Сегодня мы рассмотрим подраздел 1.7a и раздел 5.4 темы экзамена ICND2. Эти темы носят описательный характер, то есть Cisco не требует от вас их глубокого изучения.
Вам просто нужно знать, что означают стандарт 802.1X и семейство протоколов AAA. 
Давайте посмотрим на устройство Cisco и вспомним, как мы залогинились на таком устройстве.
Каждый раз для входа в устройство Cisco мы настраивали пароль на линиях VTY, которые обеспечивают доступ к устройству через Telnet. Это означает, что по умолчанию IOS включает команду входа в систему и начинает поиск строки пароля VTY. Если вы введете локальный вход в систему, система начнет искать локальный пароль, настроенный для имени пользователя.
Поэтому, если вы перейдете в режим глобальной конфигурации и введете имя пользователя «Имран» и пароль «Имран», а затем перейдете к строке VTY и наберете «login local», система будет искать локальный пароль, который представляет собой установленное вами имя пользователя и пароль.
Проблема в том, что обе эти конфигурации настраиваются локально на устройстве, и если в вашей организации тысяча пользователей, каждому из этих устройств придется запомнить тысячу имен пользователей и паролей.
Если у вас 1000 устройств, то на каждом из них будет 1000 имен пользователей и 1000 паролей.
Представьте себе, каково было бы установить такое количество паролей на тысячу или даже сотню устройств.
Критерии безопасности требуют частой смены паролей.
Если вам нужно сменить пароль для 1000 пользователей, вам нужно зайти на каждое из сотен или тысяч устройств и сделать это вручную.
Это невообразимо огромный объем работы.
Существует оптимальный способ централизованной настройки устройств Cisco. Это семейство протоколов ААА (Аутентификация, Авторизация, Учет), обеспечивающее 3 функции — аутентификация, авторизация и учет. 
Предположим, у нас есть центральный сервер, на котором размещена база данных имен пользователей и паролей, а также ваш коммутатор Cisco. Когда пользователь пытается войти на устройство Cisco, коммутатор не ищет эти данные в своей памяти, а пытается подключиться к AAA-серверу.
Найдя там данные пользователя, он позволяет ему авторизоваться в системе.
Если у нас таких устройств тысяча, то доступ к ним настраивается через ААА-сервер, и где бы вы ни собирались заходить на такое устройство, оно всегда будет сверять ваш логин и пароль с этим сервером.
Если вам нужно сменить пароль, вы входите на сервер, производите настройки, и настройки применяются ко всем устройствам в вашей сети.
AAA в основном использует два протокола — RADIUS и TACACS+.
RADIUS — это протокол аутентификации и авторизации удаленных пользователей, описанный в рабочих предложениях RFC 2865-2866. Предложения по работе собираются под эгидой открытой организации «Интернет-сообщество», где каждый может внести предложения по улучшению работы любого программного продукта.
Это довольно старый протокол, разработанный еще в 1991 году.
Он в основном используется для аутентификации пользователей сети и использует порты UDP 1645/1646, а более новые устройства используют порты 1812/1813. RADIUS поддерживает 3 функции: аутентификацию, авторизацию EXEC и учет EXEC. Аутентификация дает вам возможность получить или запретить доступ к устройству, а авторизация разрешает или запрещает вам выполнять определенные действия, например вводить определенные команды на устройстве.
Это зависит от уровня предоставленных вам привилегий, то есть определяет, что вы сможете делать после того, как получите доступ к устройству.
Учет означает запись всех команд, которые вы вводите на устройстве, тем самым обеспечивая соблюдение предоставленных вам разрешений.
TACACS+ — это протокол сеанса, с помощью которого центральный сервер AAA решает, разрешить ли пользователю подключение к сети.
Это расширенная версия собственного протокола Cisco TACACS и открытый общедоступный стандарт. В основном он используется для управления устройствами пользователей, например, можете ли вы подключиться к принтеру и что вы можете делать с этим принтером.
Этот протокол использует TCP и порт 49. Если у вас есть межсетевой экран между устройством и сервером AAA, соответствующий порт RADIUS или TACACS+ должен быть помещен в исключения, то есть трафику UDP или TCP должен быть разрешен доступ к нему.
