11.1.4 MAC認証のパラメータ設定
MAC認証で設定できるパラメータの設定方法を説明します。
- 〈この項の構成〉
(1) 認証最大時間の設定
- [設定のポイント]
-
認証済みの端末を強制的に認証解除する時間を設定します。
[コマンドによる設定]
-
(config)# mac-authentication max-timer 60
強制的に認証解除する時間を60分に設定します。
(2) 固定VLANモードの認証数の設定
- [設定のポイント]
-
固定VLANモードで認証できるMACアドレス数を設定します。
[コマンドによる設定]
-
(config)# mac-authentication static-vlan max-user 20
MAC認証の固定VLANモードで認証できるMACアドレスの数を20個に設定します。
(3) RADIUSサーバの設定
- [設定のポイント]
-
RADIUS認証方式で使用するRADIUSサーバを設定します。
[コマンドによる設定]
-
(config)# aaa authentication mac-authentication default group radius
RADIUSサーバで認証するように設定します。
(4) アカウンティングの設定
- [設定のポイント]
-
アカウンティング集計をするように設定します。
[コマンドによる設定]
-
(config)# aaa accounting mac-authentication default start-stop group radius
RADIUSサーバにアカウンティング集計をするように設定します。
(5) syslogサーバへの出力設定
- [設定のポイント]
-
認証結果と動作ログをsyslogサーバに出力する設定をします。
[コマンドによる設定]
-
(config)# mac-authentication logging enable
(config)# logging event-kind aut
MAC認証の結果と動作ログをsyslogサーバに出力する設定をします。
(6) 認証時にVLAN IDも照合する設定
- [設定のポイント]
-
認証時に,MACアドレスだけでなくVLAN IDも照合する場合に設定します。
[コマンドによる設定]
-
(config)# mac-authentication vlan-check key "@@VLAN"
認証時にVLAN IDも照合します。
また,RADIUS認証方式で,MACアドレスとVLAN IDとを"@@VLAN"の文字でつなげた文字列でRADIUSへ問い合わせます。
(7) RADIUS問い合わせパスワードの設定
- [設定のポイント]
-
RADIUSへの照合の際に使用するパスワードを設定します。
[コマンドによる設定]
-
(config)# mac-authentication password pakapaka
RADIUSへの照合時のパスワードとして”pakapaka”を設定します。
(8) 認証失敗後の再認証時間間隔設定
- [設定のポイント]
-
認証失敗後の次回認証までの再認証時間間隔を設定します。
[コマンドによる設定]
-
(config)# mac-authentication auth-interval-timer 10
認証失敗後,10分間経過後に再度認証を行うよう設定します。
(9) 認証専用IPv4アクセスリストの設定
- [設定のポイント]
-
認証前状態の端末から特定のパケットを本装置外へ転送するよう設定します。
[コマンドによる設定]
-
(config)# ip access-list extended 100
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 255.255.255.255 eq bootps
(config-ext-nacl)# permit udp 0.0.0.0 0.0.0.0 host 192.168.10.100 eq bootps
(config-ext-nacl)# exit
(config)# interface gigabitethernet 1/1/3
(config-if)# authentication ip access-group 100
(config-if)# exit
認証前の端末からDHCPパケットだけ192.168.10.100へのアクセスを許可するIPv4アクセスリストを設定します。
(10) ダイナミックVLANモードの認証数の設定
- [設定のポイント]
-
ダイナミックVLANモードで認証できるMACアドレス数を設定します。
[コマンドによる設定]
-
(config)# mac-authentication dynamic-vlan max-user 20
MAC認証のダイナミックVLANモードで認証できるMACアドレスの数を20個に設定します。
(11) 端末からのアクセスがない状態を検出して認証解除する動作を無効に設定
- [設定のポイント]
-
認証済みMACアドレスを持つ端末からのアクセスがない状態が続いても認証を解除しないように設定します。
[コマンドによる設定]
-
(config)# no mac-authentication auto-logout
認証済みMACアドレスを持つ端末からのアクセスがない状態が続いても認証解除させない設定をします。