はじめに前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設 定を見ていきます。 Configuring a Restricted VLANスイッチにRestricted VLANを設定すると、認証に失敗したClientをRestricted VLAN に割り当てることができます。IEEE 802.1x-capableのClientがRestricted VLAN にまわされるのは、無効なユーザ名やパスワードをRADIUS Serverが受け取っ て認証に失敗した場合です。 スイッチはシングルホストモードでのみRestricted VLANをサポートしていま す。Guest VLANとは違ってマルチホストモードではサポートしていないので注 意が必要です。 以下に設定ステップを示します。この設定はオプショナルです。 Step1 Switch# conf t まず、

はじめに前回はIEEE 802.1xの設定についてお勉強しましたが、今回も同様に様々な設定を見ていきます。 Configuring IEEE 802.1x AccountingIEEE 802.1x Accountingを有効にすると、システムがイベントをリロードしてRADIUS ServerへAccounting情報を送信できるようになります。これによりRADIUS ServerはアクティブなIEEE 802.1xセッションはクローズされたと推察します。 RADIUSは信頼性の低いUDPをトランスポートプロトコルに使用しているので、accountingメッセージはネットワークの状態によりロストしてしまう場合があります。スイッチがRADIUS Serverからのaccounting responseメッセージを、設定されたaccounting request再送回数までに受け取れない場合は

Changing the Switch-to-Client Retransmission TimeスイッチはクライアントにEAP-request/identityフレームを送信して、応答が なかった場合に再送します。この再送までの時間（retransmission time）を 変えることができます。しかし、このtimerを変えることはCiscoは推奨してい ないようですので、実環境では変えないほうが無難かと。 Retransmission timerを変更する場合の設定ステップを以下に示します。この 設定はオプショナルです。 Step1 Switch# conf t まず、Global Configuration Modeに移ります。 Step2 Switch(config)# interface interface-id Retransmissionの値を指定するインタフェースを入力し

Configuring the Host ModeIEEE 802.1xが有効になっているポートでシングルホストモードかマルチホス トモードかを指定することができます。ホストモードを設定する前に対象のポ ートでdot1x port-control autoと設定されているかを確認しましょう。 デフォルトの設定はdot1x port-control force-authorizedですのでIEEE 802.1x は機能していません。 Step1 Switch# conf t まず、Global Configuration Modeに移ります。 Step2 Switch(config)# interface interface-id ホストモードを指定したいインタフェースを入力します。 Step3 Switch(config-if)# dot1x host-mode multi-host マル

はじめに前回はIEEE 802.1xを設定する際のガイドラインをお勉強しました。今回から はIOSのUpgradeの話と設定について見ていきます。 Upgrading from a Previous Software ReleaseCisco IOS Release 12.1(14)EA1のバージョンでは、それ以前のバージョンと IEEE 802.1xの実装が変わっています。いくつかのグローバルコンフィグレー ションコマンドがインタフェースコンフィグレーションコマンドになっていた り、新しいコマンドが追加されていたりします。 IEEE 802.1x認証が設定されているスイッチで、12.1(14)EA1より前のIOSを新 しくアップグレードする場合、コンフィグレーションファイルに新しいコマン ドが含まれないため、IEEE 802.1x認証は機能しません。 アップグレードが終わったら、dot1

はじめに前回はMAC認証バイパスとIEEE 802.1xのデフォルト設定についてお勉強しまし た。今回はIEEE 802.1xを設定する際のガイドラインをみて、実際の設定方法 について詳しく見ていきます。 IEEE 802.1x Authentication Configuration Guidelinesこのセクションでは以下の機能についてのガイドラインを示します。 －IEEE 802.1x Authentication －VLAN Assignment, Guest VLAN, Restricted VLAN, andInaccessible Authentication Bypass －MAC Authentication Bypass IEEE 802.1x AuthenticationIEEE 802.1x認証を有効にすると、他のL2、L3の機能が有効になる前にポート が認証され

はじめに前回はVoice VLANポートとIEEE 802.1x、Port SecurityとIEEE 802.1x Wake-on-LAN とIEEE 802.1xについてお勉強しました。 今回はMAC認証バイパスとIEEE 802.1xの設定についてみていきます。 Using IEEE 802.1x Authentication with MAC Authentication BypassMAC認証バイパス機能を使って、クライアントのMACアドレスベースでIEEE 802.1x 認証を行うことが可能です。例えば、IEEE 802.1xが有効になっているポート にプリンタなどをを接続する場合に利用できます。 MAC認証バイパスが有効になっている場合、クライアントのMACアドレスをIDと して利用できます。スイッチがクライアントからEAPOLフレームを待っている 間にtimeoutすると、

