6.1 IEEE802.1Xの概要
IEEE802.1Xは,不正なLAN接続を規制する機能です。バックエンドに認証サーバ(一般的にはRADIUSサーバ)を設置し,認証サーバによる端末の認証が通過した上で,本装置の提供するサービスを利用できるようにします。
IEEE802.1Xの構成要素と動作概略を次の表に示します。
|
構成要素 |
動作概略 |
|---|---|
|
本装置(Authenticator) |
端末のLANへのアクセスを制御します。また,端末と認証サーバ間で認証情報のリレーを行います。端末と本装置間の認証処理にかかわる通信はEAP Over LAN(EAPOL)で行います。本装置と認証サーバ間はEAP Over RADIUSを使って認証情報を交換します。なお,本章では,「本装置」または「Authenticator」と表記されている場合,本装置自身と本装置に搭載されているAuthenticatorソフトウェアの両方を意味します。 |
|
端末(Supplicant) |
EAPOLを使用して端末の認証情報を本装置とやりとりします。なお,本章では,「端末」または「Supplicant」と表記されている場合,端末自身と端末に搭載されているSupplicantソフトウェアの両方を意味します。「Supplicantソフトウェア」と表記されている場合,Supplicant機能を持つソフトウェアだけを意味します。 |
|
認証サーバ(Authentication Server) |
端末の認証を行います。認証サーバは端末の認証情報を確認し,本装置の提供するサービスへのアクセスを要求元の端末に許可すべきかどうかを本装置に通知します。 |
標準的なIEEE802.1Xの構成では,本装置のポートに直接端末を接続して運用します。本装置を使ったIEEE802.1X基本構成を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU203010.GIF)
また,本装置では一つのポートで複数の端末の認証を行う拡張機能をサポートしています(マルチモードおよび端末認証モード)。本拡張機能を使用した場合,端末と本装置間にL2スイッチやハブを配置することで,ポート数によって端末数が制限を受けない構成にできます。本構成を行う場合,端末と本装置間に配置するL2スイッチはEAPOLを透過する必要があります。その場合の構成を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU203020.GIF)
- 〈この節の構成〉