IEEE802.1Xとは（その1）

IEEE802.1Xとは（その1）

　IEEE802.1Xは、スイッチや無線LANアクセスポイントからLANへのアクセスを利用可能にする前にユーザーを認証するための技術です。

　テクニカルエンジニア　ネットワーク試験の午後の問題、午後Ⅰ・午後Ⅱの過去問においても登場する主要プロトコルです。ネットワーク技術者であれば、その仕組みを理解し、ぜひ試しておきたいところです。

普通、スイッチのポートにケーブルを接続するとすぐさま、LANにアクセスできるようになります。

　スイッチには、たくさんのポートがありますが、その全てのポートを使い切ることは稀です。空きポートに悪意のあるユーザに接続されれば、LANへの侵入を許してしまうことになります。

　また、全てのポートを使い切っていたとしても、使用中のポートを外されて、そこへ接続されても、LANへの侵入を許してしまうことになります。

　IEEE802.1Xに対応しスイッチであれば、ケーブルに接続してもすぐにLANへアクセスできないようにすることができます。

接続したパソコンを認証し、正しいユーザーであることを確認してから、LANへの接続を許可します。

　もともとIEEE802.1Xは、有線LANにおけるポートベースのネットワークアクセス制御を実現するための認証技術でしたが、IEEE802.11にも対応しています。

3つの構成要素

IEEE802.1Xは、次の3つの装置で構成されます。

• 端末（Supplicant・サプリカント）
• 認証装置（Authenticator・オーセンティケータ）
• RADIUSサーバ（Authentication Server・認証サーバ）

基本構成

　IEEE802.1Xの基本構成は、下の図のように、「サプリカント－オーセンティケータ－RADIUSサーバ」の順の配置になります。

　製品によっては、ポート数によって端末数の制限を受けない構成にすることができます。オーセンティケータとなるスイッチに、L2スイッチやHUBを配置することで、よりたくさんの端末を認証することもできます。

オーセンティケータは、サプリカントとRADIUSサーバ間で認証情報の中継を行う中継装置です。

IEEE802.1Xでは、次のように認証情報などをやり取りしてユーザ認証を行います。

ユーザ端末（クライアント）
　↓↑
アクセスポイント/スイッチ類（オーセンティケータ）
　↓↑
認証サーバ（RADIUSサーバ）

• 「サプリカント端末⇔オーセンティケータ」間は、EAP Over LAN(EAPOL)というプロトコル
• 「オーセンティケータ⇔RADIUSサーバ」間は、EAP Over RADIUSというプロトコル

を使用して認証情報を交換します。

　オーセンティケータは、サプリカントからのEAPOLフレームを受信して、認証サーバに中継する際には、イーサネットヘッダーを取り除いて、残ったEAPフレームを再度、RADIUS形式でカプセルして、RADIUSサーバへ転送します。また、RADIUSサーバからのEAPフレームをEAPOLフレームに変換してサプリカントに中継します。

つまり、認証自体はサプリカントとRADIUSサーバとで直接やり取りを行います。

　IEEE802.1Xの基本構成は、このように最低でも3つの構成要素から構築されますが、認証局（CA）を使用して、ディジタル証明書を使用することもできます。

次の「IEEE802.1Xとは（その2）」では、さらに、IEEE802.1Xの特徴について説明していきます。