[index] CentreCOM x610シリーズ コマンドリファレンス 5.4.1

インターフェース / ポート認証

  - 概要
   - 認証方式
    - 認証方式の併用
   - ホストモード
  - 基本設定
   - 802.1X認証
   - MACベース認証
   - Web認証
    - Web認証Supplicant側の操作
  - 応用設定
   - スイッチポートごとの詳細設定
    - 全認証方式共通の設定項目
    - 認証方式ごとの設定項目
    - Supplicantごとの設定項目
   - ダイナミックVLAN
   - ゲストVLAN
   - L3モード エンハンスト ゲストVLAN
   - Auth-fail VLAN
   - ローミング認証
   - Web認証サーバーの詳細設定
   - Web認証用DHCPサーバー
   - Web認証画面のカスタマイズ
    - 編集対象ファイルの準備
    - ファイルの編集
    - 編集済みファイルの配置（アップロード）
    - カスタマイズのとりやめ（初期状態への復帰）
   - アカウンティング（利用記録）
   - RADIUSサーバーの設定項目
    - 802.1X認証
    - MACベース認証
    - Web認証
    - ダイナミックVLAN（各認証方式共通）
  - EAP透過機能
  - 設定や状態の確認

• Authenticator（認証者）
  ポートに接続してきたSupplicant（クライアント）を認証する機器またはソフトウェア。認証に成功した場合はポート経由の通信を許可、失敗した場合はポート経由の通信を拒否する。認証処理そのものは、認証サーバー（RADIUSサーバー）に依頼する（Supplicantの情報を認証サーバーに中継して、認証結果（成功・失敗）を受け取る）。
  
  • 802.1X認証ではEAPメッセージの交換によってSupplicantを認証する（ユーザー認証）。
    
  • MACベース認証ではSupplicantのMACアドレスによって認証を行う（機器認証）。
    
  • Web認証ではSupplicant上のWebブラウザーからユーザー名とパスワードを入力することで認証を行う（ユーザー認証）。
    
  
  
• 認証サーバー（RADIUSサーバー）
  Authenticatorの要求に応じて、Supplicantを認証する機器またはソフトウェア。ユーザー名、パスワード、MACアドレス、所属VLANなどの認証情報を一元管理している。Authenticatorとの間の認証情報の受け渡しにはRADIUSプロトコルを用いる。
  
  
• Supplicant（クライアント）
  ポートへの接続時にAuthenticatorから認証を受ける機器またはソフトウェア。802.1Xの認証を受けるためには、802.1X Supplicantの機能を備えている必要がある。802.1X Supplicant機能は、一部のOSに標準装備されているほか、単体のクライアントソフトウェアとして用意されていることもある。一方、MACベースの認証を受けるために特殊な機能は必要ない。Web認証を受けるためには対応するWebブラウザー（後述）が必要となる。
  認証可能なSupplicantの数はシステム全体で1024。ポートあたりの制限はなし（1ポートで1024台のSupplicantを認証することも可能）。
  ただし、マルチプルダイナミックVLAN使用時は、サポートSupplicant数が100に制限される。
  

• IEEE 802.1X認証（以下、802.1X認証）
  802.1X認証は、EAP（Extensible Authentication Protocol）というプロトコルを使って、おもにユーザー単位で認証を行う仕組み。802.1X認証を利用するには、認証する側（Authenticator）と認証される側（Supplicant）の両方が802.1Xに対応している必要がある。本製品の802.1X認証モジュールが現在サポートしているEAP認証方式は次のとおり。
  
  
  • EAP-MD5
    
  • EAP-TLS
    
  • EAP-TTLS
    
  • EAP-PEAP
    
  
  
• MACアドレスベース認証（以下、MACベース認証）
  MACベース認証は、機器のMACアドレスに基づいて機器単位で認証を行う仕組み。Supplicant側に特殊な機能を必要としないため、802.1X認証の環境に802.1X非対応の機器（例：ネットワークプリンター）を接続したい場合などに利用できる。
  
  
• Web認証
  Web認証は、接続機器上のWebブラウザーからユーザー名とパスワードを入力することによって、ユーザー単位で認証を行う仕組み。Web認証では、Supplicant側に下記の対応Webブラウザーが必要。
  
  
  • Internet Explorer 6.0以降（Windows）
    
  • Firefox 2.0以降（Windows/Mac OS X/Linux/Unix）
    
  • Safari 2.0以降（Mac OS X）
    
  • Netscape 7.0以降（Linux/Unix）
    
  
  Web認証サーバー・Webブラウザー間の通信方式としては、HTTPとHTTPSに対応している。Web認証サーバーがサポートしているプロトコルバージョンは次のとおり。
  
  
  • HTTP 1.0/1.1、SSL 2.0/3.0、TLS 1.0
    
  
  なお、Web認証ではHTTP/HTTPSを使って認証を行う関係上、認証前であってもAuthenticator・Supplicant間でIPの通信ができる必要がある。通常これはWeb認証用DHCPサーバー機能、またはDHCPサーバー機能を使ってSupplicantに一時的なIP設定情報を供給することで実現する。
  

• 認証順序は、MACベース認証 → 802.1X認証/Web認証
  詳しくは次のとおり
  
  
  1. MACベース認証を実施
     
     • 任意のパケットを受信したら、その送信元MACアドレスをユーザー名およびパスワードとして、RADIUSサーバーに認証を要求
       
     • 認証成功なら該当Supplicantに通信を許可（認証プロセス完了）
       
     • 認証失敗なら次の認証方式に進む
       
     
     

     Note - MACベース認証とWeb認証を併用しているポートでは、ARP、DHCP、DNS、HTTP、HTTPSのいずれかのパケットを受信したときだけMACベース認証が開始されます。

     
     
  2. 802.1X認証かWeb認証のどちらか先に開始されたほうで認証を実施
     
     • 認証成功なら該当Supplicantに通信を許可（認証プロセス完了）
       
     • 認証失敗なら該当Supplicantの通信を拒否（認証プロセス完了）
       
  
  
