コンフィグレーションコマンドレファレンス Vol.2
IEEE 802.1X VLAN単位認証に関する項目を設定します。
[入力モード]
dot1xモード
[入力形式]
- 情報の設定・変更
- target-vlan {<VLAN ID list> | dynamic}【AX7800S】
- >>移行モード:dot1x target-vlan
- target-vlan <VLAN ID list>【AX5400S】
- >>移行モード:dot1x target-vlan
- 情報の削除
- delete target-vlan {<VLAN ID list> | dynamic}【AX7800S】
- delete target-vlan <VLAN ID list>【AX5400S】
[サブコマンド入力形式]
- 情報の設定
- radius-vlan <VLAN ID list>【AX7800S】
- port-control {auto | force-authorized | force-unauthorized}
- access-control {single | multi | supplicant}
- reauth-period <Seconds>
- ignore-eapol-start
- max-supplicant <Number>
- supplicant-detection {shortcut | disable | full}
- force-authorized-port {<Port list> | la-id <LA ID list>}
- 情報の変更
- port-control {auto | force-authorized | force-unauthorized}
- access-control {single | multi | supplicant}
- reauth-period <Seconds>
- max-supplicant <Number>
- supplicant-detection {shortcut | disable | full}
- 情報の削除
- delete radius-vlan <VLAN ID list>【AX7800S】
- delete port-control
- delete access-control
- delete reauth-period
- delete ignore-eapol-start
- delete max-supplicant
- delete supplicant-detection
- delete force-authorized-port {<Port list> | la-id <LA ID list>}
[モード階層]
dot1x ├─ dot1x port └─ dot1x target-vlan
[パラメータ]
- target-vlan <VLAN ID list>
- 802.1X認証設定を適用するVLANを指定します。本装置に未定義のVLANは指定できません。
- 【"-"または","による範囲指定】
- 範囲内のすべてのVLANを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
2〜4095
- 本パラメータ使用時の注意事項
定義済みのVLAN IDに限り指定できます。ただし,デフォルトVLAN(VLAN ID 1)は指定できません。
- dynamic【AX7800S】
- RADIUSサーバから送信されるVLAN情報を用いて,動的にVLAN割り当てを行う802.1X認証の設定を行います。
- 本パラメータ省略時の初期値
なし
[サブコマンド]
- radius-vlan <VLAN ID list>【AX7800S】
- 802.1X認証時にRADIUSサーバから送信されるVLAN情報により,動的なVLAN割り当てを許可するVLANを指定します。本装置に未定義のVLANは指定できません。
- 【"-"または","による範囲指定】
- 範囲内のすべてのVLANを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
2〜4095
- 本サブコマンド使用時の注意事項
・target-vlanでdynamicを指定した場合だけ指定できます。
・デフォルトVLAN(VLAN ID 1)は指定できません。
・MAC VLAN以外は指定できません。
・dot1x target-vlanで指定したVLAN(ポートVLAN)に所属するポートまたはリンクアグリゲーショングループが所属するVLANは指定できません。
・vlan-drop-unknownが設定されているポートまたはリンクアグリゲーショングループが所属するVLANは指定できません。
・fdbのlimit-learning forwardが設定されているポートまたはリンクアグリゲーショングループが所属するVLANは指定できません。
・fdbのdisable-learningが設定されているVLANは指定できません。
・vlanのeapol-forwardingが設定されているVLANは指定できません。
・VLAN単位認証を設定できる最大VLAN数は,本サブコマンドで指定したVLANとtarget-vlanで指定したVLANを合わせて2048です。
・すべてのVLAN単位認証を設定したVLANに所属するポートとリンクアグリゲーショングループの合計の最大数は,本サブコマンドで指定したVLANとtarget-vlanで指定したVLANを合わせて2048です。最大数を超える場合,VLANは設定できません。
・VLANが範囲指定の場合,すべてのVLANが設定可能でなければエラーになります。
- port-control {auto | force-authorized | force-unauthorized}
- 指定VLANインタフェースに,port-control状態の設定を行います。
- auto:
- 802.1X認証を行い,認証結果に応じて指定VLANに接続される端末の疎通の可否を判定します。
- force-authorized:
- 802.1X認証を行わないで,指定VLANに接続される端末を常に疎通可能とします。
- force-unauthorized:
- 802.1X認証を行わないで,指定VLANに接続される端末を常に疎通不可とします。
- 本サブコマンド省略時の初期値
target-vlanでVLAN IDを指定した場合はforce-authorized,target-vlanでdynamicを指定した場合はauto【AX7800S】
force-authorized【AX5400S】
- 値の設定範囲
auto,force-authorized,またはforce-unauthorized
- 本サブコマンド使用時の注意事項
target-vlanでdynamicを指定した場合はauto固定となります。本サブコマンドで設定および変更はできません。【AX7800S】