Поэтому очень важно знать номер порта для работы этих протоколов.
TACACS+ поддерживает больше функций, чем RADIUS, например аутентификацию команд. В EXEC Authorization сначала нужно указать уровень привилегий пользователя, например Priv 15 или Priv10, то есть указать, например, какие команды может использовать пользователь, авторизованный на Priv 10. TACACS+ использует более детальный уровень авторизации, то есть у вас есть возможность указать конкретные команды, которые пользователь может или не может использовать, например, указав, что пользователь Priv 15 не может использовать команды управления протоколом маршрутизации.
То есть на уровне авторизации команд можно указать, какие команды пользователь может использовать, а какие ему запрещено использовать.
Аналогичная ситуация и с функцией «Учет команд» — вы можете точно настроить, какие команды пользователя нужно записывать в журнал, а какие игнорировать.
Давайте посмотрим на типичный переключатель.
Женщина на снимке работает с ноутбуком, подключенным к розетке.
Если помните, в одном из видеоуроков ICND1 мы обсуждали PortSecurity, которая блокирует порт в зависимости от MAC-адреса устройства.
Например, если для определенного порта указан конкретный MAC-адрес, то если к этому порту будет подключено устройство с другим MAC-адресом, порт будет заблокирован.
Это не очень удобно, так как на практике иногда нужно предоставить доступ пользователю, MAC-адресу устройства которого не разрешена работа с данным портом, а каждый раз настраивать разрешенные MAC-адреса слишком сложно.
Вы не хотите, чтобы люди злоупотребляли этим портом, но в то же время вы не хотите запрещать доступ всем.
В этом случае вам необходимо использовать протокол EAP стандарта 802.1X — это основа аутентификации для p2p-сетей.
Если у вас есть порт физического коммутатора, скажем, сетевая розетка подключена патч-кордом к 48-портовому коммутатору, то вы можете настроить каждый из этих портов для работы с 802.1X. 
При этом любой трафик DHCP, TFTP, HTTP и т. д. будет отклонен.
будет заблокирован, за исключением трафика по специальному протоколу EAPoL или расширяемому протоколу аутентификации по локальной сети.
Этот трафик пойдет на AAA-сервер, и если имя пользователя и пароль соответствуют уровню доступа, порт коммутатора будет открыт. После этого весь ранее запрещенный DHCP, TFTP, KRB5, HTTP-трафик будет разрешен к отправке получателю.
Если имя пользователя и пароль не соответствуют условиям доступа, ничего не изменится — весь трафик, кроме трафика EAPoL, по-прежнему будет запрещен для этого порта.
Это самое простое объяснение того, что делает стандарт 802.1X. Давайте посмотрим на процесс этого стандарта, который состоит из 3 компонентов.
Первый компонент — это заявитель, пользователь, которому необходимо пройти сетевую аутентификацию.
Обычно под Supplicant подразумевается специальное программное обеспечение, входящее во многие современные операционные системы.
Если ваша ОС ее не содержит, вам потребуется установить такую программу.
Он позволяет подключаться к доступному порту коммутатора по протоколу 802.1X. Переключатель — это второй компонент, называемый «аутентификатором».
Он расположен между заявителем и третьим компонентом — сервером аутентификации.
Сначала весь пользовательский трафик блокируется портом коммутатора, поскольку у устройства нет даже IP-адреса, ведь вся связь с аутентификатором осуществляется только по протоколу EAPoL. Программное обеспечение заявителя создает кадр EAPoL и отправляет его аутентификатору.
Он создает новый IP-пакет. Если используется RADIUS, то это будет UDP-пакет, если TACACS+, то TCP-пакет, в который помещается кадр EAPoL. Пакет отправляется на сервер аутентификации, который проверяет правильность логина и пароля и разрешает или запрещает пользователю.
Давайте посмотрим на процесс более подробно.
Все начинается со стартового сообщения устройства, но не все устройства его отправляют. Но даже если устройство пользователя подключается к порту без такого сообщения, аутентификатор все равно отправляет ему запрос на идентификацию.
