ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. 製品
  3. 企業・官公庁向け製品名一覧
  4. UNIVERGE IXシリーズ
  5. FAQ
  6. 認証/PC検疫
ここから本文です。

UNIVERGE IXシリーズ FAQ

IEEE802.1X、MACアドレス認証、PC検疫機能に関するFAQ

FAQ一覧に戻る

装置仕様 - IEEE802.1X

装置仕様 - MACアドレス認証

装置仕様 - PC検疫

Q.1-1 IEEE802.1Xとは何ですか?

IEEE802.1Xは、LANに接続するユーザの認証を行う機能です。本機能を使用することにより、許可されたユーザのみネットワークの利用を許可することが可能となり、第三者によるネットワークの不正利用を防ぐことが可能です。

IEEE802.1Xを利用したネットワークは、ルータやスイッチなどの認証を行う装置(オーセンティケータ)と、PCなどの認証を受ける側の装置(サプリカント)、認証サーバ(RADIUSなど)で構成されます。

「UNIVERGE IXシリーズ」(ソフトウェアver.7.4以降※)は、認証装置(オーセンティケータ)の機能に対応しております。

Q.1-2 マルチサプリカント機能に対応していますか?

対応しています。

■マルチサプリカント機能

IEEE802.1Xの規格を拡張し、1つのLANポートに複数のサプリカントが繋がる構成に対応した方式です。認証に成功したサプリカントのMACアドレスを記憶し、そのMACアドレスの通信のみ許可するフィルタを動的に生成します。

Q.1-3 仕様について教えてください。

以下の表をご覧ください。

機能 対応状況
認証動作モード
(PAEモード)
Authenticator(認証装置)
Supplicant(サプリカント)
認証単位 ポート単位
MACアドレス単位
認証サーバ 外部RADIUSサーバ
ローカル認証
認証方式 EAP-MD5
EAP-PEAP
EAP-TLS

Q.1-4 接続性の確認が取れているRADIUSサーバは何ですか?

以下の表をご覧下さい。

メーカー名 製品名 確認済み
認証方式
NEC UNIVERGE RD1000 EAP-MD5
EAP-PEAP
EAP-TLS
Microsoft Windows Server 2003 IAS
Windows Server 2008 NPS
EAP-MD5
EAP-PEAP
EAP-TLS
ソリトンシステムズ社 Net'Attest (Version 3.2.3) EAP-MD5
EAP-PEAP
EAP-TLS
インフィニコ社 NetWyvern RADIUS EAP-MD5
EAP-PEAP

Q.1-5 IEEE802.1Xでは、端末を何台まで接続できますか?

サプリカントはLANポートあたり以下の台数まで接続が可能です。

認証方式 IX2105/IX2207/
IX2215
IX3015/IX3110/
IX3315
default
EAP-MD5使用時 64 128 32
EAP-PEAP/
EAP-TLS使用時
32 64 32

サプリカントを32台よりも多く繋げたいときは、以下のコマンドで設定を変更します。

dot1x max-supplicants [端末数]

Q.1-6 HUBポート単位でIEEE802.1Xは動作しますか?

動作しません。

本機能は、ルータのLANインタフェース(GigaEhernet1.0など)毎に動作する仕様のため、同じHUBに接続されているサプリカント間の通信を制限することはできません。

Q.1-7 IEEE802.1Xと同時に使用できない機能はありますか?

以下の機能で使用制限があります。

  • ソフトウェア ver.8.1以前の場合、IEEE802.1Q VLANインタフェースでIEEE802.1Xを有効化できません。
  • 同一リンクに複数のIXルータが接続されている場合、複数のIXルータでIEEE802.1Xを使用することはできません。
  • VRRPとIEEE802.1Xの併用はver.7.5.50以降のソフトウェアが必要です。VRRPマスタ以外のときにIEEE802.1Xの動作を停止する設定が可能です(ネットワークモニタの機能を使用)。

その他の注意事項は「機能説明書」に記載しておりますので、IEEE802.1X使用時は事前に「機能説明書」をご確認ください。

Q.1-8 RADIUSサーバを使用せずに、ローカルデータベースでの認証は可能ですか?

IEEE802.1Xはローカルデータベースでの認証に未対応です。外部にRADIUSサーバが必要です。

Q.2-1 MACアドレス認証とは何ですか?

