IEEE 802.1x ポートベース認証の制約事項
-
プライベート VLAN で使用する場合、スイッチポートは常に許可されません。認証、許可、およびアカウンティング(AAA)サーバーからプッシュされるダイナミック VLAN は、プライベート VLAN ポートではサポートされません。データ クライアント セッションは、プライベート VLAN の dot1x ポートのセカンダリ VLAN で許可されることが期待されます。
-
通常のアクセス VLAN ポートでは、インターフェイスで設定されたプライベート VLAN ベースの許可とダイナミック VLAN だけがサポートされます。
-
dot1q tag vlan native コマンドがグローバルレベルで設定されている場合、トランクポートでの dot1x 再認証は失敗します。
-
認証の失敗を引き起こす可能性があるため、音声 VLAN とアクセス VLAN の両方に同じ VLAN ID を同時に設定しないでください。
-
管理 VRF は、RADIUS の送信元インターフェイスとして使用できません。
-
ダウンロード可能な ACL に重複するエントリが含まれている場合、エントリは自動的にマージされません。その結果、802.1X セッション許可は失敗します。ダウンロード可能な ACL が、同じポートのポートベースのエントリや名前ベースのエントリなど、重複するエントリなしで最適化されていることを確認します。
-
ポートセキュリティは、IEEE 802.1x ポートベース認証ではサポートされていません。
-
インターフェイスの実行中の設定を、フラッシュにロードされた設定ファイルで上書きすると、一部のポートがエンドポイントの認証に失敗する場合があります。