全体像
「1X」の世界を眺めよう
IEEE802.1Xを理解するときのポイントは,最初に全体像を押さえてしまうこと。独特の用語やプロトコル名も,全体における位置付けを押さえておけば怖くない。
登場人物は三つの機器
IEEE802.1Xの全体像を示したのが図2-1である。ここには,IEEE802.1Xで欠かせない要素がすべて書き込んである。これを見ながら進めていこう。
IEEE8 0 2.1X の目的は,LAN に接続したユーザーを認証し,許可されたユーザーだけを通信させるようにすること。認証結果に基づいて,ユーザーがつながるLAN 機器のポートを開けたり閉めたりすることで,それを実現する。つまりIEEE802.1Xは,ユーザーがパソコンをLANにつないでから,実際にLANを利用できるようになるまでのしくみを定めた技術である。
必要となる機器は三つある。サプリカント,オーセンティケータ,認証サーバーである。
サプリカントは,認証を受けるパソコンである。実際は,OS 付属のソフトあるいは専用ソフトになる。
オーセンティケータは,サプリカントを収容するネットワーク機器である。LANスイッチまたは無線LANアクセス・ポイントが相当する。接続ポートをオン・オフし,認証をクリアしたサプリカントだけをLANに通す役割を果たす。
認証サーバーは,文字通りユーザーを認証して通信を許可するかどうかを判断する機器である。判断した結果をオーセンティケータに通知する役割も果たす。実際にはRADIUS サーバーが使われるのが一般的だ。
認証情報をEAPで運ぶ
登場人物の役割を押さえたら,次は関係を見てみよう。
三つの機器の間で認証情報を運ぶ役割を果たしているのが,EAPである。EAPはさまざまな認証方式の情報を運ぶためのプロトコルで,IEEE802.1Xではこのしくみを使って認証情報を運ぶ。
実際には,サプリカントとオーセンティケータはイーサネットや無線LANでつながっている。そこでIEEE802.1Xでは,EAPパケットをMACフレームで運ぶEAPOLを定めている。一方のオーセンティケータと認証サーバーの間は,EAPパケットをRADIUSで運ぶための拡張仕様を使う。
つまり,EAPパケットを運ぶのに,サプリカントとオーセンティケータの間でEAPOL を使い,オーセンティケータと認証サーバーの間でRADIUSの拡張仕様を使う。こうして,認証の当事者(サプリカントと認証サーバー)間でEAPパケットをやりとりできるようにしているわけだ。
既存の認証方式を入れ替えて使う
認証の流れも見てみよう。IEEE802.1Xの通信は,サプリカントがLANにつながったときから始まる。サプリカントはまず,認証サーバーとEAPパケットをやりとりして認証方式を決める。その後,実際の認証の作業に入る。認証方式はさまざまあるが,押さえておきたいのは,Windows XP付属のサプリカントが標準で持っているEAP-MD5,EAP-PEAP(ピープ),EAP-TLS の三つだ。IEEE802.1Xでは,これらの方式を選んで使う。
ユーザー認証が終わったら,IEEE802.1Xの通信は最終段階だ。認証サーバーが許可または拒否の判断をして,その結果をオーセンティケータに通知する。許可ならば,オーセンティケータのポートが開いてサプリカントが通信できるようになる。このとき,RADIUS サーバーがオーセンティケータにVLAN(ブイラン)情報を通知したり,オーセンティケータがサプリカントに無線LANの暗号鍵情報を配布することも可能である。
