Successfully reported this slideshow.
Your SlideShare is downloading. ×

Cisco#9

More Related Content

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all

Cisco#9

  1. 1. 【Cisco】#ラボ9@秋葉原UDX 2020/12/29(火)11時00分から FORSE 1
  2. 2. 【Cisco】#9初心者ネットワーク勉強会@秋葉原UDX FORSE アジェンダ 1100~1105 今日出来るようになる事、自己紹介(ペア紹介) 1105~1115 実機でやってみよう(今日はスイッチ) 1115~1130 portセキュリティ設定 1130~1145 セキュリティ違反する。なおす 1145~1200 Macアドレス認証設定 1200~1220 証明書とユーザ認証 1220~1230 後片付け 参加いただきありがとうございます 今日、出来るようになる事 ・Portセキュリティ ・Macアドレス認証 ・Dot1x認証 https://www.infraexpert.com/study/catalyst8.5.html https://www.infraexpert.com/study/wireless14.html 今日の要求 • シナリオ1 攻撃者、不審者、情報システム管理外のPC、ハブを接続させた くない。安定運用中に許可していないPCをLANに接続させない。 デモ:接続できる。→PC変えると接続できない。→スイッチの オレンジランプ→無点灯 → 戻し方(手動、自動) • シナリオ2 不不正なMacアドレスは許さない。スイッチが複数ある。macア ドレスは、情報システム部で一元管理出来る。ユーザが部署移動 してもネットワークが利用出来るようにしたいる • シナリオ3 不特定多数の信頼できるベンダーのアクセスを許可したい(利便 性向上) (特定のポートは)証明書がある場合に、認証サーバへ認証に行 く デモ:接続できない。→証明書インストール。→接続できる。 2
  3. 3. 【Cisco】ネットワーク基礎講座 今日の構成 ラボ#9 FORSE 3 PC2 Hostname:Rabo9AtuSV FreeRadius OpenSSL#1#0/1 #0/7 #2 #8 認証SW Catalyst2960 ルータ C891fj HPE ProLiant MicroServer GEN10 VLAN20 Trunk VLAN20,500 192.168.210.0/24 .201.254 VLAN10 :192.168.10.254/24 VLAN20 :192.168.20.254/24 VLAN30 :192.168.30.254/24 VLAN40 :192.168.40.254/24 VLAN50 :192.168.50.254/24 port8 :192.168.210.254/24 #0/1 #0/7 認証SW Catalyst2960 #0/1 #0/7 認証SW Catalyst2960 VLAN10 Trunk VLAN10,500 Trunk VLAN30,500 PC3 PC1 VLAN30 #1 #3 192.168.210.201/24 192.168.10.10/24 192.168.20.10/24 192.168.30.10/24 192.168.10.252/24 192.168.30.252/24
  4. 4. 【Cisco】#9 スイッチ設定1 FORSE 電源を投入して下さい 電源入った事をLED(ランプ)で確認してください ① PCから「tera term」を起動 ② 「シリアル」を選択 ③ Portから、USBを選択 4 手順1 スイッチは起動が早いです(ルータと比べると) セットアップモードが起動したら、noと入力、もしくはcttl+c --- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:no Press RETURN to get started! Switch>enable Switch# Switch#configure terminal Switch(config)# Switch(config)#hostname SW-1 SW-xxx(cnofig)# Switch #configure terminal Switch(config)#no ip domain lookup Switch(config)#vtp mode transparent Switch(config)#line console 0 Switch(config-line)#logging synchronous Switch(config-line)#exec-timeout 60 0 Switch(config-line)#end
  5. 5. 手順5 PCのLAN線を刺した状態でポートセキュリティの設定を入れる 手順6 コマンドプロンプトにて「ipconfig /all」と発行し、PCのマックアドレスを確認する。 【Cisco】#9 スイッチの設定2 FORSE 5 手順 2 VLANの設定をします。 vlan番号、インターフェース名、IPアドレスの第3オクテットは違います 手順 3 portの設定をします。 手順 4 結線します。 1)ルーターとスイッチ 自分のVLAN番号10の位とルーターのポート番号 2)スイッチとPC ポート1 Switch #configure terminal SW-1(config) #vlan 10 ←参加者毎に違う SW-1(config-vlan) #exit SW-1(config) #int vlan10 ←参加者毎に違う SW-1(config-if) #ip address 192.168.10.252 255.255.255.0 SW-1(config-if) #no shutdown SW-1(config) #exit SW-1(config)# interface range GigabitEthernet 0/1 - 8 SW-1(config-if-range)#switchport mode access SW-1(config-if-range)#switchport access vlan 10 SW-1(config-if)#end SW-1#configure terminal SW-1(config)# interface GigabitEthernet 0/1 SW-1(config-if)# switchport port-security ←ポートセキュリティ有効化 SW-1(config-if)#exit SW-1(config)# interface GigabitEthernet 0/1 SW-1(config-if)#switchport port-security mac-address sticky←MACアドレス登録 SW-1(config)# end
