2.4. 端末認証の設定

UNIVERGE IX-R/IX-V シリーズでは、以下の端末認証機能をサポートしています。

  • IEEE802.1X機能

  • MAC認証機能

端末認証機能とは、認証が完了した端末の通信のみを許可することで不正端末のネットワークアクセスを防止する機能です。

注釈

別途RADIUSサーバを用意する必要があります。

注意

UNIVERGE IX-V シリーズでは、端末認証機能は利用できません。

2.4.1. 端末認証機能の概要

次の図は本装置でIEEE802.1X機能を利用するネットワークの一般的な構成です。

../_images/011.svg

2.4.1.1. IEEE802.1X機能の概要

接続された端末(Supplicant)の使用者が正しいユーザであることを認証し、正規のユーザ以外の通信を遮断します。

  • Authenticator

  • 本装置です。Supplicantと認証サーバ間での認証ネゴシエーションの橋渡し、およびSupplicantの認証状態に応じた通信の制御を行います。
    認証情報はAuthenticatorとSupplicantの間ではEAPoL(EAP over LAN)、Authenticatorと認証サーバ間ではEAP over RADIUSで交換します。

  • Supplicant

  • PC端末などです。認証される装置になります。

  • 認証サーバ

  • RADIUSサーバです。Supplicantの認証を行います。

    IEEE802.1Xはスイッチなど多数のポートを持つ装置においてポート単位での認証を基本とする規格ですが、本装置では1つのポートで複数のSupplicantの認証を行う拡張機能をサポートしています。
    本拡張機能を使用した場合、Supplicantの認証はMACアドレス単位で行われます。
    上図では端末(Supplicant)1、2、3はスイッチを介して本装置の同一ポートに接続しています。
    端末1は認証済みのためポートの通過を許可されていますが、端末3は未認証状態のためフレームがポートで廃棄されています。

2.4.1.2. MAC認証機能の概要

接続された端末のMACアドレスを確認し、あらかじめ許可されたMACアドレスを持つ端末のみの通信を許可することで不正端末によるネットワークアクセスを防止します。
IX-Rシリーズでは、端末からの通信を受信すると当該端末のMACアドレスが接続許可されているかどうかを自動的にRADIUSサーバに問い合わせ、その結果に応じて通信を許可したり拒否したりします。

2.4.2. 機能ブロック

本装置のIEEE802.1X関連機能の機能ブロックは以下のようになります。

../_images/021.svg

IEEE802.1X機能およびMAC認証機能を使用する際はAAA、RADIUSの設定が必要になります。 IEEE802.1Xを使用する場合のEAP機能は、内部で自動的に動作しているため特に意識する必要はありません。

2.4.3. IEEE802.1X機能の設定

2.4.3.1. IEEE802.1X機能の仕様

本装置のIEEE802.1X機能の仕様は以下のようになります(諸元値を除く)。

表 2.4.1 認証機能対応表

区分

項目

対応

認証動作モード(PAEモード)

Authenticator

認証動作モード(PAEモード)

Supplicant

認証単位

ポート単位

認証単位

MACアドレス単位

認証サーバ

外部RADIUSサーバ

認証サーバ

ローカル認証

認証方式

EAP-MD5

認証方式

EAP-PEAP

認証方式

EAP-TLS

2.4.3.2. IEEE802.1X機能の仕様

IEEE802.1Xの設定は以下のコマンドを使用します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x enable

    IEEE802.1Xを有効化します。

    dot1x port-control

    認証動作を設定します。

    dot1x access-control

    認証単位を設定します。

    dot1x multiple-host

    ポート単位の認証モードにおける、制御端末を設定します。

    dot1x supplicant-detection

    Supplicant検出動作の設定を行います。

    dot1x reauthentication

    認証完了後、一定時間での再認証を有効化します。

    dot1x max-supplicants

    制御を行う最大Supplicant数を設定します。

    dot1x ignore-address

    無制御で許可するアドレスを設定します。

    dot1x authentication

    AAA認証リストを設定します。

    dot1x accounting

    AAAアカウンティングリストを設定します。

    dot1x timeout

    各種タイマの値を設定します。

    dot1x version

    送信フレームのバージョンを指定します。

    dot1x max-req

    許容する最大認証要求再送回数を設定します。

2.4.3.3. 構成例

いくつかのIEEE802.1Xを使用した場合の構成例と、その際のコンフィグを示します。

※図中の認証サーバや業務ネットワークへアクセスを行うためのインタフェースやルーティングの設定については記述していませんので、 ご利用の環境に合わせて追加してください。

