IEEE802.1X - Catalyst Config 3



 ◆ 定期的な再認証の設定

 IEEE802.1X認証の「定期的な再認証」を有効化することができます。定期的な再認証を有効化した場合は、
 デフォルトで3600秒(1時間)ごとに再認証が行われますが、この再認証の間隔を指定することができます。
 ※ IOSバージョン及び機種によりコマンドが異なる場合もあり、詳細は該当するマニュアルのご参照を。
 ※ この機能はデフォルトで無効化です。要件上、再認証が必要な設計である場合にのみ有効化しましょう。

 
◆ 定期的な再認証の有効化
 (config)#
interface interface-id
 (config-if)# authentication periodic
 (config-if)#
authentication timer reauthenticate seconds

 ◆ 定期的な再認証を有効化して、再認証の間隔を7200秒に設定

 Cisco(config) # interface GigabitEthernet1/0/1
 
Cisco(config-if) # authentication periodic
 
Cisco(config-if) # authentication timer reauthenticate 7200


 この再認証は手動でも実行することができます。例えば以下のようにコマンドを実行することでGi1/0/1の
 ポートでIEEE802.1Xにおける再認証を実行することができます。検証時などで重宝するコマンドとなります。
 Cisco # dot1x re-authenticate interface gigabitethernet1/0/1



 ◆ 認証失敗後 - 待機時間の変更

 スイッチはクライアントを認証できなかった場合、所定時間だけアイドル状態を続けその後再認証を試みます。
 クライアントとの認証のやり取りに失敗した場合にスイッチが待機状態のままでいる秒数を設定します。なお、
 デフォルト値は60秒であり、この値を小さくすることで、ユーザへの応答時間を短縮することができます。

 ◆ 待機時間の変更
 (config)#
interface interface-id
 (config-if)# authentication timer inactivity seconds

 ◆ 認証失敗後に、再認証を10秒後に試みるための設定
 Cisco(config-if) # authentication timer inactivity 10


 ◆ IEEE802.1X - 再送信時間(デフォルト30秒)

 スイッチからの「EAP
Request/identityフレーム」に、クライアントは「EAP Response/identityフレーム」
 で応答します。スイッチはこの応答を受信できなかった場合は、30秒間待ってからフレームを再送信します。
 この再送信時間の間隔を変更することができます。

 ◆ スイッチが「EAP-Request/Identityフレーム」を再送信する時間
 (config-if)#
dot1x timeout tx-period seconds


 ◆ スイッチが「EAP-Request/Identityフレーム」を再送信する時間を「10秒」とする設定
 Cisco(config-if) # dot1x timeout tx-period 10




 ◆ IEEE802.1X - 最大送信回数(デフォルト2回)

 スイッチからの「EAP Request/identityフレーム」に、クライアントは「EAP Response/identityフレーム」
 で応答することは上述の通りでありデフォルトで30秒後に送信されますが、この送信回数は、デフォルトで2回
 となります。この値を「1〜10」の間で変更することができます。

 ◆ EAP-Request/Identity フレームを送信する回数を設定
 (config-if)#
dot1x max-reauth-req count

 ◆ EAP-Request/Identity フレームを送信する回数を「10」とする設定
 Cisco(config-if) # dot1x max-reauth-req 10




 ◆ IEEE802.1X - 再認証回数(デフォルト2回)

 ポートが無許可ステートに変わる前にスイッチが認証プロセスを再開する回数を設定することができます。
 デフォルトは2回です。この値を「1〜10」の間で変更することができます。

 ◆ ポートが無許可ステートに変わる前にスイッチが認証プロセスを再開する回数
 (config-if)#
dot1x max-req count count

 ◆ ポートが無許可ステートに変わる前に、スイッチが認証プロセスを再開する回数を「3」とする設定
 Cisco(config-if) # dot1x max-req count 3



L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2021 ネットワークエンジニアとして All Rights Reserved.