• 再認証は、認証に成功した方式で行う
  
  
• どのホストモード（auth host-modeコマンド。詳細は後述）でも認証方式の併用が可能。ただし、認証方式併用時、パケット転送動作はin固定となる（dot1x control-directionコマンド）
  
  
• MACベース認証と他の方式（802.1X認証かWeb認証）を併用している場合、MACベース認証に失敗しても、他の方式で認証失敗しないかぎり認証失敗後の待機状態にはならない
  
  
• 認証方式ごとに異なるRADIUSサーバーを使用するような設定も可能（詳細は「運用・管理」の「RADIUSクライアント」を参照）
  

• Single-Hostモード（単一ホストモード）
  1ポートあたり1台のみ通信を許可するモード。最初に認証をパスしたSupplicantだけに通信を許可する
  
  
• Multi-Hostモード（複数ホスト相乗りモード）
  1ポートあたり複数台の通信を許可するモード。最初のSupplicantが認証をパスすると、その後に接続したSupplicantは認証を行うことなく通信できる。Multi-HostモードでダイナミックVLANを利用する場合、2番目以降のSupplicantは認証を経ず、結果的に個別の VLAN IDを割り当てられないため、最初のSupplicantのVLANがそれ以降に接続した他のSupplicantにも適用されることとなる
  
  
• Multi-Supplicantモード（複数ホスト個別認証モード）
  1ポートあたり複数台の通信を許可するモード。個々のSupplicantをMACアドレスで識別し、個別に認証を行うことで1台ずつ通信の許可・拒否を決定する。Multi-SupplicantモードでダイナミックVLANを利用する場合はさらに、個々のSupplicantに個別のVLANを割り当てるか、最初のSupplicantのVLANをそれ以降に接続した他のSupplicantにも適用するかの設定も可能。後者の場合、2番目以降のSupplicantのVLAN属性が最初のSupplicantのそれと異なる場合、初期設定では認証失敗となるが、設定を変更することにより認証成功として最初のSupplicantと同じVLANを割り当てることもできる（これらの設定はauth dynamic-vlan-creationコマンドのtype、ruleパラメーターで行う）
  

1. 認証サーバーの準備（ユーザー・機器情報の登録など）
   ポート認証では、いずれの認証方式でも実際の認証をRADIUSサーバーに依頼するため、あらかじめRADIUSサーバーを用意し、ユーザー情報や機器情報（MACアドレス）を登録しておいてください。どのような情報を登録すべきかは、本解説編の「RADIUSサーバーの設定項目」のセクションで説明しています。
   小規模なネットワーク環境において本製品内蔵のローカルRADIUSサーバーを利用する場合は、「運用・管理」の「RADIUSサーバー」を参照して、ローカルRADIUSサーバーの設定を済ませておいてください。
   
   
2. RADIUSクライアント機能の設定（認証サーバーの登録など）
   ポート認証システムにおいて本製品はAuthenticatorとして動作しますが、認証サーバー（RADIUSサーバー）とのやりとりにおいては、本製品はRADIUSクライアント（NAS = Network Access Server）としてふるまいます。そのため、最初にRADIUSクライアントとしての設定を行います。詳しくは「運用・管理」の「RADIUSクライアント」をご覧ください。
   
   
3. ポート認証機能の設定
   ポート認証機能をシステム全体で有効化し、さらに各スイッチポートでもポート認証を有効化します。動作パラメーターの調整はおもにスイッチポートごとに行います。
   

• すべてのポートがvlan1（デフォルトVLAN）に所属
  
• vlan1にはIPアドレス172.16.10.1/24を設定
  
• 外部のRADIUSサーバーを使用
  
  • ポート1.0.1に接続
    
  • IPアドレス：172.16.10.2
    
  • 共有パスワード：himitsu
    
• ポート1.0.2〜1.0.8でポート認証を行う
  
  • 各ポートでは1台の機器にだけ通信を許可する（Single-Hostモード）
    
  • ダイナミックVLAN・ゲストVLANは使用しない
    

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. システム全体で802.1X認証機能を有効にします。
   

   awplus(config)# aaa authentication dot1x default group radius ↓

   
   
4. ポート1.0.2〜1.0.8で802.1X認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# dot1x port-control auto ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートでは802.1X認証を使用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートで802.1X認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. システム全体でMACベース認証機能を有効にします。
   

   awplus(config)# aaa authentication auth-mac default group radius ↓

   
   
4. ポート1.0.2〜1.0.8でMACベース認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth-mac enable ↓ awplus(config-if)# end ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではMACベース認証を使用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートでMACベース認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

1. RADIUSサーバーとの通信はUDP/IPを用いて行われるため、まずは本製品にIPアドレスを設定します。
   

   awplus(config)# interface vlan1 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓

   
   

   Note - ここではRADIUSサーバーがvlan1上にあるものと仮定しています。他のVLAN上にあるときは、RADIUSサーバーまでの経路を適切に設定してください。

   
   
2. 使用するRADIUSサーバーのIPアドレスと共有パスワードを登録します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
3. Web認証では、Webブラウザーで本製品にアクセスして認証を受けるため、Supplicantは認証前でもIPアドレスが必要です。ここでは、本製品のDHCPサーバー機能を利用して、認証前のSupplicantにIPアドレスを割り当てます。なお、本例ではダイナミックVLANを使用しないため、認証後も同じIPアドレスを使い続ける前提で以下の設定をしています。
   

   awplus(config)# ip dhcp pool webauth ↓ awplus(dhcp-config)# network 172.16.10.0/24 ↓ awplus(dhcp-config)# range 172.16.10.200 172.16.10.240 ↓ awplus(dhcp-config)# default-router 172.16.10.1 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# service dhcp-server ↓

   
   
4. システム全体でWeb認証機能を有効にします。
   

   awplus(config)# aaa authentication auth-web default group radius ↓

   
   
