みなさん、こんにちは。
802.1x NAP (有線 VLAN)を 仮想環境(Hyper-V)で構築してみましたので、ご紹介したいと思います。ちょっと、ややこしい構成ですが、検証には大変便利です。

なぜ、仮想環境で NAP か

有線 802.x NAP で VLAN 環境のセットアップや動作確認をするためには、スイッチポートの接続変更が必要となることがありますが、デスクから都度ラボまで行かねばならず面倒であり、外出先からではどうにもなりませんでした。何とかリモートからできないかと考えたのが始まりです。
また、Windows XP / Vista / 7 といった各 OS の 802.1x 構成をいつでも確認・操作できる環境が手元に必要だったという事もあります。

仮想 802.1x NAP へのアプローチ

仮想マシン(ゲストOS)上で NAP クライアントを構成します。仮想 NIC に割り当てる 物理 NIC (仮想ネットワーク)を変えることで、疑似的に LAN ケーブルを抜き差しでき、接続する物理スイッチのポートを変更できます。
サーバー側(NPS など)も Hyper-V 環境を活用すれば、物理的なコンピュータ台数を減らす事ができます。

システム構成、Tips

Hyper-V ホスト
(Windows Server 2008 R2、Hyper-V 2.0)

- 管理(ペアレント)OS 上で、以下を構成・実行。
    ・AD DS(ドメインコントローラー)
    ・DNS
    ・AD CS(証明書サービス)
    ・NPS (ネットワークポリシーサーバー)
  ※ 仮想マシン上で NPS 等を構成することもできますが、仮想マシンを
     停止させると、802.1x 認証もできなくなるため、今回はペアレント上
     に構成。

- 仮想マシン上で次の 3種 の NAPクライアントを構成。
    ・Windows XP SP3
    ・Windows Vista SP1
    ・Windows 7
    ※ ドメイン参加、有線 802.1x (PEAP)、NAP クライアント(802.1x強制)
       を構成。

- 物理 NIC を 4枚実装し、次のように構成。 
     ・1枚:管理 OS 専用(ペアレント上で実行するサービス用)
     ・1枚:管理 OS 専用 (リモートからの RDP 操作用、※構成図では割愛)
     ・2枚:仮想ネットワーク専用(NAP クライアントの仮想マシン用)
    ※ 管理 OS 専用とするためには、該当 NIC を Hyper-V の 仮想ネット
      ワークとして構成しません。Hyper-V の役割追加時に選択するか、
      Hyper-V マネージャーの [仮想ネットワークマネージャー] 画面にて
      該当のものを削除します。
    ※ 仮想ネットワーク専用とするためには、Hyper-V マネージャーの
      [仮想ネットワークマネージャー] 画面で、[管理オペレーティング シ
      ステムにこのネットワーク アダプターの共有を許可する]のチェック
      をオフにします。 
       image


管理サーバー
(Windows Server 2008 R2)
- 以下を実行。
   ・System Center:Hyper-V 管理(SCVMM)、パッチ配布用(SCCM)
   ・DHCP サーバー:各 VLAN の IP アドレス割り当て用
   ※ これらも Hyper-V ホスト上に仮想マシンとして実行することは可能で
     すが、構成が複雑となることと、既に他の検証用で使用しているものが
     あることから、今回は外部に用意。
   ※ DHCP サーバーに対する NAP の実施ポイント設定はなし。
    
802.1x スイッチ
(アライドテレシス社 CentreCOM 9424T)
- ポートに対する 802.1x 認証の有無と、NAP 準拠用/非準拠用 の VLAN
  を構成。  
  ※  Hyper-V は VLAN をサポートしていますが、これは タグ付きVLAN
  (802.1q) であり、802.1x 認証ダイナミック VLAN 対応ではありません。 
    ですので、ハードウェア スイッチは必須となります。

全体構成図 
 image

仮想 802.1x NAP の 操作

操作はいたって簡単です。
NAP クライアントを実行する仮想マシン設定で[ネットワーク アダプター]に割り当てる[ネットワーク](つまり仮想ネットワーク)を変更するだけです。

image

・NAP クライアントの初期構成時(ゲストOSのインストール、ドメイン参加、グループポリシー適用など)には、認証なしポートに接続された仮想ネットワークを割り当てます (図の緑色の経路)。
・初期構成が完了しNAP の動作確認をする際には、8021x 認証ポートに接続された仮想ネットワークへ切り替えます(図の赤色)。NAP の ポリシーに準拠したかどうかで、スイッチ側で VLAN が切り替わります。準拠の場合はフルアクセスの VLAN(緑色の経路)、非準拠の場合は制限アクセスの VLAN(茶色の経路)になります。
・NAP クライアントから見た(疑似的な)LAN ケーブルの抜き差しは、仮想ネットワークの割り当てを[接続されていません]にすることで できます。
 

参考資料

・Technet: 802.1X ワイヤード用の NAP 強制を構成する(チェックリスト) 
  http://technet.microsoft.com/ja-jp/library/cc730926(WS.10).aspx
・アライドテレシス社:NAP と スイッチの連携
  http://www.allied-telesis.co.jp/solution/switch_sec/nap.html

設定の詳細まではご紹介できませんでしたが、802.1x NAP だけでなく、Hyper-V の ネットワーク周りを理解する上で参考になれば幸いです。

瀧本 文男