コンフィグレーションコマンドレファレンス Vol.2
IEEE 802.1Xに関する項目を設定します。
[入力モード]
グローバルコンフィグモード
[入力形式]
- 情報の設定・変更
- dot1x [{ yes | no }]
- >>移行モード:dot1x
- 情報の削除
- delete dot1x
- 情報の表示
- show dot1x
[サブコマンド入力形式]
- 情報の設定
- tx-period <Seconds>
- reauth-period <Seconds>
- supp-timeout <Seconds>
- quiet-period <Seconds>
- max-req <counts>
- keep-unauth <Seconds>
- loglevel {error | warning | notice | info}
- port {<Port list> | la-id <LA ID list>}
- >>移行モード:dot1x port
- target-vlan {<VLAN ID list> | dynamic}【AX7800S】
- >>移行モード:dot1x target-vlan
- target-vlan <VLAN ID list>【AX5400S】
- >>移行モード:dot1x target-vlan
- 情報の変更
- tx-period <Seconds>
- reauth-period <Seconds>
- supp-timeout <Seconds>
- quiet-period <Seconds>
- max-req <counts>
- keep-unauth <Seconds>
- loglevel {error | warning | notice | info}
- 情報の削除
- delete tx-period
- delete reauth-period
- delete supp-timeout
- delete quiet-period
- delete max-req
- delete keep-unauth
- delete loglevel
- delete port {<Port list> | la-id <LA ID list>}
- delete target-vlan {<VLAN ID list> | dynamic}【AX7800S】
- delete target-vlan <VLAN ID list>【AX5400S】
[モード階層]
dot1x ├─ dot1x port └─ dot1x target-vlan
[パラメータ]
- { yes | no }
- 装置全体で802.1X認証を有効にするかどうかを指定します。
- 本パラメータ省略時の初期値
yes
- 値の設定範囲
yesまたはno
[サブコマンド]
- tx-period <Seconds>
- 802.1X認証有効時の,EAPOL-Request/Identityの送出間隔を秒単位で指定します。
- 本サブコマンド省略時の初期値
30秒
- 値の設定範囲
1〜65535秒
- 本サブコマンド使用時の注意事項
・オンラインコンフィグレーション変更を行った場合,以下の契機で設定内容が反映されます。
・現在動作中のタイマがタイムアウトし,タイマ値が0になった場合
・運用コマンドclear dot1x auth-stateを実行し,認証単位または装置単位での認証解除を実施した場合
・本設定値は,reauth-periodより小さな値を設定してください。
・本設定値は,以下の式に基づいた値を設定してください。この式で決定される値よりも小さな値を設定した場合,端末の認証状態が安定しない場合があります。
tx-period ≧ (装置で認証を行う総端末数÷30)×2 【AX7800S】
tx-period ≧ (装置で認証を行う総端末数÷25)×2 【AX5400S】
- reauth-period <Seconds>
- 802.1X認証成功後,Supplicantの再認証を行う周期を秒単位で指定します。本値の周期で再認証用EAPOL-Request/IdentityをSupplicantに対して送出し,Supplicantの再認証を促します。本値は,各認証インタフェースで指定を省略した場合の装置固有のデフォルト値として動作します。
- 本サブコマンド省略時の初期値
3600秒
- 値の設定範囲
0秒または1〜65535秒
0秒指定時は,本装置から自立的に再認証用のEAPOL-Request/Identityを送出しません。この時,再認証はSupplicantからのEAPOL-Start受信を契機に行います。
- 本サブコマンド使用時の注意事項
・インタフェースごとのreauth-periodを指定していない状態でignore-eapol-startサブコマンドを指定しているインタフェースが存在する場合は,本コマンドで0秒を指定できません。
・オンラインコンフィグレーション変更を行った場合,以下の契機で設定内容が反映されます。
・現在動作中のタイマがタイムアウトし,タイマ値が0になった場合
・運用コマンドclear dot1x auth-stateを実行し,認証単位または装置単位での認証解除を実施した場合
・本設定値は,tx-periodより大きな値を設定してください。
- supp-timeout <Seconds>
- Supplicantへ送出するEAPOL-Requestに対して,Supplicantからの応答待ち時間を秒単位で指定します。指定秒応答がない場合,EAPOL-Requestの再送を行います。
- 本サブコマンド省略時の初期値
