解説書 Vol.2
- <この節の構成>
- (1) GSRP機能との共存について
- (2) VRRPとの共存について
- (3) MACアドレス学習数制限機能との共存について
- (4) デフォルトVLAN機能との共存について
- (5) プロトコルVLAN機能との共存について
- (6) Taggedポートとの共存について
- (7) ハイブリッドリンク機能との共存について
- (8) VLANトンネリング機能との共存について
- (9) 未定義フレーム廃棄機能との共存について
- (10) アップリンクVLAN機能・アップリンクブロック機能との共存について
- (11) OADP,CDP機能との共存について
- (12) ルータポート機能との共存について
- (13) MAC学習ON/OFF機能との共存について
- (14) 系切替時の引き継ぎ情報について
- (15) フロー統計機能(sFlow統計/NetFlow統計)との共存について
- (16) VLAN単位認証(動的)モードをサポートするPSUについて【AX7800S】
- (17) VLAN単位認証(動的)モードでのエージング時間の設定について【AX7800S】
- (18) MAC VLANとの共存について【AX7800S】
- (19) supplicant-detectionサブコマンドについて
- (20) タイマ値のオンラインコンフィグレーション変更について
- (21) tx-periodおよびreauth-periodの設定値について
- (22) 端末と本装置の間にL2機能を持つスイッチを配置する場合について
(1) GSRP機能との共存について
GSRP機能とIEEE 802.1X機能は共存できません。
(2) VRRPとの共存について
VRRP機能とIEEE802.1X機能は共存できません。
(3) MACアドレス学習数制限機能との共存について
該当物理ポートがIEEE 802.1Xポート単位認証に設定されている場合にだけ共存設定できます。ほかのモードではできません。
(4) デフォルトVLAN機能との共存について
デフォルトVLANにはIEEE 802.1X VLAN単位認証を設定できません。
(5) プロトコルVLAN機能との共存について
プロトコルVLANにはIEEE 802.1X機能を設定できません。
(6) Taggedポートとの共存について
Taggedポートを含むVLANにはVLAN単位認証(静的)が設定できます。Taggedポートにポート単位認証は設定できません。
VLAN単位認証(動的)では,Taggedポートは認証除外ポートとして扱われます。【AX7800S】
(7) ハイブリッドリンク機能との共存について
Untagged,Taggedが混在するポートを含むVLANにもVLAN単位認証(静的)が設定できます。ポート単位認証は設定できません。
VLAN単位認証(動的)は設定できません。【AX7800S】
(8) VLANトンネリング機能との共存について
VLANトンネリング機能とIEEE 802.1X機能は共存できません。正しく認証が行えません。
(9) 未定義フレーム廃棄機能との共存について
IEEE 802.1X機能の設定をしたポート(VLAN単位認証(静的)の場合は,そのVLANに属するポート)でVLANが決定できないフレームを受信した場合デフォルトVLANで転送されます。デフォルトVLANで転送せずに廃棄したい場合は,未定義フレーム廃棄機能を該当ポートに設定してください。
VLAN単位認証(動的)とは共存できません。【AX7800S】
未定義フレーム廃棄機能については,「解説書 Vol.1 7.1.5 未定義フレーム廃棄機能」を参照してください。
(10) アップリンクVLAN機能・アップリンクブロック機能との共存について
アップリンクVLAN機能またはアップリンクブロック機能を設定したVLANに対して802.1X認証を設定している場合,該当VLANに所属するポートに接続する認証済端末の通信が一時的に遮断されることがあります。これは次に示す(a),(b)のどちらかの条件を満たす場合に発生します。
(a) 該当するVLANで,次のどれかに当てはまるコンフィグレーション変更を行った
- アップリンクVLAN機能のstrictモードを追加または削除した場合
- アップリンクブロック機能を追加または削除した場合
- 設定されているアップリンクVLAN機能のstrictモードをlooseモードへ,またはlooseモードをstrictモードへ変更した場合
- アップリンクポートもしくはブロックポートを追加または削除した場合
(b) 該当するVLANで,設定されているアップリンクポートもしくはブロックポートが,リンクアップまたはリンクダウンした
(11) OADP,CDP機能との共存について
OADP,CDPの透過モードは共存できません。
(12) ルータポート機能との共存について
ルータポートにIEEE 802.1X機能の設定はできません。
(13) MAC学習ON/OFF機能との共存について
IEEE 802.1X設定をしたポート/VLANはMAC学習OFFには設定できません。
(14) 系切替時の引き継ぎ情報について
AX7800Sでは運用系と待機系を切り替えた場合,認証されているMACアドレスを引き継ぎます。AX5400Sでは引き継ぎは行いません。認証されているMACアドレス以外の情報は引き継ぎを行いません。
LACPリンクアグリゲーションモードを使用している場合,そのリンクアグリゲーションで認証を行ったMACアドレス情報は引き継ぎを行いません。スタティックリンクアグリゲーションモードを使用している場合は引き継ぎを行います。
(15) フロー統計機能(sFlow統計/NetFlow統計)との共存について
802.1Xポート単位認証を動作させているポートおよびVLAN単位認証を動作させているVLAN内の各ポートに対して,フロー統計機能(sFlow統計/NetFlow統計)で情報収集を行う際,一部統計情報を誤って採取する場合があります。802.1X認証機能によって送信元の端末が未認証状態であり,該当端末からのフレームを廃棄しているにもかかわらず,フロー統計機能で一部統計採取されます。以下に発生条件を示します。以下の(a)(b)の条件を同時に満たす場合に発生します。
(a) 認証サブモード
認証サブモードを端末認証モードもしくはシングルモードに設定している場合
(b) 対象となるフレームの種類
- IPv6フレームで,宛先アドレスがリンクローカルアドレス
