サイト内の現在位置を表示しています。

UNIVERGE IXシリーズ FAQ

IEEE802.1X、MACアドレス認証に関するFAQ

Q.1-1 IEEE802.1Xとは何ですか?

IEEE802.1Xは、LANに接続するユーザの認証を行う機能です。本機能を使用することにより、許可されたユーザのみネットワークの利用を許可することが可能となり、第三者によるネットワークの不正利用を防ぐことが可能です。

IEEE802.1Xを利用したネットワークは、ルータやスイッチなどの認証を行う装置(オーセンティケータ)と、PCなどの認証を受ける側の装置(サプリカント)、認証サーバ(RADIUSなど)で構成されます。

「UNIVERGE IXシリーズ」(ソフトウェアver.7.4以降※)は、認証装置(オーセンティケータ)の機能に対応しております。

Q.1-2 マルチサプリカント機能に対応していますか?

対応しています。

■マルチサプリカント機能

IEEE802.1Xの規格を拡張し、1つのLANポートに複数のサプリカントが繋がる構成に対応した方式です。認証に成功したサプリカントのMACアドレスを記憶し、そのMACアドレスの通信のみ許可するフィルタを動的に生成します。

Q.1-3 仕様について教えてください。

以下の表をご覧ください。

機能 対応状況
認証動作モード
(PAEモード)
Authenticator(認証装置)
Supplicant(サプリカント)
認証単位 ポート単位
MACアドレス単位
認証サーバ 外部RADIUSサーバ
ローカル認証
認証方式 EAP-MD5
EAP-PEAP
EAP-TLS

Q.1-4 接続性の確認が取れているRADIUSサーバは何ですか?

以下の表をご覧下さい。

メーカー名 製品名 確認済み
認証方式
ソリトンシステムズ社 Net'Attest (Version 4.10.6) EAP-MD5
EAP-PEAP
EAP-TLS

Q.1-5 IEEE802.1Xでは、端末を何台まで接続できますか?

サプリカントはLANポートあたり以下の台数まで接続が可能です。

認証方式

IX2106/IX2207/IX2215/IX2310/
IX2310

IX3315 default
EAP-MD5使用時 64 128 32
EAP-PEAP/
EAP-TLS使用時
32 64 32

サプリカントを32台よりも多く繋げたいときは、以下のコマンドで設定を変更します。

dot1x max-supplicants [端末数]

Q.1-6 HUBポート単位でIEEE802.1Xは動作しますか?

動作しません。

本機能は、ルータのLANインタフェース(GigaEhernet1.0など)毎に動作する仕様のため、同じHUBに接続されているサプリカント間の通信を制限することはできません。

Q.1-7 IEEE802.1Xと同時に使用できない機能はありますか?

以下の機能で使用制限があります。

  • ソフトウェア ver.8.1以前の場合、IEEE802.1Q VLANインタフェースでIEEE802.1Xを有効化できません。
  • 同一リンクに複数のIXルータが接続されている場合、複数のIXルータでIEEE802.1Xを使用することはできません。
  • VRRPとIEEE802.1Xの併用はver.7.5.50以降のソフトウェアが必要です。VRRPマスタ以外のときにIEEE802.1Xの動作を停止する設定が可能です(ネットワークモニタの機能を使用)。

その他の注意事項は「機能説明書」に記載しておりますので、IEEE802.1X使用時は事前に「機能説明書」をご確認ください。

Q.1-8 RADIUSサーバを使用せずに、ローカルデータベースでの認証は可能ですか?

IEEE802.1Xはローカルデータベースでの認証に未対応です。外部にRADIUSサーバが必要です。

Q.2-1 MACアドレス認証とは何ですか?

ルータと同一LAN上に存在する端末を、その端末のMACアドレスを使用して認証する機能です。

ルータは、端末から何らかのイーサネットフレームを受信したときに、イーサネットフレームに含まれる端末のMACアドレスを見て認証動作を行いますので、端末側にはIEEE802.1Xにおけるサプリカント機能が不要です。

Q.2-2 MACアドレス認証では、端末を何台まで接続できますか?

全機種共通で「512台」まで接続が可能です。

Q.2-3 MACアドレス認証では、認証済みの端末がネットワークから切断されたことをどのように検出するのですか?

一度認証に成功した端末は、ルータの「オフライン検出タイマ」により、デフォルト5分間(※)無通信だった時点で「切断」と判定されます。

  • mac-auth timeout offline-detection」コマンドにより、オフライン検出タイマの満了時間を変更することができます(最大一年間)。

Q.2-4 HUBポート単位でMACアドレス認証は動作しますか?

動作しません。

本機能は、ルータのLANインタフェース(GigaEhernet1.0など)毎に動作する仕様のため、同じHUBに接続されているサプリカント間の通信を制限することはできません。

Q.2-5 RADIUSサーバを使用せずに、ローカルデータベースでのMACアドレス認証は可能ですか?

MACアドレス認証機能はローカルデータベースでの認証に未対応です。
代わりに、MACフレームフィルタリング機能を使用します。

資料請求・お問い合わせ