ユーザが接続できる時間を定義するには、RADIUS サーバ グループ コンフィギュレーション モードで allowed-time-range コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

allowed-time-range time-range-name

no allowed-time-range

パラメータ

• time-range-name：time range コマンドで設定した時間範囲名を指定します。

コマンド モード

RADIUS サーバ グループ コンフィギュレーション モード

使用上のガイドライン

ユーザが接続できる時間を定義するには、allowed-time-range コマンドを使用します。

デフォルトに戻すには、このコマンドの no 形式を使用します。

例

次に、定期的な時間間隔を割り当てる例を示します。

switchxxxxxx(config)# time-range connection-time
switchxxxxxx(config-time-range)# periodic mon 12:00 to wed 12:00
switchxxxxxx(config-time-range)# exit
switchxxxxxx(config)# radius server group developers
switchxxxxxx(config-radser-group)# allowed-time-range connection-time
switchxxxxxx(config-radser-group)# exit
switchxxxxxx(config)# 

RADIUS アカウンティングキャッシュをクリアするには、特権 EXEC モードで clear radius server accounting コマンドを使用します。

構文

clear radius server accounting

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS アカウンティングキャッシュをクリアするには、clear radius server accounting コマンドを使用します。

例

次に、RADIUS アカウンティングキャッシュをクリアする例を示します。

switchxxxxxx(config)# clear radius server accounting

RADIUS 拒否済みユーザキャッシュをクリアするには、特権 EXEC モードで clear radius server rejected users コマンドを使用します。

構文

clear radius server rejected users

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS 拒否済みユーザキャッシュをクリアするには、clear radius server rejected users コマンドを使用します。

例

次に、RADIUS 拒否済みユーザキャッシュをクリアする例を示します。

switchxxxxxx(config)# clear radius server rejected users

RADIUS サーバのカウンタをクリアするには、特権 EXEC モードで clear radius server statistics コマンドを使用します。

構文

clear radius server statistics [ip-address]

パラメータ

• ip-address：RADIUS クライアントのホスト IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

コマンド モード

特権 EXEC モード

使用上のガイドライン

すべてのカウンタをクリアするには、パラメータを指定せずに clear radius server statistics コマンドを使用します。

特定の NAS のカウンタをクリアするには、パラメータを指定して clear radius server statistics コマンドを使用します。

例

次に、RADIUS サーバのカウンタをクリアする例を示します。

switchxxxxxx(config)# clear radius server statistics

RADIUS の不明な NAS キャッシュをクリアするには、特権 EXEC モードで clear radius server unknown nas コマンドを使用します。

構文

clear radius server unknown nas

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS の不明な NAS キャッシュをクリアするには、clear radius server unknown nas コマンドを使用します。

例

次に、RADIUS の不明な NAS キャッシュをクリアする例を示します。

switchxxxxxx(config)# clear radius server unknown nas

ユーザ特権レベルを定義するには、RADIUS サーバ グループ コンフィギュレーション モードで privilege-level コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

privilege-level level

no privilege-level

パラメータ

• level：ユーザ特権レベルを指定します。（範囲：1 ～ 15）

デフォルト設定

1

コマンド モード

RADIUS サーバ グループ コンフィギュレーション モード

使用上のガイドライン

特定のグループのユーザの特権レベルを定義するには、privilege-level コマンドを使用します。

デフォルトに戻すには、このコマンドの no 形式を使用します。

特権レベルの値は、Vendor-Specific(26) 属性の Access-Accept メッセージで RADIUS クライアントに渡されます。この属性は、ログインユーザにのみ渡されます。

例

次に、開発者グループのユーザに指定した特権レベル 15 を指定する例を示します。

switchxxxxxx(config)# radius server group developers
switchxxxxxx(config-radser-group)# privilege-level 15
switchxxxxxx(config-radser-group)# exit
switchxxxxxx(config)# 

アカウンティング要求に使用するアカウンティング UDP ポートを定義するには、グローバル コンフィギュレーション モードで radius server accounting-port コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius server accounting-port udp-port

no radius server accounting-port

パラメータ

• udp-port：アカウンティング要求の UDP ポート番号を指定します。（範囲：1 〜 59999）

デフォルト設定

1813

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

アカウンティング要求用の UDP ポートを定義するには、radius server accounting-port コマンドを使用します。

デフォルトの UDP アカウンティングポートを復元するには、no radius server accounting-port コマンドを使用します。

例

次に、ポート 2083 をアカウンティング UDP ポートとして定義する例を示します。

switchxxxxxx(config)# accounting-port 2083

認証要求に使用する認証 UDP ポートを定義するには、グローバル コンフィギュレーション モードで radius server authentication-port コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius server authentication-port udp-port

