请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 203|回复: 3

求助:接入交换机如何才能让EAP报文透传,使认证点在上游的核心设备上

[复制链接]
发表于 2018-10-8 16:30:29 | 显示全部楼层 |阅读模式
8可用金钱
如题,接入交换机上接着一台核心交换机,核心交换机的端口上配置了802.1X认证,接入交换机不配置认证。用户在接入交换机上接入后,发起802.1X认证流程,如何才能让接入交换机透传EAP报文,是用户成功在核心交换机上线。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-8 21:10:41 | 显示全部楼层
各位大侠,请问思科交换机有没有办法透传EAP报文,没找到相关的命令行啊?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-9 09:17:37 | 显示全部楼层


楼主可以参考上图,接入交换机配置802.1x,同样的,是接入交换机通过3A(Radius/Tacas+协议),单播将认证信息发送给3A服务器,这里的3A服务器,可以是核心交换机(本地认证),也可以是ACS,或独立的Radius/Tacas+服务器;所以,不需要纠结“认证点上移”;
通常多层结构的组网,接入交换机/汇聚交换机/核心交换机,只需要在接入层(最靠近终端的)配置802.1x,而汇聚/核心上并不需要配置;

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2018-10-9 09:37:15 | 显示全部楼层
YilinChen 发表于 2018-10-9 09:17
楼主可以参考上图,接入交换机配置802.1x,同样的,是接入交换机通过3A(Radius/Tacas+协议),单播将认 ...

感谢你的回答,我明白你的意思。
但是有些场景下需要把接入的节点放在核心设备上,接入交换机的ACL资源较少,用户做802.1X用户认证之后对每个接口下发策略,会占用大量的ACL资源,有时候会导致ACL不够用,放在核心交换机上可以减少一些重复的ACL资源下发。
其次,EAP报文的目的MAC为0180C2000003,MACSEC协议交互认证报文也是这个目的MAC地址,如果两个需要MACSEC对接的设备连接在一个接入交换机上,如果可以配置对EAP报文透传,是可以让另个非直连设备能够建立MACSEC的。
所以不知道思科的2960,3850等设备是否支持EAP报文透传的功能,我找了很长时间没找到相关的功能,请大神们指教。有什么方法可以做到,谢谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-20 11:00 , Processed in 0.085593 second(s), 36 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表