System Configuration


Mode スイッチ上でNASがグローバルに有効/無効を設定します。グローバルに無効にすると、全てのポートでフレームの転送が許可されます。
Reauthentication Enabled このチェックボックスをオンにすると、認証されたサプリメント/クライアントは、「Reauthentication Period」で指定された時間の後に再認証されます。 802.1X対応ポートの再認証は、新しいデバイスがスイッチポートに接続されているか、サプリメントが接続されていないかを検出するために使用できます。
MACベースのポートの場合、再認証はRADIUSサーバー構成が変更された場合のみに有効です。スイッチとクライアント間の通信は含まれないため、クライアントがポートにまだ存在していることを意味しません(下の「Reauthentication Period」参照)。
Reauthentication Period 接続されたクライアントを再認証するまでの時間を秒単位で指定します。これは、「Reauthentication Enabled」チェックボックスがオンの場合にのみ有効です。
設定範囲:1〜3600 秒
EAPOL Timeout 要求ID EAPOLフレームの再送信の時間を決定します。
設定範囲:1〜65536 秒
これはMACベースのポートには影響しません。
Aging Period この設定は、ポートセキュリティ機能を使用してMACアドレスを保護するモードに適用されます:
● Single 802.1X
● Multi 802.1X
● MAC-Based Auth

NASモジュールがポートセキュリティモジュールを使用してMACアドレスを保護する場合、ポートセキュリティモジュールは、一定の間隔で問題のMACアドレスのアクティビティをチェックし、一定の時間内にアクティビティが見られない場合は、リソースを開放する必要があります。
時間設定範囲:10〜1000000 秒

再設定が有効になっていてポートが802.1Xベースのモードになっている場合、ポートに接続されていないサプリメントは次の認証時に削除されるため、失敗するため、これはあまり重要ではありません。 しかし、再認証が有効になっていない場合、リソースを開放する唯一の方法はエントリをエージングすることです。

MACベースのAuthポートの場合。モードは、再認証はスイッチとクライアント間の直接通信を引き起こさないため、クライアントがまだ接続されているかどうかは検出されません。また、リソースを開放する唯一の方法は、エントリを経過させることです。
Hold Time この設定は、ポートセキュリティ機能を使用してMACアドレスを保護するモードに適用されます:
● Single 802.1X
● Multi 802.1X
● MAC-Based Auth

RADIUSサーバーがクライアントアクセスを拒否した場合、またはRADIUSサーバー要求がタイムアウト(Configuration→Security→AAAページで指定されたタイムアウトに従って)するため、クライアントがアクセスを拒否された場合、クライアントはUnauthorized状態に保留されます。 ホールドタイマーは、進行中の認証中はカウントされません。

MACベースの認証モードでは、スイッチはホールド期間中にクライアントからの新しいフレームを無視します。
設定範囲:10〜1000000 秒
RADIUS-Assigned QoS Enabled RADIUSに割り当てられたQoSは、正常に認証されたサプリメントからのトラフィックがスイッチに割り当てられるトラフィッククラスを集中管理する手段を提供します。 RADIUSサーバーは、この機能を利用するために特別なRADIUSアトリビュートを送信するように設定する必要があります(詳細は、以下のRADIUS-Assigned QoS Enabledを参照してください。)
「RADIUS-Assigned QoS Enabled」チェックボックスは、RADIUSサーバーに割り当てられたQoSクラス機能をグローバルに有効/無効にする簡単な方法を提供します。 オンにすると、個々のポートからの同上設定によって、そのポートでRADIUS割り当てQoSクラスが有効になっているかどうかが決まります。 チェックを外すと、全てのポートでRADIUSサーバーに割り当てられたQoSクラスが無効になります。
RADIUS-Assigned VLAN Enabled RADIUSに割り当てられたVLANは、認証されたサプリカントがスイッチ上に置かれているVLANを集中管理する手段を提供します。着信トラフィックはRADIUSに割り当てられたVLANに分類され、スイッチされます。RADIUSサーバーは、この機能を利用するために特別なRADIUSアトリビュートを送信する必要があります。

