ネットワーク用語 > IEEE802.1X
IEEE802.1X †
IEEE802.1X = Institute of Electrical and Electronic Engineers 802.1X
IEEE802.1x
あいとりぷるいーはちまるにてんいちえっくす 【IEEE802.1x】
LANにおけるユーザー認証方式を定めた規格。
無線LANのユーザー認証方式として利用されているが、有線LANにも対応した仕様となっている。
認証されたユーザーの通信だけを許可し、認証されていないユーザーからの通信を遮断する。
なお、IEEE802.1xでは、データを暗号化できないため、データを読み取られないようにするには、別途データを暗号化する必要がある。
IEEE 802.1XとはLAN接続時に使用する認証規格である。
あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格。
有線と無線の接続に使用できる検疫ネットワークの中核技術である。
IEEE 802.1Xを使った認証システムでは、接続しようとするパソコン上のサプリカント(Supplicant)と呼ばれる認証クライアント・ソフトウェアと、802.1Xに対応したLANスイッチ、RADIUS認証サーバから構成される。
IEEE 802.1Xの認証手順
http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316836/
●「IEEE802.1X」の全体像
LANにつながったポートごとにユーザー認証を実施し,許可されたユーザーだけ通信できるようにする技術。
既存のさまざまな技術を組み合わせて実現する。
IEEE802.1xとは †
http://www.infraexpert.com/study/dot1x.htm
IEEE802.1xとは、有線LANや無線LANで使用される認証について規定したプロトコルです。
このIEEE802.1Xに対応したLANスイッチのポートでIEEE802.1Xが有効な場合、そのポートにPCなどを接続してもすぐにLAN接続が行われることはなく認証された機器のみが接続されます。
IEEE802.1Xは検疫ネットワークでは中核の技術です。
IEEE802.1X : 3つの構成要素 †
IEEE802.1X構成要素 | 説明 |
supplicant |
サプリカント。 |
authenticator |
オーセンティケータ。 |
authentication server |
認証サーバ。 |
IEEE802.1X : EAPパケット †
IEEE802.1Xでは、PPPの改良版として標準化されたEAP ( Extensible Authentication Protocol ) を使用します。
サプリカントと認証サーバとでやり取りする情報はEAPパケットに格納されます。
サプリカントとオーセンティケータとの間はEAPパケットをMACフレームのデータ部分に入れてやりとりする [ EAPOL ] というプロトコルを使用します。
オーセンティケータがEAPOLフレームを受信して認証サーバにリレーする時にはイーサネットヘッダーが取り除かれ残りのEAPフレームがRADIUS形式で再度カプセル化されます。
つまり EAP over LAN から EAP over Radius となります。
このようにオーセンティケータはサプリカントから受信したEAPOLからEAPパケットを取り除いて、IPパケットに載せ変えたりその逆をする役割を持っていますが、認証自体はサプリカントと認証サーバーとで直接実行されます。
※ EAPは、EAP-MD5、EAP-TLS、PEAPなどの認証方式をサポートできるようにしています。
EAP-MD5は、ID/パスワードを使用したチャレンジレスポンス方式。
EAP-TLSは、電子証明書を使う方式。
PEAPは、SSLを使用して認証のやりとりを暗号化する方式のことです。
IEEE802.1X : 認証手順 ( OTPの認証方式 ) †
- IEEE802.1Xが有効なスイッチポートに接続したクライアントは、起動後に EAPOL 開始フレームを送信する。
- これを受信したスイッチは EAP Request/ID を送信してクライアントのアイデンティティを要求するようになる。
- クライアントは EAP Response/ID をスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
- 認証サーバはRadiusアクセスチャレンジとして送信し、スイッチはそれを EAP Request/OTPとして送信する。
- クライアントはEAP Response/OTPをスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。
- 認証サーバはRadiusアクセス承認として送信し、スイッチはそれをEAP Successとして送信する。
スイッチはこのパケットを認証サーバから受信した時点で、そのスイッチのポートを [ 許可ポート ] のステータスに移行。
認証が成功すると、スイッチ ポートは許可ステートになりPCは通常のトラフィックをポートから送信できますが、認証に失敗すると、認証が再試行されるか、ポートが限定的なサービスを提供するVLANに割り当てられるか、または、アクセスできないようになります。
Catalystでは、クライアントを認証するまでの間、そのクライアントが接続しているポート(無許可ポート)経由ではEAPOL、CDP、STPトラフィックの送信しか許可されないことになる。
クライアントがIEEE802.1Xに対応しておらず、IEEE802.1X認証タイムアウトし、MAC認証バイパスが有効の場合クライアントのMACアドレスをIDとして使用して認証することができます。
スイッチは、このMACアドレス情報をRadiusサーバに送信するRadiusアクセス/要求パケットに含めます。
そのMAC情報がサーバで登録されている場合、RadiusサーバはRadiusアクセス/承認パケットを送信します。
それを受信したスイッチはスイッチポートを許可ポートにします。
認証が失敗してもポートにゲストVLANが設定されていればゲストVLANが割り当てられる。
リンク †
添付ファイル:



