本章で記載している認証モードは固定VLANモードと動的VLANモードです。レガシーモードについ ては製品マニュアルをご確認下さい。また認証モードの詳細につきましては1.3 AXでサポートする認証 モードの特徴を参照して下さい。
2.1. 認証方式
AXシリーズのサポートする認証方式一覧を以下に示します。
表 2.1-1 認証方式
項
番 認証方式 認証モード
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 1 IEEE802.1X認証 固定 VLAN
モード
ポート単位 ○ ○ ○
2 VLAN単位 × ○ ○
3 動的VLANモード ○ ○(*1) ○(*1)
4 Web認証 固定VLANモード ○ ○ ○
5 動的VLANモード ○ ○ ○
6 MAC認証 固定VLANモード ○ ○ ○
7 動的VLANモード ○ ○ ○
(凡例) ○:サポート、×:未サポート
(*1) AX2400S、AX3600S、AX6000S の IEEE802.1X認証(VLAN 単位認証(動的))は同一装置内で
Web認証またはMAC認証の動的VLANモードと併用した場合、動的VLANモードとして動作します。
また装置でIEEE802.1X認証(VLAN単位認証(動的))を単独で用いた場合、レガシーモードとして動 作します。
AXシリーズでは、認証モードが混在した場合の設定可否が装置ごとに異なります。
認証モード混在時に設定できる認証方式を以下に示します。
(1) AX1200S/AX2200S/AX2500Sシリーズ 装置内での共存、同一ポートでの共存が可能です。
表 2.1-2 AX1200S/AX2200S/AX2500Sシリーズ
固定VLANモード 動的VLANモード IEEE802.1X
認証(ポート 単位)
IEEE802.1X 認証(VLAN 単位)
MAC認証 Web認証 IEEE802.1X
認証 MAC認証 Web認証
固定 VLAN モード
IEEE802.1X 認証(ポート 単位)
― ○ ○ ○ ○ ○
IEEE802.1X 認 証(VLAN 単位)
― ― ― ― ― ―
MAC認証
○ ― ○ ○ ○ ○
Web認証
○ ― ○ ○ ○ ○
動的 VLAN モード
IEEE802.1X
認証 ○ ― ○ ○ ○ ○
MAC認証
○ ― ○ ○ ○ ○
Web認証
○ ― ○ ○ ○ ○
(凡例) ○:設定可、×:設定不可、―:未サポート
(2) AX2400S / AX3600Sシリーズ
表 2.1-3 AX2400S / AX3600Sシリーズ
固定VLANモード 動的VLANモード IEEE802.1X
認証(ポート 単位)
IEEE802.1X 認証(VLAN 単位)
MAC認証 Web認証 IEEE802.1X
認証 MAC認証 Web認証
固定 VLAN モード
IEEE802.1X 認証(ポート 単位)
○ ○(*1) ○(*1) ○ ○ ○
IEEE802.1X 認証(VLAN 単位)
○ ○ ○ ○ ○ ○
MAC認証
○(*1) ○ ○ ○ ○ ○
Web認証
○(*1) ○ ○ ○ ○ ×
動的 VLAN モード
IEEE802.1X
認証 ○ ○ ○ ○ ○ ○
MAC認証
○ ○ ○ ○ ○ ○
Web認証
○ ○ ○ × ○ ○
(凡例) ○:設定可、×:設定不可、―:未サポート
(*1) 端末認証モードのみサポート
(3) AX6300S / AX6600S / AX6700Sシリーズ
表 2.1-4 AX6300S / AX6600S / AX6700Sシリーズ
固定VLANモード 動的VLANモード IEEE802.1X
認証(ポート 単位)
IEEE802.1X 認証(VLAN 単位)
MAC認証 Web認証 IEEE802.1X
認証 MAC認証 Web認証
固定 VLAN モード
IEEE802.1X 認証(ポート 単位)
○ ○(*1) ○(*1) ○ ○ ○
IEEE802.1X 認証(VLAN 単位)
○ ○ ○ ○ ○ ○
MAC認証
○(*1) ○ ○ ○ ○ ○
Web認証
○(*1) ○ ○ ○ ○ ×
動的 VLAN モード
IEEE802.1X
認証 ○ ○ ○ ○ ○ ○
MAC認証
○ ○ ○ ○ ○ ○
Web認証
○ ○ ○ × ○ ○
(凡例) ○:設定可、×:設定不可、―:未サポート
(*1) 端末認証モードのみサポート
2.2. ユーザ認証データベース
