プログラミング★さがして!

ネットワーク用語 > IEEE802.1X

IEEE802.1X

IEEE802.1X = Institute of Electrical and Electronic Engineers 802.1X

IEEE802.1x - ASCII.jpデジタル用語辞典

IEEE802.1x
あいとりぷるいーはちまるにてんいちえっくす 【IEEE802.1x】
 
LANにおけるユーザー認証方式を定めた規格。
無線LANのユーザー認証方式として利用されているが、有線LANにも対応した仕様となっている。
認証されたユーザーの通信だけを許可し、認証されていないユーザーからの通信を遮断する。
なお、IEEE802.1xでは、データを暗号化できないため、データを読み取られないようにするには、別途データを暗号化する必要がある。

IEEE 802.1X - Wikipedia

IEEE 802.1XとはLAN接続時に使用する認証規格である。
あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格。
有線と無線の接続に使用できる検疫ネットワークの中核技術である。
 
IEEE 802.1Xを使った認証システムでは、接続しようとするパソコン上のサプリカント(Supplicant)と呼ばれる認証クライアント・ソフトウェアと、802.1Xに対応したLANスイッチ、RADIUS認証サーバから構成される。

642px-IEEE_8021.X.PNG

IEEE 802.1Xの認証手順

ieee8021x.jpg

http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316836/
●「IEEE802.1X」の全体像
LANにつながったポートごとにユーザー認証を実施し,許可されたユーザーだけ通信できるようにする技術。
既存のさまざまな技術を組み合わせて実現する。

IEEE802.1xとは

http://www.infraexpert.com/study/dot1x.htm

 IEEE802.1xとは、有線LANや無線LANで使用される認証について規定したプロトコルです。
このIEEE802.1Xに対応したLANスイッチのポートでIEEE802.1Xが有効な場合、そのポートにPCなどを接続してもすぐにLAN接続が行われることはなく認証された機器のみが接続されます。
IEEE802.1Xは検疫ネットワークでは中核の技術です。

IEEE802.1X : 3つの構成要素

IEEE802.1X構成要素 説明
supplicant

サプリカント。
IEEE802.1Xに準拠した認証を実現するためにPC側で必要なソフトウェアのこと。
認証を受けるクライアントはこのソフトウェアをインストールしている必要がある。
例えばWindowsXPではバンドルされている。
authenticator

オーセンティケータ。
IEEE802.1Xに対応したLANスイッチまたは無線LANのアクセスポイントのこと。
スイッチはクライアントと認証サーバとの間の媒介(プロキシ)として機能する。
認証のやりとりの結果を受けて、スイッチはネットワークへの物理的なアクセス制御を行う。
Cisco機器では多くのCatalystスイッチが802.1Xに対応している。
authentication server

認証サーバ。
実際にクライアントの認証を行うサーバ。
認証サーバはクライアントIDを確認し、クライアントからLANへのアクセスを許可するかどうかをスイッチに通知する。
認証サーバはEAPを話せられるRadiusサーバを使用するのが一般的。
Cisco機器では、ACS version 3.0 以降であれば認証サーバとして使用可能である。
dot1x.gif

IEEE802.1X : EAPパケット

 IEEE802.1Xでは、PPPの改良版として標準化されたEAP ( Extensible Authentication Protocol ) を使用します。
 サプリカントと認証サーバとでやり取りする情報はEAPパケットに格納されます。
サプリカントとオーセンティケータとの間はEAPパケットをMACフレームのデータ部分に入れてやりとりする [ EAPOL ] というプロトコルを使用します。

 オーセンティケータがEAPOLフレームを受信して認証サーバにリレーする時にはイーサネットヘッダーが取り除かれ残りのEAPフレームがRADIUS形式で再度カプセル化されます。
つまり EAP over LAN から EAP over Radius となります。
このようにオーセンティケータはサプリカントから受信したEAPOLからEAPパケットを取り除いて、IPパケットに載せ変えたりその逆をする役割を持っていますが、認証自体はサプリカントと認証サーバーとで直接実行されます。

※ EAPは、EAP-MD5、EAP-TLS、PEAPなどの認証方式をサポートできるようにしています。
EAP-MD5は、ID/パスワードを使用したチャレンジレスポンス方式。
EAP-TLSは、電子証明書を使う方式。
PEAPは、SSLを使用して認証のやりとりを暗号化する方式のことです。

IEEE802.1X : 認証手順 ( OTPの認証方式 )

  1. IEEE802.1Xが有効なスイッチポートに接続したクライアントは、起動後に EAPOL 開始フレームを送信する。
  2. これを受信したスイッチは EAP Request/ID を送信してクライアントのアイデンティティを要求するようになる。
  3. クライアントは EAP Response/ID をスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
  4. 認証サーバはRadiusアクセスチャレンジとして送信し、スイッチはそれを EAP Request/OTPとして送信する。
  5. クライアントはEAP Response/OTPをスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
  6. 認証サーバはRadiusアクセス承認として送信し、スイッチはそれをEAP Successとして送信する。
    スイッチはこのパケットを認証サーバから受信した時点で、そのスイッチのポートを [ 許可ポート ] のステータスに移行。
dot1x2.gif

 認証が成功すると、スイッチ ポートは許可ステートになりPCは通常のトラフィックをポートから送信できますが、認証に失敗すると、認証が再試行されるか、ポートが限定的なサービスを提供するVLANに割り当てられるか、または、アクセスできないようになります。

 Catalystでは、クライアントを認証するまでの間、そのクライアントが接続しているポート(無許可ポート)経由ではEAPOL、CDP、STPトラフィックの送信しか許可されないことになる。

 クライアントがIEEE802.1Xに対応しておらず、IEEE802.1X認証タイムアウトし、MAC認証バイパスが有効の場合クライアントのMACアドレスをIDとして使用して認証することができます。
スイッチは、このMACアドレス情報をRadiusサーバに送信するRadiusアクセス/要求パケットに含めます。
そのMAC情報がサーバで登録されている場合、RadiusサーバはRadiusアクセス/承認パケットを送信します。
それを受信したスイッチはスイッチポートを許可ポートにします。
認証が失敗してもポートにゲストVLANが設定されていればゲストVLANが割り当てられる。

リンク

認証
検疫ネットワーク
EAP
RADIUS

添付ファイル: fileieee8021x.jpg 1224件 [詳細] filedot1x2.gif 1607件 [詳細] filedot1x.gif 1034件 [詳細] file642px-IEEE_8021.X.PNG 1244件 [詳細]
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2011-09-26 (月) 19:51:55 (4389d)