Cisco の MAC アドレス認証について以前書いた記事の内容が古くなっているので、最近の設定コマンドについてまとめておきます。 ただし、ドキュメントを当たっただけで、手許で動作確認はしていませんのでご了承ください。

mab コマンドの追加

最近は MAC アドレス認証 (MAB = MAC Authentication Bypass) を有効とするためには、(config-if) モードで mab コマンドを設定する必要があるようです。

Switch(config-if)# mab

その他結構コマンドが変わっているので、詳細は最後に挙げている Cisco のドキュメントを参照してみてください。 MAC アドレス認証のみであれば、「Standalone MAB Support」を読めば良いと思います。

認証の順序を変更できるようになった

前回の記事では 802.1X 認証 -> MAC アドレス認証という順番が固定であったため、802.1X 認証のタイムアウトを短く調節していたわけですが、最近は MAC アドレス認証を先に行うことができるようになりました。 具体的には以下のようなコマンドを打ちます。

authentication order mab dot1x webauth
authentication priority mab dot1x webauth

１行めのコマンドにより MAC アドレス認証 (mab) の方が 802.1x (dot1x) よりも先に実行されるようになります。 ２行めのコマンドは優先順位の設定で、ある方式で認証された後に異なる認証方式で更に認証が実施されようとした時の動作を決めます。 この例では、１度 MAC アドレス認証された後は 802.1X による再認証ができないよう設定しています。

マルチ認証モードの追加

以前の記事では、

Catalyst の１ポートにハブ等を介して複数の端末を接続したときに、個々の端末を Catalyst で認証する仕掛けをつくるのは無理だと思います。

と書いていましたが、host-mode = multi-auth というモード (「マルチ認証モード」) が追加され、これが可能となっています。 個別に ACL が動的設定されアクセス制御が行われる様です。 ただし、MAC 認証と組み合わせて使えるものなのかよくわかりません。 また、現状ポートあたり８台が上限と聞いています。

以下、参考情報。いずれも Cisco のサイトです。

• Standalone MAB Support
• 802.1x Flexible Authentication
• Scenario-Based Identity Based Networking Services Deployments