5. ポート1.0.2〜1.0.8でWeb認証を行うよう設定します。
   

   awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth-web enable ↓ awplus(config-if)# end ↓

   
   

   Note - 認証機能の有効なポートでは認証成功時にスパニングツリープロトコルのトポロジーチェンジが発生します。これを回避するには、spanning-tree edgeportコマンドを実行して、該当ポートをエッジポートに設定しておきます。

Note - プライベートVLANの所属ポート、ポートセキュリティーが有効なポートではWeb認証を使用できません。

Note - トランクグループ上では、個別メンバーポートのリンクダウンではなく、トランクグループ全体（saX、poXインターフェース）のリンクダウンによって認証が解除されます。また、トランクグループ上では、リンクアップしているメンバーポートが増えたときにも認証が解除されます（たとえば、トランクグループ内で2ポートUp、2ポートDownの状態から3ポートUp、1ポートDownの状態になると認証が解除される）。

Note - タグ付きポートでWeb認証を使用するときは、ホストモード（auth host-modeコマンドで設定）をMulti-Supplicantモードに設定してください。また、タグ付きポートではダイナミックVLAN、ゲストVLANを使用できません。

Note - 使用できるPCLエントリーがわずかの時にWeb認証ポートがリンクアップへと推移すると、Web認証はセキュリティーの適用に失敗します。

Note - Web認証に使用するインターフェースと、認証を行う端末の間ではルーティングを行わないでください。ルーティングを行い認証をした場合、正常に認証処理ができなくなります。

Note - 初期状態で有効になっているHTTPリダイレクト機能（auth-web-server http-redirectコマンド）により、10.10.10.1、172.16.20.1など、本製品経由でルーティングされるアドレスを指定した場合も、ブラウザーが172.16.10.1にリダイレクトされます。

Note - Internet Explorerのバージョンによっては、HTTPS経由でWeb認証サーバーにアクセスしてから認証ページが表示されるまでに十数秒を要する場合があります。

• Login Failed! Could not authenticate. Please check Username & Password.
  （ユーザー名・パスワードが正しくありません）
  
  
• Login Failed! Could not start authentication. Please try later.
  （前回認証に失敗したなどの理由で、現在一時的に認証できない状態にあります。後ほど再試行してください）
  
  
• Login Failed! Could not authenticate.
  （このポートは「未認証」固定に設定されているため、認証を受けられません）
  

Note - Supplicantが存在するスイッチポートに対し、以下のコマンドを使ってポート認証機能の設定変更を行うと、該当ポート上のSupplicantの情報がいったんすべて削除されます。

表 1

設定項目	設定コマンド			説明
	802.1X認証	MACベース認証	Web認証
クリティカルポート	auth critical			すべてのRADIUSサーバーが無応答だった場合（認証期間中にすべてのRADIUSサーバーがDead状態になった場合）、通常のポートでは認証失敗となるが、クリティカルポートとして設定したポートでは認証成功となる
ダイナミックVLAN	auth dynamic-vlan-creation			ダイナミックVLANを有効にしたポートでは、認証をパスしたSupplicantを特定のVLANに動的に割り当てる。どのVLANに割り当てるかは、RADIUSサーバーから返された情報にしたがう。詳細は後述
ゲストVLAN	auth guest-vlan			ゲストVLANを有効にしたポートでは、未認証のSupplicantをゲストVLANとして指定されたVLANに所属させる。通常、未認証時はポート越えの通信ができないが、ゲストVLAN所属の未認証Supplicant間であれば未認証時でも通信が可能となる。詳細は後述
ホストモード	auth host-mode			1台のSupplicantにだけポート越えの通信を許可するか、複数のSupplicantに通信を許可するか、複数に許可する場合はすべてのSupplicantを個別に認証するかどうかなどを制御する
最大Supplicant数	auth max-supplicant			複数のSupplicantに通信を許可する場合（Multi-HostモードかMulti-Supplicantモードのとき）、該当ポート配下からの通信を許可するSupplicantの最大数を指定する
再認証	auth reauthentication			再認証有効時は、認証に成功したSupplicantを定期的に再認証する（再認証の動作は認証方式によって異なる）
再認証間隔	auth timeout reauth-period			再認証有効時にSupplicantを再認証する間隔を指定する
認証失敗後の抑止期間	auth timeout quiet-period			認証に失敗した後、該当Supplicantとの通信を拒否する期間を指定する
RADIUSサーバー応答待ち時間	auth timeout server-timeout			RADIUSサーバーに要求を送信した後、RADIUSサーバーからの応答を待つ時間を指定する
Supplicant応答待ち時間	auth timeout supp-timeout			Supplicantからの応答を待つ時間を指定する
ローミング認証	auth roaming enable			ローミング認証を有効にしたポート間では、一度認証をパスしたSupplicantが再認証を受けずに自由に移動して通信を継続できる。詳細は後述
ローミング認証リンクダウン対応	auth roaming disconnected			ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で再認証が必要となるが、本オプションを有効化すれば、ポートがリンクダウンしても認証情報が保持されるため、再認証なしでのポート間移動が可能となる。詳細は後述
Auth-fail VLAN	auth auth-fail vlan			Auth-fail VLANを有効にしたポートでは、認証失敗したSupplicantをAuth-fail VLANとして指定されたVLANに所属させる

表 2

設定項目	設定コマンド			説明
	802.1X認証	MACベース認証	Web認証
認証の有効・無効	dot1x port-control	auth-mac enable	auth-web enable	対象ポートで該当する認証方式を有効・無効化する
RADIUS認証方式	なし	auth-mac method	auth-web method	MACベース認証、Web認証時、RADIUSサーバーとの間で使用する認証方式をPAP、EAP-MD5から選択する
再認証時の再学習	なし	auth-mac reauth-relearning	なし	MACベース認証で再認証を行うとき、SupplicantのMACアドレスをいったん削除して再学習するかどうかを設定する
未認証時の特定パケット転送	なし	なし	auth-web forward	Web認証時、未認証Supplicantからの特定のパケットを同一VLAN内のポートに転送するよう設定する
認証試行回数	dot1x max-auth-fail	なし	auth-web max-auth-fail	何回認証に失敗したら該当Supplicantからの認証要求を一時的に拒否するかを設定する
未認証ポートでの転送制御	dot1x control-direction	なし	なし	802.1X認証の未認証ポートにおけるパケット転送制御動作を変更する
EAPOLのバージョン	dot1x eapol-version	なし	なし	802.1X認証で使用するEAPOLのバージョンを設定する
認証時の再送回数	dot1x max-reauth-req	なし	なし	802.1X認証を行うとき、EAPOL-Requestパケットを何回まで再送するかを設定する

Note - Supplicant固有の設定は、ホストモードがSingle-HostモードかMulti-Supplicantモードの場合のみ有効です。Multi-HostモードのポートではSupplicant固有の設定を行わないでください。

Note - Supplicant固有の設定をした場合、本コマンドで指定可能なパラメーターについては、該当Supplicantに対してポートごとの設定値は使われず、本コマンドの指定値（明示的に指定しなかったパラメーターの場合は、本コマンドにおける省略時値）が使われます。

Note - スイッチポートに対し、auth supplicant-macコマンドでSupplicant固有の設定を行うと、指定したMACアドレスを持つSupplicantの情報が該当ポートからいったん削除されます。

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth-web enable ↓ awplus(config-if)# auth supplicant-mac 0000.1122.3344 port-control force-authorized ↓

Note - dot1x port-controlコマンドの設定は802.1X認証にのみ適用されますが、auth supplicant-macコマンドのport-controlパラメーターはすべての認証方式に適用されます。

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# auth supplicant-mac 0000.f4cd.cdcd reauthentication ↓

awplus(config)# interface port1.0.2-1.0.8 ↓ awplus(config-if)# no auth supplicant-mac 0000.1122.3344 ↓

Note - ダイナミックVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

表 3：Single-HostモードにおけるダイナミックVLANの動作

ポートの状態	所属VLAN		ポート越えの通信可否
未認証	ゲストVLANなし	本来のVLAN	不可
	ゲストVLANあり	ゲストVLAN	ゲストVLAN内のみ可
認証済み	VLAN通知あり	RADIUSサーバーから通知されたVLAN	制限なし
	VLAN通知なし	本来のVLAN

• 未認証（認証前、認証失敗後、および、未認証固定）ポートの動作は、ゲストVLAN（詳細は次節）の有効・無効によって異なります。
  
  
  • ゲストVLAN無効時、未認証ポートは本来のVLAN所属となります。ポート越えの通信は不可能です。
    
    
  • ゲストVLAN有効時、未認証ポートはゲストVLAN所属となります。ゲストVLANと同一のVLAN内にかぎり、ポート越えの通信（スイッチング）が可能です。
    
  
  
• RADIUSサーバーからのAccess-Acceptメッセージで有効なVLAN（製品上に登録されているVLAN）の情報が返ってきた場合、ポートはそのVLANの所属となります。認証成功となるため、ポート越えの通信も可能です。
  
  
• RADIUSサーバーからのAccess-Acceptメッセージで無効なVLAN（製品上に登録されていないVLAN）の情報が返ってきた場合、ポート認証機能としては認証失敗となります。そのため、ポートの所属は未認証時のもの（第1項を参照）となります。
  
  
• RADIUSサーバーからのAccess-AcceptメッセージにVLANの情報が含まれていなかった場合、ポートは本来のVLAN所属となります。認証成功となるため、ポート越えの通信も可能です。
  
  
• 認証済みに固定設定されたポートは、本来のVLAN所属となります。認証済みなので、ポート越えの通信も可能です。
  
  
• 該当ポートまたはシステム全体でポート認証が無効に設定された場合、ポートは本来のVLAN所属となります。ポート認証が無効なので、ポート越えの通信に関する制限はありません。
  

• type single（ポート単位のVLAN割り当て）（初期設定）
  ダイナミックVLANの割り当てをポート単位で行います。Multi-Supplicantモードで1ポートに複数のSupplicantが接続されている場合であっても、すべてのSupplicantが同じVLANの所属になります。2台目以降のSupplicantへのVLAN割り当てルールは、auth dynamic-vlan-creationコマンドのruleパラメーターによって、次の2つから選択できます。
  
  
  • rule deny（初期設定）
    2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合、該当Supplicantは認証失敗となります。
    
    
  • rule permit
    2台目以降のSupplicantに対してRADIUSサーバーが返してきたVLANが、1台目のSupplicantと異なる場合であっても、該当Supplicantを認証成功とします。ただし、該当Supplicantの所属VLANは1台目のSupplicantと同じになります（RADIUSサーバーの返却してきたVLAN情報は無視される）。
    
  
  
• type multi（Supplicant単位のVLAN割り当て ＝ マルチプルダイナミックVLAN）
  ダイナミックVLANの割り当てをSupplicant単位（MACアドレス単位）で行います。Multi-Supplicantモードで1ポートに複数のSupplicantが接続されている場合、個々のSupplicantを別のVLANに所属させることが可能です。
  
  

  Note - type multi（マルチプルダイナミックVLAN）に設定したポートから他の認証ポート（ダイナミックVLANの有効・無効やtype設定は問わない）へ、ポートのリンクダウンを起こさずにSupplicantが移動する可能性がある場合は、Supplicantの移動に関わるすべての認証ポートでイングレスフィルタリングを無効にしてください（switchport modeコマンドのingress-filterパラメーターでdisableを指定）。イングレスフィルタリングが有効だと、移動前のポートにSupplicantの情報が残るため、移動先のポートで認証を受けられません。

