16
Аутентификация портов
Вданной главе описаны методы аутентификации IEEE 802.1x и по MAC-адресам.
16.1Обзор аутентификации портов
Механизм аутентификации портов позволяет проверять права доступа клиентов к портам коммутатора с использованием внешнего сервера (сервера аутентификации). Данный коммутатор поддерживает следующие методы аутентификации портов:
•IEEE 802.1x2 – предусматривает проверку прав доступа к портам на сервере аутентификации с использованием имени пользователя и пароля, предоставленных пользователем.
•По MAC-адресам – предусматривает проверку прав доступа к портам с использованием MAC-адреса и пароля пользователя.
Проверка прав пользователя в каждом из способов аутентификации осуществляется с использованием протокола RADIUS (Remote Authentication Dial In User Service, RFC 2138, 2139). Дополнительную информацию о настройках сервера RADIUS можно найти
в разд. 23.1.2 на стр. 202.
"Если включить на одном и том же порту и аутентификацию по IEEE 802.1x, и аутентификацию по MAC-адресам, то коммутатор в первую
очередь осуществляет аутентификацию по стандарту IEEE 802.1x. В
случае невозможности осуществить аутентификацию пользователя по стандарту IEEE 802.1x доступ к порту будет запрещен.
2.На момент написания данного руководства стандарт IEEE 802.1x поддерживался не всеми операционными системами. Обратитесь к документации по операционной системе. Если операционная система не поддерживает стандарт 802.1x, может потребоваться установка программного обеспечения клиента 802.1x.
Руководство пользователя по серии ES-3124
151 |
Глава 16 Аутентификация портов
16.1.1 Аутентификация на основе IEEE 802.1x
Процесс проверки прав пользователя, подключающегося к порту с активированным механизмом аутентификации IEEE 802.1x, показан на следующем рисунке. Данный коммутатор запрашивает у клиента информацию для входа в систему в виде имени пользователя и пароля. После получения от клиента параметров входа в систему коммутатор отправляет запрос на аутентификацию на сервер RADIUS. Сервер RADIUS проверяет, обладает ли данный клиент правом доступа к данному порту.
Рисунок 70 Процесс аутентификации на основе IEEE 802.1x
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Новое подключение |
|
|
2 |
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Запрос информации |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
3 для входа в систему |
|
|
4 |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
Параметры входа |
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
в систему |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
Запрос на |
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
аутентификацию |
5 |
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ответ с результатом |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
аутентификации |
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
Сеанс разрешается/запрещается |
|
|
|
|||||||||||||
16.1.2 Аутентификация по MAC-адресам
Аутентификация по MAC-адресам работает практически так же, как и аутентификация по стандарту IEEE 802.1x. Основное различие заключается в том, что коммутатор не запрашивает у пользователя параметров входа. Параметрами входа являются MACадрес пользователя, подключающегося к порту коммутатора, а также пароль, настроенный на коммутаторе специально для аутентификации по MAC-адресам.
152 |
Руководство пользователя по серии ES-3124