技術概要

図 1 に、認証プロセスを示します。サプリカントとオーセンティケータは、802.1Xプロトコルによって伝送されるEAPoL(拡張認証プロトコルオーバーLAN)パケットを交換することによって相互に通信します。オーセンティケータとRADIUSサーバーは、RADIUSプロトコルによって伝送されるEAPパケットを交換することによって通信します。

802.1X プロトコルは、さまざまなバージョンの EAP プロトコルをサポートしています。この設定例では、PEAP を使用します。PEAP は、暗号化および認証されたトランスポート層セキュリティ (TLS) トンネル内の EAP パケットをカプセル化します。トンネルを設定し、エンドポイントの認証に直接関与しないため、外部認証プロトコルと呼ばれます。PEAP は通常、エンドポイントを認証する内部認証プロトコルとペアになっています。最も一般的に使用される内部認証プロトコルは、Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAPv2) です。MS-CHAPv2 では、Microsoft Active Directory など、MS-CHAPv2 形式をサポートするデータベースに対する認証が許可されます。

すべてのエンドポイントが 802.1X サプリカントを使用またはサポートしているわけではありません。802.1Xを使用していないエンドポイントは、MAC RADIUS認証を使用して認証できます。MAC RADIUS認証では、スイッチはエンドポイントのMACアドレスをRADIUSサーバーに渡し、RADIUSサーバーはMACアドレスをデータベース内のMACアドレスのリストと照合しようとします。エンドポイントのMACアドレスがリスト内のアドレスと一致する場合、エンドポイントは認証されます。

インターフェイスには、802.1X と MAC RADIUS の両方の認証方法を設定できます。この場合、スイッチはまず 802.1X を使用して認証を試み、その方法が失敗した場合は、MAC RADIUS 認証を使用してエンド デバイスの認証を試みます。802.1X 非対応のエンドポイントのみがインターフェイス上で接続することがわかっている場合、 オプションを設定する mac-radius restrict ことで、エンド デバイスが 802.1X 非対応であるとスイッチが判断するまでに発生する遅延をなくすことができます。このオプションが設定されている場合、スイッチは 802.1X 認証によるエンドポイントの認証を試みず、代わりにエンドポイントの MAC アドレスの認証を求める要求を直ちに RADIUS サーバーに送信します。

EX シリーズ スイッチは、ダイナミック VLAN とファイアウォール フィルターもサポートしています。認証プロセスの一環として、RADIUSサーバーは、VLANおよびファイアウォールフィルター情報を提供するIETF定義の属性をスイッチに返すことができます。たとえば、Aruba ClearPassなどのポリシーマネージャーを構成して、ユーザー、エンドポイントタイプ、認証方法などごとに定義したポリシーに基づいて、異なるRADIUS属性をスイッチに渡すことができます。スイッチは、受信したRADIUS属性に応じて、ポートに割り当てられたVLANまたはファイアウォールフィルターを動的に変更します。