5.5.1 コンフィグレーションコマンド一覧
レイヤ 2 認証のコンフィグレーションコマンド一覧を次の表に示します。
表 5‒18 コンフィグレーションコマンド一覧
コマンド名 説明 適用するレイヤ 2 認証
IEEE802.1X Web 認証※ MAC 認証 authentication arp-relay 認証前状態の端末からの ARP パ
ケットを本装置の外部に転送し たい場合に指定します。
○ ○ ○
authentication force-authorized enable
強制認証を設定します。 − ○ ○
authentication force-authorized vlan
ダイナミック VLAN モードの強 制認証時に切り替える VLAN ID を指定します。
− ○ ○
authentication ip access-group 認証前状態の端末からのパケッ トを本装置の外部に転送したい 場合,転送したいパケット種別を IPv4 アクセスリストで指定しま す。
○ ○ ○
authentication max-user (global) 装置単位の認証数制限値を設定 します。
○ ○ ○
authentication max-user (イーサネッ トインタフェース)
ポート単位の認証数制限値を設 定します。
○ ○ ○
authentication radius-server dead-interval
RADIUS サーバ無応答時に再度,
最優先 RADIUS サーバへアクセ スするまでの待ち時間を設定し ます。
− ○ ○
(凡例) ○:設定可 −:設定不可
注※ Web 認証は固定 VLAN モードおよびダイナミック VLAN モードで適用します。
5.5.2 レイヤ 2 認証共通コンフィグレーションコマンドのパラメータ 設定
(1) 認証前状態端末からの ARP パケットを本装置外部に転送する設定
[設定のポイント]
認証前状態の端末から送信された ARP パケットを本装置外部に転送する設定をします。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/10
(config-if)# mac-authentication port (config-if)# authentication arp-relay (config-if)# exit
Web 認証と MAC 認証の認証対象ポート 1/0/10 に ARP パケットを転送するよう設定します。
(2) 認証専用 IPv4 アクセスリストの設定
[設定のポイント]
認証前状態の端末から本装置の外部への通信を許可する認証専用 IPv4 アクセスリストを設定します。
[コマンドによる設定]
1.(config)# ip access-list extended 100
(config-ext-nacl)# permit udp any any eq bootps (config-ext-nacl)# permit ip any host 10.0.0.1 (config-ext-nacl)# exit
(config)# interface gigabitethernet 1/0/10 (config-if)# web-authentication port (config-if)# mac-authentication port
(config-if)# authentication ip access-group 100 (config-if)# exit
認証前の端末から DHCP パケットと IP アドレス 10.0.0.1(DNS サーバ)へのアクセスを許可する認 証専用 IPv4 アクセスリストを設定します。
(3) 強制認証の設定
[設定のポイント]
RADIUS サーバが応答しない場合,または Web 認証では内蔵 Web 認証 DB が,MAC 認証では内蔵 MAC 認証 DB が登録されていない場合に強制認証する設定をします。
[コマンドによる設定]
1.(config)# authentication force-authorized enable 強制認証を設定します。
(4) 強制認証時に切り替える VLAN ID の設定
[設定のポイント]
ダイナミック VLAN モードで強制認証となった場合に切り替える VLAN ID を設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/5 (config-if)# switchport mode mac-vlan (config-if)# switchport mac vlan 100,200 (config-if)# web-authentication port (config-if)# mac-authentication port
(config-if)# authentication force-authorized vlan 100
Web 認証と MAC 認証のダイナミック VLAN モードで指定された認証対象ポート 1/0/5 に,強制認 証時に切り替える VLAN ID 100 を設定します。
(5) 装置単位の認証数制限値の設定
[設定のポイント]
レイヤ 2 認証の装置単位の認証数制限を設定します。
[コマンドによる設定]
1.(config)# authentication max-user 512
レイヤ 2 認証の装置単位の認証数制限を 512 に設定します。
(6) ポート単位の認証数制限値の設定
[設定のポイント]
レイヤ 2 認証のポート単位の認証数制限を設定します。
[コマンドによる設定]
1.(config)# interface gigabitethernet 1/0/5 (config-if)# switchport mode access (config-if)# switchport vlan 10 (config-if)# web-authentication port (config-if)# mac-authentication port (config-if)# authentication max-user 64 (config-if)# exit
認証対象ポート 1/0/5 の認証数制限を 64 に設定します。
(7) RADIUS サーバへアクセス時の dead interval 時間の設定
[設定のポイント]
最優先 RADIUS サーバが無応答になったあと,ほかの RADIUS サーバで認証を始めてから,再度最優 先 RADIUS サーバへアクセスを試みるまでの待ち時間(dead interval 時間)を設定します。
[コマンドによる設定]
1.(config)# authentication radius-server dead-interval 20 RADIUS サーバの dead interval 時間を 20 分に設定します。