IEEE802.1X(Server2003編 その6)

IEEE802.1X(Server2003編 その5)」の続きです。ここでは、構築したIEEE802.1Xを使用したネットワークをを検証していきます。

使用するネットワーク構成は、以下のようになります。

◆show dot1x all

IEEE802.1Xの状態を確認するには、「show dot1x all」コマンドを使用します。

●「show dot1x all」コマンドの出力

Switch_A#show dot1x all

Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC <Not Applicable>
AuthSM State          = CONNECTING
BendSM State          = IDLE
Posture               = N/A
PortStatus            = UNAUTHORIZED
MaxReq                = 2
MaxAuthReq            = 2
HostMode              = Single
Port Control          = Auto
ControlDirection      = Both
QuietPeriod           = 60 Seconds
Re-authentication     = Disabled
ReAuthPeriod          = 3600 Seconds
ServerTimeout         = 30 Seconds
SuppTimeout           = 30 Seconds
TxPeriod              = 30 Seconds
Guest-Vlan            = 0
AuthFail-Vlan         = 0
AuthFail-Max-Attempts = 3

まだ、PC_Aは、ログオン動作をしていないので、認証に関する情報は、表示されません。

◆PC_Aでログオン

PC_Aを起動させると「Windowsへようこそ」が表示されます。

「Ctrl+Alt+Del」キーを押します。

「オプション」をクリックします。

RADIUSサーバに関連付けを行ったアカウントでログオンします。

◆アカウント1の「山田 太郎」でログオン

まずは、アカウント1の「山田 太郎」でログオンしてみます。

ログオン先には、「CCNA」を指定します。

【アカウント1】
ユーザー名: 山田 太郎
ログイン名: yamada@ccna.com
パスワード: ccna.com2008
権限: Administrators

ログインできます。

しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。

結構、待ちます。

 ここで、IEEE802.1Xパケットのやり取りを確認するために、Switch_Aで「debug dot1x packets」コマンドを入力します。

◆debug dot1x packets

Switch_A#debug dot1x packets

吹き出しをクリックすると「資格情報の入力」が表示されます。

RADIUSサーバに登録した「yamada」アカウントで接続を試みます。

以下の項目を入力します。

ログイン名: yamada
パスワード: ccna.com2008
ログオン ドメイン: CCNA
※インターネット認証サービスを使用する場合、ログオンドメインまで全て入力する必要があります。

しばらく待つとPC_Aは、LANに接続されます。

デバックコマンド「debug dot1x packets」の出力は、次のように表示されます。

●「debug dot1x packets」コマンドの出力


Switch_A#debug dot1x packets
Dot1x packet info debugging is on
Switch_A#
00:56:14: dot1x-packet:Tx EAP-Request(Id), id 1, ver 1, len 5 (Fa0/1)
00:56:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:56:44: dot1x-packet:Tx EAP-Request(Id), id 1, ver 1, len 5 (Fa0/1)
00:56:44: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Failure, id 1, ver 1, len 4 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:44: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:44: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:58:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(Id), id 2, ver 1, len 16 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Request(Id), id 0, ver 1, len 5 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(Id), id 0, ver 1, len 16 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Request(MD5), id 1, ver 1, len 32 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(MD5), id 1, ver 1, len 33 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Success, id 1, ver 1, len 4 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

「EAP-Success」の表示から、分かるように、認証に成功すると「F0/1」がUPしていることが確認できます。

◆show dot1x all

IEEE802.1Xの状態を確認します。「show dot1x all」コマンドを入力します。

●「show dot1x all」コマンドの出力

Switch_A#show dot1x all

Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC 0040.63c0.8f48
AuthSM State          = AUTHENTICATED
BendSM State          = IDLE
Posture               = N/A
PortStatus            = AUTHORIZED
MaxReq                = 2
MaxAuthReq            = 2
HostMode              = Single
Port Control          = Auto
ControlDirection      = Both
QuietPeriod           = 60 Seconds
Re-authentication     = Disabled
ReAuthPeriod          = 3600 Seconds
ServerTimeout         = 30 Seconds
SuppTimeout           = 30 Seconds
TxPeriod              = 30 Seconds
Guest-Vlan            = 0
AuthFail-Vlan         = 0
AuthFail-Max-Attempts = 3

黄色の網掛けの「PortStatus = AUTHORIZED」の表示から、「F0/1」ポートが認証されていることが分かります。

◆アカウント2の「鈴木 次郎」でログオン

アカウント2の「鈴木 次郎」で試しても同様の結果が得られます。

 ログオンして、しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。自分のアカウント情報を入力することで、ネットワークに参加できるようになります。

◆アカウント3の「田中 三郎」でログオン

RADIUSサーバに関連付けされていないアカウント3の「田中 三郎」では、ネットワークに接続できません。

 ログオンして、しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。自分のアカウント情報を入力して認証を受けても、RADIUS認証に失敗して、ネットワークに接続できなくなります。

 次の「IEEE802.1X(SwimRadius編 その1)」では、RADIUSソフトウェアを使用してIEEE802.1Xネットワークを構築していきます。