6. 注意事項
6.1. IEEE802.1X 認証に関する注意事項
6.1.2. IEEE802.1X 端末検出機能の注意事項詳細解説
WindowsのVer違いにより IEEE802.1Xサプリカントの動作仕様の違いによる構築上の注意点につい
て詳細に説明します。まずOSの動作差分を解説します。
6.1.2.1. WindowsのIEEE802.1Xサプリカント動作差分の解説
WindowsのIEEE802.1Xサプリカントの動作について、以下に示す違いがあります。
表 6.1-1 WindowsのIEEE802.1Xサプリカントの動作差分
項 番
サプリカント動作
Windows XP(SP2)
Windows 8 Windows 7 Windows Vista Windows XP(SP3) 1 認証開始動作 認 証 ス イ ッ チ 側 か ら 送 信 さ れ る
EAP-Request/Identity パケット受
信時に、IEEE802.1X認証を開始し
ます。(注1)
通信回線のリンクアップ、またはロ グオン時に、EAPOL-Startを自ら送
信し IEEE802.1X 認証を開始しま
す。
2 端末検出モードshortcut設 定時における動作
(EAP-Request を 受信し た時の挙動)
端末検出モード shortcut設定時の 認 証 シ ー ケ ン ス を 完 了 し た 後 、
EAPOL-Start を送信する事はあり
ません。(注1)
端末検出モードshortcut設定時の認 証シーケンスを完了した後、自発的
にEAPOL-Startを送信します。この
ため、RADIUSサーバへの問い合わ
せが周期毎に実施されます。
(注1)
Windows XP(SP2)の場合は、Windows XP(SP2)へのバージョンアップを行ってください。
(1) 認証開始動作の違い
Windows XP(SP2)の場合
以下のシーケンス図に示すように、IEEE802.1X認証機能を有効化しても、Windows XP(SP2)は認 証を開始しません。認証スイッチ側から端末検出用に送信されているEAP-Request/Identityを受信し た時点で認証を開始します。
図 6.1-1 Windows XP(SP2)認証開始シーケンス
ただし、レジストリ設定でIEEE802.1Xサプリカントモードを変更する事で、Windows XP(SP2)側か ら接続開始をさせる事が可能です。変更方法は、4.1.3章を参照下さい。
Windows XP(SP2)からの接続開始を有効化した場合、端末検出パケットの受信を待たずに即座にネッ トワーク利用が可能となります。
端末検出モードを auto で使用した場合は端末の接続を検出後に EAP-Request/Identityはユニキャス トで送信します。
Windows XP(SP2) IEEE802.1X認証スイッチ(AX) RADIUSサーバ
EAP-Request/Identity EAP-Response / Identity
IEEE802.1Xの各ユーザ認証を RADIUS サーバへ問い合わせを実施し、認証成功
したら、スイッチ側で通信許可を実施する。
EAP-Success
自分から認証開始しないIEEE802.1X認証 端末に対して認証開始を促すため、
初期値の場合EAP-Request/Identityをマルチ キャスト送信する。
Windows Vista以降/ Windows XP(SP3)の場合
以下のシーケンス図に示すように、Windows Vista以降 / Windows XP(SP3)はネットワークに接続し
た時点でEAPOL-Startを自ら送信し認証を開始します。
図 6.1-2 Windows Vista / Windows XP(SP3)認証開始シーケンス
(2) 端末検出モードshortcut設定時における動作の違い
IEEE802.1X認証のサプリカントには、自らEAPOL-Startを送信して接続開始を実行しないものがあ
ります。端末検出機能とは、周期的にEAP-Request/Identityをマルチキャスト送信することで、そのよ うな自発的に認証開始を行わない端末の認証開始を誘発する機能です。AX シリーズでは、デフォルト
でEAP-Request/Identityを一定間隔で送信し続けます。
端末検出モードには、full、shortcut、disable autoの4つのモードがあります。shortcutモードは、認 証済み端末からの応答には認証シーケンスを一部省略する機能です。これにより、認証単位当たりの端 末数が増えた場合、EAP-Request/Identityに応答した端末の認証処理における装置の負荷を低減します。
しかしWindowsは下記のようにOSによってはshortcutでは負荷を回避できません。
端末検出モードshortcut設定時におけるWindowsの動作
端末がWindowsの場合の認証シーケンスを以下に示します。
Windows Vista 以降 / Windows XP(SP3)は端末検出用の EAP-Request/Identity を受信した場合、
shortcut 設定時の認証シーケンスが完了して EAP-Success を受信しても、EAPOL-Start を送信して
RADIUSとの全認証シーケンスを完結しようとします。
このため、端末検出モードがshortcut設定であってもRADIUSサーバへ毎回問い合わせを実施する事 Windows Vista以降
Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ
EAP-Request/Identity EAP-Response / Identity
IEEE802.1X認証をRADIUSサーバへ問い合わせて、認証成功したら、スイッチ側
で通信許可を実施する。
EAP-Success EAPOL-Start
EAPOL-Startを受信すると、送信してきた端末に
対し EAP-Request/Identityをユニキャスト送信 する事で、認証動作を開始する。
になります。
図 6.1-3 端末がWindows Vista / Windows XP(SP3)で既に認証済みである場合の認証シーケンス
端末検出時間 tx-period を 18 秒以下に設定した場合、Windows Vista 以降/ Windows XP(SP3)は
EAPOL-Startを送信する事ができなくなり、1分後に認証動作を停止します。
このため、端末検出時間tx-periodは18秒以下に設定しないで下さい。
マルチキャストによる端末検出動作による負荷を回避するために端末検出モード auto がサポートさ れています。
デフォルト値はshortcutですがautoで運用することで、マルチキャストによる端末検出を行わず、
Windows Vista以降
Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ
EAP-Response / Identity
EAP-Success
Windows Vista / Windows XP(SP3)は 、 EAP-Success を 受 信 し た に も 関 わ ら ず EAPOL-Startを送信する
EAPOL-Start
EAP-Request/Identity EAP-Response / Identity
EAPOL-Startを受信すると、認証済みの端末であっても IEEE802.1X認証の全シー
ケンスをRADIUSサーバと端末間で実施する。
EAP-Success 18秒
EAP-Request/Identity
すでに認証済み端末に対してはTLSなどのRADIUSサ ーバとのシーケンスを省略し成功EAP-Successを返す