Cisco Cisco SG500-52PP 52-port Gigabit Max PoE+ Stackable Managed Switch 用户指南
安全:802.1x 验证
验证方概述
思科 500 系列可堆叠管理型交换机管理指南
379
23
•
多会话模式
与单个主机和多个主机模式不同,多会话模式下的端口不具有验证状态。此状态会分配给每个与端口连接
的客户端。此模式需要 TCAM 查询。由于第 3 层模式交换机没有为多会话模式分配的 TCAM 查询,因
此,它们支持有限形式的多会话模式,该模式不支持访客 VLAN 和 RADIUS VLAN 属性。端口上允许的
最大授权主机数量在“端口配置”页面配置。
的客户端。此模式需要 TCAM 查询。由于第 3 层模式交换机没有为多会话模式分配的 TCAM 查询,因
此,它们支持有限形式的多会话模式,该模式不支持访客 VLAN 和 RADIUS VLAN 属性。端口上允许的
最大授权主机数量在“端口配置”页面配置。
无论主机是否经过授权,属于未经验证 VLAN 的 Tagged 流量始终会被桥接。
如果 VLAN 上已定义和启用访客 VLAN,那么来自未经授权主机且不属于未经验证 VLAN 的 Tagged 流量
和 Untagged 流量将重新映射到访客 VLAN;如果端口上未启用访客 VLAN,则此类流量会被丢弃。
和 Untagged 流量将重新映射到访客 VLAN;如果端口上未启用访客 VLAN,则此类流量会被丢弃。
如果 RADIUS 服务器为授权主机分配了一个 VLAN,则其所有不属于未经验证 VLAN 的 Tagged 和
Untagged
Untagged
流量都将通过 VLAN 进行桥接;如果未分配 VLAN,其所有流量都将根据静态 VLAN 成员关系
端口配置进行桥接。
以下设备支持无访客 VLAN 和 RADIUS-VLAN 分配的多会话模式:
-
第 3 层路由器模式下的 Sx500/ESW2-550X
-
基本和高级混合堆叠模式下的 SG500X
-
SG500XG
多种验证方法
如果交换机启用了不止一种验证方法,则适用如下验证方法层级:
•
802.1x
验证:最高
•
基于 WEB 的验证
•
基于 MAC 的验证:最低
多种方法可同时运行。当一种方法成功完成时,客户端会变为已授权状态,优先级更低的方法将停止,而优先级
更高的方法则会继续运行。
更高的方法则会继续运行。
当同时运行的多种验证方法有一种失败时,其他方法会继续运行。
当验证方法针对一个已由较低优先级验证方法验证的客户端成功完成时,将适用新验证方法的属性。如果新方法
失败,则客户端将保留经旧方法授权的状态。
失败,则客户端将保留经旧方法授权的状态。
基于 802.1x 的验证
基于 802.1x 的验证方依赖于 802.1x 请求方和验证服务器之间透明的 EAP 消息。请求方和验证方之间的 EAP 消
息将封装到 802.1x 消息中,而验证方和验证服务器之间的 EAP 消息将封装到 RADIUS 消息中。
息将封装到 802.1x 消息中,而验证方和验证服务器之间的 EAP 消息将封装到 RADIUS 消息中。