• 認証済みのSupplicantがいなくなったとき
  
  
• リンクがダウンしたとき
  
  
• ポート上でポート認証が無効にされたとき
  
  
• システム上でポート認証が無効にされたとき
  

表 4

VLAN	所属ポート	割り当て方法	用途	インターフェースのIPアドレス
vlan10	1.0.1	固定	RADIUSサーバー設置	172.16.10.1/24
vlan100	(1.0.2-1.0.24)	動的（ダイナミックVLAN）	認証済みSupplicant収容	172.16.100.1/24
vlan200		動的（ダイナミックVLAN）	認証済みSupplicant収容	172.16.200.1/24
vlan240	1.0.2-1.0.24	固定	未認証Supplicant収容	172.16.240.1/24

1. VLANを作成します。
   ダイナミックVLANによってSupplicantに割り当てるVLANは、あらかじめvlanコマンドで定義しておく必要があります。
   

   awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 10 name FixedVLAN10 ↓ awplus(config-vlan)# vlan 100 name DynamicVLAN100 ↓ awplus(config-vlan)# vlan 200 name DynamicVLAN200 ↓ awplus(config-vlan)# vlan 240 name InitialFixedVLAN240 ↓ awplus(config-vlan)# exit ↓

   
   
2. 各スイッチポートをVLANに割り当てます。
   ここでは、RADIUSサーバーを収容するポート1.0.1をvlan10に、ポート認証を行う1.0.2〜1.0.24をvlan240に割り当てています。
   vlan100とvlan200はダイナミックVLAN用なので、これらのVLANにポートを固定で割り当てることはしません。
   

   awplus(config)# interface port1.0.1 ↓ awplus(config-if)# switchport access vlan 10 ↓ awplus(config-if)# exit ↓ awplus(config)# interface port1.0.2-1.0.24 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# exit ↓

   
   
3. 各VLANインターフェースにIPアドレスを設定します。
   

   awplus(config)# interface vlan10 ↓ awplus(config-if)# ip address 172.16.10.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan100 ↓ awplus(config-if)# ip address 172.16.100.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan200 ↓ awplus(config-if)# ip address 172.16.200.1/24 ↓ awplus(config-if)# exit ↓ awplus(config)# interface vlan240 ↓ awplus(config-if)# ip address 172.16.240.1/24 ↓ awplus(config-if)# exit ↓

   
   
4. RADIUSサーバーのIPアドレスと共有パスワードを指定します。
   

   awplus(config)# radius-server host 172.16.10.2 key himitsu ↓

   
   
5. Supplicantを収容するvlan100、vlan200、vlan240では、DHCPサーバー機能を使ってIPアドレスの動的割り当てを行うよう設定します。vlan240用のDHCPプールでは、リース時間を最小の20秒に設定しています。これは、ダイナミックVLANによって所属VLANが変更された場合に、クライアントのIPアドレスもすばやく変更されるようするためです。
   

   awplus(config)# ip dhcp pool DynamicVLAN100 ↓ awplus(dhcp-config)# network 172.16.100.0/24 ↓ awplus(dhcp-config)# range 172.16.100.200 172.16.100.240 ↓ awplus(dhcp-config)# default-router 172.16.100.1 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# ip dhcp pool DynamicVLAN200 ↓ awplus(dhcp-config)# network 172.16.200.0/24 ↓ awplus(dhcp-config)# range 172.16.200.200 172.16.200.240 ↓ awplus(dhcp-config)# default-router 172.16.200.1 ↓ awplus(dhcp-config)# lease 0 2 0 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# ip dhcp pool InitialFixedVLAN240 ↓ awplus(dhcp-config)# network 172.16.240.0/24 ↓ awplus(dhcp-config)# range 172.16.240.200 172.16.240.240 ↓ awplus(dhcp-config)# default-router 172.16.240.1 ↓ awplus(dhcp-config)# lease 0 0 0 20 ↓ awplus(dhcp-config)# subnet-mask 255.255.255.0 ↓ awplus(dhcp-config)# exit ↓ awplus(config)# service dhcp-server ↓

   
   
6. システム全体で802.1X認証、MACベース認証、Web認証を有効にします。
   

   awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# aaa authentication auth-mac default group radius ↓ awplus(config)# aaa authentication auth-web default group radius ↓

   
   
7. ポート1.0.2〜1.0.16で802.1X認証とWeb認証を行うよう設定します。
   
   • 802.1X認証とWeb認証を有効にします。
     

     awplus(config)# interface port1.0.2-1.0.16 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth-web enable ↓

     
     
   • ダイナミックVLANを有効にします。
     

     awplus(config-if)# auth dynamic-vlan-creation ↓

   
   
8. ポート1.0.17〜1.0.24でMACベース認証を行うよう設定します。
   
   • MACベース認証を有効にします。
     

     awplus(config)# interface port1.0.17-1.0.24 ↓ awplus(config-if)# auth-mac enable ↓

     
     
   • ダイナミックVLANを有効にします。
     

     awplus(config-if)# auth dynamic-vlan-creation ↓ awplus(config-if)# end ↓

awplus(config)# platform mac-vlan-hashing-algorithm crc16l ↓

Note - ゲストVLANはタグなしポートでのみ使用可能です。タグ付きポートでは使用できません。

Note - Multi-SupplicantモードのポートでダイナミックVLAN（ポート単位のVLAN割り当て）を使用している場合、該当ポートではゲストVLANを使用できません（「ポート単位のVLAN割り当て」とは、auth dynamic-vlan-creationコマンドで「type single」（初期設定）を設定していることを指します）。

Note - プロミスキャス/インターセプト Web認証を設定し、Web認証が有効になっているポートでは、ゲストVLANは使用できません。

• ゲストVLANなし（ダイナミックVLANなし）の場合
  
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 240 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
    
