MAC 認証に関する注意事項

6.3.1. 固定VLANモードのMAC認証のログアウトに関する注意事項

固定VLANモードのMAC認証のログアウト条件は以下の4つがあります。

条件１：認証ポートがリンクダウンした場合。

（AX2500Sではコンフィグによりポートリンクダウンでの認証解除を抑止することが 出来ます。）

条件２：最大接続時間を超えた場合。（デフォルトでは最大接続時間監視を行わない）

条件３：認証済み端末の無通信監視による認証解除 条件４：強制ログアウトコマンドによるログアウト

条件５：再認証に失敗した場合。 （AX2500S/AX2200SおよびAX1240S V2.1より）

条件２について、コンフィグレーションコマンドで最大接続時間を設定した場合、最大接続時間経過 後に一度認証情報を削除して再度認証を行います。このため、再接続されるまでパケットロスが発生し ます。

再接続までの時間は実測値で約150msです。（計測端末数は1台で計測）

6.3.2. 動的VLANモードのMAC認証のログアウトに関する注意事項 動的VLANモードのMAC認証のログアウト条件を以下に示します。

（１） AX1200S/AX2200S/AX2500Sの場合

条件１：再認証に失敗した場合。（再認証周期のデフォルト値は１時間）

条件２：最大接続時間を超えた場合。（デフォルトでは最大接続時間監視を行わない）

条件３：認証済み端末の無通信監視による認証解除 条件４：強制ログアウトコマンドによるログアウト 条件５：認証ポートがリンクダウンした場合。

（AX2500Sではコンフィグによりポートリンクダウンでの認証解除を抑止することが 出来ます。）

（２） AX2400S / AX3600Sの場合

条件１：最大接続時間を超えた場合。（デフォルトでは最大接続時間監視を行わない）

条件２：認証済み端末の MAC アドレスがMAC アドレステーブルから削除されて約10分経過した 場合。

条件３：強制ログアウトコマンドによるログアウト

6.3.3. 非認証端末接続時のRADIUSへの負荷

MAC認証設定したポートにMAC認証非許可端末が接続された場合、その他の認証機能（Web認証、

IEEE802.1X認証）にも許可されていなければ、RADIUSへの問い合わせが周期的に実行されます。

AXシリーズでは、この認証失敗時の再認証開始待ち時間はデフォルト値3600秒となっています。

タイマ値の変更は可能ですが、非許可端末が接続された事によるRADIUSサーバやネットワークへの 負荷を抑えるため、3600秒以下には設定しないことを推奨します。

6.4. 認証関連共通の注意事項

6.4.1. 動的VLAN（MAC VLAN）における注意事項

（１） MAC VLANのフラッディング動作について

MAC VLANでは、フレームを送信元MACアドレスで識別してVLANを割り当て、同一VLAN

に所属するポートへ送信します。

動的VLAN認証を使用する場合、認証後VLANと認証前VLANは同一ポートに割り当てられ ているため、ブロードキャスト等のフラッディングするフレームは、認証後の端末と認証前の 端末の双方へ届きます。

図 6.4-1 MAC VLANにおける注意事項（１）

HUB

（２） MAC VLANでのVLAN間通信について

動的VLAN認証を使用する場合は、一度認証に成功した端末が、ログアウト等の動作により 認証前のVLANに移動した場合、フラッディングしながら認証前の端末と通信を継続してしま う場合があります。

この状況を防ぐため、認証前VLANにはフィルタを設定し、認証前の送信元IPのみを通過で きるようにして下さい。

図 6.4-2 MAC VLANにおける注意事項（２）

HUB

6.4.2. 動的VLANモードにおけるVLAN自動アサイン機能について

AX2500S/AX2200S/AX1240S（Ver2.1）および AX2400S（V11.1）、AX3600S（V11.1）以降からダ イナミックモードにおいて MACVLAN ポートのコンフィグにあらかじめ VLAN を定義しない場合、認

証後RADIUSからの VLAN通知により当該ポートに VLANを自動でアサインする機能が使用できるよ

うになりました。

本機能により、ポートに認証後VLANを定義していない場合は、端末がVLANに参加するまで認証後 ネットワークのパケットがフラッディングされなくなります。

認証前にパケット受信が必要な場合は、あらかじめMACVLANポートにVLANを追加してください。

AX2400S,AX3600S の場合、コンフィグでVLANを指定した場合は、指定外のVLANをRADIUSか

ら配布した場合にエラー扱いしますので注意が必要です。

AX2400S,AX3600SではIEEE802.1X認証ではMACVLANポートの自動アサイン機能が使用できませ

んので従来どうりMACVLANポートに認証後に切替えるVLANの定義が必要になります。

AX2400S,AX3600SではダイナミックVLANのポート移動時に、VLAN番号をあらかじめ指定してい

ないポート移動した場合は、当該 VLAN に参加者が 1 人もいないポートへ移動した場合は移動前の VLANで認証状態がログアウトされるまで認証できません。

6.4.3. 動的VLANと固定VLAN混在に関して

AX2500S/AX2200SAX1240S（Ver2.1） お よ び AX2400S（V11.1）、AX3600S（V11.1） 以 降 から

MACVLANポートにおいて、動的VLANと固定VLANの混在が可能となりました。

従来は動的 VLANのポートにおいて RADIUSサーバより VLANの配布がない場合はエラーとしてい ましたが、RADIUSサーバからVLANがない場合は、MACVLANポートのnaitive VLANで認証するよ うに機能追加されました。

ただし、AX2400S.AX3600SのIEEE802.1X認証の場合は動的VLANと固定VLANの混在は不可とな

りますので注意して下さい。

6.4.4. RADIUSデッドインターバルタイマについて

RADIUSサーバへの認証がタイムアウトした場合、２台目以降に設定されたRADIUSサーバへ切替え、

全て失敗した場合は認証エラーにします。また、強制認証が設定されている場合は、認証を許可します。

再び、１台目へ認証するためには、デッドインターバルタイマの初期値１０分後に再び１台目から認証 するように動作します。

強制認証を使用しない場合は、一度認証リトライタイムアウトが発生すると、10分間認証に失敗して しまいます。サーバ復旧時に即座にRADIUS サーバへの認証を再開したい場合は RADISUデッドイン ターバルタイマーを短く設定してください。

コマンド

authentication RADIUS-server dead-interval <minutes>

AX1200S/AX2200S/AX2500Sは0～1440 AX2400S、AX3600S 1～1440

注：AX2400S,AX3600S シリーズのIEEE802.1X認証では強制認証機能および、RADIUSデッドイン ターバルタイマは動作しませんので常に1台目から認証します。