コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 認証前状態端末からのARPパケットを本装置外部に転送する設定
- (2) 認証専用IPv4アクセスリストの設定
- (3) 強制認証の設定
- (4) 強制認証時に切り替えるVLAN IDの設定
- (5) 装置単位の認証数制限値の設定
- (6) ポート単位の認証数制限値の設定
- (7) RADIUSサーバへアクセス時のdead interval時間の設定
(1) 認証前状態端末からのARPパケットを本装置外部に転送する設定
- [設定のポイント]
- 認証前状態の端末から送信されたARPパケットを本装置外部に転送する設定をします。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/10
(config-if)# web-authentication port
(config-if)# mac-authentication port
(config-if)# authentication arp-relay
(config-if)# exit
Web認証とMAC認証の認証対象ポート1/0/10にARPパケットを転送するよう設定します。
(2) 認証専用IPv4アクセスリストの設定
- [設定のポイント]
- 認証前状態の端末から本装置の外部への通信を許可する認証専用IPv4アクセスリストを設定します。
- [コマンドによる設定]
- (config)# ip access-list extended 100
(config-ext-nacl)# permit udp any any eq bootps
(config-ext-nacl)# permit ip any host 10.0.0.1
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/10
(config-if)# web-authentication port
(config-if)# mac-authentication port
(config-if)# authentication ip access-group 100
(config-if)# exit
認証前の端末からDHCPパケットとIPアドレス10.0.0.1(DNSサーバ)へのアクセスを許可する認証専用IPv4アクセスリストを設定します。
(3) 強制認証の設定
- [設定のポイント]
- RADIUSサーバが応答しない場合,またはWeb認証では内蔵Web認証DBが,MAC認証では内蔵MAC認証DBが登録されていない場合に強制認証する設定をします。
- [コマンドによる設定]
- (config)# authentication force-authorized enable
強制認証を設定します。
(4) 強制認証時に切り替えるVLAN IDの設定
- [設定のポイント]
- ダイナミックVLANモードで強制認証となった場合に切り替えるVLAN IDを設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/5
(config-if)# switchport mode mac-vlan
(config-if)# switchport mac vlan 100,200
(config-if)# web-authentication port
(config-if)# mac-authentication port
(config-if)# authentication force-authorized vlan 100
(config-if)# exit
Web認証とMAC認証のダイナミックVLANモードで指定された認証対象ポート1/0/5に,強制認証時に切り替えるVLAN ID 100を設定します。
(5) 装置単位の認証数制限値の設定
- [設定のポイント]
- レイヤ2認証の装置単位の認証数制限を設定します。
- [コマンドによる設定]
- (config)# authentication max-user 512
レイヤ2認証の装置単位の認証数制限を512に設定します。
(6) ポート単位の認証数制限値の設定
- [設定のポイント]
- レイヤ2認証のポート単位の認証数制限を設定します。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/5
(config-if)# switchport mode access
(config-if)# switchport vlan 10
(config-if)# web-authentication port
(config-if)# mac-authentication port
(config-if)# authentication max-user 64
(config-if)# exit
認証対象ポート1/0/5の認証数制限を64に設定します。
(7) RADIUSサーバへアクセス時のdead interval時間の設定
- [設定のポイント]
- 最優先RADIUSサーバが無応答になったあと,ほかのRADIUSサーバで認証を始めてから,再度最優先RADIUSサーバへアクセスを試みるまでの待ち時間(dead interval時間)を設定します。
- [コマンドによる設定]
- (config)# authentication radius-server dead-interval 20
RADIUSサーバのdead interval時間を20分に設定します。
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.