認証VLANとは
VLANとユーザ認証機能を組み合わせた「認証VLAN」について紹介します。
RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!
VLAN
VLAN
読み方 「ブイラン」
英語正式表記 「Virtual Local Area Network」
VLANとは
VLANとは、仮想LAN「バーチャル・ローカルエリア・ネットワーク」のことです。物理的な1つのLANを仮想的に複数のLANに分割したり、逆に、物理的に分かれた複数のLANを1つの仮想的なLANとして利用できる機能、および、この技術を使って構築した論理的なLANを指します。
柔軟なネットワーク構成が可能で、それぞれのVLANは独立した論理的ネットワークとなります。組織内で人事異動などがあった場合、LANに接続されている機器構成を変更せずに、設定変更のみで論理的なLAN構成を変更できます。
VLANの種類
一般的なVLANの種類として、ポートごとにVLANを設定する「ポートVLAN」、ネットワークプロトコルごとにVLANを割り当てる「ポリシーVLAN」などがあります。
加えて、ユーザ認証を実行し、その結果に応じてVLANを割り当てる「認証VLAN」と呼ばれるものも広く使われています。
VLANとセキュリティ
本来、VLANはセキュリティとは独立した概念ですが、現在ではセキュリティのための基盤技術として活用される例が増えてきています。ネットワークを動的分割してパケット遮断できるVLANは、運用管理コストの低減のみではなく、セキュリティ確保のために最低限必要なネットワークセキュリティ基盤になってきています。
認証VLAN
認証VLAN
読み方 「認証ブイラン」
英語正式表記 「Authentication Virtual Local Area Network」
別名「ユーザベースVLAN」「IEEE802.1X認証」
「認証VLAN」とは
「認証VLAN」とは、VLANとユーザ認証機能を組み合わせた方式です。ユーザはネットワークに接続時に、まず、「IDとパスワード」などでの認証を受け、認証が通ればVLAN内にアクセスできます。認証を通らないユーザはVLANに接続できません。
どのVLANに接続させるかについては、ユーザ単位/グループ単位などでの設定ができます。あるVLANに接続しているユーザに対して、他のVLANへアクセスできないようにすることができます。
「認証VLAN」の構成
認証VLANの構成要素は、PCなどの端末(Supplicant:サプリカント)、スイッチなどのアクセスポイント(Authenticator:オーセンティケータ)、RADIUSサーバやLDAPサーバ(認証サーバ)の3つです。
IEEE802.1Xの規格に対応しているスイッチは、アクセス要求をしてきたPCなどの端末に対して認証を要求し、端末と認証サーバの間に位置して、認証データ(ID/パスワードや証明書など)を仲介する役割を果たします。有線スイッチ以外に、無線LANのアクセスポイントも対象となります。
認証機構
「認証VLAN」を実現するための認証機構としては、以下のようなものがあります。
・MACアドレス認証
・Web認証(ID+パスワード)
・IEEE 802.1X
・VPN
・RADIUSサーバ/LDAPサーバを利用した認証
など
認証プロトコル
IEEE802.1Xでは、ユーザ認証のために、PPP(Point to Point Protocol)を拡張したEAP(Extensible Authentication Protocol)というプロトコルを利用しています。
EAP認証方式
EAPでは、複数の認証方式を使い分けることができるようになっており、以下のようなものがあります。
・EAP-TLS(Transport Layer Security)
・LEAP
・PEAP
・EAP-MD5
・EAP-RADIUS
など
「認証VLAN」のメリット
「認証VLAN」方式のメリットとしては、IPアドレスを割り当てる前に認証が可能な点があります。つまり、まず、認証によって「アクセスしてきたユーザが誰なのか」を確認し、ユーザごとに決められたVLANに所属させるという手順を踏みます。
そのため、ユーザに対して割り当てるIPアドレスは最初からVLAN内部のアドレスに制限することができます。また、認証前にIPアドレスを割り当ててしまうということが行われないため、セキュリティ面として大きなメリットになります。
まとめ
「認証VLAN」は、VLANの機能に認証機能を追加することにより、セキュアで柔軟なネットワーク環境を構築するためには欠かせない基本的基盤となっています。
「FreeRADIUS」などのオープンソース認証サーバなどもあり、コストを抑えながら導入できる点も魅力となっています。
RADIUSサーバの構築やリプレース、及び価格については、こちらからお問合せください!