ユーザ認証には、装置に内蔵した認証用データベースを用いる方式と、外部に設置したRADIUSサー バに問い合わせる方式があります。これらのデータベースは、認証モードによる差分はありません。
AXシリーズのサポートするユーザ認証データベースを以下に示します。
表 2.2-1 ユーザ認証データベース
項
番 認証方式 ユーザ認証データベース
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S
1 IEEE802.1X認証 内蔵データベース × × ×
2 RADIUSサーバ ○ ○ ○
3 MAC認証 内蔵データベース ○ ○ ○
4 RADIUSサーバ ○ ○ ○
5 Web認証 内蔵データベース ○ ○ ○
6 RADIUSサーバ ○ ○ ○
(凡例) ○:サポート、×:未サポート
2.3. ログ出力機能
ログ出力機能とは、認証を許可した端末へのサービス開始やサービス停止、認証失敗などのタイミン グでユーザ情報を出力する機能です。この機能を用いて、利用状況追跡を行うことができます。
AXシリーズのサポートするログ出力機能を以下に示します。
表 2.3-1 ログ出力機能
項
番 認証方式 ログ出力機能 AX1230S
AX1240S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 1 IEEE802.1X
認証
showコマンドによる表示 ○ ○ ○ ○
2 RADIUS accounting機能 × ○ ○ ○
3 syslogサーバへの出力 ○ ○ ○ ○
4 SNMP/Trap ○ ○ × ×
5 MAC認証 showコマンドによる表示 ○ ○ ○ ○
6 RADIUS accounting機能 × ○ ○ ○
7 syslogサーバへの出力 ○ ○ ○ ○
8 SNMP/Trap ○ ○ × ×
9 Web認証 showコマンドによる表示 ○ ○ ○ ○
10 RADIUS accounting機能 × ○ ○ ○
11 syslogサーバへの出力 ○ ○ ○ ○
12 SNMP/Trap ○ ○ × ×
(凡例) ○:サポート、×:未サポート
2.4. RADIUSアトリビュート
RADIUSアトリビュート(1.2.4.2章)について、AXシリーズの動作差分一覧を以下に示します。
表 2.4-1 RADIUSアトリビュートに対する機種別動作 属
性 属性名
(パケットタイプ)
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 1 NAS-IP-Address
(Request)
VLAN ID の一番小さ
なVLANインタフェー スのIPアドレス
ローカルアドレスが設定されている場合:
ローカルアドレス 設定されていない場合:
送信インタフェースのIPアドレス 2 Session-Timeout
(Challenge,Accept )
参照しない Termination-Action が
RADIUS-Accecpt(1)に設定されていた場合、以 下の値で再認証を行う(IEEE802.1X認証のみ)
0:再認証は無効
1~60:60秒で再認証
61~65535:設定された値で再認証
(6.1.6章参照)
3 Termination-Action
(Accept)
参照しない RADIUS-Accept(1)に設定されていると、装置 で再認証を設定していない場合でも強制的に 再認証を行う(IEEE802.1X認証のみ)
(6.1.6章参照)
4 NAS-Port-Id (Request)
IEEE802.1X認証でのみセットされます
Supplicantを認証するAuthenticatorのポートを識別するための文字列。
ポート単位認証:“Port x/y” (ポート番号)
固定VLAN認証:“VLAN x”
動的VLAN認証:“DVLAN x”
(x、yには数字が入る)
ただしAX1230Sは未サポート
2.5. IEEE802.1X認証機能
AXシリーズのサポートするIEEE802.1X認証の主な機能について以下に示します。
表 2.5-1 IEEE802.1X認証機能
項
番 機能 AX1200S
AX2200S AX2500S AX2400S AX3600S
AX6300S AX6600S AX6700S
1 EAPOLフォワーディング
機能
EAPOLフォワー
ディング ○(*1) ○(*1) ○(*1) ○ 2 端末認証モードオプション 認 証 除外 端末 オ
