第 4 章 : 保守・運用機能
5.3 ポート認証
5.3.1 システム全体でのIEEE 802.1X認証機能の設定 [書式]
aaa authentication dot1x no aaa authentication dot1x [初期設定]
no aaa authentication dot1x [入力モード]
グローバルコンフィグレーションモード [説明]
システム全体でIEEE 802.1X認証を有効にする。
no形式で実行した場合は、システム全体でIEEE 802.1X認証を無効にする。
認証は、radius-server hostコマンドで設定したRADIUSサーバーを使用する。
[ノート]
実際にIEEE 802.1X認証を使用するためには、対象インターフェースでもIEEE 802.1X認証を有効にする必要があ
る。(dot1x port-controlコマンド) [設定例]
システム全体でIEEE 802.1X認証を有効化する。
SWX2310P(config)#aaa authentication dot1x
5.3.2 システム全体でのMAC認証機能の設定
[書式]
aaa authentication auth-mac no aaa authentication auth-mac [初期設定]
no aaa authentication auth-mac [入力モード]
グローバルコンフィグレーションモード [説明]
システム全体でMAC認証を有効にする。
no形式で実行した場合は、システム全体でMAC認証を無効にする。
認証は、radius-server hostコマンドで設定したRADIUSサーバーを使用する。
[ノート]
実際にMAC認証を使用するためには、対象インターフェースでもMAC認証を有効にする必要がある。 (auth-mac enableコマンド)
[設定例]
システム全体でMAC認証を有効化する。
SWX2310P(config)#aaa authentication auth-mac
5.3.3 システム全体でのWeb認証機能の設定
[書式]
aaa authentication auth-web no aaa authentication auth-web [初期設定]
no aaa authentication auth-web [入力モード]
グローバルコンフィグレーションモード [説明]
システム全体でWeb認証を有効にする。
no形式で実行した場合は、システム全体でWeb認証を無効にする。
認証は、radius-server hostコマンドで設定したRADIUSサーバーを使用する。
[ノート]
実際にWeb認証を使用するためには、対象インターフェースでもWeb認証を有効にする必要がある。 (auth-web enableコマンド)
[設定例]
システム全体でWeb認証を有効化する。
SWX2310P(config)#aaa authentication auth-web 5.3.4 IEEE 802.1X認証機能の動作モード設定
[書式]
dot1x port-control mode no dot1x port-control [パラメーター]
mode : IEEE 802.1X認証の動作モード
動作モード 説明
auto IEEE 802.1X認証のAuthenticatorとして動作
する
force-authorized IEEE 802.1X認証の認証済みポートに固定設
定する
force-unauthorized IEEE 802.1X認証の未認証ポートに固定設定
する
[初期設定]
no dot1x port-control [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、IEEE 802.1X認証機能の動作モードを設定する。
no形式でコマンドを実行した場合は、対象インターフェースのIEEE 802.1X認証機能は無効となる。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
[設定例]
LANポート #1で、IEEE 802.1X認証機能の動作モードをautoに設定する。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#dot1x port-control auto
5.3.5 IEEE 802.1X認証の未認証ポートでの転送制御の設定
[書式]
dot1x control-direction direction no dot1x control-direction [パラメーター]
direction : 未認証ポートでのパケット転送動作を設定
転送動作 説明
both 送受信とも破棄する。
in 受信のみ破棄する。
[初期設定]
dot1x control-direction both [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、IEEE 802.1X認証の未認証時のパケット転送動作を変更する。
no形式で実行した場合は、初期設定に戻る。
bothを指定している場合、サプリカントから受信したパケットを破棄し、他のポートから サプリカントの接続され ているインターフェースへのブロードキャスト/マルチキャストパケットも破棄する。
inを指定している場合、サプリカントから受信したパケットのみを破棄し、他のポートから サプリカントの接続さ れているインターフェースへのブロードキャスト/マルチキャストパケットは転送する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
対象インターフェースでゲストVLANの設定をしている場合は、本コマンドの設定自体が無効となる。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド)
[設定例]
LANポート #1の未認証ポートでのパケット転送動作を受信のみ破棄にする。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#dot1x control-direction in
5.3.6 EAPOLパケットの送信回数の設定
[書式]
dot1x max-auth-req count no dot1x max-auth-req [パラメーター]
count : <1-10>
EAPOLパケットの最大送信回数
[初期設定]
dot1x max-auth-req 2 [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、EAPOLパケットの送信回数の最大値を設定する。
no形式でコマンドを実行した場合は、初期設定に戻る。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド)
[設定例]
LANポート #1で、EAPOLパケットの送信回数を3に設定する。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#dot1x max-auth-req 3 5.3.7 MAC認証機能の設定
[書式]
auth-mac enable auth-mac disable
no auth-mac enable [初期設定]
auth-mac disable [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、MAC認証を有効にする。
no形式で実行した場合、または、disableを指定した場合は、MAC認証を無効にする。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
実際にMAC認証を使用するためには、システム全体でもMAC認証を有効にする必要がある。 (aaa authentication auth-macコマンド)
[設定例]
LANポート #1のMAC認証機能を有効にする。
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#auth-mac enable
5.3.8 MAC認証時のMACアドレス形式の設定
[書式]
auth-mac auth-user type case no auth-mac auth-user [パラメーター]
type : 形式を指定
設定値 形式
hyphen xx-xx-xx-xx-xx-xx
