IEEE802.1X(Server2003編 その6)
「IEEE802.1X(Server2003編 その5)」の続きです。ここでは、構築したIEEE802.1Xを使用したネットワークをを検証していきます。
使用するネットワーク構成は、以下のようになります。
◆show dot1x all
IEEE802.1Xの状態を確認するには、「show dot1x all」コマンドを使用します。
●「show dot1x all」コマンドの出力
Switch_A#show dot1x all
Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC <Not Applicable>
AuthSM State = CONNECTING
BendSM State = IDLE
Posture = N/A
PortStatus = UNAUTHORIZED
MaxReq = 2
MaxAuthReq = 2
HostMode = Single
Port Control = Auto
ControlDirection = Both
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
AuthFail-Vlan = 0
AuthFail-Max-Attempts = 3
まだ、PC_Aは、ログオン動作をしていないので、認証に関する情報は、表示されません。
◆PC_Aでログオン
PC_Aを起動させると「Windowsへようこそ」が表示されます。
「Ctrl+Alt+Del」キーを押します。
「オプション」をクリックします。
RADIUSサーバに関連付けを行ったアカウントでログオンします。
◆アカウント1の「山田 太郎」でログオン
まずは、アカウント1の「山田 太郎」でログオンしてみます。
ログオン先には、「CCNA」を指定します。
【アカウント1】
ユーザー名: 山田 太郎
ログイン名: yamada@ccna.com
パスワード: ccna.com2008
権限: Administrators
ログインできます。
しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。
結構、待ちます。
ここで、IEEE802.1Xパケットのやり取りを確認するために、Switch_Aで「debug dot1x packets」コマンドを入力します。
◆debug dot1x packets
Switch_A#debug dot1x packets
吹き出しをクリックすると「資格情報の入力」が表示されます。
RADIUSサーバに登録した「yamada」アカウントで接続を試みます。
以下の項目を入力します。
ログイン名: yamada
パスワード: ccna.com2008
ログオン ドメイン: CCNA
※インターネット認証サービスを使用する場合、ログオンドメインまで全て入力する必要があります。
しばらく待つとPC_Aは、LANに接続されます。
デバックコマンド「debug dot1x packets」の出力は、次のように表示されます。
●「debug dot1x packets」コマンドの出力
Switch_A#debug dot1x packets
Dot1x packet info debugging is on
Switch_A#
00:56:14: dot1x-packet:Tx EAP-Request(Id), id 1, ver 1, len 5 (Fa0/1)
00:56:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:56:44: dot1x-packet:Tx EAP-Request(Id), id 1, ver 1, len 5 (Fa0/1)
00:56:44: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Failure, id 1, ver 1, len 4 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:57:44: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:57:44: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:14: dot1x-packet:Tx EAP-Request(Id), id 2, ver 1, len 5 (Fa0/1)
00:58:14: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(Id), id 2, ver 1, len 16 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Request(Id), id 0, ver 1, len 5 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(Id), id 0, ver 1, len 16 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Request(MD5), id 1, ver 1, len 32 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Rx EAP-Response(MD5), id 1, ver 1, len 33 (Fa0/1)
00:58:31: dot1x-packet:Rx sa=0040.63c0.8f48, da=0180.c200.0003, et 888E (Fa0/1)
00:58:31: dot1x-packet:Tx EAP-Success, id 1, ver 1, len 4 (Fa0/1)
00:58:31: dot1x-packet:Tx sa=0006.2afb.9f81, da=0180.c200.0003, et 888E (Fa0/1)
00:58:32: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up「EAP-Success」の表示から、分かるように、認証に成功すると「F0/1」がUPしていることが確認できます。
◆show dot1x all
IEEE802.1Xの状態を確認します。「show dot1x all」コマンドを入力します。
●「show dot1x all」コマンドの出力
Switch_A#show dot1x all
Dot1x Info for interface FastEthernet0/1
----------------------------------------------------
Supplicant MAC 0040.63c0.8f48
AuthSM State = AUTHENTICATED
BendSM State = IDLE
Posture = N/A
PortStatus = AUTHORIZED
MaxReq = 2
MaxAuthReq = 2
HostMode = Single
Port Control = Auto
ControlDirection = Both
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
AuthFail-Vlan = 0
AuthFail-Max-Attempts = 3黄色の網掛けの「PortStatus = AUTHORIZED」の表示から、「F0/1」ポートが認証されていることが分かります。
◆アカウント2の「鈴木 次郎」でログオン
アカウント2の「鈴木 次郎」で試しても同様の結果が得られます。
ログオンして、しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。自分のアカウント情報を入力することで、ネットワークに参加できるようになります。
◆アカウント3の「田中 三郎」でログオン
RADIUSサーバに関連付けされていないアカウント3の「田中 三郎」では、ネットワークに接続できません。
ログオンして、しばらくすると、「ネットワークに接続するには追加の情報が必要です」と吹き出しが表示されます。自分のアカウント情報を入力して認証を受けても、RADIUS認証に失敗して、ネットワークに接続できなくなります。
次の「IEEE802.1X(SwimRadius編 その1)」では、RADIUSソフトウェアを使用してIEEE802.1Xネットワークを構築していきます。