IEEE802.1X(Linux編 認証VLAN その4)
「IEEE802.1X(Linux編 認証VLAN その3)」の続きです。ここでは、構築したIEEE802.1Xを検証していきます。
使用するネットワーク構成は、以下のようになります。
◆show vlan brief(認証前)
認証前のVLANの割り当て状況を確認しておきます。
Switch_A#show vlan brief
●「show vlan brief」コマンドの出力
Switch_A#sho vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/1, Fa0/3, Fa0/4, Fa0/5
Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11, Fa0/12, Fa0/13
Fa0/14, Fa0/15, Fa0/16, Fa0/17
Fa0/18, Fa0/19, Fa0/20, Fa0/21
Fa0/22, Fa0/23, Fa0/24
10 vlan10 active Fa0/2
20 vlan20 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup「F0/1」がまだ、VLAN10に割り当てられていないことが確認できます。
◆show dot1x all
PC_Aのケーブルは、Switch_Aから抜いておきます。
IEEE802.1Xの状態を確認するには、「show dot1x all」コマンドを使用します。
●「show dot1x all」コマンドの出力
Switch_A#show dot1x all
Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC <Not Applicable>
AuthSM State = N/A
BendSM State = N/A
Posture = N/A
PortStatus = N/A
MaxReq = 2
MaxAuthReq = 2
HostMode = Single
Port Control = Auto
ControlDirection = Both
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
AuthFail-Vlan = 0
AuthFail-Max-Attempts = 3まだ、PCを接続していないので、認証に関する情報は、表示されません。
◆PC_Aの接続
PC_AのケーブルをSwitch_Aに接続します。
すると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。
吹き出しをクリックすると「資格情報の入力」が表示されます。
RADIUSサーバに登録した「user-vlan10」アカウントで接続を試みます。
以下の項目を入力します。
・ユーザー名 : user-vlan10
・パスワード : user-vlan10
しばらく待つとPC_Aは、LANに接続されます。
IEEE802.1Xの状態を確認します。「show dot1x all」コマンドを入力します。
●「show dot1x all」コマンドの出力
Switch_A#show dot1x all
Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC 001e.8cc8.0235
AuthSM State = AUTHENTICATED
BendSM State = IDLE
Posture = N/A
PortStatus = AUTHORIZED
MaxReq = 2
MaxAuthReq = 2
HostMode = Single
Port Control = Auto
ControlDirection = Both
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
AuthFail-Vlan = 0
AuthFail-Max-Attempts = 3黄色の網掛けの「PortStatus = AUTHORIZED」の表示から、「F0/1」ポートが認証されていることが分かります。
◆debug dot1x packets
PC_AのケーブルをSwitch_Aから外します。
IEEE802.1Xパケットのやり取りを確認するために、Switch_Aで「debug dot1x packets」コマンドを入力します。
Switch_A#debug dot1x packets
PC_AのケーブルをSwitch_Aに接続します。すると「資格情報の入力」が表示されるので、ユーザー名、パスワードを入力します。
デバックコマンド「debug dot1x packets」の出力は、次のように表示されます。
●「debug dot1x packets」コマンドの出力
Switch_A#debug dot1x packets
Dot1x packet info debugging is on
00:29:36: dot1x-packet:Rx EAP-Response(Id), id 2, ver 1, len 16 (Fa0/1)
00:29:36: dot1x-packet:Rx sa=001e.8cc8.0235, da=0180.c200.0003, et 888E (Fa0/1)
00:29:36: dot1x-packet:Tx EAP-Request(Id), id 0, ver 1, len 5 (Fa0/1)
00:29:36: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:29:36: dot1x-packet:Rx EAP-Response(Id), id 0, ver 1, len 16 (Fa0/1)
00:29:36: dot1x-packet:Rx sa=001e.8cc8.0235, da=0180.c200.0003, et 888E (Fa0/1)
00:29:36: dot1x-packet:Tx EAP-Request(MD5), id 1, ver 1, len 22 (Fa0/1)
00:29:36: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:29:36: dot1x-packet:Rx EAP-Response(MD5), id 1, ver 1, len 33 (Fa0/1)
00:29:36: dot1x-packet:Rx sa=001e.8cc8.0235, da=0180.c200.0003, et 888E (Fa0/1)
00:29:36: dot1x-packet:Tx EAP-Success, id 1, ver 1, len 4 (Fa0/1)
00:29:36: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:29:37: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up「EAP-Success」の表示から、分かるように、認証に成功すると「F0/1」がUPしていることが確認できます。
◆show vlan brief(認証後)
認証後のVLANの割り当て状況を確認します。
Switch_A#show vlan brief
●「show vlan brief」コマンドの出力
Switch_A#show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/3, Fa0/4, Fa0/5, Fa0/6
Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24
10 vlan10 active Fa0/1, Fa0/2
20 vlan20 active
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup「F0/1」が、VLAN10に追加されています。「F0/1」がVLAN10に割り当てられていることが確認できます。
次の「リモートデスクトップで遠隔操作(その1)」では、手元のパソコンから、リモートのWindowsパソコンを操作を操作する方法を紹介します。