- access-control {single | multi | supplicant}
- 802.1X認証の認証サブモードを指定します。認証サブモードを変更した場合,指定インタフェースの認証状態は初期化され,認証済み端末の通信は断絶します。
- single:
- 1台の端末だけ認証し,接続を許可します。複数端末が接続されたときは,指定VLANが非認証状態へ移行します。
- multi:
- 認証対象の端末は最初に認証を開始した1端末だけですが,この認証が成功すれば,そのほかの端末が認証不要で疎通可能になります。複数端末の接続が可能となります。
- Static FDBで設定された端末についても,認証対象の端末が認証に成功しなければ疎通しません。
- supplicant:【AX7800S】
- 端末ごとに認証を行い,認証結果に応じて疎通可否を決定します。複数端末の接続が可能となります。Static FDBで設定された端末は,port-control状態にかかわらず常に疎通可能です。target-vlanでdynamicを指定した場合,vlanコマンドのmac-addressサブコマンドで設定された端末は認証を行わず,常に疎通可能です。
- supplicant:【AX5400S】
- 端末ごとに認証を行い,認証結果に応じて疎通可否を決定します。複数端末の接続が可能となります。Static FDBで設定された端末は,port-control状態にかかわらず常に疎通可能です。
- 本サブコマンド省略時の初期値
supplicant
- 値の設定範囲
single,multi,またはsupplicant
- 本サブコマンド使用時の注意事項
target-vlanでdynamicを指定した場合はsupplicant固定となります。本サブコマンドで設定および変更はできません。【AX7800S】
- reauth-period <Seconds>
- 802.1X認証成功後,Supplicantの再認証を行う周期を秒単位で指定します。本値の周期で再認証用EAPOL-Request/IdentityをSupplicantに対して送出し,Supplicantの再認証を促します。
- 本サブコマンド省略時の初期値
dot1xモードで指定するreauth-period値が適用されます。
dot1xモードでreauth-periodの指定が省略されている場合は,デフォルト値として3600秒が適用されます。
- 値の設定範囲
0秒,または1〜65535秒
0秒指定時は,本装置から自立的に再認証用のEAPOL-Request/Identityを送出しません。この時,再認証はSupplicantからのEAPOL-Start受信を契機に行います。
- 本サブコマンド使用時の注意事項
・ignore-eapol-startサブコマンドを指定したインタフェースではreauth-periodを0秒にできません。
・オンラインコンフィグレーション変更を行った場合,次の契機で設定内容が反映されます。
・現在動作中のタイマがタイムアウトし,タイマ値が0になった場合
・運用コマンドclear dot1x auth-stateを実行し,認証単位または装置単位での認証解除を実施した場合
・認証済端末が存在しない状態の認証単位において認証端末の認証が成功した場合
・本設定値は,tx-periodより大きな値を設定してください。
- ignore-eapol-start
- SupplicantからのEAPOL-Start受信時に,EAPOL-Request/Identityを発行しないように指定します。
- 本サブコマンド省略時の初期値
SupplicantからのEAPOL-Start受信時に,EAPOL-Startを発行したSupplicantへEAPOL-Request/Identityを発行します。
- 本サブコマンド使用時の注意事項
reauth-periodが0でなく,かつsupplicant-detectionがdisableでない(有効な)インタフェースでだけ指定できます。
- max-supplicant <Number>
- 端末認証モード指定時に,指定インタフェースに接続可能な最大端末数を指定します。本値を超えて端末を接続しようとした場合には認証を行わないで,端末接続数を制限できます。
- 本サブコマンド省略時の初期値
target-vlanでVLAN IDを指定した場合は256,target-vlanでdynamicを指定した場合は8192【AX7800S】
256【AX5400S】
- 値の設定範囲
target-vlanでVLAN IDを指定した場合は1〜256,target-vlanでdynamicを指定した場合は1〜8192【AX7800S】
1〜256【AX5400S】
- 本サブコマンド使用時の注意事項
本サブコマンドは,access-controlサブコマンドでsupplicantを指定した場合だけ指定できます。
現在設定されている値よりも小さい値を指定した場合,指定インタフェースで認証されているすべてのsupplicantの認証状態がいったん解除されます。
- supplicant-detection {shortcut | disable | full}
- 端末認証モードでの,新規端末検出の動作を指定します。
- shortcut:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理で,負荷低減のために認証済端末の認証シーケンスを省略します。
- 端末側から認証を開始できないタイプのsupplicantを使用している場合に指定してください。
- 本オプションを指定した場合,一部のsupplicantは正常に動作しないで,通信が一時的に停止します。
- disable:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理を抑止します。
- 装置負荷低減のための認証シーケンスの省略によって異常動作となるsupplicantを使用している場合に指定してください。
- 本オプションを指定した場合,端末側から認証を開始できないタイプのsupplicantは認証を開始できません。
- full:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理で,装置負荷低減のための認証シーケンス省略を抑止し,認証済端末についても通常の再認証処理を行います。
- 負荷低減のための認証シーケンスの省略によって異常動作となるsupplicantと,disable指定では認証を開始できないsupplicantが混在する場合に指定してください。
- 本オプションを指定した場合,認証単位ごとの最大収容端末数は,AX7800Sでは30以下に,AX5400Sでは25以下になります。
- 本サブコマンド省略時の初期値
shortcut
- 本サブコマンド指定時の注意事項
