認証解除方式 固定 VLAN モード
ダイナミック VLAN モード
VLAN 設定変更による認証解除 ○ ○
認証方式の切り替えによる認証解除 ○ ○
認証モードの切り替えによる認証解除 ○ ○
MAC 認証の停止による認証解除 ○ ○
動的に登録された VLAN の削除によるログアウト − ○
(凡例) ○:サポート −:該当なし
(1) 最大接続時間超過時の認証解除
コンフィグレーションコマンド mac-authentication max-timer で設定された最大接続時間を超えた場合 に,強制的に認証状態を解除します。この際に設定された最大接続時間を経過してから 1 分以内で認証解 除が行われます。
なお,コンフィグレーションコマンド mac-authentication max-timer で最大接続時間を短縮したり,延 長したりした場合,現在認証中の端末には適用されず,次回認証時から設定が有効となります。
(2) 運用コマンドによる認証解除
運用コマンド clear mac-authentication auth-state で MAC アドレス単位に,強制的に認証解除ができま す。なお,同一 MAC アドレスで複数の VLAN ID に認証を行っている場合は,同じ MAC アドレスを持 つ認証をすべて解除します。
(3) 認証端末接続ポートのリンクダウンによる認証解除
認証済み端末が接続しているポートのリンクダウンを検出した際に,該当するポートに接続された端末の認 証を解除します。
(4) 認証済み端末の MAC アドレステーブルエージングによる認証解除
認証済み端末に対し,MAC アドレステーブルを周期的に監視し,端末からのアクセスがあるかをチェック しています。該当する端末からのアクセスがない状態が続いた場合に,強制的に MAC 認証の認証状態を解 除し,認証前の VLAN ID に収容を変更します。ただし,回線の瞬断などの影響で認証が解除されてしま うことを防ぐために,MAC アドレステーブルのエージング時間経過後約 10 分間,該当する MAC アドレ スを持つ端末からのアクセスがない状態が続いた場合に,認証状態を解除します。
MAC アドレステーブルのエージング時間と,MAC アドレステーブルエージングによるログアウトの関係 を次の図に示します。
なお,MAC アドレステーブルのエージング時間はデフォルト値を使用するか,またはデフォルト値より大 きな値を設定してください。
図 10‒7 認証済み端末の MAC アドレステーブルエージングによるログアウト
また,認証成功直後約 10 分間に端末からのアクセスがないと,エージング時間の値に関係なく,強制的に 認証を解除します。
認証成功直後からアクセスがない場合のログアウトを次の図に示します。
図 10‒8 認証成功直後からアクセスがない場合のログアウト
なお,この機能はコンフィグレーションコマンド no mac-authentication auto-logout で無効にできます
(アクセスがない状態が続いた場合でも強制的にログアウトしない設定が可能)。
(5) VLAN 設定変更による認証解除
コンフィグレーションコマンドで認証端末が含まれる VLAN の設定を変更した場合,変更された VLAN に含まれる端末の認証を解除します。
[コンフィグレーションの変更内容]
• VLAN を削除した場合
• VLAN を停止(suspend)した場合
(6) 認証方式の切り替えによる認証解除
認証方式が RADIUS 認証方式からローカル認証方式に切り替わった場合,またはローカル認証方式から
(7) 認証モードの切り替えによる認証解除
copy コマンドでコンフィグレーションを変更して,認証モードが切り替わる設定をした場合,すべての端 末の認証を解除します。
(8) MAC 認証の停止による認証解除
コンフィグレーションコマンドで MAC 認証の定義が削除されて MAC 認証が停止した場合,すべての端 末の認証を解除します。
(9) 動的に登録された VLAN の削除によるログアウト
動的に VLAN が作成された認証ポートにコンフィグレーションコマンド switchport mac vlan が設定さ れた場合,該当ポートに動的に作成された VLAN ID は削除されて,VLAN に所属していた端末の認証を 解除します。
10.3.4 認証数制限
装置単位およびポート単位に認証数の制限が設定できます。詳細は,「5.3 レイヤ 2 認証共通の機能」を 参照してください。
10.3.5 認証済み端末のポート間移動
認証済み端末がポート間を移動した場合については,「5.3 レイヤ 2 認証共通の機能」を参照してくださ い。
10.3.6 アカウント機能
認証結果は次のアカウント機能によって記録されます。
(1) アカウントログ
認証結果は,本装置の MAC 認証のアカウントログに記録されます。記録されたアカウントログは,運用コ マンド show mac-authentication logging で表示できます。
出力される認証結果を次の表に示します。
表 10‒4 出力される認証結果
事象 時刻 MAC アドレス VLAN ID ポート番号 メッセージ
認証成功 認証成功時刻 ○ ○ ○ 成功メッセージ
認証解除 認証解除時刻 ○ ○※ ○※ 解除メッセージ
認証失敗 認証失敗時刻 ○ ○※ ○※ 失敗要因メッセージ
(凡例)○:記録する
注※ メッセージによっては出力されない場合があります。
本装置の MAC 認証のアカウントログは,最大 2100 行まで記録できます。2100 行を超えた場合,古い順 に記録が削除され,最新のアカウント情報が追加記録されていきます。
(2) RADIUS サーバのアカウント機能への記録
コンフィグレーションコマンド aaa accounting mac-authentication で,RADIUS サーバのアカウント 機能を使用できます。アカウント機能には次の情報が記録されます。
• 認証情報 :認証成功時に次の情報が記録されます。
サーバに記録された時刻,MAC アドレス,VLAN ID※
• 認証解除情報 :認証解除時に次の情報が記録されます。
サーバに記録された時刻,MAC アドレス,VLAN ID※,認証成功から認証解除までの経過時間 注※
記録される内容については,「表 10‒7 RADIUS Accounting で使用する属性名」の NAS-Identifier の項目を参照してください。
(3) RADIUS サーバへの認証情報記録
RADIUS 認証方式の場合は,RADIUS サーバが持っている機能によって,認証成功/認証失敗が記録され ます。ただし,使用する RADIUS サーバによって記録される情報が異なることがありますので,詳細は RADIUS サーバの説明書を参照してください。
(4) syslog サーバへの動作ログ記録
MAC 認証の動作ログを syslog サーバに出力できます。また,動作ログは MAC 認証のアカウントログを 含みます。syslog サーバへの出力形式を次の図に示します。
図 10‒9 syslog サーバ出力形式
また,コンフィグレーションコマンド mac-authentication logging enable および logging event-kind aut によって,出力の開始および停止ができます。