802.1X需要每个设备的单个端口?

我们正在计划实施802.1X。 不清楚的是,支持802.1X的交换机是否可以成功和正确地authentication连接到同一个交换机端口的多个设备(例如,如果我们有一个部门使用集线器与一堆计算机“共享”端口)? 如果是这样,协议如何validation数据包的来源?
或者,实现802.1X将需要我们购买昂贵的802.1X支持交换机,每个设备一个端口?

您仍然可以执行基于端口的802.1x身份validation,但仅限于整个集线器。 就802.1xauthentication者而言,它只是允许或不允许(或分配给不同的VLAN)集线器连接的一个端口。 想象一下,当一个客户端将这个端口authentication为一个信任的VLAN时会发生什么情况,但是另一个客户端将这个端口authentication为一个不信任的VLAN。 从authentication者的angular度来看,你将不能"validate the source of packets"只能看到你的中心连接的端口(也就是所有连接的端口)。

如果您需要在交换机上进行基于端口的身份validation,或者需要对不支持802.1x的设备进行身份validation,则可以依赖MAC身份validation旁路(MAC身份validation旁路),该身份validation实质上只是将MAC地址或端口列入白名单中。

要充分利用802.1x,您需要一个完全支持802.1x的交换基础设施(幸运的是,它在中档企业级交换机上非常普遍)。

Mutli-auth正是这样做的。 多主机是一种较旧的模式,允许多个设备共享端口,但是一旦被authentication,它们都被authentication。 多重authentication是一种较新的模式,强制端口上的每个唯一的MAC地址进行单独的authentication。 但是,某些function在使用时会被禁用,例如不同的radius分配了vlans,guest vlan和auth fail vlan,因为您无法为每个mac地址分配一个vlan。

更新 – 请注意,IOS 12.2(54)SG1中存在一个多重授权和多域授权端口不通过stream量的错误。

细节