В стандарте IEEE 802.1X определены три роли устройств в общей схеме аутентификации:
· Клиент (Client/Supplicant);
· Аутентификатор (Authenticator);
· Сервер аутентификации (Authentication Server).
Клиент (Client/Supplicant) – это рабочая станция, которая запрашивает доступ к локальной сети и отвечает на запросы коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1Х, например, то, которое встроено в ОС клиентского компьютера или установлено дополнительно.
Рис. 8.12. Клиент 802.1Х
Сервер аутентификации (Authentication Server) выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор о предоставлении или отказе клиенту в доступе к локальной сети. Служба RADIUS (Remote Authentication Dial - In User Service) является клинт/серверным приложением, при работе которого информация об аутентификации передается между сервером RADIUS и клиентами RADIUS.
Рис. 8.13. Сервер аутентификации
Аутентификатор (Authenticator) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации: получает запрос на проверку подлинности от клиента, проверяет данную информацию при помощи сервера аутентификации и пересылает ответ клиенту. Коммутатор реализует функциональность клиента RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.
|
|
Рис. 8.14. Аутентификатор
Инициировать процесс аутентификации может коммутатор или клиент.
Клиент инициирует аутентификацию, посылая кадр EAPOL-start, который вынуждает коммутатор отправить ему запрос на идентификацию. Когда клиент отправляет ЕАР-ответ со
своей идентификацией, коммутатор начинает играть роль посредника, предающего кадры ЕАР между клиентом и сервером аутентификации до успешной или неуспешной аутентификации. Если аутентификация завершилась успешно, порт коммутатора становится авторизованным.
Схема обмена ЕАР-кадрами зависит от используемого метода аутентификации. На рис. 8.15 показана схема обмена, инициируемого клиентом, причем сервер RADIUS использует метод аутентификации One-Time-Password (OTP).
Рис. 8.15. Процесс аутентификации 802.1Х
Коммутаторах D-Link поддерживают две реализации аутентификации 802.1Х:
· Port-Based 802.1Х (802.1Х на основе портов);
· MAC-Based 802.1Х (802.1Х на основе МАС-адресов).