  6. 6. 【Cisco】#9 スイッチの設定 3 FORSE 手順7 インターフェースのポートセキュリティの設定を検証する 手順15 Show run interfaceコマンドで現在刺さっているPCのmac-addressが登録 されていることを確認 6 Switch#show run interface GigabitEthernet0/1 Building configuration... Current configuration : 203 bytes ! interface GigabitEthernet0/1 switchport mode access switchport port-security switchport port-security mac-address sticky switchport port-security mac-address sticky aaaa.bbbb.cccc vlan access end SW-1#show port-security interface gigabitEthernet0/1 Port Security : Enabled ←portsecurtiy有効化 Port Status : Secure-up ←port状態有効化 Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : bcc3.42ca.ba01:10 ←登録確認 Security Violation Count : 0 手順8 設定の検証をする ポートセキュリティが有効なポート → 今回はGi0/1 MACアドレステーブルを確認する SW-1#show port-security Secure Port MaxSecureAddr CurrentAddr SecurityViolation Security Action (Count) (Count) (Count) --------------------------------------------------------------------------- Gi0/1 1 1 0 Shutdown --------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 SW-1# SW-1#show port-security address Secure Mac Address Table ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 10 bcc3.42ca.ba01 SecureSticky Gi0/1 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192
  7. 7. 【Cisco】#9 スイッチの設定 4 FORSE 隣の人とPCのEtherneポートを入れ替える 7 UTPケーブル コンソールケーブル(ロールオーバーケーブル) PC1 PC2 PC1 PC2
  8. 8. 【Cisco】#9 スイッチの設定5 FORSE 手順8 ポートセキュリティを設定したportに違うPCを接続し、コンソールログに 下記が表示される事を確認 アップ → 違反 → ダウン オレンジ点灯 → 消灯 手順9 Show int gi0/1を入力し、ポート状態がerr-disabledであることを確認 8 ポート違反したときの挙動 Switch# *Mar 1 06:00:37.292: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up *Mar 1 06:00:38.293: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up *Mar 1 06:00:51.248: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/1, putting Gi0/1 in err-disable state *Mar 1 06:00:51.248: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address bcc3.42ca.ba01 on port GigabitEthernet0/1. *Mar 1 06:00:52.250: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down *Mar 1 06:00:53.251: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down Switch#show interfaces gigabitEthernet 0/1 | include line protocol GigabitEthernet0/1 is down, line protocol is down (err-disabled) SW-1#show port-security interface gigabitEthernet 0/1 Port Security : Enabled Port Status : Secure-shutdown ← ポート止めてます Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : a813.7492.caf5:10 ← 直近のmac Security Violation Count : 1 ← 違反回数 SW-1# show port-security address Secure Mac Address