2.4.3.3.1. 基本的な構成

端末をMACアドレス単位で認証します。

../_images/03.svg
リスト 2.4.1 設定例
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  no shutdown

2.4.3.3.2. 認証サーバの冗長化

認証サーバを複数用意し、冗長構成を組むことができます。 プライマリの認証サーバがダウンしても、バックアップの認証サーバへ問い合わせを行うことで認証処理を完了できます。

リスト 2.4.2 設定例(認証サーバ1がNGを返す場合は認証サーバ2へ問い合わせない。)
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
radius host ip 10.0.0.253 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  no shutdown
リスト 2.4.3 設定例(認証サーバ1がNGを返しても認証サーバ2へ問い合わせる。)
aaa enable
aaa group server radius rad-group1 ip 10.0.0.254
aaa group server radius rad-group2 ip 10.0.0.253
aaa authentication dot1x default group rad-group1 group rad-group2
!
radius host ip 10.0.0.254 key 0 secret-key
radius host ip 10.0.0.253 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  no shutdown

2.4.3.3.3. IEEE802.1X + ポートベースVLAN

スイッチングHUBでVLANの設定を行っている場合、VLANグループごとにIEEE802.1Xを有効化することができます。
HUBポートのVLANグループ1(ポート1、ポート2)でIEEE802.1Xを使用し、
VLANグループ2(ポート3、ポート4)ではIEEE802.1Xを使用しないといった構成が可能です。
../_images/04.svg
リスト 2.4.4 設定例
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
device GigaEthernet2
  vlan-group 1 port 1 2
  vlan-group 2 port 3 4
!
interface GigaEthernet2:1.0
  ip address 192.168.1.1/24
  dot1x enable
  no shutdown
!
interface GigaEthernet2:2.0
  ip address 192.168.2.1/24
  no shutdown

2.4.3.4. その他の設定

2.4.3.4.1. 複数ホスト接続の有効化

本設定は認証単位がポート単位となっている必要があります。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x multiple-host

    ポートベース認証モードにおける、制御端末を設定します。
一台のSupplicantが認証ネゴシエーションを完了するとポートが認証状態となり、全ての通信が許可されます。
認証ネゴシエーションを行っていない端末も通信可能です。
デフォルトではこの機能は無効です。一台のSupplicantが認証ネゴシエーションを完了しても、
通信が許可されるのは認証処理を行ったSupplicantのみとなり、その他の通信は廃棄されます。
また、最初に認証ネゴシエーションを行ったSupplicantの認証状態がタイムアウトするかログアウトにより切断されるまでは、
その他のSupplicantの認証要求フレームも廃棄されます。

2.4.3.4.2. Supplicant検出動作の変更

本装置の配下に接続されているSupplicantを検出するための動作を指定します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x supplicant-detection

    Supplicant検出動作を設定します。
本装置は配下に接続されているSupplicantを検出し、認証処理を行うために、
デフォルトでは定期的に自身からEAP-Request/Identityをマルチキャスト(01:80:c2:00:00:03)で送信します。
送信間隔はタイマtx-periodの設定値となります。
Supplicant検出動作はfull、shortcut、disableの3種類があります。
接続するSupplicantの種類によっては特定のモードで認証失敗による通信断が発生する可能性があるため、
Supplicantの動作特性に応じてモードを選択する必要があります。

ユーザの操作により EAPoL-Startを送信可能

ショートカット認証を受け付けられる

推奨モード

タイプ1

NG

NG

full

タイプ2

NG

OK

shortcut

タイプ3

OK

NG

disable

タイプ4

OK

OK

disable

  • fullモード

デフォルトの設定です。ルータから定期的にEAP-Request/Identityの送信を行います。
Supplicantが定期的なEAP-Request/Identityに反応してEAP-Response/Identityを送信してきた場合、
常に完全な形の認証ネゴシエーションを行います。

  • shortcutモード

ルータから定期的にEAP-Request/Identityの送信を行います。
まだ認証されていないSupplicantが定期的なEAP-Request/Identityに反応してEAP-Response/Identityを送信してきた場合は
完全な形の認証ネゴシエーションを行いますが、既に認証済みのSupplicantの場合は認証ネゴシエーションを省略し、即座にEAP-Successを返信します。
../_images/05.svg
本設定はシステムにかかる負荷を下げるために認証済みの端末に関しては認証サーバへの問い合わせを行わず、認証処理を完了しています。
しかし、使用するSupplicantの種類によっては省略された認証処理を受け入れない場合があり、
これによって通信が途切れる場合があります。そのようなSupplicantを使用している場合、
Supplicantからユーザの操作によりEAPoL-Startを送信できる場合は検出動作をdisableとしてください。
ユーザの操作によりEAPoL-Startを送信できない場合は検出動作をfullとしてください。

  • disableモード

ルータから定期的にEAP-Request/Identityの送信を行いません。SupplicantからEAPoL-Startを受信することで認証処理を開始します。

2.4.3.4.3. 再認証の有効化

  • インターフェースコンフィグモード

    項目

    説明

    dot1x reauthentication

    認証完了後、一定時間での再認証を有効化します。
本設定が無効化されている場合は、再認証は行われず、一度認証を行ったSupplicantはEAPoL-Logoffフレームを受信するまで認証状態を継続します。
ただし、Supplicant検出動作の設定で、ルータから定期的なEAP-Request/Identityを送信するモードにしている場合、
これに反応したSupplicantからEAP-Response/Identityが送信されることで再認証が行われる場合があります。

2.4.3.4.4. 制御対象外アドレスの設定

認証を行わず、常に許可するMACアドレスなどを設定することができます。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x ignore-address

    認証せずに許可するアドレスを設定します。

  • multicastを選択すると、あて先がマルチキャストの全フレームを常に受信します。

  • broadcastは、あて先がブロードキャストの全フレームを常に受信します。

  • MACアドレス指定の場合は、ルータから見て受信する場合は送信元アドレス、送信する場合は宛先アドレスが指定したアドレスと一致している場合に通過します。

また、本設定によらず、ルータから送信されるマルチキャスト・ブロードキャストフレームは認証結果に関わらず常に送信します。

2.4.3.4.5. フレーム制御方向の設定

IEEE802.1Xにおいて制御を行うフレームの方向を指定します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x port-control direction

    フレーム制御方向を設定します。
デフォルトはbothであり、Inbound/Outboundの両方向のフレームが認証結果に依存して制御されます。
inと設定した場合はInboundのフレームのみ認証結果に依存して制御されます。ルータから送信されるOutboundのフレームは常に通過します。

2.4.3.4.6. バージョンの設定

本装置が送信するEAPoLフレームのバージョン番号は2です。稀にバージョン1しか受け付けないSupplicantが存在しますので、
その環境では値を変更してください。本装置が送信するEAPoLヘッダが含むVersionフィールドの値を指定します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x version

    EAPoLヘッダのバージョンの設定をします。

2.4.3.4.7. IEEE802.1Xログ抑制の設定

IEEE802.1Xに関するログの出力を抑制します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x port-control suppress-logging

    イベントログの出力を抑制します。

イベントログの設定を行うことで、IEEE802.1Xに関する以下のような情報を取得できます。

ログの内容

error

warn

notice

info

debug

a

メモリ確保エラー

b

各種内部処理(異常系)

×

c

Supplicantの認証の成功/失敗/解除

×

d

未認証フレームの廃棄

×

×

×

e

各種内部処理(正常系)

×

×

×

f

ステートマシンの状態遷移

×

×

×

×

g

認証済みフレームの送受信

×

×

×

×

h

EAPoLフレームの送受信

×

×

×

×

○:情報が出力される ×:情報が出力されない

本設定により、この中で「未認証フレームの廃棄」「認証済みフレームの送受信」に関するログの出力を停止します。
IEEE802.1Xをサポートしていない端末から大量にマルチキャストパケットを受けログが記録される場合などで抑止してください。

2.4.3.5. タイマの設定

各種タイマの値を設定します。IEEE802.1Xでは以下のタイマを設定可能です。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x timeout quiet-period

    認証失敗後、再度認証を開始するまでの間隔

    dot1x timeout reauth-period

    Supplicantの認証完了後、再認証を行うまでの間隔

    dot1x timeout server-timeout

    ルータと認証サーバ間のパケットの待ち受け許容時間

    dot1x timeout supp-timeout

    EAP-Requestに対するSupplicantからの応答待ち時間

    dot1x timeout tx-period

    EAP-Requestパケットの再送信間隔

    dot1x timeout waiting-period

    最大認証試行回数(3回)を超えた場合の認証停止時間

tx-period

ルータのインタフェースでIEEE802.1Xを有効にすると定期的に送信されるEAP-Request/IDパケットの送信間隔を指定します。
EAP-Request/IDパケットの定期的な送信は、そのインタフェースで扱える最大数のSupplicantを検出するまで続きます。
認証単位がポート単位の場合、一台のSupplicantを検出した時点で送信は停止します。また、Supplicant検出を無効にした場合も送信されません。
../_images/06.svg

supp-timeout

SupplicantからEAPoL-Startを受信後に返信するEAP-Request/IDパケットなど、
ルータとして情報を持っているSupplicantに対するEAP-Requestパケットの再送間隔を指定します。
../_images/07.svg

reauth-period

認証完了後、再度認証を行うまでの間隔を指定します。

../_images/08.svg

RADIUSサーバからのSession-Timeoutを認証時間として使用する場合は、reauth-periodにserverを指定してください。

リスト 2.4.5 設定例(再認証間隔にサーバからのSession-Timeoutを使用します。)
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.1.1/24
  dot1x enable
  dot1x timeout reauth-period server
  no shutdown

quiet-period

認証ネゴシエーションの失敗後、次の認証処理を開始するまでの間隔を指定します。
認証に失敗してからquiet-periodが経過するまではSupplicantからEAPoLフレームを受信しても本装置は反応しません。
../_images/09.svg

server-timeout

認証ネゴシエーション中に認証サーバから応答がなかった場合に、再度認証処理を開始するまでの待ち時間を指定します。

../_images/10.svg

waiting-period

悪意のある端末がバースト的にEAPoL-Startを送信した場合、
それに呼応してAuthenticator(ルータ)から連続して認証サーバへパケットを送信し、
ネットワークシステムを不安定にしてしまう可能性があります。
これを防ぐために本装置のIEEE802.1Xでは、認証試行回数が一定回数(3回)を超えた場合、
SupplicantからEAPoLフレームを受信しても一定時間反応しなくなります。
waiting-periodはその時の無反応時間を指定します。
../_images/11.svg

2.4.4. 検疫機能の設定

IEEE802.1Xを利用した検疫機能をサポートしています。
検疫機能では、ポリシーに違反している端末がアクセスするネットワークを制限することが可能となります。
../_images/12.svg

2.4.4.1. 基本設定

検疫機能を使用する際にはIEEE802.1Xの設定が必須となります。
IEEE802.1Xの設定に関しては、前項を参照してください。検疫機能では以下のコマンドを使用します。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x quarantine enable

    検疫機能を有効化します。

    dot1x quarantine filter

    検疫結果により、許可するネットワークを設定します。
リスト 2.4.6 設定例(アクセス許可)
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  dot1x quarantine enable
  dot1x quarantine filter keneki ip 10.0.0.0/24
  dot1x quarantine filter kikan ip any
  no shutdown

2.4.4.2. 検疫機能の動作

2.4.4.2.1. 適用するフィルタの選択

UNIVERGE IX-R/IX-V シリーズの検疫機能では、認証サーバからの応答に含まれるFilter-IDアトリビュートの内容によって端末のアクセス制御を行います。
IEEE802.1X認証の際に、認証サーバからの応答に含まれるFilter-IDに設定された値によって、UNIVERGE IX-R/IX-V シリーズに設定された何れかのフィルタを適用するかを決定します。
なお、Filter-IDの設定内容は、認証サーバの設定となります。
前項の設定例では、ポリシー違反がある場合は、Filter-IDに”keneki”という文字列、ポリシー違反が無い場合は、”kikan”という文字列が設定される場合の設定例となります。
../_images/13.svg

フィルタ設定では”default”の設定を行うことができます。 Filter-IDが設定されていない場合、Filter-IDにマッチするフィルタ設定が存在しない場合は、この設定が適用されます。 ”default”が設定されていない場合は、廃棄されます。

リスト 2.4.7 設定例(該当するフィルタが無い場合100.0.0.0/24にアクセス可能とする。)
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  dot1x quarantine enable
  dot1x quarantine filter default ip 100.0.0.0/24
  dot1x quarantine filter keneki ip 10.0.0.0/24
  dot1x quarantine filter kikan ip any
  no shutdown

2.4.4.2.2. フィルタの動作

設定したフィルタは送信方向、受信方向ともに有効となります。以下の条件にマッチするパケットのみ通過可能となります。

../_images/14.svg

2.4.4.3. その他の設定

2.4.4.3.1. アトリビュートの変更

検疫に使用するアトリビュートは、デフォルトではFilter-IDを使用します。
使用するアトリビュートをTunnel-Private-Group-Idに変更することが可能です。
設定コマンドは以下の通りです。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x quarantine attribute

    使用するアトリビュートを設定します。
    リスト 2.4.8 設定例(アトリビュートにtunnel-private-group-idを使用)
    aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  dot1x quarantine enable
  dot1x quarantine attribute tunnel-private-group-id
  dot1x quarantine filter keneki ip 10.0.0.0/24
  dot1x quarantine filter kikan ip any
  no shutdown

2.4.4.3.2. ロギング抑止設定

検疫機能により、廃棄または通過したパケットのログ出力を抑止することができます。設定コマンドは以下の通りです。

  • インターフェースコンフィグモード

    項目

    説明

    dot1x quarantine suppress-logging

    ロギング抑止設定
    リスト 2.4.9 設定例(フィルタが通過した場合のログを抑止)
    aaa enable
aaa authentication dot1x default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  dot1x enable
  dot1x quarantine enable
  dot1x quarantine filter keneki ip 10.0.0.0/24
  dot1x quarantine filter kikan ip any
  dot1x quarantine suppress-logging pass
  no shutdown

2.4.5. MAC認証機能の設定

2.4.5.1. 設定コマンド

MAC認証の設定は、以下のコマンドを使用します。

  • インターフェースコンフィグモード

    項目

    説明

    mac-auth enable

    MAC認証機能を有効化します。

    mac-auth address-format

    MAC認証で使用するアドレス形式を変更します。

    mac-auth ignore-address

    認証せずに許可するアドレスを設定します。

    mac-auth authentication

    AAA認証リストを設定します。

    mac-auth accounting

    AAAアカウンティングリストを設定します。

    mac-auth timeout

    各種タイマの値を設定します。

2.4.5.2. 構成例

構成例とその際のコンフィグを示します。

※図中の認証サーバや業務ネットワークへアクセスを行うためのインタフェースやルーティングの設定については記述していませんので、ご利用の環境に合わせて追加してください。

基本的な構成

端末をMACアドレスで認証します。

../_images/15.svg
リスト 2.4.10 設定例
aaa enable
aaa authentication mac-auth default group radius
!
radius host ip 10.0.0.254 key 0 secret-key
!
interface GigaEthernet2.0
  ip address 192.168.0.1/24
  mac-auth enable
  no shutdown

2.4.5.3. その他の設定

環境によりさらにいくつかの設定を追加する必要があります。下記にいくつかの例について説明します。

2.4.5.3.1. 認証サーバの冗長化

認証サーバを冗長化する設定については IEEE802.1Xの設定と同様です。前述のIEEE802.1Xの項目を参照してください。

2.4.5.3.2. 認証に使用するMACアドレスのフォーマット変更

MAC認証機能で使用されるユーザ / パスワードは「012345abcdef」という形式のMACアドレスを使用します。
他の表記でRADIUSに登録されている場合は変更してください。

  • インターフェースコンフィグモード

    項目

    説明

    mac-auth address-format

    MAC認証で使用するアドレス形式を変更します。
区切り文字として「:」「-」をつけることができます。
16進数のアルファベット表記を大文字に変更できます。

2.4.5.3.3. Radiusサーバと通信断になっても通信を継続させる

一定時間無通信が継続すると認証結果は削除されます。そのため、認証結果削除後に再度通信を行おうとした場合は再度認証を行います。
この時、認証サーバ(RADIUSサーバ)の障害などの影響により認証に失敗すると、一度認証に成功した端末であっても通信ができなくなってしまいます。
認証設定の認証方法にnoneを設定することにより、サーバから応答が無い場合は認証成功とすることが可能です。
詳細はAAAの設定の項の認証動作の説明を参照してください。
再認証の設定は行わず、無通信検出の時間(オフライン検出タイマ)を十分長い値を設定する事により、
認証結果が削除されるまでに時間が長くなるため、認証サーバの障害の影響を低減できます。

  • インターフェースコンフィグモード

    項目

    説明

    mac-auth timeout offline-detection

    オフライン検出タイマを設定します。

2.4.5.3.4. 特定の端末を常に許可する

認証を行わず、常に許可するMACアドレスを設定することができます。

  • インターフェースコンフィグモード

    項目

    説明

    mac-auth ignore-address

    認証せずに許可するアドレスを設定します。

2.4.6. 端末認証機能の併用

IEEE802.1X認証はMAC認証と併用することが可能です。IEEE802.1XのEAPパケットを受信したときはIEEE802.1Xで認証します。
EAP以外の通常のフレームを受信した場合には、MAC認証機能で認証します。
IEEE802.1Xで使用するEAPのフレームはMAC認証で廃棄しないため、これらの認証を設定してもIEEE802.1X認証には影響はありません。

2.4.7. 端末認証機能とフィルタ機能の併用

フィルタ機能も併用することが可能です。フィルタで許可されない通信は認証に成功しても通信することはできません。

併用した場合の適用順序は以下のとおりになります。

../_images/17.svg

2.4.8. その他のプロトコルとの同時使用

端末認証機能と他の機能を併用する場合、端末認証機能の「認証されていない端末に関するフレームは廃棄する」という特性から、うまく動作しない場合があります。
必要に応じてignore-addressコマンドを設定してください。

利用プロトコル

ignore-address の設定

マルチキャスト

ルータのMACアドレスを登録するか、multicastを設定

ブロードキャスト

ルータのMACアドレスを登録するか、broadcastを設定

ユニキャスト

ルータのMACアドレスを登録する

2.4.8.1. RIPv1

RIPv1はブロードキャストを利用します。

2.4.8.2. RIPv2

RIPv2はマルチキャストを利用します。

2.4.8.3. OSPFv2 / OSPFv3

OSPFv2, OSPFv3はマルチキャストとユニキャストを使用します。

2.4.8.4. VRRP

VRRPはマルチキャストを利用します。

なお、VRRPを使用してAuthenticatorを冗長化する場合、VRRPの状態に関係なくそれぞれのAuthenticatorが動作します。
通常このままで使用可能ですがBackupルータのAuthenticator機能を停止させたい場合は下記の設定を行ってください。
リスト 2.4.11 設定例
aaa enable
aaa authentication dot1x default group radius
!
radius host ip 192.168.2.250 key 0 hogehoge
!
vrrp enable
!
watch-group vrrp-watch 10
  event 10 ip vr-inactive 1
  action 10 shutdown-dot1x GigaEthernet2.0
!
network-monitor vrrp-watch enable
!
interface GigaEthernet2.0
  ip address 192.168.0.252/24
  dot1x enable
  dot1x ignore-address multicast
  vrrp 1 ip 192.168.0.254
  vrrp 1 priority 200
  no shutdown
!

