802.1X

Материал из Xgu.ru

Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.

Протокол 802.1X работает на канальном уровне и определяет механизм контроля доступа к сети на основе принадлежности к порту (в контексте стандарта порт — точка подключения к сети).

Наибольшее распространение протокол получил в беспроводных сетях. В данной статье рассматривается его применение для проводных сетей.

Содержание 1 Терминология стандарта 1.1 Supplicant 1.2 Аутентификатор 1.3 Сервер аутентификации 2 Описание работы протокола 3 Материалы по контролю доступа в сеть на Xgu.ru

[править] Терминология стандарта

Согласно протоколу 802.1X доступ к сети получают только клиенты прошедшие аутентификацию, если аутентификация не была пройдена, доступ с соответствующего порта будет запрещен.

802.1X предполагает использование модели точка-точка. То есть он не может быть применен в ситуациях когда несколько хостов соединяются с коммутатором (на котором настроена аутентификация 802.1X) через хаб или через другой коммутатор.

[править] Supplicant

Supplicant — устройство (компьютер, ноутбук или др.) которое запрашивает доступ к сети у аутентификатора (коммутатора или точки доступа) и отвечает на его запросы. На клиенте должно быть установлено (или встроено) программное обеспечение работающее по протоколу 802.1X.

Примеры supplicant:

• Xsupplicant
• Windows 2000/XP (built in)
• Mac OS X (built in)

Supplicant может быть встроен в коммутатор. Пример настройки коммутатора в роли supplicant на странице 802.1X и RADIUS

[править] Аутентификатор

Аутентификатор (authenticator) — устройство контролирующее физический доступ к сети основываясь на статусе аутентификации клиента. Выполняет роль посредника (proxy) между клиентом и сервером аутентификации.

Примеры аутентификаторов:

• коммутаторы (с поддержкой 802.1X)
  • Пример настройки Cisco
  • Пример настройки ProCurve
• точки доступа

Для каждого порта коммутатора (с включенным 802.1X) создается два виртуальных порта:

• Контролируемый порт (controlled port) — открывается только после авторизации по 802.1X
• Неконтролируемый порт (uncontrolled port) — разрешает передавать только EAPOL трафик

До тех пор пока клиент не авторизован только EAPOL трафик разрешен на неконтролируемом порту.

Кроме терминов контролируемый и неконтролируемый порты применяются термины авторизованный (authorized) и неавторизованный (unauthorized) порты, соответственно.

[править] Сервер аутентификации

Сервер аутентификации (authentication server) — осуществляет аутентификацию клиента. Сервер аутентификации проверяет identity клиента и сообщает аутентификатору разрешен ли клиенту доступ к сети.

Примеры серверов аутентификации:

• RADIUS

[править] Описание работы протокола

Пример работы 802.1X (EAP-MD5)

1. Клиент отправляет сообщение EAPOL-старт аутентификатору
2. Аутентификатор отправляет клиенту EAP-Запрос и клиент отвечает EAP-ответом
3. Аутентификатор инкапсулирует ответ в формат RADIUS и пересылает ответ серверу аутентификации
4. Сервер аутентификации отправляет EAP-MD5 Challenge клиенту, а клиент присылает ответ (передает сообщения аутентификатор соответствующим образом инкапсулируя и деинкапсулируя фреймы)
5. Сервер аутентификации подтверждает подлинность клиента и сообщает аутентификатору о необходимости разрешить доступ клиента к сети
6. Аутентификатор авторизует порт и клиент получает доступ к сети

[править] Материалы по контролю доступа в сеть на Xgu.ru

• RADIUS
• DIAMETER
• 802.1X
• EAP
• 802.1X и RADIUS — детальное описание процедуры настройки коммутатора на использование 802.1X и RADIUS
• NAC
• ProCurve NAC 800 — контроллер доступа в сеть от ProCurve
• FreeNAC — свободная программная реализация NAC-контроллера
• Полигон по ProCurve NAC в УЦ Сетевые Технологии