WindowsのIEEE802.1Xサプリカント動作差分の解説

WindowsのIEEE802.1Xサプリカントの動作について、以下に示す違いがあります。

表 5.1-1 WindowsのIEEE802.1Xサプリカントの動作差分 項

番 サプリカント動作 Windows XP(SP2) Windows Vista Windows XP(SP3) 1 認証開始動作 認証スイッチ側から送信される

EAP-Request/Identityパ ケ ッ ト 受

信時に、IEEE802.1X認証を開始し

ます。^(注1)

通信回線のリンクアップ、またはロ グオン時に、EAPOL-Startを自ら送

信し IEEE802.1X 認証を開始しま

す。

2 端末検出モードshortcut設 定時における動作

（EAP-Request を受信し た時の挙動）

端末検出モードshortcut設定時の 認証シーケンスを完了した後、

EAPOL-Startを送信する事はあり ません。^(注1)

端末検出モードshortcut設定時の認 証シーケンスを完了した後、自発的

にEAPOL-Startを送信します。この

ため、RADIUSサーバへの問い合わ

せが周期毎に実施されます。

(注1) レジストリを変更する事により、Windows Vistaと同様の動作に変更することが可能です。

設定方法は4.1.3章を参照して下さい。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 94

（１） 認証開始動作の違い

Windows XP(SP2)の場合

以下のシーケンス図に示すように、IEEE802.1X認証機能を有効化しても、Windows XP(SP2)は認 証を開始しません。認証スイッチ側から端末検出用に送信されているEAP-Request/Identityを受信し た時点で認証を開始します。

EAP-Request/Identityをマルチキャスト送信 する。

端末に対して認証開始を促すため、

自分から認証開始しないIEEE802.1X認証

EAP-Success

IEEE802.1X の各ユーザ認証を RADIUS サーバへ問い合わせを実施し、認証成功

したら、スイッチ側で通信許可を実施する。

EAP-Response / Identity EAP-Request/Identity

Windows XP(SP2) IEEE802.1X認証スイッチ（AX） RADIUSサーバ

図 5.1-1 Windows XP(SP2)認証開始シーケンス

ただし、レジストリ設定でIEEE802.1Xサプリカントモードを変更する事で、Windows XP(SP2)側から 接続開始をさせる事が可能です。変更方法は、4.1.3章を参照下さい。

Windows XP(SP2)からの接続開始を有効化した場合、端末検出パケットの受信を待たずに即座にネッ トワーク利用が可能となります。

Windows Vista / Windows XP(SP3)の場合

以下のシーケンス図に示すように、Windows Vista / Windows XP(SP3)はネットワークに接続した時

点でEAPOL-Startを自ら送信し認証を開始します。

Windows Vista

Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ

ＥAP-Success EAP-Request/Identity EAP-Response / Identity

EAPOL-Start

EAPOL-Startを受信すると、送信してきた端末に

対し EAP-Request/Identity をユニキャスト送信 する事で、認証動作を開始する。

IEEE802.1X認証をRADIUSサーバへ問い合わせて、認証成功したら、スイッチ側

で通信許可を実施する。

図 5.1-2 Windows Vista / Windows XP(SP3)認証開始シーケンス

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 96

（２） 端末検出モードshortcut設定時における動作の違い

IEEE802.1X認証のサプリカントには、自らEAPOL-Startを送信して接続開始を実行しないものがあ

ります。端末検出機能とは、周期的にEAP-Request/Identityをマルチキャスト送信することで、そのよ うな自発的に認証開始を行わない端末の認証開始を誘発する機能です。AX シリーズでは、デフォルト

でEAP-Request/Identityを一定間隔で送信し続けます。

端末検出モードには、full、shortcut、disableの3つのモードがあります。shortcutモードは、認証済 み端末からの応答には認証シーケンスを一部省略する機能です。これにより、認証単位当たりの端末数 が増えた場合、EAP-Request/Identityに応答した端末の認証処理における装置の負荷を低減します。

端末検出モードshortcut設定時におけるWindows XP(SP2)の動作

端末がWindows XP(SP2)の場合の認証シーケンスを以下に示します。

このように、Windows XP(SP2)は認証後にRADIUSサーバへ毎回問い合わせを実施しません。

Windows XP(SP2) IEEE802.1X認証スイッチ(AX) RADIUSサーバ

ＥAP-Success EAP-Request/Identity EAP-Request/Identity

EAP-Response / Identity

ＥAP-Success

EAP-Response / Identity

すでに認証済み端末に対してはTLSなどのRADIUSサーバ とのシーケンスを省略しEAP-Successを返す

デフォルト

30秒周期

図 5.1-3 端末がWindows XP(SP2)で既に認証済みである場合の認証シーケンス

ただし、レジストリを変更する事により、Windows Vistaと同様の動作に変更することが可能です。

端末検出モードshortcut設定時におけるWindows Vista / Windows XP(SP3)の動作

端末がWindows Vista / Widows XP(SP3)の場合の認証シーケンスを以下に示します。

Windows Vista / Windows XP(SP3)は端末検出用のEAP-Request/Identityを受信した場合、shortcut 設定時の認証シーケンスが完了してEAP-Successを受信しても、EAPOL-Startを送信してRADIUSと の全認証シーケンスを完結しようとします。

このため、端末検出モードがshortcut設定であってもRADIUSサーバへ毎回問い合わせを実施する事 になります。

Windows Vista

Windows XP(SP3) IEEE802.1X認証スイッチ(AX) RADIUSサーバ

EAP-Request/Identity EAP-Response / Identity

ＥAP-Success

Windows Vista / Windows XP(SP3)は 、 EAP-Success を 受 信 し た に も 関 わ ら ず EAPOL-Startを送信する

EAP-Response / Identity

ＥAP-Success

EAPOL-Start を受信すると、認証済みの端末であってもIEEE802.1X認証の全シー

ケンスをRADIUSサーバと端末間で実施する。

すでに認証済み端末に対してはTLSなどのRADIUSサ ーバとのシーケンスを省略し成功EAP-Successを返す

18秒

EAPOL-Start

EAP-Request/Identity

図 5.1-4 端末がWindows Vista / Windows XP(SP3)で既に認証済みである場合の認証シーケンス

なお、端末検出時間tx-period を18 秒以下に設定した場合、Windows Vista / Windows XP(SP3)は

EAPOL-Startを送信する事ができなくなり、1分後に認証動作を停止します。

このため、端末検出時間tx-periodは18秒以下に設定しないで下さい。

Copyright © 2007-2009, ALAXALA Networks Corporation. All rights reserved. 98