802.1X precisa de uma única porta por dispositivo?

Question

802.1X precisa de uma única porta por dispositivo?

#1 resposta do (2 votos)
#2 resposta do (1 votos)

4

Estamos planejando implementar o 802.1X. O que não está claro é se um switch que suporta 802.1X pode autenticar com sucesso e corretamente vários dispositivos conectados à porta do switch same (por exemplo, se tivermos um departamento usando um hub com vários computadores para "compartilhar" o Porto)? Se sim, como o protocolo valida a fonte de pacotes?
Ou a implementação do 802.1X exigirá que compremos switches de suporte 802.1X caros e caros, para uma porta por dispositivo?

networking security 802.1 local-area-network

por Alex 25.11.2011 / 05:02

2 respostas

1

O mutli-auth faz exatamente isso. O multi-host é um modo mais antigo que permite que vários dispositivos compartilhem a porta, mas, uma vez autenticado, todos eles são autenticados. Multi-auth é um modo mais novo que força cada endereço MAC exclusivo em uma porta para autenticar individualmente. No entanto, alguns recursos são desativados quando você o usa, como vlans de raio diferentes, guest vlan e auth fail vlan, já que não é possível atribuir um endereço vlan por mac.

Atualização - Esteja ciente de que existe atualmente um bug no IOS 12.2 (54) SG1 com multi-auth e multi-domínio onde as portas autorizadas não passam tráfego.

Detalhes

por 01.12.2011 / 17:56

Tags networking security 802.1 local-area-network

Vários servidores da web autenticados pelo SPNEGO em um nome de host Problemas com ProxyPass e ProxyPassReverse ao fazer proxy para localhost e uma porta TCP diferente

score 2 · Accepted Answer

Você ainda poderá fazer a autenticação 802.1x baseada em porta, mas apenas para o hub inteiro. No que diz respeito ao autenticador 802.1x, ele é apenas capaz de permitir ou proibir (ou atribuir a diferentes VLANs) aquela porta à qual o hub está conectado. Imagine o que acontecerá com um cliente autentica essa porta em uma VLAN confiável, mas outro cliente autentica essa porta em uma VLAN não confiável. Do ponto de vista do autenticador, você não poderá "validate the source of packets" apenas a porta que o seu hub está conectado também (e, portanto, tudo o que está conectado a ele).

Se você precisar de autenticação baseada em porta em um comutador ou precisar autenticar um dispositivo que não ofereça suporte ao 802.1x, pode confiar no desvio de autenticação MAC, que é essencialmente apenas endereços IP ou de lista branca, conforme necessário.

Para realmente aproveitar o 802.1x, você precisa de uma infraestrutura de comutação que suporte totalmente o 802.1x (por sorte, é bastante comum em switches de nível corporativo de médio porte).