我正在考虑使用我们的 Cisco 3750 交换机和我们的 RADIUS 服务器在我们的以太网端口上进行 802.1x 身份验证。
如果我启用了802.1x,并且用户将交换机连接到他们的以太网插孔,并且第一个工作站连接并成功通过身份验证,那么任何经过身份验证后连接到交换机的工作站也可以通过流量,或者您可以配置3750提示新的凭据工作站,同时仍将流量传递到第一个成功通过身份验证的工作站?
多个 802.1x 客户端,Cisco 3750 交换机上的单端口支持?
网络工程
思科
思科-ios
顺式催化剂
IEEE-802.1x
思科-3750
2022-02-22 13:44:03
2个回答
任何符合 802 的交换机都不会转发 EAPOL。因此,级联交换机必须拥有自己的 802.1x 客户端才能启用到上游交换机的流量。(我不知道任何具有此功能的商用交换机)
802.1x 只授权物理端口通过流量。它不限制允许通过端口的 MAC——这就是端口安全介入的地方。
当您在端口上启用端口安全和 802.1x 认证时,802.1x 认证会对端口进行认证,端口安全管理所有 MAC 地址的网络访问,包括客户端的 MAC 地址。然后,您可以限制可以通过 802.1x 端口访问网络的客户端数量或组。
您需要从交换机间链路中删除 802.1X 身份验证。
802.1X 是客户端的端口身份验证协议,应仅用于连接到单个客户端的边缘/访问端口。如果您的接入交换机不支持 802.1X,您将无法使用它。
802.1X 是一种在其另一端暴露在例如可自由访问的工作空间中时保护端口访问的方法。其他开关或设备的端口应通过其他方式保护,通常通过上锁的机柜或壁橱。
不合规的“哑”交换机或中继器集线器会破坏 802.1X,因此交换机/集线器上的单个身份验证客户端会为任何流量打开端口(以及整个交换机/集线器)。请注意,当仅用作端口安全措施时,可以很容易地绕过 802.1X。