    
  • 認証成功後
    ダイナミックVLANの設定はされていないため、認証にパスした後も所属VLANは変わらずvlan240のままですが、ポート認証機能による通信上の制限はなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANなし（ダイナミックVLANあり）の場合
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100,200,240 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth dynamic-vlan-creation ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANの設定はされていないため、これらのポートに接続された未認証のSupplicantはvlan240の所属となります。これらのポートはすべて同一VLANですが、未認証のSupplicantがポートを越えて通信することはできません。
    
    
  • 認証成功後
    ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANあり（ダイナミックVLANなし）の場合
  
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 240,248 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth guest-vlan 248 ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません（認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません）。
    
    
  • 認証成功後
    ダイナミックVLANの設定はされていないため、認証にパスした後は本来のVLANであるvlan240の所属となり、ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    
  
  
• ゲストVLANあり（ダイナミックVLANあり）の場合
  

  awplus(config)# vlan database ↓ awplus(config-vlan)# vlan 100,200,240,248 ↓ awplus(config-vlan)# exit ↓ awplus(config)# aaa authentication dot1x default group radius ↓ awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# switchport access vlan 240 ↓ awplus(config-if)# dot1x port-control auto ↓ awplus(config-if)# auth guest-vlan 248 ↓ awplus(config-if)# auth dynamic-vlan-creation ↓

  
  この設定では、ポート1.0.2〜1.0.8本来の所属はvlan240です。
  
  
  • 未認証時
    ゲストVLANとしてvlan248が指定されているため、これらのポートに接続された未認証のSupplicantはvlan248の所属となります。未認証のSupplicant同士は通信できますが、vlan248以外との通信ではできません（認証済みのSupplicantはゲストVLANから抜けるため未認証Supplicantと認証済みSupplicantの間では通信できません）。
    
    
  • 認証成功後
    ダイナミックVLANの設定がされているため、認証にパスした後はダイナミックVLANによって割り当てられたVLANの所属となります。ポート認証機能による通信上の制限もなくなります（未認証のSupplicantとの通信は不可）。
    

Note - プロミスキャス/インターセプト Web認証を設定し、Web認証が有効になっているポートでは、ゲストVLANは使用できません。

Note - Auth-fail VLANへはRADIUSサーバーからAccess-Rejectを受信した場合のみアサインされ、タイムアウトによる認証失敗時はAuth-fail VLANへはアサインされません。

Note - プロミスキャス/インターセプト Web認証を設定し、Web認証が有効になっているポートでは、Auth-fail VLANは使用できません。

Note - ゲストVLANが有効になっているポートでは、Auth-fail VLANは使用できません。L3モード エンハンスト ゲストVLANが有効になっているポートでは使用できます。

Note - ダイナミックVLAN、ゲストVLANが有効化されているポートでローミング認証を使用するときは、ホストモード（auth host-modeコマンド）をMulti-Supplicantモードに設定し、ダイナミックVLANの割り当て方法を「Supplicant単位のVLAN割り当て」（auth dynamic-vlan-creationコマンドで「type multi」（マルチプルダイナミックVLAN）を指定）に設定してください。

• ローミング認証を行うポートはすべて同一の認証設定でなくてはならない。移動前と移動後のポートで認証関連の設定が異なる場合、移動先でSupplicantは再認証を受ける。
  
  
• 同一の認証設定であっても移動前と移動先のポートで所属VLANが異なる場合、移動先でSupplicantは再認証を受ける。
  
  
• MACベース認証が有効なポートから、認証が無効なポートに移動した場合、移動前のポートからSupplicantの情報が削除される。そのため、その後再び元のポートに移動したときは認証を受ける。802.1X認証、Web認証が有効なポートから、認証が無効なポートへは移動できない。
  
  
• ローミング認証はすべての認証方式で使用できるが、802.1X Supplicantによってはポート移動時に再認証が行われることがある（これは、Supplicant側のポートがリンクダウンしたとき、自ら再認証を行うSupplicantがあるため）。
  
  
• 初期設定では、ローミング認証を有効にしたポートであっても、移動前のポートがリンクダウンする場合はSupplicant情報が初期化されるため移動先で新たに認証を受ける必要があるが、リンクダウン対応オプション（auth roaming disconnectedコマンド）を有効化すれば、ポートがリンクダウンしても認証情報が保持されるため、再認証なしでのポート間移動が可能となる。
  

awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth roaming enable ↓

awplus(config)# interface port1.0.2-port1.0.8 ↓ awplus(config-if)# auth roaming disconnected ↓

