802.1Xを実装する予定です。802.1Xをサポートするスイッチが、ネットワークに接続された複数のデバイスを正常に正しく認証できるかどうかは不明です。同じスイッチ ポート (たとえば、ポートを「共有」するために多数のコンピューターを備えたハブを使用する部門がある場合) はありますか? その場合、プロトコルはパケットのソースをどのように検証しますか?
または、802.1X を実装するには、デバイスごとに 1 つのポートに対して、非常に高価な 802.1X 対応スイッチを購入する必要がありますか?
答え1
ポートベースの 802.1x 認証は引き続き実行できますが、ハブ全体に対してのみ実行できます。802.1x 認証システムに関しては、ハブが接続されている 1 つのポートを許可または拒否する (または別の VLAN に割り当てる) ことしかできません。クライアントがこのポートを信頼できる VLAN に認証し、別のクライアントがこのポートを信頼できない VLAN に認証するとどうなるか想像してみてください。認証システムの観点からは、ハブが"validate the source of packets"接続されているポート (つまり、そのポートに接続されているすべてのもの) のみを認証することはできません。
スイッチでポートベースの認証が必要な場合、または 802.1x をサポートしていないデバイスを認証する必要がある場合は、MAC 認証バイパスを使用できます。これは、基本的に、必要に応じて MAC アドレスまたはポートをホワイトリストに登録するだけです。
802.1x を実際に活用するには、802.1x を完全にサポートするスイッチング インフラストラクチャが必要です (幸いなことに、ミッドレンジのエンタープライズ グレードのスイッチではこれがかなり一般的です)。
答え2
マルチ認証はまさにこれを実現します。マルチホストは、複数のデバイスがポートを共有できる古いモードですが、1 つが認証されると、すべてのデバイスが認証されます。マルチ認証は、ポート上の各一意の MAC アドレスを個別に認証するように強制する新しいモードです。ただし、MAC アドレスごとに VLAN を割り当てることができないため、異なる RADIUS 割り当て VLAN、ゲスト VLAN、認証失敗 VLAN などの一部の機能は、使用時に無効になります。
アップデート- 現在、マルチ認証およびマルチドメインの IOS 12.2(54)SG1 には、承認されたポートがトラフィックを通過できないバグがあることにご注意ください。