我正在寻找一个完整的交换机列表,这些交换机将允许启用 802.1x 和普通(非请求者)的主机连接到交换机上的相同端口。这对于有半开放端口的区域(如大厅或图书馆)非常有用,在这些区域中,公司用户和来宾用户可能使用相同的端口,但您希望他们拥有不同的访问配置文件,并且不希望来宾在其系统上配置 802.1x。
例如,Enterasys 和 Extreme Networks 都具有这样的功能:如果交换机在一定时间内没有看到来自客户端的 EAPOL 数据包,它会将端口放入“访客”VLAN;如果它看到 802.1x 请求者,它会尝试通过 802.1x 对用户进行身份验证,如果成功,它会按照 radius 服务器的要求对该端口执行操作(即,将端口放入某个 VLAN、应用某个 ACL 等)
其他供应商是否具有此类功能,或者是否预计交换机将同时执行 802.1x 和 MAC 身份验证,并且“请求者超时”功能是通过对 MAC 身份验证的全面允许来实现的?
答案1
据我所知,思科交换机支持类似功能:端口默认位于访客 VLAN 中,但当请求者进行身份验证时会切换到 ACS 指定的 VLAN。ACS 也可以为不同的 PC/用户指定不同的 VLAN。