我可以使用802.1x和LACP来保护网络基础设施吗?
我可以使用802.1x和LACP来保护网络基础设施吗?
提问于 2016-02-19 12:43:03
假设您有这样一个网络:
+-------------------------+ +---------------------------+
| | | |
| | | |
+--------+ | core |---------| core |
| radius |---------| switch #1 |---------| switch #2 |
| server | | | | |
+--------+ | | | |
+-------------------------+ +---------------------------+
| | | |
+-----------+ +-----------+ +-------------+ +-----------+
| access | | access | | access | | access |
| switch #1 | | switch #2 | | switch #N-1 | | switch #N |
+-----------+ +-----------+ +-------------+ +-----------+我想确保不可能将设备(pc或其他交换机)连接到不允许的网络。因此,我正在考虑使用802.1x来验证交换机。我的计划是遵循这份报告的幻灯片79和80中解释的最佳实践。
当我需要用多个以太网电缆连接两个核心交换机时,问题就出现了,因为1 1Gbps是不够的,但是使用光纤太昂贵了。
我正在读惠普的本文件,他们说
为了帮助维护安全,交换机不允许在同一端口同时启用802.1X和LACP。
因此,我想知道这一限制是由于惠普的产品,还是由于协议的设计。
我主要怀疑的是,攻击者会解除核心交换机之间的以太网电缆之一,并附加另一个交换机,因为交换机在主干端口上没有使用802.1x,因此可以拦截通信量。
将802.1x与主干端口结合使用是可行的吗?
回答 1
Network Engineering用户
回答已采纳
发布于 2016-02-20 03:30:01
802.1x是专门为终端设备设计的,用于对网络交换机进行身份验证,而不是为交换机到交换机连接而设计的。因此,很难找到任何能成为802.1x客户端的交换机,所以Y问题的答案是否定的。
要回答您的X问题(请参阅XY问题)- -只有通过维护网络硬件的物理安全性和布线基础设施,才能合理地实现防止恶意实体监视和拦截通信量。正如@Ron所提到的,配置一个设备作为一个网络点击是很简单的,它可以放置在任何一个可以实现物理访问的交换机( -provided )之间--然后,不管您是否配置了802.1x,都可以被动地监视网络上的流量。MACSEC将是一个技术措施的例子,可以潜在地防止这类攻击。
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://networkengineering.stackexchange.com/questions/27980
复制相关文章
相似问题
腾讯云开发者
