Cisco IEEE802.1x認証の設定方法

Cisco

2019.12.072015.12.27

IEEE802.1x認証の設定方法、コンフィグについて記載します。

IEEE802.1x認証の説明は他サイトを見ればかなり詳しく載っていますので省きます。
が、コンフィグ解説する上で、最低限押さえておきたいものを載せておきます。

Contents

1 IEEE802.1x認証の構成要素
2 認証の種類について
3 802.1x認証の設定方法・サンプルコンフィグ

IEEE802.1x認証の構成要素

・supplicant ・・・認証を行うクライアント。PCやネットワークプリンタなど
・authentication server ・・・認証サーバ。Radiusサーバ
・authenticator ・・・認証サーバとやり取りをおこなうネットワーク機器。スイッチやアクセスポイントなど

認証の種類について

・802.1x認証・・・証明書を使った認証方法
・Mac認証 ・・・MACアドレスによる認証
・Web認証 ・・・Webブラウザを起動にログイン、パスワードなどで認証する。

基本的に、802.1x認証を使用し、Mac認証は802.1x認証が使えない機器に使用(ネットワークプリンタなど)します。Web認証は使ったことありません…

あと、「multi-auth」って概念が出てきますが、
これは、authenticator(認証サーバとやりとりをするスイッチなど)から、
さらに島ハブなどでつながれた複数のsupplicant(PC端末など)でも、
認証できるというものです。

図でいうとこんな感じ。

こんな状態でも、スイッチにmulti-authの設定をすれば、
各端末は認証が行えます。

スイッチによって、multi-auth対応、未対応というのがありますので、
機器選定の際には確認しておきたいところです。

802.1x認証の設定方法・サンプルコンフィグ

では、以下、ciscoスイッチのサンプルコンフィグです。

(config)# aaa new-model

(config)# aaa authentication login default line
///(任意)この機器にtelnetするにも、Radiusへ問い合わせにいっちゃうのでこの設定を入れることで問い合わせに行かないようになる。

(config)# aaa authentication enable default enable
///enable モードに移行する際に「password required but none set」の表示をされなくする。

(config)# aaa authentication dot1x default group radius
///802.1X認証をRADIUSサーバに問い合わせする。

(config)#dot1x system-auth-control

(config)#interface GigabitEthernet1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 10

(config-if)# authentication host-mode multi-auth
///multiauth モードをenableにする。(multiauth モードは下記で説明)

(config-if)# authentication order dot1x mab
///IEEE802.1ｘ認証とMACアドレス認証の認証へ行く順を決定する。

(config-if)# authentication port-control auto
///(必須)このポートで認証をenableにしている。

(config-if)# mab
///MACアドレス認証をenableにする。

(config-if)# dot1x pae authenticator
///(必須)IEEE802.1ｘ認証をenableにする。

(config-if)# dot1x timeout tx-period 20
///スイッチから端末に向けたEAPパケット(RADIUS認証に使用)に対して、端末から返答が返ってこない場合のtimeout値

(config-if)# spanning-tree portfast
///クライアント用ポートなのでportfastをenableにする。

(config)#radius-server host 10.1.1.1 auth-port 1812 key xxxxxxxxxxxx
///RADIUSサーバを設定する。

上記は、スイッチの設定ですが、
ネットワークエンジニアでも、RADIUSの設定を行うことも多々あるかと思います。
実際、私もRADIUSサーバとして下記機器を触ったことがあります。

・IAS(Windows Server 2003)
・NPS(Windows Server 2008 R2)
・ACS、ISE(ciscoのRadiusサーバ)
・NetAttest EPS

そして、このあたりが
RADIUSサーバとして有名どころだと思います。

802.1x認証やRADIUS認証は、無線では必須の機能ですので、
ネットワークエンジニアとしておさえておきたいところです。