Table ----------------------------------------------------------------------------- Vlan Mac Address Type Ports Remaining Age (mins) ---- ----------- ---- ----- ------------- 10 bcc3.42ca.ba01 SecureSticky Gi0/1 - ----------------------------------------------------------------------------- Total Addresses in System (excluding one mac per port) : 0 Max Addresses limit in System (excluding one mac per port) : 8192 4つ↑ 登録されているmac end
  9. 9. 【Cisco】#9 スイッチの設定 6 FORSE err-disabledになったportを正常状態に戻すために下記コマンドを投入する 手順10 PC-SW間のportを抜去(スイッチのPort#1) 手順11 手動で戻す 隣の人とPCのEtherneポートを戻そう 9 SW-1#configure terminal SW-1(config)# interface GigabitEthernet 0/1 SW-1(config-if)# shutdown SW-1(config-if)# no shutdown SW-1(config)# end UTPケーブル コンソールケーブル (ロールオーバーケーブル) PC1 PC2PC1 PC2
  10. 10. 【Cisco】#9 スイッチの設定 7 FORSE 手順12 セキュリティ違反を自動回復を有効にする 手順13 設定を検証する 手順14 自動回復を検証する 隣の人とポートを交換し、コンソール表示を待つ 10 SW-1(config)#errdisable recovery cause psecure-violation SW-1(config)#errdisable recovery interval 120 手順15 ポートセキュリティ、ポートの状態を確認する。 手順16 自分のPCに戻す 手順17 ポートセキュリティ、ポートの状態を確認する SW-1#show errdisable recovery | include psesure psecure-violation Enabled ← ポートセキュリティ違反 SW-1#show errdisable recovery | include Timer interval Timer interval: 120 seconds ← 2分で自動回復 Mar 30 04:40:06.088: %PM-4-ERR_RECOVER: Attempting to recover from psecure- violation err-disable state on Gi0/1 SW-1# Mar 30 04:40:16.898: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up Mar 30 04:40:17.900: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up SW-1# Mar 30 04:40:30.587: %PM-4-ERR_DISABLE: psecure-violation error detected on Gi0/1, putting Gi0/1 in err-disable state SW-1# Mar 30 04:40:30.593: %PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address a813.7492.caf5 on port GigabitEthernet0/1. SW-1# Mar 30 04:40:31.589: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down SW-1# Mar 30 04:40:32.596: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to down SW-1#show port-security interface gigabitEthernet 0/1 Port Security : Enabled Port Status : Secure-shutdown ←ポート無効化 Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : a813.7492.caf5:10 Security Violation Count : 1 SW-1#show port-security interface gigabitEthernet 0/1 Port Security : Enabled Port Status : Secure-up ←ポート有効化 Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 1 Total MAC Addresses : 1 Configured MAC Addresses : 0 Sticky MAC Addresses : 1 Last Source Address:Vlan : a813.7492.caf5:10 Security Violation Count : 0
  11. 11. Radiusを使用したmacアドレス認証 前提 不正なMacアドレスは許さない スイッチが複数ある macアドレスは、情報システム部で一元管理出来る ユーザが部署移動してもネットワークが利用出来るようにしたい https://www.unix-power.net/networking/post-365 図 ノード 役割 クライアント端末 スイッチにアクセス要求をします 認証スイッチ クライアント端末からの要求で認証サーバへリクエストを投げる 認証サーバの結果から、ネットワークへの物理アクセスを制御します。 認証サーバ CentOS + FreeRadius 認証情報を一元管理する。 クライアントアクセスの許可/拒否をスイッチに通知する
