 スイッチとRadiusサーバ間で通信するための設定
以下は、先の「IEEE802.1X認証の設定」で紹介したRadiusサーバの設定のコマンドの詳細です。
以下の設定例は、RadiusサーバのIPアドレスを「192.168.0.1」、認証要求のUDP宛先ポートを 「1612」、Radiusサーバとスイッチとで使用する共通の暗号鍵を「cisco」とした場合のコンフィグ。
ホストモードの設定 ( シングル or マルチ )IEEE802.1X認証が有効なポート(=dot1x port-control)にて、複数のホストを許可するためには 以下の設定を行います。下記の設定によりポートは「マルチホストモード」となり、複数のホストを 単一のIEEE802.1Xが有効なスイッチポートに接続できます。デフォルトで「シングルホストモード」 となり、その場合はIEEE802.1X認証が有効なポートに接続できるクライアントは一台だけです。
定期的な再認証のイネーブル化IEEE802.1Xクライアントの定期的な再認証をイネーブルにして、その発生間隔を指定できます。 再認証の間隔を指定しない場合、再認証は3600秒ごとに行われます。デフォルトでは再認証 の設定はディセーブルにされており、一度、802.1X認証が成功すると再認証は行われません。 - I/F上での再認証の有効化 -
- I/F上での再認証間隔の設定 -
※ 「seconds」の指定範囲は1〜65535。「server」を指定するとアトリビュート値に基づき秒数が指定される。 以下の設定例は、定期的な再認証を有効化して、再認証間隔を4000秒に設定するコンフィグです。
※ 定期的な再認証を有効にしない場合でも、enableモードで [ dot1x re-authenticate interface interface-id ] の コマンドを発行することにより、その特定のインターフェースを手動で即座に802.1X再認証させることができます。 認証失敗後の待機時間の変更先の再認証の設定は認証成功後の再認証の設定であり、以下の待機時間の設定は認証失敗 後に再び認証を行うまでに待機する時間です。スイッチがクライアントを認証できなかった場合、 スイッチは60秒間アイドル状態を続け、その後再認証を試みます。この待機時間の変更は以下。
スイッチとクライアント間の再送信時間の変更スイッチからのEAP Request/identityフレームに、クライアントはEAP Response/identityフレーム で応答します。スイッチはこの応答を受信できなかった場合、30秒待ってからフレームを再送信し ます。スイッチがクライアントへ送信するこの再送信時間の間隔は、以下のコマンドで定義できます。
スイッチとクライアント間のフレーム再送信回数の変更スイッチからのEAP Request/identityフレームに、クライアントはEAP Response/identityフレーム で応答します。スイッチはこの応答を受信できなかった場合、30秒待ってからフレームを再送信し ます。デフォルトで2回再送信しますがこの2回とも応答が得られなかった場合、スイッチは認証 プロセスを再開します。スイッチがクライアントへ送信するこの再送信回数の変更は以下で行う。
再認証回数の設定ポートが無許可ステートに変わる前にスイッチが認証プロセスを再起動する回数も変更できます。
IEEE802.1Xアカウンティングの設定以下のコマンドで、IEEE802.1XでのイベントをRADIUSサーバに記録するために送信できます。 - IEEE802.1Xアカウンティングのイネーブル -
- Systemイベントに関するアカウンティングのイネーブル -
|