我正在实施有线 802.1x。我一直在使用 HP 2530 交换机进行测试,一切似乎都运行良好。在另一个站点上,我使用 Brocade(现为 Ruckus)6450 交换机。我可以启用 802.1x 并且设备可以进行身份验证。
HP 交换机似乎对交换机上的端口进行了身份验证,但 brocade 交换机似乎对 MAC 地址进行了身份验证。不同之处在于,如果我将另一个交换机连接到 HP 交换机,那么多个设备或 mac 地址可以让它们的流量通过单个端口。在 brocade 设备上,任何新的 mac 地址都需要进行身份验证。但是因为我添加的第二个交换机正在执行身份验证,所以连接到此交换机的客户端最终被阻止。
我现在无法使用无线接入点对其进行测试,但我的测试表明,虽然我的接入点可以进行身份验证,但连接到接入点的客户端却不能。我还有一些 Axis 网络视频编码器 (P7216 https://www.axis.com/en-gb/products/axis-p7216 ),虽然只有一个网络端口,但使用四个 MAC 和 IP 地址。我再次想象只有一个 MAC 地址可以进行身份验证。
有没有人有这方面的经验?我认为它应该是一个我可以禁用的功能(或只是无意中启用的)。但我不确定它可能被称为什么。我可以看到在单个端口上对多个设备进行身份验证可能很有用,但在我给出的情况下并非如此。
谢谢
编辑:
目前出于测试目的,我使用 HP/Aruba 2530-8 交换机作为我的请求者。我实际上将使用 Arbuba AP-315 无线接入点和我提到的轴设备。这是因为我在现场使用的 Authenticator 开关不支持 POE,并且 Axis 编码器正在生产中。
在我工作的站点上,我们使用 HP/Aruba 2530-48g-poe+ 交换机作为接入交换机。当我将 2530-8 连接到 2530-48-poe+ 交换机时,radius 服务器以通常的方式返回 vlan 配置,并且验证器上的端口按指定配置。插入 2530-8 交换机的客户端无需针对 2530-8 交换机进行身份验证,他们可以通过 2530-48-poe+ 交换机上已启用的端口访问网络。这就是我想要发生的事情。
在另一个站点上,我们使用 Brocade 6450 交换机。当同一个 2530-8 交换机插入到 brocade 交换机时,2530-8 交换机已启用,我可以 ping 请求者交换机的管理接口。但是,连接到 2530-8 的客户端会被充当身份验证器的 brocade 交换机阻止,因为它会看到客户端的 MAC 地址并认为它们没有经过身份验证。我不想要这个。
我相信在 Aruba/HP 这两种情况是端口模式 802.1x 和用户模式 802.1x。但我不确定这是否适用于其他制造商。Brocade 有关于使用多个用户的文档,这些用户在单个端口上进行了身份验证,但实现无法按我的意愿工作。实际上,客户端仍然需要针对 brocade 交换机进行身份验证,但这反过来又被 2530-8 交换机阻止,因为它正在处理身份验证。