[index] CentreCOM 9424T コマンドリファレンス 2.11

SET PORTAUTH PORT

カテゴリー：スイッチング / ポート認証

SET PORTAUTH[={ALL|8021X|MACBASED|WEBBASED}] PORT={port-list|ALL} TYPE=AUTHENTICATOR [EAPOLVERSION={1|2}] [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [QUIETPERIOD=0..65535] [TXPERIOD=1..65535] [REAUTHPERIOD=1..65535] [SUPPTIMEOUT=1..600] [SERVERTIMEOUT=1..600] [CTRLDIRBOTH={INGRESS|BOTH}] [REAUTHENABLED={ENABLED|DISABLED}] [PIGGYBACK={ENABLED|DISABLED}] [MODE={SINGLE|MULTI}] [SUPPLIMIT=1..320] [VLANASSIGNMENT={ENABLED|DISABLED}] [SECUREVLAN={ON|OFF}] [MAXREQ=1..10] [GUESTVLAN={vlanname|1..4094|NONE}] [VLANASSIGNMENTTYPE={PORT|USER}] [REAUTHMAX=1..10] [ARPFORWARDING={ENABLED|DISABLED}] [TCPPORTFORWARDING={1..65535|ALL|NONE}] [UDPPORTFORWARDING={1..65535|ALL|NONE}] [PORTMOVEREAUTH={ENABLED|DISABLED}] [LOCKCOUNT=0..10] [802.1X認証 Authenticator有効時] SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=AUTHENTICATOR [802.1X認証 Supplicant時] SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=SUPPLICANT [AUTHPERIOD=1..300] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name] [PASSWORD=password] [MACベース認証有効時] SET PORTAUTH=MACBASED PORT={port-list|ALL} TYPE=AUTHENTICATOR [Web認証有効時] SET PORTAUTH=WEBBASED PORT={port-list|ALL} TYPE=AUTHENTICATOR [認証ポートの解除] SET PORTAUTH={8021X|MACBASED|WEBBASED|ALL} PORT={port-list|ALL} TYPE=NONE

port-list: スイッチポート番号（1～。ハイフン、カンマを使った複数指定も可能）
login-name: ログイン名（1～63文字。英数字のみ使用可能）
password: パスワード（1～63文字。英数字のみ使用可能）
vlanname: VLAN名（1～20文字。英数字とアンダースコア（_）、ハイフンを使用可能。大文字・小文字を区別しない）

指定ポートにおけるポート認証機能（802.1X認証、MACベース認証、Web認証）の設定を変更する。TYPEの設定は認証メカニズムごとに設定できる。それ以外のパラメーターは全認証メカニズムで共通の値となる。

パラメーター

PORTAUTH: 認証メカニズム。8021X（802.1X認証）、MACBASED（MACベース認証）、WEBBASED（Web認証）、ALLから選択する。省略時は8021Xと見なされる。複数設定も可能

PORT: スイッチポート。複数指定が可能。

TYPE: スイッチポートの役割。AUTHENTICATOR（802.1X認証のAuthenticatorポート、MACベース認証ポート、Web認証ポート）、SUPPLICANT（802.1X認証のSupplicantポート）、NONE（ポート認証機能無効）のいずれかを指定する。

EAPOLVERSION: （802.1X Authenticator ポート）EAPOLパケットのバージョンを指定する。1はIEEE 802.1X-2001準拠モード、2はIEEE 802.1X-2004互換モード。デフォルトは1。2を設定した場合、TXPERIODとMAXREQパラメーターの設定は無効になる。

MODE: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantが1台だけ接続されていることを想定したSingle-Supplicantモード（MODE=SINGLE）と、Supplicantが複数台接続されていることを想定したMulti-Supplicantモード（MODE=MULTI）がある。Single-Supplicantモードでは、該当ポート配下に最初に接続されたSupplicantだけが認証対象となる（その他のSupplicantからの通信を許可するかどうかは、PIGGYBACKパラメーターで制御可能）。Multi-Supplicantモードでは、該当ポート配下に接続された個々のSupplicantを識別し、個別に認証を行う。802.1X AuthenticatorポートのデフォルトはSINGLE。MACベース認証ポートとWeb認証ポートでは、Multi-Supplicantモード(MODE=MULTI)のみ有効で、MODEを省略した場合は自動的にMulti-Supplicantモードとなる。

GUESTVLAN: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）ゲストVLANを指定する。ゲストVLANに指定するVLANは、認証前にルーティングさせないようにするため、L2ONLY VLAN（CREATE VLANコマンドのL2ONLYパラメーターで作成）を指定するか、L2ONLY VLANを指定しない場合はハードウェアパケットフィルターでルーティングを制限する必要がある。VLAN名またはVLAN IDを指定する。NONEはゲストVLANを使用しないことを意味する。NONE以外を指定するとただちにゲストVLANの所属となる。認証が成功するとゲストVLANから他のVLANの所属となる。認証に失敗すると、またゲストVLANの所属となる。また、ゲストVLANが指定されていた場合、Web認証でログインしてから、認証結果画面が表示されるまでに待機時間が発生する。待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。Multi-Supplicantモード(MODE=MULTI)かつ、VLANASSIGNMENTTYPE=PORTではNONE以外に指定できない。デフォルトはNONE。

