Составители:
Рубрика:
Если аутентификация завершилась успешно, порт коммутатора
становится авторизованным. Схема обмена ЕАР кадрами зависит от
используемого метода аутентификации.
Аутентификация 802.1х может быть выполнена как на основе МАС-
адресов, так и на основе портов:
- При аутентификации 802.1x на основе MA C-адресов сервер
проверяет не только имя пользователя/пароль, но и максимальное
количество MAC-адресов, доступных для работы. Если предел
достигнут, то он блокирует новый MAC-адрес.
- При аутентификации 802.1x на основе портов, после того, как порт
был авторизован, любой пользователь, подключенный к порту,
может получить доступ к локальной сети.
3.5. Состояние портов коммутатора
Состояние порта коммутатора определяется тем, получил или не
получил клиент право доступа к сети. Первоначально порт находится в
неавторизованном состоянии. В этом состоянии он запрещает
прохождение всего входящего и исходящего трафика за исключением
пакетов протокола 802.1х. Когда клиент аутентифицирован, порт
переходит в авторизованное состояние, позволяя передачу любого трафика
от него. Возможны варианты, когда клиент или коммутатор не
поддерживают 802.1х. Если клиент, который не поддерживает 802.1х,
подключается к неавторизованному порту 802.1х, коммутатор посылает
клиенту запрос на авторизацию. Поскольку в этом случае, клиент не
ответит на запрос, порт останется в неавторизованном состоянии и клиент
не получит доступ к сети.
В другом случае, когда клиент с поддержкой 802.1х подключается к
порту, на котором не запущен протокол 802.1х, клиент начинает процесс
аутентификации, посылая кадр EAPOLstart. Не получив ответа, клиент
посылает запрос определенное количество раз. Если после этого ответ не
получен, клиент, считая, что порт находится в авторизованном состоянии,
начинает посылать кадры. В случае, когда и клиент и коммутатор
поддерживают 802.1х, при успешной аутентификации клиента, порт
переходит в авторизованное состояние и начинает передавать все кадры
клиента. Если в процессе аутентификации возникли ошибки, порт остается
в неавторизованном состоянии, но аутентификация может быть
восстановлена.
Если сервер аутентификации не может быть достигнут, коммутатор
может повторно передать запрос. Если от сервера не получен ответ после
определенного количества попыток, в доступе к сети будет отказано из-за
ошибок аутентификации. Когда клиент завершает сеанс работы, он
посылает сообщение EAPOL-logoff, переводящее порт коммутатора в
неавторизованное состояние. Если состояние канала связи порта переходит
47
Страницы
- « первая
- ‹ предыдущая
- …
- 45
- 46
- 47
- 48
- 49
- …
- следующая ›
- последняя »
