コンフィグレーションコマンドレファレンス Vol.2
IEEE 802.1Xポート単位認証に関する項目を設定します。
[入力モード]
dot1xモード
[入力形式]
- 情報の設定・変更
- port { <Port list> | la-id <LA ID list> }
- >>移行モード:dot1x port
- 情報の削除
- delete port { <Port list> | la-id <LA ID list> }
[サブコマンド入力形式]
- 情報の設定
- port-control {auto | force-authorized | force-unauthorized}
- access-control {single | multi | supplicant}
- reauth-period <Seconds>
- ignore-eapol-start
- max-supplicant <Number>
- supplicant-detection {shortcut | disable | full}
- 情報の変更
- port-control {auto | force-authorized | force-unauthorized}
- access-control {single | multi | supplicant}
- reauth-period <Seconds>
- max-supplicant <Number>
- supplicant-detection {shortcut | disable | full}
- 情報の削除
- delete port-control
- delete access-control
- delete reauth-period
- delete ignore-eapol-start
- delete max-supplicant
- delete supplicant-detection
[モード階層]
dot1x ├─ dot1x port └─ dot1x target-vlan
[パラメータ]
- <Port list>
- 802.1X認証を適用するポートを指定します。
- 【"-"または","による範囲指定】
- 範囲内のすべてのポートを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
装置に実装されているNif番号/Line番号
- 本パラメータ使用時の注意事項
link-aggregationコマンドのaggregated-portに指定されているポートは指定できません。
- la-id <LA ID list>
- 802.1X認証を適用するリンクアグリゲーショングループを指定します。未定義のリンクアグリゲーショングループに対しては指定できません。
- 【"-"または","による範囲指定】
- 範囲内のすべてのリンクアグリゲーショングループを指定します。
- 【"*"による範囲指定】
- 指定不可
- 本パラメータ省略時の初期値
なし
- 値の設定範囲
1〜128
- 本パラメータ使用時の注意事項
定義済みのリンクアグリゲーショングループIDに限り指定できます。
[サブコマンド]
- port-control {auto | force-authorized | force-unauthorized}
- 指定インタフェースに対して,port-control状態の設定を行います。
- auto:
- 802.1X認証を行い,認証結果に応じて指定インタフェースに接続される端末の疎通の可否を判定します。
- force-authorized:
- 802.1X認証を行わないで,指定インタフェースに接続される端末を常に疎通可能とします。
- force-unauthorized:
- 802.1X認証を行わないで,指定インタフェースに接続される端末を常に疎通不可とします。
- 本サブコマンド省略時の初期値
force-authorized
- 値の設定範囲
auto,force-authorized,またはforce-unauthorized
- access-control {single | multi | supplicant}
- 802.1X認証の認証サブモードを指定します。認証サブモードを変更した場合,指定インタフェースの認証状態は初期化され,認証済み端末の通信は断絶します。
- single:
- 1台の端末だけ認証し,接続を許可します。複数端末が接続されたときは,指定インタフェースが非認証状態へ移行します。
- multi:
- 認証対象の端末は最初に認証を開始した1端末だけですが,この認証が成功すれば,そのほかの端末が認証不要で疎通可能になります。複数端末の接続が可能となります。
- Static FDBで設定された端末についても,認証対象の端末が認証に成功しなければ疎通しません。
- supplicant:
- 端末ごとに認証を行い,認証結果に応じて疎通可否を決定します。複数端末の接続が可能となります。Static FDBで設定された端末は,port-control状態にかかわらず常に疎通可能です。
- 本サブコマンド省略時の初期値
supplicant
- 値の設定範囲
single,multi,またはsupplicant
- reauth-period <Seconds>
- 802.1X認証成功後,Supplicantの再認証を行う周期を秒単位で指定します。本値の周期で再認証用EAPOL-Request/IdentityをSupplicantに対して送出し,Supplicantの再認証を促します。
- 本サブコマンド省略時の初期値
dot1xモードで指定するreauth-period値が適用されます。
dot1xモードでreauth-periodの指定が省略されている場合は,デフォルト値として3600秒が適用されます。
- 値の設定範囲
0秒,または1〜65535秒
0秒指定時は,本装置から自立的に再認証用のEAPOL-Request/Identityを送出しません。この時,再認証はSupplicantからのEAPOL-Start受信を契機に行います。
- 本サブコマンド使用時の注意事項
・ignore-eapol-startサブコマンドを指定したインタフェースではreauth-periodを0秒にできません。
・オンラインコンフィグレーション変更を行った場合,次の契機で設定内容が反映されます。
・現在動作中のタイマがタイムアウトし,タイマ値が0になった場合
・運用コマンドclear dot1x auth-stateを実行し,認証単位または装置単位での認証解除を実施した場合
