Cisco#9

【Cisco】#ラボ9＠秋葉原UDX
2020/12/29（火）11時00分から
FORSE 1

【Cisco】#9初心者ネットワーク勉強会＠秋葉原UDX
FORSE
アジェンダ
1100～1105 今日出来るようになる事、自己紹介（ペア紹介）
1105～1115 実機でやってみよう（今日はスイッチ）
1115～1130 portセキュリティ設定
1130～1145 セキュリティ違反する。なおす
1145～1200 Macアドレス認証設定
1200～1220 証明書とユーザ認証
1220～1230 後片付け
参加いただきありがとうございます
今日、出来るようになる事
・Portセキュリティ
・Macアドレス認証
・Dot1x認証
https://www.infraexpert.com/study/catalyst8.5.html
https://www.infraexpert.com/study/wireless14.html
今日の要求
• シナリオ１
攻撃者、不審者、情報システム管理外のPC、ハブを接続させた
くない。安定運用中に許可していないPCをLANに接続させない。
デモ:接続できる。→PC変えると接続できない。→スイッチの
オレンジランプ→無点灯 → 戻し方（手動、自動）
• シナリオ２
不不正なMacアドレスは許さない。スイッチが複数ある。macア
ドレスは、情報システム部で一元管理出来る。ユーザが部署移動
してもネットワークが利用出来るようにしたいる
• シナリオ３
不特定多数の信頼できるベンダーのアクセスを許可したい（利便
性向上）
（特定のポートは）証明書がある場合に、認証サーバへ認証に行
く
デモ:接続できない。→証明書インストール。→接続できる。
2

【Cisco】ネットワーク基礎講座今日の構成ラボ#9
FORSE 3
PC２
Hostname:Rabo9AtuSV
FreeRadius
OpenSSL#1#0/1
#0/7
#2 #8
認証SW
Catalyst2960
ルータ
C891fj
HPE
ProLiant
MicroServer
GEN10
VLAN20
Trunk
VLAN20,500
192.168.210.0/24
.201.254
VLAN10 :192.168.10.254/24
VLAN20 :192.168.20.254/24
VLAN30 :192.168.30.254/24
VLAN40 :192.168.40.254/24
VLAN50 :192.168.50.254/24
port8 :192.168.210.254/24
#0/1
#0/7
認証SW
Catalyst2960
#0/1 #0/7
認証SW
Catalyst2960
VLAN10
Trunk
VLAN10,500
Trunk
VLAN30,500
PC３
PC1
VLAN30
#1
#3
192.168.210.201/24
192.168.10.10/24
192.168.20.10/24
192.168.30.10/24
192.168.10.252/24
192.168.30.252/24

【Cisco】#9 スイッチ設定1
FORSE
電源を投入して下さい
電源入った事をLED（ランプ）で確認してください
① PCから「tera term」を起動
② 「シリアル」を選択
③ Portから、USBを選択
4
手順１
スイッチは起動が早いです（ルータと比べると）
セットアップモードが起動したら、noと入力、もしくはcttl+c
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:no
Press RETURN to get started!
Switch>enable
Switch#
Switch#configure terminal
Switch（config)#
Switch（config）#hostname SW-1
SW-xxx（cnofig）#
Switch #configure terminal
Switch(config)#no ip domain lookup
Switch(config)#vtp mode transparent
Switch(config)#line console 0
Switch(config-line)#logging synchronous
Switch(config-line)#exec-timeout 60 0
Switch(config-line)#end

手順５
PCのLAN線を刺した状態でポートセキュリティの設定を入れる
手順６
コマンドプロンプトにて「ipconfig /all」と発行し、PCのマックアドレスを確認する。
【Cisco】#9 スイッチの設定２
FORSE 5
手順 2 VLANの設定をします。
vlan番号、インターフェース名、IPアドレスの第3オクテットは違います
手順 3
portの設定をします。
手順４
結線します。
１）ルーターとスイッチ自分のVLAN番号10の位とルーターのポート番号
２）スイッチとPC ポート１
Switch #configure terminal
SW-1(config) #vlan 10 ←参加者毎に違う
SW-1(config-vlan) #exit
SW-1(config) #int vlan10 ←参加者毎に違う
SW-1(config-if) #ip address 192.168.10.252 255.255.255.0
SW-1(config-if) #no shutdown
SW-1(config) #exit
SW-1(config)# interface range GigabitEthernet 0/1 - 8
SW-1(config-if-range)#switchport mode access
SW-1(config-if-range)#switchport access vlan 10
SW-1(config-if)#end
SW-1#configure terminal
SW-1(config)# interface GigabitEthernet 0/1
SW-1(config-if)# switchport port-security ←ポートセキュリティ有効化
SW-1(config-if)#exit
SW-1(config-if)#switchport port-security mac-address sticky←MACアドレス登録
SW-1(config)# end

