802.1X precisa de uma única porta por dispositivo?

4

Estamos planejando implementar o 802.1X. O que não está claro é se um switch que suporta 802.1X pode autenticar com sucesso e corretamente vários dispositivos conectados à porta do switch same (por exemplo, se tivermos um departamento usando um hub com vários computadores para "compartilhar" o Porto)? Se sim, como o protocolo valida a fonte de pacotes?
Ou a implementação do 802.1X exigirá que compremos switches de suporte 802.1X caros e caros, para uma porta por dispositivo?

    
por Alex 25.11.2011 / 05:02

2 respostas

2

Você ainda poderá fazer a autenticação 802.1x baseada em porta, mas apenas para o hub inteiro. No que diz respeito ao autenticador 802.1x, ele é apenas capaz de permitir ou proibir (ou atribuir a diferentes VLANs) aquela porta à qual o hub está conectado. Imagine o que acontecerá com um cliente autentica essa porta em uma VLAN confiável, mas outro cliente autentica essa porta em uma VLAN não confiável. Do ponto de vista do autenticador, você não poderá "validate the source of packets" apenas a porta que o seu hub está conectado também (e, portanto, tudo o que está conectado a ele).

Se você precisar de autenticação baseada em porta em um comutador ou precisar autenticar um dispositivo que não ofereça suporte ao 802.1x, pode confiar no desvio de autenticação MAC, que é essencialmente apenas endereços IP ou de lista branca, conforme necessário.

Para realmente aproveitar o 802.1x, você precisa de uma infraestrutura de comutação que suporte totalmente o 802.1x (por sorte, é bastante comum em switches de nível corporativo de médio porte).

    
por 25.11.2011 / 07:52
1

O mutli-auth faz exatamente isso. O multi-host é um modo mais antigo que permite que vários dispositivos compartilhem a porta, mas, uma vez autenticado, todos eles são autenticados. Multi-auth é um modo mais novo que força cada endereço MAC exclusivo em uma porta para autenticar individualmente. No entanto, alguns recursos são desativados quando você o usa, como vlans de raio diferentes, guest vlan e auth fail vlan, já que não é possível atribuir um endereço vlan por mac.

Atualização - Esteja ciente de que existe atualmente um bug no IOS 12.2 (54) SG1 com multi-auth e multi-domínio onde as portas autorizadas não passam tráfego.

Detalhes

    
por 01.12.2011 / 17:56