AND認証のオプション機能
AND認証に関連するオプション機能を以下に示します。
- 適用する属性値(VLAN IDやクラスID)の取得元の選択機能
- アドバンスドVLAN設定モード
- MAC認証失敗クライアントへのWeb認証ページ応答抑止
適用する属性値(VLAN IDやクラスID)の取得元の選択機能
AND認証に成功したクライアントに適用する認証属性(VLAN IDやクラスID)は、デフォルトでは以下の動作になります。
- Web/MAC認証(AND)、Web/IEEE 802.1X認証(AND)、Web/IEEE 802.1X/MAC認証(AND)では、デフォルトではWeb認証で取得した属性値(VLAN ID やクラスID)が反映される。
- IEEE 802.1X/MAC認証(AND)では、デフォルトではIEEE 802.1X認証で取得した属性値(VLAN ID やクラスID)が反映される。
適用される属性値(VLAN IDやクラスID)を、他の認証機能で取得した属性値に変更できます。適用する属性値の取得元を変更するには、authentication prefer-attributeコマンドを使用します。
アドバンスドVLAN設定モード
アドバンスドVLAN設定モードを有効にしたWeb/IEEE 802.1X認証(AND)の場合、IEEE 802.1X認証処理で認証に成功した時点で、通信が許可されない状態でIEEE 802.1X認証処理で取得した属性値(VLAN ID、クラスID)が、装置に反映されるようになります。
同様に、アドバンスドVLAN設定モードを有効にしたWeb/MAC認証(AND)の場合、MAC認証処理で認証に成功した時点で、通信が許可されない状態でMAC認証処理で取得した属性値(VLAN ID、クラスID)が、装置に反映されるようになります。
アドバンスドVLAN設定モードを使用すると、以下のような運用ができます。
- たとえばWeb/IEEE 802.1X認証(AND)でダイナミックVLANを使用する場合に、IEEE 802.1X認証に成功した時点で暫定VLANではなく最終的な正規VLANを割り当てることにより、暫定DHCPサーバーを使わない設計が可能になります。
- たとえばWeb/IEEE 802.1X認証(AND)でWeb認証ページを外部Webサーバーにリダイレクトしている場合に、IEEE 802.1X認証に成功したクライアントにクラスIDを割り当て、そのクラスIDにマッチした場合のみ外部Webサーバーへのリダイレクトをバイパスすることにより、外部Webサーバーへのバイパス対象を絞り込むことができます。
IEEE 802.1X/MAC認証(AND)と、Web/IEEE 802.1X/MAC認証(AND)では、アドバンスVLAN設定モードは使用できません。
アドバンスドVLAN設定モードを有効にするには、authentication web-dot1x advanced-vlan-settingコマンドまたはauthentication web-mac advanced-vlan-settingコマンドを使用します。
MAC認証失敗クライアントへのWeb認証ページ応答抑止
Web/MAC認証(AND)において、MAC認証処理で認証に失敗したクライアントに対してWeb認証ページを応答しないようにできます。
Web/IEEE 802.1X認証(AND)、IEEE 802.1X/MAC認証(AND)、Web/IEEE 802.1X/MAC認証(AND)では、本機能は使用できません。
AND認証とMAC認証の併用インターフェースでは、本機能は動作しません。
本機能は、NP4000の1.03.01以降、NP2100の1.09.02以降、NP2000の1.09.01以降でサポートしています。
MAC認証処理で認証に失敗したクライアントに対して、Web認証ページを応答しないようにするには、authentication web-mac abort-if-failureコマンドを使用します。
