NAC / 802.1x在Access交换机中的支持遍历地图

通过David Newman，网有个足球雷竞技app络世界实验室联盟

有个足球雷竞技app |

目前许多交换机支持802.1X身份验证，这是n。关键问题是可以期望的访问经过验证的用户。在我们为该项目开发的六个测试场景中，我们在他们将获得访问权限的条件下发现产品之间的重大差异以及他们将允许的方式排列。

在第一个802.1X场景中，客户机(或802.1X-speak中的请求者)成功地获得身份验证，交换机将客户机放入静态定义的VLAN中。所有的交换机都通过了这个基本测试，在这个测试中，交换机将Juniper Odyssey恳求器连接到Juniper钢带半径服务器（见表802.1倍）

第二个情景，涉及所谓的多验证，结果是最有问题的，失败思科和戴尔开关。在这个场景中，有多个用户连接到一个交换机端口，每个用户在被授予访问网络的权限之前必须经过身份验证。我们使用非托管集线器连接多个用户(在只有一个以太网跌落的许多公司会议室中，这是一个常见的用例)。多认证的其他用途包括IP电话(有时有一个双端口交换机，通过电话连接PC)和无线的LAN接入点（特别是所谓的薄接入点，它附在来自多个无线客户端的交换机/控制器和现场关联）。

大多数交换机都要求明确配置多AUTH。这极端多认证开关不需要额外的配置。这样做之后，思科和戴尔交换机验证了第一个用户，但随后允许来自第二个和后续用户的流量进入网络而无需验证。

这种行为的物理世界的模拟是“徽章尾，”在门打开时，带有门徽章的人进入办公楼和其他人。这安全影响是显而易见的。

思科表示，它强烈阻止客户使用多Auth，除了某些用途，例如带有PC的IP电话，然后鼓励客户将流量分离到不同的VLAN上。

严格来说，Multi-Auth实际上是违反了IEEE的802.1x标准。SPEC的MAC中继功能（端口访问实体）包括逻辑开关，可打开或关闭。没有提供一种“选择性开/关”状态，允许一些框架但否认其他框架（见打破了标准侧栏)。

尽管如此，由于多认证有一些常见的用例，它还是得到了相当广泛的支持。正如我们的测试结果所显示的那样，危险在于网络管理员可能会被误导到一种错误的安全意识中，错误地认为启用802.1X将导致对所有流量进行身份验证。

第三种场景涉及动态vlan，要简单得多。这个场景模拟的网络中，流动的笔记本电脑用户可以随机插入任何交换机端口。目标是在成功验证后，交换机动态地将交换机端口分配到给定的VLAN中。

所有交换机，但一个通过此测试;孤独的异常是Dell的PowerConnect 6248，它不支持动态VLAN分配。极端的x450是另一种方式：不仅它通过了这种情况，还允许请求者放入多个未标记的VLAN中。

在第四场景中，我们确定交换机是否可以在成功身份验证时动态启用访问控制列表（ACL），管理客户端可以且不能去的位置。与动态VLAN分配一样，动态ACL可能对移动工作势力有用，而给定的员工应如何访问特定资源，而不管位置如何。

思科，极端，铸造和HP交换机都支持此功能。我们需要使用未记录的语法来获取动态ACL以与HP交换机一起使用，但供应商表示，这已在当前运输软件中纠正（我们没有验证此）。来自Alcatel-Lucent，D-Link和Dell的切换不支持此功能。

到目前为止，所有的802.1X场景都涵盖了身份验证成功的情况。在我们的第五个场景中，我们故意使身份验证失败，以确定交换机是否将客户机放置到来宾VLAN或受限制的VLAN中。这是一种常见的要求，不仅适用于误输入密码的企业员工，也适用于可能没有认证证书的访问者和承包商。所有经过测试的交换机都提供了客户VLAN功能，没有问题。

在我们最后的测试场景中，我们寻找同时支持非802.1X客户机和支持802.1X客户机的开关。不管怎样，802.1X还没有普及。有大量的网络设备，如打印机，没有802.1X请求软件。为此，最好有一个被思科称为“MAC认证绕过”的功能。

我们测试的所有交换机(除了两个交换机(来自D-Link和Dell))都支持在客户端不支持802.1X时退回到MAC身份验证。D-Link的3650确实支持MAC身份验证，但不能与802.1X同时支持。戴尔的PowerConnect 6248不支持MAC身份验证，尽管它可以限制对用户定义的MAC地址数量的访问。

思科的Catalyst 3750E也支持三个我们没有测试的802.1X场景。它可以将非802.1X客户端放置到一个特殊的受限制VLAN中，这与未授权或未修复的802.1X客户端使用的来宾VLAN不同。如果802.1X身份验证没有在给定的时间范围内发生，它可以自动退回到基于web的身份验证。它可以在一个端口上对多个设备进行身份验证，并将每个设备放置在不同的VLAN中(这与上面的多身份验证情况不同，在多身份验证情况下，所有设备进入相同的VLAN)。我们没有测试这些额外的功能。

<以前的故事:测试表明，组播分组容量是接入交换机的一个重要区分因素|下一个故事：大多数交换机都有助于遵循安全管理最佳实践>