|
※ 本解説は、IEEE802.1X認証 - Ciscoコンフィグ設定の続きの解説内容となります。
◆ IEEE802.1X - MAC認証バイパス(MAB)の設定
MAC認証バイパス(MAB)を有効化するためには、MABを有効化したいポートで以下の設定を行います。
※ IOSバージョン及び機種によりコマンドが異なる場合もあり、詳細は該当するマニュアルのご参照を。
※ Cisco ISEと連携した実践的なコンフィグは、Cisco ISE - MABの一番下にある設定をご参照ください。
◆ MAC認証バイパスの設定
(config)# interface interface-id
(config-if)# authentication port-control auto
(config-if)# mab [ eap ] ・・・eapキーワードを指定した場合、switchは認可にEAPを使用
Catalystスイッチ上で「IEEE802.1X認証」「MAC認証バイパス」「Web認証」を有効にした場合、以下の
authentication order コマンドにより、ポート上で使用される認証方式の順序を指定することができます。
◆ 認証方式の順序を設定
(config-if)# authentication order dot1x | mab | [ webauth ]
◆ 認証方式をポートプライオリティリストに追加
(config-if)# authentication priority dot1x | mab | [ webauth ]
◆ Gi1/0/1ポートで「802.1X認証」と「MAB」を有効化して、先に802.1X認証をして失敗すればMABの認証を実施
Cisco(config) # interface GigabitEthernet1/0/1
Cisco(config-if) # authentication port-control auto
Cisco(config-if) # mab
Cisco(config-if) # authentication order dot1x mab
Cisco(config-if) # authentication priority dot1x mab
|
◆ IEEE802.1X - ホストモードの設定
IEEE802.1X認証が有効なスイッチポートでは、シングルホストモードかマルチホストモードに設定できます。
デフォルトは「シングルモード」であることから、スイッチポートに接続できるのは1台です。複数のホストを
接続したい場合、以下のコマンドで「multi-」キーワードを指定して設定変更する必要があります。
◆ ホストモードの設定
(config)# interface interface-id
(config-if)# switchport mode access
◆ IEEE802.1X認証をポートで有効化
(config-if)# authentication host-mode [ multi-auth | multi-domain | multi-host | single-host
]
| コマンド引数 |
説明 |
| multi-auth |
802.1x許可ポートで、音声VLANで1クライアント、データVLANで複数の認証クライアントを許可
|
| multi-domain |
802.1x許可ポートで、ホストデバイスとIP Phoneなど音声デバイスの両方が認証されるようにする設定
|
| multi-host |
ホストの認証後、802.1X許可ポートで複数のホスト接続を許可
|
| single-host |
ホストの認証後、802.1X許可ポートで1つのホストのみ接続を許可 |
◆ 802.1X認証を有効化して、ホストの認証後に複数のホスト接続を許可する設定( スイッチポート配下にハブなどがある場合 )
Cisco(config) # interface GigabitEthernet1/0/1
Cisco(config-if) # authentication port-control auto
Cisco(config-if) # authentication host-mode multi-host
|
◆ 802.1X認証を有効化して、ホストおよび音声デバイスの両方を許可する設定( switchport voice vlanのコンフィグ設定も必要
)
Cisco(config) # interface GigabitEthernet1/0/1
Cisco(config-if) # authentication port-control auto
Cisco(config-if) # authentication host-mode multi-domain
|
|