UnixPower on Networking
  http://www.unix-power.net/

 
 Top - Cisco - Cisco1812J 802.1X認証



近年では誰でも組織内のネットワークには接続させず何らかの認証を導入しているところのほうが割合的に多いです。その中の一つの手段としてIEEE802.1X認証が挙げられます。これは大きく以下の3つで構成されています。


項目 ノード  説明 
サプリカント  クライアント端末  LANスイッチへアクセスを要求しスイッチからの要求に応答するデバイスです。 
オーセンティケータサーバ RADIUSサーバ クライアントの実際の認証を行うデバイスです。認証サーバをクライアントを識別しアクセスの許可/拒否をスイッチに通知します。 
オーセンティケータ LANスイッチ
無線コントローラなど 
クライアントの認証ステータスに基づいてネットワークへの物理アクセスを制御します。 



また具体的な認証方法については以下の3つがあります。


○ 802.1X ( ユーザID / パスワード )
○ Mac認証バイパス
○ Web認証

実務上で最も多いのはMac認証バイパスです。ユーザID/Passでは漏れる可能性がある。Web認証はエンドユーザの手を煩わす。最も現実的な手法はMac認証という意見を持ったユーザが多いです。

下記では1812Jで802.1Xを有効にする設定を実施します。1812JではMac認証は有効とすることができませんでした。802.1Xといえども限定的な機能しか利用できないようなのでご了承いただければと思います。まず、AAA機能を有効にし認証リストにRADIUSを指定し、dot1xを有効にします。

(config)# aaa new-model
(config)# aaa authentication dot1x default group radius
(config)# dot1x system-auth-control


次に具体的なRADIUSサーバのIPアドレスおよびshared keyを指定します。

(config)# radius-server host 192.168.12.20 auth-port 1812
(config)# radius-server key cisco


全体設定としては以上となります。

あとは各ポートごとに有効/無効を設定することになります。デフォルトでは全てのポートが無効であり無条件に接続可能です。また、dot1xを有効にできるポートはアクセスポートに限定されます。トランクポートなどには設定できませんので注意してください。以下、設定例です。

(config)# interface fa3
(config-if)# switchport mode access
(config-if)# dot1x port-control [auto | force-authorized | force-unauthorized ]


各ポートに対して設定できるパラメータは以下の3つです。

パラメータ 説明 
auto  802.1x 認証をイネーブルにします。ポートは最初、無許可ステートであり認証に成功するとポートが許可ステートに変わり、認証されたクライアントからの全フレームがポート経由での送受信を許可されます 
force-authorized  802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、ポートを許可ステートに変更します。デフォルト設定です。 
force-unauthorized クライアントからの認証の試みをすべて無視し、ポートを無許可ステートのままにします。スイッチはポートを介してクライアントに認証サービスを提供できません。 


Catalystの特定ポートで認証を有効にする場合、そのポート配下で特定端末のみ認証するのか複数端末を認証可とするのか選ぶことができます。デフォルトでは特定端末のみとなっておりますが、複数認証させることも可能です。

(config-if)# dot1x host-mode [multi-host | single-host]


仮に認証に失敗した場合、別のVLANにアサインさせることも可能です。下記では認証に失敗した場合、Vlan10にアサインさせます。

(config-if)# dot1x auth-fail vlan 10


そもそも802.1Xに対応していないクライアントの対してゲストVLANを割り当てることも可能です。

(config-if)# dot1x guest-vlan 10


一旦認証するとそのまま接続可能というわけではなく、定期的に再認証させたい場合は以下のコマンドを実施します。reauth-periodで再認証間隔を指定します。デフォルトでは3600 ( 1時間 ) に設定されます。

(config-if)# dot1x timeout reauth-period 7200
(config-if)# dot1x reauthentication


以上が主な設定となります。これらの設定は下記のshowコマンドで確認することが可能です。

# show dot1x all
Sysauthcontrol              Enabled
Dot1x Protocol Version            2

Dot1x Info for FastEthernet3
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both
HostMode                  = MULTI_HOST
ReAuthentication          = Enabled
QuietPeriod               = 60
ServerTimeout             = 0
SuppTimeout               = 30
ReAuthPeriod              = 7200 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
RateLimitPeriod           = 0
Auth-Fail-Vlan            = 10
Auth-Fail-Max-attempts    = 3
Guest-Vlan                = 10


これらは1812Jとしての設定です。Catalystシリーズであれば802.1X認証、Mac認証、Web認証をそれぞれ組み合わせる、それぞれの認証の順番を任意に入れ替える、など細かな制御が可能となっております。


 
 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.