近年では誰でも組織内のネットワークには接続させず何らかの認証を導入しているところのほうが割合的に多いです。その中の一つの手段としてIEEE802.1X認証が挙げられます。これは大きく以下の3つで構成されています。
| 項目 | ノード | 説明 |
| サプリカント | クライアント端末 | LANスイッチへアクセスを要求しスイッチからの 要求に応答するデバイスです。 |
| オーセンティケータサーバ | RADIUSサーバ | クライアントの実際の認証を行うデバイスです。 認証サーバをクライアントを識別しアクセスの 許可/拒否をスイッチに通知します。 |
| オーセンティケータ | LANスイッチ 無線コントローラなど |
クライアントの認証ステータスに基づいて ネットワークへの物理アクセスを制御します。 |
また具体的な認証方法については以下の3つがあります。
○ 802.1X ( ユーザID / パスワード )
○ Mac認証バイパス
○ Web認証
実務上で最も多いのはMac認証バイパスです。ユーザID/Passでは漏れる可能性がある。Web認証はエンドユーザの手を煩わす。最も現実的な手法はMac認証という意見を持ったユーザが多いです。
下記では1812Jで802.1Xを有効にする設定を実施します。1812JではMac認証は有効とすることができませんでした。802.1Xといえども限定的な機能しか利用できないようなのでご了承いただければと思います。まず、AAA機能を有効にし認証リストにRADIUSを指定し、dot1xを有効にします。
(config)# aaa new-model (config)# aaa authentication dot1x default group radius (config)# dot1x system-auth-control |
次に具体的なRADIUSサーバのIPアドレスおよびshared keyを指定します。
(config)# radius-server host 192.168.12.20 auth-port 1812 (config)# radius-server key cisco |
全体設定としては以上となります。
あとは各ポートごとに有効/無効を設定することになります。デフォルトでは全てのポートが無効であり無条件に接続可能です。また、dot1xを有効にできるポートはアクセスポートに限定されます。トランクポートなどには設定できませんので注意してください。以下、設定例です。
(config)# interface fa3 (config-if)# switchport mode access (config-if)# dot1x port-control [auto | force-authorized | force-unauthorized ] |
各ポートに対して設定できるパラメータは以下の3つです。
| パラメータ | 説明 |
| auto | 802.1x 認証をイネーブルにします。 ポートは最初、無許可ステートであり認証に成功するとポートが 許可ステートに変わり、認証されたクライアントからの全フレームが ポート経由での送受信を許可されます |
| force-authorized | 802.1x 認証をディセーブルにし、認証情報の交換を必要とせずに、 ポートを許可ステートに変更します。デフォルト設定です。 |
| force-unauthorized | クライアントからの認証の試みをすべて無視し、 ポートを無許可ステートのままにします。 スイッチはポートを介してクライアントに認証サービスを提供できません。 |
Catalystの特定ポートで認証を有効にする場合、そのポート配下で特定端末のみ認証するのか複数端末を認証可とするのか選ぶことができます。デフォルトでは特定端末のみとなっておりますが、複数認証させることも可能です。
(config-if)# dot1x host-mode [multi-host | single-host] |
仮に認証に失敗した場合、別のVLANにアサインさせることも可能です。下記では認証に失敗した場合、Vlan10にアサインさせます。
(config-if)# dot1x auth-fail vlan 10 |
そもそも802.1Xに対応していないクライアントの対してゲストVLANを割り当てることも可能です。
(config-if)# dot1x guest-vlan 10 |
一旦認証するとそのまま接続可能というわけではなく、定期的に再認証させたい場合は以下のコマンドを実施します。reauth-periodで再認証間隔を指定します。デフォルトでは3600 ( 1時間 ) に設定されます。
(config-if)# dot1x timeout reauth-period 7200 (config-if)# dot1x reauthentication |
以上が主な設定となります。これらの設定は下記のshowコマンドで確認することが可能です。
# show dot1x all Sysauthcontrol Enabled Dot1x Protocol Version 2 Dot1x Info for FastEthernet3 ----------------------------------- PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = MULTI_HOST ReAuthentication = Enabled QuietPeriod = 60 ServerTimeout = 0 SuppTimeout = 30 ReAuthPeriod = 7200 (Locally configured) ReAuthMax = 2 MaxReq = 2 TxPeriod = 30 RateLimitPeriod = 0 Auth-Fail-Vlan = 10 Auth-Fail-Max-attempts = 3 Guest-Vlan = 10 |
これらは1812Jとしての設定です。Catalystシリーズであれば802.1X認証、Mac認証、Web認証をそれぞれ組み合わせる、それぞれの認証の順番を任意に入れ替える、など細かな制御が可能となっております。