ルータと同一LAN上に存在する端末を、その端末のMACアドレスを使用して認証する機能です。

ルータは、端末から何らかのイーサネットフレームを受信したときに、イーサネットフレームに含まれる端末のMACアドレスを見て認証動作を行いますので、端末側にはIEEE802.1Xにおけるサプリカント機能が不要です。

Q.2-2 MACアドレス認証では、端末を何台まで接続できますか?

全機種共通で「512台」まで接続が可能です。

Q.2-3 MACアドレス認証では、認証済みの端末がネットワークから切断されたことをどのように検出するのですか?

一度認証に成功した端末は、ルータの「オフライン検出タイマ」により、デフォルト5分間(※)無通信だった時点で「切断」と判定されます。

  • mac-auth timeout offline-detection」コマンドにより、オフライン検出タイマの満了時間を変更することができます(最大一年間)。

Q.2-4 HUBポート単位でMACアドレス認証は動作しますか?

動作しません。

本機能は、ルータのLANインタフェース(GigaEhernet1.0など)毎に動作する仕様のため、同じHUBに接続されているサプリカント間の通信を制限することはできません。

Q.2-5 RADIUSサーバを使用せずに、ローカルデータベースでのMACアドレス認証は可能ですか?

MACアドレス認証機能はローカルデータベースでの認証に未対応です。
代わりに、MACフレームフィルタリング機能を使用します。

Q.3-1 PC検疫の実現方法と、対応している検疫システムを教えてください。

「UNIVERGE IXシリーズ」は、IEEE802.1Xを利用した検疫機能をサポートしています。

検疫システムとしては、Microsoft社「NAP(Network Access Protection)」との接続性を確認しています。

Q.3-2 接続可能なPC端末の数に制限はありますか?

PC検疫機能ではIEEE802.1Xを使用するため、接続可能なPC端末の数は「Q.1-5:IEEE802.1X利用時の制限値」をご確認ください。

Q.3-3 MACアドレス認証と、PC検疫の併用は可能ですか?

可能です。

Q.3-4 「NAP」とは何ですか?

「NAP(Network Access Protection)」は、マイクロソフト社「Windows Server 2008」に標準機能として搭載される検疫ネットワーク機能です。

「NAP」による検疫ネットワークの実施方式には、IPSec方式・IEEE802.1X方式・DHCP方式などがありますが、「UNIVERGE IXシリーズ」ではIEEE802.1X方式に対応しています。

Q.3-5 検疫システムを導入するうえで、IXルータを使用するメリットを教えてください。

「UNIVERGE IXシリーズ」は、IEEE802.1Xを利用した検疫機能をサポートしています。

「UNIVERGE IXシリーズ」を導入することにより、1台の装置でルータ機能とPC検疫機能を実現することができます。新たにPC検疫対応スイッチを導入する必要がなく、初期導入コストと運用コストの削減が可能です。

また、1ポートで多数の端末を制御する「マルチサプリカント機能」にも対応しており、複数の端末がぶら下がっている既設のハブをそのまま収容できるため、既存のネットワーク環境を大幅に変えることなく検疫ネットワークを導入することができます。

Q.3-6 検疫対象のPC端末のIPアドレスは、固定・DHCPのどちらに設定する必要がありますか?

固定・DHCPのどちらでも、検疫を行うことができます。

Q.3-7 PC検疫に基づくアクセス制限はどのように行われるのですか?

「UNIVERGE IXシリーズ」の検疫機能は、認証サーバ(ポリシーサーバ)からの応答に含まれる「Filter-IDアトリビュート」の内容によってアクセス制御を行います。

「UNIVERGE IXシリーズ」には、Filter-IDの値毎に、適用するフィルタルールをあらかじめ設定します。例えば、Filter-IDが「keneki-ok」の場合は全ての宛先へのアクセスを許可し、「keneki-ng」の場合は修復サーバへのアクセスのみを許可する、といった設定が可能です。

検証結果に基づき生成されたフィルタは、送信方向・受信方向の両方で適用されます。端末の情報はMACアドレスによって管理され、例えば送信方向の場合、送信元の評価は端末のMACアドレス、宛先の評価は各Filter-ID毎に登録したネットワークアドレスにより行われます。

ページの先頭へ戻る