コンフィグレーションガイド Vol.2

6.2.1 認証モード

本装置のIEEE802.1Xでは,三つの基本認証モードとその下に三種類の認証サブモードを設けています。基本認証モードは,認証制御を行う単位を示し,認証サブモードは認証のさせ方を指定します。また,基本認証モードと認証サブモードに対して設定可能なオプションを設けています。各認証モードの関係を次の表に示します。

表6‒9 認証モードとオプションの関係

基本認証モード

認証サブモード

認証オプション

ポート単位認証

シングルモード

マルチモード

端末認証モード

認証除外端末オプション

認証端末数制限オプション

VLAN単位認証(静的)

端末認証モード

認証除外端末オプション

認証除外ポートオプション

認証端末数制限オプション

VLAN単位認証(動的)

端末認証モード

認証除外端末オプション

認証端末数制限オプション

認証デフォルトVLAN

(凡例) −:該当なし

本装置のIEEE802.1Xでは,チャネルグループについても一つの束ねられたポートとして扱います。この機能での「ポート」の表現には通常のポートとチャネルグループを含むものとします。

〈この項の構成〉

(1) 基本認証モード

本装置でサポートする基本認証モードを以下に示します。

(a) ポート単位認証

認証の制御を物理ポートまたはチャネルグループに対して行います。IEEE802.1Xの標準的な認証単位です。この認証モードではIEEE 802.1Q VLAN Tagの付与されたEAPOLフレームを扱うことはできません。IEEE 802.1Q VLAN Tagの付与されたEAPOLフレームを受信すると廃棄します。

ポート単位認証の構成例を次の図に示します。

図6‒4 ポート単位認証の構成例

[図データ]

(b) VLAN単位認証(静的)

認証の制御をVLANに対して行います。IEEE 802.1Q VLAN Tagの付与されたEAPOLフレームを扱うことができます。端末と本装置の間にL2スイッチを配置し,L2スイッチを用いてIEEE 802.1Q VLAN Tagの付与を行う場合に使用します。Tagの付与されていないEAPOLフレームについては,ポートに設定されているネイティブVLANで受信したと認識します。

VLAN単位認証(静的)の構成例を次の図に示します。

図6‒5 VLAN単位認証(静的)の構成例

[図データ]

(c) VLAN単位認証(動的)

認証の制御をMAC VLANに所属する端末に対して行います。なお,IEEE 802.1Q VLAN Tagの付与されたEAPOLフレームは,この認証モードで扱うことができません。このフレームを受信した場合には,VLAN単位認証(静的)で扱われます。

指定されたMAC VLANのトランクポートおよびアクセスポートは認証除外ポートとして扱われます。

認証に成功した端末は,認証サーバであるRADIUSサーバからのVLAN情報(MAC VLANのVLAN ID)に従い,動的にVLANの切り替えを行います。

VLAN単位認証(動的)の構成例と動作イメージを次の図に示します。

図6‒6 VLAN単位認証(動的)の構成例

[図データ]
図6‒7 VLAN単位認証(動的)の動作イメージ

[図データ]

(2) 認証サブモード

基本認証モードに対して設定する認証サブモードを以下に示します。

(a) シングルモード

一つの認証単位内に一つの端末だけ認証して接続するモードです。IEEE802.1Xの標準的な認証モードです。最初の端末が認証している状態でほかの端末からのEAPを受信すると,そのポートの認証状態は未認証状態に戻り,コンフィグレーションコマンドで指定された時間が経過したあとに認証シーケンスを再開します。

(b) マルチモード

一つの認証単位内に複数端末の接続を許容しますが,認証対象の端末はあくまで最初にEAPを受信した1端末だけのモードです。最初に認証を受けた端末の認証状態に応じて,そのほかの端末のパケットを通信するかどうかが決まります。最初の端末が認証されている状態でほかの端末のEAPを受信すると無視します。

(c) 端末認証モード

一つの認証単位内に複数端末の接続を許容し,端末ごと(送信元MACアドレスで識別)に認証を行うモードです。端末が認証されている状態でほかの端末のEAPを受信すると,EAPを送信した端末との間で個別の認証シーケンスが開始されます。

(3) 認証モードオプション

認証モード/認証サブモードに対するオプション設定を以下に示します。

(a) 認証除外端末オプション

スタティックMACアドレス学習機能およびMAC VLAN機能によってMACアドレスが設定された端末については認証を不要とし,通信を許可するオプション設定です。Supplicant機能を持たないプリンタなどの装置やサーバなど認証が不要な端末を,端末単位で認証対象から除外したいときに使用します。端末認証モードの場合だけ使用可能なオプションです。

VLAN単位認証(動的)での認証除外端末構成例を次の図に示します。

図6‒8 VLAN単位認証(動的)での認証除外端末構成例

[図データ]

(b) 認証除外ポートオプション

特定の物理ポート番号またはチャネルグループ番号を指定することで,その物理ポートまたはチャネルグループ配下の端末については認証を不要とし,通信を許可するオプション設定です。VLAN単位認証(静的)の場合だけ使用可能であり,認証対象となるVLANの中に認証対象外としたいポートがある場合に使用します。

同一ポートに複数のVLAN単位認証(静的)のVLANを設定している場合,すべてのVLANで認証除外ポートとなります。

VLAN単位認証(静的)での認証除外ポート構成例を次の図に示します。

図6‒9 VLAN単位認証(静的)での認証除外ポート構成例

[図データ]

(c) 認証端末数制限オプション

認証単位内に収容する最大認証端末数を制限するオプション設定です。端末認証モードだけで有効です。認証単位ごとの設定値を次の表に示します。

表6‒10 認証端末数制限オプション

認証モード

初期値

最小値

最大値

ポート単位認証

64

1

64

VLAN単位認証(静的)

256

1

256

VLAN単位認証(動的)

1024

1

1024

(d) 認証デフォルトVLAN機能

認証デフォルトVLAN機能は,IEEE802.1Xに未対応などの理由によってMAC VLANに収容できない端末をポートVLANに収容する機能です。VLAN単位認証(動的)に設定したポートに対してポートVLANまたはデフォルトVLANが設定されている場合,そのVLANは認証デフォルトVLANとして動作します。次に示すような場合,端末は認証デフォルトVLANに収容します。

  • IEEE802.1X未対応の端末

  • 認証前のIEEE802.1X対応の端末

  • 認証または再認証に失敗した端末

  • RADIUSサーバから指定されたVLAN IDがMAC VLANでない場合

[商品名称に関する表示]

All Rights Reserved, Copyright(C), 2017, 2021, ALAXALA Networks, Corp.