1.1 802.1x設定コマンド
2.1 AAA設定コマンド
2.1.1 access-limit
Syntax
access-limit { disable | enable max-user-number } undo access-limit
View
ISP domain view パラメータ
disable:現在のISPドメインのサプリカント数の上限を指定しない
enable max-user-number:現在のISPドメインの最大サプリカント数(1~512)
説明
access-limitコマンドは、現在のISPドメインに含まれるサプリカント数の上限を
設定します。サプリカント数に適切な上限を設定することで、既存のサプリカント に信頼性の高いパフォーマンスを提供することができます。
undo access-limitコマンドは、設定をデフォルト状態に戻します。
デフォルト:上限なし(disable) 例
# ISPドメインcompanya.comのサプリカント数の上限を500に設定します。
[QX-S2110P-I-isp- companya.com] access-limit enable 500
2.1.2 attribute
Syntax
attribute { mac mac-address | access-limit max-user-number | vlan vlanid | location { nas-ip ip-address port portnum | port portnum } }*
undo attribute { mac | access-limit | vlan | location } View
Local user view
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
パラメータ
mac mac-address:ユーザのMACアドレス(x-x-xの16進数)
access-limit max-user-number: 現在のISPドメインに収容可能な最大ユーザ数(1
~512)
vlan vlanid:ユーザが属するVLAN のVLAN ID(1~4094)
location:ユーザのポート結合属性
nas-ip ip-address:リモートポートとユーザが結合されたときのアクセスサーバのIP
アドレス(デフォルト:127.0.0.1)
port portnum:ユーザがバインドされるポート(SlotNumber、SubSlotNumber、
PortNumberで表示)
SlotNumber、SubSlotNumber、PortNumberを省略すると、0に置き換えます。
説明
attributeコマンドは、指定したローカルユーザの任意の属性を設定します。
undo attributeコマンドは、ローカルユーザに定義した属性を取り消します。
リモートRADIUSサーバグループにバインドされたユーザには、nas-ipを定義する
必要があります。ただし、ローカルRADIUSサーバグループにバインドされたユー ザに対しては、この操作は必要ありません。
関連コマンド:display local-user 例
# VLAN 100をユーザのuser1に設定します。
[QX-S2110P-I-luser-user1] attribute vlan 100
2.1.3 cut connection
Syntax
cut connection { all | access-type { dot1x } | domain domain-name | interface interface-type interface-number | mac mac-address | radius-scheme radius-scheme-name | vlan vlanid | ucibindex ucib-index | user-name user-name } View
System view パラメータ
all :すべての接続を切断する
access-type { dot1x }:ログオンタイプに応じて、接続のカテゴリを切断するdot1x
は802.1xユーザを意味します。
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
domain domain-name:ISPドメインに応じて接続のカテゴリを切断(24文字以内)
作成済みのISPドメインを指定する必要があります。
mac mac-address:MACアドレスがmac-addressのサプリカントの接続を切断(16 進数形式(x-x-x))
radius-scheme radius-server-name:RADIUSサーバ名に応じて接続を切断(32文字 以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
interface interface-type interface-number:ポートに応じて接続を切断する vlan vlanid:VLAN IDに応じて接続を切断する(1~4094)
ucibindex ucib-index: ucib-indexに応じて接続を切断する
user-name user-name :ユーザ名に応じて接続を切断する(32文字以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
@文字は、1 ユーザ名につき 1 つに限り使用します。ユーザ名本体(@の前のユー
ザID)には25文字以上は指定できません。
説明
cut connectionコマンドは、dot1xユーザまたはあるカテゴリに属するdot1xユー ザを強制的に切断します。
状況によっては、dot1xユーザまたはdot1xユーザのカテゴリを強制的に切断する必 要が生じます。
関連コマンド:display connection 例
# ISPドメインcompanya.comの全接続を切断します。
[QX-S2110P-I] cut connection domain companya.com This operation may take a few seconds or minutes.
