ダイナミックVLAN
認証に成功して属性値としてVLAN IDが通知された場合は、認証に成功したクライアントごとに、受信するVLANをダイナミックに割り当てることができます。これにより、会議室などの共有スペースに設置された装置に接続した場合でも、自分が所属するVLANに直接接続できるようになります。また、同一ポートに複数のVLANを割り当てることもできます。
RADIUSサーバーで「ダイナミックに割り当てるVLAN ID」を設定する方法については、「AccessDefenderの認証方式」の「RADIUS認証」を参照してください。
ゲートウェイ認証では、ダイナミックVLANはサポートしていません。
NP7000、NP5000、NP4000、NP3000、NP2000(1.04.01より前のバージョン)、およびNP2500では、トランクポートでのダイナミックVLANはサポートしていません。
NP2100およびNP2000(1.04.01以降)では、トランクポートでのタグなし形式のフレームに対するダイナミックVLANをサポートしました。トランクポートで認証に成功してダイナミックにVLANが割り当てられた場合、そのVLANはアクセスポートとして動作します(タグなしフレームを送受信)。ダイナミックに割り当てられたVLANがswitchport trunk allowed vlanコマンドで割り当てられていると、当該ポートから送信するフレームがタグ付きフレームになるため、そのポートではswitchport trunk allowed vlanコマンドで対象のVLANを割り当てずに使用してください。
ダイナミックに割り当てるVLANは、あらかじめ作成しておく必要があります。
AccessDefenderのVLANモード
vlan modeコマンドで、AccessDefenderのVLANモードを変更できます。デフォルト設定の場合は、ダイナミックVLANにより同一ポートに複数のVLANを割り当てることができます。
VLANモードをstaticモードに設定した場合は、ダイナミックVLAN動作を禁止できます。認証に成功して属性値としてVLAN IDが通知された場合でも、ダイナミックVLANは動作せず、元々対象ポートに設定されていたVLANが割り当てられます。
VLANモードをdynamic port-baseモードに設定した場合は、2台目以降の認証クライアントのダイナミックVLAN動作を制限するモードになります。dynamic port-baseモードの場合の動作を以下に示します。
ログイン中のクライアントのVLAN | 同一ポートで後から認証を行うクライアント | ログイン可否 |
---|---|---|
対象ポートに元々設定されているVLAN | VLAN IDの通知なし | 可 |
属性値としてVLAN ID(ログイン中のクライアントと同じVLAN)の通知あり | 可 | |
属性値としてVLAN ID(ログイン中のクライアントと異なるVLAN)の通知あり | 不可 | |
対象ポートに元々設定されているVLANと異なるVLAN | VLAN IDの通知なし | 不可 |
属性値としてVLAN ID(ログイン中のクライアントと同じVLAN)の通知あり | 可 | |
属性値としてVLAN ID(ログイン中のクライアントと異なるVLAN)の通知あり | 不可 |