「RADIUS-Assigned VLAN Enabled」 チェックボックスを使用すると、RADIUSサーバーに割り当てられたVLAN機能をグローバルに有効/無効にすることができます。これをチェックすると、個々のポートの同上設定によって、RADIUSで割り当てられたVLANがそのポートで有効になっているかが決まります。
チェックを外すと、RADIUSサーバーに割り当てられたVLANはすべてのポートで無効になります。
ゲストVLANは、ネットワーク管理者が定義したタイムアウト後に802.1X非対応クライアントが配置される特殊なVLAN(通常はネットワークアクセスが制限されている)です。スイッチは、以下にリストされているように、ゲストVLANに入退出するための一連のルールに従います。
Guest VLAN Enabled 「Guest VLAN Enabled」チェックボックスは、ゲストVLAN機能をグローバルに有効/無効にする簡単な方法を提供します。 このオプションをオンにすると、ポートごとにゲストVLANにポートを移動できるかどうかが決まります。チェックを外すと、ゲストVLANに移動する機能がすべてのポートで無効になります。
Guest VLAN ID これは、ポートがゲストVLANに移動された場合にポートのポートVLAN IDが設定される値です。ゲストVLANオプションがグローバルに有効になっている場合にのみ変更できます。
設定範囲:1〜4095
Max. Reauth. Count スイッチがゲストVLANの入力を検討する前に応答なしでEAPOL要求アイデンティティフレームを送信する回数は、この設定で調整されます。 この値は、ゲストVLANオプションがグローバルに有効になっている場合にのみ変更できます。
設定範囲:1〜255
Allow Guest VLAN if EAPOL Seen スイッチは、EAPOLフレームがポート上で受信されたかどうかを記憶します。 スイッチがゲストVLANに入るかどうかを検討すると、まずこのオプションが有効か無効かをチェックします。 ポートが有効期間中EAPOLフレームがポートで受信されていない場合、スイッチは無効(チェックされていない、ディフォルト)です。 有効(チェック)されている場合、EAPOLフレームがポートのライフタイム中にポートで受信された場合でも、スイッチはゲストVLANの入力を検討します。
この値は、ゲストVLANオプションがグローバルに有効になっている場合にのみ変更できます。

Port Configuration


Port 以下の設定が適用されるポート番号
Admin State NASがグローバルに有効になっている場合、この選択はポートの認証モードを制御します。以下のモードがあります。
[Force Authorized]

このモードでは、スイッチはポートリンクがアップしたときに1つのEAPOL Successフレームを送信し、ポート上のクライアントは認証なしでネットワークアクセスを許可されます。

[Force Unauthorized]

このモードでは、スイッチはポートリンクがアップしたときに1つのEAPOL Failureフレームを送信し、ポート上のクライアントはネットワークアクセスを許可されません。

[Port-based 802.1X]

802.1X環境では、ユーザーはサプリカントと呼ばれ、スイッチはオーセンティケータになり、RADIUSサーバは認証サーバになります。 オーセンティケータは、中間者(man-in-the-middle)として動作し、サプリカントと認証サーバーの間で要求と応答を転送します。 サプリカントとスイッチ間で送信されるフレームは、EAPOL(EAP Over LANs)フレームと呼ばれる特殊な802.1Xフレームです。 EAPOLフレームはEAP PDUをカプセル化します(RFC3748)。スイッチとRADIUSサーバ間で送信されるフレームは、RADIUSパケットです。 また、RADIUSパケットは、スイッチのIPアドレス、名前、サプリカントのポート番号などの他の属性とともにEAP PDUをカプセル化します。 EAPは、MD5チャレンジ、PEAP、TLSなどのさまざまな認証方法が可能な点で非常に柔軟です。重要なことは、オーセンティケータ(スイッチ)が、サプリカントと認証サーバがどの認証方式を使用しているか、または特定の方法に必要な情報交換フレーム数を知る必要がないことです。 スイッチは、フレームのEAP部分を関連するタイプ(EAPOLまたはRADIUS)にカプセル化し、転送します。

認証が完了すると、RADIUSサーバは成功または失敗の指示を含む特別なパケットを送信します。 この決定をサプリカントに転送することに加えて、スイッチはサプリカントに接続されているスイッチポート上のトラフィックをオープンまたはブロックするためにこの決定を転送します。

