IEEE802.1X - Catalyst Config 1



 ◆ IEEE802.1X認証の設定

 CatalystスイッチにIEEE802.1X認証を有効化するためには、以下の手順で設定を行っていきます。
 IEEE802.1X認証の有効化コマンド( dot1x system-auth-control )の設定前に、AAAで指定する
 RADIUSサーバのグループ名などを設定しておく必要があり、現在では以下の順番で設定を行います。
 ※ Cisco ISEをRADIUSサーバとして使用して802.1X認証を実装する場合、より複雑な設定が必要。



 ◆ IEEE802.1X - RADIUSサーバの指定

 ◆ RADIUSサーバの登録
 (config)# radius server config-name
 (config-radius-server)# address ipv4 address auth-port number acct-port number
 (config-radius-server)# key string

 ◆ RADIUSサーバを認証サーバグループに登録
 (config)#
aaa new-model
 (config)# aaa group server radius group-name
 (config-sg-server)# server name config-name



 ◆ IEEE802.1X - グローバルでの有効化

 
◆ AAAの有効化(設定済みである場合、設定は不要)
 (config)#
aaa new-model

 
◆ IEEE802.1X認証リストの設定
 (config)#
aaa authentication dot1x default group [ radius | group-name ]


 ◆ IEEE802.1X認証をグローバルで有効化
 (config)#
dot1x system-auth-control


 ◆ IEEE802.1X認可リストの設定
 (config)#
aaa authorization network default group [ radius | group-name ]



 ◆ IEEE802.1X - ポートでの有効化

 ◆ IEEE802.1X認証を有効化するI/Fの指定とアクセスポートの指定
 (config)#
interface interface-id
 (config-if)# switchport mode access

 ◆ IEEE802.1X認証をポートで有効化
 (config-if)#
authentication port-control [ auto | force-authorizaed | force-unauthorized ]

コマンド引数 説明
auto

 IEEE802.1X認証を有効化して、認証に成功すると許可ステート、失敗すると無許可ステートに移行。

force-authorized

 IEEE802.1X認証をディセーブルにして、認証情報の交換を要求せずにポートを許可ステートに移行

force-unauthorized

 強制的に無許可ステートに移行して、このポートを介してクライアントに認証サービスを提供しない。


 IEEE802.1X認証をポートで有効化する場合は「
auto」を指定します。そして、これが一般的な設定です。
 authentication port-control auto と設定することで、無許可ステートで開始されます。無許可ステートで
 ある場合、ポートはEAPOL、CDP、STPトラフィック以外は送信されません。認証されると許可ステートと
 なりトラフィックが通常通り転送されます。旧IOSのコマンドは「
dot1x port-control auto」となります。



 ◆ IEEE802.1X認証の設定例

 ◆ IEEE802.1X認証( 現在のIOSの設定 )

 Cisco(config) #
radius-server ISE01
 Cisco(config-radius-server) # address ipv4 192.168.10.101 auth-port 1812 acct-port 1813
 Cisco(config-radius-server) # key Cisco123

 Cisco(config) # aaa new-model
 Cisco(config) # aaa group server radius GROUP-ISE
 Cisco(config-sg-radius) # server name ISE01

 Cisco(config) # aaa authentication dot1x default group GROUP-ISE
 
Cisco(config) # aaa authorization network default group GROUP-ISE

 Cisco(config) # dot1x system-auth-control

 
Cisco(config) # interface range GigabitEthernet0/1 - 48
 
Cisco(config-if) # switchport mode access
 
Cisco(config-if) # authentication port-control auto


 ◆ IEEE802.1X認証( 旧IOSのレガシーな設定 )

 Cisco(config) #
radius-server host 192.168.10.101 auth-port 1812 acct-port 1813 key Cisco123

 Cisco(config) # aaa new-model
 Cisco(config) # aaa authentication dot1x default group radius
 Cisco(config) # aaa authorization network default group radius

 Cisco(config) # dot1x system-auth-control

 
Cisco(config) # interface range GigabitEthernet0/1 - 48
 
Cisco(config-if) # switchport mode access
 
Cisco(config-if) # dot1x port-control auto



 指定したポートに関するIEEE802.1Xの統計情報、管理ステータス、動作状態などを含めて、802.1X認証の
 認証、認可が成功しているかは「
show authentication sessions interface interface-id」で確認できます。



L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.