MAB hoạt động như thế nào? Vì sao switch vẫn biết đó là máy in hay camera?
Một câu hỏi rất hay khi học MAB là:
Câu trả lời là:
Switch sẽ nhận diện thiết bị thông qua địa chỉ MAC.
Nhìn thì đơn giản, nhưng phía sau là một quy trình gồm bốn bước rất chặt chẽ.
Bước 1 – Thử 802.1X trước
Trong phần lớn doanh nghiệp, 802.1X luôn là lựa chọn ưu tiên.
Ngay khi cổng mạng có tín hiệu Link Up, switch sẽ gửi bản tin EAP Request/Identity để xem thiết bị có hỗ trợ 802.1X hay không.
Nếu nhận được phản hồi, quá trình 802.1X tiếp tục như bình thường.
Nếu sau nhiều lần gửi mà vẫn không có phản hồi, switch kết luận đây là thiết bị không có Supplicant và chuyển sang MAB.
Đây là lý do MAB thường được gọi là kế hoạch B của 802.1X.
Bước 2 – "Xin" một gói tin để học địa chỉ MAC
Khi bắt đầu MAB, switch không mở hoàn toàn cổng mạng.
Nó chỉ mở vừa đủ để nhận một gói tin đầu tiên.
Từ gói tin này, switch học được địa chỉ MAC nguồn của thiết bị.
Điểm thú vị là sau khi lấy được địa chỉ MAC, switch sẽ hủy luôn gói tin đó. Mục đích của gói tin đầu tiên không phải để truyền dữ liệu mà chỉ để giúp switch biết thiết bị nào đang kết nối.
Sau đó, switch đóng gói địa chỉ MAC vào một bản tin RADIUS Access-Request và gửi đến Cisco ISE để kiểm tra.
Lưu ý, switch không học MAC từ các frame điều khiển như CDP, LLDP, STP hay DTP, vì đây không phải là lưu lượng của thiết bị đầu cuối.
Bước 3 – Cisco ISE quyết định
Cisco ISE tra cứu địa chỉ MAC trong cơ sở dữ liệu.
Nếu MAC hợp lệ, ISE trả về Access-Accept.
Ngoài việc mở cổng, ISE còn có thể gửi thêm các chính sách như:
Nếu MAC không tồn tại hoặc không được phép truy cập, ISE trả về Access-Reject.
Tùy cấu hình, switch có thể chuyển sang Web Authentication, đưa thiết bị vào Guest VLAN hoặc tiếp tục chặn truy cập.
Bước 4 – Ghi nhận phiên kết nối
Sau khi thiết bị được cấp quyền, switch gửi bản tin RADIUS Accounting-Request đến Cisco ISE.
Thông tin này được dùng để:
Kết luận
Quy trình MAB gồm bốn bước: Initiation, MAC Address Learning, Authorization và Accounting. Dù đơn giản hơn 802.1X, MAB vẫn tuân theo đầy đủ mô hình AAA. Điểm khác biệt nằm ở chỗ thay vì xác thực người dùng bằng tài khoản hoặc chứng chỉ số, MAB sử dụng địa chỉ MAC của thiết bị làm thông tin định danh. Vì vậy, MAB đặc biệt phù hợp với các thiết bị như máy in, camera IP, điện thoại IP, cảm biến và IoT, đồng thời đóng vai trò cơ chế dự phòng trong các mạng doanh nghiệp triển khai Cisco ISE và Network Access Control (NAC).
Một câu hỏi rất hay khi học MAB là:
Nếu thiết bị không hỗ trợ 802.1X, Switch làm sao biết đó là ai?
Câu trả lời là:
Switch sẽ nhận diện thiết bị thông qua địa chỉ MAC.
Nhìn thì đơn giản, nhưng phía sau là một quy trình gồm bốn bước rất chặt chẽ.
Bước 1 – Thử 802.1X trước
Trong phần lớn doanh nghiệp, 802.1X luôn là lựa chọn ưu tiên.
Ngay khi cổng mạng có tín hiệu Link Up, switch sẽ gửi bản tin EAP Request/Identity để xem thiết bị có hỗ trợ 802.1X hay không.
Nếu nhận được phản hồi, quá trình 802.1X tiếp tục như bình thường.
Nếu sau nhiều lần gửi mà vẫn không có phản hồi, switch kết luận đây là thiết bị không có Supplicant và chuyển sang MAB.
Đây là lý do MAB thường được gọi là kế hoạch B của 802.1X.
Bước 2 – "Xin" một gói tin để học địa chỉ MAC
Khi bắt đầu MAB, switch không mở hoàn toàn cổng mạng.
Nó chỉ mở vừa đủ để nhận một gói tin đầu tiên.
Từ gói tin này, switch học được địa chỉ MAC nguồn của thiết bị.
Điểm thú vị là sau khi lấy được địa chỉ MAC, switch sẽ hủy luôn gói tin đó. Mục đích của gói tin đầu tiên không phải để truyền dữ liệu mà chỉ để giúp switch biết thiết bị nào đang kết nối.
Sau đó, switch đóng gói địa chỉ MAC vào một bản tin RADIUS Access-Request và gửi đến Cisco ISE để kiểm tra.
Lưu ý, switch không học MAC từ các frame điều khiển như CDP, LLDP, STP hay DTP, vì đây không phải là lưu lượng của thiết bị đầu cuối.
Bước 3 – Cisco ISE quyết định
Cisco ISE tra cứu địa chỉ MAC trong cơ sở dữ liệu.
Nếu MAC hợp lệ, ISE trả về Access-Accept.
Ngoài việc mở cổng, ISE còn có thể gửi thêm các chính sách như:
- Dynamic VLAN.
- Downloadable ACL (dACL).
- Security Group Tag (SGT).
Nếu MAC không tồn tại hoặc không được phép truy cập, ISE trả về Access-Reject.
Tùy cấu hình, switch có thể chuyển sang Web Authentication, đưa thiết bị vào Guest VLAN hoặc tiếp tục chặn truy cập.
Bước 4 – Ghi nhận phiên kết nối
Sau khi thiết bị được cấp quyền, switch gửi bản tin RADIUS Accounting-Request đến Cisco ISE.
Thông tin này được dùng để:
- Theo dõi ai đang kết nối.
- Ghi nhật ký phiên làm việc.
- Phục vụ kiểm toán và điều tra sự cố.
- Thống kê việc sử dụng mạng.
Kết luận
Quy trình MAB gồm bốn bước: Initiation, MAC Address Learning, Authorization và Accounting. Dù đơn giản hơn 802.1X, MAB vẫn tuân theo đầy đủ mô hình AAA. Điểm khác biệt nằm ở chỗ thay vì xác thực người dùng bằng tài khoản hoặc chứng chỉ số, MAB sử dụng địa chỉ MAC của thiết bị làm thông tin định danh. Vì vậy, MAB đặc biệt phù hợp với các thiết bị như máy in, camera IP, điện thoại IP, cảm biến và IoT, đồng thời đóng vai trò cơ chế dự phòng trong các mạng doanh nghiệp triển khai Cisco ISE và Network Access Control (NAC).