[index] CentreCOM 9424T/SP-E、9424Ts/XP-E コマンドリファレンス 2.4
カテゴリー:スイッチング / ポート認証
SET PORTAUTH[={ALL|8021X|MACBASED|WEBBASED}]
PORT={port-list|ALL} {TYPE|ROLE}=AUTHENTICATOR [CONTROL={AUTHORISED|UNAUTHORISED|AUTO|FORCEAUTHENTICATE|FORCEUNAUTHENTICATE}] [QUIETPERIOD=0..65535] [TXPERIOD=1..65535] [REAUTHPERIOD=1..65535] [SUPPTIMEOUT=1..600] [{SERVERTIMEOUT|SERVTIMEOUT}=1..600] [CTRLDIRBOTH={INGRESS|BOTH}] [REAUTHENABLED={ENABLED|DISABLED}] [PIGGYBACK={ENABLED|DISABLED}] [MODE={SINGLE|MULTI}] [SUPPLIMIT=1..320] [VLANASSIGNMENT={ENABLED|DISABLED}] [SECUREVLAN={ON|OFF}] [MAXREQ=1..10] [GUESTVLAN={vlanname|1..4094|NONE}] [VLANASSIGNMENTTYPE={PORT|USER}] [MAXREAUTHREQ=1..10] [ARPFORWARDING={ENABLED|DISABLED}] [TCPPORTFORWARDING={1..65535|ALL|NONE}] [UDPPORTFORWARDING={1..65535|ALL|NONE}] [PORTMOVEREAUTH={ENABLED|DISABLED}] [LOCKCOUNT=0..10]
[802.1X認証 Authenticator有効時]
SET PORTAUTH[=8021]] PORT={port-list|ALL} {TYPE|ROLE}=AUTHENTICATOR
[802.1X認証 Supplicant時]
SET PORTAUTH[=8021X] PORT={port-list|ALL} {TYPE|RULR}=SUPPLICANT [AUTHPERIOD=1..300] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name] [PASSWORD=password]
[MACベース認証 有効時]
SET PORTAUTH=MACBASED PORT={port-list|ALL} {TYPE|ROLE}=AUTHENTICATOR
[WEBベース認証 有効時]
SET PORTAUTH=WEBBASED PORT={port-list|ALL} {TYPE|ROLE}=AUTHENTICATOR
[認証ポートの解除]
SET PORTAUTH=ALL PORT={port-list|ALL} {TYPE|ROLE}=NONE
SET PORTAUTH=8021X PORT={port-list|ALL} {TYPE|ROLE}=NONE
SET PORTAUTH=MACBASED PORT={port-list|ALL} {TYPE|ROLE}=NONE
SET PORTAUTH=WEBBASED PORT={port-list|ALL} {TYPE|ROLE}=NONE
port-list: スイッチポート番号(1〜。ハイフン、カンマを使った複数指定も可能)
login-name: ログイン名(1〜63文字。英数字のみ使用可能)
password: パスワード(1〜63文字。英数字のみ使用可能)
指定ポートにおけるポート認証機能(802.1X認証、MACベース認証、Web認証)の設定を変更する。SET PORTAUTH PORTコマンドは同義。TYPEの設定は認証メカニズムごとに設定できる。それ以外のパラメーターは全認証メカニズムで共通の値となる。
| パラメーター |
PORTAUTH: 認証メカニズム。8021X(802.1X認証)、MACBASED(MACベース認証)、WEBBASED(Web認証)から選択する。省略時は8021Xと見なされる。複数設定も可能
PORT: スイッチポート。複数指定が可能。
TYPE/ROLE: スイッチポートの役割。AUTHENTICATOR(802.1X認証、MACベース認証のAuthenticatorポート、Web認証のAuthenticatorポート)、SUPPLICANT(802.1X認証のSupplicantポート)、NONE(802.1X認証機能無効)のいずれかを指定する。