Note - リンクダウン対応オプションは、トランクグループとMACベース認証ポートでは使えません。

表 5

設定項目		設定コマンド	説明
待ち受けIPアドレス		auth-web-server ipaddress	Web認証サーバーにアクセスするためのIPアドレスを1つだけに限定したい場合の設定項目。未設定時は本製品に設定されたすべてのIPアドレスで待ち受ける
HTTP用待ち受けTCPポート		auth-web-server port	Web認証サーバーのHTTPアクセス用TCPポート番号を初期値の80から変更したい場合に指定する
HTTPS（SSL）		auth-web-server ssl	通常のHTTPではなくHTTPSでアクセスを受け付けるように設定する。SSLサーバー証明書は、初期状態ではファームウェア組み込みのものが自動的に使われる。独自に取得した証明書を使いたい場合は、copyコマンドのweb-auth-https-fileキーワードを使ってインストールすること。また、インストールした証明書はリモートホストなどへコピーできないため注意すること
HTTPS用待ち受けTCPポート		auth-web-server sslport	Web認証サーバーのHTTPSアクセス用TCPポート番号を初期値の443から変更したい場合に指定する
HTTPリダイレクト		auth-web-server http-redirect	Web認証を有効化したスイッチポートにおいて、受信したHTTPリクエストをWeb認証サーバーのIPアドレスにリダイレクトする機能。初期設定で有効
セッションキープ		auth-web-server session-keep	HTTPリダイレクト機能有効時にリダイレクト前のURLを記憶しておき、Web認証成功後に記憶しておいたURLにリダイレクトさせる機能。後述する認証後リダイレクト機能と本機能の両方を設定した場合は、本機能のほうが優先される
認証後リダイレクト		auth-web-server redirect-url	Web認証成功後、あらかじめ設定しておいたURLにWebブラウザーをリダイレクトさせる機能。前述のセッションキープ機能と本機能の両方を設定している場合は、セッションキープ機能のほうが有効となる
Supplicant監視		auth-web-server ping-poll enable	認証にパスしたSupplicantの存在をPingパケットで定期的に監視し、応答がなくなったら該当Supplicantがログアウトしたと見なす機能。動作調整用に以下のパラメーターが存在する
Supplicant監視	応答時再認証タイマーリセット	auth-web-server ping-poll reauth-timer-refresh	再認証有効時、Web認証サーバーのSupplicant監視機能においてPing応答があった場合に再認証タイマーをリセットしたい場合に設定する
	Ping送信間隔	auth-web-server ping-poll interval	Pingパケットの送信間隔
	Ping応答待ち時間	auth-web-server ping-poll timeout	Pingパケットの応答待ち時間
	Supplicant不在しきい値	auth-web-server ping-poll failcount	Supplicantがいなくなったと判断するPing無応答の回数を設定する
DHCPサーバーアドレス		auth-web-server dhcp ip address	Web認証サーバーのDHCPサーバーアドレスを指定する
DHCPリース期間		auth-web-server dhcp lease	Web認証サーバーのDHCPサーバーのリース期間を指定する
プロミスキャス/インターセプト Web認証		auth-web-server mode	SupplicantからのARP/DNSメッセージをWeb認証サーバーが代理応答する。（intercept：スイッチと同一サブネットからのメッセージが対象。promiscuous：すべてのIPアドレスからのメッセージが対象。）本機能を有効にする場合はセッションキープを有効にする必要がある

1. ヘッダー
   ヘッダーの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルheader.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、ヘッダーのカスタマイズが可能です。
   
   
2. 入力フォーム
   入力フォームの見た目は、Web認証サーバーが内部に持っているHTMLデータとWeb認証サーバー上にあって外部からアクセス可能なファイルstyle.cssによって決定されます。入力フォームのHTMLデータは変更できないため文字列などの変更はできませんが、style.cssを編集して規定の場所に置くことにより、入力フォームのレイアウト（フォームパーツの配置）を変更できます。
   
   
3. 画像ファイル
   初期設定では、ヘッダーからh_glb.gif、フッターからf_logo.gifというGIF画像ファイルを参照しています。この2つの画像ファイルそのものは変更できませんが、別に用意した画像ファイルlogo.gifを規定の場所に置けば、このファイルも外部からアクセス可能になります。ヘッダー、フッターを編集して、h_glb.gif、f_logo.gifの代わりにlogo.gifを参照させることで画像ファイルの変更が可能です。
   
   
4. フッター
   フッターの見た目は、Web認証サーバー上にあって外部からアクセス可能なファイルfooter.htmlとstyle.cssによって決定されます。これらのファイルを編集して規定の場所に置くことにより、フッターのカスタマイズが可能です。
   

Note - HTML/CSSの書き方や書式、編集後の問題に関してはサポート対象外となります。あらかじめご了承ください。

• header.html
  
• footer.html
  
• style.css
  
• logo.gif
  

• http://172.16.10.1/header.html
  
• http://172.16.10.1/footer.html
  
• http://172.16.10.1/style.css
  

• style.cssでフレーム位置を変更しても、入力フォームの「User name」欄と「Password」欄を縦方向に移動することはできません。
  
  
• header.html、footer.htmlから参照できる画像ファイルは次の3つだけです。
  
  • h_glb.gif（Web認証サーバー組み込み済みのため画像の変更は不可）
    
  • f_logo.gif（Web認証サーバー組み込み済みのため画像の変更は不可）
    
  • logo.gif（追加できる唯一の画像。ファイル名は固定なので別の名前は使えない）
    
  
  
• HTML/CSSファイルの編集は、PC上で行ってください。CLIのeditコマンドでの編集はサポート対象外となりますので、ご了承ください。
  

awplus# cd flash:/ ↓ awplus# copy zmodem ↓ rz waiting to receive.**B0100000023be50 （通信ソフトウェア側でZMODEMによるファイル送信の操作を行う）

awplus# copy tftp://172.16.10.70/logo.gif flash:/ ↓

• flash:/header.html
  認証画面のヘッダー部分に、flash:/header.htmlのBODY部分を使用します。このファイルが存在しないときは、オリジナルのheader.htmlを使います。
  
  
• flash:/footer.html
  認証画面のフッター部分に、flash:/footer.htmlのBODY部分を使用します。このファイルが存在しないときは、オリジナルのfooter.htmlを使います。
  
  
• flash:/style.css
  認証画面から参照される「style.css」として、flash:/style.cssの内容を返します。このファイルが存在しないときは、オリジナルのstyle.cssを使います。
  
  
• flash:/logo.gif
  認証画面のヘッダー、フッター部分から「logo.gif」が参照された場合、flash:/logo.gifの内容を返します。このファイルが存在しないときに「logo.gif」が参照されると、Not Foundになります。
  

• flash:/header.html
  
• flash:/footer.html
  
• flash:/style.css
  
• flash:/logo.gif
  

Note - 本製品内蔵のローカルRADIUSサーバーは認証機能のみをサポートしており、アカウンティングはサポートしていません。

awplus(config)# aaa accounting dot1x default start-stop group radius ↓

awplus(config)# aaa accounting auth-mac default start-stop group radius ↓

awplus(config)# aaa accounting auth-web default start-stop group radius ↓

Note - RADIUSサーバーの詳細な設定方法については、ご使用のサーバー製品のマニュアルをご参照ください。

表 6：802.1X認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
User-Password	パスワード	ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）。EAP-TLS使用時は不要（代わりにユーザー電子証明書の用意が必要）

