[index] CentreCOM GS900M V2シリーズコマンドリファレンス 2.3.2

SET PORTAUTH PORT

カテゴリー：ポート認証

802.1X認証、MACベース認証、Web認証併用時 SET PORTAUTH=AUTO PORT={port-list|ALL} TYPE=AUTHENTICATOR [MODE={SINGLE|MULTI}] [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [EAPOLVERSION={1|2}] [SERVERTIMEOUT=1..600] [QUIETPERIOD=0..65535] [TXPERIOD=1..65535] [REAUTHPERIOD=1..86400] [SUPPTIMEOUT=1..600] [MAXREQ=1..10] [REAUTHENABLED={ENABLED|DISABLED}] [PIGGYBACK=DISABLED] [GUESTVLAN={vlan-name|1..4094|NONE}] [SECUREVLAN={ON|OFF}] [VLANASSIGNMENT={ENABLED|DISABLED}] [VLANASSIGNMENTTYPE={USER|PORT}] 802.1X認証 Authenticator時 SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=AUTHENTICATOR [MODE={SINGLE|MULTI}] [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [EAPOLVERSION={1|2}] [SERVERTIMEOUT=1..600] [QUIETPERIOD=0..65535] [TXPERIOD=1..65535] [REAUTHPERIOD=1..86400] [SUPPTIMEOUT=1..600] [MAXREQ=1..10] [REAUTHENABLED={ENABLED|DISABLED}] [PIGGYBACK={ENABLED|DISABLED}] [GUESTVLAN={vlan-name|1..4094|NONE}] [SECUREVLAN={ON|OFF}] [VLANASSIGNMENT={ENABLED|DISABLED}] [VLANASSIGNMENTTYPE={USER|PORT}] 802.1X認証 Supplicant時 SET PORTAUTH[=8021X] PORT={port-list|ALL} TYPE=SUPPLICANT [AUTHPERIOD=1..300] [HELDPERIOD=0..65535] [MAXSTART=1..10] [STARTPERIOD=1..60] [USERNAME=login-name] [PASSWORD=password] MACベース認証時、Web認証時 SET PORTAUTH={MACBASED|WEBBASED} PORT={port-list|ALL} TYPE=AUTHENTICATOR [MODE={SINGLE|MULTI}] [CONTROL={AUTHORISED|UNAUTHORISED|AUTO}] [QUIETPERIOD=0..65535] [REAUTHPERIOD=1..86400] [REAUTHENABLED={ENABLED|DISABLED}] [GUESTVLAN={vlan-name|1..4094|NONE}] [SECUREVLAN={ON|OFF}] [VLANASSIGNMENT={ENABLED|DISABLED}] [VLANASSIGNMENTTYPE={USER|PORT}] 認証ポートの解除 SET PORTAUTH PORT={port-list|ALL} TYPE=NONE

port-list: スイッチポート番号（1～。ハイフン、カンマを使った複数指定も可能）
login-name: ログイン名（1～63文字。英数字のみ使用可能）
password: パスワード（1～63文字。英数字のみ使用可能）
vlan-name: VLAN名

指定ポートのポート認証設定を変更する

パラメーター

PORTAUTH: 8021X(802.1X認証)、MACBASED(MACベース認証)、WEBBASED(Web認証)、AUTOから選択。AUTOを選択した場合、TYPE=AUTHENTICATOR以降のパラメーターは、MACベース認証、Web認証のパラメーター制限はPIGGYBACK無効のみで、その他のパラメーターは802.1X認証時と同様。省略時は8021Xとみなされる。ポートセキュリティー(securitymode=automatic以外)に指定したポートはMACベース認証、Web認証ポートに設定できない

PORT: 対象となるスイッチポート番号またはALL。ALLを指定した場合はすべてのスイッチポートが対象となる

TYPE: スイッチポートのタイプ（ポート認証における役割）。AUTHENTICATOR（Authenticatorポート）、SUPPLICANT（Supplicantポート）、NONE（ポート認証機能無効）のいずれかを指定する。ポートセキュリティー(securitymode=automatic以外)に指定したポートはAUTHENTICATORに設定できない。ミラーポート、トランクポート、STPポートに指定したポートはAUTHENTICATORおよびSUPPLICANTに設定できない

