[[ネットワーク用語]] > IEEE802.1X
* IEEE802.1X [#h995bc5d]
IEEE802.1X = Institute of Electrical and Electronic Engineers 802.1X
[[IEEE802.1x - ASCII.jpデジタル用語辞典>http://yougo.ascii.jp/caltar/IEEE802.1x]]
>IEEE802.1x
あいとりぷるいーはちまるにてんいちえっくす 【IEEE802.1x】
LANにおける&color(red){ユーザー認証方式};を定めた規格。
無線LANのユーザー認証方式として利用されているが、有線LANにも対応した仕様となっている。
認証されたユーザーの通信だけを許可し、認証されていないユーザーからの通信を遮断する。
なお、IEEE802.1xでは、&color(red){データを暗号化できない};ため、データを読み取られないようにするには、別途データを暗号化する必要がある。
[[IEEE 802.1X - Wikipedia>http://ja.wikipedia.org/wiki/IEEE_802.1X]]
>IEEE 802.1XとはLAN接続時に使用する認証規格である。
あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格。
有線と無線の接続に使用できる検疫ネットワークの中核技術である。
IEEE 802.1Xを使った認証システムでは、接続しようとするパソコン上のサプリカント(Supplicant)と呼ばれる認証クライアント・ソフトウェアと、802.1Xに対応したLANスイッチ、RADIUS認証サーバから構成される。
CENTER:&ref(642px-IEEE_8021.X.PNG);
>IEEE 802.1Xの認証手順
CENTER:&ref(ieee8021x.jpg);
>http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316836/
●「IEEE802.1X」の全体像
LANにつながったポートごとにユーザー認証を実施し,許可されたユーザーだけ通信できるようにする技術。
既存のさまざまな技術を組み合わせて実現する。
** IEEE802.1xとは [#r24b0365]
http://www.infraexpert.com/study/dot1x.htm
IEEE802.1xとは、有線LANや無線LANで使用される[[認証]]について規定した[[プロトコル]]です。
このIEEE802.1Xに対応した[[LAN]][[スイッチ]]のポートでIEEE802.1Xが有効な場合、そのポートにPCなどを接続してもすぐにLAN接続が行われることはなく認証された機器のみが接続されます。
IEEE802.1Xは[[検疫ネットワーク]]では中核の技術です。
*** IEEE802.1X : 3つの構成要素 [#t67c801e]
#html{{
<TABLE border="1" cellpadding="5" cellspacing="0">
<TBODY>
<TR>
<TD align="center" bgcolor="#b1b3cd"><FONT size="-1">IEEE802.1X構成要素</FONT></TD>
<TD align="center" bgcolor="#b1b3cd"><FONT size="-1">説明</FONT></TD>
</TR>
<TR>
<TD align="center" nowrap><FONT size="-1">supplicant</FONT></TD>
<TD><P style="line-height: 140%;"><FONT size="-1">
サプリカント。<BR>
IEEE802.1Xに準拠した認証を実現するためにPC側で必要なソフトウェアのこと。<BR>
認証を受けるクライアントはこのソフトウェアをインストールしている必要がある。<BR>
例えばWindowsXPではバンドルされている。</FONT></TD>
</TR>
<TR>
<TD align="center" nowrap><FONT size="-1">authenticator</FONT></TD>
<TD><P style="line-height: 140%;"><FONT size="-1">
オーセンティケータ。<BR>
IEEE802.1Xに対応したLANスイッチまたは無線LANのアクセスポイントのこと。<BR>
スイッチはクライアントと認証サーバとの間の媒介(プロキシ)として機能する。<BR>
認証のやりとりの結果を受けて、スイッチはネットワークへの物理的なアクセス制御を行う。<BR>
Cisco機器では多くのCatalystスイッチが802.1Xに対応している。</FONT></TD>
