auth dynamic-vlan-creation
- モード
- ポート認証プロファイルモード
- カテゴリー
- インターフェース / ポート認証
構文
(config-auth-profile)# auth dynamic-vlan-creation [type {single|multi}] [rule {deny|permit}]
(config-auth-profile)# no auth dynamic-vlan-creation
コマンド説明
対象スイッチポートでダイナミックVLANを有効にする。no形式で実行した場合は対象スイッチポートでダイナミックVLANを無効にする。
初期設定は無効。
ダイナミックVLANが有効なポートでは、RADIUSサーバーが返してきたTunnel-Private-Group-ID属性の値をもとに、認証をパスしたSupplicantの所属VLANを動的に変更する。
パラメーター
type {single|multi}- 対象ポートがMulti-Supplicantモードに設定されている場合(auth host-modeコマンドでmulti-supplicantを指定した場合)、各SupplicantへのVLAN割り当てをどのように行うかを指定する。初期設定はsingle
single- ポート単位のVLAN割り当て。この設定では該当ポートで最初に認証をパスしたSupplicantの所属VLANが、その後同一ポートで認証をパスした他のSupplicantにも適用される。なお、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なる場合の動作は、ruleパラメーターで変更できる
multi- Supplicant単位のVLAN割り当て(マルチプルダイナミックVLAN)。この設定ではSupplicantごとに異なるVLANを割り当てることができる。Supplicantの識別はMACアドレスによって行う
rule {deny|permit}- 対象ポートがMulti-Supplicantモードに設定されており(auth host-modeコマンドでmulti-supplicantを指定した場合)、かつ、各SupplicantへのVLAN割り当てがポート単位(type single)に設定されている場合、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なっていた場合の動作を指定する。初期設定はdeny
deny- 最初のSupplicantとVLANが異なる場合、および、VLANが割り当てられない場合は認証失敗とする
permit- 最初のSupplicantとVLANが異なっていても認証成功とし、最初のSupplicantと同じVLANで通信を許可する