рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

Протокол IEEE 802.1х

Протокол IEEE 802.1х - раздел Политика, Технологии построения сетей Ethernet. Правление потоком в полнодуплексном режиме. Зеркалирование портов. Объединение портов в магистральные линии связи. Виртуальные сети Протокол Ieee 802.1Х Является Механизмом Безопасности, Обеспечивающим Аутенти...

Протокол IEEE 802.1х является механизмом безопасности, обеспечивающим аутентификацию и авторизацию пользователей и тем самым ограничивающим доступ проводных или беспроводных устройств к покальной сети. Работа протокола базируется на клиентсерверной модели контроля доступа (рисунок 49). В качестве сервера аутентификации используется RADIUS-сервер. При этом весь процесс аутентификации пользователя производится в проводных сетях на основе протокола EAPOL (Extensible Authentication Protocol over LAN), в беспроводных - на основе протокола EAPOW (Extensible Authentication Protocol over Wireless).

Рисунок 49.

 

До тех пор, пока клиент не будет аутентифицирован, протокол IEEE 802.1х будет пропускать через сетевой порт только трафик протокола EAPOL. После успешной аутентификации обычный трафик будет пропускаться через порт. Работа протокола IEEE 802.1х основывается на трёх компонентах (рисунок 49), каждая из которых подробно рассмотрена в следующем разделе.

7.1. Роли устройств

Клиент — это рабочая станция, которая запрашивает доступ к локальной сети и сервисам коммутатора и отвечает на запросы коммутатора. На рабочей станции должно быть установлено клиентское ПО, реализующее протокол 802.1х (в ОС Microsoft Windows ХР данное ПО является встроенным).

Сервер аутентификации выполняет фактическую аутентификацию клиента, проверяя подлинность клиента и информируя коммутатор, предоставлять или нет клиенту доступ к локальной сети.

Коммутатор (также называется аутентификатор) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Коммутатор работает как посредник между клиентом и сервером аутентификации, получая запрос на проверку подлинности от клиента, проверяя данную информацию при помощи сервера аутентификации, и пересылая ответ клиенту. ПО коммутатора включает клиента RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров ЕАР и взаимодействие с сервером аутентификации.

7.2. Процесс аутентификации

Инициировать процесс аутентификации может коммутатор или клиент. Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР - ответ со своей идентификацией, коммутатор начинает играть роль посредника, передающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизован-
ным.

Рисунок 50. Временная диаграмма аутентификации клиента в сети.

 

Временная диаграмма обмена ЕАР-кадрами зависит от используемого метода аутентификации. На рисунке 50 показана схема обмена, инициируемая клиентом, использующая метод аутентификации с использованием одноразовых паролей (One Time Password, OTP) сервером RADIUS.

7.3. Состояние портов коммутатора

Состояние порта коммутатора определяется тем, получил или не получил клиент право доступа к сети. Первоначально порт находится в неавторизованном состоянии. В этом состоянии он запрещает прохождение всего входящего и исходящего трафика за исключением пакетов протокола IEEE 802.1х. Когда клиент аутентифицирован, порт переходит в авторизованное состояние, позволяя передачу любого трафика от него.

Возможны варианты, когда клиент или коммутатор не поддерживают протокол IEEE 802.1х. Если клиент, который не поддерживает протокол IEEE 802.1х, подключается к неавторизованному порту, коммутатор посылает клиенту запрос на аутентификацию. Поскольку в этом случае клиент не ответит на запрос, порт останется в неавторизованном состоянии и клиент не получит доступ к сети.

В другом случае, когда клиент с поддержкой протокола IEEE 802.1х подключается к порту, на котором не запущен протокол IEEE 802.1х, клиент начинает процесс аутентификации, посылая кадр EAPOL-start. Не получив ответа, клиент посылает запрос определённое количество раз. Если после этого ответ не получен, клиент, считая, что порт находится в авторизованном состоянии начинает посылать кадры.

В случае, когда и клиент и коммутатор поддерживают протокол IEEE 802.1х, при успешной аутентификации клиента, порт переходит в авторизованное состояние и начинает передавать все кадры клиента. Если в процессе аутентификации возникли ошибки, порт остаётся в неавторизованном состоянии, но аутентификация может быть восстановлена. Если сервер аутентификации не может быть достигнут, коммутатор может повторно передать запрос. Если от сервера не получен ответ после определённого количества попыток, то в доступе к сети будет отказано из-за ошибок аутентификации.

