コンフィグレーションガイド Vol.2

[目次][索引][前へ][次へ]


7.3.2 認証前端末の通信許可

<この項の構成>
(1) 認証専用IPv4アクセスリスト
(2) 動作可能なレイヤ2認証
(3) DHCP snooping設定時の注意

(1) 認証専用IPv4アクセスリスト

認証前状態の端末に対して,DHCPサーバからIPアドレスの配布やDNSサーバによる名前解決ができるようにするには,認証前状態の端末がDHCPサーバやDNSサーバと通信できる必要があります。なお,Web認証を設定している場合,DHCPパケットは通信できます。

認証前状態の端末が本装置外の装置(DHCPサーバやDNSサーバ)と通信できるようにするには,認証専用のIPv4アクセスリスト(以降,認証専用IPv4アクセスリストと呼びます)を設定します。

図7-5 認証専用IPv4アクセスリスト設定後の通信

[図データ]

通常のアクセスリストで設定されたフィルタ条件は,認証専用IPv4アクセスリストで設定されたフィルタ条件よりも優先されます。

認証前の端末に外部DHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件に,対象となるDHCPサーバ向けのbootpsパケットを通信させる設定が必要になります。この場合は,次に示すようにフィルタ条件を必ず設定してください。

[必要なフィルタ条件設定例]
DHCPサーバのIPアドレスが10.10.10.254の場合
permit udp any host 10.10.10.254 eq bootps
permit udp any host 255.255.255.255 eq bootps

なお,認証前の端末に本装置内蔵のDHCPサーバからIPアドレスを配布する場合,認証専用IPv4アクセスリストのフィルタ条件にbootpsパケットの設定をすると,装置内蔵のDHCPサーバが使用できません。

[認証専用IPv4アクセスリスト設定時の注意]

コンフィグレーションコマンドauthentication ip access-groupを設定する場合,次の点に注意してください。

(2) 動作可能なレイヤ2認証

認証専用IPv4アクセスリストが動作するレイヤ2認証を次の表に示します。

表7-8 認証専用IPv4アクセスリストが動作するレイヤ2認証

機能 IEEE802.1X Web認証 MAC認証
ポート単位認証 VLAN単位認証(静的) VLAN単位認証(動的) 固定VLANモード ダイナミックVLANモード レガシーモード 固定VLANモード ダイナミックVLANモード
認証専用IPv4アクセスリスト ×

(凡例) ○:動作できる ×:動作できない


(3) DHCP snooping設定時の注意

DHCP snoopingでuntrustポートに設定されたポートでは,認証専用IPv4アクセスリストのフィルタ条件にプロトコル名称bootpsまたはbootpcを設定しても,端末から送信されるDHCPパケットはDHCP snoopingの対象となるため,DHCP snoopingで許可されたDHCPパケットだけが装置外へ送信されます。

[目次][前へ][次へ]


[他社商品名称に関する表示]

All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.