この文書では、Dell Networking Force 10スイッチで802.1x認証を有効にする方法について説明します。
目的
- 802.1xとは?
- 覚えておくべき重要事項
- 802.1xの有効化
- RADIUSサーバー接続のセット アップ
- 設定の確認
802.1xとは?
802.1xはポート セキュリティの方式です。802.1xで有効になっているポートに接続されているデバイスは、IDを確認できるまで(ユーザー名とパスワードの使用など)、ネットワーク上でパケットの送受信が許可されません。この機能はIEEE仕様に由来しています。
802.1xでは、拡張認証プロトコル(EAP)を使用して、必須の仲介ネットワーク アクセス デバイス(この場合はDell Networkingスイッチ)を使用してデバイスの認証情報を認証サーバー(通常はRADIUS)に転送します。ネットワーク アクセス デバイスは、エンドユーザーのデバイスと認証サーバー間のすべての通信を仲介し、ネットワークの安全性を維持します。ネットワーク アクセス デバイスはEAP-over-Ethernet(EAPOL)を使用してエンドユーザー デバイスと通信し、EAP-over-RADIUSを使用してサーバーと通信します。
Dell Networkingオペレーティング システム(OS)は、EAP-MD5、EAP-OTP、EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1で802.1Xを、PEAPでMS-CHAPv2をサポートします。
覚えておくべき重要事項
- Dell Networking OSは、EAP-MD5、EAP-OTP、EAP-TLS、EAP-TTLS、PEAPv0、PEAPv1で802.1Xを、PEAPでMS-CHAPv2をサポートします。
- すべてのプラットフォームでは、認証サーバーとしてRADIUSのみがサポートされます。
- プライマリRADIUSサーバーが応答しなくなった場合、設定されていれば、認証者はセカンダリRADIUSサーバーを使用し始めます。
- 802.1Xはポートチャネルまたはポートチャネル メンバーではサポートされていません。
802.1xの有効化
| コマンド |
パラメータ |
| FTOS# configure |
設定モードに入ります。 |
| FTOS(conf)# dot1x authentication |
dot1x認証をグローバルに有効にします |
| FTOS(conf)# interface range te 1/1 – 2 |
設定するポートの特定の範囲を入力します。 |
| FTOS(conf-if-te-1/1-2)# switchport |
インターフェイスでレイヤ2のswitchportモードを有効にします。 |
| FTOS(conf-if-te-1/1-2)# dot1x authentication |
指定した範囲のポート レベルでdot1x認証を有効にします。 |
RADIUSサーバー接続のセット アップ
| コマンド |
パラメータ |
| FTOS# configure |
設定モードに入ります。 |
| FTOS(conf)#radius-server host 10.180.58.10 |
RADIUSサーバーの場所を示すIPアドレスまたはホスト名を設定します。 |
| FTOS(conf)#radius-server key {encryption-type} key |
RADIUSサーバーとハンドシェイクするためにRADIUSサーバー キーを設定します。
暗号化タイプのオプションは次のとおりです。
0 次の暗号化されていないキーを指定します
7 次の非表示キーを指定します
LINE 暗号化されていない(クリアテキスト)ユーザー キー(最大42文字) |
| FTOS(conf)#dot1x auth-server radius |
dot1x認証サーバーをRADIUSサーバーとして識別します。 |
802.1x設定の確認
次のコマンドは、スイッチで設定された802.1xを表示します。
FTOS#show running-config | find dot1x
dot1x authentication
!
[output omitted]
!
interface TenGigabitEthernet 1/1
no ip address
dot1x authentication
no shutdown
FTOS#show dot1x interface TenGigabitEthernet 1/1
802.1x information on Te 1/1
:-----------------------------
Dot1x Status: Enable
Port Control: AUTO
Port Auth Status: UNAUTHORIZED
Re-Authentication: Disable
Untagged VLAN id: None
Guest VLAN: Disable
Guest VLAN id: NON
EAuth-Fail VLAN: Disable
Auth-Fail VLAN id: NONE
Auth-Fail Max-Attempts: NONE
Mac-Auth-Bypass: Disable
Mac-Auth-Bypass Only: Disable
Tx Period: 30 seconds
Quiet Period: 60 seconds
ReAuth Max: 2
Supplicant Timeout: 30 seconds
Server Timeout: 30 seconds
Re-Auth Interval: 3600 seconds
Max-EAP-Req: 2
Host Mode: SINGLE_HOST
Auth PAE State: Initialize
Backend State: Initialize
FTOS#show run | grep radius|dot1x
dot1x authentication
dot1x authentication
radius-server host 10.180.58.10 key 7 7bb92471cb453a73