 IEEE802.1X とは
IEEE802.1xとは、有線LANや無線LANで使用される認証について規定したプロトコルです。このIEEE802.1Xに
 IEEE802.1X : EAPパケットIEEE802.1Xでは、PPPの改良版として標準化されたEAP ( Extensible Authentication Protocol ) を使用します。 サプリカントと認証サーバとでやり取りする情報はEAPパケットに格納されます。サプリカントとオーセンティケータ との間はEAPパケットをMACフレームのデータ部分に入れてやりとりする [ EAPOL ] というプロトコルを使用します。 オーセンティケータがEAPOLフレームを受信して認証サーバにリレーする時にはイーサネットヘッダーが取り除かれ 残りのEAPフレームがRADIUS形式で再度カプセル化されます。つまり EAP over LAN から EAP over Radius となり ます。このようにオーセンティケータはサプリカントから受信したEAPOLからEAPパケットを取り除いて、IPパケットに 載せ変えたりその逆をする役割を持っていますが、認証自体はサプリカントと認証サーバーとで直接実行されます。 ※ EAPは、EAP-MD5、EAP-TLS、PEAPなどの認証方式をサポートできるようにしています。EAP-MD5は、ID/パスワードを使用した チャレンジレスポンス方式。EAP-TLSは、電子証明書を使う方式。PEAPは、SSLを使用して認証のやりとりを暗号化する方式のことです。 IEEE802.1X : 認証手順 ( OTPの認証方式 )@ IEEE802.1Xが有効なスイッチポートに接続したクライアントは、起動後に EAPOL 開始フレームを送信する。 A これを受信したスイッチは EAP Request/ID を送信してクライアントのアイデンティティを要求するようになる。 B クライアントは EAP Response/ID をスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。 C 認証サーバはRadiusアクセスチャレンジとして送信し、スイッチはそれを EAP Request/OTPとして送信する。 D クライアントはEAP Response/OTPをスイッチに送信し、スイッチはそれをRadiusアクセス要求として送信する。 E 認証サーバはRadiusアクセス承認として送信し、スイッチはそれをEAP Successとして送信する。スイッチは このパケットを認証サーバから受信した時点で、そのスイッチのポートを [ 許可ポート ] のステータスに移行。  認証が成功すると、スイッチ ポートは許可ステートになりPCは通常のトラフィックをポートから送信できますが、 認証に失敗すると、認証が再試行されるか、ポートが限定的なサービスを提供するVLANに割り当てられるか、 または、アクセスできないようになります。Catalystでは、クライアントを認証するまでの間、そのクライアントが 接続しているポート(無許可ポート)経由ではEAPOL、CDP、STPトラフィックの送信しか許可されないことになる。 クライアントがIEEE802.1Xに対応しておらず、IEEE802.1X認証タイムアウトし、MAC認証バイパスが有効の場合 クライアントのMACアドレスをIDとして使用して認証することができます。スイッチは、このMACアドレス情報を Radiusサーバに送信するRadiusアクセス/要求パケットに含めます。そのMAC情報がサーバで登録されている 場合、RadiusサーバはRadiusアクセス/承認パケットを送信します。それを受信したスイッチはスイッチポートを 許可ポートにします。認証が失敗してもポートにゲストVLANが設定されていればゲストVLANが割り当てられる。 |