5.3.7 MACポートにdot1q設定時の動作
MACポートにコンフィグレーションコマンドswitchport mac dot1q vlanでdot1qが設定されている場合,Taggedフレームは固定VLANモードの動作に従って認証されます。
UntaggedフレームはダイナミックVLANモードの動作に従って認証されます。なお,Untaggedフレームは認証前はネイティブVLANに収容され,認証成功後に認証後のVLAN IDに切り替わります。
MACポートにdot1qが設定されている場合の動作を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU250080.GIF)
また,該当ポートにコンフィグレーションコマンドmac-authentication dot1q-vlan force-authorizedが設定されている場合,Taggedフレームに対しては認証除外と判断し,MAC認証をしないで通信できます。
ただし,認証除外機能で適用された端末はMAC認証の認証端末として扱われるため,次のことに注意してください。
-
認証除外端末(MACアドレス)は,該当ポートに設定された認証制限数に含まれます。
-
認証除外端末が解除された時,ログアウトを意味する動作ログメッセージが表示されます。また,認証除外端末をポート間で移動する場合も,いったん認証除外端末が解除されるため,ログアウトを意味する動作ログメッセージが表示されます。
-
次の契機で認証除外を解除します。
-
運用コマンドによる認証除外解除
運用コマンドclear mac-authentication auth-stateで認証除外端末のMACアドレスを指定すると認証除外を解除します。
また,運用コマンドclear mac-authentication auth-stateですべてのMAC認証済み端末を解除するオプションを指定した場合も,認証除外を解除します。
-
認証除外端末接続ポートのリンクダウンによる認証除外解除
認証除外端末が接続しているポートのリンクダウンを検出した際に,該当するポートに接続された端末の認証除外を解除します。
-
認証除外端末のMACアドレステーブルエージングによる認証除外解除
認証除外端末のMACアドレステーブルのエージング時間経過後約10分間,認証除外端末からのアクセスがない状態が続いた場合に,認証除外を解除します。
-
VLAN設定変更による認証除外解除
コンフィグレーションコマンドで認証除外端末が含まれるVLANの設定を変更した場合,認証除外を解除します。
[コンフィグレーションの変更内容]
・VLANを削除した場合
・VLANを停止(suspend)した場合
-
認証モード切替による認証除外解除
copyコマンドでコンフィグレーションを変更して,認証モードが切り替わる設定をした場合,認証除外を解除します。
-
MAC認証の停止による認証除外解除
コンフィグレーションコマンドno mac-authentication system-auth-controlでMAC認証の設定が削除されてMAC認証が停止した場合,認証除外を解除します。
-
MACポートにdot1qが設定されている場合のレイヤ2認証の動作を次の表に示します。
|
受信フレーム |
IEEE802.1X |
Web認証 |
MAC認証 |
|---|---|---|---|
|
Untaggedフレーム |
VLAN単位認証(動的)で認証 |
ダイナミックVLANモードで認証 |
ダイナミックVLANモードで認証 |
|
Taggedフレーム |
VLAN単位認証(静的)で認証 |
認証できない |
固定VLANモードで認証 |