IEEE 802.1X

IEEE 802.1X — протокол контролю доступу клієнт-сервер, що дозволяє встановлювати автентичність та забороняє підключатись до локальної мережі через загальнодоступні порти комутатора. До того, як клієнта буде автентифіковано, згідно протоколу 802.1X дозволяється пересилка лише трафіку Протоколу розширеної перевірки автентичності через локальну мережу (Extensible Authentication Protocol over LAN, EAPOL) через порт, до якого підключений клієнт. Після успішної автентифікації звичайний трафік може проходити через порт. Автентифікація 802.1X передбачає три сторони: заявник (supplicant), автентифікатор (authenticator) та сервер автентифікації (authentication server). Заявник — це клієнтський пристрій (наприклад, ноутбук), який під'єднується до локальної мережі або бездротової локальної мережі. Термін «supplicant» також може позначати програмне забезпечення, яке працює на клієнтському пристрої та надає облікові дані автентифікатору. Автентифікатор — це мережевий пристрій, такий як комутатор Ethernet або бездротова точка доступу. Сервер автентифікації, зазвичай, хост, який підтримує протоколи RADIUS і EAP. У деяких випадках програмне забезпечення сервера автентифікації може працювати на апаратному засобі автентифікатора.

Пакети EAP від Заявника до Автентифікатора інкапсулюються у фрейми EAPOL, від Автентифікатора до Сервера автентифікації — RADIUS

Стани портів

802.1X-2001 визначає два логічних стани для порту Автентифікатора — «контрольований порт» і «неконтрольований порт». Контрольований порт керується 802.1X PAE (Access Entity Port), щоб дозволити (у авторизованому стані) або заборонити (у несанкціонованому стані) мережевий трафік, який передається або приймається через цей порт. Неконтрольований порт використовується 802.1X PAE для передачі та прийому кадрів EAPOL.

Процес перевірки автентичності

Автентифікатор відправляє пакет «EAP-Request / Identity» заявнику, як тільки він виявить, що з'явився несучий сигнал, наприклад, при підключенні клієнтського обладнання до порту.
Заявник надсилає автентифікатору пакет «EAP-Response / Identity», який потім передається на Сервер автентифікації (RADIUS).
Сервер автентифікації відправляє текстове повідомлення, яке має зашифрувати Заявник, автентифікатору. Автентифікатор з повідомлення виокремлює інформацію L2 та інкапсулює повідомлення в кадр EAPOL і відправляє його заявнику. В залежності від способів автентифікації це повідомлення а також їх кількість може різнитись. EAP підтримує лише клієнтську автентифікацію та двосторонню автентифікацію. Лише двостороння автентифікація вважається доречною при встановленні підключення через бездротові мережі.
Заявник опрацьовує повідомлення через автентифікатора та передає відповідь на сервер автентифікації.
Якщо Заявник підтверджує ідентичність, сервер автентифікації відповідає повідомленням про успішну автентифікацію, яке потім передається Заявнику. Автентифікатор тепер дозволяє отримати доступ до локальної мережі (можливо, обмежений на основі атрибутів, повернутих з сервера автентифікації).^[1]

При активації контролю доступу 802.1X на портах комутатора, можливі такі варіанти розвитку подій:

Якщо клієнт підтримує клієнтське програмне забезпечення, сумісне з 802.1X, а облікові дані надані Заявником є дійсними, то 802.1X автентифікація виконується успішно, і Автентифікатор надає Заявнику доступ до мережі.
Якщо перевірка автентичності 802.1X провалилась під час очікування обміну повідомленнями EAPOL, Автентифікатор може використовуйте альтернативні методи автентифікації, наприклад, протокол автентифікації за допомогою MAC-адрес (MAB) або вебінтерфейс автентифікації (webauth):
- Якщо включена автентифікація за допомогою MAC-адрес, то комутатор надсилає MAC-адресу клієнта до Серверу автентифікації для авторизації. Якщо MAC-адреса Заявника є дійсною, авторизація виконується успішно і цей Автентифікатор надає Заявнику доступ до мережі.
- Якщо ввімкнена вебавтентифікація, Автентифікатор надсилає клієнту сторінку входу HTTP. Автентифікатор реєструє ім'я користувача та пароль Заявника на сервері Сервері автентифікації для авторизації. Якщо облікові дані є дійсними і вхід в систему вдається, Автентифікатор надає Заявнику доступ до мережі.
У разі помилки ідентифікації Заявника, а також якщо налаштована гостьова віртуальна мережа (VLAN) налаштований комутатор призначає клієнта гостьовій VLAN, яка надає обмежені послуги.
Якщо комутатор отримує недійсні облікові дані клієнта, що підтримує стандарт 802.1X, порт залишається в неавторизованому стані та приймає лише EAP пакети.^[2]

Автентифікація 802.1X з використанням MAC-адреси

Комутатори для авторизації клієнтів можуть використовувати клієнтську MAC-адресу за допомогою функції обходу MAC-автентифікації. Виправдане використання цієї функції на портах 802.1X, підключених до пристроїв, таких як принтери. Коли на порту 802.1X активовано функцію обходу перевірки автентичності MAC, комутатор використовує MAC-адресу як облікові дані. Сервер автентифікації має базу даних клієнтських MAC-адрес, яким дозволений доступ до мережі. Після виявлення клієнта на порту 802.1X, комутатор чекає Ethernet пакет від клієнта. Автентифікатор надсилає Серверу автентифікації кадр на доступ до мережі, в якому замість імені користувача та паролю використовується MAC-адреса. Якщо на Сервері автентифікації міститься інформація про МАС-адресу, то комутатор надає програмі доступ до мережі. Якщо авторизація не пройдена, то комутатор призначає на порт гостьовий VLAN, якщо він налаштований. Якщо на інтерфейсі під час сеансу включення зустрічається пакет EAPOL, то Автентифікатор визначає пристрій, підключений до цього інтерфейсу, таким, що підтримує 802.1X, та використовує 802.1X автентифікацію з пересиланням ЕАР кадрів для авторизації інтерфейсу. Історія EAPOL очищується, якщо статус інтерфейсу змінюється на «Вимкнено». Якщо Сервер автентифікації вже дозволив обмін даними через порт, використовуючи обхідну автентифікацію за допомогою MAC-адрес і виявляється, що Заявник підтримує протокол 802.1X, то Автентифікатор не змінює статус порту на «не авторизований». При повторній автентифікації комутатор використовує автентифікацію 802.1X як бажаний процес повторної автентифікації. Якщо попередня сесія закінчилася та значення атрибута на Сервері автентифікації припинення дії — DEFAULT, то клієнти, що використовують обхідну автентифікацію по MAC-адресах, можуть бути знову авторизовані. Процес повторної автентифікації такий самий, як і для клієнтів, які були автентифіковані з 802.1X. Протягом повторної автентифікації, порт залишається в раніше визначеній VLAN. Якщо повторна автентифікація буде успішною, то комутатор присвоює VLAN згідно розрахунку.

Див. також

Примітки

↑ Архівована копія. Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) [Архівовано 2018-04-12 у Wayback Machine.]
↑ Архівована копія (PDF). Архів оригіналу (PDF) за 2 листопада 2015. Процитовано 10 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[1] Архівована копія. Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання) [Архівовано 2018-04-12 у Wayback Machine.]

[2] Архівована копія (PDF). Архів оригіналу (PDF) за 2 листопада 2015. Процитовано 10 квітня 2018.{{cite web}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання)

[1]

[2]