MODE: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Authenticatorポートのモード。Supplicantが1台だけ接続されていることを想定したSingle-Supplicantモード（MODE=SINGLE）と、Supplicantが複数台接続されていることを想定したMulti-Supplicantモード（MODE=MULTI）がある。Single-Supplicantモードでは、該当ポート配下に最初に接続されたSupplicantだけが認証対象となる。Multi-Supplicantモードでは、該当ポート配下に接続された個々のSupplicantを識別し、個別に認証を行う

EAPOLVERSION: （802.1X Authenticatorポート）EAPOLのバージョン。1はIEEE 802.1X-2001準拠モード、2はIEEE 802.1X-2004準拠モード。デフォルトは1

CONTROL: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）手動設定によるAuthenticatorポートの状態。AUTO（認証結果に応じて変動）、UNAUTHORISED（未認証固定）、AUTHORISED（認証済み固定）から選択する。デフォルトはAUTO。通常はAUTOのままでよい

SERVERTIMEOUT: （802.1X Authenticatorポート、Web認証ポート）RADIUSサーバーにAccess-Requestを送信した後、RADIUSサーバーからの応答を待つ時間（秒）。デフォルトは30秒

QUIETPERIOD: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantの認証に失敗した後、Supplicantとの通信を拒否する期間（秒）。この期間中は受信したEAPOLパケットをすべて破棄する。デフォルトは60秒。0指定時はすぐに通信を許可する

TXPERIOD: （802.1X Authenticatorポート）SupplicantにEAPOLパケットを再送信する間隔（秒）。デフォルトは30秒

REAUTHPERIOD: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantの再認証間隔（秒）。デフォルトは3600秒。Web認証の場合、自動で再認証は行わないため認証有効時間の意味となる。この時間が経過した場合、認証は切断される。デフォルトは3600秒

SUPPTIMEOUT: （802.1X Authenticatorポート）SupplicantにEAP-Requestを送信した後、Supplicantからの応答を待つ時間（秒）。デフォルトは30秒

MAXREQ: （802.1X Authenticatorポート、Web認証ポート）Supplicantに対するEAPOL-Requestパケットの最大再送回数。デフォルトは2回

REAUTHENABLED: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）Supplicantポートの再認証を行うかどうかを選択する。ENABLED（再認証を行う）またはDISABLED（再認証を行わない）から選択する。デフォルトは、ENABLED。Web認証の場合、認証切断を行うかどうかの選択の意味となる。ENABLEは認証切断を行い、DISABLEは認証切断を行わない。

PIGGYBACK: （802.1X Single-Supplicant Authenticatorポート）Single-Supplicantモード（MODE=SINGLE）において、最初に接続されたSupplicantの認証に成功した後、他のデバイスからのパケットも許可するかどうかを指定する。ENABLED（有効）またはDISABLED（無効）から選択する。デフォルトは、DISABLED。Multi-Supplicantモードにおいて、設定を行ってもエラーとはならず無視される

AUTHPERIOD: （802.1X Supplicantポート）AuthenticatorにEAP-Responseパケットを送信した後、Authenticatorからの応答を待つ時間（秒）。デフォルトは30秒

GUESTVLAN: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）ゲストVLANを指定する。VLAN名またはVLAN IDを指定する。NONEはゲストVLANを使用しないことを意味する。NONE以外を指定するとただちにゲストVLANの所属となる。認証が成功するとゲストVLANから他のVLANの所属となる。認証に失敗すると、またゲストVLANの所属となる。Multi-Supplicantモード（MODE=MULTI）かつ、VLANASSIGNMENTTYPE=PORTではNONE以外に指定できない。Single-SupplicantモードでゲストVLAN指定時、VLANASSIGNMENT=ENABLED VLANASSIGNMENTTYPE=PORTは802.1X認証以外は未サポート。デフォルトはNONE

