dot1x プ ロ ト コ ルには、 ク ラ イ ア ン ト と ス イ ッ チ (認証側) 間で実行 さ れる認証プ ロ セ スおよ びス イ ッ チ と 認証サーバー間で実行 さ れる ク ラ イ ア ン ト ア イ デ ン テ ィ テ ィ のル ッ ク ア ッ プ プ ロ セス を制御する グ ローバル パ ラ メ ー タ が含まれています。 こ の項目では、 こ れ らのパラ メ ー タ の構成オプ シ ョ ンについて説明 し ます。
コ マ ン ド 属性
• 「802.1X Re-authentication」 – 「Timeout for Re-authentication Period」 に指定 さ れた期間 の経過後、 ク ラ イ ア ン ト を再認証する よ う 設定 し ます。 再認証を行 う こ と に よ り 、 新規デ バイ スがス イ ッ チ ポー ト にプ ラ グ イ ン さ れたかど う かを検知で き ます(デ フ ォ ル ト: オ フ )。
• 「802.1X Max Request Count」 – ス イ ッ チ ポー ト がク ラ イ ア ン ト に EAP 要求パケ ッ ト を再 送する最大回数を設定 し ます。 こ の回数に達する と 、 認証セ ッ シ ョ ンは タ イ ムアウ ト にな
り ます (範囲: 1 ~ 10、 デ フ ォル ト: 2)。
• 「Timeout For Quiet Period」 – 最大要求回数を超えた場合に、 ス イ ッ チ ポー ト が新規ク ラ イ ア ン ト の取得を待機する時間を設定 し ます (範囲: 1 ~ 65535 秒、 デ フ ォ ル ト: 60 秒)。
• 「Timeout For Re-authentication Period」 – 接続済みのク ラ イ ア ン ト に再認証を要求する ま での期間を設定 し ます (範囲: 1 ~ 65535 秒、 デ フ ォ ル ト: 3600 秒)。
• 「Timeout For Tx Period」 – 認証セ ッ シ ョ ンにおいてス イ ッ チが EAP パケ ッ ト の再送を待 機する期間を設定 し ます (範囲: 1 ~ 65535、 デ フ ォル ト: 30 秒)。
• 「authentication dot1x default」* – デ フ ォル ト の認証サーバー タ イ プ を設定 し ます。dot1x が正常に機能する ためには、 指定 し た認証サーバー タ イ プが有効に さ れ、 適切に構成 さ れ ている必要があ り ます (オプ シ ョ ン: 「radius」)。
* CLI のみ
802.1X is enabled on port 1/48 Status Authorized Operation mode Single-Host Max count 5
Port-control Auto
Supplicant 00-00-e8-49-5e-dc Current Identifier 3
Authenticator State Machine State Authenticated Reauth Count 0
Backend State Machine State Idle Request Count 0 Identifier(Server) 2
Reauthentication State Machine State Initialize Console#
3
ユーザー認証
ウ ェ ブ – 「Security」、 「802.1x」、 「Configuration」 の順に ク リ ッ ク し ます。 ス イ ッ チで dot1x を グ ローバルに有効に し 、 必要に応 じ てパ ラ メ ー タ を変更 し て、 「Apply」 を ク リ ッ ク し ます。
図3-27. 802.1X の構成
CLI – この例では、再認証を有効に し 、802.1x のすべてのグローバル パラ メ ー タ を設定 し てい ます。
ポー ト 認証モー ド の構成
dot1x を有効にする場合、 各ポー ト に dot1x 認証モー ド を構成する必要があ り ます。
コ マ ン ド 属性
• 「Status」 – ポー ト で認証が有効に さ れているか無効に さ れているかが示 さ れます。
• 「Operation Mode」 – 単一または複数のホス ト (ク ラ イ ア ン ト ) を 1 つの 802.1X 認証ポー ト に接続で き ます (範囲: 「Single-Host」、 「Multi-Host」、 デ フ ォル ト: 「Single-Host」)。
• 「Max Count」 – 「Multi-Host」 オペレーシ ョ ン モー ド が選択 さ れている場合に、 ポー ト に 接続可能な最大ホス ト 数 (範囲: 1 ~ 20、 デ フ ォ ル ト: 5)
• 「Mode」 – 認証モー ド を次のいずれかのオプ シ ョ ンに設定 し ます。
- 「Auto」 – dot1x 対応のク ラ イ ア ン ト は認証サーバーで認証を受ける必要があ り ます。
dot1x 対応でない ク ラ イ ア ン ト はア ク セス を拒否 さ れます。
- 「Force-Authorized」 – dot1x 対応かど う かを問わず、 ポー ト ですべての ク ラ イ ア ン ト に ア ク セス を許可 し ます。
- 「Force-Unauthorized」 – dot1x 対応かど う かを問わず、 ポー ト ですべてのク ラ イ ア ン ト のア ク セス を拒否 し ます。
Console(config)#dot1x re-authentication 4-81
Console(config)#dot1x max-req 5 4-79
Console(config)#dot1x timeout quiet-period 40 4-81 Console(config)#dot1x timeout re-authperiod 5 4-82 Console(config)#dot1x timeout tx-period 40 4-82 Console(config)#authentication dot1x default radius 4-79 Console(config)#
• 「Authorized 」
- 「Yes」 – 接続 さ れている ク ラ イ ア ン ト は認証済みです。
- 「No」 – 接続 さ れている ク ラ イ ア ン ト は認証 さ れていません。
- 空欄 – ポー ト で dot1x が無効に さ れている場合は何 も表示 さ れません。
• 「Supplicant」 – 接続済みク ラ イ ア ン ト の MAC ア ド レ スが表示 さ れます。
• 「Trunk」 – ポー ト が ト ラ ン ク ポー ト と し て構成 さ れているかど う かが示 さ れます。
ウ ェ ブ – 「Security」、 「802.1x」、 「Port Configuration」 の順に ク リ ッ ク し ます。 ド ロ ッ プ ダウ ン ボ ッ ク スから認証モー ド を選択 し 、 「Apply」 を ク リ ッ ク し ます。
図3-28. 802.1x ポー ト の構成
CLI – この例では、 ポー ト 2 で認証モー ド を設定 し て 802.1x を有効に し 、 こ のポー ト への接 続を最大 10 個のク ラ イ ア ン ト に許可 し ています。
Console(config)#interface ethernet 1/2 4-124
Console(config-if)#dot1x port-control auto 4-79 Console(config-if)#dot1x operation-mode multi-host max-count 10 4-80 Console(config-if)#
3
ユーザー認証