VLAN活用でアクセス制御
IEEE802.1x未対応OSに注意
IEEE802.1x対応LANスイッチは,PKI認証サーバーとバーチャルLAN(VLAN)機能を連携させられる。IEEE802.1xに未対応のOSを搭載した端末であっても,LANスイッチが持つ“Guest VLAN機能”をうまく使えば解決できることもある。
情報機器販売のB社は,故障した機器などを検証するサービス拠点を都心に新設した。新拠点内部のレイアウトは,座席を固定しないフリー・アドレスを採用。各座席に配線した電源コンセントとLANケーブルをノート・パソコンに差し込むだけで,どの座席からでも社内LANにアクセスできる。さらに,一人ひとりにIP電話機を配布。本体にLANケーブルを差し込めば,どの座席に移動しても同じ内線番号で通話できる。
B社の社員は,出社時に空いている座席を使ったり,期間限定の開発プロジェクト単位でまとまって座席を確保したりと,必要に応じて座席を移動して業務を進める。帰宅時は,各ユーザーに割り当てられたロッカーにノート・パソコンとIP電話機を収納する。
当初,新サービス拠点はシステム部だけ利用していた。しかし,都心部という立地の良さから,営業部でも利用できないかと打診があった。もともとオフィスのスペースは広く確保していたこともあって,B社は新拠点を営業部にも利用できるようにした。
|
|
図2 IEEE802.1xとバーチャルLAN(VLAN)を使ってアクセスを制御 B社は,IEEE802.1x対応のLANスイッチとVLANを組み合わせることで,オフィスのレイアウトがフリー・アドレスの環境でも,営業部とシステム部が同居できるようにした。 |
動的VLANで異部署の混在を実現
営業部のユーザーも,持ち込んだノート・パソコンを各座席に備え付けてあるLANケーブルにつなぐだけで,社内LANにアクセスできる。IPアドレスはDHCPサーバーが自動的に割り当てる仕組みになっているため,システム部と営業部の区別なく,同じアドレス体系で割り当てられる。ところが,システム部には部外秘のサーバーがあるため,システム部と営業部でアクセス制限を設定する必要が生じた。そこでB社は,システム部と営業部で異なる二つのVLANを設定。IEEE802.1xでユーザーを認証した後,所属部署に応じて動的にVLANを割り当てる方法を採用した。
認証サーバーには,システム部と営業部で異なるVLANを割り当てるようにあらかじめ設定しておく。ユーザーの認証方式はディジタル証明書を使うPKIを採用し,ユーザーIDとパスワードを入力する手間を省いた。ユーザーは,ディジタル証明書を自分のパソコンに装備。パソコンをLANケーブルに接続すれば,認証処理に成功した後,自動的に決められたVLANが割り当てられる(図2[拡大表示])。
|
|
図3 B社ではIEEE802.1xに未対応の端末が社内LANにアクセスできない不具合が発生 一部の営業部員は,IEEE802.1xに未対応のWindows Me搭載パソコンを使っていた。このため認証を受けられず,社内LANを利用できなかった。解決策として,あらかじめゲスト用のバーチャルLAN(VLAN)をLANスイッチに設定しておき,認証を受けられないパソコンに対してのみ割り当てるようにした。 |
IEEE802.1x未対応でもアクセス可能
導入後しばらくたってから,営業部のユーザーから社内LANにアクセスできないとクレームを受けた。原因は,営業部の一部のユーザーが,IEEE802.1xに未対応のWindows Me搭載パソコンを利用していたことだった。解決策として,LANスイッチのポートに営業用のVLANをあらかじめ固定して割り当てておく方法がある。しかし,この方法では座席も固定するしかなく,フリー・アドレスでは運用できない。そこで,B社が導入したLANスイッチが備えるVLAN機能「Guest VLAN」を活用することにした。Guest VLANは,IEEE802.1xに未対応の端末に対して,ユーザー認証を受けることなくVLANを割り当てる機能だ(図3[拡大表示])。
営業部のユーザーは,インターネット経由でデータ・センターの営業支援システムを利用できれば,業務に支障はない。
B社は,Guest VLANでインターネット接続だけを利用できるよう設定。Windows MeやWindows 98搭載パソコンをつないでも,営業部のユーザーがシステム部の部外秘サーバーにはアクセスできないようにした。
