コンフィグレーションガイド Vol.2

7.1.3 認証モードオプションの設定

認証モードオプションやパラメータの設定について説明します。

〈この項の構成〉

(1) 認証除外端末オプションの設定

IEEE802.1Xを持たない端末など,認証を行わないで通信を許可する端末のMACアドレスを設定します。

[設定のポイント]

ポート単位認証,VLAN単位認証(静的)では,MACアドレステーブルにスタティックなエントリを登録します。VLAN単位認証(動的)では,MAC VLANにMACアドレスを登録します。

[コマンドによる設定](ポート単位認証)

  1. (config)# interface gigabitethernet 0/1

    (config-if)# switchport mode access

    (config-if)# switchport access vlan 10

    (config-if)# dot1x multiple-authentication

    (config-if)# dot1x port-control auto

    (config-if)# exit

    ポート0/1にVLAN ID 10を設定し,認証サブモードが端末認証モードのポート単位認証を設定します。

  2. (config)# mac-address-table static 0012.e200.0001 vlan 10 interface gigabitethernet 0/1

    ポート0/1のVLAN ID 10に認証しないで通信させたいMACアドレス(0012.e200.0001)をスタティックに設定します。

[コマンドによる設定](VLAN単位認証(動的))

  1. (config)# vlan 100 mac-based

    (config-vlan)# mac-address 0012.e200.0001

    (config-vlan)# exit

    VLAN ID 100のMAC VLANで通信可能とする端末のMACアドレスを設定します。端末は,IEEE802.1Xの認証を行わないでVLAN ID 100で通信できます。

  2. (config)# dot1x vlan dynamic radius-vlan 100

    (config)# dot1x vlan dynamic enable

    VLAN ID 100をVLAN単位認証(動的)の対象に設定して有効にします。

(2) 認証除外ポートオプションの設定

[設定のポイント]

VLAN単位認証(静的)を設定したVLANに所属するポートで,認証を行わずに通信を許可するポートを設定します。ポートに複数のVLANを設定している場合は,すべてのVLANについて認証を行わずに通信が可能になります。

[コマンドによる設定]

  1. (config)# interface gigabitethernet 0/1

    (config-if)# dot1x force-authorized-port

    VLAN単位認証(静的)を指定したVLANに属しているポート0/1では認証を行わず,通信できるように設定します。

[注意事項]

認証除外ポートにVLAN単位認証(静的)を設定したVLANを追加した場合,そのポートの通信が一度途絶えることがあります。

(3) 認証端末数制限の設定

[設定のポイント]

認証単位ごとに,認証を許可する最大端末数を設定します。ポート単位認証では,認証サブモードに端末認証モードを設定している場合に有効となります。

[コマンドによる設定](ポート単位認証)

  1. (config)# interface gigabitethernet 0/1

    (config-if)# dot1x multiple-authentication

    (config-if)# dot1x port-control auto

    (config-if)# dot1x max-supplicant 50

    ポート0/1で認証を許可する最大端末数を50に設定します。

[コマンドによる設定](VLAN単位認証(静的))

  1. (config)# dot1x vlan 10 max-supplicant 50

    VLAN単位認証(静的)に設定したVLAN ID 10で認証を許可する最大端末数を50に設定します。

[コマンドによる設定](VLAN単位認証(動的))

  1. (config)# dot1x vlan dynamic max-supplicant 50

    VLAN単位認証(動的)で認証を許可する最大端末数を50に設定します。

(4) 端末検出動作の切替設定

端末の認証開始を誘発するために,本装置はtx-periodコマンドで指定した間隔でEAP-Request/Identityをマルチキャスト送信します。このとき,EAP-Request/Identityに応答した認証済み端末に対する認証シーケンス動作を設定します。デフォルトは,認証処理を省略します。

[設定のポイント]

shortcutは,認証処理を省略して本装置の負荷を軽減します。disableは,認証済みの端末が存在する場合には,定期的なEAP-Request/Identityの送信を行いません。fullは,認証処理を省略することができないSupplicantを使用している場合に設定します。fullモードを指定した場合は,装置の負荷が高くなるので注意が必要です。autoは,EAP-Request/Identityをマルチキャスト送信しません。端末から送信された任意のパケットの受信を契機に,端末ごとにEAP-Request/Identityを送信します。

[コマンドによる設定](ポート単位認証)

  1. (config)# interface gigabitethernet 0/1

    (config-if)# dot1x multiple-authentication

    (config-if)# dot1x port-control auto

    (config-if)# dot1x supplicant-detection disable

    ポート0/1に認証済み端末が存在する場合にはEAP-Request/Identityを送信しないように設定します。

[コマンドによる設定](VLAN単位認証(静的))

  1. (config)# dot1x vlan 10 supplicant-detection shortcut

    VLAN単位認証(静的)に設定したVLAN ID 10で,認証済み端末からのEAP-Response/Identity受信では,再認証処理を省略して認証成功とするように設定します。

[コマンドによる設定](VLAN単位認証(動的))

  1. (config)# dot1x vlan dynamic supplicant-detection full

    VLAN単位認証(動的)で認証済み端末からのEAP-Response/Identity受信では,認証処理を省略しないで認証サーバへの問い合わせを行います。

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2005, 2020, ALAXALA Networks, Corp.