ここでは,固定 VLAN モードおよびダイナミック VLAN モードの各認証モードについて,ローカル認証 方式および RADIUS 認証方式の場合のシステム構成を示します。
10.2.1 固定 VLAN モード
固定 VLAN モードでは,認証対象端末が認証前のときは,MAC アドレステーブルに登録されず,接続さ れた VLAN 内へ通信できない状態です。認証が成功すると,端末の MAC アドレスを MAC アドレステー ブルに登録し,VLAN 内へ通信できるようになります。
本装置では,認証ポートとして次のポートを設定できます。
• アクセスポート
• トランクポート
トランクポートに入ってきた Tagged フレームおよび Untagged フレームの扱いを次に示します。
• 認証時のフレームが Tagged フレームの場合,認証成功後,VLAN Tag で示された VLAN に通信でき ます。
• 認証時のフレームが Untagged フレームの場合,認証成功後,ネイティブ VLAN に通信できます。
図 10‒1 Tagged フレームおよび Untagged フレームの扱い
また,認証前 VLAN 内で通信したい場合は,認証専用 IPv4 アクセスリストで通信に必要なフィルタ条件 を設定する必要があります。
(1) ローカル認証方式
ローカル認証方式は,MAC 認証の対象となるポートで受信したフレームの送信元 MAC アドレスと,内蔵 MAC 認証 DB に登録されている MAC アドレスとを照合し,一致していれば認証成功として通信を許可す る方式です。
図 10‒2 固定 VLAN モードのローカル認証方式の構成
なお,ローカル認証方式には,MAC アドレスだけで照合する方法と,MAC アドレスと VLAN ID との組 み合わせで照合する方法があります。これらの方法は,コンフィグレーションコマンド
mac-authentication vlan-check で選択できます。
MAC アドレスと VLAN ID による照合時の設定条件を次の表に示します。
表 10‒1 固定 VLAN モードのローカル認証方式の VLAN ID 照合 コンフィグレーション
コマンド設定
内蔵 MAC 認証 DB の VLAN ID 設定
有り 無し
有り MAC アドレスと VLAN ID で照合しま
す。
MAC アドレスだけで照合します。
無し MAC アドレスだけで照合します。 MAC アドレスだけで照合します。
(2) RADIUS 認証方式
RADIUS 認証方式は,MAC 認証の対象となるポートで受信したフレームの送信元 MAC アドレスと,
RADIUS サーバに登録されている MAC アドレスとを照合し,一致していれば認証成功として通信を許可 する方式です。
図 10‒3 固定 VLAN モードの RADIUS 認証方式の構成
なお,RADIUS 認証方式には,MAC アドレスだけで照合する方法と,MAC アドレスと VLAN ID との 組み合わせで照合する方法があります。これらの方法は,コンフィグレーションコマンド
mac-authentication vlan-check で選択できます。
MAC アドレスと VLAN ID による照合時の設定条件を次の表に示します。
表 10‒2 固定 VLAN モードの RADIUS 認証方式の VLAN ID 照合 コンフィグレーション
コマンド設定 動作
有り MAC アドレスと VLAN ID で照合します。
無し MAC アドレスだけで照合します。
また,RADIUS への問い合わせに用いるパスワードは,コンフィグレーションコマンド
mac-authentication password で設定できます。なお,コンフィグレーションコマンド mac-mac-authentication password が設定されていない場合は,認証を行う MAC アドレスをパスワードとして用います。
10.2.2 ダイナミック VLAN モード
ダイナミック VLAN モードでは,認証前 VLAN に収容されていた認証対象端末を,認証成功後,内蔵 MAC 認証 DB または RADIUS に登録されている VLAN ID を使用して,MAC VLAN と MAC アドレス テーブルに登録して認証後 VLAN への通信を許可します。このため,次に示す設定が必要になります。
• MAC VLAN が設定されている MAC ポートを認証ポートとして設定
また,認証前 VLAN 内で通信したい場合は,認証専用 IPv4 アクセスリストで通信に必要なフィルタ条件 を設定する必要があります。
(1) ローカル認証方式
ローカル認証方式は,MAC 認証の対象となるポートで受信したフレームの送信元 MAC アドレスと,内蔵 MAC 認証 DB に登録されている MAC アドレスとを照合し,一致していれば認証成功として内蔵 MAC 認
証 DB に登録されている VLAN ID を使用して,MAC VLAN と MAC アドレステーブルに登録し,認証 後 VLAN への通信を許可する方式です。
図 10‒4 ダイナミック VLAN モードのローカル認証方式の構成
(2) RADIUS 認証方式
RADIUS 認証方式は,MAC 認証の対象となるポートで受信したフレームの送信元 MAC アドレスと,
RADIUS サーバに登録されている MAC アドレスとを照合し,一致していれば RADIUS に登録されてい る VLAN ID を使用して,MAC VLAN と MAC アドレステーブルに登録して認証後 VLAN への通信を許 可する方式です。
また,RADIUS への問い合わせに使用するパスワードは,コンフィグレーションコマンド mac-authentication password で設定できます。コンフィグレーションコマンド mac-mac-authentication password が設定されていない場合は,認証する MAC アドレスをパスワードとして使用します。
図 10‒5 ダイナミック VLAN モードの RADIUS 認証方式の構成
10.2.3 MAC ポートに dot1q 設定時の動作
MAC ポートに dot1q が設定された場合の動作については,「5.3 レイヤ 2 認証共通の機能」を参照して ください。