【Cisco】#9 スイッチの設定 3
FORSE
手順７
インターフェースのポートセキュリティの設定を検証する
手順15
Show run interfaceコマンドで現在刺さっているPCのmac-addressが登録
されていることを確認
6
Switch#show run interface GigabitEthernet0/1
Building configuration...
Current configuration : 203 bytes
!
interface GigabitEthernet0/1
switchport mode access
switchport port-security
switchport port-security mac-address sticky
switchport port-security mac-address sticky aaaa.bbbb.cccc vlan access
end
SW-1#show port-security interface gigabitEthernet0/1
Port Security : Enabled ←portsecurtiy有効化
Port Status : Secure-up ←port状態有効化
Violation Mode : Shutdown
Aging Time : 0 mins
Aging Type : Absolute
SecureStatic Address Aging : Disabled
Maximum MAC Addresses : 1
Total MAC Addresses : 1
Configured MAC Addresses : 0
Sticky MAC Addresses : 1
Last Source Address:Vlan : bcc3.42ca.ba01:10 ←登録確認
Security Violation Count : 0
手順８
設定の検証をする
ポートセキュリティが有効なポート → 今回はGi0/1
MACアドレステーブルを確認する
SW-1#show port-security
Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action
(Count) (Count) (Count)
---------------------------------------------------------------------------
Gi0/1 1 1 0 Shutdown
---------------------------------------------------------------------------
Total Addresses in System (excluding one mac per port) : 0
Max Addresses limit in System (excluding one mac per port) : 8192
SW-1#
SW-1#show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 bcc3.42ca.ba01 SecureSticky Gi0/1 -
-----------------------------------------------------------------------------

【Cisco】#9 スイッチの設定４
FORSE
隣の人とPCのEtherneポートを入れ替える
7
UTPケーブル
コンソールケーブル(ロールオーバーケーブル)
PC1 PC2 PC1 PC2

【Cisco】#9 スイッチの設定5
FORSE
手順８
ポートセキュリティを設定したportに違うPCを接続し、コンソールログに
下記が表示される事を確認
アップ → 違反 → ダウン
オレンジ点灯 → 消灯
手順9
Show int gi0/1を入力し、ポート状態がerr-disabledであることを確認
8
ポート違反したときの挙動
Switch#
*Mar 1 06:00:37.292: %LINK-3-UPDOWN: Interface GigabitEthernet0/1,
changed state to up
*Mar 1 06:00:38.293: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to up
*Mar 1 06:00:51.248: %PM-4-ERR_DISABLE: psecure-violation error detected
on Gi0/1, putting Gi0/1 in err-disable state
*Mar 1 06:00:51.248: %PORT_SECURITY-2-PSECURE_VIOLATION: Security
violation occurred, caused by MAC address bcc3.42ca.ba01 on port
GigabitEthernet0/1.
*Mar 1 06:00:52.250: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to down
*Mar 1 06:00:53.251: %LINK-3-UPDOWN: Interface GigabitEthernet0/1,
changed state to down
Switch#show interfaces gigabitEthernet 0/1 | include line protocol
GigabitEthernet0/1 is down, line protocol is down (err-disabled)
SW-1#show port-security interface gigabitEthernet 0/1
Port Security : Enabled
Port Status : Secure-shutdown ← ポート止めてます
Aging Time : 0 mins
Last Source Address:Vlan : a813.7492.caf5:10 ← 直近のmac
Security Violation Count : 1 ← 違反回数
SW-1# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- ----------- ---- ----- -------------
10 bcc3.42ca.ba01 SecureSticky Gi0/1 -
-----------------------------------------------------------------------------
４つ↑ 登録されているmac
end

