第 9 章 : ネットワーク監視
10.3 ポート認証
10.3.1 システム全体でのIEEE 802.1X認証機能の設定 [書式]
aaa authentication dot1x no aaa authentication dot1x [初期設定]
no aaa authentication dot1x [入力モード]
グローバルコンフィグレーションモード
[説明]
システム全体でIEEE 802.1X認証を有効にする。
no形式で実行した場合は、システム全体でIEEE 802.1X認証を無効にする。
認証は、radius-server hostコマンドで設定したRADIUSサーバーを使用する。
[ノート]
実際にIEEE 802.1X認証を使用するためには、対象インターフェースでもIEEE 802.1X認証を 有効にする必要があ
る。(dot1x port-controlコマンド)
システムとしてMAC認証とIEEE 802.1X認証は排他制御となるため、IEEE 802.1X認証を有効にするには、 MAC 認証を無効化する必要がある。 (no aaa authentication auth-macコマンド)
[設定例]
システム全体でIEEE 802.1X認証を有効化する。
SWX2300(config)#aaa authentication dot1x
10.3.2 システム全体でのMAC認証機能の設定
[書式]
aaa authentication auth-mac no aaa authentication auth-mac [初期設定]
no aaa authentication auth-mac [入力モード]
グローバルコンフィグレーションモード [説明]
システム全体でMAC認証を有効にする。
no形式で実行した場合は、システム全体でMAC認証を無効にする。
認証は、radius-server hostコマンドで設定したRADIUSサーバーを使用する。
[ノート]
実際にMAC認証を使用するためには、対象インターフェースでもMAC認証を有効にする必要がある。 (auth-mac enableコマンド)
システムとしてMAC認証とIEEE 802.1X認証は排他制御となるため、MAC認証を有効にするには、 IEEE 802.1X 認証を無効化する必要がある。 (no aaa authentication dot1xコマンド)
[設定例]
システム全体でMAC認証を有効化する。
SWX2300(config)#aaa authentication auth-mac 10.3.3 IEEE 802.1X認証機能の動作モード設定
[書式]
dot1x port-control mode no dot1x port-control [パラメーター]
mode : IEEE 802.1X認証の動作モード
動作モード 説明
auto IEEE 802.1X認証のAuthenticatorとして動作
する
force-authorized IEEE 802.1X認証の認証済みポートに固定設
定する
force-unauthorized IEEE 802.1X認証の未認証ポートに固定設定
する
[初期設定]
no dot1x port-control [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、IEEE 802.1X認証機能の動作モードを設定する。
no形式でコマンドを実行した場合は、対象インターフェースのIEEE 802.1X認証機能は無効となる。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
[設定例]
LANポート #1で、IEEE 802.1X認証機能の動作モードをautoに設定する。
SWX2300(config)#interface ge1
SWX2300(config-if)#dot1x port-control auto
10.3.4 IEEE 802.1X認証の未認証ポートでの転送制御の設定
[書式]
dot1x control-direction direction no dot1x control-direction [パラメーター]
direction : 未認証ポートでのパケット転送動作を設定
転送動作 説明
both 送受信とも破棄する。
in 受信のみ破棄する。
[初期設定]
dot1x control-direction both [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、IEEE 802.1X認証の未認証時のパケット転送動作を変更する。
no形式で実行した場合は、初期設定に戻る。
bothを指定している場合、サプリカントから受信したパケットを破棄し、他のポートから サプリカントの接続され ているインターフェースへのブロードキャスト/マルチキャストパケットも破棄する。
inを指定している場合、サプリカントから受信したパケットのみを破棄し、他のポートからサプリカントの接続さ れているインターフェースへのブロードキャスト/マルチキャストパケットは転送する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
対象インターフェースでゲストVLANの設定をしている場合は、本コマンドの設定自体が無効となる。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド)
[設定例]
LANポート #1の未認証ポートでのパケット転送動作を受信のみ破棄にする。
SWX2300(config)#interface ge1
SWX2300(config-if)#dot1x control-direction in
10.3.5 EAPOLパケットの送信回数の設定 [書式]
dot1x max-auth-req count no dot1x max-auth-req [パラメーター]
count : <1-10>
EAPOLパケットの最大送信回数
[初期設定]
dot1x max-auth-req 2 [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、EAPOLパケットの送信回数の最大値を設定する。
no形式でコマンドを実行した場合は、初期設定に戻る。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド)
[設定例]
LANポート #1で、EAPOLパケットの送信回数を3に設定する。
SWX2300(config)#interface ge1
SWX2300(config-if)#dot1x max-auth-req 3 10.3.6 MAC認証機能の設定
[書式]
auth-mac enable auth-mac disable no auth-mac enable [初期設定]
auth-mac disable [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、MAC認証を有効にする。
no形式で実行した場合、または、disableを指定した場合は、MAC認証を無効にする。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
実際にMAC認証を使用するためには、システム全体でもMAC認証を有効にする必要がある。 (aaa authentication auth-macコマンド)
[設定例]
LANポート #1のMAC認証機能を有効にする。
SWX2300(config)#interface ge1 SWX2300(config-if)#auth-mac enable
10.3.7 MAC認証時のMACアドレス形式の設定
[書式]
auth-mac auth-user type case no auth-mac auth-user
[パラメーター]
type : 形式を指定
設定値 形式
hyphen xx-xx-xx-xx-xx-xx
colon xx:xx:xx:xx:xx:xx
unformatted xxxxxxxxxxxx
case : 大文字・小文字を指定
設定値 説明
lower-case 小文字(a~f)
upper-case 大文字(A~F)
[初期設定]
