Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
IEEE 802.1X — протокол контролю доступу клієнт-сервер, що дозволяє встановлювати автентичність та забороняє підключатись до локальної мережі через загальнодоступні порти комутатора. До того, як клієнта буде автентифіковано, згідно протоколу 802.1X дозволяється пересилка лише трафіку Протоколу розширеної перевірки автентичності через локальну мережу (Extensible Authentication Protocol over LAN, EAPOL) через порт, до якого підключений клієнт. Після успішної автентифікації звичайний трафік може проходити через порт. Автентифікація 802.1X передбачає три сторони: заявник (supplicant), автентифікатор (authenticator) та сервер автентифікації (authentication server). Заявник — це клієнтський пристрій (наприклад, ноутбук), який під'єднується до локальної мережі або бездротової локальної мережі. Термін «supplicant» також може позначати програмне забезпечення, яке працює на клієнтському пристрої та надає облікові дані автентифікатору. Автентифікатор — це мережевий пристрій, такий як комутатор Ethernet або бездротова точка доступу. Сервер автентифікації, зазвичай, хост, який підтримує протоколи RADIUS і EAP. У деяких випадках програмне забезпечення сервера автентифікації може працювати на апаратному засобі автентифікатора.
Стани портів
802.1X-2001 визначає два логічних стани для порту Автентифікатора — «контрольований порт» і «неконтрольований порт». Контрольований порт керується 802.1X PAE (Access Entity Port), щоб дозволити (у авторизованому стані) або заборонити (у несанкціонованому стані) мережевий трафік, який передається або приймається через цей порт. Неконтрольований порт використовується 802.1X PAE для передачі та прийому кадрів EAPOL.
Процес перевірки автентичності
- Автентифікатор відправляє пакет «EAP-Request / Identity» заявнику, як тільки він виявить, що з'явився несучий сигнал, наприклад, при підключенні клієнтського обладнання до порту.
- Заявник надсилає автентифікатору пакет «EAP-Response / Identity», який потім передається на Сервер автентифікації (RADIUS).
- Сервер автентифікації відправляє текстове повідомлення, яке має зашифрувати Заявник, автентифікатору. Автентифікатор з повідомлення виокремлює інформацію L2 та інкапсулює повідомлення в кадр EAPOL і відправляє його заявнику. В залежності від способів автентифікації це повідомлення а також їх кількість може різнитись. EAP підтримує лише клієнтську автентифікацію та двосторонню автентифікацію. Лише двостороння автентифікація вважається доречною при встановленні підключення через бездротові мережі.
- Заявник опрацьовує повідомлення через автентифікатора та передає відповідь на сервер автентифікації.
- Якщо Заявник підтверджує ідентичність, сервер автентифікації відповідає повідомленням про успішну автентифікацію, яке потім передається Заявнику. Автентифікатор тепер дозволяє отримати доступ до локальної мережі (можливо, обмежений на основі атрибутів, повернутих з сервера автентифікації).
При активації контролю доступу 802.1X на портах комутатора, можливі такі варіанти розвитку подій:
- Якщо клієнт підтримує клієнтське програмне забезпечення, сумісне з 802.1X, а облікові дані надані Заявником є дійсними, то 802.1X автентифікація виконується успішно, і Автентифікатор надає Заявнику доступ до мережі.
- Якщо перевірка автентичності 802.1X провалилась під час очікування обміну повідомленнями EAPOL, Автентифікатор може використовуйте альтернативні методи автентифікації, наприклад, протокол автентифікації за допомогою MAC-адрес (MAB) або вебінтерфейс автентифікації (webauth):
- Якщо включена автентифікація за допомогою MAC-адрес, то комутатор надсилає MAC-адресу клієнта до Серверу автентифікації для авторизації. Якщо MAC-адреса Заявника є дійсною, авторизація виконується успішно і цей Автентифікатор надає Заявнику доступ до мережі.
