ポート認証を実行する設定
| グローバルで有効にする設定 | |
| (config)#aaa new-model | AAAの有効化 |
| (config)#dot1x system-auth-control | .1X認証をグローバルで有効化 |
| (config)#aaa authentication dot1x default group <グループ名> | 認証パケットが来たら指定したradiusサーバグループへ問い合わせるようにデフォルトの認証方法を設定 |
| (config)#aaa authorization network default group <グループ名> | 認証が成功したら、どんな権限を与えるか、指定したグループへ問い合わせるようにする設定 |
| RADIUSサーバの登録 | |
| (config)#radius server <サーバ名> | RADIUSサーバ名の指定 |
| (config-radius-server)# address [ipv4 | fqdn | ipv6] <サーバアドレス・FQDN> auth-port <認証ポート番号> acct-port <アカウンティングポート> |
Radiusサーバのアドレス・FQDNを指定 ポート番号がデフォルトと変更の場合は指定 |
| (config-radius-server)#key <共有パスコード> | Radiusサーバとの共有パスフレーズを記載 |
| RADIUSサーバのグループ化 | |
| (config)# aaa group server radius <グループ名> | Radiusサーバのグループ名を指定 |
| (config-sg-radius)#server name <サーバ名> | 作成したRadiusサーバ名を指定 ※複数ある場合は複数登録できる |
| ポート認証設定 ※例ではVlanを振っていますのでご自身の環境に当てはめて下さい | |
| interface <I/F名> | 有効にしたいI/Fを指定 |
| (config-if)#switchport access vlan 900 | 認証に成功した端末はVLAN900 に割り当てられる |
| (config-if)#switchport mode access | ポートをアクセスポートにする |
| (config-if)#authentication event fail action authorize vlan 999 | 認証失敗時。 主に隔離やゲスト用の VLAN で使用する事が多い |
| (config-if)#authentication event server dead action authorize vlan 998 | 認証サーバーがダウンして応答がない場合に割り当てるVLAN |
| (config-if)#authentication event no-response action authorize vlan 997 | デバイスからの認証要求に対し、認証サーバーが一定時間応答を返さない場合に割り当てるVLAN |
| (config-if)#authentication event server alive action reinitialize | サーバーダウン(上記V998の状態)から認証サーバーが復旧し、応答を返し始めた場合、認証を最初からやり直す |
| (config-if)#authentication host-mode multi-auth | 複数の端末を同時接続可能で、それぞれの端末で個別に認証する |
| (config-if)#authentication order dot1x mab | まず802.1X認証(ユーザー名/パスワードなど)を試行し、失敗した場合にMAB:「MACアドレス認証」を試行する |
| (config-if)#authentication priority dot1x mab | 認証の優先順位①802.1X ②MABの順 |
| (config-if)#authentication port-control auto | リンク状態がダウンからアップに変化したとき、またはポートがアップ状態かつ未認証である限り定期的に認証を開始 |
| (config-if)#authentication periodic | 定期的に再認証を行う |
| (config-if)#authentication timer reauthenticate 43200 | 12時間(43200秒)ごとに再認証 |
| (config-if)#authentication timer inactivity 43200 | 認証に成功した端末が12時間(43200秒)通信がなければ切断 |
| (config-if)#mab | MAC認証バイパスを有効化 |
| (config-if)#dot1x pae authenticator | スイッチポートを802.1Xの認証装置として動作させる |
| (config-if)#dot1x timeout tx-period 20 | 認証要求を20秒ごとに再送 |
Radiusサーバ接続テスト
コマンド
test aaa group radius ユーザ名 パスワード [legacy | new-code | mschap | 指定無し]
legacy:旧形式(PAP認証)・・・平文(クリアテキスト)でパスワードを送る。
new-code:新しい形式(CHAP認証)・・・パスワードをハッシュ化して送る。
mschap:MS-CHAP 認証を使用・・・パスワードはチャレンジレスポンス形式で送る(Windows ADやNPSでよく使われる)
無指定:デフォルト・・・legacy/new-code が使用される。
L2-auth-SW# test aaa group radius test-user testpw legacy
成功
Attempting authentication test to server-group radius using radius
User was successfully authenticated.
失敗
Attempting authentication test to server-group radius using radius
No authoritative response from any server.
サーバと疎通が取れない時
Attempting authentication test to server-group radius using radius
No authoritative response from any server.
認証確認コマンド
インターフェースで認証が成功すると下記の様に表示されます
コマンド:show authentication sessions interface <I/F名> details
コメント