コンフィグレーションガイド Vol.2


7.1.2 IEEE802.1Xの基本的な設定

IEEE802.1Xの基本認証モード設定について説明します。

〈この項の構成〉

(1) IEEE802.1Xを有効にする設定

[設定のポイント]

グローバルコンフィグレーションモードでIEEE802.1Xを有効にします。このコマンドを実行しないと,IEEE802.1Xのほかのコマンドが有効になりません。

[コマンドによる設定]

  1. (config)# dot1x system-auth-control

    IEEE802.1Xを有効にします。

(2) ポート単位認証の設定

物理ポートまたはチャネルグループを認証の対象に設定します。

[設定のポイント]

アクセスポートを設定し,そのポートでポート単位認証を有効にします。認証サブモードを設定します。認証サブモードの設定を省略するとシングルモードになります。

[コマンドによる設定]

  1. (config)# interface gigabitethernet 0/1

    (config-if)# switchport mode access

    ポート0/1にaccessモードを設定します。

  2. (config-if)# dot1x multiple-authentication

    認証サブモードを端末認証モードに指定します。

  3. (config-if)# dot1x port-control auto

    ポート単位認証を有効にします。

(3) VLAN単位認証(静的)の設定

ポートVLANを認証の対象に設定します。

[設定のポイント]

ポートVLANを設定し,そのVLANでVLAN単位認証(静的)を有効にします。

[コマンドによる設定]

  1. (config)# vlan 10

    (config-vlan)# state active

    (config-vlan)# exit

    VLAN ID 10にポートVLANを設定します。

  2. (config)# dot1x vlan 10 enable

    VLAN ID 10でVLAN単位認証(静的)を有効にします。

(4) VLAN単位認証(動的)の設定

MAC VLANを認証の対象に設定します。

[設定のポイント]

MAC VLANを設定し,そのVLANでVLAN単位認証(動的)を有効にします。

また,VLAN単位認証(動的)認証に成功した端末をRADIUSサーバから指定されたVLAN情報に従い登録するためには,コンフィグレーションコマンドaaa authorization network defaultの設定も必要となります。

[コマンドによる設定]

  1. (config)# vlan 100 mac-based

    (config-vlan)# name MACVLAN100

    (config-vlan)# state active

    (config-vlan)# exit

    VLAN ID 100にMAC VLANを設定します。

  2. (config)# dot1x vlan dynamic radius-vlan 100

    VLAN ID 100をVLAN単位認証(動的)の対象に設定します。

  3. (config)# dot1x vlan dynamic enable

    VLAN単位認証(動的)を有効にします。