7.1.2 IEEE802.1Xの基本的な設定
IEEE802.1Xの基本認証モード設定について説明します。
(1) IEEE802.1Xを有効にする設定
- [設定のポイント]
-
グローバルコンフィグレーションモードでIEEE802.1Xを有効にします。このコマンドを実行しないと,IEEE802.1Xのほかのコマンドが有効になりません。
[コマンドによる設定]
-
(config)# dot1x system-auth-control
IEEE802.1Xを有効にします。
(2) ポート単位認証の設定
物理ポートまたはチャネルグループを認証の対象に設定します。
- [設定のポイント]
-
アクセスポートを設定し,そのポートでポート単位認証を有効にします。認証サブモードを設定します。認証サブモードの設定を省略するとシングルモードになります。
[コマンドによる設定]
-
(config)# interface gigabitethernet 0/1
(config-if)# switchport mode access
ポート0/1にaccessモードを設定します。
-
(config-if)# dot1x multiple-authentication
認証サブモードを端末認証モードに指定します。
-
(config-if)# dot1x port-control auto
ポート単位認証を有効にします。
(3) VLAN単位認証(静的)の設定
ポートVLANを認証の対象に設定します。
- [設定のポイント]
-
ポートVLANを設定し,そのVLANでVLAN単位認証(静的)を有効にします。
[コマンドによる設定]
-
(config)# vlan 10
(config-vlan)# state active
(config-vlan)# exit
VLAN ID 10にポートVLANを設定します。
-
(config)# dot1x vlan 10 enable
VLAN ID 10でVLAN単位認証(静的)を有効にします。
(4) VLAN単位認証(動的)の設定
MAC VLANを認証の対象に設定します。
- [設定のポイント]
-
MAC VLANを設定し,そのVLANでVLAN単位認証(動的)を有効にします。
また,VLAN単位認証(動的)認証に成功した端末をRADIUSサーバから指定されたVLAN情報に従い登録するためには,コンフィグレーションコマンドaaa authorization network defaultの設定も必要となります。
[コマンドによる設定]
-
(config)# vlan 100 mac-based
(config-vlan)# name MACVLAN100
(config-vlan)# state active
(config-vlan)# exit
VLAN ID 100にMAC VLANを設定します。
-
(config)# dot1x vlan dynamic radius-vlan 100
VLAN ID 100をVLAN単位認証(動的)の対象に設定します。
-
(config)# dot1x vlan dynamic enable
VLAN単位認証(動的)を有効にします。