IEEE802.1Xとは(その1)

 IEEE802.1Xは、スイッチや無線LANアクセスポイントからLANへのアクセスを利用可能にする前にユーザーを認証するための技術です。

 テクニカルエンジニア ネットワーク試験の午後の問題、午後Ⅰ・午後Ⅱの過去問においても登場する主要プロトコルです。ネットワーク技術者であれば、その仕組みを理解し、ぜひ試しておきたいところです。

普通、スイッチのポートにケーブルを接続するとすぐさま、LANにアクセスできるようになります。

 スイッチには、たくさんのポートがありますが、その全てのポートを使い切ることは稀です。空きポートに悪意のあるユーザに接続されれば、LANへの侵入を許してしまうことになります。

 また、全てのポートを使い切っていたとしても、使用中のポートを外されて、そこへ接続されても、LANへの侵入を許してしまうことになります。

 IEEE802.1Xに対応しスイッチであれば、ケーブルに接続してもすぐにLANへアクセスできないようにすることができます。

接続したパソコンを認証し、正しいユーザーであることを確認してから、LANへの接続を許可します。

 もともとIEEE802.1Xは、有線LANにおけるポートベースのネットワークアクセス制御を実現するための認証技術でしたが、IEEE802.11にも対応しています。

3つの構成要素

IEEE802.1Xは、次の3つの装置で構成されます。

  • 端末(Supplicant・サプリカント)
  • 認証装置(Authenticator・オーセンティケータ)
  • RADIUSサーバ(Authentication Server・認証サーバ)
構成要素説明
端末
(Supplicant・サプリカント)
EAPOL(EAP over LAN)を使用して、端末の認証情報を認証装置とやりとりします。Windows XPやWindows Vista、Mac OS Xでは、標準でIEEE802.1Xに対応したサプリカント(対応ソフトウェア)を搭載しています。
認証装置
(Authenticator・オーセンティケータ)
端末のLANへのアクセスを制御する装置。端末と認証サーバ(RADIUSサーバ)間で認証情報の中継を行います。
端末 ⇔ 認証装置 ・・・ EAP Over LAN(EAPOL)
認証装置 ⇔ RADIUSサーバ ・・・ EAP Over RADIUS
を使用して認証情報を交換します。
RADIUSサーバ
(Authentication Server・
認証サーバ)
端末の認証を行うサーバ。
RADIUSは、「Remote Authentication Dial In User Service」の略。
端末の認証情報を確認し、認証装置が提供するサービスへのアクセスを端末に許可するかどうかを認証装置に通知する。
RADIUSを利用するには、LinuxやWindows Server OS上にRADIUSサービスをインストールして使用するか、「RADIUSサーバ」ソフトウェアをインストールして使用します。

基本構成

 IEEE802.1Xの基本構成は、下の図のように、「サプリカント-オーセンティケータ-RADIUSサーバ」の順の配置になります。

 製品によっては、ポート数によって端末数の制限を受けない構成にすることができます。オーセンティケータとなるスイッチに、L2スイッチやHUBを配置することで、よりたくさんの端末を認証することもできます。

オーセンティケータは、サプリカントとRADIUSサーバ間で認証情報の中継を行う中継装置です。

IEEE802.1Xでは、次のように認証情報などをやり取りしてユーザ認証を行います。

ユーザ端末(クライアント)
 ↓↑
アクセスポイント/スイッチ類(オーセンティケータ)
 ↓↑
認証サーバ(RADIUSサーバ)

  • 「サプリカント端末⇔オーセンティケータ」間は、EAP Over LAN(EAPOL)というプロトコル
  • 「オーセンティケータ⇔RADIUSサーバ」間は、EAP Over RADIUSというプロトコル

を使用して認証情報を交換します。

 オーセンティケータは、サプリカントからのEAPOLフレームを受信して、認証サーバに中継する際には、イーサネットヘッダーを取り除いて、残ったEAPフレームを再度、RADIUS形式でカプセルして、RADIUSサーバへ転送します。また、RADIUSサーバからのEAPフレームをEAPOLフレームに変換してサプリカントに中継します。

つまり、認証自体はサプリカントとRADIUSサーバとで直接やり取りを行います。

 IEEE802.1Xの基本構成は、このように最低でも3つの構成要素から構築されますが、認証局(CA)を使用して、ディジタル証明書を使用することもできます。

次の「IEEE802.1Xとは(その2)」では、さらに、IEEE802.1Xの特徴について説明していきます。