![[目次]](FIGURE/CONTENT.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
コンフィグレーションガイド Vol.2
認証モードオプションやパラメータの設定について説明します。
- <この項の構成>
- (1) 認証除外端末オプションの設定
- (2) 認証除外ポートオプションの設定
- (3) 認証端末数制限の設定
- (4) 端末検出動作の切替設定
IEEE802.1Xを持たない端末など,認証を行わないで通信を許可する端末のMACアドレスを設定します。
- [設定のポイント]
- ポート単位認証,VLAN単位認証(静的)では,MACアドレステーブルにスタティックなエントリを登録します。VLAN単位認証(動的)では,MAC VLANにMACアドレスを登録します。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# switchport mode access
(config-if)# switchport access vlan 10
(config-if)# dot1x multiple-authentication
(config-if)# dot1x port-control auto
(config-if)# exit
ポート1/0/1にVLAN ID 10を設定し,認証サブモードが端末認証モードのポート単位認証を設定します。
- (config)# mac-address-table static 0012.e200.0001 vlan 10 interface gigabitethernet 1/0/1
ポート1/0/1のVLAN ID 10に認証しないで通信させたいMACアドレス(0012.e200.0001)をスタティックに設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# vlan 100 mac-based
(config-vlan)# mac-address 0012.e200.0001
(config-vlan)# exit
VLAN ID 100のMAC VLANで通信可能とする端末のMACアドレスを設定します。端末は,IEEE802.1Xの認証を行わないでVLAN ID 100で通信できます。
- (config)# dot1x vlan dynamic radius-vlan 100
(config)# dot1x vlan dynamic enable
VLAN ID 100をVLAN単位認証(動的)の対象に設定して有効にします。
- [設定のポイント]
- VLAN単位認証(静的)を設定したVLANに所属するポートで,認証を行わずに通信を許可するポートを設定します。ポートに複数のVLANを設定している場合は,すべてのVLANについて認証を行わずに通信が可能になります。
- [コマンドによる設定]
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x force-authorized-port
VLAN単位認証(静的)を指定したVLANに属しているポート1/0/1では認証を行わず,通信できるように設定します。
- [注意事項]
- 認証除外ポートにVLAN単位認証(静的)を設定したVLANを追加した場合,そのポートの通信が一度途絶えることがあります。
- [設定のポイント]
- 認証単位ごとに,認証を許可する最大端末数を設定します。ポート単位認証では,認証サブモードに端末認証モードを設定している場合に有効となります。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x multiple-authentication
(config-if)# dot1x port-control auto
(config-if)# dot1x max-supplicant 50
ポート1/0/1で認証を許可する最大端末数を50に設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 max-supplicant 50
VLAN単位認証(静的)に設定したVLAN ID 10で認証を許可する最大端末数を50に設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic max-supplicant 50
VLAN単位認証(動的)で認証を許可する最大端末数を50に設定します。
端末の認証開始を誘発するために,本装置はtx-periodコマンドで指定した間隔でEAP-Request/Identityをマルチキャスト送信します。このとき,EAP-Request/Identityに応答した認証済み端末に対する認証シーケンス動作を設定します。デフォルトは,認証処理を省略します。
- [設定のポイント]
- shortcutは,認証処理を省略して本装置の負荷を軽減します。disableは,認証済みの端末が存在する場合には,定期的なEAP-Request/Identityの送信を行いません。fullは,認証処理を省略することができないSupplicantを使用している場合に設定します。fullモードを指定した場合は,装置の負荷が高くなるので注意が必要です。autoは,EAP-Request/Identityをマルチキャスト送信しません。端末から送信された任意のパケットの受信を契機に,端末ごとにEAP-Request/Identityを送信します。
- [コマンドによる設定](ポート単位認証)
- (config)# interface gigabitethernet 1/0/1
(config-if)# dot1x multiple-authentication
(config-if)# dot1x port-control auto
(config-if)# dot1x supplicant-detection disable
ポート1/0/1に認証済み端末が存在する場合にはEAP-Request/Identityを送信しないように設定します。
- [コマンドによる設定](VLAN単位認証(静的))
- (config)# dot1x vlan 10 supplicant-detection shortcut
VLAN単位認証(静的)に設定したVLAN ID 10で,認証済み端末からのEAP-Response/Identity受信では,再認証処理を省略して認証成功とするように設定します。
- [コマンドによる設定](VLAN単位認証(動的))
- (config)# dot1x vlan dynamic supplicant-detection full
VLAN単位認証(動的)で認証済み端末からのEAP-Response/Identity受信では,認証処理を省略しないで認証サーバへの問い合わせを行います。
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.