EAP フラグメンテーションの実装と動作

Similar documents
ハンドシェイク障害または証明書検証エラーによる NGFW サービス モジュール TLS の中断

RADIUS 無効な認証者およびメッセージ認証者のトラブルシューティング ガイド

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

Cisco CSS HTTP キープアライブと ColdFusion サーバの連携

オペレーティング システムでの traceroute コマンドの使用

RADIUS NAS-IP-Address アトリビュート 設定可能性

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

LDAP サーバと統合するための ISE の設定

FUI 機能付きの OCS サーバ URL リダイレクトの設定例

索引

VPN 接続の設定

ISE の BYOD に使用する Windows サーバ AD 2012 の SCEP RA 証明書を更新する

Identity Services Engine ゲスト ポータルのローカル Web 認証の設定例

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

JapanCert 専門 IT 認証試験問題集提供者 1 年で無料進級することに提供する

LEAP を使用して Cisco ワイヤレス クライアントを認証するための Funk RADIUS の設定

ASA および Cisco IOS グループ ロック機能と AAA 属性および WebVPN の設定例

p_network-management_old-access_ras_faq_radius2.xlsx

索引

セキュリティ機能の概要

アライドテレシス ディストリビューション・スイッチ AT-x600シリーズで実現するMicrosoft® NAP

Cisco Identity Services Engine の証明書更新に関する設定ガイド

セキュリティ機能の概要

Catalyst 3750 シリーズ スイッチでの ISE トラフィック リダイレクション

Windows GPO のスクリプトと Cisco NAC 相互運用性

初めてのBFD

Net'Attest EPS設定例

管理アカウントの TACACS+ 認証をサポートするための Cisco VPN 3000 コンセントレータの設定方法

TFTP serverの実装

FQDN を使用した ACL の設定

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

ip nat outside source list コマンドを使用した設定例

CUCM と VCS 間のセキュア SIP トランクの設定例

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジ アドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

Microsoft PowerPoint ppt [互換モード]

8021.X 認証を使用した Web リダイレクトの設定

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と NEC プラットフォームズ社製無線 LAN アクセスポイント NA1000W/NA1000A の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続につい

証明書(Certificates)

RADIUS を使用した Windows 2008 NPS サーバ(Active Directory)に対する ASA VPN ユーザ認証の設定例

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

F O M A P P P 接続参考資料 DTE~FOMA パケット網間インタフェース 第 1.4 版 株式会社 NTT ドコモ Unpublished copyright 2007 NTT DoCoMo, Inc. All rights reserved. Unpublished copyrigh

Cisco Unity と Unity Connection Server の設定

ISE 2.0: ASA CLI TACACS+ 認証およびコマンド認可の設定例

PfRv2 での Learn-List と PfR-Map の設定

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製無線アクセスポイント WAB-M2133 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示したものです 設定例

概要

AXシリーズとSafeNetの相互接続評価

Kerberos の設定

X.25 PVC 設定

第1回 ネットワークとは

認証連携設定例 連携機器 BUFFALO WAPM-2133TR/WAPM-1266R/ WAPM-1266WDPR/WAPS-1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

NetAttest EPS設定例

Cisco Secure UNIX および Secure ID(SDI クライアント)設定

Microsoft Word - Win-Outlook.docx

VPN の IP アドレス

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

使用する前に

Cisco ISE ポート リファレンス

CSS のスパニングツリー ブリッジの設定

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と ELECOM 社製 L2 スイッチ EHB-SG2B シリーズおよび EHB-SG2B-PL シリーズの IEEE802.1X EAP-TLS/EAP-TLS+ ダイナミック VLAN 環境での接

77-j.pdf

IPv6 リンクローカル アドレスについて

AW-PCS認証設定手順1805

WebView のハング:- java.lang.OutOfMemoryError

目次 1 本マニュアルについて 概要 サービスご利用前の注意点 基本概念 基本構成図 設定手順 マネージメントツールへのアクセス Smart Device VPN のユーザ管理... 7

ASA リモート アクセス VPN IKE/SSL - パスワード期限切れと RADIUS、TACACS、LDAP 変更の設定例

MPLS での traceroute コマンド

認証連携設定例 連携機器 BUFFALO FS-M1266 Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と フルノシステムズ社製無線アクセスポイント ACERA 1010/ACERA 1020 の IEEE802.1X EAP-TLS/EAP-PEAP(MS-CHAP V2) 環境での接続について 設定例を示した

