認証処理に関する設定

(1)　端末へ再認証を要求する機能の設定

ログオフを送信しないでネットワークから外れた端末は本装置から認証を解除できないため，認証済みの端 末に対して再認証を促すことで応答のない端末の認証を解除します。

［設定のポイント］

認証済みの端末ごとに，reauth-period タイマに設定している時間間隔で EAP-Request/Identity を送

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x reauthentication

(config-if)# dot1x timeout reauth-period 360

ポート 1/0/1 での再認証要求機能を有効に設定し，再認証の時間間隔を 360 秒に設定します。

(2)　端末への EAP-Request フレーム再送の設定

端末の認証中に，本装置から送信する EAP-Request（認証サーバからの要求メッセージ）に対して，端末 から応答がない場合の再送時間と再送回数を設定します。

［設定のポイント］

再送時間間隔と再送回数の総時間が，reauth-period タイマに設定している時間より短い時間になるよ うに設定してください。

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x timeout supp-timeout 60

ポート 1/0/1 での EAP-Request フレームの再送時間を 60 秒に設定します。

2.(config-if)# dot1x max-req 3

ポート 1/0/1 での EAP-Request フレームの再送回数を 3 回に設定します。

(3)　端末からの認証要求を抑止する機能の設定

端末からの EAP-Start フレーム受信による認証処理を抑止します。本機能を設定した場合，新規認証およ び再認証は，それぞれ tx-period タイマ，reauth-period タイマの時間間隔で行われます。

［設定のポイント］

多数の端末から短い時間間隔で再認証要求が行われ，装置の負荷が高い場合に設定を行い，負荷を低減 します。本コマンドの設定前に dot1x reauthentication コマンドの設定が必要です。

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x reauthentication (config-if)# dot1x ignore-eapol-start

ポート 1/0/1 で EAP-Start フレーム受信による認証処理を抑止します。

(4)　認証失敗時の認証処理再開までの待機時間設定

認証に失敗した端末に対する認証再開までの待機時間を設定します。

［設定のポイント］

認証に失敗した端末から，短い時間に認証の要求が行われることで装置の負荷が高くなることを抑止し ます。

ユーザが ID やパスワードの入力誤りによって認証が失敗した場合でも，設定した時間を経過しないと 認証処理を再開しないので，設定時間には注意してください。

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x timeout quiet-period 300

ポート単位認証を設定しているポート 1/0/1 に認証処理再開までの待機時間を 300 秒に設定します。

(5)　EAP-Request/Identity フレーム送信の時間間隔設定

自発的に認証を開始しない端末に対して，認証開始を誘発するために本装置から定期的に EAP-Request/

Identity を送信する時間間隔を設定します。

［設定のポイント］

本機能は，tx-period タイマに設定してある時間間隔で EAP-Request/Identity をマルチキャスト送信 します。認証済みの端末からも EAP-Response/Identity の応答を受信し，装置の負荷を高くする可能 性がありますので，以下の計算式で決定される値を設定してください。

reauth-period ＞ tx-period ≧ (装置で認証を行う総端末数÷20)×2

tx-period のデフォルト値が 30 秒であるため，300 台以上の端末で認証を行う場合は，tx-period タイ マ値を変更してください。

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x timeout tx-period 300

ポート単位認証を設定しているポート 1/0/1 に EAP-Request/Identity フレーム送信の時間間隔を 300 秒に設定します。

(6)　認証サーバ応答待ち時間のタイマ設定

認証サーバへの要求に対する応答がない場合の待ち時間を設定します。設定した時間が経過すると，

Supplicant へ認証失敗を通知します。radius-server コマンドで設定している再送を含めた総時間と比較 して短い方の時間で Supplicant へ認証失敗を通知します。

［設定のポイント］

radius-server コマンドで複数のサーバを設定している場合，各サーバの再送回数を含めた総応答待ち 時間よりも短い時間を設定すると，認証サーバへ要求している途中で Supplicant へ認証失敗を通知し ます。設定したすべての認証サーバから応答がないときに認証失敗を通知したい場合は，本コマンドの 設定時間の方を長く設定してください。

［コマンドによる設定］

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x timeout server-timeout 300

ポート単位認証を設定しているポート 1/0/1 に認証サーバからの応答待ち時間を 300 秒に設定しま す。

(7)　複数端末からの認証要求時の通信遮断時間の設定

ポート単位認証（シングルモード）が動作しているポートで，複数の端末からの認証要求を検出した場合 に，そのポートでの通信を遮断する時間を設定します。

［設定のポイント］

ポートに接続されてはいけない端末を排除するのに必要な時間を設定してください。

1.(config)# interface gigabitethernet 1/0/1 (config-if)# dot1x timeout keep-unauth 1800

ポート単位認証を設定しているポート 1/0/1 に通信遮断状態の時間を 1800 秒に設定します。

(8)　syslog サーバへの出力設定

動作ログの syslog サーバへの出力を設定します。

［設定のポイント］

IEEE802.1X の認証情報および動作情報を記録した動作ログを，syslog サーバに出力する設定をしま す。

［コマンドによる設定］

1.(config)# dot1x logging enable (config)# logging event-kind aut

動作ログを syslog サーバに出力する設定をします。