FORSE
err-disabledになったportを正常状態に戻すために下記コマンドを投入する
手順１0
PC-SW間のportを抜去(スイッチのPort#1）
手順１１手動で戻す
隣の人とPCのEtherneポートを戻そう
9
SW-1#configure terminal
SW-1(config-if)# shutdown
SW-1(config-if)# no shutdown
SW-1(config)# end
UTPケーブル
コンソールケーブル (ロールオーバーケーブル)
PC1 PC2PC1 PC2

FORSE
手順１２セキュリティ違反を自動回復を有効にする
手順１３設定を検証する
手順１４自動回復を検証する
隣の人とポートを交換し、コンソール表示を待つ
10
SW-1(config)#errdisable recovery cause psecure-violation
SW-1(config)#errdisable recovery interval 120
手順１５ポートセキュリティ、ポートの状態を確認する。
手順１６自分のPCに戻す
手順１７ポートセキュリティ、ポートの状態を確認する
SW-1#show errdisable recovery | include psesure
psecure-violation Enabled ← ポートセキュリティ違反
SW-1#show errdisable recovery | include Timer interval
Timer interval: 120 seconds ← 2分で自動回復
Mar 30 04:40:06.088: %PM-4-ERR_RECOVER: Attempting to recover from psecure-
violation err-disable state on Gi0/1
SW-1#
Mar 30 04:40:16.898: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state
to up
Mar 30 04:40:17.900: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to up
SW-1#
Mar 30 04:40:30.587: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/1,
putting Gi0/1 in err-disable state
SW-1#
Mar 30 04:40:30.593: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation
occurred, caused by MAC address a813.7492.caf5 on port GigabitEthernet0/1.
SW-1#
Mar 30 04:40:31.589: %LINEPROTO-5-UPDOWN: Line protocol on Interface
GigabitEthernet0/1, changed state to down
SW-1#
Mar 30 04:40:32.596: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state
to down
Port Status : Secure-shutdown ←ポート無効化
Aging Time : 0 mins
Last Source Address:Vlan : a813.7492.caf5:10
Port Status : Secure-up ←ポート有効化
Aging Time : 0 mins
Last Source Address:Vlan : a813.7492.caf5:10

Radiusを使用したmacアドレス認証
前提
不正なMacアドレスは許さない
スイッチが複数ある
macアドレスは、情報システム部で一元管理出来る
ユーザが部署移動してもネットワークが利用出来るようにしたい
https://www.unix-power.net/networking/post-365
図ノード役割
クライアント端末スイッチにアクセス要求をします
認証スイッチクライアント端末からの要求で認証サーバへリクエストを投げる
認証サーバの結果から、ネットワークへの物理アクセスを制御します。
認証サーバ
CentOS ＋ FreeRadius
認証情報を一元管理する。
クライアントアクセスの許可／拒否をスイッチに通知する

【Cisco】ネットワーク基礎講座今日の構成ラボ#9
FORSE 12
PC２
Hostname:Rabo9AtuSV
FreeRadius
OpenSSL#1#0/1
#0/7
#2 #8
認証SW
Catalyst2960
ルータ
C891fj
HPE
ProLiant
MicroServer
GEN10
VLAN20
Trunk
VLAN20,500
192.168.210.0/24
.201.254
#0/1
#0/7
認証SW
Catalyst2960
#0/1 #0/7
認証SW
Catalyst2960
VLAN10
Trunk
VLAN10,500
Trunk
VLAN30,500
PC３
PC1
VLAN30
#1
#3
192.168.210.201/24
192.168.10.10/24
192.168.20.10/24
192.168.30.10/24
192.168.10.252/24
Shared Key
s-key
Shared Key
s-key

