Tweet
Chuẩn 802.1X định nghĩa 1 client va server - dựa theo việc kiểm soát truy cập và giao thức xác thực ,nhằm hạn chế những client không hợp pháp kết nối đến 1 LAN qua các port được public cho truy cập . Server sẽ xác thựcmỗi client kết nối đến 1 switch port và chỉ định port đến 1 VLAN trước khi cho phép chạy các dịch vụ từ switch hoặc LAN .
Cho đến khi client được xác thực, chuẩn kiểm soát truy cập 802.1X chỉ cho phép traffic của giao thức xác thực mở trên LAN (EAPoL) qua port đến client được kết nối đến . Sau khi xác thực thành công, những traffic bình thường có thể qua cổng .
Chuẩn xác thực 802.1X liên quan đến 3 bên : chủ thể thay thế, chủ thể xác thực và server xác thực. Các supplicant là một thiết bị muốn kết nối đến LAN. Thuật ngữ 'thay thế'(supplicant) cũng được sử dụng thay thế cho nhau để chỉ phần mềm chạy trên client cung cấp thông tin xác thực cho trình xác thực . Trình xác thực là một thiết bị mạng, chẳng hạn như switch hoặc access point ; và server xác thực thường là máy chủ RADIUS và giao thức EAP.
******************************HOW IT WORK ?**********************************
Khi 802.1X port-based được enable , những sự kiện sau sẽ diễn ra :
-Nếu client có support 802.1X và việc định danh được client thành công , switch sẽ phân quyền cho client access vào mạng .
-Nếu việc xác thực diễn ra chậm ,trong thời gian chờ thông tin EAPoL vận chuyển ,switch có thể sử dụng 1 phương thức xác thực dự phòng , ví dụ như MAB hoặc web autho ,nếu một hoặc cả 2 cùng được enable :
- Nếu MAB enable , switch chuyển đi địa chỉ MAC của client đến AAA server (vd radius) để cấp quyền . Nếu MAC khả dụng , việc cấp quyền thành công và switch sẽ cho phép client đó vào mạng .
-Nếu webauth enable , switch sẽ gửi 1 trang HTTP login đến client . Switch chuyển username và pass đến server AAA để cấp quyền . Nếu login thành công ,switch sẽ cho phép client vào mạng .
- Nếu phương pháp chứng thực dự phòng không được thiết lập hoặc thiết lập không thành công , và nếu 1 VLAN khách nào đó được cấu hình , switch sẽ chỉ định client đến VLAN đó để cung cấp 1 số dịch vụ giới hạn nào đó .
- Nếu Radius server down và hệ thống bỏ qua những xác thực không thể kết nối , switch sẽ cấp quyền cho client kết nối đến mạng bằng việc đặt port nào đó trong vùng xác thực khẩn cấp ở VLAN được chỉ định.
MÔ HÌNH XÁC THỰC
Switch sẽ tái xác thực cho 1 client nếu :
Sau khi cấu hình 802.1X sử dụng RADIUS ,switch sử dụng bộ đếm thời gian dựa trên các Session –Timout và Termination-Action của server.
Việc vận chuyển gói tin xác thực :
Nếu chúng ta enable việc xác thực trên port bằng lệnh dot1x pae authenticator và authentication port-control auto trong mode config-int . Switch sẽ khởi động tiến trình xác thực khi nó xác định được port chuyển từ down sang up .Switch gửi frame EAP request/indentity đến client để “gửi lời mời” định danh của nó . Khi client nhận được frame ,nó sẽ phản hồi với một frame EAP response/indentity.
Nếu client không nhận được frame request từ switch trong khi bootup , client có thể khởi động chạy xác thực bằng cách gửi 1 start frame EAPoL , nó sẽ nhắc switch gửi 1 request định danh client .
Nếu 802.1X không được enable hoặc không được hỗ trợ , bất kỳ frame EAPoL nào từ client đều bị drop bỏ.
Khi client cung cấp định danh của nó ,switch bắt đầu vai trò như là trung gian ,pass những frame EAP giữa client và server xác thực đến khi quá trình xác thực thành công / thất bại.Xác thực thành công , port được cấp quyền .Nếu fail , quá trình xác thực có thể lặp lại ,port có thể được chỉ định đến 1 VLAN để cung cấp chạy 1 số dịch vụ giới hạn nào đó .
Quá trình trao đổi của các frame EAP phụ thuộc vào phương thức xác thực được sử dụng. Dưới đây là quá trình gói được gửi đi :
Nếu 802.1X hết thời gian xác thực trong khi vẫn đang chờ gói EAPoL chuyển đi , và MAC authentication bypass được bật ,switch có thể cấp quyền cho client khi switch phát hiện 1 packet Ethernet từ client . Switch sử dụng dịa chỉ MAC của client để định danh nó và bao gồm trong đó thông tin trong RADIUS access/request frame – được gửi đến radius server. Sau khi server gửi lại cho switch frame RADIUS access/accept ,port sẽ được cấp quyền .Nếu MAB fail và 1 VLAN nào đó được chỉ định ,switch sẽ chỉ định port đến VLAN đó.Nếu switch phát hiện gói EAPoL trong khi chờ 1 gói Ethernet ,switch sẽ dừng xử lý MAB và bắt đầu lại 802.1X .
