コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) IEEE802.1X認証との共存について
- (2) 無線LAN使用について
- (3) 認証サーバでVLANaccess2.0を使用する場合の注意
- (4) エージングタイムの設定について
- (5) mac-addressコマンドで静的MACアドレスを登録する場合の注意
- (6) no fense serverコマンド実行時の動作について
- (7) 認証サーバ設定時および認証VLANコンフィグレーション変更時の注意
- (8) 認証サーバのHCIntervalとfense alive-timerの推奨する設定値
- (9) 認証サーバとの接続/切断が頻繁に発生する場合
- (10) 動的MACアドレスの解放契機について
- (11) スイッチ間非同期モード有効時の注意
(1) IEEE802.1X認証との共存について
IEEE802.1X認証が動作している場合(コンフィグレーションコマンドdot1x system-auth-controlを実行している場合),認証VLANを同時に使用することはできません。
(2) 無線LAN使用について
本装置の配下に無線LANを使用する際は,アクセスポイントのルータの設定およびDHCPサーバの設定を必ずOFFにしてください。
(3) 認証サーバでVLANaccess2.0を使用する場合の注意
認証サーバでVLANaccess2.0を使用する場合,Microsoft Windows 2000 Serverに実装されている次のサービスを必ず停止してください。
- DHCPサーバ
- DHCPクライアント
- DNSサーバ
(4) エージングタイムの設定について
認証VLANを使用する場合,MACアドレステーブルエントリのエージングタイムに0(無限)を設定しないでください。0を設定すると,認証後にVLANが切り替わったとき,切り替わる前のVLANのMACアドレステーブルエントリがエージングされずに残ってしまうため,不要なMACアドレステーブルエントリが蓄積することになります。
なお,切り替える前のVLANに不要なMACアドレステーブルエントリが蓄積した場合は,運用コマンドclear mac-address-tableで消去してください。
(5) mac-addressコマンドで静的MACアドレスを登録する場合の注意
(config-vlan)モード時にコンフィグレーションコマンドmac-addressで静的MACアドレスを登録する場合,認証対象となる端末のMACアドレスが指定されると認証済みVLANに移動できなくなりますので,指定しないでください。
(6) no fense serverコマンド実行時の動作について
コンフィグレーションコマンドno fense serverを実行すると,対応する認証サーバとの接続を切断しますが,すでに認証済みとなっているMACアドレスはそのままの状態ですので,認証済み端末からの通信を続けられます。さらに,コンフィグレーションコマンドfense serverの実行によって認証サーバとの接続を再開しても,認証済み端末は再認証を行わずに通信を続けられます。認証サーバとの接続が切断された状態のまま放置してしまうと認証済み端末が不用意に使用されるおそれがありますので,このような場合は,本装置の認証VLANを運用コマンドrestart vaaで再起動して,認証済み端末のMACアドレスを削除してください。
(7) 認証サーバ設定時および認証VLANコンフィグレーション変更時の注意
認証サーバのネットワーク設定の変更,認証VLANのコンフィグレーションコマンドfense vaa-name,fense serverおよびfense vlanで認証VLANシステムのネットワーク構成を変更した場合,またはコンフィグレーションコマンドno fense serverで認証VLANをいったん停止して,再度コンフィグレーションコマンドfense serverで起動した場合は,必ず認証サーバのVLANaccessControllerを含む認証VLAN関連の各機能を再起動して,さらに,本装置の認証VLANを再起動してください。
なお,認証サーバの各機能の再起動については,認証サーバソフトに添付される説明書を参照してください。
(8) 認証サーバのHCIntervalとfense alive-timerの推奨する設定値
認証VLANの安定動作のため,認証端末数に従って,コンフィグレーションおよび認証サーバの設定パラメータの値(fense.conf)を設定してください。推奨する値を次の表に示します。
表14-3 コンフィグレーション,認証サーバの設定パラメータの値
認証端末数 コンフィグレーション 認証サーバの設定パラメータ fense alive-timer HCInterval RecvMsgTimeout 1〜256 20秒(デフォルト) 15秒(デフォルト) 20秒(デフォルト) 257〜4096 35秒 30秒 35秒
(9) 認証サーバとの接続/切断が頻繁に発生する場合
認証VLANのコンフィグレーションコマンド設定変更によって認証サーバとの接続/切断を繰り返す場合があります。このような場合は,認証サーバ側のVLANaccessControllerを含む認証VLANの各機能を再起動してください。
(10) 動的MACアドレスの解放契機について
次の動作を行った場合,認証VLANがMAC VLANに登録した動的MACアドレスを解放するため,端末から認証済みVLANへの通信ができなくなります。
- VLANaccessAgentを停止する。
- 認証VLANをログアウトする。
また,次の動作を行った場合,動的MACアドレスを一時的に解放しますが,認証サーバとのセッションが再接続されたあとに動的MACアドレスを再登録するので,端末から認証済みVLANへの通信を継続できます。
- 運用コマンドrestart vaaでVLANaccessAgentを再起動する。
- 運用コマンドrestart vlan mac-managerでL2MAC管理機能を再起動する。
(11) スイッチ間非同期モード有効時の注意
スイッチ間非同期モードを有効とした場合,次に示す制限事項があります。
- 一度認証した端末がほかのスイッチに移動した場合は,再度認証操作が必要となります。
- VRRP,GSRPで装置冗長構成を組んだ場合に装置切り替えが発生すると,再度認証操作が必要となります。
- 認証端末が収容されているかの判断にMACアドレステーブルを利用しているので,認証前VLANのMACアドレステーブルがクリアされると,認証が失敗してしまいます。
- 本機能を実行しているスイッチと同一のサブネットに,通常モードの認証VLANが動作しているスイッチを混在させないでください。認証対象端末が接続されていなくても,通常モードの認証VLANが動作しているスイッチから認証サーバに登録完了の通知が届いてしまい,認証サーバ上の認証情報に不一致が発生する場合があります。
- 認証サーバに認証済みのMACアドレスが保持されていても,スイッチが再起動するとMACアドレステーブルをクリアしますので,スイッチ再起動後に認証が解除される場合があります。
- 二重化構成で系切替が発生した場合,MACアドレステーブルの動的MACアドレスは新運用系システムに引き継がれませんので,接続されている端末は再度認証を行う必要があります。
All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.