Configuring IEEE 802.1x Port-Based Authentication(2回目)
目次
はじめに
前回は IEEE802.1xでのデバイスの役割や認証フローについて説明しました。
今回は認証の初期化、メッセージ交換、ポートの状態などを説明します。
Authentication Initiation and Message Exchange
IEEE 802.1x認証は、スイッチ、もしくはクライアントPCが認証フェーズを始
められます。スイッチのポートにdot1x port-control autoコマンドが設定さ
れていたらスイッチはリンクのUP/DOWNを検知して認証を始めます。また、ポ
ートがUPのままで認証されていない状態では定期的に認証を始めることもでき
ます。
スイッチはEAP-request/identityフレームをクライアントに送り、クライアン
トのIDを要求します。クライアントがこのフレームを受け取るとクライアント
はEAP-respond/identityフレームを返します。
しかし、クライアントが起動中などでEAP-request/identityフレームをスイッ
チから受け取れなかった場合、クライアントは起動後にEAPOL-startフレーム
を送信して認証を開始することができます。
スイッチがこのフレームを受けると、EAP-request/identityフレームをクライ
アントに送信してクライアントのIDを要求します。
スイッチはクライアントのIDを受け取ると、スイッチは仲介者としてEAPフレ
ームを認証サーバに転送して、認証が成功するか失敗するかを待ちます。
認証が成功すれば、スイッチはポートをAuthorizedの状態にします。認証が失
敗すれば、再認証が行われ、ポートはサービスが限定されたRestricted VLAN
に割り当てられるか、クライアントの接続を拒否します。
もしスイッチがIEEE802.1x認証を有効にしていなかったり、サポートしてなか
ったりした場合、クライアントからのEAPOLフレームはドロップされます。ク
ライアントがEAP-request/identityフレームを受け取れずに3回EAPOLフレーム
を流した後は、クライアントは認証が成功したものとみなします。
EAPフレームのやりとりは認証方法によって異なります。クライアントが
One-Time-Passowrd (OTP)を認証方法として使用しRADIUSサーバで認証させる
場合のメッセージ交換の様子はここで参照できます。
「Configuring IEEE802.1x Figure8-3 Message Exchange」
IEEE802.1x認証がタイムアウトして、MAC認証バイパスが有効になっている場
合、スイッチはクライアントからのMACフレームを検知するとMACアドレスを使
って認証できます。スイッチはクライアントのMACアドレスをIDとしてRADIUS-access/request
フレームをRADIUSサーバに転送します。
RADIUSサーバからRADUIS-access/acceptフレームが送られてくると認証が成功
していることを表していますので、ポートをauthorizedの状態にしてクライア
ントの接続を許可します。
もし認証に失敗してRestricted VLANが設定されていれば、スイッチはポート
をRestricted VLANに割り当てます。
スイッチがMAC認証バイパスのプロセスを始めると、クライアントからのイー
サネットフレームを待ちます。クライアントからのイーサネットフレームを待
っている間にEAPOLフレームを検出すると、MAC認証バイパスのプロセスを停止
してIEEE 802.1x認証を始めます。
MAC認証バイパスをしているときのメッセージ交換の様子はここで参照できま
す。
「Configuring IEEE802.1x Figure8-4 Message Exchange During MAC Authentication Bypass」
Ports in Authorized and Unauthorized States
IEEE 802.1x認証では、スイッチのポートの状態によってクライアントにネッ
トワークへのアクセスを許可します。IEEE802.1xが有効になっている物理ポー
トの状態unauthorizedから始まります。
unauthorizedのポートは、Voice VLANが設定されてないポートで、IEEE 802.1x
認証のフレーム、CDP、STPフレーム以外のトラフィックは許可されません。
クライアントが正しく認証されるとポートはauthorizedに移行し、そのクライ
アントへのトラフィックはすべて許可されます。ポートにVoice VLANの設定が
入っている場合、ポートはVoIPトラフィックとIEEE 802.1xプロトコルのフレ
ームをクライアント認証が成功するまで許可します。
クライアントがIEEE 802.1xをサポートしていないのにもかかわらずスイッチ
の物理ポートがunauthorizedの状態になっているポートに接続しても、クライ
アントはスイッチからのEAPOL-request/identityに応えられないので、ポート
はunauthorizedのままとなり、ネットワークに接続できません。
しかし、このポートにGuest VLANが設定されている場合、スイッチはIEEE 802.1x
非対応のクライアントが接続されていると判断するとそのポートをGuest VLAN
を割り当てて限定的にネットワークに接続できるようにします。
これとは逆にIEEE 802.1xをサポートしているクライアントが、IEEE802.1xを
有効にしていないスイッチに接続した場合、EAPOL-startフレームをスイッチ
に送ってもスイッチは応答しないのでIEEE 802.1x認証はできません。この場
合、クライアントは認証が成功したものとみなしてネットワークにアクセスで
きます。
物理ポートのauthorization状態をdot1x port-controlコマンドで制御できま
す。このコマンドには3つのオプションがあります。
-force-authorized
IEEE 802.1x認証を無効にした状態です。認証は要求されず常にauthorizedされた状態となります。これがデフォルトです。
-force-unauthorized
常にunauthorizedにされた状態です。そのため、クライアントからの認証要求は全て無視します。
-auto
IEEE 802.1x認証が有効にされた状態です。これまで説明してきた認証のプロセスは、autoのときに動作します。認証が成功すればauthorizedに変わり、失敗すればunauthorizedのままです。Unauthorizedになっても再認証できます。
クライアントを別のPCに繋ぎ変えた場合などは、ポートのUP/DOWNを検出して、
unauthorizedに変わります。あるいはクライアントがログオフすると、
EAPOL-logoffメッセージが送信され、ポートはunauthorizedの状態に変わりま
す。
次回は動作モード、IEEE 802.1x accouting、VLAN割り当てについて見ていき
ます。
By 『Overseas and Beyond』 Koichi
