コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) 認証専用IPv4アクセスリスト
- (2) 動作可能なレイヤ2認証
- (3) DHCP snooping設定時の注意
(1) 認証専用IPv4アクセスリスト
認証前状態の端末に対して,DHCPサーバからIPアドレスの配布やDNSサーバによる名前解決ができるようにするには,認証前状態の端末がDHCPサーバやDNSサーバと通信できる必要があります。なお,Web認証を設定している場合,DHCPパケットは通信できます。
認証前状態の端末が本装置外の装置(DHCPサーバやDNSサーバ)と通信できるようにするには,認証専用のIPv4アクセスリスト(以降,認証専用IPv4アクセスリストと呼びます)を設定します。
図7-5 認証専用IPv4アクセスリスト設定後の通信
通常のアクセスリストで設定されたフィルタ条件は,認証専用IPv4アクセスリストで設定されたフィルタ条件よりも優先されます。
認証前の端末に外部DHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件に,対象となるDHCPサーバ向けのbootpsパケットを通信させる設定が必要になります。この場合は,次に示すようにフィルタ条件を必ず設定してください。
- [必要なフィルタ条件設定例]
- DHCPサーバのIPアドレスが10.10.10.254の場合
permit udp any host 10.10.10.254 eq bootps permit udp any host 255.255.255.255 eq bootpsなお,認証前の端末に本装置内蔵のDHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件にbootpsパケットの設定をすると,装置内蔵のDHCPサーバが使用できません。
コンフィグレーションコマンドauthentication ip access-groupを設定する場合,次の点に注意してください。
- 指定できる認証専用IPv4アクセスリストは1個だけです。
- 認証専用IPv4アクセスリストで設定できるフィルタ条件が収容条件を超えている場合,収容条件内のものだけ設定されます。
- 認証専用IPv4アクセスリストで適用できるアクションはpermitだけで,次のフィルタ条件に限定されます。
- プロトコル名称がtcpまたはudp
- 宛先IPアドレス
- 宛先L4ポート
- 認証専用IPv4アクセスリストのフィルタ条件に,宛先IPアドレスとしてWeb認証専用IPアドレスが含まれるアドレスを設定した場合は,Web認証によるログイン操作ができません。
(2) 動作可能なレイヤ2認証
認証専用IPv4アクセスリストが動作するレイヤ2認証を次の表に示します。
表7-8 認証専用IPv4アクセスリストが動作するレイヤ2認証
機能 IEEE802.1X Web認証 MAC認証 ポート単位認証 VLAN単位認証(静的) VLAN単位認証(動的) 固定VLANモード ダイナミックVLANモード レガシーモード 固定VLANモード ダイナミックVLANモード 認証専用IPv4アクセスリスト ○ ○ ○ ○ ○ × ○ ○ (凡例) ○:動作できる ×:動作できない
(3) DHCP snooping設定時の注意
DHCP snoopingでuntrustポートに設定されたポートでは,認証専用IPv4アクセスリストのフィルタ条件にプロトコル名称bootpsまたはbootpcを設定しても,端末から送信されるDHCPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたDHCPパケットだけが装置外へ送信されます。
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.