注:2つのバックエンドサーバーが有効で、サーバーのタイムアウトが(AAA構成ページを使用して)X秒に設定されていて、リストの最初のサーバーが現在停止しているとみなされているとします。 ここでサプリカントがEAPOL StartフレームをX秒より早いレートで再送信すると、サプリカントから新しいEAPOL Startフレームを受信するたびに、スイッチが継続中のバックエンド認証サーバ要求をキャンセルするため、認証されません。 また、サーバーがまだ失敗していないため(X秒が経過していないため)、スイッチからの次回のバックエンド認証サーバー要求時に同じサーバーに接続します。 このシナリオは永遠に繰り返されます。したがって、サーバーのタイムアウトは、サプリカントのEAPOL開始フレーム再送信レートよりも小さくする必要があります。

[Single 802.1X]

ポートベースの802.1X認証では、サプリカントがポートで正常に認証されると、ポート全体がネットワークトラフィック用に開かれます。 これにより、ポートに接続されている他のクライアント(たとえばハブ経由)は、正常に認証されたクライアントをピギーバックし、本当に認証されていなくてもネットワークアクセスを取得できます。 このセキュリティ違反を克服するには、Single 802.1Xバリアントを使用します。
Single 802.1Xは実際にはIEEE標準ではありませんが、ポートベースの802.1Xと同じ特性の多くを備えています。Single 802.1Xでは、一度に1つのサプリカントがポートで認証されます。 通常のEAPOLフレームは、サプリカントとスイッチ間の通信に使用されます。ポートに複数のサプリカントが接続されている場合は、ポートのリンクが確立したときに最初に来るサプリカントが最初に考慮されます。 そのサプリカントが一定の時間内に有効な資格情報を提供しない場合、別のサプリカントにチャンスが与えられます。 サプリカントが正常に認証されると、サプリカントだけがアクセスを許可されます。これは、サポートされているすべてのモードのうちで最も安全です。 このモードでは、Port Securityモジュールを使用してサプリカントのMACアドレスが認証に成功すると、そのMACアドレスを保護します。

[Multi 802.1X]

Multi 802.1Xは、IEEE標準ではなく、同じ特性の多くを備えた変種です。Multi 802.1Xでは、1つまたは複数のサプリカントが同じポート上で同時に認証されることがあります。 各サプリカントは個別に認証され、ポートセキュリティモジュールを使用してMACテーブルに保護されます。
Multi 802.1Xでは、スイッチからサプリカントに送信されたEAPOLフレームの宛先MACアドレスとしてマルチキャストBPDU MACアドレスを使用できません。 これは、ポートに接続されているすべてのサプリカントがスイッチから送信された要求に応答するためです。 代わりに、スイッチはサプリカントによって送信された最初のEAPOL StartまたはEAPOL Response Identityフレームから取得されたサプリカントのMACアドレスを使用します。 ただし、サプリカントが接続されていない場合は例外です。この場合、スイッチは宛先としてBPDUマルチキャストMACアドレスを使用してEAPOL要求アイデンティティフレームを送信し、ポート上にある可能性のあるサプリカントをウェイクアップさせます。
ポートセキュリティ制限機能を使用すると、ポートに接続できるサプリカントの最大数を制限できます。

[MAC-based Auth]

ポートベースの802.1Xとは異なり、MACベースの認証は標準ではなく、業界で採用されているベストプラクティスの方法です。 MACベースの認証では、ユーザはクライアントと呼ばれ、スイッチはクライアントに代わってサプリカントとして機能します。 クライアントによって送信された最初のフレーム(あらゆる種類のフレーム)は、スイッチによってスヌーピングされます。 スイッチは、RADIUSサーバとのその後のEAP交換で、クライアントのMACアドレスをユーザ名とパスワードの両方として使用します。 6 ByteのMACアドレスは、"xx-xx-xx-xx-xx-xx"形式の文字列に変換されます。つまり、ダッシュ( - )が小文字の16進数の区切り文字として使用されます。 スイッチはMD5-Challenge認証方式のみをサポートしているため、RADIUSサーバを適切に設定する必要があります。
認証が完了すると、RADIUSサーバは成功または失敗の通知を送信し、ポートセキュリティモジュールを使用してスイッチが特定のクライアントのトラフィックをオープンまたはブロックします。 その後、クライアントからのフレームはスイッチ上で転送されます。この認証にはEAPOLフレームは含まれていないため、MACベース認証は802.1X標準とは何の関係もありません。
802.1Xベースの認証でのMACベースの認証の利点は、クライアントが認証に特別なサプリカントソフトウェアを必要としないことです。欠点は、MACアドレスが悪意のあるユーザによって偽装される可能性があることです。MACアドレスが有効なRADIUSユーザである機器は誰でも使用できます。また、MD5-Challengeメソッドのみがサポートされています。ポートセキュリティ制限機能を使用すると、ポートに接続できるクライアントの最大数を制限できます。

RADIUS-Assigned QoS Enabled RADIUS割り当てQoSがグローバルに有効にされ、特定のポートで有効(チェック)されると、スイッチは、サプリカントが正常に認証されたときにRADIUSサーバによって送信されたRADIUS Access-Acceptパケットで搬送されるQoSクラス情報に反応します。 存在し、有効な場合、サプリカントのポートで受信されたトラフィックは、所定のQoSクラスに分類されます。 (再)認証に失敗した場合、またはRADIUSアクセス受け入れパケットにQoSクラスが含まれていない場合、またはそれが無効な場合、またはサプリカントがポートに存在しなくなった場合、ポートのQoSクラスは元のQoSクラスに直ちに戻ります。 (その間に管理者はRADIUS割り当てに影響を与えずに変更することができます)
このオプションは、単一クライアントモード、つまり
● Port-based 802.1X
● Single 802.1X

QoSクラスの識別に使用されるRADIUS属性:
RFC4675で定義されているUser-Priority-Tableアトリビュートは、Access-Acceptパケット内のQoSクラスを識別するための基礎を形成します。 パケット内の属性の最初のオカレンスだけが考慮され、有効であるためには、このルールに従わなければなりません:
● 属性の値の8つのオクテットはすべて同一で、0〜7の範囲のASCII文字で構成されている必要があります。
RADIUS-Assigned VLAN Enabled RADIUS割り当てVLANがグローバルに有効にされ、特定のポートに対して有効(チェック)されている場合、スイッチはサプリカントが正常に認証されたときにRADIUSサーバによって送信されるRADIUS Access-Acceptパケットで搬送されるVLAN ID情報に反応します。 存在し、有効である場合、ポートのポートVLAN IDはこのVLAN IDに変更され、ポートはそのVLAN IDのメンバーに設定され、ポートはVLAN非対応モードに強制されます。一旦割り当てられると、ポートに到着するすべてのトラフィックは分類され、RADIUSに割り当てられたVLAN IDでスイッチされます。 (再)認証に失敗した場合、またはRADIUS Access-AcceptパケットにVLAN IDが含まれていないか、または無効な場合、またはサプリカントがポートに存在しなくなった場合、ポートのVLAN IDは元のVLAN IDに直ちに戻ります。 (その間に管理者はRADIUS割り当てに影響を与えずに変更することができます)
このオプションは、単一クライアントモード、つまり
● Port-based 802.1X
● Single 802.1X

トラブルシューティングVLANの割り当てについては、「モニタ→VLAN」→「VLANメンバーシップとVLANポート」のページを使用してください。これらのページには、現在のポートVLAN設定を(一時的に)オーバーライドしているモジュールが表示されます。

VLAN IDの識別に使用されるRADIUS属性:
RFC2868とRFC3580は、Access-AcceptパケットのVLAN IDを識別する際に使用される属性の基礎を形成します。次の基準が使用されます。
● Tunnel-Medium-Type、Tunnel-Type、およびTunnel-Private-Group-ID属性は、すべてAccess-Acceptパケットに少なくとも1回存在する必要があります。
● スイッチは、同じタグ値を持ち、次の要件を満たすこれらのアトリビュートの最初のセットを探します(Tag = 0が使用されている場合、Tunnel-Private-Group-IDにタグを含める必要はありません)。

- Tunnel-Medium-Type:「IEEE-802」(ordinal 6)に設定する必要があります。
- Tunnel-Type:「VLAN」(ordinal 13)に設定する必要があります。
- Tunnel-Private-Group-ID:VLAN IDを表す10進文字列として解釈される '0'〜'9'の範囲のASCII文字列でなければなりません。先頭の0は破棄されます。最終的な値は[1; 4095]。

Guest VLAN Enabled ゲストVLANがグローバルに有効にされ、特定のポートに対して有効になっている(チェック)されている場合、スイッチは以下のルールに従ってゲストVLANにポートを移動します。このオプションは、EAPOLベースのモードでのみ使用できます。
● Port-based 802.1X
● Single 802.1X
● Multi 802.1X

トラブルシューティングVLANの割り当てについては、「モニタ→VLAN」→「VLANメンバーシップとVLANポート」のページを使用してください。これらのページには、現在のポートVLAN設定を(一時的に)オーバーライドしているモジュールが表示されます。

Guest VLANの動作:

ゲストVLAN対応ポートのリンクが起動すると、スイッチはEAPOL要求アイデンティティフレームの送信を開始します。そのようなフレームの送信回数がMax Reauthを超える場合、カウント中にEAPOLフレームが受信されていない場合、スイッチはゲストVLANの入力を考慮します。 EAPOL要求アイデンティティフレームの送信間隔は、EAPOLタイムアウトで設定されます。 EAPOLが有効になっている場合にゲストVLANを許可すると、ポートはゲストVLANに配置されます。 無効にすると、スイッチはまず履歴をチェックして、ポートでEAPOLフレームが以前に受信されたかどうかを確認します(ポートリンクがダウンするかポートのAdmin Stateが変更されるとこの履歴はクリアされます)。 ゲストVLANに配置する必要があります。それ以外の場合は、ゲストVLANには移動しませんが、EAPOLタイムアウトによって指定された速度でEAPOL要求アイデンティティフレームを送信し続けます。

ゲストVLANに入ると、ポートは認証されたものとみなされ、ポート上のすべての接続クライアントはこのVLAN上でアクセスが許可されます。スイッチは、ゲストVLANに入るときにEAPOL Successフレームを送信しません。
ゲストVLANでは、スイッチはEAPOLフレームのリンクを監視し、そのようなフレームが1つ受信された場合、すぐにゲストVLANからポートを取り出し、ポートモードに従ってサプリカントの認証を開始します。 EAPOLフレームが受信された場合、「EAPOLが見える場合のゲストVLANの許可」が無効になっている場合、ポートはゲストVLANに戻ることはできません。

Port State ポートの現在の状態。それは次の値の1つを引き受けることができます:
[Globally Disabled]:NASはグローバルに無効
[Link Down]:NASはグローバルに有効ですが、ポートにはリンクがありません。
[Authorized]:ポートはForce Authorizedまたはシングルサプリカントモードであり、サプリカントは認可されています。
[Unauthorized]:ポートがForce Unauthorizedモードまたは単一サプリカントモードにあり、サプリカントがRADIUSサーバによって正常に認証されていません。
[X Auth/Y Unauth]:ポートはマルチサプリカントモードです。現在、Xクライアントは許可されており、Yは無許可です。
Restart 各行には2つのボタンがあります。このボタンは、認証がグローバルに有効にされ、ポートのAdmin StateがEAPOLベースまたはMACベースのモードの場合にのみ有効になります。
これらのボタンをクリックしても、ページ上で変更された設定は有効になりません。
[Reauthenticate]:ポートの休止期間がなくなると再認証をスケジュールします(EAPOLベースの認証)。MACベースの認証では、再認証がただちに試行されます。 このボタンは、ポート上で正常に認証されたクライアントに対してのみ有効で、クライアントに一時的に権限が与えられません。
[Reinitialize]:ポート上のクライアントの再初期化を強制し、それによって再認証を直ちに実行します。クライアントは、再認証が進行中の間に、無許可の状態に移行します。

ボタン


ページををリフレッシュします。
変更を保存する場合にクリックします。
ローカルで行われた変更を元に戻し、以前に保存した値に戻す場合にクリックします。

▲ページトップに戻る