  12. 12. 【Cisco】ネットワーク基礎講座 今日の構成 ラボ#9 FORSE 12 PC2 Hostname:Rabo9AtuSV FreeRadius OpenSSL#1#0/1 #0/7 #2 #8 認証SW Catalyst2960 ルータ C891fj HPE ProLiant MicroServer GEN10 VLAN20 Trunk VLAN20,500 192.168.210.0/24 .201.254 #0/1 #0/7 認証SW Catalyst2960 #0/1 #0/7 認証SW Catalyst2960 VLAN10 Trunk VLAN10,500 Trunk VLAN30,500 PC3 PC1 VLAN30 #1 #3 192.168.210.201/24 192.168.10.10/24 192.168.20.10/24 192.168.30.10/24 192.168.10.252/24 Shared Key s-key Shared Key s-key
  13. 13. 【Cisco】#9 スイッチの設定8 FORSE Radiusの設定を投入 手順18 ローカルユーザ作成(Dot1x認証の有効化の準備) 手順19 AAAの有効化 手順20 consoleとtelentはローカル認証 手順21 Radiusサーバの登録 手順22 dot1xを有効にします 手順24 port#3~ port #8はMacアドレス認証を実施します Radiusの設定を検証 手順25 RadiusサーバのIPアドレス、ポート、キーを確認 インターフェース設定を検証 13 SW-1(config) #username cisco password cisco SW-1(config) #aaa new-model SW-1(config)#radius server FreeRadius SW-1(config-radius-server)#address ipv4 192.168.210.201 auth-port 1812 acct-port 1813 SW-1(config-radius-server)#key s-key ←事前共有カギ SW-1(config-radius-server)#exit SW-1(config) #aaa authentication login console local SW-1(config) #line console 0 SW-1(config-line) # login authentication console SW-1(config) #line vty 0 4 SW-1(config-line) # login authentication console SW-1(config)# dot1x system-auth-control SW-1(config)# aaa authentication dot1x default group radius SW-1(config) # interface range GigabitEthernet0/3 - 8 SW-1(config-if-range) # authentication port-control auto SW-1(config-if-range) # authentication order mab SW-1(config-if-range) # mab ←MacAdressBypass(mac認証)を有効化 SW-1(config-if-range) # authentication timer restart 0 ←再認証回数ゼロ SW-1#sh run | section radius server radius server FreeRadius address ipv4 192.168.210.201 auth-port 1812 acct-port 1813 key s-key SW-1#sh run | section interface GigabitEthernet0/6 interface GigabitEthernet0/6 switchport access vlan 10 switchport mode access authentication order mab authentication port-control auto mab SW-1#
  14. 14. 【Cisco】#9 スイッチの設定9 FORSE ポートセキュリティ検証 手順26 MACアドレス未登録の状態で、ポートに結線し接続できない事を確認 手順27 MACアドレスを登録 1.登録するMACアドレスを手順25から確認、本書の例はa8137492d0ee 2.別途teratermでRadiusサーバに接続 手順28 MACアドレスを登録する 手順29 物理結線を実施 MACアドレス認証が成功する事を確認(コンソール表示) 手順30 認証成功している事を確認 14 Mar 31 06:33:16.538: %AUTHMGR-5-START: Starting 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:33:17.545: %MAB-5-FAIL: Authentication failed for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:33:17.545: %AUTHMGR-7-RESULT: Authentication result 'no-response' from 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:33:17.545: %AUTHMGR-7-FAILOVER: Failin SW-1#g over from 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:33:17.545: %AUTHMGR-7-NOMOREMETHODS: Exhausted all authentication methods for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:33:17.545: %AUTHMGR-5-FAIL: Authorization failed or unapplied for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA MACアドレス登録 [root@Rabo9AthSV raddb]# vi /etc/raddb/users #4SE-006 a8137492d0ee Cleartext-Password:=" a8137492d0ee " Radiusデーモン再起動 [root@Rabo9AthSV raddb]# systemctl restart radiusd %LINK-3-UPDOWN: Interface GigabitEthernet0/5, changed state to up Mar 31 06:33:19.474: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/5, changed state to up Mar 31 06:34:18.142: %AUTHMGR-5-START: Starting 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:34:18.147: %MAB-5-SUCCESS: Authentication successful for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:34:18.147: %AUTHMGR-7-RESULT: Authentication result 'success' from 'mab' for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA Mar 31 06:34:19.170: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (a813.7492.d0ee) on Interface Gi0/5 AuditSessionID C0A8D2FD00000029063E62FA sw-1#show authentication sessions Interface MAC Address Method Domain Status Session ID Gi0/6 bcc3.42ca.ba01 mab DATA Authz Success C0A8D2FC000000170130F03A
  15. 15. 証明書を使用したユーザ認証 前提 不正なMacアドレスは許さない(例外が発生) スイッチが複数ある macアドレスは、情報システム部で一元管理出来る ユーザが部署移動してもネットワークが利用出来るようにしたい 例外 8番portは、ITベンダーにて利用を開放する。ITベンダーのMACアドレスは管理しない 代わりに証明書をインストールしてある端末のみ、ネットワーク利用を許可する サーバ証明書サーバ証明書 パスワード:whatever クライアントでサーバ証明書を インストールして、radiusサーバを信頼する FreeRadius のユーザデータ macアドレス a8137492d0ee / a8137492d0ee ユーザ ForseUser / forse ↑証明方式はこちら ネットワークエンジニアとしてを参照
  16. 16. 【Cisco】#9 PCの設定1 FORSE 手順31 PCがRadiusに認証に行くように設定(PCがRadiusサーバを信頼する) FreeRadiusからサーバ証明書を取得、インストール後のデフォルトの証明書を確認 手順32 サーバ証明書の取得 「C:¥temp」フォルダを作成して、ファイルを取得 16 [root@Rabo9AthSV radius]# cd /etc/raddb/certs [root@Rabo9AthSV certs]# ls -al 合計 164 drwxrwx---. 2 root radiusd 4096 12月 25 04:44 . drwxr-xr-x. 9 root radiusd 4096 12月 26 10:35 .. -rw-r-----. 1 root radiusd 4431 12月 13 02:19 01.pem -rw-r-----. 1 root radiusd 4408 12月 13 02:19 02.pem -rw-r-----. 1 root radiusd 6155 5月 7 2020 Makefile -rw-r-----. 1 root radiusd 8714 5月 7 2020 README -rwxr-x---. 1 root radiusd 2706 5月 7 2020 bootstrap -rw-r-----. 1 root radiusd 1432 5月 7 2020 ca.cnf -rw-r-----. 1 root radiusd 1278 12月 13 02:19 ca.der -rw-r-----. 1 root radiusd 1854 12月 13 02:19 ca.key -rw-r-----. 1 root radiusd 1785 12月 13 02:19 ca.pem -rw-r-----. 1 root radiusd 1103 5月 7 2020 client.cnf -rw-r-----. 1 root radiusd 4408 12月 13 02:19 client.crt -rw-r-----. 1 root radiusd 1045 12月 13 02:19 client.csr -rw-r-----. 1 root radiusd 1854 12月 13 02:19 client.key -rw-r-----. 1 root radiusd 2581 12月 13 02:19 client.p12 -rw-r-----. 1 root radiusd 3687 12月 13 02:19 client.pem -rw-r-----. 1 root radiusd 424 12月 13 02:19 dh -rw-r-----. 1 root radiusd 229 12月 13 02:19 index.txt -rw-r-----. 1 root radiusd 21 12月 13 02:19 index.txt.attr -rw-r-----. 