[index] CentreCOM 9424T コマンドリファレンス 2.11

SET PORTAUTH PORT

カテゴリー:スイッチング / ポート認証


SET PORTAUTH[={ALL|8021X|MACBASED|WEBBASED}] PORT={port-list|ALL} TYPE=AUTHENTICATOR [EAPOLVERSION={1|2}] [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [QUIETPERIOD=0..65535] [TXPERIOD=1..65535] [REAUTHPERIOD=1..65535] [SUPPTIMEOUT=1..600] [SERVERTIMEOUT=1..600] [CTRLDIRBOTH={INGRESS|BOTH}] [REAUTHENABLED={ENABLED|DISABLED}] [PIGGYBACK={ENABLED|DISABLED}] [MODE={SINGLE|MULTI}] [SUPPLIMIT=1..320] [VLANASSIGNMENT={ENABLED|DISABLED}] [SECUREVLAN={ON|OFF}] [MAXREQ=1..10] [GUESTVLAN={vlanname|1..4094|NONE}] [VLANASSIGNMENTTYPE={PORT|USER}] [REAUTHMAX=1..10] [ARPFORWARDING={ENABLED|DISABLED}] [TCPPORTFORWARDING={1..65535|ALL|NONE}] [UDPPORTFORWARDING={1..65535|ALL|NONE}] [PORTMOVEREAUTH={ENABLED|DISABLED}] [LOCKCOUNT=0..10]



[802.1X認証 Authenticator有効時]

SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=AUTHENTICATOR



[802.1X認証 Supplicant時]

SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=SUPPLICANT [AUTHPERIOD=1..300] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name] [PASSWORD=password]



[MACベース認証 有効時]

SET PORTAUTH=MACBASED PORT={port-list|ALL} TYPE=AUTHENTICATOR



[Web認証 有効時]

SET PORTAUTH=WEBBASED PORT={port-list|ALL} TYPE=AUTHENTICATOR



[認証ポートの解除]

SET PORTAUTH={8021X|MACBASED|WEBBASED|ALL} PORT={port-list|ALL} TYPE=NONE

port-list: スイッチポート番号(1〜。ハイフン、カンマを使った複数指定も可能)
login-name: ログイン名(1〜63文字。英数字のみ使用可能)
password: パスワード(1〜63文字。英数字のみ使用可能)
vlanname: VLAN名(1〜20文字。英数字とアンダースコア(_)、ハイフンを使用可能。大文字・小文字を区別しない)


指定ポートにおけるポート認証機能(802.1X認証、MACベース認証、Web認証)の設定を変更する。TYPEの設定は認証メカニズムごとに設定できる。それ以外のパラメーターは全認証メカニズムで共通の値となる。



パラメーター

PORTAUTH: 認証メカニズム。8021X(802.1X認証)、MACBASED(MACベース認証)、WEBBASED(Web認証)、ALLから選択する。省略時は8021Xと見なされる。複数設定も可能

PORT: スイッチポート。複数指定が可能。

TYPE: スイッチポートの役割。AUTHENTICATOR(802.1X認証のAuthenticatorポート、MACベース認証ポート、Web認証ポート)、SUPPLICANT(802.1X認証のSupplicantポート)、NONE(ポート認証機能無効)のいずれかを指定する。

EAPOLVERSION: (802.1X Authenticator ポート)EAPOLパケットのバージョンを指定する。1はIEEE 802.1X-2001準拠モード、2はIEEE 802.1X-2004互換モード。デフォルトは1。2を設定した場合、TXPERIODとMAXREQパラメーターの設定は無効になる。

MODE: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantが1台だけ接続されていることを想定したSingle-Supplicantモード(MODE=SINGLE)と、Supplicantが複数台接続されていることを想定したMulti-Supplicantモード(MODE=MULTI)がある。Single-Supplicantモードでは、該当ポート配下に最初に接続されたSupplicantだけが認証対象となる(その他のSupplicantからの通信を許可するかどうかは、PIGGYBACKパラメーターで制御可能)。Multi-Supplicantモードでは、該当ポート配下に接続された個々のSupplicantを識別し、個別に認証を行う。802.1X AuthenticatorポートのデフォルトはSINGLE。MACベース認証ポートとWeb認証ポートでは、Multi-Supplicantモード(MODE=MULTI)のみ有効で、MODEを省略した場合は自動的にMulti-Supplicantモードとなる。

GUESTVLAN: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)ゲストVLANを指定する。ゲストVLANに指定するVLANは、認証前にルーティングさせないようにするため、L2ONLY VLAN(CREATE VLANコマンドのL2ONLYパラメーターで作成)を指定するか、L2ONLY VLANを指定しない場合はハードウェアパケットフィルターでルーティングを制限する必要がある。VLAN名またはVLAN IDを指定する。NONEはゲストVLANを使用しないことを意味する。NONE以外を指定するとただちにゲストVLANの所属となる。認証が成功するとゲストVLANから他のVLANの所属となる。認証に失敗すると、またゲストVLANの所属となる。また、ゲストVLANが指定されていた場合、Web認証でログインしてから、認証結果画面が表示されるまでに 待機時間が発生する。待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。Multi-Supplicantモード(MODE=MULTI)かつ、VLANASSIGNMENTTYPE=PORTではNONE以外に指定できない。デフォルトはNONE。

