今までネットワーク認証を導入していなかったネットワークに,新たに認証サーバーとIEEE802.1X対応スイッチを導入して,ユーザー認証のしくみを取り入れることになった。その際,いくつかの機器/ソフトを新たに選択する必要が出てきた。IEEE802.1X認証を導入するにあたり,考え方として明らかに誤った認識はどれか。以下の選択肢より一つ選びなさい。なお,既存のネットワーク環境は以下の図のような構成になっている。クライアントのOSはすべてWindowsXPであり,デスクトップ・スイッチはユーザーの手に届かない場所に設置してあるとする。
[選択肢]
a. 認証サーバーはEAP認証に対応しているものを使う必要がある
b. より強固にネットワーク制限をかけたい場合,すべてのデスクトップ・スイッチをIEEE802.1X対応スイッチに変更する必要がある
c. ユーザー認証を実施するにあたって,プライベートCA局を構築して各ユーザーに電子証明書を配布してもよい
d. フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい
e. クライアントのOSはWindowsXPなので,サプリカント・ソフトを新たにインストールしなくても認証システムを構築できる
[解説]
正解は,選択肢dの「フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい」です。
ただし,IEEE802.1Xの認証でやりとりされるEAPメッセージは,LAN上ではEAPOL(EAP over LAN)と呼ばれるフレームで運ばれます。このEAPOLのあて先MACアドレスは,特殊なマルチキャスト・アドレスが使われるため,一般的なLANスイッチでは破棄されてしまいます(下図)。
そのため,EAPパケットを透過(転送)しないLANスイッチを接続した場合,正常な認証ができなくなってしまうので注意が必要です。例えマルチサプリカント対応スイッチを導入したとしても,その配下に複数の端末を接続する場合には,EAPを透過する機能を持ったスイッチを設置する必要があるわけです。
以上より,選択肢dの「フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい」という認識は誤りです。