今までネットワーク認証を導入していなかったネットワークに,新たに認証サーバーとIEEE802.1X対応スイッチを導入して,ユーザー認証のしくみを取り入れることになった。その際,いくつかの機器/ソフトを新たに選択する必要が出てきた。IEEE802.1X認証を導入するにあたり,考え方として明らかに誤った認識はどれか。以下の選択肢より一つ選びなさい。なお,既存のネットワーク環境は以下の図のような構成になっている。クライアントのOSはすべてWindowsXPであり,デスクトップ・スイッチはユーザーの手に届かない場所に設置してあるとする。

IEEE802.1Xの導入

[選択肢]
a. 認証サーバーはEAP認証に対応しているものを使う必要がある
b. より強固にネットワーク制限をかけたい場合,すべてのデスクトップ・スイッチをIEEE802.1X対応スイッチに変更する必要がある
c. ユーザー認証を実施するにあたって,プライベートCA局を構築して各ユーザーに電子証明書を配布してもよい
d. フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい
e. クライアントのOSはWindowsXPなので,サプリカント・ソフトを新たにインストールしなくても認証システムを構築できる

[解説]
 正解は,選択肢dの「フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい」です。

 通常,IEEE802.1Xでは1ポート1端末で接続することが基本となるため,端末を接続するLANスイッチをすべてIEEE802.1X対応スイッチに変更する必要があります。しかし, 1ポートに複数の端末を収容できる「マルチサプリカント機能」を実装するLANスイッチを使用する場合,配下に別のスイッチを接続して複数の端末を収容できます。

 ただし,IEEE802.1Xの認証でやりとりされるEAPメッセージは,LAN上ではEAPOL(EAP over LAN)と呼ばれるフレームで運ばれます。このEAPOLのあて先MACアドレスは,特殊なマルチキャスト・アドレスが使われるため,一般的なLANスイッチでは破棄されてしまいます(下図)。

IEEE802.1X導入時の注意点

 そのため,EAPパケットを透過(転送)しないLANスイッチを接続した場合,正常な認証ができなくなってしまうので注意が必要です。例えマルチサプリカント対応スイッチを導入したとしても,その配下に複数の端末を接続する場合には,EAPを透過する機能を持ったスイッチを設置する必要があるわけです。

 以上より,選択肢dの「フロア・スイッチにマルチサプリカント対応の認証スイッチを導入すれば,その配下のデスクトップ・スイッチの変更を意識しなくてもよい」という認識は誤りです。