我想将 Linux 配置为网关(DHCP 和 NAT),并添加 802.1x 作为身份验证协议。我的问题是,我记得过去它与端口(读取物理端口)有很强的连接,这意味着,如果我有一个交换机连接到我的 FW,并且第一次使用时对其进行身份验证,则意味着此交换机上的所有其他使用(或来自此端口的所有流量)都将经过身份验证。这是真的吗?
答案1
我不同意 tk.Simon 的观点,802.1x 在设计时就考虑到了交换机。
为了使 802.1x 正常工作,您只能将一个设备连接到交换机端口,如果您需要更多端口,则需要更多可以作为 RADIUS 客户端的交换机,如果交换机不支持 802.1x 身份验证,则您的网络中就无法使用 802.1x。
身份验证是基于端口的,因此如果您堆叠交换机,则可以将端口设置为不需要身份验证,在每个交换机上,它至少会上行链接到主干网/服务器并链接到其他交换机。
有举措引入基于客户端的身份验证,但据我所知,市场上没有交换机或只有非常高端的交换机支持它。它可能被视为不安全的,目前记不清细节了。
答案2
遗憾的是,这行不通...(好吧,也许会行得通,但是对于知道自己想要什么以及如何得到它的人来说,这很容易绕过)
参考:http://de.narkive.com/2010/9/11/2608887-802-1x-iptables.html
此外,认证器通常/根据设计是交换机/路由器,而不是机器
802.1x 专为 WLAN 而设计