IEEE 802.1X - Catalyst Switch 3 -

　IEEE802.1Xが有効なポートに802.1X対応のクライアントが接続していなければ、スイッチからの
　EAPOL Request/identityフレームに応答することができません。その場合、そのスイッチポートに
　以下のコマンドのゲストVLANが設定されている場合、そのポートにゲストVLANが適用されます。

Catalyst(config-if)# dot1x guest-vlan vlan-id

　以下は、IEEE802.1Xが有効なインターフェースG0/1でゲストVLANを9として設定している例です。

Catalyst(config)# interface gigabitethernet 0/1 　Catalyst(config-if)# swichport mode access 　Catalyst(config-if)# dot1x port-control auto 　Catalyst(config-if)# dot1x guest-vlan 9

　制限付きVLANの設定

　IEEE802.1Xが有効なポートに802.1X対応のクライアントが接続されている場合、認証サーバと
　クライアントIDが有効か無効か問い合わせを行いますが、クライアントIDが無効である場合、
　そのスイッチポートに制限VLANが設定されている場合、そのポートに制限VLANが適用されます。

Catalyst(config-if)# dot1x auth-fail vlan vlan-id

　以下の設定により、クライアントが制限付きVLANに割り当てられるまでに許可される認証試行の
　最大回数を設定できます。デフォルトは3回であり、される認証試行回数の範囲は 1 〜 3 回です。

Catalyst(config-if)# dot1x auth-fail max-attempt number

　以下は、IEEE802.1Xが有効なインターフェースG0/24で制限付きVLANを16として設定している例。

Catalyst(config)# interface gigabitethernet 0/24 　Catalyst(config-if)# swichport mode access 　Catalyst(config-if)# dot1x port-control auto 　Catalyst(config-if)# dot1x auth-fail vlan 16

　アクセス不能認証バイパス機能の設定

　IEEE802.1X認証においてネットワーク上の全てのRadiusサーバがダウンした場合、どこにも接続
　できない状況が発生してしまいます。アクセス不能認証バイパス機能(クリティカルポート）の設定
　により、全てのRadiusサーバがダウンした場合においても、クリティカルポートに設定されたポートに
　接続するクライアントはネットワークにアクセスできるようになります。設定手順は以下となります。


　（任意）Radiusサーバが利用不可 ( = dead ) として見なされるときを決定するのに使用する条件
　を定義することができます。[ time ] の指定範囲は1〜120秒、[ tries ] の指定範囲は1〜100回。
　スイッチは、これらのデフォルト値をサーバのトランザクションレートに従って、動的に決定します。
　

Catalyst(config-if)# radius-server dead-criteria time seconds tries number

　The following example shows that the router will be considered dead after 5 seconds and four tries:
　⇒　Catalyst(config)# radius-server dead-criteria time 5 tries 4

　(任意) 複数のRadiusサーバがIOS上で定義されている状態で、それらのうちいくつかのRadius
　サーバが利用できない状態にある時、それらを即座にスキップして他に定義されているRadius
　サーバを利用するように、Raidus認証に対するレスポンスを向上させるためのコマンド。認証の
　リクエストに対して応答できないRadiusサーバを [ dead ] としてマーク付けする際に、どのくらい
　の間 [ dead ] とするかを以下のコマンドで定義することができます。dead にマーク付けされて
　いる時間はそのRadiusサーバに対してパケットが送信されることはありません。デフォルトは 0

　(任意）アクセス不能認証バイパスのパラメータを設定します。[ eapol ] ではスイッチがクリティカル
　ポートの認証に成功した時にスイッチがEAPOL成功メッセージを送信するように指定します。次の
　[ recovery delay miliseconds ] では、利用不可だったRadiusサーバが使用できるようになった時に
　スイッチがクリティカルポートを再初期化するために待機する回復遅延時間を設定する。単位はミリ。

Catalyst(config)# dot1x critical [ eapol | recovery delay milliseconds ]

　(必須)アクセス不能認証バイパスを有効にしたいインターフェースを指定して、そのI/F上で有効に
　します。このコマンドのパラメータを定義する場合、先ず最初にパラメータとは別に [ dot1x critical ]
　を入力する必要があります。[ recovery action reinitialize ] では、回復機能をイネーブルにして、
　回復アクションで、認証サーバが使用可能なときにポートを認証するように指定します。 [ vlan ] では
　クリティカルポートの割り当てが可能なアクセスVLANを指定します。これらを以下のコマンドで定義。

Catalyst(config-if)# dot1x critical [ recovery action reinitialize | vlan vlan-id ]

　以下は、G0/7でアクセス不能認証バイパス機能を有効にし、クリティカルポートのVLANを24として
　います。また、Radiusサーバが利用可能な状態になると、ポートを認証するように定義しています。
　

Catalyst(config)# interface gigabitethernet 0/7 　Catalyst(config-if)# swichport mode access 　Catalyst(config-if)# dot1x port-control auto 　Catalyst(config-if)# dot1x critical 　Catalyst(config-if)# dot1x critical recovery action reinitialize 　Catalyst(config-if)# dot1x critical vlan 24

　WoLを使用したIEEE802.1X認証の設定

　以下のコマンドで [ in ] を指定することにより、ポートはパケットをホストに送信することができる
　状態になるので「magic packet」もホストに到達して、WoLを実装することができるようになります。

Catalyst(config-if)# dot1x control-direction [ both | in ]

　※ デフォルトは [ dot1x control-direction both ]であり、IEEE802.1X認証が成功するまでは双方向で制御されます。



　MAC認証バイパスの設定

　MAC認証バイパスをイネーブルにするためには以下のコマンドを入力します。[ eap ] キーワード
　を指定することにより、認証の「EAP」を使用するようにスイッチを設定することになります。

Catalyst(config-if)# dot1x mac-auth-bypass [ eap ]

　IEEE802.1X設定をデフォルト値にリセットする方法

　IEEE802.1X認証に関するI/Fコンフィグを全てデフォルト値にリセットする場合は以下を入力します。

Catalyst(config-if)# dot1x default