Я хочу настроить Linux в качестве шлюза (dhcp и nat), и я хотел бы добавить 802.1x в качестве протокола аутентификации. Мой вопрос, я помню в прошлом, что он имеет сильное соединение с портом (чтение физического порта), это означает, что если у меня есть коммутатор, подключенный к моему FW, и первое использование аутентифицируется на нем, это означает, что все другие использования на этом коммутаторе (или весь трафик, который идет с этого порта) будет аутентифицирован .. это правда?
Я бы не согласился с т. К. Simon, 802.1x разрабатывался с учетом коммутаторов.
Чтобы 802.1x работал правильно. у вас может быть только одно устройство, подключенное к порту коммутатора, если вам нужно больше портов, вам нужно больше коммутаторов, которые могут быть клиентами RADIUS, без коммутаторов, поддерживающих аутентификацию 802.1x, в вашей сети не может быть 802.1x.
Аутентификация основана на портах, поэтому, если вы объединяете коммутаторы в стек, вы можете настроить порт так, чтобы не требовать аутентификации, на каждом коммутаторе это будет как минимум восходящий канал к магистрали / серверу и ссылки на другие коммутаторы.
Были шаги по внедрению аутентификации на основе клиента, но AFAICR не имел коммутатора на рынке или его поддерживали только коммутаторы очень высокого класса. Это могло быть сочтено небезопасным, на данный момент не могу вспомнить детали.
к сожалению, это не сработает ... (ну, может быть, но для того, кто знает, чего он хочет и как это получить, это было бы легко обойти)
ссылка: http://de.narkive.com/2010/9/11/2608887-802-1x-iptables.html
кроме того, аутентификатор обычно / по замыслу является коммутатором / маршрутизатором, а не машиной
802.1x разработан для WLAN