Estamos planejando implementar o 802.1X. O que não está claro é se um switch que suporta 802.1X pode autenticar com êxito e corretamente vários dispositivos conectados aomesmoporta do switch (por exemplo, se tivermos um departamento usando um hub com vários computadores para "compartilhar" a porta)? Se sim, como o protocolo valida a origem dos pacotes?
Ou a implementação do 802.1X exigirá que compremos switches de suporte 802.1X enormes e caros, para uma porta por dispositivo?
Responder1
Você ainda poderá fazer autenticação 802.1x baseada em porta, mas apenas para todo o hub. No que diz respeito ao autenticador 802.1x, ele só é capaz de permitir ou proibir (ou atribuir a VLANs diferentes) aquela porta à qual o hub está conectado. Imagine o que acontecerá com um cliente autenticando esta porta em uma VLAN confiável, mas outro cliente autenticando esta porta em uma VLAN não confiável. Da perspectiva do autenticador, você não poderá acessar "validate the source of packets"apenas a porta à qual seu hub está conectado (e, portanto, tudo o que está conectado a ele).
Se você precisar de autenticação baseada em porta em um switch ou precisar autenticar um dispositivo que não suporta 802.1x, poderá contar com o MAC Authentication Bypass, que basicamente consiste apenas na lista de permissões de endereços MAC ou portas, conforme necessário.
Para realmente aproveitar as vantagens do 802.1x, você precisa de uma infraestrutura de switching que suporte totalmente o 802.1x (felizmente, é bastante comum em switches de nível empresarial de médio porte).
Responder2
Mutli-auth faz exatamente isso. Multi-host é um modo mais antigo que permite que vários dispositivos compartilhem a porta, mas uma vez autenticado, todos eles são autenticados. Multi-auth é um modo mais recente que força cada endereço MAC exclusivo em uma porta a ser autenticado individualmente. No entanto, alguns recursos são desabilitados quando você o usa, como vlans atribuídas a raios diferentes, vlan de convidado e vlan com falha de autenticação, pois você não pode atribuir uma vlan por endereço MAC.
Atualizar- Esteja ciente de que atualmente há um bug no IOS 12.2(54)SG1 com multiautenticação e multidomínio onde portas autorizadas não passam tráfego.