[PR]
2025/08/28(Thu)13:35
ではセキュリティ上好ましくない為着信装置で認証済みサプリカントの
離脱を速やかに検知しSTATEをクリアする必要があります。
例えば着信装置に直接接続されていれば、LinkDownを契機にStateをクリアや
再認証パケットをスイッチから送信し、決まった回数応答が無ければStateをクリアや
ARPテーブルから認証済みサプリカントのMACが消えればStateをクリア等
方法は色々ありますが、
サプリカントがログオフする時着信装置に離脱を教えてくれれば
着信装置(SW)では離脱の検知方法を考えず、
EAPOL-STARTを待てば良いだけになります。
XPでは
WinXPではログオフ時EAPOL-STARTを送信しますが、
着信装置(SW)からのEAP-request/Idを無視してしまいます。
その為着信装置(SW)ではXP端末ログオフ後も離脱を認識できません。
Vistaでは
ログオフ時EAPOL-STARTを送信し、
認証シーケンスを開始します、そして認証失敗させる事により
着信装置側にStateのクリアを促す事が出来ます。
PR