認証連携設定例 連携機器 アイ オー データ機器 WHG-AC1750A シリーズ Case IEEE802.1X EAP-TLS/EAP-PEAP Rev2.0 株式会社ソリトンシステムズ

マルチポイント GRE を介したレイヤ 2(L2omGRE)

ISE 2.1 および AnyConnect 4.3 ポスチャ USB チェックの設定

設定例: 基本 ISDN 設定

NetAttest EPS設定例

パケットモニター (Wireshark) の使い方 第 1 版 1.Wireshark とは ネットワーク上 (LAN ケーブルに流れている ) のパケットを取得して その中の情報を画面に表示するソフトウェア (LAN アナライザーまたはパケットモニター ) の 1 つに Wiresh

ローカル認証の設定例を含む WLC 5760/3850 Custom WebAuth

Net'Attest EPS設定例

認証連携設定例 連携機器 パナソニック ES ネットワークス Switch-M24eG Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/ EAP-TLS/EAP-TLS+ ダイナミック VLAN Rev2.0 株式会社ソリトンシステムズ

Net'Attest EPS設定例

Net'Attest EPS設定例

VRF のデバイスへの設定 Telnet/SSH アクセス

無線 LAN セキュリティの基礎 2015 年 4 月 19 日セクタンラボ Copyright (C) 2015 SecTan Lab. All Rights Reserved.

設定 XMPP 復元力

ローカル ポリシーでの FIPS の有効化

現象 2 仮想マシン起動時に イベントログ ( システムログ ) に次のエラーイベントが記録される イベントログ内容種類 : エラーソース :storvsp イベント ID:5 Cannot load storage device in ' 任意の仮想マシン名 ' because the versi

EPS設定例

ローカル認証でのVPN 3000 Concentrator PPTP の設定方法

OSSTechドキュメント

ServerView Agents 補足情報

RADIUS GUARD®とAXシリーズによる認証連携 の相互接続情報と設定ポイント

Net'Attest EPS設定例

実習 :VLAN 間ルーティングのトラブルシューティング トポロジ 2014 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. 1 / 8 ページ

TECHNICAL BRIEF RealServer ロードバランス時の BIG-IP 設定方法 本ドキュメントは複数の RealServer をロードバランスする際の BIG-IP コントローラの設定方法を紹介するもので F5 Networks Japan K.K. と RealNetworks

Exam : 日本語 (JPN) Title : Implementing Advanced Cisco Unified Wireless Security (IAUWS) v2.0 Vendor : Cisco Version : DEMO 1 / 5 Get Latest & V

authentication command bounce-port ignore ~ auth-type

はじめに はじめに 本書について本書はオールインワン認証アプライアンス NetAttest EPS と Riverbed 社製無線アクセスポイント Xirrus XD2-240 の IEEE802.1X EAP-TLS/ EAP-PEAP 環境での接続について 設定例を示したものです 設定例は管理者

ACI のファースト LACP タイマーを設定して下さい

2 台の N-PE 上でのアクセス リングの終端

Transcription:

EAP フラグメンテーションの実装と動作 目次 概要前提条件要件サーバから返される証明書チェーンサプリカントから返される証明書チェーン Microsoft Windows ネイティブサプリカント解決策 AnyConnect NAM Microsoft Windows ネイティブサプリカントと AnyConnect NAM フラグメンテーション IP レイヤでのフラグメンテーション RADIUS でのフラグメンテーション EAP-TLS でのフラグメンテーション EAP-TLS フラグメント確認別のサイズで再構成された EAP-TLS フラグメント RADIUS 属性 Framed-MTU EAP フラグメントを送信する場合の AAA サーバとサプリカントの動作 ISE Microsoft ネットワークポリシーサーバ (NPS) AnyConnect Microsoft Windows ネイティブサプリカント関連情報 概要 このドキュメントでは Extensible Authentication Protocol(EAP) セッションを理解してトラブルシュートする方法について説明します トピックは次のとおりです 認証 許可 およびアカウンティング (AAA) サーバが Extensible Authentication Protocol- Transport Layer Security(EAP-TLS) セッションのサーバ証明書を返す場合の動作 サプリカントが EAP-TLS セッションのクライアント証明書を返す場合の動作 Microsoft Windows ネイティブサプリカントと Cisco AnyConnect Network Access Manager(NAM) の両方を使用した場合の相互運用性 IP RADIUS および EAP-TLS でのフラグメンテーションとネットワークアクセスデバイスで実行される再構成プロセス RADIUS Framed-Maximum Transmission Unit(MTU) 属性 AAA サーバが EAP-TLS パケットのフラグメンテーションを実行する場合の動作