</TR>
<TR>
<TD align="center" nowrap><FONT size="-1">authentication server</FONT></TD>
<TD><P style="line-height: 140%;"><FONT size="-1">
認証サーバ。<BR>
実際にクライアントの認証を行うサーバ。<BR>
認証サーバはクライアントIDを確認し、クライアントからLANへのアクセスを許可するかどうかをスイッチに通知する。<BR>
認証サーバはEAPを話せられるRadiusサーバを使用するのが一般的。<BR>
Cisco機器では、ACS version 3.0 以降であれば認証サーバとして使用可能である。</FONT></TD>
</TR>
</TBODY>
</TABLE>
}}
CENTER:&ref(dot1x.gif);
*** IEEE802.1X : EAPパケット [#n12e5cad]
IEEE802.1Xでは、[[PPP]]の改良版として標準化された[[EAP]] ( Extensible Authentication Protocol ) を使用します。
サプリカントと認証サーバとでやり取りする情報はEAPパケットに格納されます。
サプリカントとオーセンティケータとの間はEAPパケットをMACフレームのデータ部分に入れてやりとりする [ EAPOL ] というプロトコルを使用します。
オーセンティケータがEAPOLフレームを受信して認証サーバにリレーする時にはイーサネットヘッダーが取り除かれ残りのEAPフレームがRADIUS形式で再度カプセル化されます。
つまり EAP over LAN から EAP over Radius となります。
このようにオーセンティケータはサプリカントから受信したEAPOLからEAPパケットを取り除いて、IPパケットに載せ変えたりその逆をする役割を持っていますが、認証自体はサプリカントと認証サーバーとで直接実行されます。
※ EAPは、EAP-MD5、EAP-TLS、PEAPなどの認証方式をサポートできるようにしています。
EAP-MD5は、ID/パスワードを使用したチャレンジレスポンス方式。
EAP-TLSは、電子証明書を使う方式。
PEAPは、SSLを使用して認証のやりとりを暗号化する方式のことです。
*** IEEE802.1X : 認証手順 ( OTPの認証方式 ) [#te9b1d41]
+ IEEE802.1Xが有効なスイッチポートに接続したクライアントは、起動後に EAPOL 開始フレームを送信する。
+ これを受信したスイッチは EAP Request/ID を送信してクライアントのアイデンティティを要求するようになる。
+ クライアントは EAP Response/ID をスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
+ 認証サーバはRadiusアクセスチャレンジとして送信し、スイッチはそれを EAP Request/OTPとして送信する。
+ クライアントはEAP Response/OTPをスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
+ 認証サーバはRadiusアクセス承認として送信し、スイッチはそれをEAP Successとして送信する。
スイッチはこのパケットを認証サーバから受信した時点で、そのスイッチのポートを [ 許可ポート ] のステータスに移行。
CENTER:&ref(dot1x2.gif);
認証が成功すると、スイッチ ポートは許可ステートになりPCは通常のトラフィックをポートから送信できますが、認証に失敗すると、認証が再試行されるか、ポートが限定的なサービスを提供するVLANに割り当てられるか、または、アクセスできないようになります。
Catalystでは、クライアントを認証するまでの間、そのクライアントが接続しているポート(無許可ポート)経由ではEAPOL、CDP、STPトラフィックの送信しか許可されないことになる。
クライアントがIEEE802.1Xに対応しておらず、IEEE802.1X認証タイムアウトし、MAC認証バイパスが有効の場合クライアントのMACアドレスをIDとして使用して認証することができます。
スイッチは、このMACアドレス情報をRadiusサーバに送信するRadiusアクセス/要求パケットに含めます。
そのMAC情報がサーバで登録されている場合、RadiusサーバはRadiusアクセス/承認パケットを送信します。
それを受信したスイッチはスイッチポートを許可ポートにします。
認証が失敗してもポートにゲストVLANが設定されていればゲストVLANが割り当てられる。
** リンク [#bbbd67db]
[[認証]]
[[検疫ネットワーク]]
[[EAP]]
[[RADIUS]]