1 root radiusd 21 12月 13 02:19 index.txt.attr.old -rw-r-----. 1 root radiusd 120 12月 13 02:19 index.txt.old -rw-r-----. 1 root radiusd 1131 5月 7 2020 inner-server.cnf -rw-r--r--. 1 root radiusd 166 5月 7 2020 passwords.mk -rw-r-----. 1 root radiusd 3 12月 13 02:19 serial -rw-r-----. 1 root radiusd 3 12月 13 02:19 serial.old -rw-r-----. 1 root radiusd 1125 5月 7 2020 server.cnf -rw-r-----. 1 root radiusd 4431 12月 13 02:19 server.crt -rw-r-----. 1 root radiusd 1062 12月 13 02:19 server.csr -rw-r-----. 1 root radiusd 1854 12月 13 02:19 server.key -rw-r-----. 1 root radiusd 2589 12月 13 02:19 server.p12 ← サーバ証明書 -rw-r-----. 1 root radiusd 3710 12月 13 02:19 server.pem -rw-r-----. 1 root radiusd 3687 12月 13 02:19 user@example.org.pem -rw-r-----. 1 root radiusd 708 5月 7 2020 xpextensions [root@Rabo9AthSV certs]#
  17. 17. 【Cisco】#9 PCの設定2 FORSE 手順33 証明書をインストール ファイルをダブルクリック 「次へ」 → 「次へ」 パスワード:「whatever」 証明書をすべて次のストアに配置 (freeradiusのデフォルト)→次へ (デフォルトから変更) 信頼されたルート証明機関 次へ 17
  18. 18. 【Cisco】#9 PCの設定3 FORSE 「完了」 「はい」 「OK」 手順34 Radiusのユーザ情報を確認 RadiusServerを確認 18 [root@Rabo9AthSV certs]# head -n 20 /etc/raddb/users #4SE-001 bcc342caba01 Cleartext-Password:="bcc342caba01" #4SE-006 a8137492caf5 Cleartext-Password:="a8137492caf5" #4SE-003 a8137492d0ee Cleartext-Password:="a8137492d0ee" #4SE-011 #a81374923207 Cleartext-Password:="a81374923207" #radius-user user@example.org Cleartext-Password:="whatever" ForseUser Cleartext-Password:=“P@ssw0rd“ ←確認
  19. 19. 【Cisco】#9 PCの設定4 FORSE 手順35 証明書を設定する イーサネット 右クリック→プロパティ 認証タブ → 設定 Example Server Certificate 手順36 Radiusのユーザを登録する 認証モードを指定する。に☑ 追加の設定 プルダウンから「ユーザ認証」へ ユーザ情報を入力 19
  20. 20. 【Cisco】#9 スイッチの設定10 FORSE Radiusの設定を投入 手順37 Macアドレスをレコードを削除します(Macアドレス未登録PCになる) コメントアウト(行の先頭に#を追加して下さい) 手順38 設定変更前のgi0/8を確認 手順39 設定変更前に#8にポート結線してエラーを確認する 手順40 ユーザ認証を追加する 手順41 ユーザ認証が成功する事を確認(コンソール表示) 20 sw-1#show run | section interface GigabitEthernet0/8 interface GigabitEthernet0/8 switchport access vlan 10 switchport mode access authentication order mab authentication port-control auto authentication timer restart 0 mab sw-1# MACアドレス登録 [root@Rabo9AthSV raddb]# vi /etc/raddb/users #4SE-006 a8137492d0ee Cleartext-Password:=" a8137492d0ee " MACアドレス登録 [root@Rabo9AthSV raddb]# vi /etc/raddb/users #4SE-006 #a8137492d0ee Cleartext-Password:=" a8137492d0ee " Radiusデーモン再起動 [root@Rabo9AthSV raddb]# systemctl restart radiusd sw-1#show authentication session Interface MAC Address Method Domain Status Session ID Gi0/8 a813.7492.3207 N/A DATA Authz Failed C0A8D2FC0000001B0143B9D0 sw-1(config)#interface gigabitEthernet 0/8 sw-1(config-if)#dot1x pae authenticator sw-1(config-if)#authentication order mab dot1x sw-1#sh run | section interface GigabitEthernet0/8 interface GigabitEthernet0/8 switchport access vlan 10 switchport mode access