前提条件 要件 次の項目に関する知識が推奨されます EAP プロトコルと EAP-TLS プロトコル Cisco Identity Services Engine(ISE) の設定 Cisco Catalyst スイッチの CLI 設定この記事を理解するためには EAP と EAP-TLS に精通している必要があります サーバから返される証明書チェーン AAA サーバ (Access Control Server(ACS) と ISE) は常に サーバ Hello とサーバ証明書を含む EAP-TLS パケットのチェーン全体を返します CN=win2012,dc=example,dc=com に署名した認証局 (CA) と一緒に ISE ID 証明書 (Common Name(CN) = lise.example.com) が返されます この動作は ACS と ISE の両方で同じです サプリカントから返される証明書チェーン Microsoft Windows ネイティブサプリカント EAP-TLS を使用するように設定された Microsoft Windows 7 ネイティブサプリカントは Simple certificate selection の有無に関係なく クライアント証明書のチェーン全体を送信しません この動作は クライアント証明書がサーバ証明書とは異なる CA( 別のチェーン ) によって署名された場合でも発生します 次の例は 前のスクリーンショットで示したサーバ Hello と証明書に関連しています このシナリオでは ISE 証明書がサブジェクト名 CN=win2012,dc=example,dc=com を使用して CA によって署名されます ただし Microsoft ストアにインストールされたユーザ証明書は 別の CA(CN=CA,C=PL,S=Cisco CA,L=Cisco CA,O=Cisco CA) によって署名されます そのため Microsoft Windows サプリカントはクライアント証明書だけで応答します それに署名した CA(CN=CA,S=PL,S=Cisco CA, L=Cisco CA, O=Cisco CA) は添付されません この動作が原因で AAA サーバでクライアント証明書の検証時に問題が発生する可能性があります この例は Microsoft Windows 7 SP1 Professional に関連しています 解決策 完全な証明書チェーン ( すべての CA とサブ CA が署名したクライアント証明書 ) を ACS と ISE の証明書ストアにインストールする必要があります

証明書検証に伴う問題は ACS または ISE で簡単に検出できます 信頼できない証明書に関する情報が提示され ISE から次のように報告されます 12514 EAP-TLS failed SSL/TLS handshake because of an unknown CA in the client certificates chain サプリカントでの証明書検証に伴う問題は簡単には検出できません 通常は AAA サーバが Endpoint abondoned EAP session で次のように応答します AnyConnect NAM AnyConnect NAM にはこの制限がありません 同じシナリオで クライアント証明書のチェーン全体が添付されます ( 正しい CA が添付されます ) Microsoft Windows ネイティブサプリカントと AnyConnect NAM 両方のサービスが稼働している場合は AnyConnect NAM が優先されます NAM サービスが稼働していない場合でも Microsoft Windows API を呼び出して EAP パケットを転送するため Microsoft Windows ネイティブサプリカントの問題が発生する可能性があります このような障害の例を次に示します 次のコマンドを使用して Microsoft Windows 上のトレースを有効にします C:\netsh ras set tracing * enable トレース (c:\windows\trace\svchost_rastls.log) には次のように表示されます [2916] 09-14 21:29:11:254: >> Received Request (Code: 1) packet: Id: 55, Length: 6, Type: 13, TLS blob length: 0. Flags: S [2916] 09-14 21:29:11:254: << Sending Response (Code: 2) packet: Id: 55, Length: 105, Type: 13, TLS blob length: 95. Flags: L [1804] 09-14 21:29:11:301: >> Received Request (Code: 1) packet: Id: 56, Length: 1012, Type: 13, TLS blob length: 2342. Flags: LM [1804] 09-14 21:29:11:301: << Sending Response (Code: 2) packet: Id: 56, Length: 6, Type: 13, TLS blob length: 0. Flags: [1804] 09-14 21:29:11:348: >> Received Request (Code: 1) packet: Id: 57, Length: 1008, Type: 13, TLS blob length: 0. Flags: M [1804] 09-14 21:29:11:348: << Sending Response (Code: 2) packet: Id: 57, Length: 6, Type: 13, TLS blob length: 0. Flags: [1804] 09-14 21:29:11:363: >> Received Request (Code: 1) packet: Id: 58, Length: 344, Type: 13, TLS blob length: 0. Flags: [1804] 09-14 21:29:11:363: << Sending Response (Code: 2) packet: Id: 58, Length: 1492, Type: 13, TLS blob length: 1819. Flags: LM [3084] 09-14 21:31:11:203: >> Received Request (Code: 1) packet: Id: 122, Length: 6, Type: 13, TLS blob length: 0. Flags: S [3084] 09-14 21:31:11:218: << Sending Response (Code: 2) packet: Id: 122, Length: 105, Type: 13, TLS blob length: 95. Flags: L [3420] 09-14 21:31:11:249: >> Received Request (Code: 1) packet: Id: 123, Length: 1012, Type: 13, TLS blob length: 2342. Flags: LM [3420] 09-14 21:31:11:249: << Sending Response (Code: 2) packet: Id: 123, Length: 6, Type: 13, TLS blob length: 0. Flags: [3420] 09-14 21:31:11:281: >> Received Request (Code: 1) packet: Id: 124, Length:

1008, Type: 13, TLS blob length: 0. Flags: M [3420] 09-14 21:31:11:281: << Sending Response (Code: 2) packet: Id: 124, Length: 6, Type: 13, TLS blob length: 0. Flags: [3420] 09-14 21:31:11:281: >> Received Request (Code: 1) packet: Id: 125, Length: 344, Type: 13, TLS blob length: 0. Flags: [3420] 09-14 21:31:11:296: << Sending Response (Code: 2) packet: Id: 125, Length: 1492, Type: 13, TLS blob length: 1819. Flags: LM 最後のパケットは Microsoft Windows ネイティブサプリカントから送信されたクライアント証明書 (EAP サイズが 1492 の EAP-TLS フラグメント 1) です 残念ながら Wireshark にはこのパケットが表示されません また このパケットは実際には送信されません ( 最後のものは EAP-TLS 伝送サーバ証明書の 3 番目のフラグメントでした ) これは Microsoft Windows API を呼び出す AnyConnect NAM モジュールによってすでに消費されています このため AnyConnect を Microsoft Windows ネイティブサプリカントと一緒に使用しないことをお勧めします AnyConnect サービスを使用する場合は Microsoft Windows ネイティブサプリカントではなく NAM(802.1x サービスが必要な場合 ) を一緒に使用することをお勧めします フラグメンテーション 次のように複数のレイヤでフラグメンテーションが発生する可能性があります IP RADIUS Attribute Value Pair(AVP) EAP-TLS Cisco IOS スイッチは高い処理能力を備えています EAP 形式と EAP-TLS 形式を解釈できます このスイッチは TLS トンネルを復号化することはできませんが Extensible Authentication Protocol over LAN(EAPoL) または RADIUS でのカプセル化時の EAP パケットの構成 / 再構成およびフラグメンテーションを扱います EAP プロトコルはフラグメンテーションをサポートしません RFC 3748(EAP) の抜粋を次に示します "Fragmentation is not supported within EAP itself; however, individual EAP methods may support this." EAP-TLS がそのような例です RFC 5216 (EAP-TLS) 第 2.1.5 項 (fragmentation) の抜粋を次に示します "When an EAP-TLS peer receives an EAP-Request packet with the M bit set, it MUST respond with an EAP-Response with EAP-Type=EAP-TLS and no data. This serves as a fragment ACK. The EAP server MUST wait until it receives the EAP-Response before sending another fragment." 最後の文は AAA サーバの非常に重要な機能に関する説明です 別の EAP フラグメントを送信するためには その前に ACK を待つ必要があります 同様のルールがサプリカントに使用されます ""The EAP peer MUST wait until it receives the EAP-Request before sending another fragment."