FORSE
Radiusの設定を投入
手順１８ローカルユーザ作成（Dot1x認証の有効化の準備）
手順１９ AAAの有効化
手順２０ consoleとtelentはローカル認証
手順２１ Radiusサーバの登録
手順２２ dot1xを有効にします
手順24
port#3～ port #8はMacアドレス認証を実施します
Radiusの設定を検証
手順25 RadiusサーバのIPアドレス、ポート、キーを確認
インターフェース設定を検証
13
SW-1(config) #username cisco password cisco
SW-1(config) #aaa new-model
SW-1(config)#radius server FreeRadius
SW-1(config-radius-server)#address ipv4 192.168.210.201 auth-port
1812 acct-port 1813
SW-1(config-radius-server)#key s-key ←事前共有カギ
SW-1(config-radius-server)#exit
SW-1(config) #aaa authentication login console local
SW-1(config) #line console 0
SW-1(config-line) # login authentication console
SW-1(config) #line vty 0 4
SW-1(config-line) # login authentication console
SW-1(config)# dot1x system-auth-control
SW-1(config)# aaa authentication dot1x default group radius
SW-1(config) # interface range GigabitEthernet0/3 - 8
SW-1(config-if-range) # authentication port-control auto
SW-1(config-if-range) # authentication order mab
SW-1(config-if-range) # mab ←MacAdressBypass（mac認証）を有効化
SW-1(config-if-range) # authentication timer restart 0 ←再認証回数ゼロ
SW-1#sh run | section radius server
radius server FreeRadius
address ipv4 192.168.210.201 auth-port 1812 acct-port 1813
key s-key
SW-1#sh run | section interface GigabitEthernet0/6
switchport access vlan 10
authentication order mab
authentication port-control auto
mab
SW-1#

FORSE
ポートセキュリティ検証
手順2６ MACアドレス未登録の状態で、ポートに結線し接続できない事を確認
手順2７ MACアドレスを登録
１．登録するMACアドレスを手順25から確認、本書の例はa8137492d0ee
２．別途teratermでRadiusサーバに接続
手順28
MACアドレスを登録する
手順29
物理結線を実施
MACアドレス認証が成功する事を確認（コンソール表示）
手順30 認証成功している事を確認
14
Mar 31 06:33:16.538: %AUTHMGR-5-START: Starting 'mab' for client (a813.7492.d0ee) on Interface
Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
Mar 31 06:33:17.545: %MAB-5-FAIL: Authentication failed for client (a813.7492.d0ee) on Interface
Mar 31 06:33:17.545: %AUTHMGR-7-RESULT: Authentication result 'no-response' from 'mab' for
client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
Mar 31 06:33:17.545: %AUTHMGR-7-FAILOVER: Failin
SW-1#g over from 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID
C0A8D2FD00000029063E62FA
Mar 31 06:33:17.545: %AUTHMGR-7-NOMOREMETHODS: Exhausted all authentication methods for
client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
Mar 31 06:33:17.545: %AUTHMGR-5-FAIL: Authorization failed or unapplied for client
(a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
MACアドレス登録
[root@Rabo9AthSV raddb]# vi /etc/raddb/users
#4SE-006
a8137492d0ee Cleartext-Password:=" a8137492d0ee "
Radiusデーモン再起動
[root@Rabo9AthSV raddb]# systemctl restart radiusd
%LINK-3-UPDOWN: Interface GigabitEthernet0/5, changed state to up
Mar 31 06:33:19.474: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/5,
changed state to up
Mar 31 06:34:18.142: %AUTHMGR-5-START: Starting 'mab' for client (a813.7492.d0ee) on Interface
Mar 31 06:34:18.147: %MAB-5-SUCCESS: Authentication successful for client (a813.7492.d0ee) on
Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
Mar 31 06:34:18.147: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client
(a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
Mar 31 06:34:19.170: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (a813.7492.d0ee)
on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA
sw-1#show authentication sessions
Interface MAC Address Method Domain Status Session ID
Gi0/6 bcc3.42ca.ba01 mab DATA Authz Success C0A8D2FC000000170130F03A

証明書を使用したユーザ認証
前提
不正なMacアドレスは許さない（例外が発生）
スイッチが複数ある
macアドレスは、情報システム部で一元管理出来る
ユーザが部署移動してもネットワークが利用出来るようにしたい
例外
8番portは、ITベンダーにて利用を開放する。ITベンダーのMACアドレスは管理しない
代わりに証明書をインストールしてある端末のみ、ネットワーク利用を許可する
サーバ証明書サーバ証明書
パスワード:whatever
クライアントでサーバ証明書を
インストールして、radiusサーバを信頼する
FreeRadius
のユーザデータ
macアドレス a8137492d0ee / a8137492d0ee
ユーザ ForseUser / forse
↑証明方式はこちら
ネットワークエンジニアとしてを参照

【Cisco】#9 PCの設定１
FORSE
手順31 PCがRadiusに認証に行くように設定（PCがRadiusサーバを信頼する）
FreeRadiusからサーバ証明書を取得、インストール後のデフォルトの証明書を確認
手順32
サーバ証明書の取得
「C:¥temp」フォルダを作成して、ファイルを取得
16
[root@Rabo9AthSV radius]# cd /etc/raddb/certs
[root@Rabo9AthSV certs]# ls -al
合計 164
drwxrwx---. 2 root radiusd 4096 12月 25 04:44 .
drwxr-xr-x. 9 root radiusd 4096 12月 26 10:35 ..
-rw-r-----. 1 root radiusd 4431 12月 13 02:19 01.pem
-rw-r-----. 1 root radiusd 4408 12月 13 02:19 02.pem
-rw-r-----. 1 root radiusd 6155 5月 7 2020 Makefile
-rw-r-----. 1 root radiusd 8714 5月 7 2020 README
-rwxr-x---. 1 root radiusd 2706 5月 7 2020 bootstrap
-rw-r-----. 1 root radiusd 1432 5月 7 2020 ca.cnf
-rw-r-----. 1 root radiusd 1278 12月 13 02:19 ca.der
-rw-r-----. 1 root radiusd 1854 12月 13 02:19 ca.key
-rw-r-----. 1 root radiusd 1785 12月 13 02:19 ca.pem
-rw-r-----. 1 root radiusd 1103 5月 7 2020 client.cnf
-rw-r-----. 1 root radiusd 4408 12月 13 02:19 client.crt
-rw-r-----. 1 root radiusd 1045 12月 13 02:19 client.csr
-rw-r-----. 1 root radiusd 1854 12月 13 02:19 client.key
-rw-r-----. 1 root radiusd 2581 12月 13 02:19 client.p12
-rw-r-----. 1 root radiusd 3687 12月 13 02:19 client.pem
-rw-r-----. 1 root radiusd 424 12月 13 02:19 dh
-rw-r-----. 1 root radiusd 229 12月 13 02:19 index.txt
-rw-r-----. 1 root radiusd 21 12月 13 02:19 index.txt.attr
-rw-r-----. 1 root radiusd 21 12月 13 02:19 index.txt.attr.old
-rw-r-----. 1 root radiusd 120 12月 13 02:19 index.txt.old
-rw-r-----. 1 root radiusd 1131 5月 7 2020 inner-server.cnf
-rw-r--r--. 1 root radiusd 166 5月 7 2020 passwords.mk
-rw-r-----. 1 root radiusd 3 12月 13 02:19 serial
-rw-r-----. 1 root radiusd 3 12月 13 02:19 serial.old
-rw-r-----. 1 root radiusd 1125 5月 7 2020 server.cnf
-rw-r-----. 1 root radiusd 4431 12月 13 02:19 server.crt
-rw-r-----. 1 root radiusd 1062 12月 13 02:19 server.csr
-rw-r-----. 1 root radiusd 1854 12月 13 02:19 server.key
-rw-r-----. 1 root radiusd 2589 12月 13 02:19 server.p12 ← サーバ証明書
-rw-r-----. 1 root radiusd 3710 12月 13 02:19 server.pem
-rw-r-----. 1 root radiusd 3687 12月 13 02:19 user@example.org.pem
-rw-r-----. 1 root radiusd 708 5月 7 2020 xpextensions
[root@Rabo9AthSV certs]#

【Cisco】#9 PCの設定２
FORSE
手順33 証明書をインストール
ファイルをダブルクリック
「次へ」 → 「次へ」
パスワード:「whatever」証明書をすべて次のストアに配置
（freeradiusのデフォルト）→次へ（デフォルトから変更）
信頼されたルート証明機関次へ
17

【Cisco】#9 PCの設定３
FORSE
「完了」「はい」
「OK」
手順34
Radiusのユーザ情報を確認
RadiusServerを確認
18
[root@Rabo9AthSV certs]# head -n 20 /etc/raddb/users
#4SE-001
bcc342caba01 Cleartext-Password:="bcc342caba01"
#4SE-006
a8137492caf5 Cleartext-Password:="a8137492caf5"
#4SE-003
a8137492d0ee Cleartext-Password:="a8137492d0ee"
#4SE-011
#a81374923207 Cleartext-Password:="a81374923207"
#radius-user
user@example.org Cleartext-Password:="whatever"
ForseUser Cleartext-Password:=“P@ssw0rd“ ←確認

