IEEE802.1X - Catalyst Config 2



 ※ 本解説は、IEEE802.1X認証 - Ciscoコンフィグ設定の続きの解説内容となります。

 ◆ IEEE802.1X - MAC認証バイパス(MAB)の設定

 MAC認証バイパス(MAB)を有効化するためには、MABを有効化したいポートで以下の設定を行います。
 ※ IOSバージョン及び機種によりコマンドが異なる場合もあり、詳細は該当するマニュアルのご参照を。
 ※ Cisco ISEと連携した実践的なコンフィグは、Cisco ISE - MABの一番下にある設定をご参照ください。

 
◆ MAC認証バイパスの設定
 (config)#
interface interface-id
 (config-if)# authentication port-control auto
 (config-if)#
mab [ eap ] ・・・eapキーワードを指定した場合、switchは認可にEAPを使用


 Catalystスイッチ上で「IEEE802.1X認証」「MAC認証バイパス」「Web認証」を有効にした場合、以下の
 authentication order コマンドにより、ポート上で使用される認証方式の順序を指定することができます。

 ◆ 認証方式の順序を設定
 (config-if)#
authentication order dot1x | mab | [ webauth ]

 ◆ 認証方式をポートプライオリティリストに追加
 (config-if)#
authentication priority dot1x | mab | [ webauth ]

 ◆ Gi1/0/1ポートで「802.1X認証」と「MAB」を有効化して、先に802.1X認証をして失敗すればMABの認証を実施

 Cisco(config) # interface GigabitEthernet1/0/1
 
Cisco(config-if) # authentication port-control auto
 
Cisco(config-if) # mab
 
Cisco(config-if) # authentication order dot1x mab
 Cisco(config-if) # authentication priority dot1x mab



 ◆ IEEE802.1X - ホストモードの設定

 IEEE802.1X認証が有効なスイッチポートでは、シングルホストモードかマルチホストモードに設定できます。
 デフォルトは「シングルモード」であることから、スイッチポートに接続できるのは1台です。複数のホストを
 接続したい場合、以下のコマンドで「multi-」キーワードを指定して設定変更する必要があります。

 ◆ ホストモードの設定
 (config)#
interface interface-id
 (config-if)# switchport mode access

 ◆ IEEE802.1X認証をポートで有効化
 (config-if)#
authentication host-mode [ multi-auth | multi-domain | multi-host | single-host ]

コマンド引数 説明
multi-auth

 802.1x許可ポートで、音声VLANで1クライアント、データVLANで複数の認証クライアントを許可

multi-domain

 802.1x許可ポートで、ホストデバイスとIP Phoneなど音声デバイスの両方が認証されるようにする設定

multi-host

 ホストの認証後、802.1X許可ポートで複数のホスト接続を許可

single-host  ホストの認証後、802.1X許可ポートで1つのホストのみ接続を許可


 ◆ 802.1X認証を有効化して、ホストの認証後に複数のホスト接続を許可する設定( スイッチポート配下にハブなどがある場合 )

 
Cisco(config) # interface GigabitEthernet1/0/1
 
Cisco(config-if) # authentication port-control auto
 
Cisco(config-if) # authentication host-mode multi-host


 ◆ 802.1X認証を有効化して、ホストおよび音声デバイスの両方を許可する設定( switchport voice vlanのコンフィグ設定も必要 )

 
Cisco(config) # interface GigabitEthernet1/0/1
 
Cisco(config-if) # authentication port-control auto
 
Cisco(config-if) # authentication host-mode multi-domain




L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.