4.14 802.1x構成
4.14.1 IEEE 802.1x ポートベース認証について
IEEE 802.1x 標準では、クライアント サーバー ベースのアクセス制御および認証プロトコルが定義されており、承認され ていないクライアントがパブリックにアクセス可能なポートを介して LAN に接続できないように制限します。起テナレー ション サーバは、スイッチまたは LAN が提供するサービスを利用できるようにする前に、スイッチ ポートに接続されて いる各クライアントを認証します。
クライアントが認証されるまで、802.1x アクセス制御では、クライアントが接続されているポートを介した LAN
(EAPOL)
トラフィック
を介した拡張認証プロトコルのみが許可
されます。認証が成功すると、通常のトラフィックはポートを通過できます。
ここでは、次の概念について説明します。
デバイスの役割
認証の開始とメッセージ交換
承認済みおよび承認されていない状態
のポート
デバイスの役割
802.1x ポートベース認証では、ネットワーク内のデバイスは次に示すように特定の役割を持ちます。
図 4-14-1: 802.1x デバイスの役割
クライアント:LAN およびスイッチ サービスへのアクセスを要求し、スイッチからの要求に応答するデバイス(ワークステ ーション)。ワークステーションは、Microsoft Windows XP オペレーティング システムで提供されているような 802.1x 準拠のクライアントソフトウェアを実行している必要があります。(クライアントは IEEE 802.1x のサプリカントです。仕 様)
VC-820M
のユーザーズマニュ
Authentication server—performs the actual authentication of the client. The authentication server validates the
アル
identity of the client and notifies the switch whether or not the client is authorized to access the LAN and switch services. Because the switch acts as the proxy, the authentication service is transparent to the client. In this release, the Remote Authentication Dial-In User Service (RADIUS) security system with Extensible AuthenticationVC-820M
のユーザーズマニュ アル
プロトコル(EAP)拡張機能は、サポートされている唯一の認証サーバであり、Cisco セキュア アクセス コントロ ールサーババージョン 3.0で使用できます。RADIUSは、RADIUS サーバーと 1 つ以上の RADIUS クライアント の間でセキュリティで保護された認証情報が交換されるクライアント/サーバーモデルで動作します。
Switch (802.1x device)—controls the physical access to the network based on the authentication status of the client. The switch acts as an intermediary (proxy) between the client and the authentication server, requesting identity information from the client, verifying that information with the authentication server, and relaying a response to the client. The switch includes the RADIUS client, which is responsible for encapsulating and decapsulating the Extensible Authentication Protocol (EAP) frames and interacting with the authentication server.
When the switch receives EAPOL frames and relays them to the authentication server, the Ethernet header is stripped and the remaining EAP frame is re-encapsulated in the RADIUS format. The EAP frames are not modified or examined during encapsulation, and the authentication server must support EAP within the native frame format. When the switch receives frames from the authentication server, the server's frame header is removed, leaving the EAP frame, which is then encapsulated for Ethernet and sent to the client.
認証の開始とメッセージ交換
スイッチまたはクライアントは認証を開始できます。dot1x ポート制御自動インターフェイス コンフィギュレーション コマンドを使用してポートで認証を有効にする場合、スイッチはポート リンク状態がダウンからアップに遷移することを 判断したときに認証を開始する必要があります。次に、EAP 要求/ID フレームをクライアントに送信してID をリクエプト します(通常、スイッチは初期 ID/要求フレームを送信し、その後に認証情報の要求を1つ以上送信します)。フレームを受 信すると、クライアントは EAP 応答/ID フレームで応答します。
ただし、ブートアップ中にクライアントがスイッチから EAP 要求/ID フレームを受信しない場合、クライアントは EAPOL 開始フレームを送信して認証を開始できます。
802.1x がネットワーク アクセス デバイスで有効になっていないかサポートされていない場合、
クライアントからの EAPOL フレームはすべてドロップされます。クライアントが
認証
を 3 回試行
しても
EAP 要求/IDフレームを
受信しない場合、クライアントはポートが
許可された状態であるかのように
フレームを送信します。
のポート承認された状態は、クライアントが正常に認証されたことを効果的に意味します。
クライアントが ID を提供すると、スイッチは仲介者としての役割を開始し、認証が成功または失敗するまで、クライアン トと認証サーバの間で EAP フレームを渡します。認証が成功すると、スイッチ ポートは承認されます。
EAP フレームの具体的な交換は、使用する認証方法によって異なります。次の図は、RADIUS サーバーでワンタイム パ スワード (OTP) 認証方法を使用してクライアントによって開始されたメッセージ交換を示しています。
VC-820M
のユーザーズマニュ アル
図 4-14-2: EAP メッセージ交換
承認済みおよび承認されていない状態のポート
スイッチ ポートの状態によって、クライアントにネットワークへのアクセスが許可されるかどうかが決まります。ポー トは許可されていない状態で開始されます。この状態では、ポートは 802.1x プロトコル パケットを除くすべての入り 口および出力トラフィックを許可します。クライアントが正常に認証されると、ポートは承認済み状態に移行し、クラ イアントのすべてのトラフィックが正常に流れるようにします。
802.1x をサポートしないクライアントが許可されていない 802.1x ポートに接続されている場合、スイッチはクライアン トの IDENT ity を要求します。この状況では、クライアントは要求に応答せず、ポートは承認されていない状態のままに なり、クライアントはネットワークへのアクセスを許可されません。
これに対し、802.1x 対応クライアントが 802.1 x プロトコルを実行していないポートに接続すると、クライアントは
EAPOL 開始フレームを送信して認証プロセスを開始します。応答が受信されない場合、クライアントは一定の回数だけ
要求を送信します。応答が受信されないため、クライアントはポートが許可された状態であるかのようにフレームの送信 を開始します。
クライアントが正常に認証された場合 (認証サーバーから Accept フレームを受信した場合)、ポート状態は許可され、認証 されたクライアントからのすべてのフレームがポートを介して許可されます。認証に失敗した場合、ポートは許可されて いない状態のままですが、認証は再試行できます。認証サーバーに到達できない場合、switch は要求を再送信できます。
指定した回数の試行後にサーバーから応答を受信しなかった場合、認証は失敗し、ネットワーク アクセスは許可されませ ん。
クライアントがログオフすると、EAPOL-logoff メッセージが送信され、スイッチ ポートが不正な状態に移行します。
VC-820M
のユーザーズマニュ
ポートのリンク状態が最大からダウンに遷移する場合、または EAPOL ログオフ フレームを受信した場合、ポーアル
トは許可されていない状態に戻ります。
VC-820M