解説書 Vol.2
本装置のIEEE 802.1X機能では,三つの基本認証モードとその下に三種類の認証サブモードを設けています。基本認証モードは,認証制御を行う単位を示し,認証サブモードは認証のさせ方を指定します。また,基本認証モードと認証サブモードに対して設定可能なオプションを設けています。各認証モードの関係を次の表に示します。
基本認証モード 認証サブモード 認証オプション ポート単位認証 シングルモード − マルチモード − 端末認証モード 認証除外端末オプション 認証端末数制限オプション VLAN単位認証(静的) シングルモード 認証除外ポートオプション マルチモード 認証除外ポートオプション 端末認証モード 認証除外端末オプション 認証除外ポートオプション 認証端末数制限オプション VLAN単位認証(動的)
【AX7800S】端末認証モード 認証除外端末オプション 認証端末数制限オプション (凡例) −:該当なし
本装置のIEEE 802.1X機能においては,リンクアグリゲーショングループについても一つの束ねられたポートとして扱います。この機能での「ポート」の表現には通常のポートとリンクアグリゲーショングループを含むものとします。
- <この項の構成>
- (1) 基本認証モード
- (2) 認証サブモード
- (3) 認証モードオプション
(1) 基本認証モード
本装置でサポートする基本認証モードを以下に示します。
- ポート単位認証モード
認証の制御を物理ポートもしくはリンクアグリゲーショングループに対して行います。IEEE 802.1Xの標準的な認証単位です。この認証モードではIEEE802.1Q VLAN-Tagの付与されたEAPOLフレームを扱うことはできません。IEEE802.1Q VLAN-Tagの付与されたEAPOLフレームを受信すると廃棄します。コンフィグレーションコマンドdot1xのportサブコマンドで設定します。
ポート単位認証の動作イメージを次の図に示します。
- VLAN単位認証(静的)モード
認証の制御をVLANに対して行います。IEEE802.1Q VLAN-Tagの付与されたEAPOLフレームを扱うことができます。端末と本装置の間にL2スイッチを配置し,L2スイッチを用いてIEEE802.1Q VLAN-Tagの付与を行う場合に使用します。Tagの付与されていないEAPOLについては,ポートにUntaggedで設定されているVLANで受信したと認識します。コンフィグレーションコマンドdot1xのtarget-vlanサブコマンドで設定します。
VLAN単位認証(静的)の動作イメージを次の図に示します。
- VLAN単位認証(動的)モード【AX7800S】
認証の制御をMAC VLANに所属する端末に対して行います。IEEE802.1Q VLAN-Tagの付与されたEAPOLフレームを扱うことができません。このフレームを受信した場合破棄します。
MAC VLANに対応していないPSUボードでは,本モードはサポートしません。
指定されたMAC VLANのUntaggedが動的認証対象となり,Taggedで設定された場合,認証除外ポートとして扱われます。
認証に成功した端末は,認証サーバであるRADIUSサーバからのVLAN情報(MAC VLANのVLANID)に従い,動的にVLANの切り替えを行います。コンフィグレーションコマンドdot1xのtarget-vlan dynamicサブコマンドで設定します。
VLAN単位認証(動的)動作イメージを次の図に示します。
(2) 認証サブモード
基本認証モードに対して設定する認証サブモードを以下に示します。
- シングルモード
一つの認証単位内に一つの端末だけ認証して接続するモードです。IEEE 802.1Xの標準的な認証モードです。最初の端末が認証している状態でほかの端末からのEAPを受信すると,そのポートの認証状態は未認証状態に戻りkeep-unauthサブコマンドで指定された時間が経過した後に認証シーケンスの再開を行います。コンフィグレーションコマンドdot1xのaccess-control singleサブコマンドで設定します。
- マルチモード
一つの認証単位内に複数端末の接続を許容しますが,認証対象の端末はあくまで最初にEAPを受信した1端末だけのモードです。最初に認証を受けた端末の認証状態に応じて,その他の端末のパケットを疎通するかどうかが決まります。最初の端末が認証されている状態でほかの端末のEAPを受信すると無視します。コンフィグレーションコマンドdot1xのaccess-control multiサブコマンドで設定します。
- 端末認証モード
一つの認証単位内に複数端末の接続を許容し,端末ごと(送信元MACアドレスで識別)に認証を行うモードです。端末が認証されている状態でほかの端末のEAPを受信すると,EAPを送信した端末との間で個別の認証シーケンスが開始されます。コンフィグレーションコマンドdot1xのaccess-control supplicantサブコマンドで設定します。
(3) 認証モードオプション
認証モード/認証サブモードに対するオプション設定を以下に示します。
- 認証除外端末オプション
スタティックMACアドレス登録機能によってMACアドレスが設定された端末については認証を不要とし,疎通を許可するオプション設定です。Supplicant機能を持たないプリンタなどの装置やサーバの様な認証が不要な端末を,端末単位で認証対象から除外したいときに使用します。ポート単位認証およびVLAN単位認証(静的)では,コンフィグレーションコマンドfdbのstatic-entryサブコマンドで設定します。
VLAN単位認証(動的)では,コンフィグレーションコマンドvlanのmac-addressサブコマンドで設定します。端末認証モードの場合だけ使用可能です。【AX7800S】
- 認証除外ポートオプション
特定の物理ポート番号もしくはリンクアグリゲーションIDを指定することで,その物理ポートもしくはリンクアグリゲーショングループ配下の端末については認証を不要とし,疎通を許可するオプション設定です。VLAN単位認証(静的)モードを使用しているときに,認証対象となるVLANの中に認証対象外としたいポートがある場合に使用します。コンフィグレーションコマンドdot1xのforce-authorized-portサブコマンドで設定します。VLAN単位認証(静的)モードの場合だけ使用可能です。
- 認証端末数制限オプション
認証単位内に収容する最大認証端末数を制限するオプション設定です。コンフィグレーションコマンドdot1xのmax-supplicantサブコマンドで設定します。端末認証モードだけで有効です。認証単位ごとの設定値を次の表に示します。
認証モード 初期値 最小値 最大値 ポート単位認証 256 1 256 VLAN単位認証(静的) 256 1 256 VLAN単位認証(動的) 8,192 1 8,192 - 端末検出動作切り替えオプション
端末の認証開始を誘発するために,本装置はtx-periodサブコマンドで指定された間隔でEAP-Req/Idをマルチキャストで送信します。認証モードが端末認証モードの場合,認証単位に複数の端末が存在する可能性があるため,本装置ではすべての端末の認証が完了するまでEAP-Req/Idの送信を継続することをデフォルトの動作としています。このとき,認証単位当たりの端末数が増えるとEAP-Req/Idに応答した端末の認証処理で装置に負荷を掛けるおそれがあるため,認証済み端末からの応答には認証シーケンスを一部省略することで,装置の負荷を軽減しています。
ただし,使用するSupplicantソフトウェアの種類によっては,認証シーケンスの省略によって認証済み端末の通信が途切れる問題が発生することがあります。そのため,認証済み端末に対する動作を切り替えるオプションを用意しています。本オプションはsupplicant-detectionサブコマンドで選択を行い,次に示す三種類の動作を指定できます。
本オプションは端末認証モードだけで有効です。それぞれの動作シーケンスを次の図に示します。
- shortcut(認証済み端末に対する認証シーケンスを省略する:デフォルト)
- disable(認証済み端末が存在する場合はEAP-Req/Idの送信を停止する)
- full(認証済み端末に対する認証シーケンスを省略しない)
図3-6 shortcut,disable,fullのEAP-Req/Idのシーケンス
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.