本記事はNETWORK Guide 2006 Springより転載したものです。執筆者の肩書きや内容などは当時のものとなります。

　今回は検疫ネットワーク導入時によく問題となる例を取り上げ、具体的に検討すべき点を紹介する。なお、前号でいくつかの検疫方式について述べたが、今回は認証スイッチ方式の場合に焦点をあてて、考慮すべきポイントをご紹介する。

　まず、現行のネットワークの構成を把握することから始めていただきたい。当然であるが、管理者は検疫ネットワークを構築するにあたって、現行のネットワークの運用がどうなっているかを十分に把握する必要がある。そのうえで検疫ネットワークに移行する問題を吟味していくのである。ここではネットワークの構成を把握するために必要な6つのポイントにスポットをあてよう（表1）。

表1 検疫ネットワーク導入時の6つのポイント

　一般的に認証スイッチ方式では、動作環境としてDHCPの利用を想定しているケースが多い。というのは、検疫ネットワークを利用するうえで、認証スイッチ側では認証の前後で所属VLANを動的に変更させるダイナミックVLANを活用するケースが出てくるからだ。したがって、認証スイッチ方式では固定IPアドレスを使った検疫はそぐわない場合もある。病院系のユーザー環境などではいまだ固定IPでの運用も珍しくないため、環境が固定IPアドレスの場合はPFW方式やIPS方式を選択するほうが好ましいといえる。


　企業ではすでにADを使った環境が一般的であるが、認証スイッチ方式導入においては注意が必要となる。ベンダー専用ツールやWebブラウザなどでネットワーク参加に認証が必要な場合、そのままではPCのWindowsログオンが起動した状況でドメインへの参加を阻害されてしまう。これは検疫の可否が実行されるまで正規のネットワーク上にあるADサーバにはアクセスできないからである。これを回避するために、クライアントにはシングルサインオン（SSO）ツールを導入するか、あらかじめADサーバへはスイッチのアクセスコントロールリスト（ACL）で通信させるネットワーク設定が必要となる。802.1X方式を採用する場合でも、ADへの参加を考慮して、OSの種類によっては別途サプリカント（注1）を導入する必要が発生する。


　今では無線LANを導入しているネットワーク環境も珍しくない。認証スイッチを無線LANと組み合わせて利用する場合、認証機能を無線アクセスポイント側か認証スイッチ側かどちらの機器で受け持つかがポイントになる。もし、ネットワーク参加の認証制御を認証スイッチ側で統一する場合、無線LANのローミング機能に注意が必要である。端末は認証した無線アクセスポイント配下では接続を許可されるが、移動して別ポートに接続された無線アクセスポイントにローミングすると再認証が必要になる。比較的小規模な無線LANの環境であれば、運用面を考慮してローミングの際の再認証を回避するために、複数のアクセスポイントを1台のハブに集約するといった工夫が必要になる。

図1 ローミングで再認識が発生する場合
認証スイッチ内ではポートごとに認証しているPCを管理している。 そのため移動でPortが代わると再認証が必要

図2 ローミングで再認識が発生しない場合
L2スイッチを介在した構成にすることで、PC-Bはローミングしていても同一ポート・VLANになる。 そのため、端末が移動したと認識せず再認証なしで認識できる

---

(注1)サプリカント
IEEE802.1Xに準拠した認証を実現するためにクライアント側に導入するソフトウェア。