borik 4 Posted 2006-03-15 18:53:51 Share Posted 2006-03-15 18:53:51 Вопрос собственно: баловался ли кто-нибудь 802ю1х? В последнее время очень многие относительно дешевые свичи (планеты, длинки и прочая, обладающие зачатками интеллекта) умеют и 802.1х, и сами забивать возможный мак для каждого порта и др. возможности, которые могут помочь с этим бороться. Но это все в теории. Кто-ибудь реально пытался тестировать эти возможности? Как ведут себя свичи в таких ситуациях? что у них с пропукной способностью (получится ли реально сотка между клиентами в пределах одного свича)? Link to post Share on other sites
dreed 0 Posted 2006-12-15 18:13:13 Share Posted 2006-12-15 18:13:13 Теретически ты прав это возможно но , на своей практике не было случаем Link to post Share on other sites
Queeq 0 Posted 2006-12-16 16:27:09 Share Posted 2006-12-16 16:27:09 Для этого ещё придётся запускать RADIUS... Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-12-16 19:58:48 Share Posted 2006-12-16 19:58:48 Для этого ещё придётся запускать RADIUS... причем тут радиус? речь идет о порт секюрити... в принципе юзаем на конечных точках на свитчах des-2108/2110 там ограничение 60 маков на девайс.... в принципе хватает даже если за свитчем стоит ещё несколько мыльниц Link to post Share on other sites
Profi the same 1 Posted 2006-12-16 20:06:32 Share Posted 2006-12-16 20:06:32 на наге это подробно обсуждается, я имею ввиду емпромку. Link to post Share on other sites
Queeq 0 Posted 2006-12-17 12:14:14 Share Posted 2006-12-17 12:14:14 Для этого ещё придётся запускать RADIUS... причем тут радиус? речь идет о порт секюрити... в принципе юзаем на конечных точках на свитчах des-2108/2110 там ограничение 60 маков на девайс.... в принципе хватает даже если за свитчем стоит ещё несколько мыльниц Аутентификация пользователя проходит через RADIUS-сервер Link to post Share on other sites
Mutant 0 Posted 2006-12-17 12:24:00 Share Posted 2006-12-17 12:24:00 Аутентификация пользователя проходит через RADIUS-сервер Угу, а солнце - желтое Какое отношение имеет аунтификация к 802.1х??? с 802.1х начинают возится когда хотят закрыть одну часть подсети от другой, когда хотят привязать mac-ip, и т.д. Опишите, что ли, для чего вы видите радиус? Может речь идет о VlANах? Link to post Share on other sites
Max 0 Posted 2006-12-17 12:26:22 Share Posted 2006-12-17 12:26:22 кстати для этого тоже пишется модуль ВПН, тоесть будет полностью поддерживаться протокол радиуса, а это (MPD,POPTOP,802.1x,PPPOE и т.д.) Link to post Share on other sites
Queeq 0 Posted 2006-12-17 13:23:27 Share Posted 2006-12-17 13:23:27 Угу, а солнце - желтое Какое отношение имеет аунтификация к 802.1х??? с 802.1х начинают возится когда хотят закрыть одну часть подсети от другой, когда хотят привязать mac-ip, и т.д. Опишите, что ли, для чего вы видите радиус? Может речь идет о VlANах? Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к свичу. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему свич. До того, как комп аутентифицировался он может использовать только протокол EAPOL (Extendible Authentication Protocol over LAN) и только после успешного "логина" весь остальной траффик сможет проходить через тот порт свича, к которому подключен данный комп. Когда комп подключается к порту, свич определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802.1x. Состояние порта в этом случае unauthorized. Если клиент успешно проходит проверку, то порт переходит в состояние authorized. Если свич запрашивает у клиента его ID, а тот не поддерживает 802.1x, порт остаётся в состоянии unauthorized. Если же клиент поддерживает 802.1x и инициирует процес аутентификации методом отправки фрейма EAPOL-start, а свич не поддерживает 802.1x (и, естественно, не отвечает) - клиент просто начинает нормально обмениваться трафиком. Если же оба поддерживают 802.1x процесс происходит следующим образом. Аутентификация начинается тогда, когда порт поднимается либо когда получен фрейм EAPOL-start. Свич запрашивает идентификацию пользователя и начинает транслировать фреймы аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят Accept frame с сервера), порт свича переходит в состояние authorized. Если Если нет - порт остаётся в состоянии unauthorized, но попытка аутентификации может быть повторена. Если сервер не доступен, свич пытается достучаться до него снова. Если не получено никакого ответа от сервера через определённый отрезок времени - аутентификация не проходит. Когда клиент отключается, он посылает EAPOL-logoff, что переводит порт в состояние unauthorized. Источник знаний: курс CCNP3 v.4.0 Link to post Share on other sites
Den_LocalNet 1,474 Posted 2006-12-17 15:46:46 Share Posted 2006-12-17 15:46:46 Ну и зачем эта заморочка если достаточно port-mac привязка в домашней сети? Link to post Share on other sites
Queeq 0 Posted 2006-12-17 17:28:03 Share Posted 2006-12-17 17:28:03 Port-MAC привязка это не 802.1x. Порт-Мак привязка - это port security, Вы ж сами в этом посте так говорили. А я описал именно технологию, основанную на 802.1x Link to post Share on other sites
Munigas 0 Posted 2009-06-01 20:27:49 Share Posted 2009-06-01 20:27:49 Все тоже самое, просто кто-то есть в сети, считающий себя суепр крутым закером... Нада еси его вычислят, нада нгадавать ему по башке и выгнать из сети... Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now