コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 認証専用IPv4アクセスリスト
- (2) ARPパケットのリレー機能
- (3) 動作可能なレイヤ2認証
- (4) DHCP snooping設定時の注意
(1) 認証専用IPv4アクセスリスト
認証前状態の端末に対して,DHCPサーバからIPアドレスの配布やDNSサーバによる名前解決ができるようにするには,認証前状態の端末がDHCPサーバやDNSサーバと通信できる必要があります。
認証前状態の端末が本装置外の装置(DHCPサーバやDNSサーバ)と通信できるようにするには,認証専用のIPv4アクセスリスト(以降,認証専用IPv4アクセスリストと呼びます)を認証前VLANに設定します。
図5-5 認証専用IPv4アクセスリスト設定後の通信
認証専用IPv4アクセスリストは,通常のアクセスリスト(コンフィグレーションコマンドip access-groupなど)とは異なり,認証後は設定されたフィルタ条件が適用されません。ただし,通常のアクセスリストで設定されたフィルタ条件は,認証専用IPv4アクセスリストで設定されたフィルタ条件よりも優先されます。認証対象ポートに通常のアクセスリストと認証専用IPv4アクセスリストを設定した場合,通常のアクセスリストのフィルタ条件が,認証前にも認証後にも適用されますので,認証専用IPv4アクセスリストに設定したフィルタ条件を通常のアクセスリストにも設定してください。
また,認証前の端末に本装置内蔵のDHCPサーバ機能からIPアドレスを配布する場合,および外部DHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件に,対象となるDHCPサーバ向けのDHCPパケットを通信させる設定が必要になります。この場合は,次に示すようにフィルタ条件を必ず設定してください。
- [必要なフィルタ条件設定例]
- DHCPサーバのIPアドレスが10.10.10.254,認証対象端末のネットワークが10.10.10.0/24の場合
permit udp 10.10.10.0 0.0.0.255 host 10.10.10.254 eq bootps permit udp host 0.0.0.0 host 10.10.10.254 eq bootps permit udp host 0.0.0.0 host 255.255.255.255 eq bootpsコンフィグレーションコマンドauthentication ip access-groupを設定する場合,次の点に注意してください。
- 指定できる認証専用IPv4アクセスリストは1個だけです。認証対象となるすべてのポートに,コンフィグレーションコマンドauthentication ip access-groupで同一の設定をしてください。
- 認証専用IPv4アクセスリストで設定できるフィルタ条件が収容条件を超えている場合,収容条件内のものだけ設定されます。
- コンフィグレーションコマンドpermitまたはdenyによって次のフィルタ条件が指定されても,適用されません。
- tcpポートのrange指定
- udpポートのrange指定
- user-priority
- vlan
- 設定した条件以外のパケット廃棄設定は,本設定の収容条件数には含まれません。各認証プログラムで条件以外のパケット廃棄設定が暗黙に設定されます。
- 認証専用IPv4アクセスリストのフィルタ条件としてコンフィグレーションコマンドpermit ip host <ip address>に認証端末のIPアドレスを設定した場合,コンフィグレーションコマンドauthentication arp-relayを設定しなくても,認証前の端末から送信されるARPパケットは疎通します。
- Web認証専用IPアドレスは認証専用IPv4アクセスリストのフィルタ条件の宛先IPアドレスの対象外となるため,宛先IPアドレスとしてWeb認証専用IPアドレスが含まれる設定をした場合でも,Web認証専用IPアドレスでのログイン操作ができます。
(2) ARPパケットのリレー機能
認証前状態の端末から送信されるARPパケットは装置外へ転送できませんが,コンフィグレーションコマンドauthentication arp-relayを設定すると,認証前状態の端末から送信されたARPパケットを装置外へ転送できます。
(3) 動作可能なレイヤ2認証
認証専用IPv4アクセスリストおよびARPパケットのリレー機能が動作するレイヤ2認証を次の表に示します。
表5-10 認証専用IPv4アクセスリストおよびARPパケットのリレー機能が動作するレイヤ2認証
機能 IEEE802.1X Web認証 MAC認証 ポート単位認証 VLAN単位認証(静的) VLAN単位認証(動的) 固定VLANモード ダイナミックVLANモード レガシーモード 固定VLANモード ダイナミックVLANモード 認証専用IPv4アクセスリスト ○ ○ ○ ○ ○ × ○ ○ ARPパケットのリレー機能 ○ ○ ○ ○ ○ × ○ ○ (凡例) ○:動作できる ×:動作できない
(4) DHCP snooping設定時の注意
認証対象のポートにDHCP snoopingでuntrustポートが設定された場合,認証専用IPv4アクセスリストのフィルタ条件にプロトコル名称bootpsまたはbootpcを設定しても,端末から送信されるDHCPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたDHCPパケットだけが装置外へ送信されます。
また,端末から送信されるARPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたARPパケットは装置外へ送信されます。
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.