Cisco Systems 3560X Manual De Usuario

Descargar
Página de 1438
 
11-13
Catalyst 3750-X and 3560-X Switch Software Configuration Guide
OL-21521-01
Chapter 11      Configuring IEEE 802.1x Port-Based Authentication
Understanding IEEE 802.1x Port-Based Authentication
MAC Move
When a MAC address is authenticated on one switch port, that address is not allowed on another 802.1x 
port of the switch. If the switch detects that same MAC address on another 802.1x port, the address is 
not allowed. 
There are situations where a MAC address might need to move from one port to another on the same 
switch. For example, when there is another device (for example a hub or an IP phone) between an 
authenticated host and a switch port, you might want to disconnect the host from the device and connect 
it directly to another port on the same switch.
You can globally enable MAC move so the device is reauthenticated on the new port. When a host moves 
to a second port, the session on the first port is deleted, and the host is reauthenticated on the new port. 
MAC move is supported on all host modes. (The authenticated host can move to any port on the switch, 
no matter which host mode is enabled on the that port.)
Note
MAC move is not supported on port-security enabled 802.1x ports. If  MAC move is globally configured 
on the switch and a port security-enabled host moves to an 802.1x-enabled port, a violation error occurs.
For more information see the 
802.1x Accounting
The 802.1x standard defines how users are authorized and authenticated for network access but does not 
keep track of network usage. 802.1x accounting is disabled by default. You can enable 802.1x accounting 
to monitor this activity on 802.1x-enabled ports:
  •
User successfully authenticates.
  •
User logs off.
  •
Link-down occurs.
  •
Re-authentication successfully occurs.
  •
Re-authentication fails.
The switch does not log 802.1x accounting information. Instead, it sends this information to the 
RADIUS server, which must be configured to log accounting messages.
802.1x Accounting Attribute-Value Pairs
The information sent to the RADIUS server is represented in the form of Attribute-Value (AV) pairs. 
These AV pairs provide data for different applications. (For example, a billing application might require 
information that is in the Acct-Input-Octets or the Acct-Output-Octets attributes of a RADIUS packet.)
AV pairs are automatically sent by a switch that is configured for 802.1x accounting. Three types of 
RADIUS accounting packets are sent by a switch:
  •
START–sent when a new user session starts
  •
INTERIM–sent during an existing session for updates
  •
STOP–sent when a session terminates