no radius server authentication-port

パラメータ

• udp-port：認証要求用の UDP ポート番号を指定します。（範囲：1 〜 59999）

デフォルト設定

1812

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

認証要求用の UDP ポートを定義するには、radius server authentication-port コマンドを使用します。

デフォルトの UDP 認証ポートを復元するには、no radius server authentication-port コマンドを使用します。

例

次に、認証 UDP ポートとしてポート 2083 を定義する例を示します。

switchxxxxxx(config)# authentication-port 2083

組み込み RADIUS サーバを有効にするには、グローバル コンフィギュレーション モードで radius server enable を使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius server enable

no radius server enable

デフォルト設定

無効

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

組み込み RADIUS サーバを有効にするには、radius server enable コマンドを使用します。

組み込み RADIUS サーバを無効にするには、no radius server enable コマンドを使用します。

例

次に、組み込み RADIUS サーバを有効にする例を示します。

switchxxxxxx(config)# radius server enable

RADIUS サーバ グループ コンフィギュレーション モードを開始して、このグループが存在しない場合に作成するには、グローバル コンフィギュレーション モードで radius server group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius server group group-name

no radius server group [group-name]

パラメータ

• group-name：グループの名前を指定します。（長さ：1 ～ 32 文字）

デフォルト設定

グループは存在しません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

RADIUS サーバ グループ コンフィギュレーション モードを開始するには、radius server group コマンドを使用します。このグループが存在しない場合は自動的に作成されます。

1 つのグループを削除するには、no radius server group group-name コマンドを使用します。

すべてのグループを削除するには、no radius server group コマンドを使用します。

このグループを参照しているユーザが存在する場合は、グループを削除できません。

RADIUS サーバは、最大 50 個のグループをサポートします。

例

次に、グループ開発者が存在しない場合は作成し、そのコンテキストを開始する例を示します。

switchxxxxxx(config)# radius server group developers
switchxxxxxx(config-radser-group)# 

秘密鍵を作成するには、グローバル コンフィギュレーション モードで radius server nas secret key コマンドを使用します。鍵を削除するには、このコマンドの no 形式を使用します。

構文

radius server nas secret key key {default | ip-address}

radius server nas secret ip-address

encrypted radius server nas secret key encrypted-key {default | ip-address}

no radius server nas secret [default | ip-address]

パラメータ

• key：特定のグループのデバイスとユーザ間の通信に認証と暗号キーを指定します。（範囲：0 ～ 128 文字）

• encrypted-key：key-string パラメータと同じですが、キーは暗号化形式です。

• default：秘密キーを持たない NAS との通信に適用するデフォルトの秘密鍵を指定します。

• ip-address：RADIUS クライアントのホスト IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

デフォルト設定

秘密鍵が存在しません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

秘密キーを持たない NAS 間の通信に適用するキーを定義するには、radius server nas secret key key default コマンドを使用します。

指定した NAS との通信に適用するキーを定義するには、radius server nas secret key key ip-address コマンドを使用します。

指定した NAS との通信に適用するデフォルトの秘密鍵を定義するには、radius server nas secret ip-address コマンドを使用します。

このコマンドで NAS を定義しない場合は、この NAS から受信するすべてのメッセージがドロップされます。

RADIUS サーバは、最大 50 の NAS をサポートします。

デフォルトのキーを削除するには、no radius server nas secret default コマンドを使用します。

特定の NAS とその秘密鍵を削除するには、no radius server nas secret ip-address コマンドを使用します。

すべての NAS とすべての秘密鍵を削除するには、no radius server nas secret コマンドを使用します。

アカウンティングトラップの送信を有効にするには、グローバル コンフィギュレーション モードで radius server traps accounting コマンドを使用します。このトラップを無効にするには、このコマンドの no 形式を使用します。

構文

radius server traps accounting

no radius server traps accounting

デフォルト設定

アカウンティングトラップが無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

トラップには次のようにレート制限が適用されます。このタイプでは、10 秒間に複数のトラップを送信できません。

例

次に、アカウンティングトラップの送信を有効にする例を示します。

switchxxxxxx(config)# radius server traps accounting

ユーザが正常に承認されたときにトラップの送信を有効にするには、グローバル コンフィギュレーション モードで radius server traps authentication success コマンドを使用します。このトラップを無効にするには、このコマンドの no 形式を使用します。

構文

radius server traps authentication success

no radius server traps authentication success

デフォルト設定

成功トラップが無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

トラップには次のようにレート制限が適用されます。このタイプでは、10 秒間に複数のトラップを送信できません。

例

次に、ユーザが正常に承認されたときにトラップの送信を有効にする例を示します。

switchxxxxxx(config)# radius server traps authentication success

ユーザを作成するには、グローバル コンフィギュレーション モードで radius server user コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

radius server user username user-name group group-name password unencrypted-password

encrypted radius server user username user-name group group-name passwordencrypted-password

no radius server user [username user-name | group group-name]

パラメータ

• user-name：ユーザ名を指定します。（長さ：1 ～ 32 文字）

• group-name：ユーザグループ名を指定します。（長さ：1 ～ 32 文字）

• unencrypted-password：ユーザーパスワードを指定します。（長さ：1 ～ 64 文字）

• encrypted-password：unencrypted-password パラメータと同じですが、パスワードは暗号化された形式です。

デフォルト設定

ユーザが存在しません。

RADIUS サーバは、最大 1,024 人のユーザをサポートします。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

新しいユーザを作成するには、radius server user コマンドを使用します。

1 人のユーザを削除するには、no radius server user username user-name コマンドを使用します。

特定のグループのユーザを削除するには、no radius server user group group-name コマンドを使用します。

すべてのユーザを削除するには、no radius server user コマンドを使用します。

例

例 1。次に、グループ開発者の名前に bob、パスワードに Aerv#136dSsT を指定して新しいユーザを作成する例を示します。

switchxxxxxx(config)# radius server user username bob group developers password Aerv#136dSsT

例 2。次に、bill of group finance という名前の新しいユーザーを作成し、パスワードを暗号化形式で指定する例を示します。

switchxxxxxx(config)# encrypted radius server user username bill group
finance password bCWG7DnKMNUaik4S0TkLDkJVYIsQcwQkRFVYj7VNvAI=

ユーザアカウンティング情報を表示するには、特権 EXEC モードで show radius server accounting コマンドを使用します。

構文

show radius server accounting [username user-name]

パラメータ

• user-name：ユーザ名を指定します。（長さ：1 ～ 32 文字）

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS サーバは、フラッシュのサイクルファイルに最新の 1024 個のアカウンティングログを保存します。

1 人のユーザのアカウンティング情報を表示するには、show radius server accounting username user-name コマンドを使用します。

すべてのユーザのアカウンティング情報を表示するには、show radius server accounting コマンドを使用します。

RADIUS サーバのグローバル設定を表示するには、特権 EXEC モードで show radius server configuration コマンドを使用します。

構文

show radius server configuration

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS サーバのグローバル設定を表示するには、show radius server configuration コマンドを使用します。

例

次に、RADIUS サーバのグローバル設定を表示する例を示します。

switchxxxxxx# show radius server configuration
Radius Server Status: Enabled
Authentication UDP port: 1812 (default)
Accounting UDP port: 1813 (default)
Authentication failure traps are enabled
Authentication success traps are enabled
Accounting traps are enabled

RADIUS サーバのグループ設定を表示するには、特権 EXEC モードで show radius server group コマンドを使用します。

構文

show radius server group [group-name]

パラメータ

• group-name：グループの名前を指定します。（長さ：1 ～ 32 文字）

コマンド モード

特権 EXEC モード

使用上のガイドライン

1 つのグループを表示するには、show radius server group group-name コマンドを使用します。

すべてのグループを表示するには、show radius server group コマンドを使用します。

例

次に、RADIUS サーバグループを表示する例を示します。

switchxxxxxx# show radius server group
Group gr1
  VLAN: 124
  Privilege Level: 15
  Time Range: ConnectionTime
  Group Users: develop, designers
Group gr2
  Privilege Level: 1 (default)
  Group Users: bob

拒否されたユーザを表示するには、特権 EXEC モードで show radius server rejected users コマンドを使用します。

構文

show radius server rejected users [username user-name]

パラメータ

• user-name：ユーザ名を指定します。（長さ：1 ～ 32 文字）

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS サーバは、フラッシュのサイクルファイルに最後の 1024 の拒否された認証要求を保存します。

RADIUS サーバは、フラッシュのサイクルファイルに最新の 1024 個のアカウンティングログを保存します。

拒否された 1 人のユーザを表示するには、show radius server rejected users user-name コマンドを使用します。

拒否されたすべてのユーザを表示するには、show radius server rejected users コマンドを使用します。

RADIUS サーバカウンタを表示するには、ユーザ EXEC モードで show radius server statistics コマンドを使用します。

構文

show radius server statistics [ip-address]

パラメータ

• ip-address：RADIUS クライアントのホスト IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

コマンド モード

ユーザ EXEC モード

使用上のガイドライン

RFC4669 と RFC4671 で定義されている RADIUS サーバカウンタを表示するには、show radius server statistics コマンドを使用します。

グローバルカウンタを表示するには、パラメータを指定せずに show radius server statistics コマンドを使用します。

特定の NAS のカウンタを表示するには、パラメータを指定して show radius server statistics コマンドを使用します。

秘密鍵を表示するには、特権 EXEC モードで show radius server nas secret コマンドを使用します。

構文

show radius server nas secret [default | ip-address]

パラメータ

• default：秘密キーを持たない NAS との通信に適用するデフォルトの秘密鍵を指定します。

• ip-address：RADIUS クライアントのホスト IP アドレスを指定します。IP アドレスは、IPv4、IPv6、または IPv6z アドレスを使用できます。

コマンド モード

特権 EXEC モード

使用上のガイドライン

デフォルトの秘密鍵を表示するには、show radius server nas secret default コマンドを使用します。

特定の NAS 秘密鍵を表示するには、show radius server nas secret ip-address コマンドを使用します。

すべての秘密鍵を表示するには、show radius server nas secret コマンドを使用します。

RADIUS サーバのユーザ設定を表示するには、特権 EXEC モードで show radius server user コマンドを使用します。

構文

show radius server user [username user-name] | [group group-name]

パラメータ

• user-name：ユーザ名を指定します。（長さ：1 ～ 32 文字）

• group-name：グループの名前を指定します。（長さ：1 ～ 32 文字）

コマンド モード

特権 EXEC モード

使用上のガイドライン

1 人のユーザを表示するには、show radius server user username user-name コマンドを使用します。

特定のグループのすべてのユーザを表示するには、show radius server user group group-name コマンドを使用します。

すべてのユーザを表示するには、show radius server user コマンドを使用します。

例

次に、bob という 1 人のユーザを表示する例を示します。

switchxxxxxx# show radius server user username bob
User bob
  Group: developers
  Password’s MD5: 1238af77aaca17568f1298cced1255cc

不明な NAS を表示するには、特権 EXEC モードで show radius server unknown nas コマンドを使用します。

構文

show radius server unknown nas

コマンド モード

特権 EXEC モード

使用上のガイドライン

RADIUS サーバは、最後の 100 個の不明な NAS をサイクルキャッシュに保存します。

例

次に、不明な NAS から受信した RADIUS 要求を表示する例を示します。

switchxxxxxx# show radius server unknown nas
30-Jun-14 16:44 NAS Address: 10.1.1.1
30-Jun-14 16:04 NAS Address: 10.1.1.1
*20-Feb-08, 9:20, Date and Time were updated to 29-Jun-14, 11:00
20-Feb-08 16:24 NAS Address: 10.1.1.1
20-Feb-08 14:14 NAS Address: 10.1.1.1
*20-Feb-08, 9:00, Reboot

RADIUS 割り当て済み VLAN を定義するには、RADIUS サーバ グループ コンフィギュレーション モードで vlan コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

vlan {id vlan-id | name vlan-name}

no vlan

パラメータ

• vlan-id：VLAN ID を指定します。（範囲：1 ～ 4094）

• vlan-name：VLAN 名を指定します。（長さ：1 〜 32 文字）

デフォルト設定

RADIUS 割り当て済み VLAN なし

コマンド モード

RADIUS サーバ グループ コンフィギュレーション モード

使用上のガイドライン

vlan コマンドを使用して、RADIUS クライアントに VLAN を割り当てます。この RADIUS 割り当て済み VLAN は、次の属性の Access-Accept メッセージで RADIUS クライアントに渡されます。

• Tunnel-Type(64)

• Tunnel-Medium-Type（65）

• Tunnel-Private-Group-ID(81)

VLAN が割り当てられていない場合、これらの属性は Access-Accept メッセージに含まれません。

VLAN の割り当てを削除するには、このコマンドの no 形式を使用します。

例

次に、開発者グループのユーザに VLAN 100 を割り当てて、マネージャグループのユーザの VLAN 名前管理を指定する例を示します。

switchxxxxxx(config)# radius server group developers
switchxxxxxx(config-radser-group)# vlan id 100
switchxxxxxx(config-radser-group)# exit
switchxxxxxx(config)# radius server group managers
switchxxxxxx(config-radser-group)# vlan name management
switchxxxxxx(config-radser-group)# exit
switchxxxxxx(config)#