Сетевое железо - статьи


Сетевая аутентификация на практике - часть 2


Стандарт 802.1x описывает процедуру передачи EAP-сообщений сервером доступа (например, коммутатором или беспроводной точкой доступа) в проводных или беспроводных Ethernet-сетях. При этом стандарт 802.1x напрямую упаковывает EAPсообщения в Ethernet-кадры, не применяя для их передачи протокол PPP. Это вызвано тем, что использовать протокол PPP во многих случаях не обязательно – например, при подключении Ethernet-рабочей станции, не поддерживающей протокол TCP/IP, или в том случае, когда использование протокола PPP является избыточным.

В стандарте 802.1x определяется три основных элемента:

  • аппликант – пользователь, который нуждается в сетевой аутентификации;
  • сервер аутентификации – обычно RADIUSсервер, который производит фактическую аутентификацию;
  • аутентификатор – сетевое устройство, находящееся между аппликантом и сервером аутентификации и предоставляющее доступ в сеть, например, точка доступа или Ethernetкоммутатор.

Ключевым моментом здесь является то, что сетевые устройства – аутентификаторы – могут быть достаточно простыми, поскольку для реализации функций 802.1x в них требуются минимальные аппаратные затраты, в то время как весь интеллект концентрируется в RADIUS-сервере. Такая схема имеет дополнительные выгоды и позволяет организовать тесную интеграцию управления сетевым оборудованием и сетевым ПО, что значительно облегчает управление информационной системой большого предприятия в целом. Протокол передачи EAP-сообщений в стандарте 802.1x называется EAPOL (EAP encapsulation over LAN) и в настоящее время определен для Ethernet ЛВС, а также беспроводных сетей стандартов серии IEEE 802.11 и ЛВС, использующих технологии token ring и FDDI.

Схема работы протокола EAPOL достаточно проста. При этом можно выделить следующие основные режимы работы:

  1. Аутентификатор посылает запрос на аутентификацию (EAP-Request/Identity) аппликанту, как только он определит, что какой-то из его Ethernetпортов перешел в активное состояние (link active), то есть к нему подключен сетевой адаптер.


    Начало  Назад  Вперед