MODE: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantが1台だけ接続されていることを想定したSingle-Supplicantモード(MODE=SINGLE)と、Supplicantが複数台接続されていることを想定したMulti-Supplicantモード(MODE=MULTI)がある。Single-Supplicantモードでは、該当ポート配下に最初に接続されたSupplicantだけが認証対象となる(その他のSupplicantからの通信を許可するかどうかは、PIGGYBACKパラメーターで制御可能)。Multi-Supplicantモードでは、該当ポート配下に接続された個々のSupplicantを識別し、個別に認証を行う。802.1X AuthenticatorポートのデフォルトはSINGLE。MACベース認証ポートとWeb認証ポートでは、Multi-Supplicantモード(MODE=MULTI)のみ有効で、MODEを省略した場合は自動的にMulti-Supplicantモードとなる。Ver2.3.1以前のSingle-Supplicantモード(MODE=SINGLE)と同様の動作をさせるには、MODE=MULTI SUPPLIMIT=1を指定する。また Ver2.3.1以前のファームの設定スクリプトファイルの対応で MACベース認証で Single-Supplicantモード(MODE=SINGLE)を指定した場合、Ver2.4.1では自動的に Multi-Supplicantモードの1ユーザーのみ認証可能な設定(MODE=MULTI SUPPLIMIT=1)に変更される
GUESTVLAN: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)ゲストVLANを指定する。ゲストVLANに指定するVLANは、認証前にルーティングさせないようにするため、L2ONLY VLAN(CREATE VLANコマンドで、L2ONLYパラメーターを指定して作成)でなければならない。VLAN名またはVLAN IDを指定する。NONEはゲストVLANを使用しないことを意味する。NONE以外を指定すると直ちにゲストVLANの所属となる。認証が成功するとゲストVLANから他のVLANの所属となる。認証に失敗すると、またゲストVLANの所属となる。また、ゲストVLANが指定されていた場合、Web認証でログインしてから、認証結果画面が表示されるまでに 待機時間が発生する。待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。Multi-Supplicantモード(MODE=MULTI)ではNONE以外に指定できない。デフォルトはNONE
VLANASSIGNMENTTYPE: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)ダイナミックVLANをポート単位で設定するか、ユーザー(MACアドレス)単位で設定するかを指定する。 デフォルトはPORT。MODE=MULTI、VLANASSIGNMENT=ENABLEDのときに有効になる。
REAUTHMAX: (802.1X Authenticatorポート)再認証時におけるEAPOL-Requestパケットの最大再送回数。デフォルトは2回。
ARPFORWARDING: (Web認証ポートで有効)未認証状態で、ARPパケットを受信したときに 透過するか破棄するかを指定する。 ENABLEDは透過する、DISABLEDは破棄する。デフォルトはDISABLED。
TCPPORTFORWARDING: (Web認証ポートで有効)未認証状態で、透過するTCPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列(1〜100文字。使用可能な文字は半角英数字、半角記号(- ,))
UDPPORTFORWARDING: (Web認証ポートで有効)未認証状態で、透過するUDPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列(1〜100文字。使用可能な文字は半角英数字、半角記号(- ,))
PORTMOVEREAUTH: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポートで有効)認証済みのSupplicantがポートを移動したときに、再度、認証を行うかを指定する。ENABLEDのときは認証を行わずに認証済みとなり、DISABLEDのときは認証を行う。デフォルトはDISABLED。
LOCKCOUNT: (Web認証ポートで有効) Web認証において、Heldの状態になるまでの 認証の連続失敗回数を指定する。 3 を指定した場合、Web認証で、3回 ログインに失敗するとHeldの状態になる。デフォルトは3。
PIGGYBACK: (802.1X Single-Supplicant Authenticatorポート)Single-Supplicantモード(MODE=SINGLE)において、最初に接続されたSupplicantの認証に成功した後、他のデバイスからのパケットも許可するかどうかを指定する。デフォルトはDISABLE。
CONTROL: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)手動設定によるAuthenticatorポートの状態。AUTO(認証結果に応じて変動)、UNAUTHORISED(未認証固定。FORCEUNAUTHENTICATE同じ)、AUTHORISED(認証済み固定。FORCEAUTHENTICATE同じ)から選択する。デフォルトはAUTO。通常はAUTOのままでよい。
