IEEE 802.1X認証を実現するのに必要なものは何か。3つ答えよ
正解は、以下の3つである。
サプリカント(クライアントPCにインストールされるソフト)
 サプリカント(supplicant)とは「お願いする者」という意味で、IEEE802.1Xにおいて認証要求をお願いするソフトウェアである。
オーセンティケータ(認証Switch、無線APなど)
 オーセンティケータ(authenticator)とは、「認証する者」という意味である
認証サーバ

動作
図は、H19NW午後1-2 「図3 検疫ネットワークを使ったPCの認証手続き」より
EAPOL
H25NW午後Ⅱ問2より
OpenFlowとの混合問題なので、余分なものも入っていますが、基本的にはこれです。
eap

1X認証に必要な3つ
①ネットワークケーブルを接続する。またはパソコンの電源を入れる。
②スイッチからの認証要求が来る。IEEE802.1X認証が有効になっているので、サプリカントがID入力画面を起動する。最近のほとんどのサプリカントでは、EAPOL-Startの機能を持っており、端末側から認証の開始要求をすることがほとんどです。
③IDとパスワードを入れる
④認証SWは、認証サーバにIDとパスワードが正しいかを確認する。
⑤認証が成功し、認証が許可される。
⑥スイッチはUNAUTHORIZED→AUTHORIZEDにすることで、通信可能になる。
⑦インターフェースがUPし、認証が許可される。
(おまけ) DHCPであれば、IFがUPしたので、IPの取得が始まる。

dcf52feb
ここまでは分かります。
でも、認証が成功するまでは、スイッチのインターフェースがDOWNしているんですよね。
この状態であれば、そもそも認証の接続要求フレームも通らないのでは?
そうですね。EAPOLの開始時には特別なアドレスのフレーム(MACアドレスが01-80-C2-00-00-03)です。(以下)
aa
このフレームが来たら、認証用のフレームと判断し、特別に処理をします。
 たまに、古いスイッチでは、この特別なフレームが処理できず、廃棄してしまいます。

参考:実際の設定
実際の設定を考えるとと、理解が深まります。
1)Switchの設定(オーセンティケータ)
・dot1xを有効:dot1x system-auth-control
・各IFにて有効にする:dot1x port-control auto
・Radiusサーバの設定 IP:host 192.168.1.20 認証キー:abc

2)Radius(認証サーバ)
・IPアドレスの設定:192.168.1.20
・ユーザ情報:ID、パスワードの設定
・スイッチのIPアドレス、認証キーの設定(Switch側と合わせ、abc)
・認証方式の設定

3)パソコン(サプリカント)
サプリカントの設定(Windows標準でもよい)
・802.1x認証を有効にする。
・EAPの種類・・・・EAP-MD5