IEEE 802.1X
IEEE 802.1X — стандарт Института инженеров электротехники и электроники, описывающий процесс инкапсуляции данных EAP, передаваемых между запрашивающими устройствами (клиентами), системами, проверяющими подлинность (коммутаторами, точками беспроводного доступа), и серверами проверки подлинности (RADIUS).
Стандарт IEEE 802.1X определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к коммутатору. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, которые предоставляет ему коммутатор. До тех пор, пока компьютер не аутентифицировался, он может использовать только протокол EAPOL (англ. extensible authentication protocol over LAN) и только после успешной аутентификации весь остальной трафик сможет проходить через тот порт коммутатора, к которому подключен данный компьютер.
Когда компьютер подключается к порту, коммутатор определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты IEEE 802.1X. Состояние порта в этом случае остается помеченным как неавторизованное (англ. unauthorized). Если клиент успешно проходит проверку, то порт переходит в авторизованное состояние (англ. authorized).
Если коммутатор запрашивает у клиента его ID, а тот не поддерживает IEEE 802.1X, порт остаётся в неавторизованном состоянии. Если же клиент поддерживает IEEE 802.1X и инициирует процесс аутентификации методом отправки кадра EAPOL-start, а коммутатор не поддерживает IEEE 802.1X (и, естественно, не отвечает) — клиент просто начинает нормально обмениваться трафиком. Если же оба поддерживают IEEE 802.1X, процесс происходит следующим образом. Аутентификация начинается, когда на порту устанавливается физическое соединение, либо когда получен кадр EAPOL-start. Коммутатор запрашивает идентификацию пользователя и начинает транслировать кадры аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят с сервера специальный кадр — accept frame), порт коммутатора переходит в авторизованное состояние. Если нет — порт остаётся в неавторизованном состоянии, но попытка аутентификации может быть повторена. Если сервер недоступен, коммутатор пытается достучаться до него снова. Если не получено никакого ответа от сервера через определённый отрезок времени — аутентификация не проходит. Отключаясь, клиент посылает кадр EAPOL-logoff, что переводит порт в неавторизованное состояние.
Ссылки
- 802.1X-2004. Port based network access control (англ.). IEEE802.org. — Официальный сайт о группе стандартов IEEE 802. (Дата обращения: 12 сентября 2012)
- IEEE Std 802.1X-2001. Port-based network access control (англ.) (PDF, 1097 КБ; требуется заполнение формы). IEEE Standards Association. (Дата обращения: 12 сентября 2012)
- IEEE Std 802.1X-2004 (revision of IEEE Std 802.1X-2001). Port-based network access control (англ.) (PDF, 1007 КБ; требуется заполнение формы). IEEE Standards Association. (Дата обращения: 12 сентября 2012)
- Colin Weaver. Using 802.1X port authentication to control who can connect to your network (англ.). ITdojo, Inc., 31 января 2005 г. (Дата обращения: 12 сентября 2012)
- Wired networking with 802.1X authentication (англ.). TechNet. (Дата обращения: 12 сентября 2012)