Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー2インターフェイスでの802.1X認証

概要

IEEE 802.1Xは、ポートベースのネットワークアクセス制御(PNAC)の規格であり、LANポートに接続されたデバイスのユーザーを認証するメカニズムを提供します。802.1X標準は、ローカルまたはリモートのユーザーデータベースでユーザーの資格情報を検証します。認証メカニズムにより、正しい資格情報を持つユーザーのみがネットワークにアクセスできます。他のすべてのユーザーのアクセスを拒否することで、ネットワークアクセスを制御します。

802.1X認証を使用するネットワークの3つの基本コンポーネントは次のとおりです。

  • 認証ポートアクセスエンティティ(PAE):クライアントが接続するスイッチまたはルーターポート。オーセンティケータPAEは、802.1Xがクライアントを認証するまで、クライアントとの間のすべてのトラフィックをブロックするコントロールゲートを形成します。

  • サプリカント: ネットワークへのアクセスを試みており、認証が必要なクライアント。サプリカントは、オーセンティケータ PAE に接続します。

  • 認証サーバー: ネットワークへの接続が許可されているユーザーに関する情報を含むバックエンド データベース。サプリカントがログインを試みると、802.1Xはサプリカントのクレデンシャルをこのサーバに送信して認証します。

認証サーバーがサプリカントの資格情報を認証すると、デバイスは PAE でのアクセスのブロックを停止します。デバイスはサプリカントへのインターフェイスを開き、ネットワークへのアクセスを許可します。ネットワーク管理者は、レイヤー2(L2)インターフェイス上で802.1Xを設定できます。

802.1X IEEE標準では、クライアント認証に任意の認証サーバーを使用できます。RADIUSサーバーは設定が簡単なため、最も一般的に使用されています。RADIUSサーバーには、独自の属性またはベンダー固有の属性を定義するオプションもあります。デバイスとサーバーは、これらの属性を交換できます。

利点

  • ユーザーを認証します。

  • ネットワークへの不正アクセスを防止します。

  • ネットワークアクセスを制御します。

構成

  1. L2インターフェイスを設定します。
    例えば:
  2. 802.1X 認証を有効にします。
    1. シングル サプリカント モード:
    2. シングルセキュアサプリカントモード:
    3. マルチサプリカントモード:
  3. 802.1X プロファイルを作成し、プロファイルを 802.1X、RADIUS 認証サーバー、および RADIUS アカウンティング サーバーに関連付けます。
    例えば:
  4. RADIUS認証サーバーを設定します。
    例えば:
  5. 以下のコマンドを使用して、設定を確認します。
    • show vlans

    • show ethernet-switching table

    • show mac-vrf forwarding mac-table

    • show dot1x interface detail

プラットフォームのサポート

プラットフォームとリリースのサポートについては 、Feature Explorer を参照してください。

関連資料