Протокол 802.1х следует использовать только на портах подключения конечных устройств. Применить его на уровне распределения и выше невозможно.

Стандарт предусматривает открытие порта после получения подтверждения идентификации устройства. В результате к порту коммутатора можно подключить небольшой сетевой концентратор с несколькими устройствами. После открытия порта аутентифицированным устройством другие компьютеры смогут беспрепятственно работать в локальной сети.

Для предупреждения такой опасности можно применить несколько решений. Во-первых, включить на портах контроль по МАС-адресам; такую возможность поддерживает большинство коммутаторов. Обнаружение на порту второго устройства с другим MAC-адресом заблокирует порт. Вторая возможность предусматривает контроль за подключенными устройствами; данный режим реализован не для всех моделей коммутаторов. Например, для коммутаторов Cisco режим, когда через порт может работать только одно устройство, называется single-host, а описанный в стандарте - multiple-hosts.

Если предприятие использует IP-телефонию, то подключение телефонных аппаратов и компьютера обычно осуществляется к одному порту коммутатора (используется коммутатор на два порта в телефоне). Как правило, настраивать аутентификацию для IP-телефонов не имеет смысла, поскольку, во-первых, при правильном администрировании подключение аппарата сопровождается вводом соответствующего пароля с консоли телефона, во-вторых, данные аудиопотока выделяются в отдельную VLAN. Поэтому многие модели коммутаторов имеют настройки, позволяющие включить необходимость аутентификации по протоколу 802.1х для всего трафика, кроме IP-телефонии.

Есть ряд устройств, которые не поддерживают данный протокол: во-первых, это компьютеры, на которых установлены старые версии операционных систем, во-вторых, - сетевые принтеры и аналогичные устройства.

В этом случае на соответствующих портах следует использовать иные методы контроля подключенных устройств (например, по MAC-адресам).

⇐Протокол 802.1х | Самоучитель системного администратора | Настройка протокола 802.1х⇒