[index] CentreCOM 8316XL/8324XL コマンドリファレンス 2.7
カテゴリー:スイッチング / ポート認証
ENABLE PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=AUTHENTICATOR [CONTROL={AUTHORISED|AUTO|UNAUTHORISED}] [MAXREQ=1..10] [MODE={MULTI|SINGLE}] [PIGGYBACK={TRUE|FALSE}] [QUIETPERIOD=0..65535] [REAUTHENABLED={TRUE|FALSE}] [REAUTHMAX=1..10] [REAUTHPERIOD=1..86400] [SERVERTIMEOUT=1..60] [SUPPTIMEOUT=1..60] [TXPERIOD=1..65535] [GUESTVLAN={vlanname|1..4094|NONE}] [SECUREVLAN={ON|OFF}] [VLANASSIGNMENT={ENABLED|DISABLED}] [MIBRESET={ENABLED|DISABLED}] [TRAP={SUCCESS|FAILURE|BOTH|NONE}]
ENABLE PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=BOTH [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [MAXREQ=1..10] [MODE=SINGLE] [PIGGYBACK={TRUE|FALSE}] [QUIETPERIOD=0..65535] [REAUTHENABLED={TRUE|FALSE}] [REAUTHMAX=1..10] [REAUTHPERIOD=1..86400] [SERVERTIMEOUT=1..60] [SUPPTIMEOUT=1..60] [TXPERIOD=1..65535] [GUESTVLAN={vlanname|1..4094|NONE}] [VLANASSIGNMENT={ENABLED|DISABLED}] [MIBRESET={ENABLED|DISABLED}] [TRAP={SUCCESS|FAILURE|BOTH|NONE}] [AUTHPERIOD=1..60] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name PASSWORD=password [METHOD={OTP [ENCRYPTION={MD4|MD5}]|STANDARD}]]
ENABLE PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=SUPPLICANT [AUTHPERIOD=1..60] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name PASSWORD=password [METHOD={OTP [ENCRYPTION={MD4|MD5}]|STANDARD}]]
ENABLE PORTAUTH=MACBASED PORT={port-list|ALL} [CONTROL={AUTHORISED|AUTO|UNAUTHORISED}] [QUIETPERIOD=0..65535] [SECUREVLAN={ON|OFF}] [VLANASSIGNMENT={ENABLED|DISABLED}] [MIBRESET={ENABLED|DISABLED}] [TRAP={SUCCESS|FAILURE|BOTH|NONE}]
port-list: スイッチポート番号(1〜。ハイフン、カンマを使った複数指定も可能)
vlanname: VLAN名(1〜32文字。英数字とアンダースコア(_)、ハイフンを使用可能。大文字小文字を区別しない)
login-name: ログイン名(1〜64文字。英数字のみ使用可能)
password: パスワード(1〜64文字。英数字のみ使用可能)
指定ポートで、ポート認証機能(802.1X認証またはMACベース認証)を有効にする。各ポートでは、802.1X認証かMACベース認証のどちらか一方だけを使用できる。また、802.1X認証を使用する場合は、各ポートをAuthenticator、Supplicant、AuthenticatorかつSupplicant (Both)のいずれかに設定できる。デフォルトは全ポート無効。
| パラメーター |
PORTAUTH: 認証メカニズム。8021X(802.1X認証)、MACBASED(MACベース認証)から選択する。省略時は8021Xと見なされる。
PORT: スイッチポート。複数指定が可能。
TYPE: (802.1Xポート)802.1X認証におけるスイッチポートの役割。AUTHENTICATOR(Authenticatorポート)、SUPPLICANT(Supplicantポート)、BOTH(AuthenticatorポートかつSupplicantポート)のいずれかを指定する。なお、Multi-Supplicantモード(MODE=MULTI)を使用する場合、TYPE=BOTHは指定できない。TYPE=AUTHENTICATORを指定すること。
