全体像
「1X」の世界を眺めよう

 IEEE802.1Xを理解するときのポイントは,最初に全体像を押さえてしまうこと。独特の用語やプロトコル名も,全体における位置付けを押さえておけば怖くない。

登場人物は三つの機器

 IEEE802.1Xの全体像を示したのが図2-1である。ここには,IEEE802.1Xで欠かせない要素がすべて書き込んである。これを見ながら進めていこう。

図2-1●「IEEE802.1X」の全体像
LANにつながったポートごとにユーザー認証を実施し,許可されたユーザーだけ通信できるようにする技術。既存のさまざまな技術を組み合わせて実現する。
[画像のクリックで拡大表示]

 IEEE8 0 2.1X の目的は,LAN に接続したユーザーを認証し,許可されたユーザーだけを通信させるようにすること。認証結果に基づいて,ユーザーがつながるLAN 機器のポートを開けたり閉めたりすることで,それを実現する。つまりIEEE802.1Xは,ユーザーがパソコンをLANにつないでから,実際にLANを利用できるようになるまでのしくみを定めた技術である。

 必要となる機器は三つある。サプリカント,オーセンティケータ,認証サーバーである。

 サプリカントは,認証を受けるパソコンである。実際は,OS 付属のソフトあるいは専用ソフトになる。

 オーセンティケータは,サプリカントを収容するネットワーク機器である。LANスイッチまたは無線LANアクセス・ポイントが相当する。接続ポートをオン・オフし,認証をクリアしたサプリカントだけをLANに通す役割を果たす。

 認証サーバーは,文字通りユーザーを認証して通信を許可するかどうかを判断する機器である。判断した結果をオーセンティケータに通知する役割も果たす。実際にはRADIUS サーバーが使われるのが一般的だ。

認証情報をEAPで運ぶ

 登場人物の役割を押さえたら,次は関係を見てみよう。

 三つの機器の間で認証情報を運ぶ役割を果たしているのが,EAPである。EAPはさまざまな認証方式の情報を運ぶためのプロトコルで,IEEE802.1Xではこのしくみを使って認証情報を運ぶ。

 実際には,サプリカントとオーセンティケータはイーサネットや無線LANでつながっている。そこでIEEE802.1Xでは,EAPパケットをMACフレームで運ぶEAPOLを定めている。一方のオーセンティケータと認証サーバーの間は,EAPパケットをRADIUSで運ぶための拡張仕様を使う。

 つまり,EAPパケットを運ぶのに,サプリカントとオーセンティケータの間でEAPOL を使い,オーセンティケータと認証サーバーの間でRADIUSの拡張仕様を使う。こうして,認証の当事者(サプリカントと認証サーバー)間でEAPパケットをやりとりできるようにしているわけだ。

既存の認証方式を入れ替えて使う

 認証の流れも見てみよう。IEEE802.1Xの通信は,サプリカントがLANにつながったときから始まる。サプリカントはまず,認証サーバーとEAPパケットをやりとりして認証方式を決める。その後,実際の認証の作業に入る。認証方式はさまざまあるが,押さえておきたいのは,Windows XP付属のサプリカントが標準で持っているEAP-MD5,EAP-PEAP(ピープ),EAP-TLS の三つだ。IEEE802.1Xでは,これらの方式を選んで使う。

 ユーザー認証が終わったら,IEEE802.1Xの通信は最終段階だ。認証サーバーが許可または拒否の判断をして,その結果をオーセンティケータに通知する。許可ならば,オーセンティケータのポートが開いてサプリカントが通信できるようになる。このとき,RADIUS サーバーがオーセンティケータにVLAN(ブイラン)情報を通知したり,オーセンティケータがサプリカントに無線LANの暗号鍵情報を配布することも可能である。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら