IEEE802.1X
コマンド一覧
コマンド |
コマンドの機能 |
|---|---|
dot1x access-control |
|
dot1x accounting |
|
dot1x authentication |
|
dot1x dynamic-vlan |
|
dot1x enable |
|
dot1x event |
|
dot1x ignore-address |
|
dot1x max-req |
|
dot1x max-supplicants |
|
dot1x multiple-host |
|
dot1x port-control |
|
dot1x quarantine attribute |
|
dot1x quarantine enable |
|
dot1x quarantine filter |
|
dot1x quarantine suppress-logging |
|
dot1x reauthentication |
|
dot1x supplicant-detection |
|
dot1x timeout |
|
dot1x version |
|
show dot1x interface |
|
show dot1x statistics |
|
show dot1x supplicant |
|
clear dot1x statistics |
|
clear dot1x supplicant |
注釈
本コマンドは IX-R シリーズでのみ利用できます。
認証単位の設定
- [入力形式]
- dot1x access-control { mac-based | port-based }no dot1x access-control [ mac-based | port-based ]
- [パラメータ]
mac-based ... MACアドレス単位で認証を行います。
port-based ... インタフェース単位で認証を行います。
- [説明]
dot1xの認証単位を設定します。
- [デフォルト値]
dot1x access-control mac-based
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x access-control port-basedno dot1x access-control
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
アカウンティングリストの指定
- [入力形式]
- dot1x accounting { default | LIST_NAME }no dot1x accounting
[パラメータ]
LIST_NAME ... アカウンティングリスト名
書式: 1文字以上31文字以内の空白および制御文字を含まない文字列
- [説明]
dot1xにおけるAAAネットワークアカウンティングで使用するアカウンティングリストを指定します
- [デフォルト値]
defaultアカウンティングリスト指定
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x accounting defaultdot1x accounting acct-list1no dot1x accounting
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
認証リストの指定
- [入力形式]
- dot1x authentication { default | LIST_NAME }no dot1x authentication
[パラメータ]
LIST_NAME ... 認証リスト名
書式: 1文字以上31文字以内の空白および制御文字を含まない文字列
- [説明]
dot1xにおけるAAA認証で使用する認証リストを指定します。
- [デフォルト値]
default認証リスト指定
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x authentication defaultdot1x authentication acct-list1no dot1x authentication
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
認証リストの指定
- [入力形式]
- dot1x dynamic-vlanno dot1x dynamic-vlan
- [パラメータ]
なし
- [説明]
ダイナミックVLAN機能を有効にします。
- [デフォルト値]
ダイナミックVLAN機能無効
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x dynamic-vlanno dot1x dynamic-vlan
- [ノート]
- 設定の変更を行ってもサプリカント情報は削除されません。設定後、次の認証から設定が有効となります。
IEEE802.1X機能の有効化
- [入力形式]
- dot1x enableno dot1x enable
- [パラメータ]
なし
- [説明]
IEEE802.1X機能を有効にします。
- [デフォルト値]
dot1x機能無効
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x enableno dot1x enable
- [ノート]
no dot1x enable を実行すると、該当インタフェース上のサプリカント情報は削除されます。
イベントの設定
- [入力形式]
- dot1x event failure action bridge-group FAILURE-VLAN-IDdot1x event timeout action bridge-group TIMEOUT-VLAN-IDno event failure action bridge-groupno event timeout action bridge-group
- [パラメータ]
FAILURE-VLAN-ID ... 認証失敗時に割り当てるVLAN IDを指定します。
範囲 : 1〜65535
単位 : なし
TIMEOUT-VLAN-ID ... 認証タイムアウト時に割り当てるVLAN IDを指定します。
範囲 : 1〜65535
単位 : なし
- [説明]
ダイナミックVLANの認証イベントで割り当てるVLAN IDを指定します。
- [デフォルト値]
なし
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x event failure action bridge-group 20dot1x event timeout action bridge-group 30
- [ノート]
- dot1x dynamic-vlanが設定されている場合のみ、設定が有効となります。設定の変更を行ってもサプリカント情報は削除されません。
制御対象外アドレスの設定
- [入力形式]
- dot1x ignore-address { broadcast | multicast | MAC-ADDRESS }no dot1x ignore-address { broadcast | multicast | MAC-ADDRESS }
- [パラメータ]
- broadcast ... ブロードキャストの通信を、認証結果によらず許可します。multicast ... マルチキャストの通信を、認証結果によらず許可します。MAC-ADDRESS ... MAC-ADDRESS の通信を、認証結果によらず許可します。
- [説明]
制御対象外アドレスを設定します。
- [デフォルト値]
- no dot1x ignore-address broadcastno dot1x ignore-address multicast
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x ignore-address 0:0:0:0:0:1dot1x ignore-address broadcastno dot1x ignore-address 0:0:0:0:0:1no dot1x ignore-address broadcast
- [ノート]
設定の変更を行ってもサプリカント情報は削除されません。
リクエスト再送回数の設定
- [入力形式]
- dot1x max-req NUMno dot1x max-req [ NUM ]
- [パラメータ]
NUM ... リクエストメッセージの最大再送回数
範囲: 1〜10
- [説明]
EAPOL-Requestに対して、サプリカントからの応答がない場合にEAPOL-Requestを再送する回数を指定します。
- [デフォルト値]
dot1x max-req 2
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x max-req 5no dot1x max-req
- [ノート]
設定の変更を行ってもサプリカント情報は削除されません。
最大サプリカント数の設定
- [入力形式]
- dot1x max-supplicants NUMno dot1x max-supplicants [ NUM ]
- [パラメータ]
NUM ... 最大サプリカント数
範囲: 1〜256
- [説明]
認証可能なサプリカントの最大数を設定します。
- [デフォルト値]
dot1x max-supplicants 32
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x max-supplicants 24no dot1x max-supplicants
- [ノート]
- この設定は、MACアドレス単位での認証を行う場合のみ有効です。設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
複数ホスト接続の有効化
- [入力形式]
- dot1x multiple-hostno dot1x multiple-host
- [パラメータ]
なし
- [説明]
認証されたポートへの複数のホストの接続を可能にします。
- [デフォルト値]
no dot1x multiple-host
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x multiple-hostno dot1x multiple-host
- [ノート]
- この設定は、ポート単位での認証を行う場合のみ有効です。設定の変更を行ってもサプリカント情報は削除されません。
認証動作の設定
- [入力形式]
- dot1x port-control autodot1x port-control force-authorizeddot1x port-control force-unauthorizeddot1x port-control direction { both | in }dot1x port-control suppress-logging authorizeddot1x port-control suppress-logging unauthorizedno dot1x port-control autono dot1x port-control force-authorizedno dot1x port-control force-unauthorizedno dot1x port-control direction [ both | in ]no dot1x port-control suppress-logging [ authorized | unauthorized ]
- [パラメータ]
- auto ... dot1x認証を行い、認証成功したサプリカントのみ許可します。force-authorized ... 無条件に認証成功します。force-unauthorized ... 無条件に認証失敗します。both ... Inbound, Outbound通信ともに認証結果によって制御します。in ... Inbound通信のみ認証結果によって制御します。authorized ... 認証端末のパケットログを抑止します。unauthorized ... 非認証端末のパケットログを抑止します。
- [説明]
各種認証動作の設定を行います。
- [デフォルト値]