【Cisco】#9 PCの設定４
FORSE
手順３５証明書を設定する
イーサネット右クリック→プロパティ認証タブ → 設定
Example Server Certificate
手順３６ Radiusのユーザを登録する認証モードを指定する。に☑
追加の設定プルダウンから「ユーザ認証」へ
ユーザ情報を入力
19

FORSE
Radiusの設定を投入
手順37 Macアドレスをレコードを削除します（Macアドレス未登録PCになる）
コメントアウト（行の先頭に#を追加して下さい）
手順38
設定変更前のgi0/8を確認
手順39 設定変更前に#8にポート結線してエラーを確認する
手順40 ユーザ認証を追加する
手順４１ユーザ認証が成功する事を確認（コンソール表示）
20
sw-1#show run | section interface GigabitEthernet0/8
authentication order mab
authentication timer restart 0
mab
sw-1#
#4SE-006
a8137492d0ee Cleartext-Password:=" a8137492d0ee "
#4SE-006
#a8137492d0ee Cleartext-Password:=" a8137492d0ee "
Radiusデーモン再起動
sw-1#show authentication session
Gi0/8 a813.7492.3207 N/A DATA Authz Failed C0A8D2FC0000001B0143B9D0
sw-1(config)#interface gigabitEthernet 0/8
sw-1(config-if)#dot1x pae authenticator
sw-1(config-if)#authentication order mab dot1x
sw-1#sh run | section interface GigabitEthernet0/8
authentication order dot1x
authentication timer restart 0
mab
dot1x pae authenticator
Mar 30 07:57:57.572: %AUTHMGR-5-START: Starting 'dot1x' for client (a813.7492.3207) on
Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525
Mar 30 07:57:57.708: %DOT1X-5-SUCCESS: Authentication successful for client (a813.7492.3207)
on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525
Mar 30 07:57:57.708: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client
(a813.7492.3207) on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525
Mar 30 07:57:57.724: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (a813.7492.3207)
on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525

【Cisco】スイッチの初期設定スイッチの設定４
FORSE
手順４２ dot1xで認証成功している事を確認
おしまい。
21
sw-1#show authentication session
Gi0/8 a813.7492.3207 dot1x DATA Authz Success C0A8D2FC0000001F0173C14F

Radiusサーバの設定 Rabo9AthSV(FJ)
認証ログを残す
[root@Rabo9AthSV raddb]# vi /etc/raddb/radiusd.conf
300 # Log authentication requests to the log file.
301 #
302 # allowed values: {no, yes}
303 #
304 auth = no ← yes
305
306 # Log passwords with the authentication requests.
307 # auth_badpass - logs password if it's rejected
308 # auth_goodpass - logs password if it's correct
309 #
310 # allowed values: {no, yes}
311 #
312 auth_badpass = no ← yes
313 auth_goodpass = no ← yes
インストール後のバージョン確認
[root@Rabo9AthSV ~]# radiusd -v
radiusd: FreeRADIUS Version 3.0.17, for host x86_64-redhat-linux-gnu
FreeRADIUS Version 3.0.17
Copyright (C) 1999-2017 The FreeRADIUS server project and contributors
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE
You may redistribute copies of FreeRADIUS under the terms of the
GNU General Public License
For more information about these matters, see the file named COPYRIGHT
[root@Rabo9AthSV ~]#
[root@Rabo9AthSV ~]# rpm -qa | grep freeradius
freeradius-3.0.17-7.module_el8.2.0+321+f9fd5d26.x86_64
freeradius-utils-3.0.17-7.module_el8.2.0+321+f9fd5d26.x86_64
[root@Rabo9AthSV ~]#
Radiusクライアントスイッチを登録する
[root@Rabo9AthSV raddb]# vi /etc/raddb/clients.conf
241 client private-network-1 {
242 ipaddr = 192.168.210.252/24
243 secret = s-key
244 }
自動再起動＋Radiusデーモン再起動
[root@Rabo9AthSV raddb]# systemctl enable radiusd
#4SE-006
A8137492CAF5 Cleartext-Password:="A8137492CAF5"
ログ
[root@Rabo9AthSV radius]# tail -n 100 /var/log/radius/radius.log
Sat Dec 26 20:15:44 2020 : Auth: (11) Login OK: [User/<via Auth-Type = eap>]
(from client 192.168.210.252 port 0 via TLS tunnel)
(from client 192.168.210.252 port 50008 cli A8-13-74-92-32-07)

