はじめに
前回はRestricted VLANとアクセス不能認証バイパスについてお勉強しました。 今回はVoice VLANポートとIEEE 802.1x、Port SecurityとIEEE 802.1x、Wake-on-LAN とIEEE 802.1xについてお勉強します。
Using IEEE 802.1x Authentication with Voice VLAN Ports
Voice VLANは2つのVLAN識別子に関連付けられた特別なアクセスポートです。
-VVID (Voice VLAN Identifier)
-PVID (Port VLAN Identifier)
VVIDはIP Phoneからの音声トラフィックを運ぶために使用されます。VVIDは物
理ポートに接続されたIP Phoneの設定に使用されます
PVIDはIP Phoneに接続されているワークステーションからのデータトラフィッ
クを運ぶために使用されます。PVIDはそのポートのNativeVLANです。シングル
ホストモードでは、IP PhoneのみがVoice VLANを使えまず。マルチホストモー
ドでは他のクライアントがPVIDで認証されれば、Voice VLANにトラフィックを
流すことができます。マルチホストモードが有効になっている場合、クライア
ントからの認証はPVIDとVVIDに影響を与えます。
リンクアップするとVoice VLANはアクティブになり、IP Phoneから最初のCDP
メッセージが届くとデバイスのMACアドレスが表示されます。IP Phoneは他の
デバイスからのCDPメッセージを転送しません。
IEEE802.1x認証が有効になっているポートではVoice VLANとデータVLANを同
じVLANには設定できません。
音声VLANの詳細については、こちらを参照してください。
『Configuring Voice VLAN』
Using IEEE 802.1x Authentication with Port Security
IEEE 802.1xが設定されているポートにPort Securityの設定も一緒に行うこと
ができます。シングルホストモードとマルチホストモードの両方をサポートし
ています。
Port SecurityをIEEE 802.1xのポートで行うと、IEEE 802.1x認証に加えてク
ライアントのMACアドレスを見てネットワークへのアクセスを制御できます。
また、Port Securityはそのポートに接続できるクライアント数も制御できる
ので、マルチホストモードで接続できるクライアントを制限したいときに利用
できます。
IEEE 802.1x認証とPort Securityの間には以下のような相互作用があります。
-クライアントが認証されて、Port Security Table(接続クライアント数を
管理しているテーブル)がフルでない場合、そのホストはテーブルのリストと
して追加されて、通常どおりアクセスできます。
クライアントが認証されて、クライアントのMACアドレスを手動で登録してい
る場合、そのエントリは保証されます。つまり、動的に学習されたMACよりも
"強い"エントリとなります。ただしPort SecurityのStatic Agingが有効に
なっていない場合です。
例えば、あるポートへの接続最大数が2クライアントで、1クライアント分のMAC
を手動で登録している場合、テーブル上に既に2つの動的エントリがあっても、
後から手動で登録されたMACを持ったクライアントが接続されると、そのクラ
イアントが優先されます。
クライアントが認証されてもPort Security Tableがフルの場合、Violationが
発生します。Violationが発生したときの動作は、設定によります。昔のメル
マガでPort Securityは取り上げていますので、そちらを参照してください。
-no switchport port-security mac-addressコマンドを使用してIEEE 802.1x クライアントのMACアドレスをPort Security Tableから削除した場合、 dot1x re-authenticate interfaceコマンドを使用して再認証を行う必要があ ります。
-IEEE 802.1xクライアントがLogs Offすると、そのポートはunauthenticated state に変わり、動的に学習したMACアドレスのエントリはクリアされます。
-ポートがshutdownされてadministratively downの状態になるとそのポート はunauthenticated stateに変わり、動的に学習されたMACアドレスはクリアさ れます。
-シングルホストモードでもマルチホストモードでもPort SecurityおよびVoice VLAN を同時に設定できます。Port SecurityはVVIDとPVIDの両方に適用されます。
Using IEEE 802.1x Authentication with Wake-on-LAN
IEEE 802.1x wake-on-LAN (WoL)機能は、スイッチがmagic packetと呼ばれる
特殊なフレームを受け取ると、休止状態のPCを起動させることができるように
します。
この機能を使うことで、管理者は電源が落とされたシステムを接続させる必要
がある場合に使用できます。また、この機能はIEEE 802.1x標準では
unidirectional controlled portとも呼ばれます。
WoLに対応しているクライアントがIEEE 802.1xポートに電源OFFの状態で接続
されているとき、IEEE 802.1xポートはunauthorized stateになります。この
ポートが送受信できるのはEAPOLパケットだけで、WoLのmagic packetはクライ
アントには届きません。これはスイッチに通常のIEEE 802.1xの設定がされて
いる場合の動作です。
では、スイッチにIEEE 802.1x with WoLの設定をした場合の動作を見てみまし ょう。スイッチはunauthorized stateのポートでmagic packetを送信できるよ うになります。ポートがunauthorized stateの間、スイッチは受信パケットは EAPOLだけで、それ以外のパケットは引き続きブロックします。クライアント はパケットを受信できるが送信はEAPOL以外送信できないという状態になりま す。この状態がunidirectionalな感じですね。
dot1x control-direction inコマンドでポートをunidirectionalに設定した場 合、そのポートはspanning-treeのforwardingになります。つまり、そのポー トに接続されるクライアントにパケットが送れる状態になるということです。 WoLを利用するときはこの設定を行います。
dot1x control-direction bothコマンドでポートをbidirectionalに設定した 場合、ポートがauthorized stateになるまでそのポートでの送受信はEAPOLの みに制限されます。
次回はMAC認証バイパスとIEEE 802.1xの設定についてみていきます。
By 『Overseas and Beyond』 Koichi
