Cisco Cisco SG500-52PP 52-port Gigabit Max PoE+ Stackable Managed Switch 用户指南
安全:802.1x 验证
验证方概述
371
思科 200、 300 和 500 系列管理型交换机管理指南 (内部版本)
22
主机模式与访客 VLAN
主机模式可通过以下方式与访客 VLAN 一起使用:
•
单个主机和多个主机模式
属于访客 VLAN 且到达未经授权端口的 Untagged 流量和 Tagged 流量将通过
访客 VLAN 进行桥接。其他所有流量都会被丢弃。属于未经验证 VLAN 的流量
将通过 VLAN 进行桥接。
访客 VLAN 进行桥接。其他所有流量都会被丢弃。属于未经验证 VLAN 的流量
将通过 VLAN 进行桥接。
•
第 2 层中的多会话模式
不属于未经验证的 VLAN 且来自未经授权客户端的 Untagged 流量和 Tagged
流量将使用 TCAM 规则分配给访客 VLAN,并通过访客 VLAN 进行桥接。属于
未经验证 VLAN 的 Tagged 流量将通过 VLAN 进行桥接。
流量将使用 TCAM 规则分配给访客 VLAN,并通过访客 VLAN 进行桥接。属于
未经验证 VLAN 的 Tagged 流量将通过 VLAN 进行桥接。
此模式无法在与基于策略的 VLAN 相同的界面上配置。
•
第 3 层中的多会话模式
此模式不支持访客 VLAN。
RADIUS VLAN
分配或动态 VLAN 分配
RADIUS
服务器可以向授权客户端分配 VLAN,前提是此选项已在“端口验证”页面
启用。这称为动态 VLAN 分配 (DVA),也称为 RADIUS 分配的 VLAN。本指南使用
“RADIUS 分配的 VLAN”这一术语。
“RADIUS 分配的 VLAN”这一术语。
当端口处于多会话模式下且已启用 RADIUS 分配的 VLAN 时,设备会自动添加端口作
为 RADIUS 服务器在验证过程中所分配的 VLAN 的 Untagged 成员。如果 Untagged
数据包源自经过验证和授权的设备或端口,则设备会将这些数据包划分为分配的
VLAN
为 RADIUS 服务器在验证过程中所分配的 VLAN 的 Untagged 成员。如果 Untagged
数据包源自经过验证和授权的设备或端口,则设备会将这些数据包划分为分配的
VLAN
。
有关设备上启用 RADIUS 分配的 VLAN 时不同模式如何运作的更多信息,请参阅表 3.
访客 VLAN 支持和 RADIUS-VLAN 分配支持以及
访客 VLAN 支持和 RADIUS-VLAN 分配支持以及
注
RADIUS VLAN
分配仅在 Sx500 设备处于第 2 层系统模式时受到支持。SG500X 和
SG500XG
设备在基本和高级混合堆叠模式下的作用类似 Sx500 设备。
对于要在已启用 DVA 的端口处进行验证和授权的设备:
•
RADIUS
服务器必须验证该设备,并为其动态分配一个 VLAN。您可以在“端
口验证”页面将“RADIUS VLAN 分配”字段设置为静态。这可以让主机根据
静态配置进行桥接。
静态配置进行桥接。