- OSPFやBGPなどのレイヤ3にかかわる自装置宛の制御フレーム
(16) VLAN単位認証(動的)モードをサポートするPSUについて【AX7800S】
VLAN単位認証(動的)をサポートするPSUは,MAC VLAN機能をサポートしたPSUボードだけです。対応するPSUボードについては,「解説書 Vol.1 7.4.5 MAC VLANサポートのPSUについて」を参照してください。
(17) VLAN単位認証(動的)モードでのエージング時間の設定について【AX7800S】
VLAN単位認証(動的)モードを使用する場合,radius-vlanサブコマンドで指定するVLANと認証デフォルトVLANとして使用するVLANについては,FDBエントリのエージング時間に0(無限)を指定しないでください。0(無限)を指定すると,端末の所属するVLANが切り替わったときに,切り替わる前のVLANのFDBエントリがエージングで消去されずに残り続けるため,不要なFDBエントリが蓄積することになります。切り替わる前のVLANに不要なFDBエントリが蓄積した場合は,clear fdbコマンドで消去してください。
(18) MAC VLANとの共存について【AX7800S】
VLAN単位認証(動的)だけが共存できます。
MAC VLANで指定されたポートに対するポート単位認証およびMAC VLANに対するVLAN単位認証(静的)での共存はできません。
(19) supplicant-detectionサブコマンドについて
supplicant-detectionサブコマンドで指定するオプションとSupplicantソフトウェアの組み合わせには以下の注意事項があります。
(a) shortcut
装置の負荷を低減するため,認証済み端末に対するEAP-Req/Id契機の認証シーケンスを一部省略します。一部のSupplicantソフトウェアを本モードで使用すると,EAP-Req/Idによる認証時に認証済み端末との通信が途切れる場合があります。そのときに,使用するSupplicantソフトウェアがEAP-Startを自発的に送信できる場合はdisableを指定してください。自発的にEAP-Startを送信できない場合はfullを指定してください。fullを指定した場合は接続できる端末数に制限が発生しますので注意してください。
(b) disable
認証済み端末が存在する場合はEAP-Req/Idの送信を停止します。自発的にEAP-Startを送信しないSupplicantソフトウェアで本モードを使用すると,認証開始の契機がなくなるため認証を開始できません。Windows標準のSupplicantソフトウェアはデフォルトでは自発的にEAP-Startを送信しませんが,レジストリSupplicantModeの値を変更することによってこの動作を変更できます。レジストリの詳細については,Microsoft社のWWWサイトあるいは公開技術文書を参照してください。レジストリの設定を失敗するとWindowsが立ち上がらなくなるおそれがありますので注意してください。また,レジストリを変更する場合は必ずレジストリのバックアップを取ることをお勧めします。
(c) full
認証済み端末に対するEAP-Req/Id契機の認証シーケンスを省略しません。本モードでは,認証単位ごとに接続できる端末数が,AX7800Sの場合30台,AX5400Sの場合25台に制限されます。この台数を超える端末を接続した場合,本装置に負荷が掛かり認証処理の取りこぼしが発生し,認証済み端末との通信が途切れることがあります。本モードは自発的にEAP-Startを送信しないSupplicantソフトウェアと,認証シーケンスを省略すると問題の発生するSupplicantソフトウェアを混在して使用する場合に指定してください。
(20) タイマ値のオンラインコンフィグレーション変更について
オンラインコンフィグレーションの変更によって,タイマ値(tx-period,reauth-period,supp-timeout,quiet-period,keep-unauth)を変更した場合,変更した値が実際にタイマに反映されるのは,各認証単位で現在動作中のタイマがタイムアウトして0になったときです。すぐに変更を反映させたい場合には,運用コマンド「clear dot1x auth-state」を使用して認証状態をいったん解除してください。
(21) tx-periodおよびreauth-periodの設定値について
tx-periodおよびreauth-periodの設定値は,次に示す式の値に基づいて設定してください。この式で決定される値よりも小さな値を設定した場合,端末の認証状態が安定しないことがあります。
- AX7800Sの場合
tx-period ≧ (装置で認証を行う総端末数÷30)×2
reauth-period > tx-period
- AX5400Sの場合
tx-period ≧ (装置で認証を行う総端末数÷25)×2
reauth-period > tx-period
(22) 端末と本装置の間にL2機能を持つスイッチを配置する場合について
本装置から送信されるEAPOLフレームに対する端末からの応答は一般的にマルチキャストとなるため,端末と本装置の間にL2機能を持つスイッチ(以降,L2スイッチと表記します)を配置する場合,端末からの応答によるEAPOLフレームはL2スイッチの同一VLANのすべてのポート※へ転送されます。したがって,L2スイッチのVLANを次のように定義すると,同一端末からのEAPOLフレームが本装置の複数のポートへ届き,複数のポートで同一端末に対する認証処理が行われるようになります。そのため,認証動作が不安定になり,通信が切断されたり,認証ができなくなったりします。
- 注※
- リンクアグリゲーションの場合,リンクアグリゲーショングループを1ポートとみなします。
- L2スイッチの同一VLANに設定されているポートを,本装置の認証対象となっている複数のポートに接続した場合(下図の禁止構成例参照)
- L2スイッチの同一VLANに設定されているポートを,複数の本装置の認証対象となっているポートに接続した場合(下図の禁止構成例参照)
端末と本装置の間にL2スイッチを配置する場合の禁止構成例を次の図に示します。
図3-8 禁止構成例
端末と本装置の間にL2スイッチを配置する場合の正しい構成例を次の図に示します。
図3-9 正しい構成例
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.