IP レイヤでのフラグメンテーション フラグメンテーションは ネットワークアクセスデバイス (NAD) と AAA サーバ ( トランスポートとして使用される IP/UDP/RADIUS) の間でのみ発生する可能性があります この状況は NAD(Cisco IOS スイッチ ) が インターフェイスの MTU より長い EAP ペイロードを含む RADIUS 要求を送信しようとしたときに起こります ほとんどの Cisco IOS バージョンが十分な処理能力を備えていないため EAPoL 経由で受信される EAP パケットを構成して AAA サーバ宛ての物理インターフェイスの MTU に収まる RADIUS パケットにまとめようとはしません AAA サーバはより高い処理能力を備えています ( 次の項を参照 ) RADIUS でのフラグメンテーション これは実際にはフラグメンテーションではありません RFC 2865 によれば 単一の RADIUS 属性に最大 253 バイトのデータを含めることができます そのため EAP ペイロードは常に複数の EAP-Message RADIUS 属性で送信されます このような EAP-Message 属性は Wireshark によって再構成され 解釈されます ( 最後のセグメント 属性は EAP パケット全体のペイロードを公開します ) EAP パケット内の Length ヘッダーは 1,012 に等しく これをトランスポートするために 4 つの RADIUS AVP が必要です EAP-TLS でのフラグメンテーション 同じスクリーンショットに 次の点が示されています EAP パケット長は 1,012 です EAP-TLS 長は 2,342 です これは それが最初の EAP-TLS フラグメントであり サプリカントはそれ以上を想定すべきであることを示唆しています (EAP-TLS フラグを検査すれば これを確認できます ) この種のフラグメンテーションは次のようなケースで最も頻繁に発生します AAA サーバから セキュアソケットレイヤ (SSL) サーバ証明書とチェーン全体を含む EAP-Request を伝送する RADIUS Access-Challenge が送信された場合 NAD から SSL クライアント証明書とチェーン全体を含む EAP-Response を伝送する RADIUS Access-Request が送信された場合 EAP-TLS フラグメント確認 前述したように 各 EAP-TLS フラグメントは 後続のフラグメントが送信される前に確認応答される必要があります 次に 例としてサプリカントと NAD 間の EAPoL 用のパケットキャプチャを示します EAPoL フレームと AAA サーバがサーバ証明書を返します

この証明書は EAP-TLS フラグメントで送信されます ( パケット 8) サプリカントがそのフラグメントを確認応答します ( パケット 9) 2 番目の EAP-TLS フラグメントが NAD によって転送されます ( パケット 10) サプリカントがそのフラグメントを確認応答します ( パケット 11) 3 番目の EAP-TLS フラグメントが NAD によって転送されます ( パケット 12) サプリカントがこれを確認応答する必要はありません その代わり パケット 13 から始まるクライアント証明書に進みます 次に パケット 12 の詳細を示します Wireshark がパケット 8 10 および 12 を再構成したことが示されています EAP フラグメントのサイズは 1,002 1,002 および 338 で EAP-TLS メッセージの合計サイズが 2342 になります ( 総 EAP-TLS メッセージ長は各フラグメントでアナウンスされます ) これは (NAD と AAA サーバの間の )RADIUS パケットを検査すると確認できます RADIUS パケット 4 6 および 8 でこの 3 つの EAP-TLS フラグメントが伝送されます 最初の 2 つのフラグメントが確認応答されます Wireshark は EAP-TLS フラグメントに関する情報 ( サイズ : 1,002 + 1,002 + 338 = 2,342) を提示できます このシナリオと例は単純でした Cisco IOS スイッチは EAP-TLS フラグメントサイズを変更する必要がありません 別のサイズで再構成された EAP-TLS フラグメント AAA サーバ宛ての NAD MTU が 9,000 バイト ( ジャンボフレーム ) で AAA サーバがジャンボフレームをサポートするインターフェイスにも接続されている場合の動作を考えます 一般的なサプリカントのほとんどが 1,500 の MTU を含む 1 Gbit リンクを使用して接続されます このようなシナリオでは Cisco IOS スイッチが EAP-TLS の 非対称 構成と再構成を実行し EAP-TLS フラグメントサイズを変更します 次に AAA サーバから送信された長い EAP メッセージ (SSL サーバ証明書 ) の例を示します 1. AAA サーバは SSL サーバ証明書を含む EAP-TLS メッセージを送信する必要があります EAP パケットの合計サイズは 3,000 です RADIUS Access-Challenge/UDP/IP でカプセル化された後でも AAA サーバインターフェイスの MTU を下回ります 単一の IP パケットが 12 個の RADIUS EAP-Message 属性と一緒に送信されます IP フラグメンテーションも EAP-TLS フラグメンテーションもありません 2. Cisco IOS スイッチはこのようなパケットを受信し それをカプセル化解除して EAP を EAPoL 経由でサプリカントに送る必要があると判断します EAPoL はフラグメンテーションをサポートしないため スイッチが EAP-TLS フラグメンテーションを実行する必要があります 3. Cisco IOS スイッチが サプリカント宛てのインターフェイスの MTU(1,500) に収まる最初の EAP-TLS フラグメントを準備します 4. このフラグメントがサプリカントによって確認されます 5. 確認応答の受信後に 別の EAP-TLS フラグメントが送信されます