Когда клиент завершает сеанс работы, он посылает сообщение EAPOL-logoff, переводящее порт коммутатора в неавторизованное состоянии. Если состояние канала связи порта переходит из активного (up) в неактивное (down), то порт также возвращается в неавторизованное состояние.

7.4. Методы контроля доступа при использовании протокола IEEE 802.1х

Протокол IEEE 802.1х предоставляет два метода контроля доступа к сети:

1. На основе портов (Port-Based Access Control). При использовании данного метода достаточно, чтобы только один любой пользователь, подключенный к порту коммутатора, был авторизован. Тогда порт перейдёт в авторизованное состояние и доступ к сети получат любые пользователи, подключенному к данному порту.

2. На основе МАС-адресов (MAC-Based Access Control). При использовании данного метода при аутентификации также учитывается МАС-адрес клиента, подключенного к порту, и порт авторизуется только для клиента с конкретным МАС-адресом.

Контроль доступа на основе портов

Изначально протокол IEEE 802.1х разрабатывался с учётом того, что к порту коммутатора подключено не более одного устройства (рисунок 51). Как только устройство успешно проходило процедуру аутентификации, порт переходил в авторизованное состояние и далее пропускал весь трафик до тех пор, пока не наступало событие, которое обратно переводило его в неавторизованное состояние. Следовательно, если порт коммутатора подключен не к одному устройству, а к сегменту локальной сети, то успешная аутентификация любого устройства из этого сегмента открывает доступ в сеть всем остальным устройствам из сегмента. Естественно, это является серьёзной проблемой с точки зрения безопасности.

Рисунок 51.

 

Контроль доступа на основе МАС-адресов

Для того, чтобы успешно использовать протокол IEEE 802.1х в распределённых локальных сетях, необходимо создавать логические порты - по одному логическому порту на каждое устройство, подключенное к физическому порту. Таким образом, физический порт представляет собой множество логических портов, каждый из которых независимо контролирует отдельное устройство-клиента с точки зрения аутентификации и авторизации. Принадлежность устройства к определённому логическому порту осуществляется на основе МАС-адреса устройства (рисунок 52). Таким образом, устраняется проблема безопасности доступа множества устройств через один физический порт коммутатора.

Рисунок 52.


III. Технологии передачи данных в сетях TCP/IP
1. Адресация в IP-сетях

В стеке протоколов TCP/IP используется три типа адресов:

1. МАС-адрес - идентификационный номер сетевого адаптера или порта маршрутизатора, например, 00-60-17-3D-BC-01. Эти адреса назначаются производителями оборудования и являются уникальными, так как управляются централизовано. Для всех существующих технологий локальных сетей МАС-адрес имеет формат 6 байтов: старшие 3 байта - идентификатор фирмы производителя, а младшие 3 байта назначаются уникальным образом самим производителем.

2. Доменный адрес. Имеет иерархическую структуру и несет смысловую нагрузку, поскольку предназначен для удобства запоминания пользователем. Такой адрес состоит из нескольких частей, например, имени машины, имени организации, имени домена. Называется также DNS-именем. Например, www.susu.ac.ru.

3. Сетевой адрес. Для сетей, поддерживающих стек протоколов TCP/IP, это IP-адрес. IP-адрес имеет длину 4 байта и обычно записывается в виде четырех чисел, представляющих значения каждого байта в десятичной форме, и разделенных точками, например: 193.233.81.15 - традиционная десятичная форма представления адреса.

IP-адресация поддерживает двухуровневую иерархию. Адрес делится на две части - номер сети, и номер узла в этой сети. Для разделения двух частей адреса используется маска - двоичное число, которое содержит единицы в разрядах, интерпретируемых как номер сети. Например, маска 255.255.255.0 (11111111. 11111111. 11111111. 00000000) для адреса 193.66.39.214 означает, что в этом адресе первые три байта будут определять номер сети, а остальные - адрес узла. Таким образом, адрес сети - 193.66.39.0. Иногда для записи маски используют следующий формат: 193.66.39.214/24. Такая запись означает, что маска содержит 24 единицы, то есть под адрес сети отведено 24 разряда.

Существует соглашение о специальных адресах. Расшифровка особых адресов приведена в таблице 2.1.

