この節はリモートRADIUSサーバを使用するIEEE 802.1X認証を構成する方法を説明します。
特権EXECモードで始め、次の手順に従いIEEE 802.1X認証を構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 radius-server host auth ip-addr/hostname
IEEE 802.1X認証のためのRADIUSサーバを生成。
ステップ 3 radius-server key auth
ip-addr/hostnam <0/7> key-value
RADIUSサーバにRADIUS共有キーを発行する。
ステップ 4 authentication login list-name radius RADIUSのための認証リストを生成する。
ステップ 5 dot1x system-auth-control スイッチにIEEE 802.1X認証サポートを有効化。
ステップ 6 dot1x default-login list-name 未構成ユーザーにはIEEE 802.1Xデフォルト・ログイン 用の認証リストを割当てる。
ステップ 7 exit グローバル・コンフィグ・モードに戻る。
ステップ 8
IEEE 802.1XにリモートRADIUSサーバを割当てるにはradius-server host auth ip-addr/hostnameコマンドを使用 します。 RADIUSに認証リストを生成するにはauthentication login list-name radiusコマンドを使用します。 IEEE 802.1X未構成ユーザーに認証リストを割当てるにはdot1x default-login list-name.コマンドを使用します。
この例では、RADIUSサーバ192.168.3.1 を割当て、share key secretコマンドでIEEE 802.1X認証を行います
(BX900-CB1)(Config)#radius-server host auth 192.168.3.1
(BX900-CB1)(Config)#radius-server key auth 192.168.3.1 0 secret (BX900-CB1)(Config)#authentication login test-list radius (BX900-CB1)(Config)#dot1x system-auth-control
(BX900-CB1)(Config)#dot1x default-login test-list (BX900-CB1)(Config)#dot1x port-control all auto (BX900-CB1)(Config)#exit
(BX900-CB1)#show authentication
Authentication Login List Method 1 Method 2 Method 3 --- --- --- --- defaultList local undefined undefined test-list radius undefined undefined (BX900-CB1)#show radius
Current Server Host Address... 192.168.3.1 Number of Configured Servers... 1
Number of Retransmits... 4 Timeout Duration... 5 RADIUS Accounting Mode... Disable RADIUS Dead Time... 255 RADIUS Attribute 4 Mode... Disable RADIUS Attribute 4 Value... 0.0.0.0
(BX900-CB1)#
12 ポート監視を構成する
この節はポート・ミラーリング機能を構成する方法を説明します。
特権EXECモードで始め、次の手順に従いポート・ミラーリングを構成します。
コマンド 目的
ステップ 1 configure グローバル・コンフィグ・モードに入る。
ステップ 2 port-monitor session session-id mode
管理モードの有効化。
ステップ 3 port-monitor session session-id source interface interface-id [rx|
tx]
ポート・モニターのソース・ポートを設定する。 インターフェ イスは物理レイヤー2インターフェイスまたはポートチャネル でありえる(論理インターフェイス)。
ステップ 4 port-monitor session session-id destination interface interface-id
ポート監視ターゲット・ポートの設定。
ステップ 5 show port-monitor session session-id
構成を確認する。
ポート・ミラーリング・セッションを有効化/無効化 するにはport-monitor session session-id mode または no port-monitor session session-id modeグローバル・コンフィグ・コマンドを使用します。 ソース・ポートを構成する にはport-monitor session session-id source interfaceグローバル・コンフィグ・コマンドを使用し、ターゲット・ポ ートを構成するにはport-monitor session session-id destination interfaceグローバル・コンフィグ・コマンドを使 用します。 ポート・ミラーリングの構成を表示するにはshow port-monitor session session-id特権EXECコマンド を使用します。
この例では、インターフェイス 0/46を構成してインターフェイス 0/40で送受信されるパケットを監視し、インター フェイス 0/41で受信されるパケットを監視します:
(BX900-CB1)#configure
(BX900-CB1)(Config)#port-monitor session 1 mode
(BX900-CB1)(Config)#port-monitor session 1 source interface 0/40 (BX900-CB1)(Config)#port-monitor session 1 source interface 0/41 rx (BX900-CB1)(Config)#port-monitor session 1 destination interface 0/46 (BX900-CB1)(Config)#exit
(BX900-CB1)#show port-monitor session 1
Session ID Admin Mode Dest.Port Sour.Port Type --- --- --- --- --- 1 Enable BX900-CB1/0/46 BX900-CB1/0/40 Rx,Tx BX900-CB1/0/41 Rx (BX900-CB1)#
13 IPフィルタリングを構成する
この章はIPアドレスとポート番号の組み合わせによりネットワーク・セキュリティのためにパケットを制御するIPフィル タリングを構成する方法を説明します。