- dot1x port-control autodot1x port-control direction bothno dot1x port-control suppress-logging authorizedno dot1x port-control suppress-logging unauthorized
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x port-control force-authorizeddot1x port-control direction indot1x port-control suppress-logging authorizedno dot1x port-control suppress-logging
- [ノート]
dot1x port-control {auto | force-authorized | force-unauthorized} の設定変更により、該当インタフェース上のサプリカント情報は削除されます。
検疫アトリビュートの設定
- [入力形式]
- dot1x quarantine attribute { filter-id | tunnel-private-group-id }no dot1x quarantine attribute
- [パラメータ]
- filter-id ... Filter-Idアトリビュートを使用しますtunnel-private-group-id ... Tunnel-Private-Group-Idアトリビュートを使用します
- [説明]
検疫で使用するRADIUSアトリビュートを指定します。
- [デフォルト値]
dot1x quarantine attribute filter-id
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x quarantine attribute tunnel-private-group-idno dot1x quarantine attribute
- [ノート]
アトリビュートを変更した場合、次の認証または再認証から変更したアトリビュートで検疫が行われます。
検疫機能の有効化
- [入力形式]
- dot1x quarantine enableno dot1x quarantine enable
- [パラメータ]
なし
- [説明]
IEEE802.1X 検疫機能を有効にします。
- [デフォルト値]
no dot1x quarantine enable
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x quarantine enableno dot1x quarantine enable
- [ノート]
- 検疫機能を使用する場合、IEEE802.1X機能も有効化(dot1x enable)する必要があります。認証単位の設定は、MACアドレス単位の認証に設定する必要があります。設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
検疫許可フィルタの設定
- [入力形式]
- dot1x quarantine filter { default | ID } ip ADDRESSdot1x quarantine filter { default | ID } ipv6 ADDRESSno dot1x quarantine filter { default | ID }
- [パラメータ]
ID ... 検疫許可フィルタID
書式: 1文字以上32文字以内の空白および制御文字を含まない文字列
default ... デフォルト検疫許可フィルタ
ADDRESS ... 許可ネットワークのアドレス
IPv4アドレス/ネットマスク 0〜32
IPv6アドレス/プレフィックス長 0〜128
any ...すべてのネットワーク
- [説明]
- 検疫の許可フィルタを設定します。RADIUSサーバーから受信する検疫アトリビュートの値(検疫許可フィルタID)に対応した許可ネットワークアドレスを指定します。
- [デフォルト値]
なし
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x quarantine filter default ip 10.1.1.0/24dot1x quarantine filter keneki ip 10.1.1.0/24dot1x quarantine filter keneki ipv6 2001:db8:100::1/64dot1x quarantine filter kikan ip anyno dot1x quarantine filter defaultno dot1x quarantine filter keneki ip
- [ノート]
- 許可ネットワークアドレスにanyを指定した場合は、すべてのネットワークアクセスが許可されます。デフォルト検疫許可フィルタを指定することにより、未設定の検疫許可フィルタIDをRADIUSサーバーから受信してもネットワークアクセス制御を行うことができます。
検疫フィルタのパケットログ抑止の設定
- [入力形式]
- dot1x quarantine suppress-logging { pass | drop }no dot1x quarantine suppress-logging [ pass | drop ]
- [パラメータ]
- pass ... 検疫フィルタの透過パケットログを抑止します。drop ... 検疫フィルタの廃棄パケットログを抑止します。
- [説明]
検疫フィルタのパケットログ抑止を設定します。
- [デフォルト値]
- no dot1x quarantine suppress-logging passno dot1x quarantine suppress-logging drop
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x quarantine suppress-logging passdot1x quarantine suppress-logging dropno dot1x quarantine suppress-logging passno dot1x quarantine suppress-logging drop
