第6編
AccessDefender

ダイナミックVLAN

認証に成功して属性値としてVLAN IDが通知された場合は、認証に成功したクライアントごとに、受信するVLANをダイナミックに割り当てることができます。これにより、会議室などの共有スペースに設置された装置に接続した場合でも、自分が所属するVLANに直接接続できるようになります。また、同一ポートに複数のVLANを割り当てることもできます。

参 照

RADIUSサーバーで「ダイナミックに割り当てるVLAN ID」を設定する方法については、「AccessDefenderの認証方式」の「RADIUS認証」を参照してください。

注 意

ゲートウェイ認証では、ダイナミックVLANはサポートしていません。

注 意

NP7000、NP5000、NP4000、NP3000、NP2000(1.04.01より前のバージョン)、およびNP2500では、トランクポートでのダイナミックVLANはサポートしていません。

注 意

NP2100およびNP2000(1.04.01以降)では、トランクポートでのタグなし形式のフレームに対するダイナミックVLANをサポートしました。トランクポートで認証に成功してダイナミックにVLANが割り当てられた場合、そのVLANはアクセスポートとして動作します(タグなしフレームを送受信)。ダイナミックに割り当てられたVLANがswitchport trunk allowed vlanコマンドで割り当てられていると、当該ポートから送信するフレームがタグ付きフレームになるため、そのポートではswitchport trunk allowed vlanコマンドで対象のVLANを割り当てずに使用してください。

補 足

ダイナミックに割り当てるVLANは、あらかじめ作成しておく必要があります。

AccessDefenderのVLANモード

vlan modeコマンドで、AccessDefenderのVLANモードを変更できます。デフォルト設定の場合は、ダイナミックVLANにより同一ポートに複数のVLANを割り当てることができます。

VLANモードをstaticモードに設定した場合は、ダイナミックVLAN動作を禁止できます。認証に成功して属性値としてVLAN IDが通知された場合でも、ダイナミックVLANは動作せず、元々対象ポートに設定されていたVLANが割り当てられます。

VLANモードをdynamic port-baseモードに設定した場合は、2台目以降の認証クライアントのダイナミックVLAN動作を制限するモードになります。dynamic port-baseモードの場合の動作を以下に示します。

dynamic port-baseモードの場合の動作
ログイン中のクライアントのVLAN 同一ポートで後から認証を行うクライアント ログイン可否
対象ポートに元々設定されているVLAN VLAN IDの通知なし
属性値としてVLAN ID(ログイン中のクライアントと同じVLAN)の通知あり
属性値としてVLAN ID(ログイン中のクライアントと異なるVLAN)の通知あり 不可
対象ポートに元々設定されているVLANと異なるVLAN VLAN IDの通知なし 不可
属性値としてVLAN ID(ログイン中のクライアントと同じVLAN)の通知あり
属性値としてVLAN ID(ログイン中のクライアントと異なるVLAN)の通知あり 不可

ページトップへ