コンフィグレーションガイド Vol.2

5.3.2 認証前端末の通信許可

〈この項の構成〉

(1) 認証専用IPv4アクセスリスト

認証前状態の端末に対して,DHCPサーバからIPアドレスの配布やDNSサーバによる名前解決ができるようにするには,認証前状態の端末がDHCPサーバやDNSサーバと通信できる必要があります。

認証前状態の端末が本装置外の装置(DHCPサーバやDNSサーバ)と通信できるようにするには,認証専用のIPv4アクセスリスト(以降,認証専用IPv4アクセスリストと呼びます)を認証前VLANに設定します。

図5‒5 認証専用IPv4アクセスリスト設定後の通信

[図データ]

認証専用IPv4アクセスリストは,通常のアクセスリスト(コンフィグレーションコマンドip access-groupなど)とは異なり,認証後は設定されたフィルタ条件が適用されません。ただし,通常のアクセスリストで設定されたフィルタ条件は,認証専用IPv4アクセスリストで設定されたフィルタ条件よりも優先されます。認証対象ポートに通常のアクセスリストと認証専用IPv4アクセスリストを設定した場合,通常のアクセスリストのフィルタ条件が,認証前にも認証後にも適用されますので,認証専用IPv4アクセスリストに設定したフィルタ条件を通常のアクセスリストにも設定してください。

また,認証前の端末に本装置内蔵のDHCPサーバ機能からIPアドレスを配布する場合,および外部DHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件に,対象となるDHCPサーバ向けのDHCPパケットを通信させる設定が必要になります。この場合は,次に示すようにフィルタ条件を必ず設定してください。

[必要なフィルタ条件設定例]

DHCPサーバのIPアドレスが10.10.10.254,認証対象端末のネットワークが10.10.10.0/24の場合

permit udp 10.10.10.0 0.0.0.255 host 10.10.10.254 eq bootps
permit udp host 0.0.0.0 host 10.10.10.254 eq bootps
permit udp host 0.0.0.0 host 255.255.255.255 eq bootps

[認証専用IPv4アクセスリスト設定時の注意]

コンフィグレーションコマンドauthentication ip access-groupを設定する場合,次の点に注意してください。

(2) ARPパケットのリレー機能

認証前状態の端末から送信されるARPパケットは装置外へ転送できませんが,コンフィグレーションコマンドauthentication arp-relayを設定すると,認証前状態の端末から送信されたARPパケットを装置外へ転送できます。

(3) 動作可能なレイヤ2認証

認証専用IPv4アクセスリストおよびARPパケットのリレー機能が動作するレイヤ2認証を次の表に示します。

表5‒10 認証専用IPv4アクセスリストおよびARPパケットのリレー機能が動作するレイヤ2認証

機能

IEEE802.1X

Web認証

MAC認証

ポート単位認証

VLAN単位認証(静的)

VLAN単位認証(動的)

固定VLANモード

ダイナミックVLANモード

レガシーモード

固定VLANモード

ダイナミックVLANモード

認証専用IPv4アクセスリスト

×

ARPパケットのリレー機能

×

(凡例) ○:動作できる ×:動作できない

(4) DHCP snooping設定時の注意

認証対象のポートにDHCP snoopingでuntrustポートが設定された場合,認証専用IPv4アクセスリストのフィルタ条件にプロトコル名称bootpsまたはbootpcを設定しても,端末から送信されるDHCPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたDHCPパケットだけが装置外へ送信されます。

また,端末から送信されるARPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたARPパケットは装置外へ送信されます。

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2017, 2021, ALAXALA Networks, Corp.