この節はリモートRADIUSサーバを使用するIEEE 802.1X認証を構成する方法を説明します。
特権EXECモードで始め、次の手順に従いIEEE 802.1X認証を構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 radius‑server host auth
ip‑addr/hostname
IEEE 802.1X認証のためのRADIUSサーバを生成。
ステップ 3 radius‑server key auth
ip‑addr/hostnam <0/7> key‑value
RADIUSサーバにRADIUS共有キーを発行する。
ステップ 4 authentication login
list‑name
radius RADIUSのための認証リストを生成する。ステップ 5 dot1x system‑auth‑control スイッチにIEEE 802.1X認証サポートを有効化。
ステップ 6 dot1x default‑login
list‑name
未構成ユーザーにはIEEE 802.1Xデフォルト・ログイン 用の認証リストを割当てる。ステップ 7 exit グローバル・コンフィグ・モードに戻る。
ステップ 8
IEEE 802.1XにリモートRADIUSサーバを割当てるにはradius‑server host auth
ip‑addr/hostname
コマンドを使用 します。 RADIUSに認証リストを生成するにはauthentication loginlist‑name
radiusコマンドを使用します。IEEE 802.1X未構成ユーザーに認証リストを割当てるにはdot1x default‑login
list‑name
.コマンドを使用します。
この例では、RADIUSサーバ192.168.3.1 を割当て、share key secretコマンドでIEEE 802.1X認証を行います
(BX900‑CB1)(Config)#radius‑server host auth 192.168.3.1
(BX900‑CB1)(Config)#radius‑server key auth 192.168.3.1 0 secret (BX900‑CB1)(Config)#authentication login test‑list radius
(BX900‑CB1)(Config)#dot1x system‑auth‑control (BX900‑CB1)(Config)#dot1x default‑login test‑list (BX900‑CB1)(Config)#dot1x port‑control all auto (BX900‑CB1)(Config)#exit
(BX900‑CB1)#show authentication
Authentication Login List Method 1 Method 2 Method 3
‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑
defaultList local undefined undefined test‑list radius undefined undefined (BX900‑CB1)#show radius
Current Server Host Address... 192.168.3.1
Number of Configured Servers... 1 Number of Retransmits... 4 Timeout Duration... 5
RADIUS Accounting Mode... Disable RADIUS Dead Time... 255 RADIUS Attribute 4 Mode... Disable RADIUS Attribute 4 Value... 0.0.0.0
(BX900‑CB1)#
12 ポートミラーを構成する
この節はポート・ミラーリング機能を構成する方法を説明します。
特権EXECモードで始め、次の手順に従いポート・ミラーリングを構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 port‑monitor session
session‑id
mode管理モードの有効化。
ステップ 3 port‑monitor session
session‑id
source interfaceinterface‑id [rx│
tx]
ポート・モニターのソース・ポートを設定する。 インターフェ イスは物理レイヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。
ステップ 4 port‑monitor session
session‑id
destination interfaceinterface‑id
ポート監視ターゲット・ポートの設定。
ステップ 5 show port‑monitor session
session‑id
構成を確認する。
ポート・ミラーリング・セッションを有効化/無効化 するにはport‑monitor session
session‑id
mode または no port‑monitor sessionsession‑id
modeグローバル・コンフィグ・コマンドを使用します。 ソース・ポートを構成する にはport‑monitor sessionsession‑id
source interfaceグローバル・コンフィグ・コマンドを使用し、ターゲット・ポ ートを構成するにはport‑monitor sessionsession‑id
destination interfaceグローバル・コンフィグ・コマンドを使 用します。 ポート・ミラーリングの構成を表示するにはshow port‑monitor sessionsession‑id
特権EXECコマンド を使用します。
この例では、インターフェイス 0/46を構成してインターフェイス 0/40で送受信されるパケットを監視し、インター フェイス 0/41で受信されるパケットを監視します:
(BX900‑CB1)#configure
(BX900‑CB1)(Config)#port‑monitor session 1 mode
(BX900‑CB1)(Config)#port‑monitor session 1 source interface 0/40 (BX900‑CB1)(Config)#port‑monitor session 1 source interface 0/41 rx (BX900‑CB1)(Config)#port‑monitor session 1 destination interface 0/46 (BX900‑CB1)(Config)#exit
(BX900‑CB1)#show port‑monitor session 1
Session ID Admin Mode Dest.Port Sour.Port Type
‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑‑‑‑‑‑‑‑‑ ‑‑‑‑‑
1 Enable BX900‑CB1/0/46 BX900‑CB1/0/40 Rx,Tx BX900‑CB1/0/41 Rx (BX900‑CB1)#
13 IPフィルタリングを構成する
この章はIPアドレスとポート番号の組み合わせによりネットワーク・セキュリティのためにパケットを制御するIPフィル タリングを構成する方法を説明します。