30秒
- 値の設定範囲
1〜65535秒
- 本サブコマンド使用時の注意事項
オンラインコンフィグレーション変更を行った場合,以下の契機で設定内容が反映されます。
・現在動作中のタイマがタイムアウトし,タイマ値が0になった場合
・認証処理が開始した場合
- max-req <counts>
- supp-timeout値を超えた際のEAPOL-Request再送の最大回数を指定します。再送回数が本値を超えた場合,認証失敗と判定します。
- 本サブコマンド省略時の初期値
2回
- 値の設定範囲
1〜10回
- quiet-period <Seconds>
- 802.1X認証失敗後の該当インタフェースの非認証状態保持時間を秒単位で指定します。本時間内は,EAPOLパケットの送出は行わないで,かつ,受信EAPOLパケットを無視し,認証処理は行いません。
- 本サブコマンド省略時の初期値
60秒
- 値の設定範囲
0〜65535秒
- 本サブコマンド使用時の注意事項
オンラインコンフィグレーション変更を行った場合,以下の契機で設定内容が反映されます。
・認証失敗による非認証状態に入った時
- keep-unauth <Seconds>
- シングルモード指定のインタフェースに2台以上の端末が接続された際に,インタフェースの疎通不可状態を保持する時間を秒単位で指定します。認証済み端末については,本時間経過後再認証が必要となります。
- 本サブコマンドは,access-controlサブコマンドでsingleを指定したインタフェースにだけ適用されます。
- 本サブコマンド省略時の初期値
3600秒
- 値の設定範囲
1〜65535秒
- 本サブコマンド使用時の注意事項
オンラインコンフィグレーション変更を行った場合,以下の契機で設定内容が反映されます。
・疎通不可状態に入った時
- loglevel {error | warning | notice | info}
- 802.1X動作ログメッセージで記録するメッセージレベルを指定します。記録されたログメッセージは運用コマンドshow dot1x loggingによって表示されます。
- error:
- errorレベルのログメッセージだけを記録します。ソフトウェアエラーだけ記録します。
- warning:
- errorレベルとwarningレベルのログメッセージを記録します。不正フレーム情報などの異常検出情報が記録されます。
- notice:
- error,warning,noticeレベルのログメッセージを記録します。認証可否情報やサーバ接続情報が記録されます。
- info:
- error,warning,notice,infoレベルのログメッセージを記録します。動作追跡情報が記録されます。
- 本サブコマンド省略時の初期値
info
- 値の設定範囲
error,warning,notice,またはinfo
- port <Port list>
- 802.1X認証を適用するポートを指定します。本サブコマンドを入力後,dot1x portモードに移行します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのポートを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
装置に実装されているNif番号/Line番号
- 本サブコマンド使用時の注意事項
・link-aggregationコマンドのaggregated-portに指定されているポートは指定できません。
・lineに対してIPアドレスを設定したポートは指定できません。
・lineに対してTag-VLAN連携機能を設定したポートは指定できません。
・fdbのlimit-learning forwardが設定されているポートは指定できません。
・fdbのdisable-learningが設定されているVLANに所属しているポートは指定できません。
・vlanのeapol-forwardingが設定されているVLANに所属しているポートは指定できません。
・vlanのtagged-portが設定されているポートは指定できません。
・プロトコルVLANに所属しているポートは指定できません。
・MAC VLANに所属しているポートは指定できません。【AX7800S】
・ポートが所属しているVLANにVLAN単位認証が設定されているポートは指定できません。
- port la-id <LA ID list>
- 802.1X認証を適用するリンクアグリゲーショングループを指定します。未定義のリンクアグリゲーショングループに対しては指定できません。本サブコマンドを入力後,dot1x portモードに移行します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのリンクアグリゲーショングループを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
1〜128
- 本サブコマンド使用時の注意事項
・定義済みのリンクアグリゲーショングループIDに限り指定できます。
・liik-aggregationに対してIPアドレスを設定したリンクアグリゲーショングループは指定できません。
・link-aggregationに対してTag-VLAN連携機能を設定したリンクアグリゲーショングループは指定できません。
・fdbのlimit-learning forwardが設定されているリンクアグリゲーショングループは指定できません。
・fdbのdisable-learningが設定されているVLANに所属しているリンクアグリゲーショングループは指定できません。
・vlanのeapol-forwardingが設定されているVLANに所属しているリンクアグリゲーショングループは指定できません。
・vlanのtagged-portが設定されているリンクアグリゲーショングループは指定できません。
・プロトコルVLANに所属しているリンクアグリゲーショングループは指定できません。
・MAC VLANに所属しているリンクアグリゲーショングループは指定できません。【AX7800S】
・リンクアグリゲーショングループが所属しているVLANにVLAN単位認証が設定されているリンクアグリゲーショングループは設定できません。
- target-vlan <VLAN ID list>
- 802.1X認証設定を適用するVLANを指定します。本装置に未定義のVLANは指定できません。本サブコマンドを入力後,dot1x target-vlanモードに移行します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのVLANを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本サブコマンド省略時の初期値
なし
- 値の設定範囲
2〜4095
- 本サブコマンド使用時の注意事項
・デフォルトVLAN(VLAN ID 1)は指定できません。
・プロトコルVLANは指定できません。
・MAC VLANは指定できません。【AX7800S】
・dot1x target-vlanモードのradius-vlanで指定したVLAN(MAC VLAN)に所属するポートまたはリンクアグリゲーショングループが所属するVLANは指定できません。【AX7800S】
・fdbのlimit-learning forwardが設定されているポートまたはリンクアグリゲーショングループが所属するVLANは指定できません。
・fdbのdisable-learningが設定されているVLANは指定できません。
・vlanのeapol-forwardingが設定されているVLANは指定できません。
・VLANに所属しているポートまたはリンクアグリゲーショングループにポート単位認証が設定されているVLANは指定できません。
・VLAN単位認証を設定できる最大VLAN数は2048です。【AX5400S】
・すべてのVLAN単位認証を設定したVLANに所属するポートとリンクアグリゲーショングループの合計の最大数は2048です。最大数を超える場合,VLAN単位認証は設定できません。【AX5400S】
・VLAN単位認証を設定できる最大VLAN数は,本サブコマンドで指定したVLANとdot1x target-vlanモードのradius-vlanで指定したVLANを合わせて2048です。【AX7800S】
・すべてのVLAN単位認証を設定したVLANに所属するポートとリンクアグリゲーショングループの合計の最大数は,target-vlanで指定したVLANとdot1x target-vlanモードのradius-vlanで指定したVLANを合わせて2048です。最大数を超える場合,VLAN単位認証は設定できません。【AX7800S】
・target-vlan dynamicを設定する場合,radius-vlanサブコマンドで指定するVLANと認証デフォルトVLANとして使用するVLANについては,FDBエントリのエージング時間に0(無限)を指定しないでください。0(無限)を指定すると,端末の所属するVLANが切り替わったときに,切り替わる前のVLANのFDBエントリがエージングで消去されずに残り続けるため,不要なFDBエントリが蓄積することになります。切り替わる前のVLANに不要なFDBエントリが蓄積した場合はclear fdbコマンドで消去してください。
- target-vlan dynamic【AX7800S】
- RADIUSサーバから送信されるVLAN情報を用いて,動的にVLAN割り当てを行う802.1X認証の設定を行います。本サブコマンドを入力後,dot1x target-vlanモードに移行します。
- 本サブコマンド省略時の初期値
なし
[入力例]
- 情報の設定
- 802.1X認証を有効にする設定を行います。
(config)# dot1x yes [dot1x] (config)# exit (config)#
- 802.1X認証有効時の,EAPOL-Request/Identityの送出間隔に60秒を設定します。
[dot1x] (config)# tx-period 60 [dot1x] (config)# exit (config)#- 情報の表示
全802.1X設定内容を表示します。
(config)# show dot1x dot1x yes tx-period 60 (config)#- 情報の削除
全802.1X設定内容を削除します。
(config)# delete dot1x (config)#
[関連コマンド]
line(Line情報)
link-aggregation(リンクアグリゲーション情報)
vlan(VLAN情報)
fdb(FDB情報)
[注意事項]
- GSRP情報(gsrp,gsrp-exception-port)の設定がある場合,IEEE 802.1X機能情報を設定できません。
- dot1xコマンドの後ろにサブコマンドを記述して一行で入力する場合,あらかじめdot1x yesが定義されている必要があります。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.