・ignore-eapol-startサブコマンドを指定したインタフェースではsupplicant-detectionをdisableにすることはできません。
・本サブコマンドはaccess-controlサブコマンドでsupplicantを指定した場合だけ指定できます。
・本サブコマンドでfullを指定する場合,装置負荷が増大するため,認証単位ごとの端末数を30台以下としてください。それ以上の端末を接続した場合,正常に通信が行えない場合があります。【AX7800S】
・本サブコマンドでfullを指定する場合,装置負荷が増大するため,認証単位ごとの端末数を25台以下としてください。それ以上の端末を接続した場合,正常に通信が行えない場合があります。【AX5400S】
- force-authorized-port <Port list>
- 指定VLAN内に,port-control状態にかかわらず,認証不要で疎通を許可する特定のポートを指定します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのポートを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
装置に実装されているNif番号/Line番号
- 本サブコマンド指定時の注意事項
・target-vlanでdynamicを指定した場合は設定できません。【AX7800S】
・指定VLANに属しているポートに限り設定できます。
・指定VLANがリストの場合,ポートがすべてのVLANに属していれば設定できます。
・link-aggregationコマンドのaggregated-portに指定されているポートは指定できません。
- force-authorized-port la-id <LA ID list>
- 指定VLAN内に,port-control状態にかかわらず,認証不要で疎通を許可する特定のリンクアグリゲーショングループを指定します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのリンクアグリゲーショングループを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
1〜128
- 本サブコマンド指定時の注意事項
・target-vlanでdynamicを指定した場合は設定できません。【AX7800S】
・定義済みのリンクアグリゲーショングループIDに限り設定できます。
・指定VLANに属しているリンクアグリゲーショングループに限り設定できます。
・指定VLANがリストの場合,リンクアグリゲーショングループがすべてのVLANに属していれば設定できます。
[入力例]
- 情報の設定
VLAN100に対してport-control状態をautoに設定して,認証サブモードをsupplicantに設定します。また,新規端末検出動作モードをfullに設定して,0/0から0/3までのポートに対して認証不要で疎通を許可する設定をします。
VLAN単位認証(動的)を適用するVLANにVLAN200を設定して,最大接続端末数に3000を設定します。また,新規端末検出動作をdisableに設定します。【AX7800S】
[dot1x] (config)# target-vlan 100 [dot1x target-vlan 100] (config)# port-control auto [dot1x target-vlan 100] (config)# access-control supplicant [dot1x target-vlan 100] (config)# supplicant-detection full [dot1x target-vlan 100] (config)# force-authorized-port 0/0-3 [dot1x target-vlan 100] (config)#
[dot1x] (config)# target-vlan dynamic [dot1x target-vlan dynamic] (config)# radius-vlan 200 [dot1x target-vlan dynamic] (config)# max-supplicant 3000 [dot1x target-vlan dynamic] (config)# supplicant-detection disable [dot1x target-vlan dynamic] (config)#- 情報の表示
全802.1X設定内容を表示します。
全802.1X設定内容を表示します。【AX7800S】
(config)# show dot1x dot1x yes target-vlan 100 port-control auto access-control supplicant supplicant-detection full force-authorized-port 0/0-3 (config)#
(config)# show dot1x dot1x yes target-vlan 100 port-control auto access-control supplicant force-authorized-port 0/0-3 supplicant-detection full target-vlan dynamic radius-vlan 200 max-supplicant 3000 supplicant-detection disable (config)#- 情報の削除
- VLAN100の0/0から0/3までのポートに対して認証不要で疎通を許可する設定を削除します。
[dot1x] (config)# target-vlan 100 [dot1x target-vlan 100] (config)# delete force-authorized-port 0/0-3 [dot1x target-vlan 100] (config)#
- VLAN100全体の設定内容を削除します。
[dot1x] (config)# delete target-vlan 100 [dot1x]
- VLAN単位認証(動的)を適用するVLANからVLAN200を削除します。【AX7800S】
[dot1x] (config)# target-vlan dynamic [dot1x target-vlan dynamic] (config)# delete radius-vlan 200 [dot1x target-vlan dynamic] (config)#
- VLAN単位認証(動的)全体の設定内容を削除します。【AX7800S】
[dot1x] (config)# delete target-vlan dynamic [dot1x]
[注意事項]
なし
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.