- Якщо ввімкнена вебавтентифікація, Автентифікатор надсилає клієнту сторінку входу HTTP. Автентифікатор реєструє ім'я користувача та пароль Заявника на сервері Сервері автентифікації для авторизації. Якщо облікові дані є дійсними і вхід в систему вдається, Автентифікатор надає Заявнику доступ до мережі.
- У разі помилки ідентифікації Заявника, а також якщо налаштована гостьова віртуальна мережа (VLAN) налаштований комутатор призначає клієнта гостьовій VLAN, яка надає обмежені послуги.
- Якщо комутатор отримує недійсні облікові дані клієнта, що підтримує стандарт 802.1X, порт залишається в неавторизованому стані та приймає лише EAP пакети.
Автентифікація 802.1X з використанням MAC-адреси
Комутатори для авторизації клієнтів можуть використовувати клієнтську MAC-адресу за допомогою функції обходу MAC-автентифікації. Виправдане використання цієї функції на портах 802.1X, підключених до пристроїв, таких як принтери. Коли на порту 802.1X активовано функцію обходу перевірки автентичності MAC, комутатор використовує MAC-адресу як облікові дані. Сервер автентифікації має базу даних клієнтських MAC-адрес, яким дозволений доступ до мережі. Після виявлення клієнта на порту 802.1X, комутатор чекає Ethernet пакет від клієнта. Автентифікатор надсилає Серверу автентифікації кадр на доступ до мережі, в якому замість імені користувача та паролю використовується MAC-адреса. Якщо на Сервері автентифікації міститься інформація про МАС-адресу, то комутатор надає програмі доступ до мережі. Якщо авторизація не пройдена, то комутатор призначає на порт гостьовий VLAN, якщо він налаштований. Якщо на інтерфейсі під час сеансу включення зустрічається пакет EAPOL, то Автентифікатор визначає пристрій, підключений до цього інтерфейсу, таким, що підтримує 802.1X, та використовує 802.1X автентифікацію з пересиланням ЕАР кадрів для авторизації інтерфейсу. Історія EAPOL очищується, якщо статус інтерфейсу змінюється на «Вимкнено». Якщо Сервер автентифікації вже дозволив обмін даними через порт, використовуючи обхідну автентифікацію за допомогою MAC-адрес і виявляється, що Заявник підтримує протокол 802.1X, то Автентифікатор не змінює статус порту на «не авторизований». При повторній автентифікації комутатор використовує автентифікацію 802.1X як бажаний процес повторної автентифікації. Якщо попередня сесія закінчилася та значення атрибута на Сервері автентифікації припинення дії — DEFAULT, то клієнти, що використовують обхідну автентифікацію по MAC-адресах, можуть бути знову авторизовані. Процес повторної автентифікації такий самий, як і для клієнтів, які були автентифіковані з 802.1X. Протягом повторної автентифікації, порт залишається в раніше визначеній VLAN. Якщо повторна автентифікація буде успішною, то комутатор присвоює VLAN згідно розрахунку.
Див. також
Примітки
- . Архів оригіналу за 12 квітня 2018. Процитовано 11 квітня 2018.
{{}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title () - (PDF). Архів оригіналу (PDF) за 2 листопада 2015. Процитовано 10 квітня 2018.