EAPoL
EAPoL là một cách đóng gói gói tin xác thực chạy trên LAN , tương tự EAP thì EAPoL có 3 thành phần chính để thiết lập phiên xác thực :Supplicant, authenticator ,authentication server
Cấu trúc frame EAPoL:
Cho đến khi client được xác thực, chuẩn kiểm soát truy cập 802.1X chỉ cho phép traffic của giao thức xác thực mở trên LAN (EAPoL) qua port đến client được kết nối đến . Sau khi xác thực thành công, những traffic bình thường có thể qua cổng .
Chuẩn xác thực 802.1X liên quan đến 3 bên : chủ thể thay thế, chủ thể xác thực và server xác thực. Các supplicant là một thiết bị muốn kết nối đến LAN. Thuật ngữ 'thay thế'(supplicant) cũng được sử dụng thay thế cho nhau để chỉ phần mềm chạy trên client cung cấp thông tin xác thực cho trình xác thực . Trình xác thực là một thiết bị mạng, chẳng hạn như switch hoặc access point ; và server xác thực thường là máy chủ RADIUS và giao thức EAP.
******************************HOW IT WORK ?**********************************
Khi 802.1X port-based được enable , những sự kiện sau sẽ diễn ra :
-Nếu client có support 802.1X và việc định danh được client thành công , switch sẽ phân quyền cho client access vào mạng .
-Nếu việc xác thực diễn ra chậm ,trong thời gian chờ thông tin EAPoL vận chuyển ,switch có thể sử dụng 1 phương thức xác thực dự phòng , ví dụ như MAB hoặc web autho ,nếu một hoặc cả 2 cùng được enable :
- Nếu MAB enable , switch chuyển đi địa chỉ MAC của client đến AAA server (vd radius) để cấp quyền . Nếu MAC khả dụng , việc cấp quyền thành công và switch sẽ cho phép client đó vào mạng .
-Nếu webauth enable , switch sẽ gửi 1 trang HTTP login đến client . Switch chuyển username và pass đến server AAA để cấp quyền . Nếu login thành công ,switch sẽ cho phép client vào mạng .
- Nếu phương pháp chứng thực dự phòng không được thiết lập hoặc thiết lập không thành công , và nếu 1 VLAN khách nào đó được cấu hình , switch sẽ chỉ định client đến VLAN đó để cung cấp 1 số dịch vụ giới hạn nào đó .
- Nếu Radius server down và hệ thống bỏ qua những xác thực không thể kết nối , switch sẽ cấp quyền cho client kết nối đến mạng bằng việc đặt port nào đó trong vùng xác thực khẩn cấp ở VLAN được chỉ định.
MÔ HÌNH XÁC THỰC
Switch sẽ tái xác thực cho 1 client nếu :
- Chu kỳ tái xác thực enable ,và thời gian tái xác thực hết hiệu lực .
Sau khi cấu hình 802.1X sử dụng RADIUS ,switch sử dụng bộ đếm thời gian dựa trên các Session –Timout và Termination-Action của server.
Việc vận chuyển gói tin xác thực :
Nếu chúng ta enable việc xác thực trên port bằng lệnh dot1x pae authenticator và authentication port-control auto trong mode config-int . Switch sẽ khởi động tiến trình xác thực khi nó xác định được port chuyển từ down sang up .Switch gửi frame EAP request/indentity đến client để “gửi lời mời” định danh của nó . Khi client nhận được frame ,nó sẽ phản hồi với một frame EAP response/indentity.
Nếu client không nhận được frame request từ switch trong khi bootup , client có thể khởi động chạy xác thực bằng cách gửi 1 start frame EAPoL , nó sẽ nhắc switch gửi 1 request định danh client .
Nếu 802.1X không được enable hoặc không được hỗ trợ , bất kỳ frame EAPoL nào từ client đều bị drop bỏ.
Khi client cung cấp định danh của nó ,switch bắt đầu vai trò như là trung gian ,pass những frame EAP giữa client và server xác thực đến khi quá trình xác thực thành công / thất bại.Xác thực thành công , port được cấp quyền .Nếu fail , quá trình xác thực có thể lặp lại ,port có thể được chỉ định đến 1 VLAN để cung cấp chạy 1 số dịch vụ giới hạn nào đó .
Quá trình trao đổi của các frame EAP phụ thuộc vào phương thức xác thực được sử dụng. Dưới đây là quá trình gói được gửi đi :
Nếu 802.1X hết thời gian xác thực trong khi vẫn đang chờ gói EAPoL chuyển đi , và MAC authentication bypass được bật ,switch có thể cấp quyền cho client khi switch phát hiện 1 packet Ethernet từ client . Switch sử dụng dịa chỉ MAC của client để định danh nó và bao gồm trong đó thông tin trong RADIUS access/request frame – được gửi đến radius server. Sau khi server gửi lại cho switch frame RADIUS access/accept ,port sẽ được cấp quyền .Nếu MAB fail và 1 VLAN nào đó được chỉ định ,switch sẽ chỉ định port đến VLAN đó.Nếu switch phát hiện gói EAPoL trong khi chờ 1 gói Ethernet ,switch sẽ dừng xử lý MAB và bắt đầu lại 802.1X .
EAPoL
EAPoL là một cách đóng gói gói tin xác thực chạy trên LAN , tương tự EAP thì EAPoL có 3 thành phần chính để thiết lập phiên xác thực :Supplicant, authenticator ,authentication server
Cấu trúc frame EAPoL:
| MAC Header | Ethernet Type | Version | Packet Type | Packet Body Length | Packet Body | Frame Check Sequence |
| 12 bytes | 2 bytes | 1 byte | 1 byte | 2 bytes | variable length | 4 bytes |