Таблица 2.1 - Специальные IP-адреса

 

Вид адреса Пример Назначение
Все нули 0.0.0.0 Адрес того узла, который сгенерировал пакет
(номер сети).(все нули) 230.154.17.0 Данная IP-сеть
(все нули).(номер узла) 0.0.0.192 Узел в данной IP-сети

Продолжение таблицы 2.1
Вид адреса Пример Назначение
(номер сети).(все единицы) 230.154.17.255 Все узлы данной IP-сети. Па- кет, имеющий такой адрес рассылается всем узлам сети с заданным номером. Такая рассылка называется широ- ковещательной
Все единицы 255.255.255.255 Все узлы в той же сети, что и пославший пакет. Ограни- ченная широковещательная рассылка
127.(что угодно) 127.0.0.1 Петля. Адрес узла, послав- шего пакет. Используется для тестирования процессов в пределах одной машины

 

Для установления соответствия между MAC и IP-адресами используется протокол разрешения адреса - Address Resolution Protocol, ARP.

Таблица 2.2 - Пример ARP таблицы
Адрес IP Физический адрес Тип
210.30.50.186 00-80-48-a3-fe-72 Динамический
210.30.50.42 00-80-48-е b-65-d6 Статический

 

Статические записи создаются вручную администратором, а динамические – средствами протокола ARP.


– Конец работы –

Эта тема принадлежит разделу:

Технологии построения сетей Ethernet. Правление потоком в полнодуплексном режиме. Зеркалирование портов. Объединение портов в магистральные линии связи. Виртуальные сети

Научно производственное предприятие Учебная техника Профи.. Учебно лабораторный стенд..

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Протокол IEEE 802.1х

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Управление потоком в полнодуплексном режиме (IEEE 802.Зх Flow Control in full-duplex compliant)
Дуплексный режим работы требует наличия такой дополнительной функции, как управление потоком. Она позволяет принимающему узлу (например, порту сетевого коммутатора)в случае переполнение буфера дать

Виртуальные сети (Virtual LAN)
Виртуальная ЛВС (VLAN, Virtual LAN) - логическая группа компьютеров в пределах одной реальной ЛВС, за пределы которой не выходит любой тип трафика (широковещательный [broadcast], многоадресный [mul

Протоколы связующего дерева (Spanning Tree Protocols)
Для обеспечения надежности работы сети зачастую необходимо использовать резервные линии связи. Базовые протоколы локальных сетей поддерживают только древовидные, то есть не содержащие замкнутых кон

Основы коммутации третьего уровня
8.1. Причины появления Маршрутизаторы - устройства сложные и оказываются дороже, чем коммутаторы при том же уровне производительности. А из-за задержек на обработку информации маршрутизато

Версии SIM
Существуют следующие версии SIM: 1.0, 1.5 и 1.6. Ниже они будут рассмотрены в сравнении. Версии 1.0 и 1.5 Версия SIMvl .5 предлагает следующие улучшения по сравнению с верс

Сегментация трафика (Traffic Segmentation)
Сегментация трафика служит для разграничения портов на Канальном уровне. Данная функция позволяет настраивать порты или группу портов таким образом, чтобы они были изолированы друг от друга, но в т

Протокол IGMP
2.1. Рассылка групповых сообщений в сети Internet Рассылка групповых сообщений IP (IP-мультикастинг) предоставляет приложениям два сервиса: 1. Доставка к нескольким пункт

IP-маршрутизация
Основная задача любой сети - транспортировка информации от ЭВМ-отправителя к ЭВМ-получателю В большинстве случаев для этого нужно совершить несколько пересылок. Проблему выбора пути решают алгоритм

Основные термины 1Р-маршрутизации. Автономные системы
Автономной системой называют такую локальную сеть или систему сетей, которые имеют единую администрацию и общую маршрутную политику. Концепция автономных систем предполагает разбиение сети на отдел

Сравнение маршрутизации по вектору расстояния и маршрутизации с учетом состояния канала связи
Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В больших сетях они засоряют линии связи интенсивным широковещательным трафиком. К тому же изменения конфигурации могут от

Протокол маршрутизации RIP
Протокол RIP является одним из первых, которые были использованы в информационно - вычислительных сетях вообще и в сети Internet - в частности. Этот протокол маршрутизации предназначен для сравните

Протокол маршрутизации OSPF
Протокол OSPF (Open Shortest Path First, RFC-1245-48, RFC-1370, RFC-1583-1587, RFC-1850, RFC-2328-29, RFC-3137) является стандартным протоколом маршрутизации для использования в системах сетей IP л

Алгоритм маршрутизации. Формат таблицы маршрутизации.
Структура таблицы маршрутизации (ТМ) содержит всю информацию, необходимую для перенаправления IP датаграммы к месту назначения. Каждая запись ТМ описывает набор лучших маршрутов к какому-либо месту

Модель безопасности USM
Модель безопасности USM (User-Based Security Model) использует концепцию авторизованного сервера (authoritative Engene). При любой передаче сообщения одна или две сущности, передатчик или приемник,

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги