コンフィグレーションガイド Vol.2


8.3.4 認証ネットワークからのログアウト

認証ネットワークにログインした端末をログアウトする方法を次の表に示します。

表8‒1 認証モードごとのログアウト方法

ログアウト方法

固定VLAN

モード

ダイナミック

VLANモード

レガシー

モード

Web画面によるログアウト

最大接続時間超過時のログアウト

認証済み端末の接続監視機能によるログアウト

認証済み端末のMACアドレステーブルエージングによるログアウト

運用コマンドによるログアウト

認証済み端末からの特殊パケット受信によるログアウト

認証端末接続ポートのリンクダウンによるログアウト

VLAN設定変更によるログアウト

認証方式の切り替えによるログアウト

認証モードの切り替えによるログアウト

Web認証の停止によるログアウト

動的に登録されたVLANの削除によるログアウト

(凡例) ○:サポート −:該当なし

ダイナミックVLANモードおよびレガシーモードの場合,上記の方法でログアウトしたあと,端末のIPアドレスを認証前のIPアドレスに変更してください。また,DHCPサーバを使用している場合は,端末からIPアドレスの再配布を指示してください。

〈この項の構成〉

(1) Web画面によるログアウト

認証済み端末からログアウト用URLにアクセスして,端末にログアウト画面を表示させます。画面上のログアウト操作によってWeb認証は認証解除を行います。認証が解除されると,ログアウト完了画面を表示します。

(2) 最大接続時間超過時のログアウト

コンフィグレーションコマンドweb-authentication max-timerで設定された最大接続時間を超えた場合に,強制的にWeb認証の認証状態を解除して,端末から本装置外への通信を停止します。この際に設定された最大接続時間が経過してから1分以内で認証解除が行われます。この場合には,端末にログアウト完了画面を表示しません。

最大接続時間を超えても使用したい場合は,端末から再度,認証ネットワークへのログイン操作を行ってください。ユーザID,パスワードおよびMACアドレスの組み合わせで認証済みであることが確認された場合に限り,接続時間を延長できます(さらに最大接続時間分だけ延長します)。

なお,コンフィグレーションコマンドweb-authentication max-timerで最大接続時間を短縮したり,延長したりした場合,現在認証中のユーザには適用されず,次回ログイン時から設定が有効となります。

(3) 認証済み端末の接続監視機能によるログアウト

認証済み端末に対し,コンフィグレーションコマンドweb-authentication logout polling intervalで指定された時間間隔でARPパケットを用いARP返答パケットを受信することによって端末の接続監視を行います。コンフィグレーションコマンドweb-authentication logout polling retry-intervalとweb-authentication logout polling countで設定された時間を超えてもARP返答パケットが受信できない場合,タイムアウトしていると判断し,強制的にWeb認証の認証状態を解除します。この場合には,端末にログアウト完了画面を表示しません。

なお,この機能はコンフィグレーションコマンドno web-authentication logout polling enableで無効にできます。

注意

接続監視機能の設定値としてデフォルトを使用した場合,認証されている数が多いと,接続タイムアウトと判定してから認証が解除されるまで1分程度掛かります。

なお,本装置のCPU負荷が高い場合は,認証解除までさらに時間が掛かることがあります。

(4) 認証済み端末のMACアドレステーブルエージングによるログアウト

認証済み端末に対し,MACアドレステーブルを周期的に監視し,端末からのアクセスがあるかをチェックしています。該当する端末からのアクセスがない状態が続いた場合に,強制的にWeb認証の認証状態を解除します。この場合には,端末にログアウト完了画面を表示しません。

ただし,回線の瞬断などの影響で認証が解除されてしまうことを防ぐために,MACアドレステーブルのエージング時間経過後約10分間,該当するMACアドレスを持つ端末からのアクセスがない状態が続いた場合に,認証状態を解除します。

MACアドレステーブルのエージング時間と,MACアドレステーブルエージングによるログアウトの関係を次の図に示します。

なお,MACアドレステーブルのエージング時間はデフォルト値を使用するか,またはデフォルト値より大きな値を設定してください。

図8‒13 認証済み端末のMACアドレステーブルエージングによるログアウト

[図データ]

また,認証成功直後約10分間に端末からのアクセスがないと,エージング時間の値に関係なく,強制的に認証を解除します。

認証成功直後からアクセスがない場合のログアウトを次の図に示します。

図8‒14 認証成功直後からアクセスがない場合のログアウト

[図データ]

なお,この機能はコンフィグレーションコマンドno web-authentication auto-logoutで無効にできます(アクセスがない状態が続いた場合でも強制的にログアウトしない設定が可能)。

さらに,レガシーモードでは,認証後に切り替わったVLANに端末からの通信がまったくないと,MACアドレス学習が行われません。この場合,認証済みであってもMACアドレステーブルにMACアドレスが登録されていないので,強制的にログアウトします。したがって,認証後は必ず通信を行ってください。

(5) 運用コマンドによるログアウト

運用コマンドclear web-authentication auth-stateでユーザ単位に,強制的にログアウトができます。なお,同一ユーザIDで複数ログインを行っている場合,同じユーザIDを持つ認証をすべてログアウトします。この場合には,端末にログアウト完了画面を表示しません。

(6) 認証済み端末からの特殊パケット受信によるログアウト

認証済み端末から送信された特殊パケットを受信した場合,該当する端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。特殊パケットの条件を次に示します。

(7) 認証端末接続ポートのリンクダウンによるログアウト

認証済み端末が接続しているポートのリンクダウンを検出した場合,該当するポートに接続された端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。

(8) VLAN設定変更によるログアウト

コンフィグレーションコマンドで認証端末が含まれるVLANの設定を変更した場合,変更されたVLANに含まれる端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。

[コンフィグレーションの変更内容]
  • VLANを削除した場合

  • VLANを停止(suspend)した場合

(9) 認証方式の切り替えによるログアウト

認証方式がRADIUS認証方式からローカル認証方式に切り替わった場合,またはローカル認証方式からRADIUS認証方式に切り替わった場合,すべての端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。

(10) 認証モードの切り替えによるログアウト

copyコマンドでコンフィグレーションを変更して,認証モードが切り替わる設定をした場合,すべての端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。

(11) Web認証の停止によるログアウト

コンフィグレーションコマンドでWeb認証の定義が削除されてWeb認証が停止した場合,すべての端末の認証を解除します。この場合には,端末にログアウト完了画面を表示しません。

(12) 動的に登録されたVLANの削除によるログアウト

動的にVLANが作成された認証ポートにコンフィグレーションコマンドswitchport mac vlanが設定された場合,該当ポートに動的に作成されたVLAN IDは削除されて,VLANに所属していた端末の認証を解除します。