В зависимости от ваших настроек Cisco Authenticator отправляет этот запрос каждые несколько минут или секунд. Если устройство отправит сообщение «Пуск», запрос идентификации коммутатора будет отправлен немедленно.
Далее устройство пользователя отправляет идентификационный ответ, который содержит имя пользователя, например, Имран, и этот кадр отправляется аутентификатору.
Он берет имя «Имран», помещает его в IP-пакет и отправляет на сервер аутентификации.
Это сообщение называется запросом доступа.
Сервер говорит: «Отлично, я получил имя пользователя «Имран», теперь пришлите мне его пароль» и отправляет соответствующий запрос доступа аутентификатору.
Не беспокойтесь о том, чтобы углубляться в этот процесс, поскольку темы 802.1X, рассматриваемые в курсе ICND2, носят описательный характер.
Аутентификатор отправляет соответствующий запрос заявителю, который высылает ему пароль.
Здесь есть нюансы: пользователь не может отправить пароль на сервер в виде простого текстового сообщения; здесь требуется туннелирование с использованием шифрования.
В этом случае Заявитель должен использовать протокол аутентификации TLS или PIP — Protected IP или MS-CHAP. Таким образом, устройство пользователя отправляет пароль по зашифрованному туннелю, и он принимается сервером аутентификации внутри запроса доступа.
Если пароль правильный, сервер отправляет обратно разрешение на доступ.
Если проверка прошла успешно, аутентификатор отправляет пользователю сообщение об успехе, после чего порт открывается, чтобы разрешить прохождение трафика.
Это процесс перевода порта из состояния фильтрации, или отключения, в открытое состояние с использованием протоколов стандарта сетевой аутентификации 802.1X. Можно сказать, что этот фреймворк обеспечивает более высокий уровень безопасности доступа к сети, чем стандартный PortSecurity. 
Этот стандарт широко используется для устройств беспроводного доступа, когда к такому устройству для доступа к сети подключаются несколько ноутбуков.
Беспроводное устройство, или точка доступа, подключается к серверу аутентификации и организует доступ пользователей к сети.
В зависимости от используемого протокола (RADIUS или TACACS+) пользовательским устройствам разрешено работать в определенной VLAN. Например, после аутентификации ноутбук 1 может использовать для связи VLAN 100, а ноутбук 2 — VLAN 200. Все эти параметры можно настроить с помощью упомянутых протоколов аутентификации 802.1X. Спасибо, что остаетесь с нами.
Вам нравятся наши статьи? Хотите увидеть больше интересных материалов? Поддержите нас, разместив заказ или порекомендовав друзьям, Скидка 30% для пользователей Хабра на уникальный аналог серверов начального уровня, который мы придумали для вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от 20$ или как правильно расшарить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40 ГБ DDR4).
Dell R730xd в 2 раза дешевле? Только здесь 2 x Intel TetraDeca-Core Xeon, 2 x E5-2697v3, 2,6 ГГц, 14C, 64 ГБ DDR4, 4 твердотельных накопителя по 960 ГБ, 1 Гбит/с, 100 ТВ от 199 долларов США в Нидерландах! Dell R420 — 2x E5-2430, 2,2 ГГц, 6C, 128 ГБ DDR3, 2 твердотельных накопителя по 960 ГБ, 1 Гбит/с, 100 ТБ — от 99 долларов США! Прочтите об этом Как построить корпоративную инфраструктуру класса, используя серверы Dell R730xd E5-2650 v4 стоимостью 9000 евро за копейки? Теги: #cisco #cisco #Сетевые технологии #Хостинг #ИТ-инфраструктура #CCNA #CCNA #CCNA #CCNA #CCNA #CCNA #CCNA
-
Осторожно: Злоумышленники
19 Oct, 24 -
Пишем Ос С Нуля: Часть 2 — 32 Лучше 16
19 Oct, 24 -
Как Образуются Пробки
19 Oct, 24 -
Инфографика Будущего Мобильных Платежей
19 Oct, 24 -
Мобильный Devops На Практике
19 Oct, 24 -
Супер Муравейник На Clojureclr
19 Oct, 24
