コンフィグレーションガイド Vol.2
レイヤ2認証で認証された端末をほかのポートに移動した場合,ポートの状態や認証状態がどのように変わるか説明します。
認証済み端末のポート間移動には次の図に示す四つのケースがあります。
図5-6 認証済み端末のポート間移動例
なお,MAC VLANを使用した場合,次のようにケース1とケース2を判定します。
- ケース1:
- 移動先の認証対象ポートで,次のどちらかの条件を満たしている場合に同一のVLANへの移動と見なします。
- コンフィグレーションコマンドswitchport mac vlanで同じVLAN IDが設定されている
- レイヤ2認証によって動的に同じVLAN IDがすでに登録されている
- また,動的にMAC VLANのVLAN IDが登録されていない場合は,Web認証またはMAC認証で認証済みの端末が移動するときに端末が所属しているVLAN IDが作成されるため,同一のVLANへの移動と見なします。
- ケース2:
- 移動先の認証対象ポートで,次の条件を満たしている場合に異なるVLANへの移動と見なします。
- コンフィグレーションコマンドswitchport mac vlanで異なるVLAN IDが設定されている
- また,動的にMAC VLANのVLAN IDが登録されていない場合にIEEE802.1Xの端末が移動するときは,異なるVLANへの移動と見なします。
これら四つのケースについて,レイヤ2認証ごとに説明します。
- <この項の構成>
- (1) IEEE802.1Xでのポート間移動時の動作
- (2) Web認証でのポート間移動時の動作
- (3) MAC認証でのポート間移動時の動作
(1) IEEE802.1Xでのポート間移動時の動作
IEEE802.1Xで認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
表5-13 IEEE802.1Xでのポート間移動時の動作(ポート単位認証)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 移動後,再認証操作 ポート情報が更新 移動前の認証解除 移動後に認証されるまで通信不可 2 認証対象ポート 別VLAN 移動後,再認証操作 未更新 認証状態が残る 移動後に認証されるまで通信不可 3 認証対象外ポート 同一VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可 表5-14 IEEE802.1Xでのポート間移動時の動作(VLAN単位認証(静的))
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続する ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 移動後,再認証操作 未更新 認証状態が残る 移動後に認証されるまで通信不可 3 認証対象外ポート 同一VLAN − − − − 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可
- (凡例)
- −:VLAN単位認証(静的)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
表5-15 IEEE802.1Xでのポート間移動時の動作(VLAN単位認証(動的))
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続する ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 移動後,再認証操作 削除 移動前の認証解除 移動後に認証されるまで通信不可 3 認証対象外ポート 同一VLAN − − − − 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可
- (凡例)
- −:VLAN単位認証(動的)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
(2) Web認証でのポート間移動時の動作
Web認証で認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
表5-16 Web認証でのポート間移動時の動作(固定VLANモード)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続される ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 移動後に認証されるまで通信不可 3 認証対象外ポート 同一VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可 表5-17 Web認証でのポート間移動時の動作(ダイナミックVLANモード)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続される ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 3 認証対象外ポート 同一VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可 表5-18 Web認証でのポート間移動時の動作(レガシーモード)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続される ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 3 認証対象外ポート 同一VLAN − − − − 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可
- (凡例)
- −:Web認証(レガシーモード)はVLAN単位での設定のため,同一VLANに認証対象外ポートはありません
(3) MAC認証でのポート間移動時の動作
MAC認証で認証された端末がポートを移動した場合のポートや認証の状態について,認証モードごとに次の表に示します。
表5-19 MAC認証でのポート間移動時の動作(固定VLANモード)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続される ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 移動後,再認証※ 削除※ 移動前の認証解除※ 移動後に認証されるまで通信不可※ 3 認証対象外ポート 同一VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可
- 注※
- 認証済み端末からポート移動後にブロードキャストARPパケットが送信された場合の動作です。ブロードキャストARPパケット以外のパケットでは,認証解除されないで認証状態が残ります。
表5-20 MAC認証でのポート間移動時の動作(ダイナミックVLANモード)
ケース 移動先ポート VLAN ユーザ認証状態 移動前ポートのMACアドレステーブル 移動前ポートの認証状態 移動後の通信可否 1 認証対象ポート 同一VLAN 認証が継続される ポート情報が更新 継続 通信可 2 認証対象ポート 別VLAN 認証解除※ 削除※ 移動前の認証解除※ 移動後に認証されるまで通信不可※ 3 認証対象外ポート 同一VLAN 認証状態が残る 未更新 認証状態が残る 通信不可 4 認証対象外ポート 別VLAN 認証状態が残る 未更新 認証状態が残る 通信可
- 注※
- 認証済み端末からポート移動後にブロードキャストARPパケットが送信された場合の動作です。ブロードキャストARPパケット以外のパケットでは,認証解除されないで認証状態が残ります。
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.