我们有一系列 Unifi、Meraki 和 Arista 交换机可供选择。我们目前正在尝试整理我们的 802.1x/RADIUS 基础设施
似乎 Meraki 具有最好的 802.1x 支持(例如,支持多重身份验证、支持 MAC 地址旁路等) - 是否可以让 Meraki 交换机上游,然后让下游的其他交换机无缝地传递 EAP 帧?有什么我们应该注意的警告吗?
我应该在所有其他下游端口上禁用 802.1x 并让它们保持打开状态吗?
所有交换机都能无缝通过 802.1x EAP 吗?有什么注意事项吗?
网络工程
端口安全
IEEE-802.1x
梅拉基
2022-02-18 10:08:49
2个回答
802.1X EAP 帧应该只在客户端(请求者)和它的上行链路交换机(认证者)之间使用。然后,身份验证器使用更高层协议与身份验证服务器进行通信。高层协议可以根据需要进行交换和路由。
您不能跨多个交换机使用 802.1X 身份验证。本质上,这只会验证身份验证交换机上的下行链路端口 - 这本质上会验证下游的所有端口。
此外,您不应在交换机之间使用 802.1X。使用边缘交换机对边缘端口进行身份验证并信任您的互连端口。
假设您尝试使用 802.1x 来允许或阻止客户端通过给定的交换机端口(即 802.1x 标准中定义的端口访问控制)进行通信,那么您描述的场景不起作用。该标准明确指出:“基于端口的访问控制的操作假定其操作的端口在单个请求者和单个身份验证器之间提供点对点连接”,如果您尝试这样做,情况并非如此使用上游交换机处理访问协商。