ネットワーク用語 > IEEE802.1X
IEEE802.1X = Institute of Electrical and Electronic Engineers 802.1X
IEEE802.1x
あいとりぷるいーはちまるにてんいちえっくす 【IEEE802.1x】
LANにおけるユーザー認証方式を定めた規格。
無線LANのユーザー認証方式として利用されているが、有線LANにも対応した仕様となっている。
認証されたユーザーの通信だけを許可し、認証されていないユーザーからの通信を遮断する。
なお、IEEE802.1xでは、データを暗号化できないため、データを読み取られないようにするには、別途データを暗号化する必要がある。
IEEE 802.1XとはLAN接続時に使用する認証規格である。
あらかじめ決められた端末機器以外がコンピュータ・ネットワークに参加しないように認証によって接続を規制する規格。
有線と無線の接続に使用できる検疫ネットワークの中核技術である。
IEEE 802.1Xを使った認証システムでは、接続しようとするパソコン上のサプリカント(Supplicant)と呼ばれる認証クライアント・ソフトウェアと、802.1Xに対応したLANスイッチ、RADIUS認証サーバから構成される。
IEEE 802.1Xの認証手順
http://itpro.nikkeibp.co.jp/article/COLUMN/20081014/316836/
●「IEEE802.1X」の全体像
LANにつながったポートごとにユーザー認証を実施し,許可されたユーザーだけ通信できるようにする技術。
既存のさまざまな技術を組み合わせて実現する。
http://www.infraexpert.com/study/dot1x.htm
IEEE802.1xとは、有線LANや無線LANで使用される認証について規定したプロトコルです。
このIEEE802.1Xに対応したLANスイッチのポートでIEEE802.1Xが有効な場合、そのポートにPCなどを接続してもすぐにLAN接続が行われることはなく認証された機器のみが接続されます。
IEEE802.1Xは検疫ネットワークでは中核の技術です。
#html{{
TABLE border="1" cellpadding="5" cellspacing="0">
<TBODY> <TR> <TD align="center" bgcolor="#b1b3cd"><FONT size="-1">IEEE802.1X構成要素</FONT></TD> <TD align="center" bgcolor="#b1b3cd"><FONT size="-1">説明</FONT></TD> </TR> <TR> <TD align="center" nowrap><FONT size="-1">supplicant</FONT></TD> <TD><P style="line-height: 140%;"><FONT size="-1">サプリカント。<BR>
IEEE802.1Xに準拠した認証を実現するためにPC側で必要なソフトウェアのこと。<BR>
認証を受けるクライアントはこのソフトウェアをインストールしている必要がある。<BR>
例えばWindowsXPではバンドルされている。</FONT></TD></TR> <TR> <TD align="center" nowrap><FONT size="-1">authenticator</FONT></TD> <TD><P style="line-height: 140%;"><FONT size="-1">オーセンティケータ。<BR>
IEEE802.1Xに対応したLANスイッチまたは無線LANのアクセスポイントのこと。<BR>
スイッチはクライアントと認証サーバとの間の媒介(プロキシ)として機能する。<BR>
認証のやりとりの結果を受けて、スイッチはネットワークへの物理的なアクセス制御を行う。<BR>
Cisco機器では多くのCatalystスイッチが802.1Xに対応している。</FONT></TD></TR> <TR> <TD align="center" nowrap><FONT size="-1">authentication server</FONT></TD> <TD><P style="line-height: 140%;"><FONT size="-1">認証サーバ。<BR>
実際にクライアントの認証を行うサーバ。<BR>
認証サーバはクライアントIDを確認し、クライアントからLANへのアクセスを許可するかどうかをスイッチに通知する。<BR>
認証サーバはEAPを話せられるRadiusサーバを使用するのが一般的。<BR>
Cisco機器では、ACS version 3.0 以降であれば認証サーバとして使用可能である。</FONT></TD></TR> </TBODY>/TABLE>
}}
IEEE802.1Xでは、PPPの改良版として標準化されたEAP ( Extensible Authentication Protocol ) を使用します。
サプリカントと認証サーバとでやり取りする情報はEAPパケットに格納されます。
サプリカントとオーセンティケータとの間はEAPパケットをMACフレームのデータ部分に入れてやりとりする [ EAPOL ] というプロトコルを使用します。
オーセンティケータがEAPOLフレームを受信して認証サーバにリレーする時にはイーサネットヘッダーが取り除かれ残りのEAPフレームがRADIUS形式で再度カプセル化されます。
つまり EAP over LAN から EAP over Radius となります。
このようにオーセンティケータはサプリカントから受信したEAPOLからEAPパケットを取り除いて、IPパケットに載せ変えたりその逆をする役割を持っていますが、認証自体はサプリカントと認証サーバーとで直接実行されます。
※ EAPは、EAP-MD5、EAP-TLS、PEAPなどの認証方式をサポートできるようにしています。
EAP-MD5は、ID/パスワードを使用したチャレンジレスポンス方式。
EAP-TLSは、電子証明書を使う方式。
PEAPは、SSLを使用して認証のやりとりを暗号化する方式のことです。
認証が成功すると、スイッチ ポートは許可ステートになりPCは通常のトラフィックをポートから送信できますが、認証に失敗すると、認証が再試行されるか、ポートが限定的なサービスを提供するVLANに割り当てられるか、または、アクセスできないようになります。
Catalystでは、クライアントを認証するまでの間、そのクライアントが接続しているポート(無許可ポート)経由ではEAPOL、CDP、STPトラフィックの送信しか許可されないことになる。
クライアントがIEEE802.1Xに対応しておらず、IEEE802.1X認証タイムアウトし、MAC認証バイパスが有効の場合クライアントのMACアドレスをIDとして使用して認証することができます。
スイッチは、このMACアドレス情報をRadiusサーバに送信するRadiusアクセス/要求パケットに含めます。
そのMAC情報がサーバで登録されている場合、RadiusサーバはRadiusアクセス/承認パケットを送信します。
それを受信したスイッチはスイッチポートを許可ポートにします。
認証が失敗してもポートにゲストVLANが設定されていればゲストVLANが割り当てられる。