ポート認証機能

ネットワークに接続する際、認証することができます。

本項では、ポート認証機能について説明します。

ポート認証機能とは

ポート認証機能とは、パソコンにログインした時や通信開始時に認証を行って、成功した時だけネットワークが使えるようにする仕組みです。

ポート認証機能の仕組み

ポート認証機能に関連する機器は、以下の3つの役割があります。

サプリカント
認証される装置です。パソコンなどが該当します。
オーセンティケーター
認証の中継を行い、実際に通信許可・遮断を行います。LANスイッチなどが該当します。
認証サーバー
IDやパスワードなどが保存されていて、実際に認証を行います。RADIUSサーバーなどが該当します。

認証の方法

認証の方法は、以下の3とおりあります。

  • IEEE802.1X認証
  • MACアドレス認証
  • Web認証

    • 次からは、それぞれの認証方法を説明します。

    IEEE802.1X認証

    IEEE802.1X認証は、パソコン起動時などにIDとパスワードを入力するとEAP(Extended Authentication Protocol)を送信し、EAPを受信したLANスイッチが中継することでRADIUSサーバーが認証を行います。

    IEEE802.1X認証の仕組み

    EAPは、IPとは別のプロトコルなため、ルーティングはできません。RADIUSは、IPなのでルーティングした先にRADIUSサーバーがあっても認証可能です。

    RADIUSサーバーには、事前にIDとパスワードを登録しておく必要があります。

    また、パソコンに証明書をインストールしておいて、証明書で認証することも可能です。

    MACアドレス認証

    MACアドレス認証は、実際の通信が発生した際のフレームで、LANスイッチがMACアドレスをユーザーとしてRADIUSサーバーに認証を問い合わせます。

    MAC認証の仕組み

    RADIUSサーバーには、事前にMACアドレスをユーザーとして登録しておく必要があります。

    Web認証

    Web認証は、パソコンの起動時にLANスイッチのWeb画面を表示し、IDとパスワードを入力します。LANスイッチは、入力されたIDとパスワードでRADIUSサーバーに認証を問い合わせます。

    Web認証の仕組み

    RADIUSサーバーには、事前にIDとパスワードを登録しておく必要があります。

    また、Web画面を表示するためにはパソコンで事前にIPアドレスが設定されている必要があります。このため、パソコンに固定でIPアドレスを設定するなどが必要です。

ホストモード

サプリカントとオーセンティケーターの間に他のLANスイッチがある場合、ホストモードに気を付ける必要があります。

ホストモードで気を付ける点

ホストモードには、以下3とおりあります。

シングルホストモード
最初に認証が成功したサプリカントの通信だけ許可します。このため、オーセンティケーターでないLANスイッチに複数のサプリカントが接続されていた場合(上の図のような場合)、1台だけしか通信できません。
マルチホストモード
最初に認証が成功すると、他の機器も通信可能になります。
マルチサプリカントモード
1台のサプリカントで認証が成功した場合でも、他のサプリカントは通信はできません。しかし、他のサプリカントで認証が成功すれば、通信可能になります。サプリカント単位で認証するモードです。

例えば、デフォルトがシングルホストモードだった場合、途中にLANスイッチを接続してその先に複数のパソコンを接続しても1台だけしか認証されません。このため、ホストモードを変更する必要があります。

ダイナミックVLAN(認証VLAN)

ポート認証機能によって認証された場合、デフォルトではLANスイッチのポートに割り当てられた(ポートVLANで設定された)VLANが使えます。

ダイナミックVLANを利用すると、認証したユーザ単位に異なるVLANが使えるようになります。

ダイナミックVLANの仕組み

RADIUSサーバーでは、ユーザー単位に使えるVLANを登録しておく必要があります。その後、認証成功時にはそのユーザーで使えるVLANをオーセンティケーターに通知することで、オーセンティケーター側で使えるVLANを設定します。

ゲストVLAN

通常、認証に失敗するとネットワークが使えませんが、失敗した場合でもVLANを使えるようにするのがゲストVLANです。

ゲストVLANの仕組み

例えば、社外の訪問者にネットワークを使えるようにする時などに使います。

その際、社内のサーバーなどにアクセスされないよう、インターネットだけ使えるVLANを割り当てるなど、通信制限することが一般的です。

EAPの透過

サプリカントとオーセンティケーターの間に他のLANスイッチがある場合、ホストモード以外でも気をつける点があります。

途中のLANスイッチでEAPが透過するか?

EAPは、01-80-c2-00-00-02を宛先MACアドレスとして使います。このMACアドレスは、LANスイッチに直接接続されたパソコンを認証することを前提としていたため、透過しないLANスイッチも多くあります。

EAPが透過できないと、認証ができずにネットワークが使えません。

このため、間にLANスイッチを接続する場合は、EAPが透過できるか確認が必要です。

前のページ検疫ネットワーク