Wir planen die Implementierung von 802.1X. Unklar ist jedoch, ob ein Switch, der 802.1X unterstützt, mehrere an den Switch angeschlossene Geräte erfolgreich und korrekt authentifizieren kann.DasselbeSwitch-Port (z. B. wenn wir eine Abteilung haben, die einen Hub mit einer Reihe von Computern verwendet, um den Port zu „teilen“)? Wenn ja, wie validiert das Protokoll die Quelle der Pakete?
Oder erfordert die Implementierung von 802.1X, dass wir riesige, teure Switches kaufen, die 802.1X unterstützen, für einen Port pro Gerät?
Antwort1
Sie können weiterhin eine portbasierte 802.1x-Authentifizierung durchführen, aber nur für den gesamten Hub. Was den 802.1x-Authentifikator betrifft, kann dieser nur den einen Port zulassen oder nicht zulassen (oder verschiedenen VLANs zuweisen), an den der Hub angeschlossen ist. Stellen Sie sich vor, was passiert, wenn ein Client diesen Port bei einem vertrauenswürdigen VLAN authentifiziert, ein anderer Client diesen Port dann aber bei einem nicht vertrauenswürdigen VLAN authentifiziert. Aus Sicht des Authentifikators können Sie nicht "validate the source of packets"nur den Port authentifizieren, an den Ihr Hub angeschlossen ist (und damit alles, was daran angeschlossen ist).
Wenn Sie eine portbasierte Authentifizierung auf einem Switch benötigen oder ein Gerät authentifizieren müssen, das 802.1x nicht unterstützt, können Sie sich auf den MAC Authentication Bypass verlassen, bei dem im Wesentlichen nur MAC-Adressen oder Ports nach Bedarf auf die Whitelist gesetzt werden.
Um die Vorteile von 802.1x wirklich nutzen zu können, benötigen Sie eine Switch-Infrastruktur, die 802.1x vollständig unterstützt (glücklicherweise ist dies bei Switches der mittleren Unternehmensklasse recht üblich).
Antwort2
Multi-Auth macht genau dies. Multi-Host ist ein älterer Modus, der es mehreren Geräten erlaubt, den Port gemeinsam zu nutzen, aber sobald ein Gerät authentifiziert ist, sind alle authentifiziert. Multi-Auth ist ein neuerer Modus, der jede eindeutige Mac-Adresse an einem Port zwingt, sich einzeln zu authentifizieren. Allerdings sind bei der Verwendung einige Funktionen deaktiviert, wie z. B. VLANs mit unterschiedlichem Radius, Gast-VLANs und VLANs mit fehlgeschlagener Authentifizierung, da Sie kein VLAN pro Mac-Adresse zuweisen können.
Aktualisieren- Bitte beachten Sie, dass es derzeit einen Fehler in IOS 12.2(54)SG1 mit Multi-Auth und Multi-Domain gibt, bei dem autorisierte Ports keinen Datenverkehr durchlassen.