・必要となる機器
サプリカント，オーセンティケータ，認証サーバ

・サプリカント
認証をうけるパソコン（OS附属のソフト，専用ソフト）

・オーセンティケータ
サプリカントを収容するネットワーク機器（LANスイッチ，無線LANアクセスポイント）
接続ポートをON・OFFし，認証をクリアしたサプリカントだけをLANに通す役割をする．

・認証サーバ
ユーザを認証して通信を許可するかどうか判断する機器．判断した結果をオーセンティケータに
通知する役割をもつ．（RADIUSサーバが一般的）

・EAP(Extensible Authentication Protocol)
拡張可能なプロトコル
様々な認証方式の情報を運ぶためのプロトコル
IEEE802.1xでは，この仕組みを使って認証情報を運ぶ．
RFC3748で規定されている
PPPの仕組みを拡張したもの

PPPでは，認証方式としてPAP，CHAPを使用する．そこで，これ以外の様々な
認証方式に対応可能としたのがEAPである．
→IEEE802.1xではEAPのこの仕組みをつかい，様々な認証方式を使いわけられるようにした．

・サプリカントとオーセンティケータ間
→イーサネット，無線LANでつながっている
→EAPパケットをMACフレームで運ぶEAPOLを定めている．
→IEEE802.1xでLAN上でEAPパケットを運ぶためにEAPパケットをMACフレームの
データ部分にいれて運ぶ仕組み（EAPOL）

・EAPOLのMACフレーム

DA  ||　SA　|| Type(88-8E) ||データ :EAPOLフレーム(46-1500B)|| FCS(4B)

・データ(EAPOLフレーム)

バージョン(1B) || タイプ(1B)|| データ長(2B)||データ(EAPパケット)(42-1496B)

タイプ
0:EAP Packet(データ送信用)
 EAPパケットでユーザーIDや証明書といった認証データを
運ぶときにEAP Packetメッセージをもちいる．

1:EAPOL Start(通信の開始):EAP通信をはじめるときに使う．
EAPによる通信はサプリカントがEAPOL Startメッセージをサプリカントに出すか，
逆にオーセンティケータからサプリカントにEAPRequestメッセージを出したときに始まる.

※Windows附属のサプリカントはLANに接続しても自らEAPOL-Startメッセージを出さない．
そこで，オーセンティケータはクライアントの接続を検知したポートに対して，定期的にEAPの
Requestメッセージをおくるようにしている機器がおおい.

２：EAPOL Logoff(通信の終了)

3:EAPOL Key(暗号通信用の鍵情報の通知)
無線LANの場合はこのキーフレームを使って，鍵情報をおくる
オーセンティケータからサプリカントに暗号通信用の鍵情報を配布するための
EAPOL-Keyとよばれるメッセージ
キーフレームとよばれる．

IEEE802.1xをもちいると，このキーフレームのしくみを利用して，無線LANクライアント
に自動的に暗号鍵情報を通知できるようになる．
クライアントごとに毎回違う鍵情報を通知できるので安全面でメリットがある．

・EAPパケット
コード(1B) || ID(1B) || 長さ(2B) || タイプ(1B) || データ(可変長)

コード(1B):EAPの４つのメッセージの種類を示す.
１：Request
2:Response
3:Success
4:Failure

ID(1B)
要求(Requestメッセージ)と応答(Responseメッセージ)を対応づけるための番号
→認証サーバは新しいRequestメッセージを送信するたびにIDフィールドに違う値を設定する．
サプリカントがResponseメッセージのIDフィールドにRequestフレームに対応したID番号を
入れて返信する．

長さ(2B)
フレームのサイズ

タイプ(1B)
認証方式ごとに値がきめられている．
EAP-MD5:　4
EAP-TLS:　13
EAP-PEAP:25

データ
実際の認証で使われるユーザー名，証明書などがはいる．

・オーセンティケータと認証サーバ間
→EAPパケットをRADIUSで運ぶための拡張仕様を使う.

・EAPパケットを運ぶのに，サプリカントとオーセンティケータ間は
EAPOLをつかい，オーセンティケータと認証サーバ間はRADIUSの
拡張仕様をつかう．
→EAPパケットをやりとりするのは，サプリカントと認証サーバ間である．
→オーセンティケータはEAPパケットを中継する役割を果たす．
→認証の当事者間（サプリカントと認証サーバ間）でEAPパケットを
やりとりできるようにしている．

・認証の流れ
IEEE８０２．１ｘの通信は，サプリカントがLANにつながったときから始まる．
サプリカントはまず，認証サーバとEAPパケットをやりとりして，認証方式をきめる．
その後，実際の認証の作業にはいる．

・WindowsXP附属のサプリカントが標準でもっている方式
EAP-MD5
EAP-PEAP(ピープ)
EAP-TLS
→IEEE802.1xでは，これらの方式から選んで使う．

ユーザー認証がおわったら，認証サーバは許可，拒否の判断をして，その結果を
オーセンティケータに通知する．
→許可ならばオーセンティケータのポートを開いてサプリカントが通信できるようにする．
このとき，RADIUSサーバがオーセンティケータにVLAN情報を通知したり，オーセンティケータが
サプリカントに無線LANの暗号鍵情報を配布することも可能．

・EAPでは４つのメッセージを使って認証情報をやりとりする．
Requestメッセージ：認証サーバからサプリカントへの通信
Responseメッセージ；サプリカントから認証サーバへの通信

認証結果の通知：Success(認証成功) or Failure(認証失敗)というメッセージが使用される．
サプリカントと認証サーバはEAPパケットの先頭部分の”コード”部分に記述された数値によって
メッセージの種類が判断できる．

データ
実際の認証で使われるユーザー名，証明書などがはいる．

・RADIUSによる認証システム
→クライアント/サーバ方式
IEEE802.1xでは，オーセンティケータがRADIUSクライアントに相当し，認証サーバが
RADIUSサーバに相当する．この両者の間でRADIUS形式のパケットをやりとりする．

・RADIUSは，UDP上で動作するプロトコルである．
→RADIUSパケットはUDPパケットのデータ部分に入ってやりとりされる．
→MACヘッダー||IPヘッダー||UDPヘッダー||RADIUSパケット

・RADIUSサーバには，あらかじめ認証対象となるユーザーの認証情報をデータベースとして
格納しておく．
→IEEE802.1xでは，RADIUSサーバーがオーセンティケータから認証情報を受け取り，自身の
データベースに記載された情報をつかって許可・拒否を判断し，その結果をオーセンティケータに
返信する.

・IEEE802.1xでは，LANでRADIUSの仕組みを利用するにあたって，RADIUSの中核機能を
拡張する２つの仕組みを取り入れている．
→RADIUSでEAPパケットを運ぶための仕組み，LAN特有の情報をRADIUSで扱う仕組み
→RADIUSパケットに入るデータがEAPパケットであることを示す値（タイプ値）が７９番と定義されている．

・RADIUSパケット
コード(1B) || 識別子 (1B) || パケット長(2B) || 認証符号(16B) || 属性データ1 || 属性データ２

・コード
1:Access-Request
2:Access-Accept
3:Access-Reject
11:Access-Challenge

・識別子
要求と応答を対応づけるための番号

・認証符号
データの整合性チェックなどに利用

・属性データ
タイプ(1B)||データ長(2B)||データ(可変長)

・RADIUSで扱うデータは，「属性データ」とよばれている．属性とは，そのデータの種類をあらわした情報
である．データの属性はRADIUSパケット内に入る個々のデータに記述された”タイプ値”で識別する．
→RADIUSパケットでEAPパケットを運ぶときは，タイプは７９番

・サプリカントとオーセンティケータの間：EAPOLで EAPパケットをMACフレームにいれて運ぶ．
→このEAPパケットをうけとったオーセンティケータは，MACフレーム内のEAPパケットを取り出し，
そのままRADIUSパケットのデータとして乗せ替えて，RADIUSサーバにおくる．
→このときデータの属性を示すタイプ値を７９番として，EAPパケットであることを示す．
→サプリカントとRADIUSサーバでEAPパケットをやりとりできるようになる．

