Elektronika.lt

Elektronika.lt - elektronikos, informacinių ir
ryšių technologijų portalas

Adresas: http://www.elektronika.lt
El. paštas: info@elektronika.lt
 Atspausdinta iš: http://www.elektronika.lt/teorija/rysiai/23151/autorizacija/spausdinti/

Autorizacija

Publikuota: 2010-05-07 18:19
Tematika: Telekomunikacijos
Skirta: Mėgėjams
Inf. šaltinis: D-Link

Siekiant, kad visas tinklas veiktų sklandžiai ir pelningai, reikia pasirūpinti, kad tinklu galėtų naudotis tik tam tinklui priklausantys abonentai. Ir, kad abonentai negalėtų pasinaudoti paslaugomis, už kurias jie nemoka. Pats populiariausias, tačiau ne pats geriausias būdas, yra vartotojo kompiuteryje esančios tinklo plokštės MAC adreso susiejimas su abonentu.


Siekiant, kad visas tinklas veiktų sklandžiai ir pelningai, reikia pasirūpinti, kad tinklu galėtų naudotis tik tam tinklui priklausantys abonentai. Ir, kad abonentai negalėtų pasinaudoti paslaugomis, už kurias jie nemoka. Pats populiariausias, tačiau ne pats geriausias būdas, yra vartotojo kompiuteryje esančios tinklo plokštės MAC adreso susiejimas su abonentu.

MAC

Tai realizuojama įrašant vartotojo MAC į komutatoriaus MAC adresų lentelę ir uždraudžiant komutatoriaus prievadui mokytis naujų MAC adresų. Taip gaunama nekintanti MAC adreso ir komutatoriaus prievado sąsaja. Deja, tai neapsaugo nuo situacijų, kai vartotojas rankiniu būdu priskiria sau kaimyno IP adresą. Dviejų vienodų IP adresų atsiradimas viename transliavimo (broadcast) domene negalimas, ir tai iš karto sukelia problemų.

Apsisaugojimui nuo tokios situacijos naudojama IP adreso, MAC adreso ir komutatoriaus prievado sąsaja. Kadangi būtų nepatogu kiekvieną kartą tokius įrašus atlikti administratoriui, yra galimybė pasinaudoti automatine sistema. Jos veikimo principas atrodo taip: vartotojas įjungia kompiuterį, ir kompiuterio tinklo plokštė siunčia DHCP užklausą, siekdama gauti IP adresą. Komutatorius, gavęs tokią broadcast užklausą, gauna informaciją apie prievadą ir vartotojo MAC adresą. Centrinis paslaugų tiekėjo serveris, gavęs tokią užklausą, pasiūlo klientui IP adreso nuomą. IP adresas parenkamas iš esamų laisvų arba pagal kliento MAC adresą. Siunčiama dar keletas paketų tarp DHCP serverio ir DHCP kliento. Paskutinis yra kliento patvirtinimas apie jo gautą ir naudojamą IP adresą. Komutatorius turi visą reikalingą informaciją – vartotojo MAC adresą, IP adresą ir yra žinomas prievadas, prie kurio prijungtas vartotojas. Taigi, komutatoriuje padaromas įrašas, kad tam tikrą laiką, arba iki administratoriaus įsikišimo, tam tikru prievadu gali dirbti tik nurodytą IP ir nurodytą MAC adresą turintis vartotojas.

MAC

Ši vartotojų autorizacijos schema yra pakankamai patikima ir naudojama dažniausiai. Yra tik vienas trūkumas – reikia žinoti vartotojo MAC adresą, ir tenka atnaujinti informaciją, jei vartotojas pakeičia savo tinklo adapterį (pasikeičia MAC adresas).

Yra alternatyvi schema, kurią naudoja keli Lietuvos paslaugų tiekėjai. Tai galimybė gauti tą patį IP-MAC-port surišimą iš anksto nežinant vartotojo MAC adreso. Tam tikslui reikia pasinaudoti DHCP „Option82“ suteikiamomis galimybėmis. DHCP „Opt82“ turi savyje informaciją apie komutatoriaus MAC adresą ir prievadą, kuris gavo DHCP užklausą. Informacijos yra ir daugiau, bet ji nėra dažnai naudojama ir šiame aprašyme į ją nebus gilinamasi. Taigi, jei komutatorius prie DHCP paketų prisega „Option82“ informacinius laukus, centrinis DHCP serveris žino, iš kurio konkretaus abonentinio prievado atkeliavo ši užklausa. Ir konkretų IP adresą galima suteikti net nežinant kliento MAC adreso. Klientui nusipirkus naują kompiuterį, nereikia informuoti interneto paslaugų tiekėjo apie pasikeitusį MAC adresą. Komutatorius vis tiek mato DHCP užklausas ir atsakymus, kuriuose yra kliento MAC adresas, ir sėkmingai gali atlikti IP-MAC-port surišimą. Deja, ši schema netinkama tais atvejais, kai vartotojų prieigos lygyje yra nevaldomų komutatorių, arba tokių, kurie nemoka pridėti „Opt82“ informacijos.

Standarto numatytas kompiuterių autorizacijos būdas naudojant 802.1x protokolą, IPT tinkluose nenaudojamas. Interneto paslaugų tiekėjai bet kokia kaina stengiasi išvengti klientų kompiuterių modifikavimo ir papildomos programinės įrangos diegimo. 802.1x naudojimas reikštų, kad kompiuteriuose reikia sukonfigūruoti atitinkamą programinę įrangą, o jei jos nėra – tai ir įdiegti ją. O tai didina techninės pagalbos centro sąnaudas. Taigi, tai kas tinka įmonių tinklams, netinka interneto paslaugų tiekėjų tinklams.

D-Link
‡ 1999–2024 © Elektronika.lt LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!