IEEE 802.1X
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/12/31 17:10 UTC 版)
LANスイッチの接続環境
サプリカントPCと認証LANスイッチは直接接続されることが必要であるが、仮に両者の間に別のネットワーク機器が存在した場合の動作を以下に示す。
- 通常のLANスイッチ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、マルチキャスト・アドレスで送信されているために、通常のLANスイッチではセグメント外部にある認証LANスイッチへ転送しない。このため、認証動作が行われず、サプリカントPCであるクライアントPCはネットワークに接続されない。
- リピータ・ハブ
- サプリカントが送信するEAPメッセージを含んだMACフレームは、リピータ・ハブによって認証LANスイッチへ転送される。認証LANスイッチは送り手側にリピータ・ハブが介在していることが判らないため、認証要求を受付けて、認証接続の動作を開始する。サプリカントPCが認証を完了してネットワークに接続された場合に問題となるのは、リピータ・ハブに接続された他のPCは、認証を受けずにそのままネットワークに接続が可能となることである。認証LANスイッチの認証はポート単位で行われているため、その1つの認証済みポートに接続されたリピーター・ハブの配下の全てのPCがネットワークへの接続を許されてしまう。ここまでがIEEE 802.1Xで規定された動作であるが、これではセキュリティが確保できないため、実際の認証LANスイッチ製品の多くでは、MACアドレス・フィルタ機能と連動させて、たとえリピーター・ハブを使われても認証されたPCをMACアドレスで認識して、他のPCをネットワークに接続することはない。
ネットワーク・プリンタとIP電話
多くのネットワーク・プリンタと少し旧型のIP電話はIEEE 802.1Xに非対応のため、そのままではこれらの機器がネットワークに接続できなくなる。対症療法的にLANスイッチのMACアドレス・フィルタ機能を使ってこれらの機器をネットワークに参加させることができるが、LANスイッチのポートが固定となるため設定の手間がかかるだけでなく、MACアドレスを偽装した不正接続に対して大きなセキュリティホールとなり推奨できない。ネットワーク・プリンタ等のセキュリティの確保できない端末機器だけのネットワークをVLANによって分割するなどの工夫が求められる。
WindowsとMacでの対応
Windows 2000 SP4以降、EAP-TLSとPEAPに対応しており、Windows XP 以降、EAP-MD5、EAP-TLS、PEAPにも対応している。
macOSはサプリカント機能を標準で内蔵している。
- 1 IEEE 802.1Xとは
- 2 IEEE 802.1Xの概要
- 3 LANスイッチの接続環境
- 4 出典
- IEEE 802.1Xのページへのリンク