VLANASSIGNMENTTYPE: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)ダイナミックVLANをポート単位で設定するか、ユーザー(MACアドレス)単位(マルチプルダイナミックVLAN)で設定するかを指定する。 デフォルトはPORT。MODE=MULTI、VLANASSIGNMENT=ENABLEDのときに有効になる。

REAUTHMAX: (802.1X Authenticatorポート)再認証時におけるEAP-Requestパケットの最大再送回数。デフォルトは2回。

ARPFORWARDING: (Web認証ポート)未認証状態で、ARPパケットを受信したときに透過するか破棄するかを指定する。 ENABLEDは透過する、DISABLEDは破棄する。デフォルトはDISABLED。

TCPPORTFORWARDING: (Web認証ポート)未認証状態で、透過するTCPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列(1〜100文字。使用可能な文字は半角英数字、半角記号(- ,))。

UDPPORTFORWARDING: (Web認証ポート)未認証状態で、透過するUDPポートのパケットを指定する。複数指定やALL指定が可能。デフォルトはNONE。入力は文字列(1〜100文字。使用可能な文字は半角英数字、半角記号(- ,))。

PORTMOVEREAUTH: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)認証済みのSupplicantがポートを移動したときに、再度、認証を行うかを指定する。ENABLEDのときは認証を行わずに認証済みとなり、DISABLEDのときは認証を行う。デフォルトはDISABLED。

LOCKCOUNT: (Web認証ポート) Web認証において、Heldの状態になるまでの 認証の連続失敗回数を指定する。 3 を指定した場合、Web認証で、3回 ログインに失敗するとHeldの状態になる。デフォルトは3。

PIGGYBACK: (802.1X Single-Supplicant Authenticatorポート)Single-Supplicantモード(MODE=SINGLE)において、最初に接続されたSupplicantの認証に成功した後、他のデバイスからのパケットも許可するかどうかを指定する。デフォルトはDISABLE。

CONTROL: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)手動設定によるAuthenticatorポートの状態。AUTO(認証結果に応じて変動)、UNAUTHORISED(未認証固定)、AUTHORISED(認証済み固定)から選択する。デフォルトはAUTO。通常はAUTOのままでよい。

QUIETPERIOD: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantの認証に失敗した後、Supplicantとの通信を拒否する期間(秒)。この期間中は受信したパケットをすべて破棄する。デフォルトは60秒。

TXPERIOD: (802.1X Authenticatorポート)SupplicantにEAPOLパケットを再送信する間隔(秒)。デフォルトは30秒。

REAUTHPERIOD: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)Supplicantの再認証間隔(秒)。デフォルトは3600秒。

SUPPTIMEOUT: (802.1X Authenticatorポート)SupplicantにEAP-Requestパケットを送信した後、Supplicantからの応答を待つ時間(秒)。デフォルトは30秒。

SERVERTIMEOUT: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)RADIUSサーバーにAccess-Requestパケットを送信した後、RADIUSサーバーからの応答を待つ時間(秒)。デフォルトは30秒。

CTRLDIRBOTH: (802.1X Single-Supplicant Authenticatorポート)未認証状態で、送受信したブロードキャストまたはマルチキャストパケットをどう扱うか。INGRESS(未認証のクライアントから受信したパケットは廃棄するが、クライアントへの送信は行う)、または、BOTH(受信パケットも送信パケットも廃棄する)のいずれかを指定する。MODE=MULTIの場合、または、ゲストVLANを設定している場合はINGRESS固定に設定される。MODE=SINGLEの場合、または、ゲストVLANを設定していない場合に設定が有効。

REAUTHENABLED: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)802.1X AuthenticatorポートとMACベース認証ポートでは、Supplicantポートの再認証を行うかどうかを選択する。ENABLED(再認証を行う)またはDISABLED(再認証を行わない)から選択する。Web認証ポートでは、REAUTHPERIODの時間経過後に 未認証にするか、しないかを選択する。ENABLEDの場合は未認証にし、DISABLEDの場合は未認証にせず、認証を継続する。デフォルトはENABLED。

SECUREVLAN: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)Multi-Supplicantモード(MODE=MULTI)かつ、VLANASSIGNMENTTYPE=PORTでダイナミックVLANを使用しているとき、2番目以降のSupplicantの認証方法を指定する。本パラメーターにONを指定した場合は、2番目以降のSupplicantは、最初に認証を通ったSupplicantと同じVLANでないと認証されない。一方、OFFを指定した場合は、有効なVLANでありさえすれば認証をパスする。ただし、2番目以降のSupplicantは、実際には最初に認証をパスしたSupplicantと同じVLANの所属となる。デフォルトはON。

SUPPLIMIT: (802.1X Multi-Supplicant Authenticatorポート、MACベース認証ポート、Web認証ポート)Multi-Supplicantモード(MODE=MULTI)のとき、認証可能なSupplicantの最大数を指定する。デフォルトは320。

