我們計劃實施 802.1X。目前尚不清楚支援 802.1X 的交換器是否能夠成功且正確地驗證連接到該網路的多個裝置。相同的交換器連接埠(例如,如果我們有一個部門使用帶有一堆電腦的集線器來「共用」連接埠)?如果是這樣,協議如何驗證資料包的來源?
或者實施 802.1X 是否需要我們購買大量昂貴的 802.1X 支援交換器(每個設備一個連接埠)?
答案1
您仍然可以進行基於連接埠的 802.1x 身份驗證,但僅限於整個集線器。就 802.1x 驗證器而言,它只能允許或禁止(或指派給不同的 VLAN)集線器所連接的一個連接埠。想像一下,當一個客戶端向受信任的 VLAN 驗證該端口,但另一個客戶端向不可信的 VLAN 驗證該端口時,會發生什麼情況。從身份驗證器的角度來看,您將無法"validate the source of packets"僅存取集線器所連接的連接埠(以及連接到它的所有內容)。
如果您需要在交換器上進行基於連接埠的身份驗證或需要對不支援 802.1x 的裝置進行身份驗證,您可以依靠 MAC 身份驗證繞過,這本質上只是根據需要將 MAC 位址或連接埠列入白名單。
要真正利用 802.1x,您需要一個完全支援 802.1x 的交換基礎架構(幸運的是,它在中端企業級交換器上很常見)。
答案2
多重身份驗證正是這樣做的。多主機是一種較舊的模式,允許多個設備共享端口,但一旦其中一個設備經過身份驗證,所有設備都會經過身份驗證。多重身份驗證是一種較新的模式,它強制連接埠上的每個唯一 MAC 位址單獨進行身份驗證。但是,當您使用它時,某些功能會被停用,例如不同半徑指派的 VLAN、來賓 VLAN 和驗證失敗 VLAN,因為您無法為每個 MAC 位址指派 VLAN。
更新- 請注意,具有多重驗證和多網域功能的 IOS 12.2(54)SG1 目前存在一個錯誤,其中授權連接埠不傳遞流量。