5.3.5 認証済み端末のポート間移動
レイヤ2認証で認証された端末をほかのポートに移動した場合,ポートの状態や認証状態がどのように変わるか説明します。
認証済み端末のポート間移動には次の図に示す四つのケースがあります。
|
なお,MAC VLANを使用した場合,次のようにケース1とケース2を判定します。
- ケース1:
-
移動先の認証対象ポートで,次のどちらかの条件を満たしている場合に同一のVLANへの移動と見なします。
-
コンフィグレーションコマンドswitchport mac vlanで同じVLAN IDが設定されている
-
レイヤ2認証によって動的に同じVLAN IDがすでに登録されている
また,動的にMAC VLANのVLAN IDが登録されていない場合は,Web認証またはMAC認証で認証済みの端末が移動するときに端末が所属しているVLAN IDが作成されるため,同一のVLANへの移動と見なします。
-
- ケース2:
-
移動先の認証対象ポートで,次の条件を満たしている場合に異なるVLANへの移動と見なします。
-
コンフィグレーションコマンドswitchport mac vlanで異なるVLAN IDが設定されている
また,動的にMAC VLANのVLAN IDが登録されていない場合にIEEE802.1Xの端末が移動するときは,異なるVLANへの移動と見なします。
-
これら四つのケースについて,レイヤ2認証ごとに説明します。
(1) IEEE802.1Xでのポート間移動時の動作
IEEE802.1Xで認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
移動後,再認証操作 |
ポート情報が更新 |
移動前の認証解除 |
移動後に認証されるまで通信不可 |
2 |
認証対象ポート |
別VLAN |
移動後,再認証操作 |
未更新 |
認証状態が残る |
移動後に認証されるまで通信不可 |
3 |
認証対象外ポート |
同一VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続する |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
移動後,再認証操作 |
未更新 |
認証状態が残る |
移動後に認証されるまで通信不可 |
3 |
認証対象外ポート |
同一VLAN |
− |
− |
− |
− |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
- (凡例)
-
−:VLAN単位認証(静的)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続する |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
移動後,再認証操作 |
削除 |
移動前の認証解除 |
移動後に認証されるまで通信不可 |
3 |
認証対象外ポート |
同一VLAN |
− |
− |
− |
− |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
- (凡例)
-
−:VLAN単位認証(動的)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
(2) Web認証でのポート間移動時の動作
Web認証で認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続される |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
移動後に認証されるまで通信不可 |
3 |
認証対象外ポート |
同一VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続される |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
3 |
認証対象外ポート |
同一VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続される |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
3 |
認証対象外ポート |
同一VLAN |
− |
− |
− |
− |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
- (凡例)
-
−:Web認証(レガシーモード)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
(3) MAC認証でのポート間移動時の動作
MAC認証で認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続される |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
移動後,再認証※ |
削除※ |
移動前の認証解除※ |
移動後に認証されるまで通信不可※ |
3 |
認証対象外ポート |
同一VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
- 注※
-
認証済み端末からポート移動後にブロードキャストARPパケットが送信された場合の動作です。ブロードキャストARPパケット以外のパケットでは,認証解除されないで認証状態が残ります。
ケース |
移動先ポート |
VLAN |
ユーザ認証状態 |
移動前ポートのMACアドレステーブル |
移動前ポートの認証状態 |
移動後の通信可否 |
---|---|---|---|---|---|---|
1 |
認証対象ポート |
同一VLAN |
認証が継続される |
ポート情報が更新 |
継続 |
通信可 |
2 |
認証対象ポート |
別VLAN |
認証解除※ |
削除※ |
移動前の認証解除※ |
移動後に認証されるまで通信不可※ |
3 |
認証対象外ポート |
同一VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信不可 |
4 |
認証対象外ポート |
別VLAN |
認証状態が残る |
未更新 |
認証状態が残る |
通信可 |
- 注※
-
認証済み端末からポート移動後にブロードキャストARPパケットが送信された場合の動作です。ブロードキャストARPパケット以外のパケットでは,認証解除されないで認証状態が残ります。