- [ノート]
- 認証端末のパケットログ抑止(dot1x port-control suppress-logging authorized)の設定にかかわらず、検疫機能のログは、このコマンドの設定により動作します。
再認証の有効化
- [入力形式]
- dot1x reauthenticationno dot1x reauthentication
- [パラメータ]
なし
- [説明]
認証したサプリカントの再認証を一定期間毎に行います。
- [デフォルト値]
dot1x reauthentication
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x reauthenticationno dot1x reauthentication
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
サプリカント検出動作の設定
- [入力形式]
- dot1x supplicant-detection { shortcut | full | disable }no dot1x supplicant-detection [ shortcut | full | disable ]
- [パラメータ]
- shortcut ... 認証済み端末からのEAP-Response/Identityに対し、Successを返します。full ... 認証済み端末からのEAP-Response/Identityに対し、再度認証を実行します。disable ... 定期的なEAP-Request/Identityの送信を停止します。
- [説明]
- インタフェースから定期的に送信されるEAP-Request/Identityの動作と、サプリカントからの応答パケット(EAP-Response/Identity)に対する動作の設定を行います。
- [デフォルト値]
dot1x supplicant-detection full
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x supplicant-detection shortcutno dot1x supplicant-detection
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
タイマー値の設定
- [入力形式]
- dot1x timeout quiet-period QUIET-PERIODdot1x timeout reauth-period { REAUTH-PERIOD | server }dot1x timeout server-timeout SERVER-TOUTdot1x timeout supp-timeout SUPP-TOUTdot1x timeout tx-period TX-PERIODdot1x timeout waiting-period WAIT-PERIODno dot1x timeout quiet-period [ QUIET-PERIOD ]no dot1x timeout reauth-period [ REAUTH-PERIOD | server ]no dot1x timeout server-timeout [ SERVER-TOUT ]no dot1x timeout supp-timeout [ SUPP-TOUT ]no dot1x timeout tx-period [ TX-PERIOD ]no dot1x timeout waiting-period [ WAIT-PERIOD ]no dot1x timeout quiet-period [ QUIET-PERIOD ]
- [パラメータ]
QUIET-PERIOD ... 認証失敗後、再度認証処理を行うまでの間隔を指定します。
範囲: 1〜65535
単位 : 秒
REAUTH-PERIOD ... 認証成功後、再度認証処理を行うまでの間隔を指定します。
範囲: 1〜65535
単位 : 秒
server ... 認証成功後、再度認証処理を行うまでの間隔を、認証サーバーがRADIUSパケット中に指定するSession-Timeoutの値とする。
SERVER-TOUT ... ルータと認証サーバー間のパケットの待ち受け許容時間を指定します。
範囲: 1〜65535
単位 : 秒
SUPP-TOUT ... EAP-Requestに対するサプリカントからの応答待ち時間を指定します。
範囲: 1〜65535
単位 : 秒
TX-PERIOD ... EAPOL-Request/Identityの送信間隔を指定します。
範囲: 1〜65535
単位 : 秒
WAIT-PERIOD ... 認証試行数が一定回数を超えた場合に認証動作を停止させる時間を指定します。
範囲: 1〜65535
単位 : 秒
- [説明]
各種タイマー値を設定します。
- [デフォルト値]
- dot1x timeout quiet-period 60dot1x timeout reauth-period 3600dot1x timeout server-timeout 30dot1x timeout supp-timeout 30dot1x timeout tx-period 35dot1x timeout waiting-period 10
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x timeout tx-period 45dot1x timeout reauth-period 7200dot1x timeout reauth-period serverno dot1x timeout reauth-period
- [ノート]
設定の変更により、該当インタフェース上のサプリカント情報は削除されます。
バージョンの設定
- [入力形式]
- dot1x version NUMno dot1x version
- [パラメータ]
NUM ... バージョン番号
範囲: 1〜2
- [説明]
dot1xプロトコルヘッダに含むバージョン番号を指定します。