VLANASSIGNMENTTYPE: （802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート）ダイナミックVLANをポート単位で設定するか、ユーザー(MACアドレス)単位（マルチプルダイナミックVLAN）で設定するかを指定する。デフォルトはPORT。MODE=MULTI、VLANASSIGNMENT=ENABLEDのときに有効になる。

REAUTHMAX: （802.1X Authenticatorポート）再認証時におけるEAP-Requestパケットの最大再送回数。デフォルトは2回。

ARPFORWARDING: （Web認証ポート）未認証状態で、ARPパケットを受信したときに透過するか破棄するかを指定する。 ENABLEDは透過する、DISABLEDは破棄する。デフォルトはDISABLED。

TCPPORTFORWARDING: （Web認証ポート）未認証状態で、透過するTCPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列(1～100文字。使用可能な文字は半角英数字、半角記号（- ,）)。

UDPPORTFORWARDING: （Web認証ポート）未認証状態で、透過するUDPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列（1～100文字。使用可能な文字は半角英数字、半角記号（- ,））。

PORTMOVEREAUTH: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）認証済みのSupplicantがポートを移動したときに、再度、認証を行うかを指定する。ENABLEDのときは認証を行わずに認証済みとなり、DISABLEDのときは認証を行う。デフォルトはDISABLED。

LOCKCOUNT: （Web認証ポート） Web認証において、Heldの状態になるまでの認証の連続失敗回数を指定する。 3 を指定した場合、Web認証で、3回ログインに失敗するとHeldの状態になる。デフォルトは3。

PIGGYBACK: （802.1X Single-Supplicant Authenticatorポート）Single-Supplicantモード（MODE=SINGLE）において、最初に接続されたSupplicantの認証に成功した後、他のデバイスからのパケットも許可するかどうかを指定する。デフォルトはDISABLE。

CONTROL: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）手動設定によるAuthenticatorポートの状態。AUTO（認証結果に応じて変動）、UNAUTHORISED（未認証固定）、AUTHORISED（認証済み固定）から選択する。デフォルトはAUTO。通常はAUTOのままでよい。

QUIETPERIOD: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantの認証に失敗した後、Supplicantとの通信を拒否する期間（秒）。この期間中は受信したパケットをすべて破棄する。デフォルトは60秒。

TXPERIOD: （802.1X Authenticatorポート）SupplicantにEAPOLパケットを再送信する間隔（秒）。デフォルトは30秒。

REAUTHPERIOD: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantの再認証間隔（秒）。デフォルトは3600秒。

SUPPTIMEOUT: （802.1X Authenticatorポート）SupplicantにEAP-Requestパケットを送信した後、Supplicantからの応答を待つ時間（秒）。デフォルトは30秒。

SERVERTIMEOUT: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）RADIUSサーバーにAccess-Requestパケットを送信した後、RADIUSサーバーからの応答を待つ時間（秒）。デフォルトは30秒。

CTRLDIRBOTH: （802.1X Single-Supplicant Authenticatorポート）未認証状態で、送受信したブロードキャストまたはマルチキャストパケットをどう扱うか。INGRESS（未認証のクライアントから受信したパケットは廃棄するが、クライアントへの送信は行う）、または、BOTH（受信パケットも送信パケットも廃棄する）のいずれかを指定する。MODE=MULTIの場合、または、ゲストVLANを設定している場合はINGRESS固定に設定される。MODE=SINGLEの場合、または、ゲストVLANを設定していない場合に設定が有効。

REAUTHENABLED: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）802.1X AuthenticatorポートとMACベース認証ポートでは、Supplicantポートの再認証を行うかどうかを選択する。ENABLED（再認証を行う）またはDISABLED（再認証を行わない）から選択する。Web認証ポートでは、REAUTHPERIODの時間経過後に未認証にするか、しないかを選択する。ENABLEDの場合は未認証にし、DISABLEDの場合は未認証にせず、認証を継続する。デフォルトはENABLED。

SECUREVLAN: （802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート）Multi-Supplicantモード（MODE=MULTI）かつ、VLANASSIGNMENTTYPE=PORTでダイナミックVLANを使用しているとき、2番目以降のSupplicantの認証方法を指定する。本パラメーターにONを指定した場合は、2番目以降のSupplicantは、最初に認証を通ったSupplicantと同じVLANでないと認証されない。一方、OFFを指定した場合は、有効なVLANでありさえすれば認証をパスする。ただし、2番目以降のSupplicantは、実際には最初に認証をパスしたSupplicantと同じVLANの所属となる。デフォルトはON。

SUPPLIMIT: （802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート）Multi-Supplicantモード（MODE=MULTI）のとき、認証可能なSupplicantの最大数を指定する。デフォルトは320。

VLANASSIGNMENT: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）ダイナミックVLANの有効・無効。有効時は、RADIUSサーバーが返してきたTunnel-Private-Group-IDの値をもとに、指定ポートの所属VLANを動的に変更する。また、有効時、Web認証でログインしてから、認証結果画面が表示されるまでに待機時間が発生する。待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。デフォルトはENABLED。

MAXREQ: （802.1X Authenticatorポート）Supplicantに対するEAP-Requestパケットの最大再送回数。デフォルトは2回。

AUTHPERIOD: （802.1X Supplicantポート）AuthenticatorにEAP-Responseパケットを送信した後、Authenticatorからの応答を待つ時間（秒）。デフォルトは30秒。

HELDPERIOD: （802.1X Supplicantポート）認証失敗後、Authenticatorとの通信を試みない期間（秒）。デフォルトは60秒。

MAXSTART: （802.1X Supplicantポート）EAPOL-Startパケットの最大送信回数。Supplicantポートは、EAPOL-StartパケットをMAXSTART回送信しても応答がない場合、ポート認証の必要はないと判断する。デフォルトは3回。

STARTPERIOD: （802.1X Supplicantポート）AuthenticatorにEAPOL-Startパケットを再送信する間隔（秒）。デフォルトは30秒。

USERNAME: （802.1X Supplicantポート）指定スイッチポートがSupplicantとして動作する場合に使うユーザー名。必ずPASSWORDパラメーターと組で指定すること。

PASSWORD: （802.1X Supplicantポート）指定スイッチポートがSupplicantとして動作する場合に使うパスワード。必ずUSERNAMEパラメーターと組で指定すること。

備考・注意事項

ポート認証に設定されたポートはVLANの設定を変更できない。先にVLANの設定を行ってから、ポート認証に関する設定を行う必要がある。

サポートSupplicant数はすべての認証メカニズムを合わせて、320/PORT、480/SWITCHである。マルチプルダイナミックVLAN使用時のサポートSupplicant数は100である。

802.1XはスタティックMACアドレスとして登録される。MACベース認証/Web認証はダイナミックMACアドレスとして登録されるため、通信がなかった場合、FDB Ageoutで認証が解除される。

Web認証設定時、Connecting状態でSupptimeout SuppAgeout(300s固定)期間中にアクセスがない場合、Supplicantは削除される。

MACベース認証はmode=singleを設定した場合、 Multi-Supplicant Mode/supplicant limit=1として実行される。その時、WARNINGメッセージが表示される。

Web認証でダイナミックVLAN有効時かPVID以外のゲストVLAN設定時、Login ボタンが押されてから、実際に RADIUSにAccess-Request を送信するまでに 3 秒待機(※1) する。Authenticating の画面(<認証中1>画面)表示し、(RenewalTime×3 + 5)秒待機(※2)後に認証結果の画面を表示する。
※1 Authenticating画面を確実に表示させるため。
※2 VLANが変更された場合に、DHCPサーバーから新たにIPアドレスを取得するため。

Web認証で SupplicantがDHCP ServerからIPアドレスを取得していて、ダイナミックVLAN 有効設定もしくはゲストVLAN設定がされている場合は、Supplicantの認証を解除後、IPアドレスを再取得する必要がある。

TYPE以外のパラメーターはポートごとに全メカニズム共通で設定される。

MACベース認証がHELD以外の状態で、Web認証のLoginを行うと、認証失敗画面が表示されずに Loginが表示される。この認証の失敗は、失敗回数(lockcount)にカウントされない。

Authenticatorポートにて、Supplicantの登録がない場合、show portauth statusで Attached Supplicant(s) 情報は表示しない。

ポートをAuthenticatorポートに設定すると、同ポートで自動的にイーグレスフィルタリングが有効になり、その設定が設定ファイルに書き込まれる。Authenticatorポートではイーグレスフィルタリングが有効になっている必要があるので、イーグレスフィルタリングの設定は変更しない。

パラメーターはポートごとに管理され、認証方式ごとには設定できない。1つのポートで複数の認証メカニズムを設定した場合、いずれかの認証方式でパラメーターを設定すると、SHOW CONFIGコマンドのDYNAMICパラメーターを指定すると、各認証方式に同じ設定値が表示されるが、そのパラメーターは該当する認証方式以外では動作しない。

VLANASSIGNMENTTYPEパラメーターをUSERに設定した場合、マルチプルVLAN（Protected Ports VLAN）は併用できない。

PORTAUTH=ALL指定時、Web認証を3回失敗しても、HELD状態にならない。

SERVERTIMEOUTパラメーターの設定値が、［SET RADIUSSERVERコマンドのTIMEOUTパラメーター］×［RETRANSMITCOUNTパラメーター］を下回るとき、DEADTIMEパラメーターが機能しない。

関連コマンド

SHOW PORTAUTH
SHOW PORTAUTH PORT

PN: 613-001210 Rev.C