表 7：802.1X認証で使用する電子証明書

認証方式	各証明書のインストール先
	信頼できるルートCAの証明書	サーバー証明書と秘密鍵	ユーザー証明書と秘密鍵
PEAP	Supplicant	認証サーバー	不要
EAP-TLS	Supplicantと認証サーバー	認証サーバー	Supplicant
EAP-TTLS	Supplicant	認証サーバー	不要

表 8：MACベース認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	MACアドレス	認証対象機器のMACアドレス。初期設定では「00-00-f4-11-22-33」の形式（ハイフンあり、a〜fは小文字）だが、auth-mac usernameコマンドでハイフンの有無と大文字・小文字を変更できる）
User-Password	MACアドレス	認証対象機器のMACアドレス。User-Nameと同じ値を指定すること

表 9：Web認証で使用する照合用RADIUS属性

属性名	属性値	備考
User-Name	ユーザー名	認証対象のユーザー名（例："user1", "userB"）
User-Password	パスワード	ユーザー名に対応するパスワード（例："dbf8a9hve", "h1mi2uDa4o"）

Note - Web認証を行うユーザーのユーザー名とパスワードには、& と = と＠を使わないでください。これらの記号が含まれているとWeb認証に失敗します。本製品のRADIUSサーバー機能（ローカルRADIUSサーバー）では元々これらの記号が禁止されています（userコマンド）が、外部のRADIUSサーバーを使う場合にはご注意ください。

表 10：ダイナミックVLAN用の返却用RADIUS属性

属性名	属性値	備考
Tunnel-Type	VLAN (13)	固定値。指定方法はサーバーに依存
Tunnel-Medium-Type	IEEE-802 (6)	固定値。指定方法はサーバーに依存
Tunnel-Private-Group-ID	VLAN IDかVLAN名	認証対象のユーザーや機器が認証をパスした後に所属させるVLANのIDか名前（例：10, "sales"）

awplus(config)# dot1x eap forward ↓

awplus(config)# dot1x eap forward-untagged-vlan ↓

awplus(config)# dot1x eap forward-vlan ↓

awplus(config)# dot1x eap discard ↓

awplus# show dot1x interface port1.0.5 ↓ Authentication Info for interface port1.0.5 portEnabled: true - portControl: Auto portStatus: Authorized reAuthenticate: disabled reAuthPeriod: 3600 PAE: quietPeriod: 60 - maxReauthReq: 2 - txPeriod: 30 BE: suppTimeout: 30 - serverTimeout: 30 CD: adminControlledDirections: in KT: keyTxEnabled: false critical: disabled guestVlan: disabled dynamicVlanCreation: single-dynamic-vlan assignFailActionRule: deny hostMode: multi-supplicant maxSupplicant: 1024 dot1x: enabled protocolVersion: 1 authMac: disabled authWeb: disabled supplicantMac: none

awplus# show dot1x supplicant interface port1.0.5 ↓ Interface port1.0.5 authenticationMethod: dot1x totalSupplicantNum: 2 authorizedSupplicantNum: 2 macBasedAuthenticationSupplicantNum: 0 dot1xAuthenticationSupplicantNum: 2 webBasedAuthenticationSupplicantNum: 0 otherAuthenticationSupplicantNum: 0 Supplicant name: zein Supplicant address: 000a.7934.0b90 authenticationMethod: 802.1X portStatus: Authorized - currentId: 3 abort:F fail:F start:F timeout:F success:T PAE: state: Authenticated - portMode: Auto PAE: reAuthCount: 0 - rxRespId: 0 PAE: quietPeriod: 60 - maxReauthReq: 2 BE: state: Idle - reqCount: 0 - idFromServer: 2 CD: adminControlledDirections: in - operControlledDirections: in CD: bridgeDetected: false KR: rxKey: false KT: keyAvailable: false - keyTxEnabled: false dynamicVlanId: 100 Supplicant name: wein Supplicant address: 0000.e259.5648 authenticationMethod: 802.1X portStatus: Authorized - currentId: 7 abort:F fail:F start:F timeout:F success:T PAE: state: Authenticated - portMode: Auto PAE: reAuthCount: 0 - rxRespId: 0 PAE: quietPeriod: 60 - maxReauthReq: 2 BE: state: Idle - reqCount: 0 - idFromServer: 6 CD: adminControlledDirections: in - operControlledDirections: in CD: bridgeDetected: false KR: rxKey: false KT: keyAvailable: false - keyTxEnabled: false dynamicVlanId: 100

awplus# show dot1x supplicant interface port1.0.5 brief ↓ Interface port1.0.5 authenticationMethod: dot1x totalSupplicantNum: 2 authorizedSupplicantNum: 2 macBasedAuthenticationSupplicantNum: 0 dot1xAuthenticationSupplicantNum: 2 webBasedAuthenticationSupplicantNum: 0 otherAuthenticationSupplicantNum: 0 Interface VID Mode MAC Address Status IP Address Username =========== ==== ==== ============== ================= =============== ======== port1.0.5 100 D 000a.7934.0b90 Authenticated -- zein port1.0.5 100 D 0000.e259.5648 Authenticated -- wein

awplus# show dot1x sessionstatistics interface port1.0.5 ↓ Authentication Session Statistics for interface port1.0.5 session user name: zein session authentication method: Remote server session time: 122 secs session terminate cause: Not terminated yet session user name: wein session authentication method: Remote server session time: 149 secs session terminate cause: Not terminated yet

awplus# show auth-web-server ↓ Web authentication server Server status: enabled Server address: -- HTTP Port No: 80 Security: enabled Certification: user SSL Port No: 443 Redirect URL: -- HTTP Redirect: enabled Session keep: disabled PingPolling: disabled PingInterval: 30 Timeout: 1 FailCount: 5 ReauthTimerRefresh: disabled

(C) 2011 アライドテレシスホールディングス株式会社

PN: 613-001613 Rev.A