SECUREVLAN: （802.1X Multi-Supplicant Authenticatorポート、MACベース認証 Multi-Supplicant Authenticatorポート、Web認証 Multi-Supplicant Authenticatorポート）Multi-Supplicantモード（MODE=MULTI）でダイナミックVLANを使用しているとき、2番目以降のSupplicantの認証方法を指定する。本パラメーターにONを指定した場合は、2番目以降のSupplicantは、最初に認証を通ったSupplicantと同じVLANでないと認証されない。一方、OFFを指定した場合は、認証をパスする。ただし、2番目以降のSupplicantは、実際には最初に認証をパスしたSupplicantと同じVLANの所属となる。本パラメーターは、VLANASSIGNMENTTYPE=PORTのとき、Multi-Supplicantモード（MODE=MULTI）のポートでのみ有効。デフォルトはON

VLANASSIGNMENT: （802.1X Authenticatorポート、MACベース認証ポート、Web認証ポート）ダイナミックVLANの有効/無効を選択する。有効時は、指定ポートの所属VLANを動的に変更する。Protected Port VLANに所属するポートはENABLEDに設定できない。

VLANASSIGNMENTTYPE: ダイナミックVLANをポート単位で設定するか、ユーザー(MACアドレス)単位で設定するかを指定する。デフォルトはPORT。MODE=MULTI、VLANASSIGNMENT=ENABLEDのときに有効になる。

HELDPERIOD: （802.1X Supplicantポート）認証失敗後、Authenticatorとの通信を試みない期間（秒）。デフォルトは60秒

MAXSTART: （802.1X Supplicantポート）EAPOL-Startパケットの最大送信回数。Supplicantポートは、EAPOL-StartパケットをMAXSTART回送信しても応答がない場合、ポート認証の必要はないと判断する。デフォルトは3回

STARTPERIOD: （802.1X Supplicantポート）AuthenticatorにEAPOL-Startパケットを再送信する間隔（秒）。デフォルトは30秒

USERNAME: （802.1X Supplicantポート）指定スイッチポートがSupplicantとして動作する場合に使うユーザー名。必ずPASSWORDパラメーターと組で指定すること

PASSWORD: （802.1X Supplicantポート）指定スイッチポートがSupplicantとして動作する場合に使うパスワード。必ずUSERNAMEパラメーターと組で指定すること

入力・出力・画面例

Manager > set portauth port=1-8 type=authenticator Operation successful.

例

■ ポート番号1～8をAuthenticator ポートに設定する
SET PORTAUTH PORT=1-8 TYPE=AUTHENTICATOR

備考・注意事項

ポートセキュリティーを有効に設定したポートはTYPE=AUTHENTICATORに設定できない。

トランクポート、ミラーポート、STPポートに指定したポートはTYPE=AUTHENTICATOR、TYPE=SUPPLICANTに設定できない。

ゲストVLANを使用する場合、実際にポートに適用されているVLANを確認するときは、SHOW VLANコマンドを使用する。SHOW SWITCH PORTコマンドでは、コンソールなどから設定したVLAN情報が表示される。

認証ポートの解除後、再設定をすると、解除前の設定が残る場合がある。

PORTAUTH=AUTOで認証を行った場合、通常MACベース認証で問い合わせを行い、失敗した場合802.1X認証で再度認証を行うが、Multi-SupplicantモードでSupplicantからEAP-startを受信すると802.1X認証で問い合わせを行う。

認証ポートでSupplicant MAC 透過機能、ポートセキュリティーを使ってスタティックエントリーを登録した場合、そのMACアドレスを送信元としたパケットのVIDが一致しないと認証ポートで破棄されるため、イングレスフィルタリング無効でもパケットは転送されない。

サポートSupplicant数はすべての認証メカニズムを合わせて、320/PORT、480/SWITCHである。マルチプルダイナミックVLAN使用時のサポートSupplicant数は8である。

802.1X以外の認証設定時、PORTAUTH=[802.1X以外] Mode=Single GUESTVLAN=[NONE以外] VLANASSIGNMENT=ENABLED VLANASSIGNMENTTYPE=PORTは未サポート。

PN: 613-001180 Rev.E