Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giao thức 802.1X trên Cisco ISE (Phần 1)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giao thức 802.1X trên Cisco ISE (Phần 1)

    Quay trở lại năm 2001, IEEE đã chuẩn hóa một giải pháp cho kiểm soát truy cập mạng dựa trên cổng, được gọi là 802.1X. Nó đã được dự đoán sẽ cách mạng hóa mạng như chúng ta đã biết và sẽ không có thiết bị nào có thể cắm và liên lạc trên mạng mà không cần người dùng tự nhận dạng và được ủy quyền lại. Chà, chúng ta ở đây, gần hai thập kỷ sau, và 802.1X trên mạng có dây mới thực sự bắt đầu bắt kịp. 802.11, thường được gọi là Wi-Fi, thực sự chấp nhận 802.1X và việc áp dụng 802X trong thế giới không dây đã diễn ra từ lâu trước khi áp dụng trong thế giới có dây.
    Trước khi tìm hiểu về 802.1X là gì hoặc cách thức hoạt động, tốt nhất bạn nên xem lại Giao thức xác thực mở rộng (EAP), một thành phần không thể thiếu của 802.1X. EAP là một khung xác thực xác định việc vận chuyển và sử dụng thông tin nhận dạng. EAP đóng gói tên người dùng, mật khẩu, chứng chỉ, mã thông báo, mật khẩu một lần, và do đó khách hàng gửi cho mục đích xác thực.

    EAP đã trở thành tiêu chuẩn thực tế của các giao thức xác thực. Nó được sử dụng cho nhiều khác nhau các phương thức xác thực bao gồm VPN, nhưng quan trọng nhất là tiêu chuẩn IEEE 802.1X xác định việc sử dụng EAP qua LAN (EAPoL).

    IEEE 802.1X (thường được gọi là Dot1x) được định nghĩa là một tiêu chuẩn cho điều khiển truy cập mạng dựa trên cổng của mạng Cameron cho các mạng cục bộ và mạng khu vực đô thị. Tiêu chuẩn hóa của khung xác thực dựa trên mạng là chất xúc tác cho tất cả các mạng dựa trên danh tính mà chúng ta thấy ngày nay. Có ba thành phần chính cho 802.1X: chất thay thế, bộ xác thực và máy chủ xác thực, như được minh họa trong hình 2-33 và được mô tả trong Bảng 2-2.






    Trong khi xem xét Hình 2-33 và Bảng 2-2, hãy nhớ rằng trình xác thực (công tắc hoặc WLC) hoạt động như người trung gian hoặc proxy. Việc trao đổi và xác thực danh tính EAP thực tế đang diễn ra giữa máy chủ thay thế và máy chủ xác thực. Công tắc hoặc WLC không biết loại EAP nào đang được sử dụng hoặc nếu thông tin đăng nhập của người dùng là hợp lệ; nó chỉ đơn giản lấy khung EAP chưa sửa đổi và gói nó trong gói RADIUS được gửi đến máy chủ xác thực và ủy quyền cho cổng nếu máy chủ xác thực báo cho nó biết. Do đó, bản thân xác thực EAP hoàn toàn trong suốt đối với trình xác thực.

    Trong khi xem xét Hình 2-33 và Bảng 2-2, hãy nhớ rằng trình xác thực (công tắc hoặc WLC) hoạt động như người trung gian hoặc proxy. Việc trao đổi và xác thực danh tính EAP thực tế đang diễn ra giữa máy chủ thay thế và máy chủ xác thực. Công tắc hoặc WLC không biết loại EAP nào đang được sử dụng hoặc nếu thông tin đăng nhập của người dùng là hợp lệ; nó chỉ đơn giản lấy khung EAP chưa sửa đổi và gói nó trong gói RADIUS được gửi đến máy chủ xác thực và ủy quyền cho cổng nếu máy chủ xác thực báo cho nó biết. Do đó, bản thân xác thực EAP hoàn toàn trong suốt đối với trình xác thực.



    Việc xác thực có thể được bắt đầu bởi người xác thực hoặc người thay thế. Trình xác thực bắt đầu xác thực khi trạng thái liên kết thay đổi từ xuống lên hoặc định kỳ miễn là cổng vẫn hoạt động và không được xác thực. Công tắc sẽ gửi khung yêu cầu / nhận dạng EAP đến điểm cuối để yêu cầu danh tính của nó. Khi nhận được khung, ứng dụng khách Thay thế phản hồi với khung EAPresponse / danh tính. Tuy nhiên, các cải tiến đã được thực hiện để cho phép người thay thế kích hoạt trình xác thực để yêu cầu nhận dạng bằng cách gửi tin nhắn EAPoL_Start bất cứ lúc nào. Cải tiến này cung cấp cho trải nghiệm người dùng cuối tốt hơn nhiều với 802.1X.
    Last edited by Tín Phan; 12-03-2020, 12:27 AM.
Working...
X