皆さんこんにちわ。
有線LANにおける802.1x認証についてなのですが、Cisco製品を使った場合は、サプリカント(PC)~ハブポート間は1対1で接続することが条件と思います。
RADIUS---802.1x対応SW(C2970等)---サプリカント
認証プロセス上、以下のような形で適正な証明書を持たないサプリカントも侵入できてしまうと思います。
RADIUS---802.1x対応SW(C2970等)---ノンインテリS/Hub---サプリカント、非認証PC
このような構成は、たとえばユーザーが自分のPCに挿すLANケーブルにちょいとHubをつないで会社のPCをつなぎ、ついでに家から持ってきた自分のPCもつなぐ・・・といった場合が考えられます。個人的にはつなぐのはかまわないのですが、ウィルス対策などを施していないPCだったりした場合、中から大流行する恐れがあると思います。
これを許さないためには各社員の倫理観に訴えることはもとより、システム的に1つのポートで複数のサプリカントを認証してくれる802.1x対応SWを導入するということになると思いますが、このようなSWはシスコにはないと思います。勿論他メーカーには少数ながらあるにはあるのですが、シスコではどのような構成をとるべし、ということになっているのでしょうか?
A 回答 (2件)
- 最新から表示
- 回答順に表示
No.2
- 回答日時:
ciscoの考える一つの選択肢が下記かと(やっとですが)。
来週渋谷に行けば解るでしょう
http://www.cisco.com/japanese/warp/public/3/jp/n …
でも今回要件ではこのアプライアンスをセグメント毎1台なので
その前にポート毎にmacアドレス決めうちかな・・・監視系は
どうされてますか?
この回答への補足
atsukichiさま
お返事ありがとうございます。
macアドレスきめうちは間違いない方法ですが、誰がメンテするのか?という問題が出てきます。
やはり、”こういうものだ”というのが現状の正解のようですね。他社L2スイッチのようにEAPパケットをマルチキャストで一定時間毎(例えば30秒毎など)に吐き続けるような形をとらない限り、導入する意味があるのか?という気がしてならないのです。安いわけでもないですしね。
監視系というネットワーク監視ツールのことですよね?それならばCisco Worksを使う予定です。ほかは何も考えていません(多分考えていません)。ただ、監視用の要員が特にいる訳でもないので、インストールしてもどのくらい実効力があるのか疑問です。それとも侵入を防ぐ別の監視ソフトをまた入れなくてはいけないということならば、コスト的に見合わないので別の方法を考えるかな・・・とベンダーとは相談しているのですが・・・。
No.1
- 回答日時:
# 具体的な検討は、SEさんに費用を払ってね。
802.1xのホストモードを単一ホストモードで使用するんじゃないですかね。
参考URL:http://www.cisco.com/japanese/warp/public/3/jp/s …
この回答への補足
具体的な検討をベンダーにさせましたが、彼らの主張は”こういう仕様です”との一言でした。
ご指摘の単一ホストモードは1対1以外でポートとPCがつながっている状況しか想定していません。なので、ポート下にリピータハブなどのレガシーハブがつながり、その下にPCがつながっているということを検知できません。なので×です。
適正な証明書を持っているPCが先にログインしてしまうと、そのポートは空きっぱなしになります。
また、再認証の時間を縮めるという方法が使えるのではという私の質問に対して、再認証はユニキャストで認証した機械の存在確認として使われるため、ほかに機械がつながっていても、再認証時にチェックされることはない、というのがベンダーの回答でした。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- LANケーブル・USBケーブル お得だからと勧められた “ソフトバンクエアー” 、コレガ(CG-SW08GTLX)が使えません。 1 2022/05/09 16:04
- その他(インターネット接続・インフラ) ホームページのログイン認証の際、PCから相手方サーバーに対し送信されるMACアドレスについて 1 2022/10/17 14:14
- ルーター・ネットワーク機器 添付画像のように、スマホをUSBテザリングして、LANハブで他のPCも接続できますか? 5 2022/06/20 16:52
- ルーター・ネットワーク機器 10Gbpsの恩恵 5 2022/11/16 15:48
- その他(インターネット接続・インフラ) インターネット有線接続についてです。 会社のインターネット回線をハブで繋いで別の部屋に延長したのです 3 2022/12/13 17:09
- 固定IP Win11 アダプター設定変更にイーサネットが表示されない 1 2022/12/03 18:31
- ドライブ・ストレージ ネットワークHDD(NAS)について教えて下さい。 11 2023/03/08 11:15
- その他(インターネット接続・インフラ) 一軒家のインターネット環境について質問です。 現在一軒家に住んでいますがWiFiの速度が遅く困ってお 3 2022/11/06 00:55
- Wi-Fi・無線LAN PCWi-Fiの設定方法がわからなくて困っています。 4 2022/12/28 18:30
- Wi-Fi・無線LAN ネット回線は複数用意していた方がいい? 4 2022/07/03 14:52
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ホスト辞めたらどうなるんです...
-
「OS/DB/DC」の「DC」って何?
-
ホストとホステスの違い
-
IPアドレスの呼び方
-
「Windowsサービスのホスト プ...
-
ホストクラブに先日行き、担当...
-
先日ホストに行き、、かなりお...
-
ホスト狂いは多いのに、キャバ...
-
vmware上のゲストOSにpingが通...
-
仮想サーバのデフォルトゲート...
-
Zoomについて質問です。 Zoom中...
-
「パーティのホスト」の女性版...
-
softbankXXXXXXXXXXXX.bbtec.ne...
-
zoomのブレークアウトルームっ...
-
ホストクラブに行く妻
-
女性限定 ホストには一度も行っ...
-
ホストに次いつ来れるか聞かれ...
-
ホストクラブのヘルプについて ...
-
なぜホストにはモラハラやDV い...
-
ホストについてです。こんな客...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
「OS/DB/DC」の「DC」って何?
-
ホストについてです。こんな客...
-
IPアドレスの呼び方
-
ホストがホスト辞めたあと客に...
-
vmware上のゲストOSにpingが通...
-
ホストとホステスの違い
-
ホストの担当が年末で辞めまし...
-
1番長続きしたネッ友との付き合...
-
ホストクラブ未収強要って警察...
-
人気店でないホストクラブで月2...
-
彼氏がホストしてます。彼は数...
-
自分でホストにハマっておいて...
-
「Windowsサービスのホスト プ...
-
ホストクラブに先日行き、担当...
-
ホスト狂いは多いのに、キャバ...
-
ホストにナンパされたんですが...
-
ホストに次いつ来れるか聞かれ...
-
「デバイスマネージャー USB xH...
-
ホストから既読スルーもしくは...
-
ホストの男性は、細客の女性客...
おすすめ情報