6. このフラグメントがサプリカントによって確認されます 7. 最後の EAP-TLS フラグメントがスイッチによって送信されます このシナリオでは 次のことが明らかになります 環境によっては NAD が EAP-TLS フラグメントを作成する必要があります NAD は これらのフラグメントの送信 / 確認応答を扱う必要があります ジャンボフレームをサポートするリンク経由で接続されたサプリカントでも同じ状況が起きる可能性がありますが AAA サーバではより小さい MTU が使用されます ( その後 Cisco IOS スイッチが AAA サーバ宛てに EAP パケットを送信するときに EAP-TLS フラグメントを作成します ) RADIUS 属性 Framed-MTU RADIUS の場合は 次のように RFC 2865 で Framed-MTU 属性が定義されています "This Attribute indicates the Maximum Transmission Unit to be configured for the user, when it is not negotiated by some other means (such as PPP). It MAY be used in Access-Accept packets. It MAY be used in an Access-Request packet as a hint by the NAS to the server that it would prefer that value, but the server is not required to honor the hint." ISE はヒントを受け入れません Access-Request で NAD から送信される Framed-MTU の値は ISE によって実行されるフラグメンテーションに影響を与えません 最新のいくつかの Cisco IOS スイッチでは グローバルに有効にされるジャンボフレーム設定を除いて イーサネットインターフェイスの MTU の変更が許可されません ジャンボフレームの設定は RADIUS Access-Request で送信される Framed-MTU 属性の値に影響します たとえば 次のように設定したとします Switch(config)#system mtu jumbo 9000 これは すべての RADIUS Access-Request で Framed-MTU = 9000 を送信するようにスイッチに指示します ジャンボフレームを含まないシステム MTU の場合は次のようになります Switch(config)#system mtu 1600 これは すべての RADIUS Access-Request で Framed-MTU = 1600 を送信するようにスイッチに指示します 最新の Cisco IOS スイッチではシステム MTU 値を 1,500 未満にできないことに注意してください EAP フラグメントを送信する場合の AAA サーバとサプリカントの動作 ISE ISE は 常に 1,002 バイト長の EAP-TLS フラグメント ( 通常はサーバ Hello と証明書 ) を送信しようとします ( ただし最後のフラグメントが短くなる場合があります ) また ISE は RADIUS

Framed-MTU を受け入れません より大きい EAP-TLS フラグメントを送信するように再設定することはできません Microsoft ネットワークポリシーサーバ (NPS) NPS 上で Framed-MTU 属性をローカルに設定した場合は EAP-TLS フラグメントのサイズを設定することができます Configure the EAP Payload Size on Microsoft NPS の記事には NPS RADIUS サーバのフレーム化された MTU のデフォルト値が 1,500 だと記載されていますが Cisco Technical Assistance Center(TAC) ラボでは デフォルト設定で 2,000 が送信されることが判明しています (Microsoft Windows 2012 データセンターで確認済み ) 前述のガイドに従った Framed-MTU locally の設定が NPS で尊重され Framed-MTU で設定されたフラグメントサイズに EAP メッセージが分割されることがテストされています ただし Access-Request で受信された Framed-MTU 属性は使用されません (ISE/ACS 上と同様 ) この値の設定は 次のようなトポロジの問題を解決するための有効な次善策になります Supplicant [MTU 1500] ---- ---- [MTU 9000]Switch[MTU 9000] ----- ----- [[MTU 9000]NPS 現在 スイッチでポートごとに MTU を設定することはできません 6880 スイッチの場合は この機能が Cisco bug ID CSCuo26327-802.1x EAP-TLS not working on FEX host ports で追加されています AnyConnect AnyConnect は 1,486 バイト長の EAP-TLS フラグメント ( 通常はクライアント証明書 ) を送信します この値のサイズとして イーサネットフレームは 1,500 バイトです 通常 最後のフラグメントはこれより小さくなります Microsoft Windows ネイティブサプリカント Microsoft Windows は 1,486 または 1,482 バイト長の EAP-TLS フラグメント ( 通常はクライアント証明書 ) を送信します この値のサイズとして イーサネットフレームは 1,500 バイトです 通常 最後のフラグメントはこれより小さくなります 関連情報 IEEE 802.1x ポートベース認証の設定 テクニカルサポートとドキュメント Cisco Systems

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック