Стандарт IEEE 802.1Х (IEEE Std 802.1Х-2010) описывает использование протокола EAP (Extensible Authentication Protocol) для поддержки аутентификации с помощью сервера аутентификации. Стандарт IEEE 802.1Х осуществляет контроль доступа и не позволяет неавторизованным устройствам подключаться к локальной сети через порты коммутатора.

 

Сервер аутентификации Remote Authentication in Dial-In User Service (RADIUS) проверяет права доступа каждого клиента, подключаемого к порту коммутатора, прежде чем разрешить доступ к любому из сервисов, предоставляемых коммутатором или локальной сетью.

 

В стандарте IEEE 802.1X определены три роли устройств в общей схеме аутентификации:

Клиент (Client/Supplicant) — это рабочая станция, которая запрашивает доступ к локальной сети и отвечает на запросы коммутатора. На рабочей станции должно быть установлено клиентское ПО для 802.1Х, например, то, которое встроено в ОС клиентского компьютера или установлено дополнительно. 

 

Сервер аутентификации (Authentication Server) выполняет фактическую аутентификацию клиента. Он проверяет подлинность клиента и информирует коммутатор о предоставлении или отказе клиенту в доступе к локальной сети. Служба RADIUS является клиент/серверным приложением, при работе которого информация об аутентификации передается между сервером RADIUS и клиентами RADIUS.

 

Аутентификатор (Authenticator) управляет физическим доступом к сети, основываясь на статусе аутентификации клиента. Эту роль выполняет коммутатор. Он работает как посредник (Proxy) между клиентом и сервером аутентификации: получает запрос на проверку подлинности от клиента, проверяет данную информацию при помощи сервера аутентификации и пересылает ответ клиенту. Коммутатор реализует функциональность клиента RADIUS, который отвечает за инкапсуляцию и деинкапсуляцию кадров EAP и взаимодействие с сервером аутентификации.

 

Коммутаторы D-Link поддерживают две реализации аутентификации 802.1Х:

Если порт работает в режиме multi-host и аутентифицирован один из узлов, подключенных к порту, то всем другим узлам будет разрешен доступ к порту. Согласно аутентификации 802.1Х, если повторная аутентификация завершается неудачно или аутентифицированный пользователь выходит из учетной записи, порт будет блокироваться на период молчания (quiet period). Порт восстановит обработку пакетов EAPOL после периода молчания.

 

Если порт работает в режиме multi-auth, каждый узел должен проходить аутентификацию индивидуально для доступа к порту. Узел представлен своим МАС-адресом. Доступ к сети будет только у авторизованных узлов.

 

Функция 802.1Х Guest VLAN используется для создания гостевой VLAN с ограниченными правами для пользователей, не прошедших аутентификацию. Когда клиент подключается к порту коммутатора с активированной аутентификацией 802.1Х и функцией Guest VLAN, происходит процесс аутентификации (локально или удаленно с использованием сервера RADIUS). В случае успешной аутентификации клиент будет помещен в VLAN назначения (Target VLAN) в соответствии c предустановленным на сервере RADIUS параметром VLAN. Если этот параметр не определен, то клиент будет возвращен в первоначальную VLAN (в соответствии с настройками порта подключения).

 

В том случае, если клиент не прошел аутентификацию, он помещается в Guest VLAN с ограниченными правами доступа.

 

Рассматриваемый пример настройки подходит для следующих серий коммутаторов: DGS-1250, DGS-1510, DGS-1520, DGS-3130, DGS-3630, DXS-3610.

 

В локальной сети необходимо обеспечить аутентификацию пользователей при подключении их к сети.

Задача решается настройкой аутентификации 802.1X в режиме multi-host на портах коммутаторах.

Кроме коммутатора, нужно настроить RADIUS-сервер и 802.1X-клиент на рабочей станции. В качестве RADIUS-сервера может использоваться различное ПО, например, freeradius для OC Linux.

 

Рис. 1 Схема подключения

 

Рис. 2 Служба Проводная автонастройка

Рис. 3 Запуск службы Проводная автонастройка

Рис. 4 Окно Проверка подлинности

Рис. 5 Настройка свойств защищённого EAP

Рис. 6 Настройка свойств защищённого EAP

 

Рис. 7 Настройка проверки подлинности пользователя

 

 

 

 

В локальной сети необходимо обеспечить аутентификацию пользователей при их подключении к сети через неуправляемый коммутатора.

Задача решается настройкой аутентификации 802.1X в режиме multi-auth на портах управляемого коммутатора.

 

Рис. 8 Схема подключения

 

 

 

В локальной сети необходимо обеспечить аутентификацию пользователей при их подключении к сети. До прохождения успешной аутентификации, или в случае её неуспеха, пользователь должен получать доступ в «гостевую» VLAN.

 

Задача решается настройкой 802.1X Guest VLAN на коммутаторе.  Неаутентифицированным пользователям, находящимся в VLAN 10, разрешен доступ в Интернет. После успешной аутентификации пользователей, порты к которым они подключены, будут добавлены в VLAN 20.

 

Рис. 9 Схема подключения