authentication order dot1x authentication port-control auto authentication timer restart 0 mab dot1x pae authenticator Mar 30 07:57:57.572: %AUTHMGR-5-START: Starting 'dot1x' for client (a813.7492.3207) on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525 Mar 30 07:57:57.708: %DOT1X-5-SUCCESS: Authentication successful for client (a813.7492.3207) on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525 Mar 30 07:57:57.708: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (a813.7492.3207) on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525 Mar 30 07:57:57.724: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (a813.7492.3207) on Interface Gi0/8 AuditSessionID C0A8D2FC0000001D0165B525
  21. 21. 【Cisco】スイッチの初期設定 スイッチの設定4 FORSE 手順42 dot1xで認証成功している事を確認 おしまい。 21 sw-1#show authentication session Interface MAC Address Method Domain Status Session ID Gi0/8 a813.7492.3207 dot1x DATA Authz Success C0A8D2FC0000001F0173C14F
  22. 22. Radiusサーバの設定 Rabo9AthSV(FJ) 認証ログを残す [root@Rabo9AthSV raddb]# vi /etc/raddb/radiusd.conf 300 # Log authentication requests to the log file. 301 # 302 # allowed values: {no, yes} 303 # 304 auth = no ← yes 305 306 # Log passwords with the authentication requests. 307 # auth_badpass - logs password if it's rejected 308 # auth_goodpass - logs password if it's correct 309 # 310 # allowed values: {no, yes} 311 # 312 auth_badpass = no ← yes 313 auth_goodpass = no ← yes インストール後のバージョン確認 [root@Rabo9AthSV ~]# radiusd -v radiusd: FreeRADIUS Version 3.0.17, for host x86_64-redhat-linux-gnu FreeRADIUS Version 3.0.17 Copyright (C) 1999-2017 The FreeRADIUS server project and contributors There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE You may redistribute copies of FreeRADIUS under the terms of the GNU General Public License For more information about these matters, see the file named COPYRIGHT [root@Rabo9AthSV ~]# [root@Rabo9AthSV ~]# rpm -qa | grep freeradius freeradius-3.0.17-7.module_el8.2.0+321+f9fd5d26.x86_64 freeradius-utils-3.0.17-7.module_el8.2.0+321+f9fd5d26.x86_64 [root@Rabo9AthSV ~]# Radiusクライアント スイッチを登録する [root@Rabo9AthSV raddb]# vi /etc/raddb/clients.conf 241 client private-network-1 { 242 ipaddr = 192.168.210.252/24 243 secret = s-key 244 } 自動再起動+Radiusデーモン再起動 [root@Rabo9AthSV raddb]# systemctl enable radiusd [root@Rabo9AthSV raddb]# systemctl restart radiusd MACアドレス登録 [root@Rabo9AthSV raddb]# vi /etc/raddb/users #4SE-006 A8137492CAF5 Cleartext-Password:="A8137492CAF5" ログ [root@Rabo9AthSV radius]# tail -n 100 /var/log/radius/radius.log Sat Dec 26 20:15:44 2020 : Auth: (11) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 0 via TLS tunnel) Sat Dec 26 20:15:44 2020 : Auth: (12) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 50008 cli A8-13-74-92-32-07) Sat Dec 26 20:31:05 