プション ○ ○ ○ ○
3 認証除外ポート
オプション × × ○ ○
4 認 証 端末 数制 限
オプション × × ○ ○ 5 ログアウト機能 再認証失敗 ○ ○ ○ ○
6 運用コマンド ○ ○ ○ ○
7 無通信監視 ○ ○ × ×
8 リンクダウン ○ ○ ○ ○
9 ポ ー ト リ ン ク ダ ウ ン 時 の 認 証 解 除抑止設定機能
× ○ × ×
10 RADIUSサーバとの関連機能 サ ー バ無 応答 時
の強制認証 ○ ○ × × 11 端末検出動作切り替え機能 shortcutモード ○(*1) ○ ○ ○
12 disableモード ○ ○ ○ ○
13 fullモード × × ○ ×
auto ○(*2) ○) ○ ×
14 VLAN自動アサイン VLAN自動アサ
イン ○(*2) ○ ○(*3) × 15 同一ポートで固定・動的VLANの混在
(MACVLANポートでRADIUSよりVLAN配布 が無い場合ネイティブVLANで認証)
○(*2) ○ × ×
16 トランクポートにおける認証
(IEEE802.1Q VLAN Tag 付きEAPOLサポート) × ○ ○ ○
17 MAC VLANポートにおける
(IEEE802.1Q VLAN Tag 付きEAPOLサポート) × ○ ○ ×
(凡例) ○:サポート、×:未サポート
(*1) 装置単位の設定のみサポート
(*2)AX1230Sでは未サポート、AX1240SではVer2.1よりサポート
(*3)
Ver11.1以降
2.6. Web認証機能
AXシリーズのサポートするWeb認証機能の主な機能について以下に示します。
表 2.6-1 Web認証機能
項
番 機能
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 固定
VLAN モード
動的 VLAN モード
固定 VLAN モード
動的 VLAN モード
固定 VLAN モード
動的 VLAN モード
1 Webサーバ機能 http ○ ○ ○ ○ ○ ○
2 https ○ ○ ○ ○ ○ ○
3 ログイン画面入れ替え機能 ○ ○ ○ ○ ○ ○ 4 URLリダイレクト機能 ○ ○ ○ ○ × ○ 5 Web認証専用IPアドレス ○ ○ ○ ○ ○ ○ 6 ポート単位のWeb認証画面
選択 ○(*1) ○(*1) × × × × 7 外部Webサーバへのリダイ
レクト先Config指定
○(*2) ○(*2)
× × × ×
8 認証成功後リダイレクト前 の URL にジャンプする機 能
○(*2) ○(*2) × × × ×
9 ログアウト機能 運用コマンド ○ ○ ○ ○ ○ ○ 10 最大接続時間での監視 ○ ○ ○ ○ ○ ○
11 無通信監視機能 ○ ○ × ○ × ×
12 ログアウト画面からのログ
アウト ○ ○ ○ ○ ○ ○
13 ARPポーリング ○ × ○ × ○ × 14 特殊pingパケットによるロ
グアウト ○ ○ ○ × ○ ×
15 ポートリンクダウン ○ ○ ○ × ○ × 16 ポートリンクダウン時の認
証解除抑止設定機能 ○(*2) ○(*2) × × × ×
17 RADIUS サーバと
の関連機能
サーバ無応答時の強制認証
○ ○ ○ ○ × ×
18 VLAN 自動アサ イ
ン
VLAN自動アサイン
× ○(*1) × ○ × ×
19 DHCPサーバ機能 設定可能なリースタイム値 10秒~ 10秒~ 10秒~
20 デフォルトゲートウェイの
配布 ○ ○ ○
2.7. MAC認証機能
AXシリーズのサポートするMAC認証機能の主な機能について以下に示します。
表 2.7-1 MAC認証機能
項
番 機能
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 固定
VLAN モード
動的 VLAN モード
固定 VLAN モード
動的 VLAN モード
固定 VLAN モード
動的 VLAN モード 1 認証解除機能 最大接続時間での監視 ○ ○ ○ ○ ○ ○ 2 エージング時間監視 ○ ○ ○ ○ × ○ 3 ポートリンクダウン ○ ○ ○ × ○ × 4 ポートリンクダウン時の認
証解除抑止設定機能 ○(*2) ○(*2) × × × ×
5 RADIUS サーバと
の関連機能
サーバ無応答時の強制認証 ○ ○ ○ ○ × × 6 定期的再認証要求 ○ ○ × × × ×
