コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 端末へ再認証を要求する機能の設定
- (2) 端末へのEAP-Requestフレーム再送の設定
- (3) 端末からの認証要求を抑止する機能の設定
- (4) 認証失敗時の認証処理再開までの待機時間設定
- (5) EAP-Request/Identityフレーム送信の時間間隔設定
- (6) 認証サーバ応答待ち時間のタイマ設定
- (7) 複数端末からの認証要求時の通信遮断時間の設定
- (8) syslogサーバへの出力設定
ログオフを送信しないでネットワークから外れた端末は本装置から認証を解除できないため,認証済みの端末に対して再認証を促すことで応答のない端末の認証を解除します。
- [設定のポイント]
- 認証済みの端末ごとに,reauth-periodタイマに設定している時間間隔でEAP-Request/Identityを送信します。reauth-periodタイマの設定値は,tx-periodタイマの設定値よりも大きい値を設定してください。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x reauthentication
(config-if)# dot1x timeout reauth-period 360
ポート1/0/1での再認証要求機能を有効に設定し,再認証の時間間隔を360秒に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 reauthentication
(config)# dot1x vlan 10 timeout reauth-period 360
VLAN単位認証(静的)に設定したVLAN ID 10での再認証機能を有効に設定し,再認証の時間間隔を360秒に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic reauthentication
(config)# dot1x vlan dynamic timeout reauth-period 360
VLAN単位認証(動的)での再認証機能を有効に設定し,再認証の時間間隔を360秒に設定します。
端末の認証中に,本装置から送信するEAP-Request(認証サーバからの要求メッセージ)に対して,端末から応答がない場合の再送時間と再送回数を設定します。
- [設定のポイント]
- 再送時間間隔と再送回数の総時間が,reauth-periodタイマに設定している時間より短い時間になるように設定してください。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x timeout supp-timeout 60
ポート1/0/1でのEAP-Requestフレームの再送時間を60秒に設定します。
- (config-if)# dot1x max-req 3
ポート1/0/1でのEAP-Requestフレームの再送回数を3回に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 timeout supp-timeout 60
VLAN単位認証(静的)に設定したVLAN ID 10でのEAP-Requestフレームの再送時間を60秒に設定します。
- (config)# dot1x vlan 10 max-req 3
VLAN単位認証(静的)に設定したVLAN ID 10でのEAP-Requestフレームの再送回数を3回に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic timeout supp-timeout 60
VLAN単位認証(動的)でのEAP-Requestフレームの再送時間を60秒に設定します。
- (config)# dot1x vlan dynamic max-req 3
VLAN単位認証(動的)でのEAP-Requestフレームの再送回数を3回に設定します。
端末からのEAP-Startフレーム受信による認証処理を抑止します。本機能を設定した場合,新規認証および再認証は,それぞれtx-periodタイマ,reauth-periodタイマの時間間隔で行われます。
- [設定のポイント]
- 多数の端末から短い時間間隔で再認証要求が行われ,装置の負荷が高い場合に設定を行い,負荷を低減します。本コマンドの設定前にdot1x reauthenticationコマンドの設定が必要です。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x reauthentication
(config-if)# dot1x ignore-eapol-start
ポート1/0/1でEAP-Startフレーム受信による認証処理を抑止します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 reauthentication
(config)# dot1x vlan 10 ignore-eapol-start
VLAN単位認証(静的)に設定したVLAN ID 10でEAP-Startフレームによる認証処理を抑止します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic reauthentication
(config)# dot1x vlan dynamic ignore-eapol-start
VLAN単位認証(動的)でEAP-Startフレーム受信による認証処理を抑止します。
認証に失敗した端末に対する認証再開までの待機時間を設定します。
- [設定のポイント]
- 認証に失敗した端末から,短い時間に認証の要求が行われることで装置の負荷が高くなることを抑止します。
- ユーザがIDやパスワードの入力誤りによって認証が失敗した場合でも,設定した時間を経過しないと認証処理を再開しないので,設定時間には注意してください。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x timeout quiet-period 300
ポート単位認証を設定しているポート1/0/1に認証処理再開までの待機時間を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 timeout quiet-period 300
VLAN単位認証(静的)を設定しているVLAN ID 10に認証処理再開までの待機時間を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic timeout quiet-period 300
VLAN単位認証(動的)に認証処理再開までの待機時間を300秒に設定します。
(5) EAP-Request/Identityフレーム送信の時間間隔設定
自発的に認証を開始しない端末に対して,認証開始を誘発するために本装置から定期的にEAP-Request/Identityを送信する時間間隔を設定します。
- [設定のポイント]
- 本機能は,tx-periodタイマに設定してある時間間隔でEAP-Request/Identityをマルチキャスト送信します。認証済みの端末からもEAP-Response/Identityの応答を受信し,装置の負荷を高くする可能性がありますので,以下の計算式で決定される値を設定してください。
reauth-period > tx-period ≧ (装置で認証を行う総端末数÷20)×2- tx-periodのデフォルト値が30秒であるため,300台以上の端末で認証を行う場合は,tx-periodタイマ値を変更してください。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x timeout tx-period 300
ポート単位認証を設定しているポート1/0/1にEAP-Request/Identityフレーム送信の時間間隔を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 timeout tx-period 300
VLAN単位認証(静的)を設定しているVLAN ID 10にEAP-Request/Identityフレーム送信の時間間隔を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic timeout tx-period 300
VLAN単位認証(動的)にEAP-Request/Identityフレーム送信の時間間隔を300秒に設定します。
認証サーバへの要求に対する応答がない場合の待ち時間を設定します。設定した時間が経過すると,Supplicantへ認証失敗を通知します。radius-serverコマンドで設定している再送を含めた総時間と比較して短い方の時間でSupplicantへ認証失敗を通知します。
- [設定のポイント]
- radius-serverコマンドで複数のサーバを設定している場合,各サーバの再送回数を含めた総応答待ち時間よりも短い時間を設定すると,認証サーバへ要求している途中でSupplicantへ認証失敗を通知します。設定したすべての認証サーバから応答がないときに認証失敗を通知したい場合は,本コマンドの設定時間の方を長く設定してください。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x timeout server-timeout 300
ポート単位認証を設定しているポート1/0/1に認証サーバからの応答待ち時間を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 timeout server-timeout 300
VLAN単位認証(静的)を設定しているVLAN ID 10に認証サーバからの応答待ち時間を300秒に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic timeout server-timeout 300
VLAN単位認証(動的)に認証サーバからの応答待ち時間を300秒に設定します。
ポート単位認証(シングルモード)が動作しているポートで,複数の端末からの認証要求を検出した場合に,そのポートでの通信を遮断する時間を設定します。
- [設定のポイント]
- ポートに接続されてはいけない端末を排除するのに必要な時間を設定してください。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x timeout keep-unauth 1800
ポート単位認証を設定しているポート1/0/1に通信遮断状態の時間を1800秒に設定します。
動作ログのsyslogサーバへの出力を設定します。
- [設定のポイント]
- IEEE802.1Xの認証情報および動作情報を記録した動作ログを,syslogサーバに出力する設定をします。
- [コマンドによる設定]
- (config)# dot1x logging enable
(config)# logging event-kind aut
動作ログをsyslogサーバに出力する設定をします。
All Rights Reserved, Copyright(C), 2017, 2020, ALAXALA Networks, Corp.