我们计划实施 802.1X。目前尚不清楚的是,支持 802.1X 的交换机是否能够成功且正确地验证连接到相同的交换机端口(例如,如果我们有一个部门使用集线器,其中有一堆计算机“共享”端口)?如果是这样,协议如何验证数据包的来源?
或者实施 802.1X 是否需要我们购买大量昂贵的支持 802.1X 的交换机,每个设备一个端口?
答案1
您仍然可以进行基于端口的 802.1x 身份验证,但只能针对整个集线器。就 802.1x 身份验证器而言,它只能允许或禁止(或分配给不同的 VLAN)集线器所连接的某个端口。想象一下,如果一个客户端将此端口验证为受信任的 VLAN,而另一个客户端将此端口验证为不受信任的 VLAN,会发生什么情况。从身份验证器的角度来看,您将无法"validate the source of packets"仅验证集线器所连接的端口(因此无法验证连接到该端口的所有设备)。
如果您需要在交换机上进行基于端口的身份验证,或者需要对不支持 802.1x 的设备进行身份验证,您可以依靠 MAC 身份验证绕过,这本质上只是根据需要将 MAC 地址或端口列入白名单。
要真正利用 802.1x,您需要一个完全支持 802.1x 的交换基础设施(幸运的是,它在中档企业级交换机上非常常见)。
答案2
多身份验证正是这样做的。多主机是一种较旧的模式,允许多台设备共享端口,但一旦一台设备通过身份验证,所有设备都会通过身份验证。多身份验证是一种较新的模式,它强制端口上的每个唯一 mac 地址单独进行身份验证。但是,当您使用它时,某些功能会被禁用,例如不同的半径分配的 vlan、访客 vlan 和身份验证失败 vlan,因为您无法为每个 mac 地址分配一个 vlan。
更新- 请注意,IOS 12.2(54)SG1 中目前存在多重认证和多域的错误,授权端口不会传递流量。