CONTROL: (802.1X Authenticatorポート、MACベース認証ポート)手動設定によるAuthenticatorポートの状態。AUTO(認証結果に応じて変動)、UNAUTHORISED(未認証固定)、AUTHORISED(認証済み固定)から選択する。デフォルトはAUTO。通常はAUTOのままでよい。ただし、RADIUSサーバーの接続先ポートをAuthenticatorに設定している場合は、本パラメーターをAUTHORISEDに設定する必要がある。
MAXREQ: (802.1X Authenticatorポート)Supplicantに対するEAPOL-Requestパケットの最大再送回数。デフォルトは2回。
MODE: (802.1X Authenticatorポート)Authenticatorポートのモード。Supplicantが1台だけ接続されていることを想定したSingle-Supplicantモード(MODE=SINGLE)と、Supplicantが複数台接続されていることを想定したMulti-Supplicantモード(MODE=MULTI)がある。Single-Supplicantモードでは、該当ポート配下に最初に接続されたSupplicantだけが認証対象となる(その他のSupplicantからの通信を許可するかどうかは、PIGGYBACKパラメーターで制御可能)。Multi-Supplicantモードでは、該当ポート配下に接続された個々のSupplicantを識別し、個別に認証を行う。なお、Multi-Supplicantモードを使用する場合、TYPEパラメーターにはBOTHを指定できない。AUTHENTICATORを指定すること。デフォルトはSINGLE。
PIGGYBACK: (802.1X Single-Supplicant Authenticatorポート)Single-Supplicantモード(MODE=SINGLE)において、最初に接続されたSupplicantの認証に成功した後、他のデバイスからのパケットも許可するかどうかを指定する。TRUEなら許可、FALSEなら拒否。デフォルトはTRUE。
QUIETPERIOD: (802.1X Authenticatorポート、MACベース認証ポート)Supplicantの認証に失敗した後、Supplicantとの通信を拒否する期間(秒)。この期間中は受信したパケットをすべて破棄する。デフォルトは60秒。
REAUTHENABLED: (802.1X Authenticatorポート)認証に成功したSupplicantを定期的に再認証するかどうか。TRUEなら再認証する、FALSEなら再認証しない。MACベース認証ポートではTRUEは動作しない。デフォルトはFALSE。
REAUTHMAX: (802.1X Authenticatorポート)再認証時におけるEAPOL-Requestパケットの最大再送回数。デフォルトは2回。
REAUTHPERIOD: (802.1X Authenticatorポート)Supplicantの再認証間隔(秒)。デフォルトは3600秒。
SERVERTIMEOUT: (802.1X Authenticatorポート)RADIUSサーバーにAccess-Requestを送信した後、RADIUSサーバーからの応答を待つ時間(秒)。デフォルトは30秒。
SUPPTIMEOUT: (802.1X Authenticatorポート)SupplicantにEAP-Requestを送信した後、Supplicantからの応答を待つ時間(秒)。デフォルトは30秒。
TXPERIOD: (802.1X Authenticatorポート)SupplicantにEAPOLパケットを再送信する間隔(秒)。デフォルトは30秒。
GUESTVLAN: (802.1X Single-Supplicant Authenticatorポート)ゲストVLANを指定する。装置上に設定されているVLANの名前かVLAN IDを指定すること。NONEはゲストVLANを使用しないことを意味する。EAPOLパケットをまだ受信していないとき、該当ポートはゲストVLANの所属となる。最初のEAPOLパケットを受信すると、該当ポートはゲストVLANから削除され、本来の所属VLANに復帰する。本パラメーターは、Single-Supplicantモード(MODE=SINGLE)でのみ有効。デフォルトはNONE。
SECUREVLAN: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート)802.1X認証のMulti-Supplicantモード(MODE=MULTI)かMACベース認証でダイナミックVLANを使用しているとき、2番目以降のSupplicantの認証方法を指定する。本パラメーターにONを指定した場合は、2番目以降のSupplicantは、最初に認証を通ったSupplicantと同じVLANでないと認証されない。一方、OFFを指定した場合は、有効なVLANでありさえすれば認証をパスする。ただし、2番目以降のSupplicantは、実際には最初に認証をパスしたSupplicantと同じVLANの所属となる。本パラメーターは、Multi-Supplicantモード(MODE=MULTI)のポートか、MACベース認証のポートでのみ使用可能。デフォルトはON。
VLANASSIGNMENT: (802.1X Authenticatorポート、MACベース認証ポート)ダイナミックVLANの有効・無効。有効時は、RADIUSサーバーが返してきたTunnel-Private-Group-IDの値をもとに、指定ポートの所属VLANを動的に変更する。デフォルトはENABLED。
MIBRESET: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート)802.1X認証のMulti-Supplicantモード(MODE=MULTI)かMACベース認証を使用しているポートにおいて、古いSupplicant情報をエージアウトするかどうか。デフォルトはENABLED。
TRAP: (802.1X Authenticatorポート、MACベース認証ポート)ポート認証機能に関するSNMPトラップを送信するかどうか。SUCCESSを指定した場合は、Supplicantの認証に成功したときと、認証情報が時間切れになったときにSNMPトラップを送信する。FAILUREを指定した場合は、Supplicantの認証に失敗したときにSNMPトラップを送信する。BOTHを指定したときは、SUCCESSとFAILUREの両方の場合にSNMPトラップを送信する。NONEはトラップを送信しない。デフォルトはNONE。
AUTHPERIOD: (802.1X Supplicantポート)AuthenticatorにEAP-Responseパケットを送信した後、Authenticatorからの応答を待つ時間(秒)。デフォルトは30秒。
HELDPERIOD: (802.1X Supplicantポート)認証失敗後、Authenticatorとの通信を試みない期間(秒)。デフォルトは60秒。
MAXSTART: (802.1X Supplicantポート)EAPOL-Startパケットの最大送信回数。Supplicantポートは、EAPOL-StartパケットをMAXSTART回送信しても応答がない場合、Authenticatorが存在しておらずポート認証の必要はないと判断する。デフォルトは3回。
STARTPERIOD: (802.1X Supplicantポート)AuthenticatorにEAPOL-Startパケットを再送信する間隔(秒)。デフォルトは30秒。
USERNAME: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うユーザー名。必ずPASSWORDパラメーターと組で指定すること。本パラメーターを設定した場合、該当ポートでは、SET PORTAUTH USERNAMEコマンドで設定するグローバルなユーザー名・パスワード・暗号化方式ではなく、本コマンドで設定した値が使用される。
PASSWORD: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うパスワード。必ずUSERNAMEパラメーターと組で指定すること。METHODパラメーターにSTANDARDを指定した場合、または、METHODパラメーターを省略した場合は、6〜63文字の文字列を指定する。METHODパラメーターにOTPを指定した場合は、10〜63文字の文字列(認証サーバー上で設定したOTP Initialisation Passwordと同じ値)を指定する。本パラメーターを設定した場合、該当ポートでは、SET PORTAUTH USERNAMEコマンドで設定するグローバルなユーザー名・パスワード・暗号化方式ではなく、本コマンドで設定した値が使用される。
METHOD: (802.1X Supplicantポート)パスワード送信時の暗号化方式。STANDARD(EAP-MD5)またはOTP(One-Time Password)から選択する。OTPを指定した場合は、ENCRYPTIONパラメーターでワンタイムパスワードの生成アルゴリズムも指定する必要がある。デフォルトはSTANDARD。
ENCRYPTION: (802.1X Supplicantポート)ワンタイムパスワードの生成アルゴリズム。MD4、MD5から選択する。デフォルトはMD5。METHODパラメーターにOTPを指定した場合の必須パラメーター。
| 備考・注意事項 |
802.1X認証を有効にしたポート(Authenticator、Supplicantとも)、MACベース認証ポートでは、ポートトランキング、スパニングツリープロトコル、ポートセキュリティーを使用できない。また、Authenticatorポート、MACベース認証ポートをタグ付きに設定することはできない。
Multi-Supplicantモード(MODE=MULTI)は802.1X規格に準拠しておらず、セキュリティー上のリスクがあるため、通常はSingle-Supplicantモード(MODE=SINGLE)のまま使用すること。
MACベース認証ポートにおいて、SECUREVLANパラメーターの設定を変更しても、ポートに接続してきた SupplicantのMACアドレスの設定には反映されない。SET PORTAUTH PORT SUPPLICANTMACコマンドで、SupplicantのMACアドレスを指定して、SECUREVLANパラメーターの設定を行うことで、設定は反映される。
| 関連コマンド |
ACTIVATE PORTAUTH PORT REAUTHENTICATE
ENABLE PORTAUTH
SET PORTAUTH PORT
SET PORTAUTH PORT SUPPLICANTMAC
SHOW PORTAUTH
SHOW PORTAUTH COUNTER
SHOW PORTAUTH MULTISUPPLICANT PORT
SHOW PORTAUTH PORT
SHOW PORTAUTH TIMER
Copyright (C) 2004-2010 アライドテレシスホールディングス株式会社
PN: J613-M0249-11 Rev.J