2.4.9. 注意事項

2.4.9.1. スイッチングHUBにおける注意事項

ポートベースVLANを使用しない状態でのスイッチングHUBインタフェースにおける端末認証機能では、
認証の可否に関わらずスイッチ配下のローカル通信は常に許可されます。
../_images/18.svg

2.4.9.2. 認証済み端末のインタフェースの移動

本装置のIEEE802.1XとMAC認証機能による認証は、全てインタフェースごとに記憶されます。
認証済みの端末であっても接続するインタフェースを移動した場合、
そのインタフェースで再度認証処理を行う必要があります。

2.4.9.3. ブリッジ機能との併用

ブリッジインタフェースでIEEE802.1Xを有効化すると、IEEE802.1Xフレームはそのインタフェースで終端されます。
有効化しない場合はブリッジされます。
またBVIインタフェースではIEEE802.1X機能もMAC認証も使用できません。

2.4.10. 補足

MAC認証とIEEE802.1Xに関連する補足説明を記述します。

2.4.10.1. MAC認証で使用するRADIUS要求パケット

  • 付加アトリビュート

アトリビュート

Value

User-Name

端末のMACアドレス(書式は変更可能)

User-Password

上記MACアドレスのMD5

Called-Station-Id

ルータインタフェースのMACアドレス

Calling-Station-Id

端末のMACアドレス

Service-Type

端末に提供するサービスタイプ(Framed:2固定)

NAS-Port

接続インタフェース番号

NAS-IP-Address

RADIUSパケット送信インタフェースのIPアドレス

NAS-Port-Type

接続インタフェースのタイプ(Ethernet:15固定)

2.4.10.2. IEEE802.1Xのシーケンス例

認証方式にEAP-MD5を使用した場合の認証シーケンス例を示します。

../_images/19.svg

本装置はF9 RADIUS Access-Acceptの受信をトリガとして対象Supplicantのアクセス許可を行います。

2.4.10.3. UNIVERGE IX-R/IX-V シリーズのIEEE802.1Xプロトコル詳細

IEEE802.1XのEAPoLフレーム、EAPパケットのフォーマットは以下のようになります。

../_images/20.svg

Ether Type

IEEE802.1Xを示す0x888eを含みます。

Protocol Version

実装バージョンを示します。

規格

Value

IEEE802.1X 2001 年度版

0000 0001

IEEE802.1X 2004 年度版

0000 0010

本装置は0000 0010を送信します。稀ですが0000 0001でないと受け付けないSupplicantがある場合は値を変更してください。 ただし値のみで内部動作は2001年度版に変更できません。

Packet Type

フレームのタイプを示します。サポートしないタイプのフレームは廃棄します。

Type

Value

意味

EAP-Packet

0000 0000

ボディにEAPパケットを含むことを示します。

EAPoL-Start

0000 0001

認証ネゴシエーションの開始要求を示します。Supplicantから送信されます。

EAPoL-Logoff

0000 0010

認証の解除要求を示します。Supplicantから送信されます。

EAPoL-Key

0000 0011

認証完了後の鍵情報を含むことを示します。本装置ではサポートしません。

EAPoL-Encapsulated-ASF-Alert

0000 0100

未認証状態のポートでアラートメッセージを送受信する際に使用します。本装置ではサポートしません。

Length (EAPoL)

パケットのボディ長を示します。

Body

フレームのタイプがEAP-Packet、EAPoL-Key、EAPoL-Encapsulated-ASF-Alertの時、 このフィールドが存在します。認証処理に必要な種々の情報を含みます。

Code

Code

Value

意味

Request

0000 0001

AuthenticatorがSupplicantに情報を要求する際に使用します。

Response

0000 0010

SupplicantがAuthenticatorに情報を伝える際に使用します。

Success

0000 0011

認証が成功したことを示します。

Failure

0000 0100

認証が失敗したことを示します。

Identifier

EAP-RequestパケットとEAP-Responseパケットを関連付けます。あるEAP-Requestに対するEAP-Responseには同じIdentifierが指定されます。

Length (EAP)

EAPパケットの長さを示します。

Type

Typeフィールド以降はCodeがEAP-Request、EAP-Responseのいずれかであった場合にのみ存在します。

Data

データフィールドです。

2.4.10.4. IEEE802.1X機能のアカウンティング動作

IEEE802.1Xのアカウンティングは以下のようなタイミングで行われます。

../_images/21.svg

本装置のIEEE802.1X切断要因には以下のようなものがあります。

切断理由

意味

1

User Request

SupplicantからEAPoL-Logoffを受信した

20

Reauthentication Failure

再認証に失敗した

21

Port Reinitialized

リンクダウン、又はSupplicant情報の削除が行われるCLIが実行された