802.1X — omówienie uwierzytelnionego dostępu przewodowego

Artykuł
06/12/2016

Dotyczy: Windows Vista, Windows XP, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Niniejszy dokument zawiera wstępne informacje na temat dostępu uwierzytelnianego metodą IEEE (Institute of Electrical and Electronics Engineers) 802.1X dla połączeń przewodowych sieci Ethernet IEEE 802.3. Zostały w nim również podane linki do zasobów zawierających informacje o technologiach ściśle związanych z dostępem przewodowym uwierzytelnianym metodą 802.1X lub inne informacje powiązane z dostępem przewodowym.

Uwaga

Oprócz tego tematu dostępna jest następująca dokumentacja dostępu przewodowego uwierzytelnianego metodą 802.1X.

Co nowego w dostępie przewodowym z uwierzytelnianiem metodą 802.1X

Czy chodziło o:

Dostęp bezprzewodowy uwierzytelniany metodą 802.1X
Polecenia Netsh dla przewodowych sieci lokalnych (LAN) w bibliotece technicznej systemów Windows Server 2008 R2 i Windows Server 2008 w witrynie TechNet.
Dostęp przewodowy uwierzytelniany metodą 802.1X w bibliotece technicznej systemów Windows Server 2008 R2 i Windows Server 2008 w witrynie TechNet.

Opis funkcji

Uwierzytelnianie IEEE 802.1X zapewnia dodatkową barierę bezpieczeństwa dla intranetu, uniemożliwiającą nawiązywanie połączeń z intranetem przez komputery gości, komputery nieautoryzowane lub komputery niezarządzane, których nie można pomyślnie uwierzytelnić.

Uwierzytelnianie IEEE 802.1X dla sieci bezprzewodowych IEEE 802.11 jest wdrażane przez administratorów w celu zwiększenia bezpieczeństwa. Z tej samej przyczyny, mając na uwadze ochronę połączeń, administratorzy sieci wdrażają standard IEEE 802.1X dla sieci przewodowych. Uwierzytelniany klient sieci bezprzewodowej musi przesłać zestaw poświadczeń, aby zostać uwierzytelnionym i móc wysyłać ramki transmisji bezprzewodowej do intranetu. Podobnie, klient sieci przewodowej IEEE 802.1X musi przeprowadzić uwierzytelnianie, aby móc przesyłać dane za pośrednictwem portu swojego przełącznika.

Omówienie ważnych terminów i technologii

Poniżej przedstawiono omówienie, które pozwoli łatwiej zrozumieć różne technologie wymagane do wdrażania dostępu przewodowego uwierzytelnianego metodą 802.1X.

Uwaga

W niniejszym dokumencie dostęp przewodowy uwierzytelniany metodą 802.1X jest nazywany dostępem przewodowym.

IEEE 802.1X

Standard IEEE 802.1X definiuje kontrolę dostępu do sieci opartą na portach, używaną do zapewniania uwierzytelnionego dostępu przewodowego do sieci Ethernet. Ta kontrola dostępu do sieci oparta na portach korzysta z charakterystyki fizycznej infrastruktury przełączanej sieci lokalnej (LAN) w celu uwierzytelniania urządzeń dołączonych do portu LAN. W przypadku niepowodzenia procesu uwierzytelniania może nastąpić odmowa dostępu do portu. Pomimo że ten standard opracowano dla przewodowych sieci Ethernet, został on również przystosowany do użytku w bezprzewodowych sieciach LAN 802.11.

Przełączniki przewodowej sieci Ethernet z obsługą standardu IEEE 802.1X

Aby wdrożyć dostęp przewodowy 802.1X, należy zainstalować i skonfigurować w sieci co najmniej jeden przełącznik sieci Ethernet z obsługą standardu 802.1X. Przełączniki muszą być zgodne z protokołem RADIUS (Remote Authentication Dial-In User Service).

Gdy przełączniki zgodne ze standardami 802.1X i RADIUS są wdrożone w infrastrukturze RADIUS, w której znajduje się serwer usługi RADIUS, taki jak serwer zasad sieciowych, są one nazywane klientami usługi RADIUS.

IEEE 802.3 Ethernet

IEEE 802.3 to zbiór standardów, który definiuje warstwę 1 (warstwę fizyczną) i warstwę 2 (warstwę łącza danych MAC) sieci przewodowej Ethernet. Standard Ethernet 802.3 jest zwykle implementowany w sieci lokalnej i w niektórych zastosowaniach sieci rozległych (WAN).