{{}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title ()
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
IEEE 802 1X protokol kontrolyu dostupu kliyent server sho dozvolyaye vstanovlyuvati avtentichnist ta zaboronyaye pidklyuchatis do lokalnoyi merezhi cherez zagalnodostupni porti komutatora Do togo yak kliyenta bude avtentifikovano zgidno protokolu 802 1X dozvolyayetsya peresilka lishe trafiku Protokolu rozshirenoyi perevirki avtentichnosti cherez lokalnu merezhu Extensible Authentication Protocol over LAN EAPOL cherez port do yakogo pidklyuchenij kliyent Pislya uspishnoyi avtentifikaciyi zvichajnij trafik mozhe prohoditi cherez port Avtentifikaciya 802 1X peredbachaye tri storoni zayavnik supplicant avtentifikator authenticator ta server avtentifikaciyi authentication server Zayavnik ce kliyentskij pristrij napriklad noutbuk yakij pid yednuyetsya do lokalnoyi merezhi abo bezdrotovoyi lokalnoyi merezhi Termin supplicant takozh mozhe poznachati programne zabezpechennya yake pracyuye na kliyentskomu pristroyi ta nadaye oblikovi dani avtentifikatoru Avtentifikator ce merezhevij pristrij takij yak komutator Ethernet abo bezdrotova tochka dostupu Server avtentifikaciyi zazvichaj host yakij pidtrimuye protokoli RADIUS i EAP U deyakih vipadkah programne zabezpechennya servera avtentifikaciyi mozhe pracyuvati na aparatnomu zasobi avtentifikatora Paketi EAP vid Zayavnika do Avtentifikatora inkapsulyuyutsya u frejmi EAPOL vid Avtentifikatora do Servera avtentifikaciyi RADIUSStani portiv802 1X 2001 viznachaye dva logichnih stani dlya portu Avtentifikatora kontrolovanij port i nekontrolovanij port Kontrolovanij port keruyetsya 802 1X PAE Access Entity Port shob dozvoliti u avtorizovanomu stani abo zaboroniti u nesankcionovanomu stani merezhevij trafik yakij peredayetsya abo prijmayetsya cherez cej port Nekontrolovanij port vikoristovuyetsya 802 1X PAE dlya peredachi ta prijomu kadriv EAPOL Proces perevirki avtentichnosti Avtentifikator vidpravlyaye paket EAP Request Identity zayavniku yak tilki vin viyavit sho z yavivsya nesuchij signal napriklad pri pidklyuchenni kliyentskogo obladnannya do portu Zayavnik nadsilaye avtentifikatoru paket EAP Response Identity yakij potim peredayetsya na Server avtentifikaciyi RADIUS Server avtentifikaciyi vidpravlyaye tekstove povidomlennya yake maye zashifruvati Zayavnik avtentifikatoru Avtentifikator z povidomlennya viokremlyuye informaciyu L2 ta inkapsulyuye povidomlennya v kadr EAPOL i vidpravlyaye jogo zayavniku V zalezhnosti vid sposobiv avtentifikaciyi ce povidomlennya a takozh yih kilkist mozhe riznitis EAP pidtrimuye lishe kliyentsku avtentifikaciyu ta dvostoronnyu avtentifikaciyu Lishe dvostoronnya avtentifikaciya vvazhayetsya dorechnoyu pri vstanovlenni pidklyuchennya cherez bezdrotovi merezhi Zayavnik opracovuye povidomlennya cherez avtentifikatora ta peredaye vidpovid na server avtentifikaciyi Yaksho Zayavnik pidtverdzhuye identichnist server avtentifikaciyi vidpovidaye povidomlennyam pro uspishnu avtentifikaciyu yake potim peredayetsya Zayavniku Avtentifikator teper dozvolyaye otrimati dostup do lokalnoyi merezhi mozhlivo obmezhenij na osnovi atributiv povernutih z servera avtentifikaciyi Pri aktivaciyi kontrolyu dostupu 802 1X na portah komutatora mozhlivi taki varianti rozvitku podij Yaksho kliyent pidtrimuye kliyentske programne zabezpechennya sumisne z 802 1X a oblikovi dani nadani Zayavnikom ye dijsnimi to 802 1X avtentifikaciya vikonuyetsya uspishno i Avtentifikator nadaye Zayavniku dostup do merezhi Yaksho perevirka avtentichnosti 802 1X provalilas pid chas ochikuvannya obminu povidomlennyami