|
◆ IEEE802.1X認証の設定
CatalystスイッチにIEEE802.1X認証を有効化するためには、以下の手順で設定を行っていきます。
IEEE802.1X認証の有効化コマンド( dot1x system-auth-control )の設定前に、AAAで指定する
RADIUSサーバのグループ名などを設定しておく必要があり、現在では以下の順番で設定を行います。
※ Cisco ISEをRADIUSサーバとして使用して802.1X認証を実装する場合、より複雑な設定が必要。
◆ IEEE802.1X - RADIUSサーバの指定
◆ AAAの有効化(設定済みである場合、設定は不要)
(config)# aaa new-model
◆ RADIUSサーバの登録
(config)# radius server config-name
(config-radius-server)# address ipv4 address auth-port number acct-port number
(config-radius-server)# key string
◆ RADIUSサーバを認証サーバグループに登録
(config)# aaa group server radius group-name
(config-sg-server)# server name config-name
◆ IEEE802.1X - グローバルでの有効化
◆ AAAの有効化(設定済みである場合、設定は不要)
(config)# aaa new-model
◆ IEEE802.1X認証リストの設定
(config)# aaa authentication dot1x default group [ radius | group-name ]
◆ IEEE802.1X認証をグローバルで有効化
(config)# dot1x system-auth-control
◆ IEEE802.1X認可リストの設定
(config)# aaa authorization network default group [ radius | group-name ]
◆ IEEE802.1X - ポートでの有効化
◆ IEEE802.1X認証を有効化するI/Fの指定とアクセスポートの指定
(config)# interface interface-id
(config-if)# switchport mode access
◆ IEEE802.1X認証をポートで有効化
(config-if)# authentication port-control [ auto | force-authorized | force-unauthorized ]
| コマンド引数 |
説明 |
| auto |
IEEE802.1X認証を有効化して、認証に成功すると許可ステート、失敗すると無許可ステートに移行。
|
| force-authorized |
IEEE802.1X認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行。
|
| force-unauthorized |
強制的に無許可ステートに移行して、このポートを介してクライアントに認証サービスを提供しない。
|
IEEE802.1X認証をポートで有効化する場合は「auto」を指定します。そして、これが一般的な設定です。
authentication port-control auto と設定することで、無許可ステートで開始されます。無許可ステートで
ある場合、ポートはEAPOL、CDP、STPトラフィック以外は送信されません。認証されると許可ステートと
なりトラフィックが通常通り転送されます。旧IOSのコマンドは「dot1x port-control auto」となります。
◆ IEEE802.1X port access entity (PAE) authenticatorとしてのみ動作する設定
(config-if)# dot1x pae authenticator
◆ IEEE802.1X認証の設定例
◆ IEEE802.1X認証( 現在のIOSの設定 )
Cisco(config) # aaa new-model
Cisco(config) # radius-server ISE01
Cisco(config-radius-server) # address ipv4 192.168.10.101 auth-port 1812 acct-port 1813
Cisco(config-radius-server) # key Cisco123
Cisco(config) # aaa group server radius GROUP-ISE
Cisco(config-sg-radius) # server name ISE01
Cisco(config) # aaa authentication dot1x default group GROUP-ISE
Cisco(config) # aaa authorization network default group GROUP-ISE
Cisco(config) # dot1x system-auth-control
Cisco(config) # interface range GigabitEthernet0/1 - 48
Cisco(config-if) # switchport mode access
Cisco(config-if) # authentication port-control auto
Cisco(config-if) # dot1x pae authenticator
|
◆ IEEE802.1X認証( 旧IOSのレガシーな設定 )
Cisco(config) # aaa new-model
Cisco(config) # radius-server host 192.168.10.101 auth-port 1812 acct-port 1813 key Cisco123
Cisco(config) # aaa authentication dot1x default group radius
Cisco(config) # aaa authorization network default group radius
Cisco(config) # dot1x system-auth-control
Cisco(config) # interface range GigabitEthernet0/1 - 48
Cisco(config-if) # switchport mode access
Cisco(config-if) # dot1x port-control auto
Cisco(config-if) # dot1x pae authenticator
|
指定したポートに関するIEEE802.1Xの統計情報、管理ステータス、動作状態などを含めて、802.1X認証の
認証、認可が成功しているかは「 show authentication sessions interface interface-id」で確認できます。
|