2.1.4 display connection
Syntax
display connection [ access-type { dot1x } | domain domain-name | interface interface-type interface-number | mac mac-address | radius-scheme radius-scheme-name | vlan vlanid | ucibindex ucib-index | user-name user-name ]
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
View
すべてのview
パラメータ
access-type { dot1x }:ログオンタイプ dot1xは802.1xユーザを意味します。
domain domain-name:ISPドメインのすべてのユーザを表示する(24文字以内)
作成済みのISPドメインを指定する必要があります。
mac mac-address:MAC アドレスが mac-address のサプリカントの接続を表示
(x-x-xの16進数)
radius-scheme radius-server-name:RADIUSサーバ名(32文字以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
interface interface-type interface-numberポート番号 vlan vlanid:VLAN ID(1~4094)
ucibindex ucib-index:ucib-index
user-name user-name :ユーザ名(32文字以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
@文字は、1ユーザ名につき1つに限り使用できます。ユーザ名本体(@の前のユー
ザID)には25文字以上は指定できません。
説明
display connectionコマンドは、全サプリカントまたは指定したサプリカントの関
連情報を表示します。
この情報は、ユーザ接続診断やトラブルシューティングを行う場合に有用です。
関連コマンド:cut connection 例
# 全ユーザの関連情報を表示します。
<QX-S2110P-I> display connection
Total 0 connections matched ,0 listed
2.1.5 display domain
Syntax
display domain [ isp-name ]
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
View
すべてのview
パラメータ
isp-name: ISPドメイン名を指定(24文字以内)
作成済みのISPドメインを指定します。
説明
display domainコマンドは、指定したISPドメインまたは全ISPドメインの要約情 報を表示します。
ISPドメインを指定すると、display domainコマンドによる表示と同じ内容および 形式で設定情報が表示されます。この出力情報は、ISP ドメイン接続診断やトラブ ルシューティングを行う際に使用します。課金スキーマを表示する場合は、事前に それを作成しておく必要があります。
関連コマンド:access-limit、domain、radius scheme、state、display domain 例
# システムの全ISPドメインの要約情報を表示します。
<QX-S2110P-I> display domain 0 Domain = system
State = Active
RADIUS Scheme = system Access-limit = disable Vlan-assignment-mode = integer
1 Domain = nec.com State = Active
RADIUS Scheme = system Access-limit = disable Vlan-assignment-mode = integer
Default Domain Name: system Total 2 domain(s). 2 listed.
2.1.6 display local-user
Syntax
display local-user [ domain isp-name | service-type { telnet | ftp | ssh | lan-access } | state { active | block } | user-name user-name | vlan vlanid ]
View
すべてのview
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
パラメータ
domain isp-name:ISPドメイン名(24文字以内)
作成済みのISPドメインを指定します。
service-type:サービスタイプ
telnetは、ユーザタイプがTelnet、ftpは、ユーザタイプがftp、lan-accessは、ユ ーザタイプがLANアクセス(802.1xサプリカントなどのEthernetアクセスユーザが 主)です。sshはサプリカントタイプがSSHです。
state { active | block }ローカルユーザの状態
activeは、システムがネットワークサービス要求を許可しているユーザ、blockは、
システムがネットワークサービス要求を許可していないユーザです。
user-name user-name :user-nameユーザ名(80文字以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
@文字は、1 ユーザ名につき 1 つに限り使用できます。ユーザ名本体(@の前のユ ーザID)は55文字以内、@以降のドメイン名は24文字以内で指定できます。
vlan vlanid:指定のVLANに属するユーザを表示(1~4094)
説明
display local-userコマンドは、全ローカルユーザの関連情報、または指定のユーザ
の関連情報を表示します。
本コマンドの出力を使用して、ローカルユーザに関係する障害診断やトラブルシュ ーティングを行います。
関連コマンド:local-user 例
# 全ローカルユーザの関連情報を表示します。
<QX-S2110P-I> display local-user The contents of local user user1:
State: Active ServiceType Mask: T Access-limit: Disable Current AccessNum: 0 Bind location: Disable
Vlan ID: Disable MAC address: Disable User Privilege: 3
Total 1 local user(s) Matched,1 listed.