SERVERTIMEOUT/SERVTIMEOUT: (802.1X Authenticatorポート、MACベース認証ポート)RADIUSサーバーにAccess-Requestを送信した後、RADIUSサーバーからの応答を待つ時間(秒)。デフォルトは30秒。
QUIETPERIOD: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantの認証に失敗した後、Supplicantとの通信を拒否する期間(秒)。この期間中は受信したパケットをすべて破棄する。デフォルトは60秒。
TXPERIOD: (802.1X Authenticatorポート)SupplicantにEAPOLパケットを再送信する間隔(秒)。デフォルトは30秒。
REAUTHPERIOD: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantの再認証間隔(秒)。デフォルトは3600秒。
SUPPTIMEOUT: (802.1X Authenticatorポート)SupplicantにEAP-Requestを送信した後、Supplicantからの応答を待つ時間(秒)。デフォルトは30秒。
SERVERTIMEOUT / SERVTIMEOUT: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)RADIUSサーバーにAccess-Requestを送信した後、RADIUSサーバーからの応答を待つ時間(秒)。デフォルトは30秒。
CTRLDIRBOTH: (802.1X Single-Supplicant Authenticatorポート)未認証状態で、送受信したブロードキャストまたはマルチキャストパケットをどう扱うか。INGRESS(未認証のクライアントから受信したパケットは廃棄するが、クライアントへの送信は行う)、または、BOTH(受信パケットも送信パケットも廃棄する)のいずれかを指定する。MODE=SINGLEの場合、または、ゲストVLANを設定している場合はINGRESS固定に設定される。
REAUTHENABLED: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)802.1X AuthenticatorポートとMACベース認証ポートでは、Supplicantポートの再認証を行うかどうかを選択する。ENABLED(再認証を行う)またはDISABLED(再認証を行わない)から選択する。Web認証ポートでは、REAUTHPERIODの時間経過後に 未認証にするか、しないかを選択する。ENABLEDの場合は未認証にし、DISABLEDの場合は未認証にせず、認証を継続する。デフォルトはENABLED。
SECUREVLAN: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)Multi-Supplicantモード(MODE=MULTI)かVLANASSIGNMENTTYPE=PORTでダイナミックVLANを使用しているとき、2番目以降のSupplicantの認証方法を指定する。本パラメーターにONを指定した場合は、2番目以降のSupplicantは、最初に認証を通ったSupplicantと同じVLANでないと認証されない。一方、OFFを指定した場合は、有効なVLANでありさえすれば認証をパスする。ただし、2番目以降のSupplicantは、実際には最初に認証をパスしたSupplicantと同じVLANの所属となる。デフォルトはON。
SUPPLIMIT: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)Multi-Supplicantモード(MODE=MULTI)のとき、認証可能なSupplicantの最大数を指定する。デフォルトは320。
VLANASSIGNMENT: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)ダイナミックVLANの有効・無効。有効時は、RADIUSサーバーが返してきたTunnel-Private-Group-IDの値をもとに、指定ポートの所属VLANを動的に変更する。また、有効時、Web認証でログインしてから、認証結果画面が表示されるまでに待機時間が発生する。 待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。デフォルトはENABLED。
MAXREQ: (802.1X Authenticatorポート)Supplicantに対するEAPOL-Requestパケットの最大再送回数。デフォルトは2回
AUTHPERIOD: (Supplicantポート)AuthenticatorにEAP-Responseパケットを送信した後、Authenticatorからの応答を待つ時間(秒)。デフォルトは30秒。
HELDPERIOD: (Supplicantポート)認証失敗後、Authenticatorとの通信を試みない期間(秒)。デフォルトは60秒。
MAXSTART: (802.1X Supplicantポート)EAPOL-Startパケットの最大送信回数。Supplicantポートは、EAPOL-StartパケットをMAXSTART回送信しても応答がない場合、ポート認証の必要はないと判断する。デフォルトは3回。
STARTPERIOD: (802.1X Supplicantポート)AuthenticatorにEAPOL-Startパケットを再送信する間隔(秒)。デフォルトは30秒。
USERNAME: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うユーザー名。必ずPASSWORDパラメーターと組で指定すること。
PASSWORD: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うパスワード。必ずUSERNAMEパラメーターと組で指定すること。
| 備考・注意事項 |
・TYPE/ROLEパラメーターにNONEを指定すると、指定ポートの設定をデフォルトに戻すことができるが、このとき、PORTAUTH/PORTACCESSパラメーターに認証メカニズム(802.1X/MACBASED/WEBBASED)を指定する必要はない。
・サポートサプリカント数はすべての認証メカニズムを合わせて、320/PORT、480/SWITCHである。
・認証メカニズムは同時に実行(RADIUSサーバーと通信)することはできない。1つの認証メカニズムが実行中の場合、他は待ち状態となる。
・MAC認証/Web認証と併用した場合は802.1Xも必ずMulti-Supplicantモードとなる。
・1つの認証メカニズムで認証が成功すれば、認証許可状態となる。
・MAC認証を有効にしている場合は必ずMAC認証が最初に実行される。
・802.1X/MAC認証を併用した場合、MAC認証でHELDになると同時にEAP-requestをSupplicantに送信する。
・802.1X/MAC認証は1回目のHELDでHELD状態となる。Web認証は3回連続でHELDとなった場合にHELD状態となる。HELD期間はQUIETPERIODパラメーターに依存する。HELD状態は1つの認証メカニズムで認証が成功すれば、解除される。
・802.1X/Web認証ではConnecting時に「ユーザー名」と「パスワード」を入力させるタイミングが存在する。入力されてボタンが押されるまでは他の認証アルゴリズムを実行することができる。
・802.1X/MAC認証はREAUTHPERIODパラメーターで設定した再認証間隔を過ぎると再認証を実行し、HELDになった場合、未認証状態となる。Web認証は再認証間隔を過ぎると強制的に未認証状態となる。
・802.1X/MAC認証において再認証は認証に成功した認証メカニズムに対してHELDとなった場合にのみ未認証状態となる。
・802.1XはスタティックMACアドレスとして登録される。MAC認証/Web認証はダイナミックMACアドレスとして登録されるため、通信がなかった場合、FDB Ageoutで認証が解除される。
・1つの認証メカニズムがHELD→CONNECTINGになった時、他の認証メカニズムがCONNECTINGであれば、Supplicant情報は削除される。
・認証アルゴリズムを併用し、ひとつの認証アルゴリズムで認証許可状態となった場合、その認証が解除されるまで、他の認証アルゴリズムは動作しない。
・Web認証設定時、Connecting状態でSupptimeout SuppAgeout(300s固定)期間中にアクセスがない場合、Supplicantは削除される。
・MAC認証はmode=singleを設定した場合、 Multi-Supplicant Mode/supplicant limit=1として実行される。その時、WARNINGメッセージが表示される。
・Web認証でダイナミックVLAN有効時 かPVID以外の ゲストVLAN設定時、Login ボタンが押されてから、実際に RADIUSにAccess-Request を送信するまでに 3 秒 待機(※1) する。Authenticating の画面(<認証中1>画面)表示し、(RenewalTime×3 + 5)秒 待機(※2)後に認証結果の画面を表示する。
※1 Authenticating画面を確実に表示させるため。
※2 VLANが変更された場合に、DHCPサーバーから新たにIPアドレスを取得するため。
・Web認証で SupplicantがDHCP ServerからIPアドレスを取得していて、ダイナミックVLAN 有効設定 もしくはゲストVLAN設定がされている場合は、Supplicantの認証を解除後、IPアドレスを再取得する必要がある。
・TYPE以外のパラメーターは ポートごとに 全メカニズム共通で設定される。
・MAC認証がHELD以外の状態で、Web認証のLoginを行うと、認証失敗画面が表示されずに Loginが表示される。この認証の失敗は、失敗回数(lockcount)にカウントされない。
・MAC認証/Web認証は認証成功後、FDB上のMACアドレスが Age Outなどでクリアされると、認証登録もクリアされる。
・Authenticatorポートにて、Supplicantの登録がない場合、show portauth statusで Attached Supplicant(s) 情報は表示しない。
| 関連コマンド |
SHOW PORTACCESS
SHOW PORTACCESS PORT
(C) 2006-2008 アライドテレシスホールディングス株式会社
PN: 613-000699 Rev.C