Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • 802.1X bắt đầu phiên xác thực như thế nào? Ai là người "gõ cửa" trước?

    802.1X bắt đầu phiên xác thực như thế nào? Ai là người "gõ cửa" trước?


    Một trong những điều thú vị của 802.1X là:
    Ai sẽ bắt đầu quá trình xác thực? Máy tính hay switch?

    Câu trả lời là:

    Cả hai đều có thể chủ động khởi tạo.

    Đây là điểm giúp 802.1X hoạt động linh hoạt trên hầu hết các hệ điều hành và thiết bị mạng hiện nay.
    Kịch bản 1 – Switch là người hỏi trước (phổ biến nhất)


    Trong đa số mạng doanh nghiệp, Authenticator (Switch hoặc Wireless LAN Controller) sẽ chủ động bắt đầu.

    Ngay khi cổng Ethernet chuyển từ Down sang Up, switch phát hiện có thiết bị mới kết nối và không mở cổng ngay. Thay vào đó, nó gửi bản tin:

    EAP Request/Identity

    Hiểu đơn giản, switch đang hỏi:
    "Bạn là ai? Hãy chứng minh danh tính trước khi vào mạng."

    Supplicant trên máy tính sẽ phản hồi bằng:

    EAP Response/Identity

    để gửi thông tin nhận dạng và khởi động phiên xác thực.

    Nếu cổng vẫn chưa được xác thực, switch sẽ tiếp tục gửi yêu cầu theo chu kỳ.
    Kịch bản 2 – Máy tính chủ động "gõ cửa"


    Không phải lúc nào switch cũng là người mở đầu.

    Nếu khi khởi động mà Supplicant không nhận được bản tin EAP Request/Identity, nó sẽ chủ động gửi:

    EAPOL-Start

    Đây giống như lời nhắn:
    "Tôi muốn xác thực để được vào mạng."

    Ngay sau đó, switch sẽ phản hồi bằng EAP Request/Identity và quy trình tiếp tục như bình thường.

    Đó là lý do Cisco mô tả:
    802.1X Authentication can be initiated by either the Supplicant or the Authenticator.

    Sau khi gửi Identity thì chuyện gì xảy ra?


    Khi Supplicant gửi xong thông tin nhận dạng, Switch không tự xác thực.

    Thay vào đó, nó đóng vai trò người trung gian (Proxy) giữa thiết bị đầu cuối và Authentication Server (ví dụ Cisco ISE).

    Toàn bộ các bản tin EAP sẽ được:
    • Nhận từ Supplicant.
    • Đóng gói vào RADIUS.
    • Gửi đến ISE.
    • Nhận phản hồi.
    • Tháo lớp RADIUS và chuyển lại thành EAPOL cho Supplicant.

    Quá trình này lặp lại cho đến khi Authentication Server đưa ra quyết định cuối cùng.
    Khi nào cổng mạng được mở?


    Nếu Authentication Server trả về:

    Access-Accept

    Switch sẽ chuyển cổng sang trạng thái:

    Authorized

    Lúc này lưu lượng IP mới được phép đi qua. Đồng thời, switch có thể áp dụng các chính sách động như:
    • Dynamic VLAN.
    • Downloadable ACL (dACL).
    • Security Group Tag (SGT).
    • Role-Based Access Control (RBAC).

    Ngược lại, nếu nhận Access-Reject, cổng vẫn ở trạng thái Unauthorized và tiếp tục chặn lưu lượng.
    Một chi tiết rất dễ bị bỏ qua


    Nếu Switch không hỗ trợ hoặc chưa bật 802.1X, các bản tin EAPOL-Start từ Supplicant sẽ bị bỏ qua.

    Sau ba lần gửi mà không nhận được phản hồi, nhiều hệ điều hành sẽ cho rằng mạng này không triển khai 802.1X và bắt đầu truyền lưu lượng như trên một mạng thông thường.

    Điều này không có nghĩa là thiết bị đã được xác thực, mà chỉ phản ánh hành vi của Supplicant khi không phát hiện cơ chế 802.1X ở phía mạng.
    Kết luận


    Điểm hay của 802.1X là không quan trọng ai "gõ cửa" trước. Dù Switch chủ động gửi EAP Request/Identity hay máy tính khởi tạo bằng EAPOL-Start, mục tiêu cuối cùng vẫn giống nhau: mọi thiết bị phải chứng minh danh tính trước khi được phép truyền gói IP đầu tiên.

    Chính cơ chế "xác thực trước, cấp quyền sau" này đã biến 802.1X thành nền tảng của Network Access Control (NAC), Cisco ISE, Software-Defined Access (SDA) và kiến trúc Zero Trust. Trong một mạng doanh nghiệp hiện đại, cổng switch không còn là nơi "cắm là có mạng", mà là trạm kiểm soát an ninh đầu tiên bảo vệ toàn bộ hạ tầng phía sau.
    Attached Files
    Đặng Quang Minh, CCIE#11897 (Enterprise Infrastructure, Wireless, Automation, AI), CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/
Working...
X