第6編
AccessDefender

AND認証のオプション機能

AND認証に関連するオプション機能を以下に示します。

  • 適用する属性値(VLAN IDやクラスID)の取得元の選択機能
  • アドバンスドVLAN設定モード
  • MAC認証失敗クライアントへのWeb認証ページ応答抑止

適用する属性値(VLAN IDやクラスID)の取得元の選択機能

AND認証に成功したクライアントに適用する認証属性(VLAN IDやクラスID)は、デフォルトでは以下の動作になります。

  • Web/MAC認証(AND)、Web/IEEE 802.1X認証(AND)、Web/IEEE 802.1X/MAC認証(AND)では、デフォルトではWeb認証で取得した属性値(VLAN ID やクラスID)が反映される。
  • IEEE 802.1X/MAC認証(AND)では、デフォルトではIEEE 802.1X認証で取得した属性値(VLAN ID やクラスID)が反映される。

適用される属性値(VLAN IDやクラスID)を、他の認証機能で取得した属性値に変更できます。適用する属性値の取得元を変更するには、authentication prefer-attributeコマンドを使用します。

アドバンスドVLAN設定モード

アドバンスドVLAN設定モードを有効にしたWeb/IEEE 802.1X認証(AND)の場合、IEEE 802.1X認証処理で認証に成功した時点で、通信が許可されない状態でIEEE 802.1X認証処理で取得した属性値(VLAN ID、クラスID)が、装置に反映されるようになります。

同様に、アドバンスドVLAN設定モードを有効にしたWeb/MAC認証(AND)の場合、MAC認証処理で認証に成功した時点で、通信が許可されない状態でMAC認証処理で取得した属性値(VLAN ID、クラスID)が、装置に反映されるようになります。

アドバンスドVLAN設定モードを使用すると、以下のような運用ができます。

  • たとえばWeb/IEEE 802.1X認証(AND)でダイナミックVLANを使用する場合に、IEEE 802.1X認証に成功した時点で暫定VLANではなく最終的な正規VLANを割り当てることにより、暫定DHCPサーバーを使わない設計が可能になります。
  • たとえばWeb/IEEE 802.1X認証(AND)でWeb認証ページを外部Webサーバーにリダイレクトしている場合に、IEEE 802.1X認証に成功したクライアントにクラスIDを割り当て、そのクラスIDにマッチした場合のみ外部Webサーバーへのリダイレクトをバイパスすることにより、外部Webサーバーへのバイパス対象を絞り込むことができます。
注 意

IEEE 802.1X/MAC認証(AND)と、Web/IEEE 802.1X/MAC認証(AND)では、アドバンスVLAN設定モードは使用できません。

アドバンスドVLAN設定モードを有効にするには、authentication web-dot1x advanced-vlan-settingコマンドまたはauthentication web-mac advanced-vlan-settingコマンドを使用します。

MAC認証失敗クライアントへのWeb認証ページ応答抑止

Web/MAC認証(AND)において、MAC認証処理で認証に失敗したクライアントに対してWeb認証ページを応答しないようにできます。

注 意

Web/IEEE 802.1X認証(AND)、IEEE 802.1X/MAC認証(AND)、Web/IEEE 802.1X/MAC認証(AND)では、本機能は使用できません。

注 意

AND認証とMAC認証の併用インターフェースでは、本機能は動作しません。

補 足

本機能は、NP4000の1.03.01以降、NP2100の1.09.02以降、NP2000の1.09.01以降でサポートしています。

MAC認証処理で認証に失敗したクライアントに対して、Web認証ページを応答しないようにするには、authentication web-mac abort-if-failureコマンドを使用します。

ページトップへ