IEEE802.1X - Catalyst Config 4



 ◆ IEEE802.1X認証 - Radiusサーバのオプション設定

 IEEE802.1X認証において、CatalystスイッチとRadiusサーバが連携する上でチューニングできるオプション
 設定をいくつか紹介します。これらのオプション設定は、障害試験などを実施した際に設定変更した方がよい
 のではないかとよく気づく項目であるとも言えます。


 以下の設定でスイッチがRADIUS要求をサーバに再送信する回数を指定できます。デフォルトは「3」回です。
 指定できる範囲は「1〜1000」です。このオプション設定は、デフォルトのままでも特に問題ないと思います。

 
◆ RADIUS要求をサーバに再送信する回数の設定
 (config-if)# radius-server retransmit retries

 ◆ RADIUS要求をサーバに再送信する回数を5回とする設定
 Cisco(config) # radius-server retransmit 5




 スイッチがRADIUS要求に対する応答を待ち、RADIUS要求を再送信するまでの時間(秒)を指定できます。
 デフォルトは「5」秒です。指定できる範囲は「1 〜 1000」です。こちらは「3」秒にしたり、設計に応じて
 設定変更することもあるかと思いますが、基本的にデフォルト値のままで問題ないと思います。

 ◆ RADIUS要求を再送信するまでの時間の設定
 (config-if)#
radius-server timeout seconds

 ◆ RADIUS要求を再送信するまでの時間を3秒とする設定
 Cisco(config) # radius-server timeout 3


 ◆ IEEE802.1X認証で注意すべきRadiusサーバの設定

 RADIUSサーバをデッド状態(障害などでRADIUSサーバを利用できない状態)と判断するための条件を
 設定することができます。デフォルト値よりも高速に収束させたい場合、これらの値をチューニングする
 こともあります。障害試験の実施前に、検証環境などでこの設定値の動作を確認するようにしましょう。

 
◆ RADIUSサーバが使用不可能とみなすための条件の設定
 (config-if)#
radius-server dead-criteria [ time seconds] [ tries number ]

コマンド引数 説明
seconds

 1 〜 120秒の間で指定。デフォルトでは、NADは seconds の値を動的に決定。

number

 1 〜 100回の範囲で指定。デフォルトでは、NADは number の値を動的に決定。


 ◆ スイッチは、RADIUSサーバに3秒間のポーリングを3回行って応答がなければ「dead状態」とみなす設定
 Cisco(config) # radius-server dead-criteria time 3 tries 3




 RADIUSサーバがdead状態であると判明した後に、
RADIUS要求を送信しない時間(分)を設定できます。
 範囲は 0 〜 1440 分(24 時間)です。機種にもよりますがデフォルトは 0 分です。この設定値は検討する
 ことをお勧めします。例えばRADIUSサーバが2台ある場合、主系のRADIUSサーバ(先に定義している方)
 をダウンさせた上でクライアントPCで802.1X認証をさせてみて下さい。deadマーク時間がデフォルト値 0
 で意図した動作になるでしょうか?実際の障害を想定して検証をして適正値を検討することをお勧めします。

 ◆ RADIUSサーバがdead状態であると判明した後に要求を送信しない時間の設定
 (config-if)#
radius-server deadtime minutes

 ◆ RADIUSサーバがdead状態であると判明した後に要求を送信しない時間を180分と設定
 Cisco(config) # radius-server deadtime 180


 ちなみにCisco ISEと連携させる際にCatalyst(Authenticator)には、最低限、以下のradius-serverコマンドを設定しています。


 
Cisco(config) # radius-server attribute 6 on-for-login-auth
 Cisco(config) # radius-server attribute 8 include-in-access-req
 Cisco(config) # radius-server attribute 25 access-request include

 Cisco(config) # radius-server vsa send accounting
 Cisco(config) # radius-server vsa send authentication




L2 セキュリティの技術

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.