Activation automatique de port sur un commutateur

Le
Michelot
Bonsoir,

Je n'avais jamais pris le temps de lire quoi que ce soit sur 802.1X et
l'excellent lien de Xavier, rapporté par Eric, m'a éclairé en
seulement une dizaine de lignes !

http://cric.grenoble.cnrs.fr/SiteWebAuthentification/Protocole8021x.php

La 1ére phrase m'intéresse : "Par défaut, un port de commutateur est
fermé. Dès qu'un ordinateur se connecte, le commutateur active le port
en ne laissant passer que les trames 802.1x".

Est-ce courant qu'un port de commutateur puisse s'activer tout seul
lorsqu'il reçoit un signal Ethernet physique ?

Merci pour votre opinion,
Michelot
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le Forgeron
Le #24185031
Le 22/01/2012 00:57, Michelot nous fit lire :
Est-ce courant qu'un port de commutateur puisse s'activer tout seul
lorsqu'il reçoit un signal Ethernet physique ?



ça dépend du contexte.
Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est
même le comportement attendu: on branche et ça marche.

D'où la spécification 802.1x pour les environnements sécurisés.
Michelot
Le #24185371
Bonjour Le Forgeron,

Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est
même le comportement attendu: on branche et ça marche.



C'est probablement une question de vocabulaire. Le texte note "Par
défaut, un port de commutateur est
fermé...".

Mon sentiment (à éclaircir) serait le suivant. Le port est ouvert en
réception, mais une alarme d'absence de signal bloque toute émission
de porteuse physique dans la dircetion de sortie. Dès que l'alarme est
levée, la porteuse physique est transmise vers la station.

Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.

Cordialement,
Michelot
xavier
Le #24185531
Michelot
Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.



Oui, c'est le cas si, et seulement si tu as activé 802.1x sur ce port,
ou globalement sur le switch, ça dépend des modèles.

Dans ce cas, seules les trames 802.1x peuvent passer pour demander une
authentification RADIUS. Si celle-ci est OK, alors le port est
complètement ouvert (je ne connais pas les détails de l'implémentation
au niveau 2)

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Pascal Hambourg
Le #24185641
Salut,

Michelot a écrit :

Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.



Je peux me tromper, mais je pense que la notion d'état fermé/ouvert
concerne la couche 2 (liaison de données), alors que l'état
actif/inactif concerne la couche 1 (physique). Pour émettre ou recevoir
des trames 802.1X il faut bien que la liaison soit active (détection des
impulsions de présence, auto-négociation...).
Michelot
Le #24187271
Bonsoir Pascal,

...Pour émettre ou recevoir
des trames 802.1X il faut bien que la liaison soit active (détection de s
impulsions de présence, auto-négociation...).



C'est juste, et le texte cité est un peu hâtif sur ce point.
L'écriture de "port fermé" est inappropriée.

La configuration de départ semble être décrite dans la figure 8-17 de
802.1Q-2011... Il me faudra encore lire le texte une dizaine de fois
au minimum...

Ce que je comprends pour l'instant.

Pour 802.1X, au démarrage, le port est dans un état non contrôlé, e t
non pas dans un état opérationnel. Son entité 802.1X peut recevoir et
transmettre des trames (l'entité détecte probablement le champ L/T de
la trame MAC). L'accès à l'apprentissage des adresses et au relayage
de la trame n'est pas permis (tant que le port n'est pas au moins dans
l'état contrôlé).

Pour arriver au relayage d'autre conditions doivent être remplies. Le
port peut être das l'état contrôlé, mais l'accès au relayage inte rdit,
cas d'un port de gestion par ex.

Cordialement,
Michelot
Eric Belhomme
Le #24196931
Le Sun, 22 Jan 2012 12:20:16 -0800, Michelot a écrit :

Pour 802.1X, au démarrage, le port est dans un état non contrôlé, et non
pas dans un état opérationnel. Son entité 802.1X peut recevoir et
transmettre des trames (l'entité détecte probablement le champ L/T de la
trame MAC). L'accès à l'apprentissage des adresses et au relayage de la
trame n'est pas permis (tant que le port n'est pas au moins dans l'état
contrôlé).




non, à l'activation (au sens couche 1), le port est placé est dans un
état bloqué : seules les paquets EAP sont autorisés. Si
l'authentification 802.1x réussie, alors le port est ouvert *

* en fait un port peut avoir 3 états : authentifié, non authentifié,
invité, et à chacun de ces états peut correspondre un paramétrage
spécifique. dans mon cas, le port est placé dans des VLANs différents
selon le résultat de l'authentification.

--
Rico
On peut être plus fin qu'un autre, mais non pas plus fin que tous les
autres.
-+- François de La Rochefoucauld (1613-1680), Maximes 394 -+-
Publicité
Poster une réponse
Anonyme