802.1x多设备

Question

我正在实施有线802.1x。我一直在测试惠普2530开关，一切似乎都正常。在另一个网站上，我使用Brocade (现在的Ruckus) 6450开关。我可以启用802.1x，设备可以进行身份验证。

HP交换机似乎对交换机上的端口进行了身份验证，但锦绣交换机似乎验证了mac地址。区别在于，如果我将另一个交换机附加到HP交换机上，那么多个设备或mac地址可以在单个端口上传递它们的通信量。在锦绣设备上，任何新的mac地址都需要进行身份验证。但是，由于我添加的第二个交换机是进行身份验证，连接到此交换机的客户端最终被阻塞。

我现在不能用无线接入点来测试它，但是我的测试表明，虽然我的接入点可以进行身份验证，但是连接到接入点的客户端不能。我还有许多Axis网络视频编码器(P7216，https://www.axis.com/en-gb/products/axis-p7216)，它们只有一个网络端口，使用四个MAC和IP地址。再一次，我想只有一个MAC地址会进行身份验证。

有人有这方面的经验吗？我认为它应该是我可以禁用的特性(或者只是无意中启用的)。但我不知道它会叫什么。我可以看到在一个端口上对多个设备进行身份验证是如何有用的，但在我已经给出的情况下，情况并非如此。

谢谢

编辑：

目前，为了测试目的，我正在使用HP/阿鲁巴2530-8开关作为我的求救者。我实际上将使用Arbuba 315无线接入点和我提到的轴心设备。这是因为我在现场的身份验证开关不支持POE，Axis编码器也在生产中。

在我工作的站点上，我们使用HP/阿鲁巴2530-48g-poe+交换机作为接入交换机。当我将2530-8连接到2530-48-poe+开关时，radius服务器将以通常的方式返回vlan配置，并且验证器上的端口将按指定的方式配置。插入2530-8交换机的客户端不需要对2530-8交换机进行身份验证，他们可以通过在2530-48-poe+交换机上启用的端口访问网络。这就是我想要的。

在另一个网站，我们使用博科6450开关。当同样的2530-8开关插头进入织锦开关时，2530-8开关是启用的，我可以打开请求开关的管理接口。但是，连接到2530-8的客户端被充当身份验证者的锦绣交换机阻塞，因为它看到客户端的mac地址，并认为它们没有经过身份验证。我不想这样。

我相信阿鲁巴/惠普，这两种情况是端口模式802.1x和用户模式802.1x。但我不确定这是否适用于其他制造商。Brocade有关于使用多个用户的文档，这些用户是在一个端口上进行身份验证的，但是实现不像我所希望的那样工作。实际上，客户仍然需要针对锦绣交换机进行身份验证，但这反过来又被2530-8交换机阻止，因为它正在处理身份验证。

Answer 1

802.1X是一种为边缘端口设计的端口认证协议--单链路、单客户端、单MAC地址。

当没有更好的方法来保护端口访问时，使用802.1X。更好和可能更安全的方法包括确保物理访问-保持柜子或衣柜在任何时候都锁着。

顺便说一句，802.1X在设计上并不是一个傻瓜(一点也不.)。只有很少的实现真的很难被愚弄--通常一个简单的中继器集线器和一个身份验证的客户端完成了这个任务。如果您需要“完美”的安全性，您将需要MACsec。

当一个端口有多个MAC地址时，802.1X就没有意义了。虽然多个MACs确实适用于多个实现，但它们不适用于其他实现(这实际上比普通的802.1X稍好一些)。

通常，您不会在交换机、其他桥接设备或路由器或主机之间使用802.1X --还有更好的选择，参见上文。

总之，您将只在边缘交换机上使用802.1X，而只在边缘端口上使用，而不是在上行端口上使用。