2020 : Auth: (22) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 0 via TLS tunnel) Sat Dec 26 20:31:05 2020 : Auth: (23) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 50008 cli A8-13-74-92-32-07) Sat Dec 26 22:07:11 2020 : Auth: (33) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 0 via TLS tunnel) Sat Dec 26 22:07:11 2020 : Auth: (34) Login OK: [User/<via Auth-Type = eap>] (from client 192.168.210.252 port 50008 cli A8-13-74-92-32-07)
  23. 23. Radiusサーバのトラブルメモ [root@Rabo9AthSV ~]# radiusd –X Failed binding to auth address * port 1812 bound to server default: Address already in use /etc/raddb/sites-enabled/default[59]: Error binding to port for 0.0.0.0 port 1812 [root@Rabo9AthSV raddb]# ss -atup Netid State Recv-Q Send-Q Local Address:Port Peer Address:Port udp UNCONN 0 0 0.0.0.0:41324 0.0.0.0:* users:(("radiusd",pid=13567,fd=15)) udp UNCONN 0 0 127.0.0.1:18120 0.0.0.0:* users:(("radiusd",pid=13567,fd=14)) udp UNCONN 0 0 0.0.0.0:radius 0.0.0.0:* users:(("radiusd",pid=13567,fd=10)) udp UNCONN 0 0 0.0.0.0:radius-acct 0.0.0.0:* users:(("radiusd",pid=13567,fd=11)) udp UNCONN 0 0 [::]:44789 [::]:* users:(("radiusd",pid=13567,fd=16)) udp UNCONN 0 0 [::]:radius [::]:* users:(("radiusd",pid=13567,fd=12)) udp UNCONN 0 0 [::]:radius-acct [::]:* users:(("radiusd",pid=13567,fd=13)) tcp LISTEN 0 128 0.0.0.0:ssh 0.0.0.0:* users:(("sshd",pid=1089,fd=5)) tcp ESTAB 0 36 192.168.210.201:ssh 192.168.210.13:61010 users:(("sshd",pid=2546,fd=5),("sshd",pid=2544,fd=5)) tcp LISTEN 0 32 *:ftp *:* users:(("vsftpd",pid=1099,fd=3)) tcp LISTEN 0 128 [::]:ssh [::]:* users:(("sshd",pid=1089,fd=7)) [root@Rabo9AthSV raddb]#kill 13567 [root@Rabo9AthSV raddb]#systemctl restart radiusd
  24. 24. 【Cisco】証明書 FORSE 24
  25. 25. クライアントPC端末 有線認証有効化 ・有線認証サービスの有効化 コントロールパネル 管理ツール サービス(管理者として実行) 標準タブからWired AutoConfigをダブルクリック スタートアップの種類で【自動】を選択し、【開始】ボタンをクリック 【OK】ボタンをクリックし、ウィンドを閉じる ・802.1xの設定 ネットワークと共有センター アダプターの設定の変更 有線LANアダプター(イーサネット)を右クリックし、プロパティ(R)を選択する。 【認証】タブをクリック 【IEEE 802.1X 認証を有効にする(N)】にチェックする ネットワークの認証方法の選択(M)で【Microsoft:スマートカードまたはその他証明書】を 選択 設定をクリックして、必要な項目にチェックを付けたら【OK】をクリックし、ウィンドを 閉じる
  26. 26. トラブル時のDebug方法 テスト用コマンド SW# test aaa group radius USER1 PASSWORD1 port 1812 new-code Debugコマンド SW# Router# debug radius RadiusServer用 radtest USER1 PASSWORD1 192.168.1.1 12345 SECRET
  27. 27. 【Cisco】検証、PC設定変更 PCの設定6 FORSE 手順12 PCのIPアドレスを設定します PC1:192.168.10.1 PC2:192.168.20.2 PC3:192.168.30.3 PC4:192.168.40.4 PC5:192.168.50.5 PC6:192.168.60.6 手順13 コマンドプロンプトからping疎通確認をします ping 192.168.210.201 27 IPアドレスを変更する。 「スタートメニュー」→「設定」(歯車マーク)→「ネットワークとイン ターネット」→ 「イーサネット」→「アダプターのオプションを変更する」→「イーサ ネット」→ 「インターネット プロトコル バージョン 4 (TCP/IPv4)」→「プロパ ティ」→ 「次の IPアドレスを使う」→「IPアドレス」を「192.168.10.x」に設 定 ※自分のVLAN番号 「サブネットマスク」を「255.255.255.0」に設定 デフォルトゲートウェイの設定は第4オクテッド254

×