Exposé de système - La norme 802.1x
Les ports d'accès
L'état d'un port varie en fonction du résultat de la requete d'accès.
Les états d'un port
Il existe deux états possibles:
-
- Authorized
- Dans ce cas le port est passant pour tout le traffic
-
- Unauthorized
- Dans ce cas le port est bloquant pour tout le traffic
Controle des ports
On peut spécifier dès le début, le comportement par défaut d'un port.
-
- force-authorized
- Correspond à une désactivation de 802.1x, le port se comporte comme un port normal, toujours dans l’état authorized.
-
- force-unauthorized
- Refus de toutes les authentifications, le port reste dans l’état unauthorized.
-
- auto
- En fonction du résultat de l’authentification, le port se positionne dans l’un des deux états possibles.
Voyons maintenant les différents changements d'états.
Passage en mode Authorized
- Blocage en force-authorized,
- Authentification réussie d’un client supportant l’authentification 802.1x,
- Authorized(GUEST-VLAN), pour un client ne supportant pas l’authentification 802.1x.
Passage en mode Unauthorized
- Blocage en force-unauthorized,
- Mauvaise authentification d’un client supportant le 802.1x ou connexion d’un client qui ne supporte pas le 802.1x,
- Déconnexion d’un client connecté supportant le 802.1x,
- Transition d’un port de l’état up à l’état down.
Simple Host / multiple Host
Dans le cadre d'une architecture sans fil, il est difficile de définir précisément qui peut se connecter. Ainsi il est possible d'activer l'ouverture au réseau en fonction du nombre d'adresses MAC qui désirent circuler.
Un port 802.1x peut accueillir un seul (Simple Host) ou plusieurs (Multiple Host) Supplicant.
- Simple Host, le port est réservé à un seul client, et tous les autres paquets sont droppés. Il est le seul à s’authentifier sur ce port.
- Multiple Host, plusieurs client peuvent se connecter sur le port.
Tous les nouveaux Supplicant arrivant auront les mêmes paramètres que le premier connecté.
La connexion est rompue uniquement quand le premier connecté se déconnecte.
On peut limiter le nombre de Supplicant en mode Multiple Host, en mettant en place du filtrage d’adresses MAC.