802.1X每个设备需要一个端口吗？

Question

我们计划实施802.1X。尚不清楚的是，支持802.1X的交换机是否能够成功和正确地验证连接到同一个交换机端口的多个设备(例如，如果我们有一个部门使用带有一堆计算机的集线器来“共享”端口)？如果是，协议如何验证数据包的来源？

还是实现802.1X将需要我们购买巨大的昂贵802.1X支持交换机，为每个设备的一个端口？

Answer 1

您仍然可以进行基于端口的802.1x身份验证，但只适用于整个集线器。就802.1x身份验证器而言，它只允许或不允许(或分配给不同的VLAN)中心连接到的一个端口。想象一下，客户端将此端口身份验证到受信任的VLAN，而另一个客户端则将此端口验证为不受信任的VLAN。从身份验证器的角度来看，您将不能只将集线器连接的端口(因此也是附加到它的所有端口)进行"validate the source of packets"。

如果需要在交换机上进行基于端口的身份验证，或者需要对不支持802.1x的设备进行身份验证，则可以依赖MAC身份验证旁路，这基本上就是按需要白名单MAC地址或端口。

要真正利用802.1x，您需要一个完全支持802.1x的交换基础结构(幸运的是，它在中等企业级交换机上相当常见)。

Answer 2

穆特罗斯就是这么做的。多主机是一种较旧的模式，允许多个设备共享端口，但一旦其中一个被验证，它们都将被验证。Multi是一种较新的模式，它强制端口上的每个唯一的mac地址单独进行身份验证。但是，在使用vlan时，会禁用一些特性，例如不同的radius分配的vlan、来宾vlan和auth fail，因为您不能为每个mac地址分配vlan。

更新-请注意，目前在IOS 12.2(54)SG1中存在一个错误，它具有多个地址和多个域，其中授权的端口不通过通信量。

详细信息