認証ネットワークからのログアウト

認証ネットワークにログインした端末をログアウトする方法を次の表に示します。

表 8‒1　認証モードごとのログアウト方法

ログアウト方法 固定 VLAN

モード

ダイナミック VLAN モード

Web 画面によるログアウト ○ ○

最大接続時間超過時のログアウト ○ ○

認証済み端末の接続監視機能によるログアウト ○ −

認証済み端末の MAC アドレステーブルエージングによるログア ウト

− ○

運用コマンドによるログアウト ○ ○

認証済み端末からの特殊パケット受信によるログアウト ○ −

認証端末接続ポートのリンクダウンによるログアウト ○ −

VLAN 設定変更によるログアウト ○ ○

ログアウト方法 固定 VLAN モード

ダイナミック VLAN モード

認証モードの切り替えによるログアウト ○ ○

Web 認証の停止によるログアウト ○ ○

動的に登録された VLAN の削除によるログアウト − ○

（凡例）　○：サポート　−：該当なし

ダイナミック VLAN モードの場合，上記の方法でログアウトしたあと，端末の IP アドレスを認証前の IP アドレスに変更してください。また，DHCP サーバを使用している場合は，端末から IP アドレスの再配布 を指示してください。

• DHCP サーバを使用している場合，端末の IP アドレスをいったん削除してから，DHCP サーバへ IP アドレスの配布を指示してください。（例：Windows の場合，コマンドプロンプトから ipconfig / release を実行した後に，ipconfig /renew を実行してください。）

• IP アドレスを手動で設定している場合，手動で端末の IP アドレスを認証前の IP アドレスに変更してく ださい。

(1)　Web 画面によるログアウト

認証済み端末からログアウト用 URL にアクセスして，端末にログアウト画面を表示させます。画面上のロ グアウト操作によって Web 認証は認証解除を行います。認証が解除されると，ログアウト完了画面を表示 します。

(2)　最大接続時間超過時のログアウト

コンフィグレーションコマンド web-authentication max-timer で設定された最大接続時間を超えた場合 に，強制的に Web 認証の認証状態を解除して，端末から本装置外への通信を停止します。この際に設定さ れた最大接続時間が経過してから 1 分以内で認証解除が行われます。この場合には，端末にログアウト完 了画面を表示しません。

最大接続時間を超えても使用したい場合は，端末から再度，認証ネットワークへのログイン操作を行ってく ださい。ユーザ ID，パスワードおよび MAC アドレスの組み合わせで認証済みであることが確認された場 合に限り，接続時間を延長できます（さらに最大接続時間分だけ延長します）。

なお，コンフィグレーションコマンド web-authentication max-timer で最大接続時間を短縮したり，延 長したりした場合，現在認証中のユーザには適用されず，次回ログイン時から設定が有効となります。

(3)　認証済み端末の接続監視機能によるログアウト

認証済み端末に対し，コンフィグレーションコマンド web-authentication logout polling interval で指 定された時間間隔で ARP パケットを用い ARP 返答パケットを受信することによって端末の接続監視を行 います。コンフィグレーションコマンド authentication logout polling retry-interval と web-authentication logout polling count で設定された時間を超えても ARP 返答パケットが受信できない場 合，タイムアウトしていると判断し，強制的に Web 認証の認証状態を解除します。この場合には，端末に ログアウト完了画面を表示しません。

なお，この機能はコンフィグレーションコマンド no web-authentication logout polling enable で無効 にできます。

注意

接続監視機能の設定値としてデフォルトを使用した場合，認証されている数が多いと，接続タイムアウ トと判定してから認証が解除されるまで 1 分程度掛かります。

なお，本装置の CPU 負荷が高い場合は，認証解除までさらに時間が掛かることがあります。

(4)　認証済み端末の MAC アドレステーブルエージングによるログアウト

認証済み端末に対し，MAC アドレステーブルを周期的に監視し，端末からのアクセスがあるかをチェック しています。該当する端末からのアクセスがない状態が続いた場合に，強制的に Web 認証の認証状態を解 除します。この場合には，端末にログアウト完了画面を表示しません。

ただし，回線の瞬断などの影響で認証が解除されてしまうことを防ぐために，MAC アドレステーブルの エージング時間経過後約 10 分間，該当する MAC アドレスを持つ端末からのアクセスがない状態が続いた 場合に，認証状態を解除します。

MAC アドレステーブルのエージング時間と，MAC アドレステーブルエージングによるログアウトの関係 を次の図に示します。

なお，MAC アドレステーブルのエージング時間はデフォルト値を使用するか，またはデフォルト値より大 きな値を設定してください。

図 8‒11　認証済み端末の MAC アドレステーブルエージングによるログアウト

また，認証成功直後約 10 分間に端末からのアクセスがないと，エージング時間の値に関係なく，強制的に 認証を解除します。

認証成功直後からアクセスがない場合のログアウトを次の図に示します。

図 8‒12　認証成功直後からアクセスがない場合のログアウト

なお，この機能はコンフィグレーションコマンド no web-authentication auto-logout で無効にできます

（アクセスがない状態が続いた場合でも強制的にログアウトしない設定が可能）。

(5)　運用コマンドによるログアウト

運用コマンド clear web-authentication auth-state でユーザ単位に，強制的にログアウトができます。な お，同一ユーザ ID で複数ログインを行っている場合，同じユーザ ID を持つ認証をすべてログアウトしま す。この場合には，端末にログアウト完了画面を表示しません。

(6)　認証済み端末からの特殊パケット受信によるログアウト

認証済み端末から送信された特殊パケットを受信した場合，該当する端末の認証を解除します。この場合に は，端末にログアウト完了画面を表示しません。特殊パケットの条件を次に示します。

• 認証済み端末から Web 認証専用 IP アドレスで送出された ping パケット

• コンフィグレーションコマンド web-authentication logout ping tos-windows で設定された TOS 値を持っているパケット

• コンフィグレーションコマンド web-authentication logout ping ttl で設定された TTL 値を持ってい るパケット

(7)　認証端末接続ポートのリンクダウンによるログアウト

認証済み端末が接続しているポートのリンクダウンを検出した場合，該当するポートに接続された端末の認 証を解除します。この場合には，端末にログアウト完了画面を表示しません。

(8)　VLAN 設定変更によるログアウト

コンフィグレーションコマンドで認証端末が含まれる VLAN の設定を変更した場合，変更された VLAN に含まれる端末の認証を解除します。この場合には，端末にログアウト完了画面を表示しません。

［コンフィグレーションの変更内容］

• VLAN を削除した場合

• VLAN を停止（suspend）した場合

(9)　認証方式の切り替えによるログアウト

認証方式が RADIUS 認証方式からローカル認証方式に切り替わった場合，またはローカル認証方式から RADIUS 認証方式に切り替わった場合，すべての端末の認証を解除します。この場合には，端末にログア ウト完了画面を表示しません。

(10)　認証モードの切り替えによるログアウト

copy コマンドでコンフィグレーションを変更して，認証モードが切り替わる設定をした場合，すべての端 末の認証を解除します。この場合には，端末にログアウト完了画面を表示しません。

(11)　Web 認証の停止によるログアウト

コンフィグレーションコマンドで Web 認証の定義が削除されて Web 認証が停止した場合，すべての端末 の認証を解除します。この場合には，端末にログアウト完了画面を表示しません。

(12)　動的に登録された VLAN の削除によるログアウト

動的に VLAN が作成された認証ポートにコンフィグレーションコマンド switchport mac vlan が設定さ れた場合，該当ポートに動的に作成された VLAN ID は削除されて，VLAN に所属していた端末の認証を 解除します。