Serwer zasad sieciowych

Serwer zasad sieciowych (NPS) umożliwia centralne konfigurowanie zasad sieciowych i zarządzanie nimi przy użyciu następujących trzech składników: serwera usługi RADIUS, serwera proxy usługi RADIUS i serwera zasad ochrony dostępu do sieci (NAP). Serwer NPS jest wymagany do wdrożenia dostępu przewodowego 802.1X.

Certyfikaty serwera

Do wdrożenia dostępu przewodowego są wymagane certyfikaty serwera dla każdego z serwerów NPS wykonujących uwierzytelnianie 802.1X.

Certyfikat serwera jest cyfrowym dokumentem używanym zazwyczaj do uwierzytelniania i ułatwiającym ochronę informacji w otwartych sieciach. Certyfikat tworzy bezpieczne powiązanie między kluczem publicznym i jednostką, która posiada odpowiedni klucz prywatny. Certyfikaty są podpisywane cyfrowo przez wystawiający je urząd certyfikacji i mogą być wystawiane dla użytkownika, komputera lub usługi.

Urząd certyfikacji to jednostka odpowiedzialna za określanie i potwierdzanie autentyczności kluczy publicznych należących do podmiotów (zazwyczaj użytkowników lub komputerów) bądź do innych urzędów certyfikacji. Działania urzędu certyfikacji mogą obejmować tworzenie powiązań kluczy publicznych z nazwami wyróżniającymi za pośrednictwem podpisanych certyfikatów, zarządzanie numerami seryjnymi certyfikatów oraz odwoływanie certyfikatów.

Usługi certyfikatów Active Directory (AD CS) to rola serwera w systemie Windows Server 2012, która służy do wystawiania certyfikatów jako sieciowy urząd certyfikacji. Infrastruktura certyfikatów usług AD CS, nazywana również infrastrukturą kluczy publicznych (PKI), zapewnia dostosowywalne usługi służące do wystawiania certyfikatów dla przedsiębiorstwa i zarządzanie nimi.

EAP

Protokół EAP (Extensible Authentication Protocol) rozszerza protokół PPP (Point-to-Point Protocol), zapewniając dodatkowe metody uwierzytelniania z użyciem wymiany poświadczeń i informacji o dowolnej długości. W przypadku uwierzytelniania EAP zarówno klient dostępu do sieci, jak i wystawca uwierzytelnienia (na przykład serwer NPS) musi obsługiwać ten sam typ protokołu EAP, aby mogło nastąpić pomyślne uwierzytelnienie.

Nowe i zmienione funkcje

W systemie Windows Server 2012 dostęp przewodowy został zmieniony w minimalnym stopniu w porównaniu z rozwiązaniem dostępu przewodowego oferowanym w systemie Windows Server 2008 R2. Poniżej przedstawiono streszczenie tej zmiany:

Funkcja	Poprzedni system operacyjny	Nowy system operacyjny
Dodanie metody EAP-TTLS (EAP-Tunneled Transport Layer Security) do listy metod uwierzytelniania sieci uwzględnianych domyślnie	Nieuwzględnione	Uwzględnione domyślnie

Zobacz też

Poniżej przedstawiono zasoby dotyczące dostępu przewodowego uwierzytelnianego metodą 802.1X.

Typ zawartości	Odwołania
Ocena produktu	Dostęp przewodowy uwierzytelniany metodą IEEE 802.1 X — artykuł z serii „The Cable Guy” \|
Planowanie	Windows Server 2008 — Przewodnik dotyczący projektowania dostępu przewodowego uwierzytelnianego metodą 802.1X \|
Wdrażanie	Windows Server 2008 Przewodnik dotyczący projektowania dostępu przewodowego uwierzytelnianego metodą 802.1X \| Windows Server 2008 R2 Przewodnik uzupełniający po sieciach podstawowych: wdrażanie dostępu bezprzewodowego uwierzytelnianego metodą 802.1X opartego na hasłach
Operacje	Windows Server 2008 R2 — Polecenia Netsh dla przewodowych sieci lokalnych (LAN) \|
Rozwiązywanie problemów	Windows Server 2008 R2 — Struktura diagnostyki sieci (NDF) i śledzenie sieci \|
Zabezpieczenia	Nie dotyczy
Narzędzia i ustawienia	Zawartość niedostępna
Zasoby społeczności	Zawartość niedostępna
Technologie pokrewne	Windows Server 2008 R2 — Dostęp bezprzewodowy uwierzytelniany metodą 802.1X \| Windows Server 2008 R2 — Usługi zasad sieciowych i dostępu sieciowego

Udostępnij za pośrednictwem