コンフィグレーションガイド Vol.2
MACポートにコンフィグレーションコマンドswitchport mac dot1q vlanでdot1qが設定されている場合,Taggedフレームは固定VLANモードの動作に従って認証されます。
UntaggedフレームはダイナミックVLANモードの動作に従って認証されます。なお,Untaggedフレームは認証前はネイティブVLANに収容され,認証成功後に認証後のVLAN IDに切り替わります。
MACポートにdot1qが設定されている場合の動作を次の図に示します。
図5-8 MACポートにdot1qが設定されている場合の動作
また,該当ポートにコンフィグレーションコマンドmac-authentication dot1q-vlan force-authorizedが設定されている場合,Taggedフレームに対しては認証除外と判断し,MAC認証をしないで通信できます。
ただし,認証除外機能で適用された端末はMAC認証の認証端末として扱われるため,次のことに注意してください。
- 認証除外端末(MACアドレス)は,該当ポートに設定された認証制限数に含まれます。
- 認証除外端末が解除された時,ログアウトを意味する動作ログメッセージが表示されます。また,認証除外端末をポート間で移動する場合も,いったん認証除外端末が解除されるため,ログアウトを意味する動作ログメッセージが表示されます。
- 次の契機で認証除外を解除します。
- 運用コマンドによる認証除外解除
運用コマンドclear mac-authentication auth-stateで認証除外端末のMACアドレスを指定すると認証除外を解除します。
また,運用コマンドclear mac-authentication auth-stateですべてのMAC認証済み端末を解除するオプションを指定した場合も,認証除外を解除します。
- 認証除外端末接続ポートのリンクダウンによる認証除外解除
認証除外端末が接続しているポートのリンクダウンを検出した際に,該当するポートに接続された端末の認証除外を解除します。
- 認証除外端末のMACアドレステーブルエージングによる認証除外解除
認証除外端末のMACアドレステーブルのエージング時間経過後約10分間,認証除外端末からのアクセスがない状態が続いた場合に,認証除外を解除します。
- VLAN設定変更による認証除外解除
コンフィグレーションコマンドで認証除外端末が含まれるVLANの設定を変更した場合,認証除外を解除します。
[コンフィグレーションの変更内容]
・VLANを削除した場合
・VLANを停止(suspend)した場合
- 認証モード切替による認証除外解除
copyコマンドでコンフィグレーションを変更して,認証モードが切り替わる設定をした場合,認証除外を解除します。
- MAC認証の停止による認証除外解除
コンフィグレーションコマンドno mac-authentication system-auth-controlでMAC認証の設定が削除されてMAC認証が停止した場合,認証除外を解除します。
MACポートにdot1qが設定されている場合のレイヤ2認証の動作を次の表に示します。
表5-22 MACポートにdot1qが設定されている場合のレイヤ2認証の動作
受信フレーム IEEE802.1X Web認証 MAC認証 Untaggedフレーム VLAN単位認証(動的)で認証 ダイナミックVLANモードで認証 ダイナミックVLANモードで認証 Taggedフレーム VLAN単位認証(静的)で認証 認証できない 固定VLANモードで認証
All Rights Reserved, Copyright(C), 2011, 2020, ALAXALA Networks, Corp.