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
2.1.7 domain
Syntax
domain [ isp-name | default { disable | enable isp-name }]
undo domain isp-name View
System view パラメータ
isp-name:ISPドメイン名を指定(24文字以内)
英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ドット) の文字以外は使用できません。
default:デフォルトISPを設定 disable:デフォルトISP設定無効 enable:デフォルトISP設定有効 説明
domainコマンドは、ISPドメインを設定し、また既存のISPドメインのview (ISP domain view)に遷移する場合に使用します。
undo domainコマンドは、ISPドメインの設定を取り消します。
デフォルト:システム内に“system”という名称のドメインが作成されています。
”system”の属性はすべてデフォルトです。
ISP ド メ イ ン と は 、 同じ ISP に 属 す る ユ ー ザの グ ル ー プで す 。 一 般的 に 、
userid@isp-name 形式のユーザ名の場合(たとえば、[email protected])では、
@の後のisp-name(companya.com)がISPドメイン名になります。 QXシリーズ装
置によるユーザアクセス制御では、userid 部を識別のためのユーザ名として、
isp-name部をISPドメイン名として認識します。
ISP ドメインを設定する目的は、複数の ISPドメインが存在するアプリケーション 環境をサポートすることにあります。このような状況では、アクセスデバイスが、ISP ドメインの異なる複数のサプリカントを処理する場合があります。ユーザ名、パス ワード構成、サービスタイプなどの ISPユーザの属性が異なれば、ISPドメインを 設定して、それらを区別する必要があります。 ISP domain viewでは、AAAスキー マ(RADIUS サーバグループなどが該当)を含む各ISPドメインの固有のISPドメイ ン属性を一括して設定します。
スイッチの場合、各サプリカントは ISPドメインに属します。本システムでは、最 大16のISPドメインの設定をサポートしています。 ユーザが自分のISPドメイン 名を通知しなかった場合は、そのユーザのドメインはデフォルトのドメインになり ます。
コマンドマニュアル – セキュリティ
QX-2110P-I Ethernet スイッチ 2章 AAAおよびRADIUSプロトコル設定コマンド
本コマンドの実行時に、指定の ISP ドメインが存在しなかった場合は、新しいISP ドメインが作成されます。ISPドメインは、すべてactive状態で作成されます。
関連コマンド:access-limit、radius scheme、state、display domain 例
# 新しいISPドメインcompanya.comを作成し、このドメインのviewに遷移しま
す。
[QX-S2110P-I] domain companya.com New Domain added.
[QX-S2110P-I-isp- companya.com]
2.1.8 local-user
Syntax
local-user user-name
undo local-user { user-name | all [ service-type { telnet | ftp | lan-access | ssh } ] } View
System view パラメータ
user-name :ローカルユーザ名(80文字以内)user-name = allは設定不可です。
また、英数字[0-9][a-z][A-Z]、-(ハイフン)、_(アンダーバー)、@(アットマーク)、.(ド ット)の文字以外は使用できません。
@文字は、1ユーザ名につき1つに限り使用できます。ユーザ名本体(@の前のユー
ザID)には55文字、@以降は24文字以内で指定できます。大文字と小文字の区別は
付けません。「UserA」と「usera」は同じになります。
service-type:サービスタイプを指定
telnetは、指定のユーザタイプがTelnetであることを意味し、ftpは、指定のユーザ
タイプがftpであることを意味します。lan-accessは、指定のユーザタイプがLAN アクセス(802.1xサプリカントなどのEthernetアクセスユーザが主)であることを意 味します。sshは指定のユーザタイプがSSHであることを意味しています。
all:すべてのユーザ 説明
local-userコマンドは、ローカルユーザを設定し、Local user viewに遷移するため に使用します。
undo local-userコマンドは、ローカルユーザの指定を取り消します。