・認証済端末が存在しない状態の認証単位において認証端末の認証が成功した場合
・本設定値は,tx-periodより大きな値を設定してください。
- ignore-eapol-start
- SupplicantからのEAPOL-Start受信時に,EAPOL-Request/Identityを発行しないよう指定します。
- 本サブコマンド省略時の初期値
SupplicantからのEAPOL-Start受信時に,EAPOL-Startを発行したSupplicantへEAPOL-Request/Identityを発行します。
- 本サブコマンド使用時の注意事項
reauth-periodが0でなく,かつsupplicant-detectionがdisableでない(有効な)インタフェースでだけ指定できます。
- max-supplicant <Number>
- 端末認証モード指定時に,指定インタフェースに接続可能な最大端末数を指定します。本値を超えて端末を接続しようとした場合には認証を行わないで,端末接続数を制限できます。
- 本サブコマンド省略時の初期値
256
- 値の設定範囲
1〜256
- 本サブコマンド使用時の注意事項
本サブコマンドは,access-controlサブコマンドでsupplicantを指定した場合だけ指定できます。
現在設定されている値よりも小さい値を指定した場合,指定インタフェースで認証されているすべてのsupplicantの認証状態がいったん解除されます。
- supplicant-detection {shortcut | disable | full}
- 端末認証モードでの新規端末検出の動作を指定します。
- shortcut:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理で,負荷低減のために認証済端末の認証シーケンスを省略します。
- 端末側から認証を開始できないタイプのsupplicantを使用している場合に指定してください。
- 本オプションを指定した場合,一部のsupplicantは正常に動作しないで,通信が一時的に停止します。
- disable:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理を抑止します。
- 装置負荷低減のための認証シーケンスの省略によって異常動作となるsupplicantを使用している場合に指定してください。
- 本オプションを指定した場合,端末側から認証を開始できないタイプのsupplicantは認証を開始できません。
- full:
- 端末認証モードでの新規端末検出用EAP-Request/Identity送信処理で,装置負荷低減のための認証シーケンス省略を抑止し,認証済端末についても通常の再認証処理を行います。
- 負荷低減のための認証シーケンスの省略によって異常動作となるsupplicantと,disable指定では認証を開始できないsupplicantが混在する場合に指定して下さい。
- 本オプションを指定した場合,認証単位毎の最大収容端末数は,AX7800Sでは30以下に,AX5400Sでは25以下になります。
- 本サブコマンド省略時の初期値
shortcut
- 本サブコマンド指定時の注意事項
・ignore-eapol-startサブコマンドを指定したインタフェースではsupplicant-detectionをdisableにすることはできません。
・本サブコマンドはaccess-controlサブコマンドでsupplicantを指定した場合だけ指定できます。
・本サブコマンドでfullを指定する場合,装置負荷が増大するため,認証単位毎の端末数を30台以下としてください。それ以上の端末を接続した場合,正常に通信が行えない場合があります。【AX7800S】
・本サブコマンドでfullを指定する場合,装置負荷が増大するため,認証単位毎の端末数を25台以下としてください。それ以上の端末を接続した場合,正常に通信が行えない場合があります。【AX5400S】
[入力例]
- 情報の設定
- ポート0/1に対してport-control状態をautoに設定して,認証サブモードをsupplicantに設定します。また,最大接続端末数に100を設定します。さらに,新規端末検出動作をdisableに設定します。
[dot1x] (config)# port 0/1 [dot1x port 0/1] (config)# port-control auto [dot1x port 0/1] (config)# access-control supplicant [dot1x port 0/1] (config)# max-supplicant 100 [dot1x port 0/1] (config)# supplicant-detection disable [dot1x port 0/1] (config)#
- リンクアグリゲーショングループ10に対してport-control状態をautoに設定して,認証サブモードをsupplicantに設定します。
[dot1x] (config)# port la-id 10 [dot1x port la-id 10] (config)# port-control auto [dot1x port la-id 10] (config)# access-control supplicant [dot1x port la-id 10] (config)#- 情報の表示
全802.1X設定内容を表示します。
(config)# show dot1x dot1x yes port 0/1 port-control auto access-control supplicant max-supplicant 100 supplicant-detection disable ! la-id 10 port-control auto access-control supplicant (config)#- 情報の削除
- ポート0/1に対して最大接続端末数の設定を削除します。
[dot1x] (config)# port 0/1 [dot1x port 0/1] (config)# delete max-supplicant 100 [dot1x port 0/1] (config)#
- ポート0/1全体の設定内容を削除します。
[dot1x] (config)# delete port 0/1 [dot1x]
[注意事項]
なし
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.