Estamos planeando implementar 802.1X. Lo que no está claro es si un conmutador compatible con 802.1X puede autenticar correctamente y con éxito varios dispositivos conectados al mismo.mismo¿Cambiar de puerto (por ejemplo, si tenemos un departamento que utiliza un concentrador con varias computadoras para "compartir" el puerto)? Si es así, ¿cómo valida el protocolo el origen de los paquetes?
¿O la implementación de 802.1X requerirá que compremos conmutadores compatibles con 802.1X, enormes y costosos, para un puerto por dispositivo?
Respuesta1
Aún podrá realizar la autenticación 802.1x basada en puertos, pero solo para todo el concentrador. En lo que respecta al autenticador 802.1x, solo puede permitir o no permitir (o asignar a diferentes VLAN) ese puerto al que está conectado el concentrador. Imagine lo que sucederá si un cliente autentica este puerto en una VLAN confiable pero luego otro cliente autentica este puerto en una VLAN que no es confiable. Desde la perspectiva del autenticador, no podrá acceder "validate the source of packets"solo al puerto al que está conectado su concentrador (y, por lo tanto, a todo lo que está conectado a él).
Si necesita autenticación basada en puertos en un conmutador o necesita autenticar un dispositivo que no admite 802.1x, puede confiar en la omisión de autenticación MAC, que básicamente consiste simplemente en incluir direcciones MAC o puertos en la lista blanca según sea necesario.
Para aprovechar realmente 802.1x, necesita una infraestructura de conmutación que admita totalmente 802.1x (afortunadamente, es bastante común en conmutadores de nivel empresarial de rango medio).
Respuesta2
Mutli-auth hace exactamente esto. Multi-host es un modo antiguo que permite que varios dispositivos compartan el puerto, pero una vez que uno se autentica, todos se autentican. La autenticación múltiple es un modo más nuevo que obliga a cada dirección Mac única en un puerto a autenticarse individualmente. Sin embargo, algunas funciones están deshabilitadas cuando lo usa, como VLAN asignadas con diferentes radios, VLAN invitada y VLAN de falla de autenticación, ya que no puede asignar una VLAN por dirección MAC.
Actualizar- Tenga en cuenta que actualmente existe un error en IOS 12.2(54)SG1 con autenticación múltiple y dominio múltiple donde los puertos autorizados no pasan tráfico.