我可以使用 802.1x 和 LACP 来保护网络基础设施吗?

网络工程 IEEE-802.1ax IEEE-802.1x
2021-07-06 05:18:13

假设你有一个这样的网络:

                   +-------------------------+         +---------------------------+
                   |                         |         |                           |
                   |                         |         |                           |
+--------+         |           core          |---------|           core            |
| radius |---------|         switch #1       |---------|         switch #2         |
| server |         |                         |         |                           |
+--------+         |                         |         |                           |
                   +-------------------------+         +---------------------------+
                         |            |                      |               |
                   +-----------+ +-----------+         +-------------+ +-----------+
                   |  access   | |  access   |         |   access    | |  access   |
                   | switch #1 | | switch #2 |         | switch #N-1 | | switch #N |
                   +-----------+ +-----------+         +-------------+ +-----------+

我想确保无法将设备(PC 或其他交换机)连接到不允许的网络。因此我正在考虑使用 802.1x 来验证交换机。我的计划是遵循本演示文稿的幻灯片 79 和 80 中解释的最佳实践

当我需要用多条以太网电缆连接两个核心交换机时,问题就出现了,因为 1Gbps 不够用,但使用光纤太贵了。

我正在阅读HP 的这份文件,他们说

为帮助维护安全,交换机不允许在同一端口上同时启用 802.1X 和 LACP。

所以我想知道这个限制是由于 HP 产品还是由于协议的设计。

我的主要疑问是攻击者拔掉了核心交换机之间的一根以太网电缆并连接了另一台交换机,这可以拦截流量,因为交换机没有在中继端口上使用 802.1x。

可以将 802.1x 与中继端口一起使用吗?

1个回答

802.1x 是专门为终端设备设计的,用于向网络交换机进行身份验证,而不是为交换机到交换机的连接而设计的。因此,您几乎不可能找到任何可以作为 802.1x 客户端的交换机,因此您的 Y 问题的答案是否定的。

回答您的 X 问题(请参阅XY 问题)- 只有通过维护网络硬件和布线基础设施的物理安全才能合理地防止恶意实体监视和拦截流量正如@Ron 所提到的,将设备配置为可以放置在任何一个交换机之间的网络分路器是微不足道的 - 前提是可以实现物理访问 - 然后可以被动地监视网络上的流量,无论是否您已配置 802.1x。MACSEC 将是可能阻止此类攻击的技术措施的一个示例。

其它你可能感兴趣的问题
上一篇为什么网络协议中有保留位或字节? 下一篇使用源作为广播的欺骗以太网