Мы планируем внедрить 802.1X. Неясно, может ли коммутатор, поддерживающий 802.1X, успешно и правильно аутентифицировать несколько устройств, подключенных к тем же порт коммутатора (например, если у нас есть подразделение, использующее концентратор с несколькими компьютерами для «совместного использования» порта)? Если да, то как протокол проверяет источник пакетов?
Или внедрение 802.1X потребует от нас покупки огромных дорогих коммутаторов с поддержкой 802.1X для одного порта на устройство?
Вы по-прежнему сможете выполнять аутентификацию 802.1x на основе портов, но только для всего концентратора. Что касается аутентификатора 802.1x, он может просто разрешить или запретить (или назначить разным VLAN) один порт, к которому подключен концентратор. Представьте, что произойдет, если клиент аутентифицирует этот порт в доверенной VLAN, а затем другой клиент аутентифицирует этот порт в ненадежной VLAN. С точки зрения аутентификатора вы не сможете "validate the source of packets" только порт, к которому подключен ваш хаб (и, следовательно, все, что к нему подключено).
Если вам требуется аутентификация на основе портов на коммутаторе или вам необходимо аутентифицировать устройство, которое не поддерживает 802.1x, вы можете положиться на обход MAC-аутентификации, который, по сути, просто заносит в белый список MAC-адреса или порт по мере необходимости.
Чтобы действительно воспользоваться преимуществами 802.1x, вам нужна инфраструктура коммутации, полностью поддерживающая 802.1x (к счастью, это довольно распространено на коммутаторах среднего уровня корпоративного уровня).
Mutli-auth делает именно это. Мульти-хост - это более старый режим, который позволяет нескольким устройствам совместно использовать порт, но как только одно аутентифицируется, аутентифицируются все они. Мульти-аутентификация - это новый режим, который заставляет каждый уникальный MAC-адрес на порту аутентифицироваться индивидуально. Однако при его использовании некоторые функции отключаются, например vlan с разными радиусами, гостевой vlan и auth fail vlan, поскольку вы не можете назначить vlan для каждого MAC-адреса.
Обновить - Имейте в виду, что в настоящее время в IOS 12.2 (54) SG1 есть ошибка с несколькими аутентификациями и несколькими доменами, когда авторизованные порты не пропускают трафик.