auth-mac auth-user hyphen lower-case [入力モード]
グローバルコンフィグレーションモード [説明]
MAC認証において、認証時に使用するユーザー名・パスワードの形式を変更する。
MAC認証では、サプリカントのMACアドレスをユーザー名・パスワードとして使用しRADIUSサーバーへ認証を 要求する。
no形式で実行した場合は、初期設定に戻る。
[ノート]
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (auth-mac enableコマンド)
[設定例]
MAC認証に使用するMACアドレス形式をハイフンなし、大文字に変更する。
SWX2300(config)#auth-mac auth-user unformatted upper-case 10.3.8 ホストモードの設定
[書式]
auth host-mode mode no auth host-mode [パラメーター]
mode : ポート認証の動作モード
ポート認証の動作モード 説明
single-host
1ポートあたり1サプリカントのみ通信を許 可するモードで、 最初に認証をパスしたサプ リカントのみを許可する
multi-host
1ポートあたり複数サプリカントの通信を許 可するモードで、 最初のサプリカントが認証 をパスすると、同じポート配下の サプリカン トは認証を行わなくても通信が可能となる [初期設定]
auth host-mode single-host [入力モード]
インターフェースモード
[説明]
対象インターフェースに対して、ポート認証の動作モードを変更する。
no形式で実行した場合は、初期設定に戻る。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
マルチホストモードでダイナミックVLANを利用する場合、2番目以降のサプリカントは最初のサプリカントが適
用したVLAN IDが適用される。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1をマルチホストモードに変更する。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth host-mode multi-host 10.3.9 再認証の設定
[書式]
auth reauthentication no auth reauthentication [初期設定]
no auth reauthentication [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、サプリカントの再認証を有効にする。
no形式で実行した場合は、再認証を無効にする。
本設定を有効にした場合は、認証に成功したサプリカントを定期的に再認証する。
再認証の間隔は、auth timeout reauth-periodコマンドで変更できる。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
IEEE 802.1X認証時は、再認証のタイミングになると、サプリカントにEAPOLパケットを送信してユーザー情報を
再取得し、RADIUSサーバーに認証要求を行う。
MAC認証時は、再認証のタイミングになると、サプリカントのMACアドレスをユーザー名、および、パスワード と見なしてRADIUSサーバーに認証要求を行う。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1の再認証を有効にする。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth reauthentication 10.3.10 ダイナミックVLANの設定
[書式]
auth dynamic-vlan-creation no auth dynamic-vlan-creation [初期設定]
no auth dynamic-vlan-creation [入力モード]
インターフェースモード
[説明]
対象インターフェースに対して、ダイナミックVLANを有効にする。
no形式で実行した場合は、ダイナミックVLANを無効にする。
ダイナミックVLANが有効なインターフェースでは、RADIUSサーバーから指定された属性値
(Tunnel-Private-Group-ID)をもとに、所属VLANを動的に変更する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1でダイナミックVLANを有効にする。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth dynamic-vlan-creation 10.3.11 ゲストVLANの設定
[書式]
auth guest-vlan vlan-id no auth guest-vlan [パラメーター]
vlan-id : <1-4094>
ゲストVLAN用のVLAN ID
[初期設定] no auth guest-vlan [入力モード]
インターフェースモード [説明]
対象インターフェースに接続されているサプリカントが未認証、あるいは、認証失敗のときに所属するゲストVLAN を指定する。
no形式で実行した場合は、ゲストVLANの設定を削除する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1でゲストVLAN #10を指定する。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth guest-vlan 10 10.3.12 認証失敗後の抑止期間の設定
[書式]
auth timeout quiet-period time no auth timeout quiet-period [パラメーター]
time : <1-65535>
認証失敗後、サプリカントとの通信を拒否する期間(秒)
[初期設定]
auth timeout quiet-period 60 [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、認証失敗後の認証抑止期間を設定する。
no形式で実行した場合は、初期設定に戻る。
認証抑止期間中に受信したパケットはすべて破棄する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1の抑止期間の設定を300に設定する。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth timeout quiet-period 300 10.3.13 再認証間隔の設定
[書式]
auth timeout reauth-period time no auth timeout reauth-period [パラメーター]
time : <60-86400>
サプリカントの再認証間隔(秒) [初期設定]
auth timeout reauth-period 3600 [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、サプリカントの再認証間隔を設定する。
no形式で実行した場合は、初期設定に戻る。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドを使用するためには、対象インターフェースでポート認証機能、かつ、再認証機能を有効にする必要が ある。 (dot1x port-controlコマンド、auth-mac enableコマンド、auth reauthenticationコマンド)
[設定例]
LANポート #1の再認証間隔の設定を120に設定する。
SWX2300(config)#interface ge1
SWX2300(config-if)#auth timeout reauth-period 120
10.3.14 RADIUSサーバー全体の応答待ち時間の設定
[書式]
auth timeout server-timeout time no auth timeout server-timeout [パラメーター]
time : <1-65535>
認証要求に対する認証サーバーからの応答待ち時間(秒)