・IEEE８０２．１ｘでLAN特有の情報を通知するための仕組み
→オーセンティケータにユーザーごとのVLAN番号を割り当てる「認証VLAN」を実現する．

・VLAN番号を割り当てるときは，RADIUSサーバがオーセンティケータに
”Tunnel-Type（トンネルタイプ）”,”Tunnel-Medium-Type(トンネルメディアタイプ)”，
”Tunnel-Private-Group-Id”という３つのタイプの属性データを通知する．

・Tunnel-Typeのデータ部分には，VLANを示す"13"，Tunnel-Medium-Typeは
イーサネットでは"6"を入れることがきまっている．そして，Tunnel-Private-Group-Idの
データ部分にVLAN番号が入る．
→認証VLAN機能を持つLANスイッチはRADIUSサーバから通知されたこの３つのデータの
属性を解釈して，ポートにVLANを設定する．

・EAP-MD5方式
チャレンジ・レスポンス方式
→パスワードを生の状態でやりとりしない方式
認証サーバがサプリカントにチャレンジコードとよばれる乱数を送る．
サプリカントはそのチャレンジコードとパスワードをMD５と呼ばれる
ハッシュ関数を用いて，レスポンスコードをつくり，認証サーバに返信する．
認証サーバも同じMD５のハッシュ関数を使って，そのレスポンスコードを検証することで
通信相手のパスワードを検証する．

・IEEE802.1xで用いられる認証方式

・EAP-MD5(ユーザーID，パスワード)
サプリカントに証明書などをインストールする必要がない．
→導入や管理の手間がかからないが，セキュリティ面で不安がある．
→チャレンジコードとレスポンスの組み合わせからパスワードが推測される危険性がある．

・EAP-PEAP(SSLの仕組みを使う)
Webアクセス暗号化プロトコルであるSSLの仕組みをつかった認証方式．
→パソコンとWebサーバで暗号通信用の鍵を共有し，その共有鍵を使って実際にやりとりする
データを暗号化する．（パソコンとWebサーバ間でしかやりとりできない暗号トンネルを作り，そのトンネル
中で実際のデータを通すイメージ）

EAP-PEAPでは，暗号化トンネルをつくるところまでは，SSLと同様．
その先，EAP-PEAPでは，あの暗号化トンネル内でIDとパスワードをやりとりする．
デフォルトでは，”EAP-MSCHAP　ｖ２”というチャレンジ・レスポンス方式の認証方式を使用する．

サーバにSSLと同様に”サーバ証明書”が必要．一方，クライアントにはサーバ証明書が
自分の信頼したサーバーの証明書であることを検証するために”ルートCA証明書”が必要になる．

・EAP-TLS(お互いに証明書を交換する)
サプリカントとサーバのお互いで自身の証明書を交換しあう方式
→証明書の検証をサプリカントとサーバーで相互に実施する．
→最初にサーバーがサプリカントに証明書を送付し，サプリカントは自身のルートCA証明書を
使用してそのサーバ証明書を検証する．検証がクリアできたら，クライアント証明書をサーバに送付する．
サーバも自身のルートCA証明書でクライアント証明書を検証し，検証がクリアできたら認証成功である．
→セキュリティ強度が高いが，導入や管理に手間がかかる.

　SNMPで管理されるネットワーク機器が、自分の状態を外部に知らせるために公開する情報のこと。RFC 1156として規定されているMIB1と、RFC 1213で規定されているMIB2があり、現在では後者を使うのが一般的。

・SNMP

読み方 ：	エスエヌエムピー
フルスペル ：	Simple Network Management Protocol

　TCP/IPネットワークにおいて、ルータやコンピュータ、端末など、ネットワークに接続された通信機器をネットワーク経由で監視・制御するためのプロトコル。制御の対象となる機器はMIBと呼ばれる管理情報データベースを持っており、管理を行なう機器は対象機器のMIBに基づいて適切な設定を行なう。
 

SerDes Framer Interface Level 5 or SFI-5 is a standardized Electrical Interface standard by the OIF for connecting a Sonet Framer component to an optical SerDes for OC-768 (40 Gbit/s).[1] Electrically, it consists of 16 pairs of SerDes channels each running at 3.125Gbit/s which gives an aggregate bandwidth of 50Gbit/s accommodating up to 25% of Forward Error Correction

・OIF
Optical Internetworking Forum
From Wikipedia, the free encyclopedia
Jump to: navigation, search
The Optical Internetworking Forum (OIF) was organized to facilitate and accelerate the development of next-generation optical internetworking products. The OIF produces Electrical, Tunable Laser, Very Short Reach Hardware Interfaces. It also has produced a UNI and NNI software interface Interoperability Agreements. These agreements enable equipment manufacturers to lower their time to market and development cost by enabling a robust, multi-vendor ecosystem. It also lowers the total cost of ownership of systems based on their interoperability agreements by enabling investments in test and verification infrastructure as well as enabling competition.
 

　　Ｐ＝ｆ　×　Ｃp × V^2

P:電力　f: 周波数　Ｃｐ：平均負荷容量　
Ｖ：電源電圧

・静的電力（Static Power)
→リーク電流（漏れ電流）によって生じる．

・トランジスタのスイッチ速度
ゲート酸化膜を薄くして，電源電圧を高くすることで高速化できる．
→リーク電流が増大するという問題がある．

・動的電力(fCV^2)を下げる方法
1.周波数を下げる
→ＣＰＵの仕事量に応じて，クロック周波数を下げる．使っていないときにクロックをとめる．
２．容量を下げる
→回路規模が小さくて処理負荷が軽いプロセッサを使う．
クロックゲーティングによって，内部の稼動していない部分をとめる．（実質的に容量を下げることに相当する．）
３．電圧を下げる
プロセッサの電圧が1V前後になり，閾値電圧との差が小さくなっているため，さらに低電圧で動作させるのは困難になってきている．

クロックゲーティングとは
・消費電力削減でおそらく最も古くから利用されてきた手法 ．
・LSIのダイナミック消費電力の1/3から1/2は、チップのクロック分配回路で消費される ．
・現在よく利用されているクロックゲーティング手法には、ローカルとグローバルの2種類がある ．
→動的消費電力の削減

消費電力の削減に対しておそらく最も古くから利用されてきた手法がクロックゲーティングであろう。LSIのダイナミック消費電力の1/3から1/2は、チップのクロック分配回路で消費される。Keating氏は、「この技術の概念は非常に簡単だ。クロックが不要ならば、その供給を停止するというものだ」と語る。

現在よく利用されているクロックゲーティング手法には、ローカルとグローバルの2種類がある（図4）。例えば、図4（a）の上のような回路であれば、常時クロックを必要としない。つまり、図4（a）の下のように、各フィードバックマルチプレクサをクロックゲーティングセル（AND回路）に置き換えることができる。そして、マルチプレクサを制御するイネーブル信号を用いて、クロックゲーティングセルの出力を制御すればよいのである。

従来、この置き換えは手作業で行われていたが、現在では市販の合成ツールで自動的に実施することができる。この作業のためのツールが自動的にマルチプレクサを検出し、フィードバック経路付きのマルチプレクサをクロックゲーティングセルに置き換えてくれるのだ。Keating氏は「32ビットのレジスタになると、この手法を用いることで大幅に電力を低減することができる」と語る。2007年のSNUG（Synopsys Users Group）において、米Intel社のエンジニアがこの手法によってダイナミック電力を43％削減したという例を発表している＊2）。

もう1つのよく使用されるクロックゲーティング手法が図4（b）のグローバルクロックゲーティングである。通常、この手法ではクロックジェネレータモジュールから、単純にブロック全体のクロックを停止する制御を行う。ローカルクロックゲーティングとは異なり、ブロック全体の機能を停止させることになる。クロックツリー全体を停止することになるため、ローカルの場合に比べて、ダイナミック消費電力の削減量は大きい。

静的消費電力の削減
・静的消費電力削減には，電源OFFする必要がある．
・クロック停止の場合は，クロックを動作させれば即座に回路も動作するが，電源停止の場合は電圧の安定化などを待つ必要があるため，復帰に時間がかかる．
・電源領域をまたがる回路部分にはバリアゲートとよばれる特殊な回路を配置する．これは，片側の電源領域において電源がＯＮ／ＯＦＦされたとき，電源ノイズにより誤動作しないようにするため．