EAPOL Avtentifikator mozhe vikoristovujte alternativni metodi avtentifikaciyi napriklad protokol avtentifikaciyi za dopomogoyu MAC adres MAB abo vebinterfejs avtentifikaciyi webauth Yaksho vklyuchena avtentifikaciya za dopomogoyu MAC adres to komutator nadsilaye MAC adresu kliyenta do Serveru avtentifikaciyi dlya avtorizaciyi Yaksho MAC adresa Zayavnika ye dijsnoyu avtorizaciya vikonuyetsya uspishno i cej Avtentifikator nadaye Zayavniku dostup do merezhi Yaksho vvimknena vebavtentifikaciya Avtentifikator nadsilaye kliyentu storinku vhodu HTTP Avtentifikator reyestruye im ya koristuvacha ta parol Zayavnika na serveri Serveri avtentifikaciyi dlya avtorizaciyi Yaksho oblikovi dani ye dijsnimi i vhid v sistemu vdayetsya Avtentifikator nadaye Zayavniku dostup do merezhi U razi pomilki identifikaciyi Zayavnika a takozh yaksho nalashtovana gostova virtualna merezha VLAN nalashtovanij komutator priznachaye kliyenta gostovij VLAN yaka nadaye obmezheni poslugi Yaksho komutator otrimuye nedijsni oblikovi dani kliyenta sho pidtrimuye standart 802 1X port zalishayetsya v neavtorizovanomu stani ta prijmaye lishe EAP paketi Avtentifikaciya 802 1X z vikoristannyam MAC adresi Komutatori dlya avtorizaciyi kliyentiv mozhut vikoristovuvati kliyentsku MAC adresu za dopomogoyu funkciyi obhodu MAC avtentifikaciyi Vipravdane vikoristannya ciyeyi funkciyi na portah 802 1X pidklyuchenih do pristroyiv takih yak printeri Koli na portu 802 1X aktivovano funkciyu obhodu perevirki avtentichnosti MAC komutator vikoristovuye MAC adresu yak oblikovi dani Server avtentifikaciyi maye bazu danih kliyentskih MAC adres yakim dozvolenij dostup do merezhi Pislya viyavlennya kliyenta na portu 802 1X komutator chekaye Ethernet paket vid kliyenta Avtentifikator nadsilaye Serveru avtentifikaciyi kadr na dostup do merezhi v yakomu zamist imeni koristuvacha ta parolyu vikoristovuyetsya MAC adresa Yaksho na Serveri avtentifikaciyi mistitsya informaciya pro MAS adresu to komutator nadaye programi dostup do merezhi Yaksho avtorizaciya ne projdena to komutator priznachaye na port gostovij VLAN yaksho vin nalashtovanij Yaksho na interfejsi pid chas seansu vklyuchennya zustrichayetsya paket EAPOL to Avtentifikator viznachaye pristrij pidklyuchenij do cogo interfejsu takim sho pidtrimuye 802 1X ta vikoristovuye 802 1X avtentifikaciyu z peresilannyam EAR kadriv dlya avtorizaciyi interfejsu Istoriya EAPOL ochishuyetsya yaksho status interfejsu zminyuyetsya na Vimkneno Yaksho Server avtentifikaciyi vzhe dozvoliv obmin danimi cherez port vikoristovuyuchi obhidnu avtentifikaciyu za dopomogoyu MAC adres i viyavlyayetsya sho Zayavnik pidtrimuye protokol 802 1X to Avtentifikator ne zminyuye status portu na ne avtorizovanij Pri povtornij avtentifikaciyi komutator vikoristovuye avtentifikaciyu 802 1X yak bazhanij proces povtornoyi avtentifikaciyi Yaksho poperednya sesiya zakinchilasya ta znachennya atributa na Serveri avtentifikaciyi pripinennya diyi DEFAULT to kliyenti sho vikoristovuyut obhidnu avtentifikaciyu po MAC adresah mozhut buti znovu avtorizovani Proces povtornoyi avtentifikaciyi takij samij yak i dlya kliyentiv yaki buli avtentifikovani z 802 1X Protyagom povtornoyi avtentifikaciyi port zalishayetsya v ranishe viznachenij VLAN Yaksho povtorna avtentifikaciya bude uspishnoyu to komutator prisvoyuye VLAN zgidno rozrahunku Div takozhIEEE 802 1AE Avtentifikaciya RADIUSPrimitki Arhiv originalu za 12 kvitnya 2018 Procitovano 11 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya PDF Arhiv originalu PDF za 2 listopada 2015 Procitovano 10 kvitnya 2018 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya