Для 802.1X требуется один порт на устройство?

Вы по-прежнему сможете выполнять аутентификацию 802.1x на основе портов, но только для всего концентратора. Что касается аутентификатора 802.1x, он может разрешить или запретить (или назначить разным VLAN) тот один порт, к которому подключен концентратор. Представьте, что произойдет, если клиент аутентифицирует этот порт в доверенной VLAN, но затем другой клиент аутентифицирует этот порт в недоверенной VLAN. С точки зрения аутентификатора вы не сможете разрешить "validate the source of packets"только тот порт, к которому подключен ваш концентратор (и, следовательно, все, что к нему подключено).

Если вам требуется аутентификация на основе портов на коммутаторе или необходимо аутентифицировать устройство, которое не поддерживает 802.1x, вы можете положиться на обход аутентификации MAC-адресов, который по сути представляет собой простое внесение в белый список MAC-адресов или портов по мере необходимости.

Чтобы по-настоящему воспользоваться преимуществами 802.1x, вам нужна коммутационная инфраструктура, которая полностью поддерживает 802.1x (к счастью, это довольно распространено среди коммутаторов среднего класса корпоративного класса).

Mutli-auth делает именно это. Multi-host — это старый режим, который позволяет нескольким устройствам совместно использовать порт, но как только одно из них аутентифицировано, аутентифицируются все. Multi-auth — это новый режим, который заставляет каждый уникальный mac-адрес на порту проходить индивидуальную аутентификацию. Однако некоторые функции отключаются при его использовании, например, различные радиусы назначенных vlan, гостевой vlan и vlan с ошибкой аутентификации, поскольку вы не можете назначить vlan на mac-адрес.

Обновлять- Обратите внимание, что в настоящее время в IOS 12.2(54)SG1 имеется ошибка с множественной аутентификацией и множественными доменами, из-за которой авторизованные порты не пропускают трафик.

Подробности