Je n'avais jamais pris le temps de lire quoi que ce soit sur 802.1X et
l'excellent lien de Xavier, rapport=E9 par Eric, m'a =E9clair=E9 en
seulement une dizaine de lignes !
La 1=E9re phrase m'int=E9resse : "Par d=E9faut, un port de commutateur est
ferm=E9. D=E8s qu'un ordinateur se connecte, le commutateur active le port
en ne laissant passer que les trames 802.1x".
Est-ce courant qu'un port de commutateur puisse s'activer tout seul
lorsqu'il re=E7oit un signal Ethernet physique ?
Est-ce courant qu'un port de commutateur puisse s'activer tout seul lorsqu'il reçoit un signal Ethernet physique ?
ça dépend du contexte. Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est même le comportement attendu: on branche et ça marche.
D'où la spécification 802.1x pour les environnements sécurisés.
Michelot
Bonjour Le Forgeron,
Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est même le comportement attendu: on branche et ça marche.
C'est probablement une question de vocabulaire. Le texte note "Par défaut, un port de commutateur est fermé...".
Mon sentiment (à éclaircir) serait le suivant. Le port est ouvert en réception, mais une alarme d'absence de signal bloque toute émission de porteuse physique dans la dircetion de sortie. Dès que l'alarme est levée, la porteuse physique est transmise vers la station.
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Cordialement, Michelot
Bonjour Le Forgeron,
Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est
même le comportement attendu: on branche et ça marche.
C'est probablement une question de vocabulaire. Le texte note "Par
défaut, un port de commutateur est
fermé...".
Mon sentiment (à éclaircir) serait le suivant. Le port est ouvert en
réception, mais une alarme d'absence de signal bloque toute émission
de porteuse physique dans la dircetion de sortie. Dès que l'alarme est
levée, la porteuse physique est transmise vers la station.
Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.
Dans le cadre "normal" (pas de radius/diameter ou autre vlan), c'est même le comportement attendu: on branche et ça marche.
C'est probablement une question de vocabulaire. Le texte note "Par défaut, un port de commutateur est fermé...".
Mon sentiment (à éclaircir) serait le suivant. Le port est ouvert en réception, mais une alarme d'absence de signal bloque toute émission de porteuse physique dans la dircetion de sortie. Dès que l'alarme est levée, la porteuse physique est transmise vers la station.
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Cordialement, Michelot
xavier
Michelot wrote:
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Oui, c'est le cas si, et seulement si tu as activé 802.1x sur ce port, ou globalement sur le switch, ça dépend des modèles.
Dans ce cas, seules les trames 802.1x peuvent passer pour demander une authentification RADIUS. Si celle-ci est OK, alors le port est complètement ouvert (je ne connais pas les détails de l'implémentation au niveau 2)
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Michelot <mhostettler@voila.fr> wrote:
Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.
Oui, c'est le cas si, et seulement si tu as activé 802.1x sur ce port,
ou globalement sur le switch, ça dépend des modèles.
Dans ce cas, seules les trames 802.1x peuvent passer pour demander une
authentification RADIUS. Si celle-ci est OK, alors le port est
complètement ouvert (je ne connais pas les détails de l'implémentation
au niveau 2)
--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
(Jethro Tull)
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Oui, c'est le cas si, et seulement si tu as activé 802.1x sur ce port, ou globalement sur le switch, ça dépend des modèles.
Dans ce cas, seules les trames 802.1x peuvent passer pour demander une authentification RADIUS. Si celle-ci est OK, alors le port est complètement ouvert (je ne connais pas les détails de l'implémentation au niveau 2)
-- XAv In your pomp and all your glory you're a poorer man than me, as you lick the boots of death born out of fear. (Jethro Tull)
Pascal Hambourg
Salut,
Michelot a écrit :
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Je peux me tromper, mais je pense que la notion d'état fermé/ouvert concerne la couche 2 (liaison de données), alors que l'état actif/inactif concerne la couche 1 (physique). Pour émettre ou recevoir des trames 802.1X il faut bien que la liaison soit active (détection des impulsions de présence, auto-négociation...).
Salut,
Michelot a écrit :
Pour moi, si un port est fermé, il est désactivé dans les 2 sens,
qu'il y ait une station en état de fonctionner connectée ou pas.
Je peux me tromper, mais je pense que la notion d'état fermé/ouvert
concerne la couche 2 (liaison de données), alors que l'état
actif/inactif concerne la couche 1 (physique). Pour émettre ou recevoir
des trames 802.1X il faut bien que la liaison soit active (détection des
impulsions de présence, auto-négociation...).
Pour moi, si un port est fermé, il est désactivé dans les 2 sens, qu'il y ait une station en état de fonctionner connectée ou pas.
Je peux me tromper, mais je pense que la notion d'état fermé/ouvert concerne la couche 2 (liaison de données), alors que l'état actif/inactif concerne la couche 1 (physique). Pour émettre ou recevoir des trames 802.1X il faut bien que la liaison soit active (détection des impulsions de présence, auto-négociation...).
Michelot
Bonsoir Pascal,
...Pour émettre ou recevoir des trames 802.1X il faut bien que la liaison soit active (détection de s impulsions de présence, auto-négociation...).
C'est juste, et le texte cité est un peu hâtif sur ce point. L'écriture de "port fermé" est inappropriée.
La configuration de départ semble être décrite dans la figure 8-17 de 802.1Q-2011... Il me faudra encore lire le texte une dizaine de fois au minimum...
Ce que je comprends pour l'instant.
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, e t non pas dans un état opérationnel. Son entité 802.1X peut recevoir et transmettre des trames (l'entité détecte probablement le champ L/T de la trame MAC). L'accès à l'apprentissage des adresses et au relayage de la trame n'est pas permis (tant que le port n'est pas au moins dans l'état contrôlé).
Pour arriver au relayage d'autre conditions doivent être remplies. Le port peut être das l'état contrôlé, mais l'accès au relayage inte rdit, cas d'un port de gestion par ex.
Cordialement, Michelot
Bonsoir Pascal,
...Pour émettre ou recevoir
des trames 802.1X il faut bien que la liaison soit active (détection de s
impulsions de présence, auto-négociation...).
C'est juste, et le texte cité est un peu hâtif sur ce point.
L'écriture de "port fermé" est inappropriée.
La configuration de départ semble être décrite dans la figure 8-17 de
802.1Q-2011... Il me faudra encore lire le texte une dizaine de fois
au minimum...
Ce que je comprends pour l'instant.
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, e t
non pas dans un état opérationnel. Son entité 802.1X peut recevoir et
transmettre des trames (l'entité détecte probablement le champ L/T de
la trame MAC). L'accès à l'apprentissage des adresses et au relayage
de la trame n'est pas permis (tant que le port n'est pas au moins dans
l'état contrôlé).
Pour arriver au relayage d'autre conditions doivent être remplies. Le
port peut être das l'état contrôlé, mais l'accès au relayage inte rdit,
cas d'un port de gestion par ex.
...Pour émettre ou recevoir des trames 802.1X il faut bien que la liaison soit active (détection de s impulsions de présence, auto-négociation...).
C'est juste, et le texte cité est un peu hâtif sur ce point. L'écriture de "port fermé" est inappropriée.
La configuration de départ semble être décrite dans la figure 8-17 de 802.1Q-2011... Il me faudra encore lire le texte une dizaine de fois au minimum...
Ce que je comprends pour l'instant.
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, e t non pas dans un état opérationnel. Son entité 802.1X peut recevoir et transmettre des trames (l'entité détecte probablement le champ L/T de la trame MAC). L'accès à l'apprentissage des adresses et au relayage de la trame n'est pas permis (tant que le port n'est pas au moins dans l'état contrôlé).
Pour arriver au relayage d'autre conditions doivent être remplies. Le port peut être das l'état contrôlé, mais l'accès au relayage inte rdit, cas d'un port de gestion par ex.
Cordialement, Michelot
Eric Belhomme
Le Sun, 22 Jan 2012 12:20:16 -0800, Michelot a écrit :
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, et non pas dans un état opérationnel. Son entité 802.1X peut recevoir et transmettre des trames (l'entité détecte probablement le champ L/T de la trame MAC). L'accès à l'apprentissage des adresses et au relayage de la trame n'est pas permis (tant que le port n'est pas au moins dans l'état contrôlé).
non, à l'activation (au sens couche 1), le port est placé est dans un état bloqué : seules les paquets EAP sont autorisés. Si l'authentification 802.1x réussie, alors le port est ouvert *
* en fait un port peut avoir 3 états : authentifié, non authentifié, invité, et à chacun de ces états peut correspondre un paramétrage spécifique. dans mon cas, le port est placé dans des VLANs différents selon le résultat de l'authentification.
-- Rico On peut être plus fin qu'un autre, mais non pas plus fin que tous les autres. -+- François de La Rochefoucauld (1613-1680), Maximes 394 -+-
Le Sun, 22 Jan 2012 12:20:16 -0800, Michelot a écrit :
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, et non
pas dans un état opérationnel. Son entité 802.1X peut recevoir et
transmettre des trames (l'entité détecte probablement le champ L/T de la
trame MAC). L'accès à l'apprentissage des adresses et au relayage de la
trame n'est pas permis (tant que le port n'est pas au moins dans l'état
contrôlé).
non, à l'activation (au sens couche 1), le port est placé est dans un
état bloqué : seules les paquets EAP sont autorisés. Si
l'authentification 802.1x réussie, alors le port est ouvert *
* en fait un port peut avoir 3 états : authentifié, non authentifié,
invité, et à chacun de ces états peut correspondre un paramétrage
spécifique. dans mon cas, le port est placé dans des VLANs différents
selon le résultat de l'authentification.
--
Rico
On peut être plus fin qu'un autre, mais non pas plus fin que tous les
autres.
-+- François de La Rochefoucauld (1613-1680), Maximes 394 -+-
Le Sun, 22 Jan 2012 12:20:16 -0800, Michelot a écrit :
Pour 802.1X, au démarrage, le port est dans un état non contrôlé, et non pas dans un état opérationnel. Son entité 802.1X peut recevoir et transmettre des trames (l'entité détecte probablement le champ L/T de la trame MAC). L'accès à l'apprentissage des adresses et au relayage de la trame n'est pas permis (tant que le port n'est pas au moins dans l'état contrôlé).
non, à l'activation (au sens couche 1), le port est placé est dans un état bloqué : seules les paquets EAP sont autorisés. Si l'authentification 802.1x réussie, alors le port est ouvert *
* en fait un port peut avoir 3 états : authentifié, non authentifié, invité, et à chacun de ces états peut correspondre un paramétrage spécifique. dans mon cas, le port est placé dans des VLANs différents selon le résultat de l'authentification.
-- Rico On peut être plus fin qu'un autre, mais non pas plus fin que tous les autres. -+- François de La Rochefoucauld (1613-1680), Maximes 394 -+-