Общие сведения о проводном доступе с проверкой подлинности по стандарту безопасности 802.1X
Применимо к:Windows Vista, Windows XP, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Данный документ содержит вводную информацию о доступе с проверкой подлинности IEEE 802.1X для проводных Ethernet-подключений IEEE 802.3. Здесь также представлены ссылки на источники сведений о технологиях, тесно связанных с проводным доступом с проверкой подлинности 802.1X либо имеющих иное отношение к проводному доступу.
Примечание
Помимо этого раздела также доступна следующая документация по проводному доступу с проверкой подлинности 802.1X.
Возможно, вы имели в виду...
Беспроводной доступ с проверкой подлинности по стандарту безопасности 802.1X
Команды Netsh для проводной локальной сети (LAN) в Windows Server 2008 R2 и технической библиотеке Windows Server 2008 на веб-сайте TechNet.
Проводной доступ с проверкой подлинности 802.1X в Windows Server 2008 R2 и технической библиотеке Windows Server 2008 на веб-сайте TechNet.
Описание компонента
Стандарт безопасности IEEE 802.1X обеспечивает дополнительную защиту интрасети от несанкционированного подключения к ней гостевых, неавторизованных или неуправляемых компьютеров, которые не прошли проверку подлинности.
Усиленная безопасность, ради которой администраторы развертывают проверку подлинности IEEE 802.1X для беспроводных сетей IEEE 802.11, побуждает их внедрять стандарт безопасности IEEE 802.1X и для обеспечения защиты проводных сетевых подключений. Аналогично тому, как клиент беспроводной сети при проверке подлинности должен представить определенный набор учетных данных, чтобы получить разрешение на беспроводную передачу данных в интрасеть, клиент проводной сети IEEE 802.1X также должен пройти проверку подлинности, чтобы получить разрешение на передачу трафика через свой коммутирующий порт.
Обзор важных терминов и технологий
Ниже представлены общие сведения, объясняющие суть различных технологий для развертывания проводного доступа с проверкой подлинности по 802.1X.
Примечание
Здесь и далее проводной доступ с проверкой подлинности по стандарту 802.1X называется проводным доступом.
IEEE 802.1X
Стандарт безопасности IEEE 802.1X определяет управление доступом к сети на базе портов для проводного доступа с проверкой подлинности к Ethernet-сетям. При управлении доступом к сети на базе портов используются физические характеристики инфраструктуры коммутируемой локальной сети (LAN) для проверки подлинности устройств, подключенных к определенному сетевому порту. В случае непрохождения проверки подлинности доступ к данному порту может быть запрещен. Указанный стандарт, предназначенный для проводных Ethernet-сетей, был адаптирован и для использования в беспроводных локальных сетях 802.11.
Проводные Ethernet-коммутаторы, поддерживающие IEEE 802.1X
Для развертывания проводного доступа 802.1X необходимо установить в сети и настроить один или несколько проводных Ethernet-коммутаторов, поддерживающих IEEE 802.1X. Данные коммутаторы должны поддерживать протокол RADIUS.
Когда 802.1X и RADIUS-совместимые коммутаторы развернуты в инфраструктуре протокола RADIUS с RADIUS-сервером (таким, как NPS), они называются RADIUS-клиентами.
IEEE 802.3 для Ethernet
IEEE 802.3 представляет собой набор стандартов, определяющих уровень-1 (физический уровень) и уровень-2 (уровень управления доступом к среде передачи данных — MAC) в проводной сети Ethernet. Стандарт 802.3 для Ethernet, как правило, реализуется в локальных сетях (LAN), а в некоторых случаях — и в глобальных (WAN).
Сервер политики сети
Сервер политики сети (NPS) позволяет централизованно настраивать сетевые политики и управлять ими при помощи следующих трех компонентов: RADIUS-сервера, прокси-сервера RADIUS и сервера политики защиты сетевого доступа (NAP). NPS-сервер необходим для развертывания проводного доступа на базе 802.1X.
Сертификаты сервера
Для развертывания проводного доступа требуются сертификаты каждого NPS-сервера, выполняющего проверку подлинности 802.1X.
Сертификат сервера — это электронный документ, который широко применяется для аутентификации и защиты данных в общедоступных сетях. Сертификат безопасно привязывает открытый ключ к объекту, обладающему закрытым ключом. Сертификаты утверждаются цифровой подписью в центре выдачи сертификатов (ЦС) и могут быть оформлены на пользователя, компьютер или службу.
Центр сертификации (ЦС) подтверждает подлинность открытых ключей, принадлежащих субъектам (как правило, пользователям или компьютерам) либо другим ЦС, под свою ответственность. ЦС может привязывать открытые ключи к различающимся именам посредством подписанных сертификатов, управлять серийными номерами сертификатов, а также аннулировать сертификаты.
Службы сертификатов Active Directory (AD CS) реализуют роль сервера Windows Server 2012 по выдаче сертификатов. Инфраструктура сертификатов AD CS, которая также называется инфраструктурой открытых ключей (PKI), предоставляет настраиваемые службы выдачи и управления сертификатов для предприятия.
EAP
Протокол EAP является расширением протокола PPP и реализует дополнительные проверки подлинности, использующие обмен учетными и другими данными произвольной длины. Для успешной проверки подлинности по протоколу EAP и клиент сетевого доступа, и структура проверки подлинности (например, сервер политики сети) должны поддерживать один и тот же тип EAP.
Новые и измененные функции
В Windows Server 2012 проводной доступ лишь незначительно отличается от проводного доступа, реализованного в Windows Server 2008 R2. Изменения можно представить следующим образом:
Компонент или функция |
Предыдущая операционная система |
Новая операционная система |
|---|---|---|
Добавление туннельного протокола EAP-TLS (EAP-TTLS) в список сетевых методов проверки подлинности, включенных по умолчанию |
Не включено |
Включено по умолчанию |
См. также:
Ниже приведена таблица ресурсов, связанных с проводным доступом 802.1 X с проверкой подлинности.
Тип содержимого |
Ссылок |
|---|---|
Оценка продукта |
Проводной доступ с проверкой подлинности IEEE 802.1X — статья "Монтажник проводной сети" | |
Планирование |
Windows Server 2008Руководство по проектированию проводного доступа с проверкой подлинности 802.1X | |
Развертывание |
Windows Server 2008 Руководство по развертыванию проводного доступа с проверкой подлинности 802.1X | Windows Server 2008 R2 Вспомогательное руководство по основной сети: развертывание проводного доступа с проверкой подлинности на основе паролей 802.1X |
Операции |
Windows Server 2008 R2Команды Netsh для проводной локальной сети (LAN) | |
Диагностика |
Windows Server 2008 R2 Инфраструктура диагностики сетей (NDF) и отслеживание сетей | |
Безопасность |
Не применяются |
Средства и параметры |
Содержимое недоступно |
Ресурсы сообщества |
Содержимое недоступно |
Связанные технологии |
Windows Server 2008 R2Проводной доступ с проверкой подлинности 802.1X | Windows Server 2008 R2Службы политики сети и доступа |