colon xx:xx:xx:xx:xx:xx
unformatted xxxxxxxxxxxx
case : 大文字・小文字を指定
設定値 説明
lower-case 小文字(a~f)
upper-case 大文字(A~F)
[初期設定]
auth-mac auth-user hyphen lower-case [入力モード]
グローバルコンフィグレーションモード [説明]
MAC認証において、認証時に使用するユーザー名・パスワードの形式を変更する。
MAC認証では、サプリカントのMACアドレスをユーザー名・パスワードとして使用しRADIUSサーバーへ認証を 要求する。
no形式で実行した場合は、初期設定に戻る。
[ノート]
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (auth-mac enableコマンド)
[設定例]
MAC認証に使用するMACアドレス形式をハイフンなし、大文字に変更する。
SWX2310P(config)#auth-mac auth-user unformatted upper-case 5.3.9 Web認証機能の設定
[書式]
auth-web enable auth-web disable no auth-web enable [初期設定]
auth-web disable [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、Web認証を有効にする。
no形式で実行した場合、または、disableを指定した場合は、Web認証を無効にする。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
実際にWeb認証を使用するためには、システム全体でもWeb認証を有効にする必要がある。 (aaa authentication auth-webコマンド)
マルチサプリカントモード以外ではWeb認証機能を有効にすることはできません。
ダイナミックVLAN、およびゲストVLANとの併用はできません。
[設定例]
LANポート #1のWeb認証機能を有効にする。
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#auth-web enable 5.3.10 ホストモードの設定
[書式]
auth host-mode mode no auth host-mode [パラメーター]
mode : ポート認証の動作モード
動作モード 説明
single-host
1ポートあたり1サプリカントのみ通信を許 可するモードで、 最初に認証をパスしたサプ リカントのみを許可する
multi-host
1ポートあたり複数サプリカントの通信を許 可するモードで、最初のサプリカントが認証 をパスすると、同じポート配下の サプリカン トは認証を行わなくても通信が可能となる multi-supplicant
1ポートあたり複数サプリカントの通信を許 可するモードでサプリカント毎に通信の許 可・拒否を決定する
[初期設定]
auth host-mode single-host [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、ポート認証の動作モードを変更する。
no形式で実行した場合は、初期設定に戻る。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
マルチホストモード/マルチサプリカントモードでダイナミックVLANを利用する場合、2番目以降のサプリカント は最初のサプリカントが適用したVLAN IDが適用される。
マルチサプリカントモードではゲストVLANを設定することはできません。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1をマルチホストモードに変更する。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#auth host-mode multi-host 5.3.11 再認証の設定
[書式]
auth reauthentication no auth reauthentication [初期設定]
no auth reauthentication [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、サプリカントの再認証を有効にする。
no形式で実行した場合は、再認証を無効にする。
本設定を有効にした場合は、認証に成功したサプリカントを定期的に再認証する。
再認証の間隔は、auth timeout reauth-periodコマンドで変更できる。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
IEEE 802.1X認証時は、再認証のタイミングになると、サプリカントにEAPOLパケットを送信して ユーザー情報を
再取得し、RADIUSサーバーに認証要求を行う。
MAC認証時は、再認証のタイミングになると、サプリカントのMACアドレスをユーザー名、および、 パスワード と見なしてRADIUSサーバーに認証要求を行う。
Web認証時は、再認証のタイミングになると、サプリカントの認証状態を未認証に遷移させる。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
[設定例]
LANポート #1の再認証を有効にする。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#auth reauthentication 5.3.12 ダイナミックVLANの設定
[書式]
auth dynamic-vlan-creation no auth dynamic-vlan-creation [初期設定]
no auth dynamic-vlan-creation [入力モード]
インターフェースモード [説明]
対象インターフェースに対して、ダイナミックVLANを有効にする。
no形式で実行した場合は、ダイナミックVLANを無効にする。
ダイナミックVLANが有効なインターフェースでは、RADIUSサーバーから指定された属性値
(Tunnel-Private-Group-ID)をもとに、所属VLANを動的に変更する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
本コマンドは、Web認証が有効なとき設定できません。
[設定例]
LANポート #1でダイナミックVLANを有効にする。
SWX2310P(config)#interface port1.1
SWX2310P(config-if)#auth dynamic-vlan-creation 5.3.13 ゲストVLANの設定
[書式]
auth guest-vlan vlan-id no auth guest-vlan [パラメーター]
vlan-id : <1-4094>
ゲストVLAN用のVLAN ID
[初期設定] no auth guest-vlan [入力モード]
インターフェースモード [説明]
対象インターフェースに接続されているサプリカントが未認証、あるいは、認証失敗のときに所属するゲストVLAN を指定する。
no形式で実行した場合は、ゲストVLANの設定を削除する。
[ノート]
本コマンドはLAN/SFPポートにのみ設定可能。
本コマンドの設定を変更すると、認証状態は初期状態に戻る。
本コマンドを使用するためには、対象インターフェースでポート認証機能を有効にする必要がある。 (dot1x port-controlコマンド、auth-mac enableコマンド)
本コマンドは、マルチサプリカントモードでは設定できません。
本コマンドは、Web認証が有効なとき設定できません。
[設定例]
LANポート #1でゲストVLAN #10を指定する。
SWX2310P(config)#interface port1.1 SWX2310P(config-if)#auth guest-vlan 10 5.3.14 認証失敗後の抑止期間の設定
[書式]
auth timeout quiet-period time no auth timeout quiet-period [パラメーター]
time : <1-65535>
認証失敗後、サプリカントとの通信を拒否する期間(秒)