IEEE802.1X認証(認証VLAN)
・スイッチにつながったパソコンに対してIEEE802.1X認証をする
・認証に合格したパソコンを決められたVLANに所属させる
ネットワーク構成(画像を別ウインドウで表示)
SwitchAのコンフィグ
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname SwitchA
!
aaa new-model ←この危機で認証機能を有効にする
aaa authentication dot1x default group radius ←IEEE802.1Xの認証にRADIUSを使う
aaa authorization network default group radius ←ネットワークの認可(VLAN割り当て)にRADIUSを使う
!
dot1x system-auth-control
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
switchport mode access ←アクセスポートにしておく
dot1x port-control auto ←このポートでIEEE802.1X認証を有効にする
spanning-tree portfast
!
!
interface Vlan1
ip address 192.168.100.50 255.255.255.0 ←自身にIPアドレスを振っておく
!
radius-server host 192.168.100.100 auth-port 1812 acct-port 1646 key cisco ←RADIUS通信の設定
radius-server source-ports 1645-1646
!
line con 0
line vty 5 15
!
!
end
確認
IEEE802.1X認証を使うと,認証をクリアしたユーザーにVLAN番号を割り当てることができます。
一般的に,「認証VLAN」などと呼ばれている機能です。
設定と動作を確認してみましょう。


●パソコンとRADIUSサーバーの設定
最初に準備として,パソコンとRADIUSの設定を確認しましょう。

■パソコン
パソコンの設定は,IEEE802.1X認証の基本設定の設定と変わりません。
WindowsXPに標準で付いているサプリカントを使います。
同じく,認証方式はMD5方式を使ってみます。

■RADIUSサーバー
RADIUSサーバーには,usersファイルにユーザー名,パスワード,VLAN番号の三つを記述します。
以下は,ユーザー名がuser10,パスワードがuser10,VLAN番号が10のユーザーの記述例です。

user10   Auth-Type := EAP,User-Password == "user10"
        Tunnel-Type = 13,
        Tunnel-Medium-Type = 6,
        Tunnel-Private-Group-Id = 10


IEEE802.1X認証の基本設定のラボで実践したような単なる認証と違うところは,2〜4行目が加わっているところです。
「Tunnel-Type = 13」がVLANを表し,「Tunnel-Medium-Type = 6」がイーサネットを表し,「Tunnel-Private-Group-Id = 20」がVLAN番号が20であることを示しています。
RADIUSサーバーとスイッチは,こうした情報をやりとりしてVLAN番号を知らせるわけです。
このラボ・シナリオで使う設定ファイルは,こちらのファイルを使います。

パソコンとRADIUSサーバーの設定は以上です。
これで,パソコンとRADIUSサーバーの間で,MD5方式で認証する準備が整いました。
(設定ファイルを書き換えたときは,RADIUSサーバーを再起動するのを忘れずに。)


●スイッチの設定
スイッチの設定は,IEEE802.1X認証の基本設定のラボに,一つコマンドを加えるだけです。
加えるコマンドは,aaa authorizationコマンドです。
「authorization」は「認可」という意味で,認証をクリアしたユーザーのアクセス権のことです。
ユーザーごとにVLANやACLを割り当てたいときは,このaaa authorizationコマンドを入れる必要があります。
以下は,こうしたアクセス権の設定に,RADIUSサーバーの情報を使うという意味です。

SwitchA(config)#aaa authorization network default group radius

スイッチの設定は以上です。
これで,スイッチがVLAN割り当てをする準備も整いました。


●動作の確認
認証前のスイッチの状態を見ておきましょう。
show vlanコマンドでVLANの状態を見てみます。
Fa0/1は,デフォルトのVLAN1に所属しているのがわかります(下の赤字の部分)。

Switch#show vlan brief

VLAN Name                       Status    Ports
---- -------------------------------- --------- -------------------------------
1  default                        active   Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                      Fa0/5, Fa0/6, Fa0/7, Fa0/8
                                      Fa0/9, Fa0/10, Fa0/11, Fa0/12
                                      Fa0/13, Fa0/14, Fa0/15, Fa0/16
                                      Fa0/17, Fa0/18, Fa0/19, Fa0/20
                                      Fa0/21, Fa0/22, Fa0/23, Fa0/24
                                      Gi0/1, Gi0/2
10  VLAN0010                     active
1002 fddi-default                   act/unsup
1003 token-ring-default              act/unsup
1004 fddinet-default                act/unsup
1005 trnet-default                 act/unsup



では,実際に認証VLANの動作を見てみましょう。
パソコンをスイッチのFastEthernet0/1ポートにつなぐと,パソコンに以下の吹き出しが出ます。



吹き出しをクリックすると,ユーザー名とパスワードの入力を促すウインドウが出ます。
今回は,ユーザー名「user10」,パスワード「user10」と入力します。



認証がOKならば,パソコンには「ローカルエリア接続に接続しました」というメッセージが出るはずです。
認証後のスイッチのVLANを見てみましょう。

Switch#show vlan brief

VLAN Name                       Status    Ports
---- -------------------------------- --------- -------------------------------
1  default                        active   Fa0/2, Fa0/3, Fa0/4, Fa0/5
                                      Fa0/6, Fa0/7, Fa0/8, Fa0/9
                                      Fa0/10, Fa0/11, Fa0/12, Fa0/13
                                      Fa0/14, Fa0/15, Fa0/16, Fa0/17
                                      Fa0/18, Fa0/19, Fa0/20, Fa0/21
                                      Fa0/22, Fa0/23, Fa0/24, Gi0/1
                                      Gi0/2
10  VLAN0010                      active   Fa0/1
1002 fddi-default                   act/unsup
1003 token-ring-default              act/unsup
1004 fddinet-default                act/unsup
1005 trnet-default                 act/unsup


FastEthernet0/1がVLAN10に割り当てられたことがわかります(上の赤字の部分)。
これで,FastEthernet0/1につながるパソコンがVLAN10に所属したわけです。


●おまけ(VLANを設定していない場合)
スイッチにVLAN番号を設定していない場合,どうなるでしょうか。
例として,RADIUSサーバーからスイッチにVLAN20を通知したけど,スイッチにVLAN20が設定されていなかったケースを試してみました。
この場合,以下のようなメッセージが出ます。

03:21:46: %DOT1X-5-ERR_VLAN_NOT_FOUND: Attempt to assign non-existent Radius Assigned VLAN 20 to dot1x port FastEthernet0/1

この場合,スイッチにVLANを設定すれば,きちんとスイッチにポートにVLAN20が設定されます。
このラボ・シナリオで使ったRADIUSサーバーの設定ファイルには,ユーザー名:user20,パスワード:user20,VLAN番号:20のユーザーも登録してあります。
試しに,スイッチにVLAN20を作っておいて,認証画面でユーザー名:user20,パスワード:user20と入力してみて下さい。
スイッチのポートにVLAN20が割り当てられるはずです。

スイッチング・ラボ
IEEE802.1X認証の基本設定
IEEE802.1X認証(認証VLAN)
EtherChannel(固定設定)
EtherChannel(PAgP)
EtherChannel(LACP)
EtherChannel(レイヤー3)
SPAN