Перейти до

Снифферы в сети: продолжение с 802ю1х


Рекомендованные сообщения

Вопрос собственно: баловался ли кто-нибудь 802ю1х? В последнее время очень многие относительно дешевые свичи (планеты, длинки и прочая, обладающие зачатками интеллекта) умеют и 802.1х, и сами забивать возможный мак для каждого порта и др. возможности, которые могут помочь с этим бороться. Но это все в теории. Кто-ибудь реально пытался тестировать эти возможности? Как ведут себя свичи в таких ситуациях? что у них с пропукной способностью (получится ли реально сотка между клиентами в пределах одного свича)?

Ссылка на сообщение
Поделиться на других сайтах
  • 8 months later...
Для этого ещё придётся запускать RADIUS...

причем тут радиус? речь идет о порт секюрити... в принципе юзаем на конечных точках на свитчах des-2108/2110

там ограничение 60 маков на девайс.... в принципе хватает даже если за свитчем стоит ещё несколько мыльниц

Ссылка на сообщение
Поделиться на других сайтах
Для этого ещё придётся запускать RADIUS...

причем тут радиус? речь идет о порт секюрити... в принципе юзаем на конечных точках на свитчах des-2108/2110

там ограничение 60 маков на девайс.... в принципе хватает даже если за свитчем стоит ещё несколько мыльниц

Аутентификация пользователя проходит через RADIUS-сервер

Ссылка на сообщение
Поделиться на других сайтах
Аутентификация пользователя проходит через RADIUS-сервер

Угу, а солнце - желтое

 

Какое отношение имеет аунтификация к 802.1х???

с 802.1х начинают возится когда хотят закрыть одну часть подсети от другой, когда хотят привязать mac-ip, и т.д.

Опишите, что ли, для чего вы видите радиус?

Может речь идет о VlANах?

Ссылка на сообщение
Поделиться на других сайтах
Угу, а солнце - желтое

 

Какое отношение имеет аунтификация к  802.1х???

с  802.1х начинают возится когда хотят закрыть одну часть подсети от другой, когда хотят привязать mac-ip, и т.д.

  Опишите, что ли, для чего вы видите радиус?

Может речь идет о VlANах?

Стандарт IEEE 802.1x определяет протокол контроля доступа и аутентификации, который ограничивает права неавторизованных компьютеров, подключенных к свичу. Сервер аутентификации проверяет каждый компьютер перед тем, как тот сможет воспользоваться сервисами, который предоставляет ему свич. До того, как комп аутентифицировался он может использовать только протокол EAPOL (Extendible Authentication Protocol over LAN) и только после успешного "логина" весь остальной траффик сможет проходить через тот порт свича, к которому подключен данный комп.

 

Когда комп подключается к порту, свич определяет, разрешён ли доступ для данного компьютера в сеть. Если нет, то пропускает только пакеты 802.1x. Состояние порта в этом случае unauthorized. Если клиент успешно проходит проверку, то порт переходит в состояние authorized.

 

Если свич запрашивает у клиента его ID, а тот не поддерживает 802.1x, порт остаётся в состоянии unauthorized.

 

Если же клиент поддерживает 802.1x и инициирует процес аутентификации методом отправки фрейма EAPOL-start, а свич не поддерживает 802.1x (и, естественно, не отвечает) - клиент просто начинает нормально обмениваться трафиком.

 

Если же оба поддерживают 802.1x процесс происходит следующим образом. Аутентификация начинается тогда, когда порт поднимается либо когда получен фрейм EAPOL-start. Свич запрашивает идентификацию пользователя и начинает транслировать фреймы аутентификации между клиентом и сервером аутентификации. Если клиент успешно аутентифицировался (был принят Accept frame с сервера), порт свича переходит в состояние authorized. Если Если нет - порт остаётся в состоянии unauthorized, но попытка аутентификации может быть повторена. Если сервер не доступен, свич пытается достучаться до него снова. Если не получено никакого ответа от сервера через определённый отрезок времени - аутентификация не проходит.

 

Когда клиент отключается, он посылает EAPOL-logoff, что переводит порт в состояние unauthorized.

 

 

Источник знаний: курс CCNP3 v.4.0

Ссылка на сообщение
Поделиться на других сайтах

Port-MAC привязка это не 802.1x. Порт-Мак привязка - это port security, Вы ж сами в этом посте так говорили. А я описал именно технологию, основанную на 802.1x

Ссылка на сообщение
Поделиться на других сайтах
  • 2 years later...

Все тоже самое, просто кто-то есть в сети, считающий себя суепр крутым закером... Нада еси его вычислят, нада нгадавать ему по башке и выгнать из сети...

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...