VLANASSIGNMENT: (802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート)ダイナミックVLANの有効・無効。有効時は、RADIUSサーバーが返してきたTunnel-Private-Group-IDの値をもとに、指定ポートの所属VLANを動的に変更する。また、有効時、Web認証でログインしてから、認証結果画面が表示されるまでに待機時間が発生する。 待機時間 (SET WEBAUTHSERVERコマンドのRENEWALTIME×3 + 5 )秒。デフォルトはENABLED。

MAXREQ: (802.1X Authenticatorポート)Supplicantに対するEAP-Requestパケットの最大再送回数。デフォルトは2回。

AUTHPERIOD: (802.1X Supplicantポート)AuthenticatorにEAP-Responseパケットを送信した後、Authenticatorからの応答を待つ時間(秒)。デフォルトは30秒。

HELDPERIOD: (802.1X Supplicantポート)認証失敗後、Authenticatorとの通信を試みない期間(秒)。デフォルトは60秒。

MAXSTART: (802.1X Supplicantポート)EAPOL-Startパケットの最大送信回数。Supplicantポートは、EAPOL-StartパケットをMAXSTART回送信しても応答がない場合、ポート認証の必要はないと判断する。デフォルトは3回。

STARTPERIOD: (802.1X Supplicantポート)AuthenticatorにEAPOL-Startパケットを再送信する間隔(秒)。デフォルトは30秒。

USERNAME: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うユーザー名。必ずPASSWORDパラメーターと組で指定すること。

PASSWORD: (802.1X Supplicantポート)指定スイッチポートがSupplicantとして動作する場合に使うパスワード。必ずUSERNAMEパラメーターと組で指定すること。



備考・注意事項

ポート認証に設定されたポートはVLANの設定を変更できない。先にVLANの設定を行ってから、ポート認証に関する設定を行う必要がある。

サポートSupplicant数はすべての認証メカニズムを合わせて、320/PORT、480/SWITCHである。マルチプルダイナミックVLAN使用時のサポートSupplicant数は100である。

802.1XはスタティックMACアドレスとして登録される。MACベース認証/Web認証はダイナミックMACアドレスとして登録されるため、通信がなかった場合、FDB Ageoutで認証が解除される。

Web認証設定時、Connecting状態でSupptimeout SuppAgeout(300s固定)期間中にアクセスがない場合、Supplicantは削除される。

MACベース認証はmode=singleを設定した場合、 Multi-Supplicant Mode/supplicant limit=1として実行される。その時、WARNINGメッセージが表示される。

Web認証でダイナミックVLAN有効時 かPVID以外の ゲストVLAN設定時、Login ボタンが押されてから、実際に RADIUSにAccess-Request を送信するまでに 3 秒 待機(※1) する。Authenticating の画面(<認証中1>画面)表示し、(RenewalTime×3 + 5)秒 待機(※2)後に認証結果の画面を表示する。
※1 Authenticating画面を確実に表示させるため。
※2 VLANが変更された場合に、DHCPサーバーから新たにIPアドレスを取得するため。

Web認証で SupplicantがDHCP ServerからIPアドレスを取得していて、ダイナミックVLAN 有効設定 もしくはゲストVLAN設定がされている場合は、Supplicantの認証を解除後、IPアドレスを再取得する必要がある。

TYPE以外のパラメーターは ポートごとに 全メカニズム共通で設定される。

MACベース認証がHELD以外の状態で、Web認証のLoginを行うと、認証失敗画面が表示されずに Loginが表示される。この認証の失敗は、失敗回数(lockcount)にカウントされない。

Authenticatorポートにて、Supplicantの登録がない場合、show portauth statusで Attached Supplicant(s) 情報は表示しない。

ポートをAuthenticatorポートに設定すると、同ポートで自動的にイーグレスフィルタリングが有効になり、その設定が設定ファイルに書き込まれる。Authenticatorポートではイーグレスフィルタリングが有効になっている必要があるので、イーグレスフィルタリングの設定は変更しない。

パラメーターはポートごとに管理され、認証方式ごとには設定できない。1つのポートで複数の認証メカニズムを設定した場合、いずれかの認証方式でパラメーターを設定すると、SHOW CONFIGコマンドのDYNAMICパラメーターを指定すると、各認証方式に同じ設定値が表示されるが、そのパラメーターは該当する認証方式以外では動作しない。

VLANASSIGNMENTTYPEパラメーターをUSERに設定した場合、マルチプルVLAN(Protected Ports VLAN)は併用できない。

PORTAUTH=ALL指定時、Web認証を3回失敗しても、HELD状態にならない。

SERVERTIMEOUTパラメーターの設定値が、[SET RADIUSSERVERコマンドのTIMEOUTパラメーター]×[RETRANSMITCOUNTパラメーター]を下回るとき、DEADTIMEパラメーターが機能しない。



関連コマンド

SHOW PORTAUTH
SHOW PORTAUTH PORT




(C) 2009-2010 アライドテレシスホールディングス株式会社

PN: 613-001210 Rev.C