7 VLAN 自動アサ イ
ン
VLAN自動アサイン
× ○(*1) × ○ × ×
8 同一ポートで固定・動的VLAN混在
(MACVLANポートでRADIUSよりVLAN配布 が無い場合ネイティブVLANで認証)
○(*1) ○ × ×
(凡例) ○:サポート、×:未サポート
(*1) AX1230Sでは未サポート,(*2) AX2500SVer3.5以降のみサポート
2.8. 収容条件
AXシリーズのサポートする各認証モード毎の最大認証端末数を以下に示します。
表 2.8-1 認証モード毎の最大認証端末数
認証モード 認証方式 AX1200S AX2200S
AX2400S AX3600S
AX6300S AX6600S AX6700S 固定VLAN
モード
IEEE802.1X 認証
64/ポート
合計 1024/装置
64/ポート
合計 1024/装置
256/ポート
合計 4096/装置
256/装置 256/VLAN 256/VLAN
MAC認証 1024/装置 1024/装置 4096/装置
Web認証 1024/装置 1024/装置 4096/装置
動的VLAN モード
IEEE802.1X
認証 256/装置
合計 256/装置
256/装置 (*1)
合計 256/装置
(*1)
4096/装置
合計 4096/装置 MAC認証
256/装置 256/装置
(*1) 4096/装置
Web認証 256/装置 256/装置
(*1) 4096/装置
(凡例) ×:未サポート
(*1) AX3640Sでは1024/装置となります。
表 2.8-2 認証モード毎の最大認証端末数
認証モード 認証方式 AX2500S 固定VLAN
モード
IEEE802.1X
認証 1024/装置
合計 1024/装置
MAC認証 1024/装置
Web認証 1024/装置
動的VLAN モード
IEEE802.1X
認証 1000/装置
合計 1000/装置
MAC認証 1000/装置
Web認証 1000/装置
2.9. RADIUSサーバグループ選択機能
AXシリーズのサポートする認証サーバを選択できるRADIUSサーバグループ選択機能一覧 を以下に示します。
機能の詳細に関してはAXシリーズ認証ソリューションガイド(RADIUSサーバグループ選 択機能編)を参照してください。
表 2.9-1 RADIUSサーバグループ選択機能一覧
項
番 機能
AX1200S AX2200S AX2500S
AX2400S AX3600S
AX6300S AX6600S AX6700S 1 ポート別RADIUSサーバグループ選択機能(*2) ○(*1) × × 2 ユーザID別 RADIUS サーバグループ選択機能
(*3) ○(*1) × ×
(凡例) ○:サポート、×:未サポート
(*1)AX1230Sは未サポート
(*2)マニュアルでは“ポート別認証方式”と表記されています。
(*3)マニュアルでは“ユーザID別認証方式”と表記されています。
2.10. リンクアグリゲーションポートでの認証機能
表 2.10-1 リンクアグリゲーションポートでの認証機能一覧
項
番 認証機能 ポート種別 AX1200S
AX2200S AX2500S AX2400S AX3600S
AX6300S AX6600S AX6700S 1 IEEE802.1X認証 アクセスポート × ○ ○ ○
トランクポート × ○ ○ ○
MACVLANポート × ○ ○ ○
2 Web認証 アクセスポート × ○ × × トランクポート × ○ × ×
MACVLANポート × ○ × ×
3 MAC認証 アクセスポート × ○ × × トランクポート × ○ × ×
MACVLANポート × ○ × ×
2.11. ダイナミック ACL/QoS機能
表 2.10-1 ダイナミックACL/QoS認証機能サポート一覧
項
番 認証機能 ポート種別 AX1200S
AX2200S AX2500S AX2400S AX3600S
AX6300S AX6600S AX6700S 1 IEEE802.1X認証 アクセスポート × ○ × ×
トランクポート × ○ × ×
MACVLANポート × ○ × ×
2 Web認証 アクセスポート × ○ × × トランクポート × ○ × ×
MACVLANポート × ○ × ×
3 MAC認証 アクセスポート × ○ × × トランクポート × ○ × ×
MACVLANポート × ○ × ×