本連載は、ネットワーク構築に必須となるLANスイッチについて、動作や仕組みを解説しながら実際の設定例を示し、ネットワークを身近に感じていただける事を目的としています。

第四回までに、ACL(Access Control List)やDHCP(Dynamic Host Configuration Protocol)等について解説しました。第五回となる本稿では、ネットワークを利用する時にユーザIDとパスワード等で確認するIEEE802.1X認証について解説します。

1.IEEE802.1X認証

誰でもネットワークが利用できると、社内の重要なサーバ等にアクセスされる危険があります。これを防ぐ方法としてIEEE802.1X認証があります。IEEE802.1X認証は、パソコンでユーザIDやパスワード等を入力し、正規のユーザと確認できた場合だけLANスイッチのポートが使える仕組みです。

ユーザIDとパスワード等で正規のユーザか確認する事を認証と呼びます。悪意のある人や社外の人等が認証無しでネットワークを使おうとすると、LANスイッチが通信を遮断して、重要なサーバ等にアクセスできないようにします。

パソコンで入力したユーザIDやパスワードは、LANスイッチがRADIUSサーバに問い合わせます。RADIUSサーバにユーザIDやパスワードが設定されています。パソコンで認証のために使われるソフトウェアはサプリカントと呼ばれ、Windows10等では標準で用意されています。また、認証で使うLANスイッチをオーセンティケータと呼びます。パソコンとスイッチ間はEAPOL(Extensible Authentication Protocol Over LAN)と呼ばれる通信を行います。

パソコンとオーセンティケータは直結する事が前提のため、途中に別のLANスイッチがあるとEAPOLを透過できない事もあります。また、悪意あるRADIUSサーバと通信してユーザIDとパスワードを盗まれないよう、一般的には正規のRADIUSサーバであるか通信時に確認します。RADIUSサーバの確認方法は、サーバ証明書を使ったサーバ認証です。

サーバ証明書は、ルート証明機関から発行されます。ルート証明機関を信頼するか決めるのはパソコン側の設定です。パソコンでは、認証時に送られてくるサーバ証明書の署名から、ルート証明機関が発行したものか確認できます。信頼するルート証明機関が発行したものであれば、正当なRADIUSサーバであると判断できます。例えるなら、送付された書類に信頼できる人のサインがあれば信用するのと同じです。

2.IEEE802.1X認証の設定例

ネットギア製品のスマートスイッチで、IEEE802.1X認証を使えるようにする設定を説明します。最初に、設定を行うためのパソコンが、認証無しでポートを使えるようにする必要があります。設定途中で通信できなくなるのを防ぐためです。また、IEEE802.1X認証を使わないサーバやLANスイッチが接続されたポートも、認証無しで使えるようにする必要があります。認証しないポートの設定は、ログイン後に「Security」→「Port Authentication」→「Advanced」→「Port Authentication」で行います。

赤枠部分で設定するポートにチェックを入れ、緑枠部分でAuthorizedを選択します。Authorizedは認証なしでポートが使える設定です。デフォルトはAutoで、認証しないとポートが使えません。「APPLY」をクリックすると設定が反映されます。スマートスイッチ全体でIEEE802.1X認証を有効にするのは、「802.1X Configuration」で設定します。

赤枠部分でEnableを選択し、「APPLY」をクリックすると設定が反映されます。デフォルトはDisableで、IEEE802.1X認証は無効です。認証サーバとしてRADIUSサーバを使うためには、「Management Security」→「Authentication List」で設定します。

赤枠部分にチェックを入れ、緑枠部分では認証先として1番目にRADIUS、2番目にLocalを選択します。これでIEEE802.1X認証時は、RADIUSサーバに問い合わせします。問い合わせ先RADIUSサーバの設定は、「RADIUS」→「Server Configuration」で行います。

赤枠部分にRADIUSサーバのIPアドレスを入力します。緑枠部分はYesを選択し、シークレットキーを入力します。シークレットキーは、RADIUSサーバで不正なアクセスを受け付けないためのパスワードで、RADIUSサーバと同じ値にする必要があります。「ADD」をクリックすると、設定したRADIUSサーバが追加されます。スマートスイッチ側の設定以外では、以下の構築や設定が必要です。

1.RADIUSサーバの構築が必要です。RADIUSサーバには、IEEE802.1X認証で利用するユーザIDとパスワードを設定します。また、スマートスイッチにログインするためのadminユーザも作成が必要です。スマートスイッチにログインする時もRADIUSサーバに問い合わせるようになるためです。「Authentication List」の2番目にLocalを設定していれば、RADIUSサーバと通信できない時は、スマートスイッチ自身に設定したパスワードを使ってログインできます。

2.パソコンでサプリカントを有効にし、信頼するルート証明機関を選択する必要があります。

3.ゲストVLAN

認証が成功しないとポートが使えませんが、一時的にVLANを割り当てて使えるようにする事ができます。このVLANをゲストVLANと呼びます。例えば、組織外の人が訪問してネットワークを一時的に使う時は、内部のサーバにアクセスできると困ります。このため、ゲストVLANはインターネットだけ使えるようにする等、内部の情報にアクセスできないようにする必要があります。

上記では、認証が成功するとVLAN20、認証が失敗するとVLAN10が割り当てられます。VLAN20は内部のサーバと通信可能で、VLAN10はインターネットだけ使えるようにしています。

4.ゲストVLANの設定例

ゲストVLANは、「Port Authentication」→「Advanced」→「802.1X Configuration」で有効にできます。

赤枠部分でEnableを選択し、「APPLY」をクリックすると設定が反映されます。デフォルトはDisableで、認証に失敗するとポートが使えません。ゲストVLANとして割り当てるVLAN IDは、「Port Authentication」で設定します。

赤枠部分のように設定したいポートにチェックを入れ、緑枠部分でVLAN IDを入力します。「APPLY」をクリックすると設定が反映されます。上記ではVLAN10を設定しているため、パソコンでサブリカントが無効な場合、ゲストVLANとしてVLAN10が使えるようになります。認証が失敗してゲストVLANが使えるようになるまでは90秒かかりますが、「Guest VLAN Period」で変更可能です。

5.おわりに

本稿では、IEEE802.1X認証の機能と設定について解説しました。今回は、「Authentication List」で認証先を設定しましたが、「Authentication List」→「Dot1x Authentication List」で設定できるスマートスイッチもあります。 次回は、LLDP(Link Layer Discovery Protocol)とIGMP(Internet Group Management Protocol)についてご紹介します。

著者:のびきよ
2004年に「ネットワーク入門サイト」を立ち上げ、初心者にも分かりやすいようネットワーク全般の技術解説を掲載中。著書に「短期集中! CCNA Routing and Switching/CCENT教本」、「ネットワーク運用管理の教科書」(マイナビ出版)がある。

[PR]提供: