auth-mac enable
- モード
- インターフェースモード
- カテゴリー
- インターフェース / ポート認証
構文
(config-if)# [no] auth-mac enable
コマンド説明
対象スイッチポートでMACベース認証(ポート認証)を有効にする。no形式で実行した場合は対象スイッチポートでMACベース認証(ポート認証)を無効にする。
初期設定は無効。
実際にMACベース認証(ポート認証)を使用するためには、システム全体でもMACベース認証を有効にする必要がある(aaa authentication auth-macコマンド)。
使用例
スイッチポート1.0.1~1.0.12でMACベース認証を有効化する。awplus(config)# interface port1.0.1-1.0.12 awplus(config-if)# auth-mac enable
注意・補足事項
タグ付きポートでもMACベース認証を使用できる。ただしその場合は以下の注意事項がある。- タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できない。
- タグ付きポートではホストモードをMulti-Supplicantモードに設定すること(auth host-modeコマンドでmulti-supplicantを指定)。他のモードはサポート対象外
- VLAN間の移動はサポート対象外。認証済みSupplicantが同一ポート上の別のVLANに移動した場合、移動前のVLANでSupplicant情報がタイムアウトして削除されるまで、該当Supplicantはすぐに再認証を受けることができない。
プライベートVLANの所属ポートではMACベース認証を使用できない。
ポートセキュリティーが有効なポート(switchport port-securityコマンド)ではMACベース認証を使用できない。
トランクグループ(スタティック、LACPとも)でもMACベース認証を使用できる。ただしその場合は以下の注意事項がある。
- トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体(saX、poXインターフェース)のリンクダウンによって認証が解除される。
- トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除される(たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される)。
認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生する。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定すればよい。