dot1x port-control
- モード
- インターフェースモード
- カテゴリー
- インターフェース / ポート認証
構文
(config-if)# dot1x port-control {auto|force-authorized|force-unauthorized}
(config-if)# no dot1x port-control
コマンド説明
対象スイッチポートでIEEE 802.1X認証(ポート認証)を有効にする。no形式で実行した場合は802.1X認証(ポート認証)を無効にする。
初期設定は無効。
実際に802.1X認証(ポート認証)を使用するためには、システム全体でも802.1X認証を有効にする必要がある(aaa authentication dot1xコマンド)。
また本コマンドでは、802.1X認証、MACベース認証、Web認証におけるポートの状態を「認証済み」か「未認証」に固定設定することもできる。
パラメーター
auto- 802.1X認証のAuthenticatorとして動作。ポートの状態を認証結果に応じて変動させる。802.1X認証を行うポートでは、通常これを選択すればよい
force-authorized- 該当ポートを認証済み(Authorized)として固定設定する。この設定は802.1X認証だけでなく、他の認証方式にも適用される
force-unauthorized- 該当ポートを未認証(Unauthorized)として固定設定する。この設定は802.1X認証だけでなく、他の認証方式にも適用される
使用例
スイッチポート1.0.1~1.0.12でIEEE 802.1X認証(ポート認証)を有効にする。awplus(config)# interface port1.0.1-1.0.12 awplus(config-if)# dot1x port-control auto
注意・補足事項
force-authorizedとforce-unauthorizedの設定は、802.1X認証だけでなく、MACベース認証、Web認証にも適用される。プライベートVLANの所属ポートでは802.1X認証を使用できない。
ポートセキュリティーが有効なポート(switchport port-securityコマンド)では802.1X認証を使用できない。
タグ付きポートでも802.1X認証を使用できる。ただしその場合は以下の注意事項がある。
- タグ付きポートではダイナミックVLAN、ゲストVLAN、Auth-fail VLANを使用できない。
- タグ付きポートではホストモードをMulti-Supplicantモードに設定すること(auth host-modeコマンドでmulti-supplicantを指定)。他のモードはサポート対象外
- VLAN間の移動はサポート対象外。認証済みSupplicantが同一ポート上の別のVLANに移動した場合、移動前のVLANでSupplicant情報がタイムアウトして削除されるまで、該当Supplicantはすぐに再認証を受けることができない。このような場合は、移動前に明示的にログアウトする必要がある。
トランクグループ(スタティック、LACPとも)でも802.1X認証を使用できる。ただしその場合は以下の注意事項がある。
- トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体(saX、poXインターフェース)のリンクダウンによって認証が解除される。
- トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除される(たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される)。
認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生する。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定すればよい。