우리는 802.1X를 구현할 계획입니다. 확실하지 않은 것은 802.1X를 지원하는 스위치가 802.1X에 연결된 여러 장치를 성공적으로 올바르게 인증할 수 있는지 여부입니다.같은스위치 포트(예: 포트를 "공유"하기 위해 여러 대의 컴퓨터가 있는 허브를 사용하는 부서가 있는 경우) 그렇다면 프로토콜은 패킷 소스의 유효성을 어떻게 확인합니까?
아니면 802.1X를 구현하려면 장치당 하나의 포트에 대해 엄청나게 값비싼 802.1X 지원 스위치를 구입해야 합니까?
답변1
여전히 포트 기반 802.1x 인증을 수행할 수 있지만 전체 허브에 대해서만 가능합니다. 802.1x 인증자에 관한 한 허브가 연결된 포트 하나를 허용하거나 허용하지 않는 것(또는 다른 VLAN에 할당하는 것)만 가능합니다. 클라이언트가 이 포트를 신뢰할 수 있는 VLAN에 인증했지만 다른 클라이언트가 이 포트를 신뢰할 수 없는 VLAN에 인증하면 어떤 일이 일어날지 상상해 보세요. 인증자의 관점에서는 "validate the source of packets"허브가 연결된 포트(따라서 허브에 연결된 모든 포트)에만 액세스할 수는 없습니다.
스위치에 포트 기반 인증이 필요하거나 802.1x를 지원하지 않는 장치를 인증해야 하는 경우 MAC 인증 바이패스를 사용할 수 있습니다. 이는 본질적으로 필요에 따라 MAC 주소나 포트를 화이트리스트에 추가하는 것입니다.
802.1x를 실제로 활용하려면 802.1x를 완벽하게 지원하는 스위칭 인프라가 필요합니다(다행히 중급 엔터프라이즈급 스위치에서는 매우 일반적입니다).
답변2
다중 인증이 바로 이 작업을 수행합니다. 멀티 호스트는 여러 장치가 포트를 공유할 수 있도록 허용하는 이전 모드이지만 한 장치가 인증되면 모두 인증됩니다. 다중 인증은 포트의 각 고유 Mac 주소를 개별적으로 인증하도록 하는 최신 모드입니다. 그러나 Mac 주소별로 VLAN을 할당할 수 없기 때문에 다른 반경 할당 VLAN, 게스트 VLAN 및 인증 실패 VLAN과 같은 일부 기능은 사용할 때 비활성화됩니다.
업데이트- 현재 다중 인증 및 다중 도메인이 포함된 IOS 12.2(54)SG1에는 승인된 포트가 트래픽을 전달하지 않는 버그가 있습니다.