- [デフォルト値]
dot1x version 2
- [実行モード]
インタフェースコンフィグモード
- [ユーザー権限]
Administrator
- [入力例]
- dot1x version 1no dot1x version
- [ノート]
設定の変更を行ってもサプリカント情報は削除されません。
インタフェース情報の表示
- [入力形式]
show dot1x interface [ INTERFACE ]
- [パラメータ]
INTERFACE ... 該当インタフェースの情報を表示します
省略時 :グローバルコンフィグモードではすべてのインタフェースインタフェースコンフィグモードでは現在のインタフェース- [説明]
- 認証設定を表示します。パラメータの INTERFACE を指定した場合は指定されたインタフェースの情報を表示します。INTERFACE を省略した場合、コマンドを実行したコンフィグモードによって表示される内容が異なります。
- [デフォルト値]
なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
show dot1x interface
- [ノート]
なし
統計情報の表示
- [入力形式]
show dot1x statistics [ INTERFACE ] [ MAC-ADDRESS ] [ detail ]
- [パラメータ]
INTERFACE ... インタフェース名
省略時 :グローバルコンフィグモードではすべてのインタフェースインタフェースコンフィグモードでは現在のインタフェースMAC-ADDRESS ... サプリカントMACアドレス
グローバルコンフィグモードではインタフェースを指定せずに MAC-ADDRESS を指定することはできません
detail ... 詳細表示
- [説明]
- 統計情報を表示します。パラメータの INTERFACE を指定した場合は指定されたインタフェースの情報を表示します。INTERFACE を省略した場合、コンフィグモードによって表示される内容が異なります。
- [デフォルト値]
なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show dot1x statisticsshow dot1x statistics GigaEthernet0.0 detail
- [ノート]
なし
サプリカント情報の表示
- [入力形式]
show dot1x supplicant [ INTERFACE ] [ MAC-ADDRESS ] [ detail ]
- [パラメータ]
INTERFACE ... インタフェース名
省略時 :グローバルコンフィグモードではすべてのインタフェースインタフェースコンフィグモードでは現在のインタフェースMAC-ADDRESS ... サプリカントMACアドレス
グローバルコンフィグモードではインタフェースを指定せずに MAC-ADDRESS を指定することはできません
detail ... 詳細表示
- [説明]
- サプリカント情報を表示します。パラメータの INTERFACE を指定した場合は指定されたインタフェースの情報を表示します。INTERFACE を省略した場合、コンフィグモードによって表示される内容が異なります。
- [デフォルト値]
なし
- [実行モード]
- EXECモードグローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
- show dot1x supplicantshow dot1x supplicant GigaEthernet0.0 detail
- [ノート]
なし
統計情報の消去
- [入力形式]
clear dot1x statistics [ INTERFACE ] [ MAC-ADDRESS ]
- [パラメータ]
INTERFACE ... インタフェース名
省略時 :グローバルコンフィグモードではすべてのインタフェースインタフェースコンフィグモードでは現在のインタフェースMAC-ADDRESS ... サプリカントMACアドレス
グローバルコンフィグモードではインタフェースを指定せずに MAC-ADDRESS を指定することはできません
detail ... 詳細表示
- [説明]
- 統計情報を消去し、初期状態に戻します。INTERFACE が省略された場合は全インタフェースの統計情報を、 INTERFACE が指定された場合はそのインタフェースの統計情報を消去します。MAC-ADDRESS が指定された場合はそのMACアドレスを持つサプリカントの統計情報を消去します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
clear dot1x statistics
- [ノート]
なし
サプリカント情報の消去
- [入力形式]
clear dot1x supplicant [ INTERFACE ] [ MAC-ADDRESS ]
- [パラメータ]
INTERFACE ... インタフェース名
省略時 :グローバルコンフィグモードではすべてのインタフェースインタフェースコンフィグモードでは現在のインタフェースMAC-ADDRESS ... サプリカントMACアドレス
グローバルコンフィグモードではインタフェースを指定せずに MAC-ADDRESS を指定することはできません
detail ... 詳細表示
- [説明]
- パラメータで指定されたサプリカントの認証情報を消去します。INTERFACE が省略された場合は全インタフェースのサプリカント情報を、 INTERFACE が指定された場合はそのインタフェースのサプリカント情報を、MAC-ADDRESS が指定された場合はそのMACアドレスのサプリカント情報を消去します。
- [デフォルト値]
なし
- [実行モード]
- グローバルコンフィグモードインタフェースコンフィグモード
- [ユーザー権限]
Administrator/Operator/Monitor
- [入力例]
clear dot1x supplicant
- [ノート]
なし
コマンド変更情報
Ver1.4 コマンド変更情報
追加コマンド一覧