Radiusサーバのトラブルメモ
[root@Rabo9AthSV ~]# radiusd –X
Failed binding to auth address * port 1812 bound to server default: Address already in use
/etc/raddb/sites-enabled/default[59]: Error binding to port for 0.0.0.0 port 1812
[root@Rabo9AthSV raddb]# ss -atup
Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port
udp UNCONN 0 0 0.0.0.0:41324 0.0.0.0:* users:(("radiusd",pid=13567,fd=15))
udp UNCONN 0 0 127.0.0.1:18120 0.0.0.0:* users:(("radiusd",pid=13567,fd=14))
udp UNCONN 0 0 0.0.0.0:radius 0.0.0.0:* users:(("radiusd",pid=13567,fd=10))
udp UNCONN 0 0 0.0.0.0:radius-acct 0.0.0.0:* users:(("radiusd",pid=13567,fd=11))
udp UNCONN 0 0 [::]:44789 [::]:* users:(("radiusd",pid=13567,fd=16))
udp UNCONN 0 0 [::]:radius [::]:* users:(("radiusd",pid=13567,fd=12))
udp UNCONN 0 0 [::]:radius-acct [::]:* users:(("radiusd",pid=13567,fd=13))
tcp LISTEN 0 128 0.0.0.0:ssh 0.0.0.0:* users:(("sshd",pid=1089,fd=5))
tcp ESTAB 0 36 192.168.210.201:ssh 192.168.210.13:61010
users:(("sshd",pid=2546,fd=5),("sshd",pid=2544,fd=5))
tcp LISTEN 0 32 *:ftp *:* users:(("vsftpd",pid=1099,fd=3))
tcp LISTEN 0 128 [::]:ssh [::]:* users:(("sshd",pid=1089,fd=7))
[root@Rabo9AthSV raddb]#kill 13567
[root@Rabo9AthSV raddb]#systemctl restart radiusd

クライアントPC端末有線認証有効化
・有線認証サービスの有効化
コントロールパネル
管理ツール
サービス(管理者として実行)
標準タブからWired AutoConfigをダブルクリック
スタートアップの種類で【自動】を選択し、【開始】ボタンをクリック
【OK】ボタンをクリックし、ウィンドを閉じる
・802.1xの設定
ネットワークと共有センター
アダプターの設定の変更
有線LANアダプター(イーサネット)を右クリックし、プロパティ(R)を選択する。
【認証】タブをクリック
【IEEE 802.1X 認証を有効にする(N)】にチェックする
ネットワークの認証方法の選択(M)で【Microsoft:スマートカードまたはその他証明書】を
選択
設定をクリックして、必要な項目にチェックを付けたら【OK】をクリックし、ウィンドを
閉じる

トラブル時のDebug方法
テスト用コマンド
SW# test aaa group radius USER1 PASSWORD1 port 1812 new-code
Debugコマンド
SW# Router# debug radius
RadiusServer用
radtest USER1 PASSWORD1 192.168.1.1 12345 SECRET

【Cisco】検証、PC設定変更 PCの設定6
FORSE
手順１２
PCのIPアドレスを設定します
PC１:192.168.10.1
PC２:192.168.20.2
PC３:192.168.30.3
PC４:192.168.40.4
PC５:192.168.50.5
PC６:192.168.60.6
手順１３
コマンドプロンプトからping疎通確認をします
ping 192.168.210.201
27
IPアドレスを変更する。
「スタートメニュー」→「設定」(歯車マーク)→「ネットワークとイン
ターネット」→
「イーサネット」→「アダプターのオプションを変更する」→「イーサ
ネット」→
「インターネットプロトコルバージョン 4 (TCP/IPv4)」→「プロパ
ティ」→
「次の IPアドレスを使う」→「IPアドレス」を「192.168.10.x」に設
定 ※自分のVLAN番号
「サブネットマスク」を「255.255.255.0」に設定
デフォルトゲートウェイの設定は第4オクテッド254

Cisco#9

Recommended

Recommended

More Related Content

Featured

Featured (20)

Cisco#9