احراز هویت با eap و ردیوس
سلام
دوستان من یه سوال دارم
تا اینجا میدونم که eap یک پروتکل لایه دومی هست و درخواست هاش رو به سوئیچ میده و سوئیچ با استفاده از ردیوس که با udp کار میکنه این اطلاعات را درون هدرای udp قرار میده و میفرسته به سمت سرور تا احراز هویت بشه. اما سوئیچ و روتر به لایه انتقال دسترسی ندارند که چطور ممکنه بهشون اضاف کنه ؟
5 پاسخ
مهندس قنبری این پستتون رو مطالعه کردم در قسمت نظرات پست در جواب نظر آقای نصیری شما فرمودید که " این IOS که این توان را به روتر میده که بتونه پروتکل های لایه هفتم را هم چک کنه این ویژگی از نسخه Cisco IOS Software Release 12.4(9)T اضافه شده
تو این مقاله از nbar استفاده نشده اما برای برخی پروتکل های دیگه مثل eDonkey از NBAR استفاده میشه "
آیا ios بر روی تمام سوئیچ ها و روتر ها می توانند بسته های ردیوس با قابلیت udp و پورت های احرازهویت و حسابرسی تولید کنند؟ آیا مانند یک نرم افزار است که قابلیت های مختلف را به سیستم عامل روتر می دهد؟
rfc 3748 که مربوط به eap است را مطالعه کردم ولی بیشتر سردرگم شدم با تصویر زیر
ممنون از شما
بله کاملا متوجه شدم
دوست عزیز
سوئیچ عمل سوئیچینگ رو در لایه دو انجام میده و وظیفه اصلی اون هست اما این دلیل نمیشه که نتونه در سایر لایه ها کار کنه به طور مثال شما می تونید احرازهویت رو از طریق وب انجام بدید که اون صفحه وب توسط سوئیچ برای شما فراهم میشه
برای روتر هم به این صورت : روتر وظیفه اصلیش روتینگ هست و اینکار در لایه سوم انجام میشه اما مثلا روترهای سیسکو می تونند URL Filtering انجام بدید که یک عملیات لایه هفتی هست
پس این جمله که "سوئیچ و روتر به لایه انتقال دسترسی ندارند" کاملا اشتباهه
احراز هویتی که از طریق وب گفتم از لایه هفتم تا لایه اول همه توسط سوئیچ انجام میشه و اون صفحه ای وبی که به کاربر نمایش داده میشه روی سوئیچ قرار داره
حتی شما می تونید از طریق خود سوئیچ با استفاده از دستور test aaa تست ارتباط 802.1x رو انجام بدید که یوزر و پسورد رو به سوئیچ میدید و سوئیچ اونا رو در قالب پروتکل ردیوس ارسال می کنه برای سرور ، پس توانایی کار با لایه های بالا رو داره
یه مثال دیگه : شما به سوئیچ یا روتر که می خواین وصل بشید از پروتکل هایی مثل SSH یا Telnet استفاده می کنید که این پروتکل ها پروتکل های لایه هفتی هستند پس اگه روتر یا سوئیچ نتونه با در لایه های بالاتر کار کنه شما نمی تونید بهش وصل بشید کلی پروتکل لایه هفتی دیگه هستند که سوئیچ ها و روترها دارن ازشون استفاده می کنند
NTP , SNMP و ...
ممنون از شما
اما فکر کنم که احراز هویت از طریق وب به گونه ای است که اطلاعات از طریق لایه کاربرد به لایه چهارم داده می شود و سگمنت بندی می شود و سپس به لایه سوم داده می شود و بسته بندی و در لایه دوم فریم بندی می شود سپس این اطلاعات در قسمت دیتای eap قرار میگیرد و به سوئیچ فرستاده می شود سپس سوئیچ یا روتر آن را باید به سرور ارسال کنند سپس در سرور باید این بسته ها به وسیله ردیوس باز میشوند و بر اساس اطلاعات آن ها احراز هویت انجام می شود و کار سوئیچ و روتر فقط بر روی بسته بندی و ارسال آن به صورت بسته های udp ردیوس به سرور است (به صورت udp و به صورت بسته های ردیوس اما مگر سوئیچ لایه دوم می تواند ای پی بگذارد پشت بسته و ارسال کند برای سرو ر و یا اصلا روتر که توانایی جز مسیریابی از طریق پروتکل های مسیریابی با ip مقصد ندارد اما چطور فریم های eap را تبدیل به بسته هایی می کند با قابلیت udp ارسال می شود ).