[index] CentreCOM x600シリーズコマンドリファレンス

auth dynamic-vlan-creation

モード: インターフェースモード
カテゴリー: インターフェース / ポート認証

(config-if)# auth dynamic-vlan-creation [type {single|multi}] [rule {deny|permit}]

(config-if)# no auth dynamic-vlan-creation

対象スイッチポートでダイナミックVLANを有効にする。
no形式で実行した場合は対象スイッチポートでダイナミックVLANを無効にする。
初期設定は無効。

ダイナミックVLANが有効なポートでは、RADIUSサーバーが返してきたTunnel-Private-Group-ID属性の値をもとに、認証をパスしたSupplicantの所属VLANを動的に変更する。

パラメーター

type {single|multi} 対象ポートがMulti-Supplicantモードに設定されている場合（auth host-modeコマンドでmulti-supplicantを指定した場合）、各SupplicantへのVLAN割り当てをどのように行うかを指定する。初期設定はsingle

single ポート単位のVLAN割り当て。この設定では該当ポートで最初に認証をパスしたSupplicantの所属VLANが、その後同一ポートで認証をパスした他のSupplicantにも適用される。なお、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なる場合の動作は、ruleパラメーターで変更できる

multi Supplicant単位のVLAN割り当て。この設定ではSupplicantごとに異なるVLANを割り当てることができる。Supplicantの識別はMACアドレスによって行う

rule {deny|permit} 対象ポートがMulti-Supplicantモードに設定されており（auth host-modeコマンドでmulti-supplicantを指定した場合）、かつ、各SupplicantへのVLAN割り当てがポート単位（type single）に設定されている場合、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なっていた場合の動作を指定する。初期設定はdeny

deny 最初のSupplicantとVLANが異なる場合、および、VLANが割り当てられない場合は認証失敗とする

permit 最初のSupplicantとVLANが異なっていても認証成功とし、最初のSupplicantと同じVLANで通信を許可する

使用例

■ 対象スイッチポートでダイナミックVLANを有効にする。

awplus(config-if)# auth dynamic-vlan-creation ↓

注意・補足事項

■ 本コマンドを実行するには、あらかじめ対象スイッチポートでポート認証機能を有効にしておく必要がある（auth-mac enableコマンド、auth-web enableコマンド、dot1x port-controlコマンド）。

■ ダイナミックVLANはタグなしポートでのみ使用可能。タグ付きポートでは使用できない。

■ 対象ポートがMulti-Supplicantモードでない場合、type、ruleの両パラメーターは無効。

■ 対象ポートがMulti-Supplicantモードであっても、本コマンドでtype multiを指定している場合、ruleパラメーターは無視される。

■ ダイナミックVLANをtype multiで使用する場合、ダイナミックに割り当てるVLANのリンクステータス（show interfaceコマンドの「Link is」欄で確認可能）がつねに「UP」になるよう設定すること。具体的には、ダイナミックに割り当てるVLANをいずれかのポートに固定設定しておき、なおかつ、そのポートをリンクアップさせておく。たとえば、ダイナミックVLANでvlan10, vlan20, vlan30を割り当てる場合、ダイナミックVLANを使用するポート以外に、vlan10, vlan20, vlan30の固定設定ポートを用意し、それらのポートがリンクアップしている状態にする（タグVLANを使えば、1ポートにすべてのVLANを割り当てることも可能）。

■ type multiに設定したポート間において、ポートのリンクダウンを起こさずにSupplicantが移動する可能性がある場合は、switchport modeコマンドで該当ポートのイングレスフィルタリングを無効にすること。イングレスフィルタリングが有効だと、移動前のポートにSupplicantの情報が残るため、移動先のポートで認証を受けられない。

コマンドツリー

interface (グローバルコンフィグモード) | +- auth dynamic-vlan-creation（インターフェースモード）

`type {single\|multi}`	対象ポートがMulti-Supplicantモードに設定されている場合（auth host-modeコマンドでmulti-supplicantを指定した場合）、各SupplicantへのVLAN割り当てをどのように行うかを指定する。初期設定はsingle
	`single`	ポート単位のVLAN割り当て。この設定では該当ポートで最初に認証をパスしたSupplicantの所属VLANが、その後同一ポートで認証をパスした他のSupplicantにも適用される。なお、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なる場合の動作は、ruleパラメーターで変更できる
	`multi`	Supplicant単位のVLAN割り当て。この設定ではSupplicantごとに異なるVLANを割り当てることができる。Supplicantの識別はMACアドレスによって行う
`rule {deny\|permit}`	対象ポートがMulti-Supplicantモードに設定されており（auth host-modeコマンドでmulti-supplicantを指定した場合）、かつ、各SupplicantへのVLAN割り当てがポート単位（type single）に設定されている場合、2番目以降のSupplicantに対してRADIUSサーバーが返却してきたVLANが最初のSupplicantの所属VLANと異なっていた場合の動作を指定する。初期設定はdeny
	`deny`	最初のSupplicantとVLANが異なる場合、および、VLANが割り当てられない場合は認証失敗とする
	`permit`	最初のSupplicantとVLANが異なっていても認証成功とし、最初のSupplicantと同じVLANで通信を許可する

auth dynamic-vlan-creation

パラメーター

使用例

注意・補足事項

コマンドツリー

関連コマンド