はじめに前回はRestricted VLANとアクセス不能認証バイパスについてお勉強しました。 今回はVoice VLANポートとIEEE 802.1x、Port SecurityとIEEE 802.1x、Wake-on-LAN とIEEE 802.1xについてお勉強します。 Using IEEE 802.1x Authentication with Voice VLAN PortsVoice VLANは2つのVLAN識別子に関連付けられた特別なアクセスポートです。 －VVID (Voice VLAN Identifier) －PVID (Port VLAN Identifier) VVIDはIP Phoneからの音声トラフィックを運ぶために使用されます。VVIDは物 理ポートに接続されたIP Phoneの設定に使用されます PVIDはIP Phoneに接続されているワークステーションから

はじめに前回は認証されたユーザ単位のACLの適用やGuest VLANについてお勉強しまし た。今回はRestricted VLANとアクセス不能認証バイパスについてお勉強しま しょう。 ちなみに、このIEEE 802.1xは内容が濃いです。CCIEでは出題内容についての 深さがBlueprintからは推し量れないので、結局できるだけ深く勉強するしか ありません。 またBlueprintに書かれていないことであっても出題されます。「ここまでの 内容は問われないよな」と思いたくなりますが、そうタカを括っていると、思 わぬ落とし穴にはまったりしますのでしっかり勉強しましょう（笑） Using IEEE 802.1x Authentication with Restricted VLANIEEE 802.1x対応のクライアントで、認証に失敗したクライアントをRestricted VLAN に割り

はじめに前回は動作モード、Accounting、VLAN割り当てについてお勉強しました。今回 からは認証されたユーザ単位のACLの適用やGuest VLANやRestricted VLANの適 用についてお勉強したいと思います。 Using IEEE 802.1x Authentication with Per-User ACLsIEEE 802.1xで認証されたユーザに、異なったアクセスレベルやサービスを提 供するため、ユーザ毎のACLを割り当てることができます。 RADIUSサーバを使用しているIEEE 802.1x認証で、認証が有効になっている物 理ポートにユーザが接続されると、RADIUSサーバでユーザのIDが認証されます。 そのIDにACLの属性が割り当てられていれば、RADIUSサーバはそのACLをスイッ チに送信します。 スイッチはそのユーザが接続されてIEEE 802.1x

はじめに前回は IEEE802.1xでの認証の初期化、メッセージ交換、ポートの状態などを お勉強しました。今回からは動作モード、Accounting、VLAN割り当てについて 見ていきたいと思います。 IEEE 802.1x Host Modeスイッチのポートに対するIEEE802.1x認証をシングルホストモードかマルチホ ストモードかを選択できます。 シングルホストモードは、スイッチとクライアントを直接接続したタイプのモ ードです。スイッチはクライアントが接続されるとIEEE 802.1x認証を開始し、 認証します。クライアントのケーブルが抜かれたりLogoffしたりすると、ポー トをunauthorizedの状態にします。 マルチホストモードでは、IEEE 802.1xが有効になっている物理ポートに複数 のクライアントを接続できます。イメージとしてはスイッチにHUBか何かが接 続され、

はじめに前回は IEEE802.1xでのデバイスの役割や認証フローについて説明しました。 今回は認証の初期化、メッセージ交換、ポートの状態などを説明します。 Authentication Initiation and Message ExchangeIEEE 802.1x認証は、スイッチ、もしくはクライアントPCが認証フェーズを始 められます。スイッチのポートにdot1x port-control autoコマンドが設定さ れていたらスイッチはリンクのUP/DOWNを検知して認証を始めます。また、ポ ートがUPのままで認証されていない状態では定期的に認証を始めることもでき ます。 スイッチはEAP-request/identityフレームをクライアントに送り、クライアン トのIDを要求します。クライアントがこのフレームを受け取るとクライアント はEAP-respond/identityフレ

はじめに今回はIEEE802.1xを使った認証についてお勉強したいと思います。IEEE802.1x は認証されていない不正なユーザがネットワークにアクセスできないようにす る仕組みです。スイッチのポート単位で、アクセスさせる・させないを制御し ます。 Understanding IEEE 802.1x Port-Based AuthenticationIEEE802.1xはクライアント－サーバベースのアクセス制御と認証プロトコルを 組み合わせて、認証されていないユーザがスイッチの空いているポートに接続 して無断でLANを使用できないようにする仕組みです。 クライアントが認証されるまで、IEEE802.1xはExtensible Authentication Protocol over LAN (EAPOL)、 CDP、STPのフレームのみ許可します。認証が成功すると通常のトラフィックが ポ

本サイトでは、インストール & アップグレードガイド、コンフィギュレーションガイドなど、マニュアル類の日本語訳を掲載しています シスコ製品をご使用になる前に安全上の注意をご確認ください。 本サイトに掲載のドキュメントは、米国シスコシステムズ発行ドキュメントの参考和訳です。 米国サイト掲載ドキュメントとの差異が生じる場合があるため、正式な内容については米国サイトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認ください。