。
※ クライアントは [ ログオフ ] するとEAPOLログオフを送信します。これを受信するとポートは無許可ステートに移行します。
IEEE802.1X : ホストモード
IEEE802.1X認証が有効なスイッチポートは
[ シングルホストモード ] または [ マルチホストモード
] に設定
することができます。シングルホストモードでは、IEEE802.1X認証が有効なスイッチポートに対し接続できる
クライアントは一台だけです。マルチホストモードでは、複数のホストを単一のIEEE802.1Xが有効なスイッチ
ポートに接続できます。マルチホストモードでは、接続クライアントのいずれか1つだけが許可されれば全て
のクライアントが通常トラフィックを流せるようになります。このモードは無線LANなどで使用されるモードです。
IEEE802.1X認証とVLAN割り当ての使用方法
IEEE802.1X認証が成功した場合、RadiusサーバはVLANを割り当てを送信して、スイッチポートを設定する
こともできます。設定はAAA認証を有効 ( aaa
new-model & aaa authentication dot1x
default group radius )
にして、IEEE802.1Xのグローバルでの有効
( dot1x system-auth-control ) 、インターフェースでの有効
( dot1x port-control auto ) にするという、通常のIEEE802.1X認証の設定だけですが、Radiusサーバ側の
設定として、Radiusサーバデータベースにはユーザ名とVLANマッピングが維持されている必要があります。
IEEE802.1X認証とユーザ単位のACLの使用方法
IEEE802.1X認証クライアントが異なるレベルのネットワークアクセスを可能にすることができます。RADIUS
サーバがIEEE802.1Xポートに接続しているユーザを認証する場合、ユーザIDに基づくACLアトリビュートを
取得し、スイッチにその属性を送信します。スイッチはユーザセッションの間このアトリビュートをIEEE802.1X
ポートに適用します。リンクダウン状態が発生した場合は、スイッチがセッション終了時にユーザ単位のACL
設定を削除します。スイッチは、このRadiusが指定したACLを
running-config には保存しないので、その
ACLの内容を見ることはできません。ユーザ単位のAC
を設定するには、以下を実行する必要があります。
@ AAA認証のイネーブル ( aaa new-model ) ( aaa authentication dot1x )
A AAA認可のイネーブル ( aaa authorization
network default group radius )
B IEEE802.1X認証のイネーブル ( dot1x
system-auth-control ) ( dot1x port-control
auto )
C IEEE802.1X認証ポートをシングルホストモードに設定
( デフォルトでシングルホストモード )
D RADIUSサーバ側の「ユーザプロファイル」と「VSA」の設定
|