取消
显示结果 
搜索替代 
您的意思是: 
cancel
10122
查看次数
0
有帮助
5
回复

求助:接入交换机如何才能让EAP报文透传,使认证点在上游的核心设备上

zhaigaolei
Level 1
Level 1
如题,接入交换机上接着一台核心交换机,核心交换机的端口上配置了802.1X认证,接入交换机不配置认证。用户在接入交换机上接入后,发起802.1X认证流程,如何才能让接入交换机透传EAP报文,是用户成功在核心交换机上线。
5 条回复5

zhaigaolei
Level 1
Level 1
各位大侠,请问思科交换机有没有办法透传EAP报文,没找到相关的命令行啊?

YilinChen
Spotlight
Spotlight
091300fqxzpp65j60prpls.png
楼主可以参考上图,接入交换机配置802.1x,同样的,是接入交换机通过3A(Radius/Tacas+协议),单播将认证信息发送给3A服务器,这里的3A服务器,可以是核心交换机(本地认证),也可以是ACS,或独立的Radius/Tacas+服务器;所以,不需要纠结“认证点上移”;
通常多层结构的组网,接入交换机/汇聚交换机/核心交换机,只需要在接入层(最靠近终端的)配置802.1x,而汇聚/核心上并不需要配置;

zhaigaolei
Level 1
Level 1
YilinChen 发表于 2018-10-9 09:17
楼主可以参考上图,接入交换机配置802.1x,同样的,是接入交换机通过3A(Radius/Tacas+协议),单播将认 ...

感谢你的回答,我明白你的意思。
但是有些场景下需要把接入的节点放在核心设备上,接入交换机的ACL资源较少,用户做802.1X用户认证之后对每个接口下发策略,会占用大量的ACL资源,有时候会导致ACL不够用,放在核心交换机上可以减少一些重复的ACL资源下发。
其次,EAP报文的目的MAC为0180C2000003,MACSEC协议交互认证报文也是这个目的MAC地址,如果两个需要MACSEC对接的设备连接在一个接入交换机上,如果可以配置对EAP报文透传,是可以让另个非直连设备能够建立MACSEC的。
所以不知道思科的2960,3850等设备是否支持EAP报文透传的功能,我找了很长时间没找到相关的功能,请大神们指教。有什么方法可以做到,谢谢

huoran1234
Spotlight
Spotlight
有其他厂家有类似的技术么?叫什么名字?
感觉这个需求怪怪的,如果在核心上做,一台接入设备上的不同用户下发的ACL不一样,这个核心怎么处理啊。。

Rockyw
Spotlight
Spotlight
在接口下执行:authentication port-control force-authorized看看
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接