コンフィグレーションガイド Vol.2

[目次][索引][前へ][次へ]

5.5.2 レイヤ2認証共通コンフィグレーションコマンドのパラメータ設定

<この項の構成>
(1) 認証前状態端末からのARPパケットを本装置外部に転送する設定
(2) 認証専用IPv4アクセスリストの設定
(3) 強制認証の設定
(4) 強制認証時に切り替えるVLAN IDの設定
(5) 装置単位の認証数制限値の設定
(6) ポート単位の認証数制限値の設定
(7) RADIUSサーバへアクセス時のdead interval時間の設定

(1) 認証前状態端末からのARPパケットを本装置外部に転送する設定

[設定のポイント]
認証前状態の端末から送信されたARPパケットを本装置外部に転送する設定をします。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 0/10
    (config-if)# web-authentication port
    (config-if)# mac-authentication port
    (config-if)# authentication arp-relay
    (config-if)# exit
    Web認証とMAC認証の認証対象ポート0/10にARPパケットを転送するよう設定します。
     

(2) 認証専用IPv4アクセスリストの設定

[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用IPv4アクセスリストを設定します。

[コマンドによる設定]
  1. (config)# ip access-list extended 100
    (config-ext-nacl)# permit udp any any eq bootps
    (config-ext-nacl)# permit ip any host 10.0.0.1
    (config-ext-nacl)# exit
    (config)# interface gigabitethernet 0/10
    (config-if)# web-authentication port
    (config-if)# mac-authentication port
    (config-if)# authentication ip access-group 100
    (config-if)# exit
    認証前の端末からDHCPパケットとIPアドレス10.0.0.1(DNSサーバ)へのアクセスを許可する認証専用IPv4アクセスリストを設定します。
     

(3) 強制認証の設定

[設定のポイント]
RADIUSサーバが応答しない場合,またはWeb認証では内蔵Web認証DBが,MAC認証では内蔵MAC認証DBが登録されていない場合に強制認証する設定をします。

[コマンドによる設定]
  1. (config)# authentication force-authorized enable
    強制認証を設定します。
     

(4) 強制認証時に切り替えるVLAN IDの設定

[設定のポイント]
ダイナミックVLANモードで強制認証となった場合に切り替えるVLAN IDを設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 0/5
    (config-if)# switchport mode mac-vlan
    (config-if)# switchport mac vlan 100,200
    (config-if)# web-authentication port
    (config-if)# mac-authentication port
    (config-if)# authentication force-authorized vlan 100
    (config-if)# exit
    Web認証とMAC認証のダイナミックVLANモードで指定された認証対象ポート0/5に,強制認証時に切り替えるVLAN ID 100を設定します。
     

(5) 装置単位の認証数制限値の設定

[設定のポイント]
レイヤ2認証の装置単位の認証数制限を設定します。

[コマンドによる設定]
  1. (config)# authentication max-user 512
    レイヤ2認証の装置単位の認証数制限を512に設定します。
     

(6) ポート単位の認証数制限値の設定

[設定のポイント]
レイヤ2認証のポート単位の認証数制限を設定します。

[コマンドによる設定]
  1. (config)# interface gigabitethernet 0/5
    (config-if)# switchport mode access
    (config-if)# switchport vlan 10
    (config-if)# web-authentication port
    (config-if)# mac-authentication port
    (config-if)# authentication max-user 64
    (config-if)# exit
    認証対象ポート0/5の認証数制限を64に設定します。
     

(7) RADIUSサーバへアクセス時のdead interval時間の設定

[設定のポイント]
最優先RADIUSサーバが無応答になったあと,ほかのRADIUSサーバで認証を始めてから,再度最優先RADIUSサーバへアクセスを試みるまでの待ち時間(dead interval時間)を設定します。

[コマンドによる設定]
  1. (config)# authentication radius-server dead-interval 20
    RADIUSサーバのdead interval時間を20分に設定します。

[目次][前へ][次へ]

[他社商品名称に関する表示]

All Rights Reserved, Copyright(C), 2005, 2012, ALAXALA Networks, Corp.