double arrow
Роли устройств в стандарте 802.1Х

В стандарте IEEE 802.1X определены три роли устройств в общей схеме аутентификации:

· Клиент (Client/Supplicant);

· Аутентификатор (Authenticator);

· Сервер аутентификации (Authentication Server).

Клиент (Client/Supplicant)– это рабочая станция, которая запрашивает доступ к локальной сети и отвечает на запросы коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1Х, например, то, которое встроено в ОС клиентского компьютера или установлено дополнительно.


Рис. 8.12. Клиент 802.1Х

Сервер аутентификации (Authentication Server)выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор о предоставлении или отказе клиенту в доступе к локальной сети. Служба RADIUS (Remote Authentication Dial - In User Service) является клинт/серверным приложением, при работе которого информация об аутентификации передается между сервером RADIUS и клиентами RADIUS.

Рис. 8.13. Сервер аутентификации

Аутентификатор (Authenticator)управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации: получает запрос на проверку подлинности от клиента, проверяет данную информацию при помощи сервера аутентификации и пересылает ответ клиенту. Коммутатор реализует функциональность клиента RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.

Рис. 8.14. Аутентификатор




Инициировать процесс аутентификации может коммутатор или клиент.

Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР-ответ со


своей идентификацией, коммутатор начинает играть роль посредника, предающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.

Схема обмена ЕАР-кадрами зависит от используемого метода аутентификации. На рис. 8.15 показана схема обмена, инициируемого клиентом, причем сервер RADIUS использует метод аутентификации One-Time-Password (OTP).

Рис. 8.15. Процесс аутентификации 802.1Х

Коммутаторах D-Link поддерживают две реализации аутентификации 802.1Х:

· Port-Based 802.1Х (802.1Х на основе портов);

· MAC-Based 802.1Х (802.1Х на основе МАС-адресов).






Сейчас читают про: