コンフィグレーションガイド Vol.2
- <この節の構成>
- (1) 他機能との共存
- (2) MAC VLANをアクセスポートとして指定した場合の注意事項
- (3) Interimパケットの送信間隔についての注意事項
- (4) スタティックエントリ登録MACとVLAN単位認証(動的)モードの共存についての注意事項
- (5) VLAN単位認証(動的)でのMACアドレス学習のエージング時間設定について
- (6) タイマ値の変更について
- (7) 端末と本装置の間にL2スイッチを配置する場合の注意事項
(1) 他機能との共存
IEEE802.1Xと他機能との共存仕様については,「5.2 レイヤ2認証と他機能との共存について」を参照してください。
(2) MAC VLANをアクセスポートとして指定した場合の注意事項
- MAC VLANをアクセスポートとして指定したインタフェースにポート単位認証を設定できますが,共存はできませんので使用しないでください。
(3) Interimパケットの送信間隔についての注意事項
RADIUS AccountingのInterimパケットを使用する場合,RADIUSパケットのAcct-Interim-Interval属性で指定される送信間隔は,600以上の値を設定することを推奨します。600より小さい値を設定した場合,全認証済端末数のInterimパケットが送信されるのでRADIUSサーバおよびネットワークの負荷が増大するため注意が必要です。
(4) スタティックエントリ登録MACとVLAN単位認証(動的)モードの共存についての注意事項
VLAN単位認証(動的)を設定しているVLAN内のMAC VLANモードのインタフェースに対し,mac-address-table staticコマンドでMACアドレステーブルにスタティックエントリが登録されていると,該当する端末は正常に認証処理を行うことができません。
(5) VLAN単位認証(動的)でのMACアドレス学習のエージング時間設定について
VLAN単位認証(動的)を使用する場合,指定するMAC VLANと認証デフォルトVLANとして使用するポートVLANでは,MACアドレスエントリのエージング時間に0(無限)を指定しないでください。0(無限)を指定すると,端末の所属するVLANが切り替わったときに,切り替わる前のVLANのMACアドレスエントリがエージングで消去されないで残り続けるため,不要なMACアドレスエントリが蓄積することになります。切り替わる前のVLANに不要なMACアドレスエントリが蓄積した場合は,clear mac-address-tableコマンドで消去してください。
(6) タイマ値の変更について
タイマ値(tx-period,reauth-period,supp-timeout,quiet-period,keep-unauth)を変更した場合,変更した値が反映されるのは,各認証単位で現在動作中のタイマがタイムアウトして0になったときです。すぐに変更を反映させたい場合には,clear dot1x auth-stateコマンドを使用して認証状態をいったん解除してください。
(7) 端末と本装置の間にL2スイッチを配置する場合の注意事項
端末からの応答は一般的にマルチキャストとなるため,端末と本装置の間にL2スイッチを配置する場合,端末からの応答によるEAPOLフレームはL2スイッチの同一VLANの全ポートへ転送されます。したがって,L2スイッチのVLANを次のように設定すると,同一端末からのEAPOLフレームが本装置の複数のポートへ届き,複数のポートで同一端末に対する認証処理が行われるようになります。そのため,認証動作が不安定になり,通信が切断されたり,認証ができなくなったりします。
- L2スイッチの同一VLANに設定されているポートを,本装置の認証対象となっている複数のポートに接続した場合
- L2スイッチの同一VLANに設定されているポートを,複数の本装置の認証対象となっているポートに接続した場合
端末と本装置の間にL2スイッチを配置する場合の禁止構成例と正しい構成例を次の図に示します。
図6-11 禁止構成例
図6-12 正しい構成例
All Rights Reserved, Copyright(C), 2005, 2015, ALAXALA Networks, Corp.