基于MAC實(shí)現(xiàn)動(dòng)態(tài)VLAN

■

隨著網(wǎng)絡(luò)的不斷擴(kuò)大，交換機(jī)技術(shù)的不斷進(jìn)步，網(wǎng)絡(luò)管理員在布局時(shí)更愿意選擇可網(wǎng)管交換機(jī)，然后在可網(wǎng)管交換機(jī)上應(yīng)用VLAN。所謂的VLAN(virtu-al Local Area Network)，就是可以不考慮用戶的物理位置，而根據(jù)功能，應(yīng)用等因素將用戶從邏輯上劃分為一個(gè)個(gè)功能相對(duì)的工作組，同一個(gè)VLAN中的成員都共享廣播，形成一個(gè)廣播域，而不同VLAN之間廣播信息是相互隔離的，這樣，將整個(gè)網(wǎng)絡(luò)分隔成多個(gè)不同的廣播域(VLAN)，而在VLAN技術(shù)的實(shí)現(xiàn)中，動(dòng)態(tài)VLAN又明顯地受用戶喜愛。

我院局域網(wǎng)是一個(gè)擁有1000個(gè)以上的客戶端的大型網(wǎng)絡(luò)，在對(duì)我院網(wǎng)絡(luò)進(jìn)行動(dòng)態(tài)VLAN改造以前，接入交換機(jī)各端口是用最傳統(tǒng)的方式對(duì)不同部門的計(jì)算機(jī)配置以不同的靜態(tài)VLAN，這樣做的不足之處有如下幾點(diǎn)：

1、在實(shí)現(xiàn)對(duì)接入交換機(jī)各端口VLAN的正確配置之前，網(wǎng)絡(luò)管理員必須先做出一個(gè)冗長(zhǎng)的、復(fù)雜的各部門所屬辦公區(qū)域的網(wǎng)絡(luò)信息點(diǎn)和跳接的交換機(jī)端口之間的對(duì)應(yīng)表，才能根據(jù)這個(gè)表格來對(duì)交換機(jī)端口的VLAN進(jìn)行配置，工作量很大之外，還有一些暫時(shí)沒有分配其所屬部門的區(qū)域，這些區(qū)域里的網(wǎng)絡(luò)信息點(diǎn)所對(duì)應(yīng)的交換機(jī)端口就無法配置。

2、不方便實(shí)現(xiàn)對(duì)外來的計(jì)算機(jī)接入到院網(wǎng)絡(luò)的接入準(zhǔn)入控制。試想，隨意一臺(tái)本不屬于我院網(wǎng)絡(luò)里的外來計(jì)算機(jī)，只需要用一根網(wǎng)線接在墻上的某個(gè)信息點(diǎn)，就可以實(shí)現(xiàn)進(jìn)入到院的辦公用網(wǎng)絡(luò)里，從網(wǎng)絡(luò)安全的角度看，明顯是一個(gè)很大的安全隱患，必須對(duì)此加以管控。

3、在員工的辦公地點(diǎn)變化時(shí)，尤其是部門整體改變辦公地點(diǎn)時(shí)，隨之而來的是大量員工的計(jì)算機(jī)接入的網(wǎng)絡(luò)信息點(diǎn)的變化，由于網(wǎng)絡(luò)信息點(diǎn)對(duì)應(yīng)的交換機(jī)上的端口的VLAN是靜態(tài)的，這往往會(huì)導(dǎo)致其接入到了屬于其它VLAN的端口上。這時(shí)候就需要網(wǎng)絡(luò)管理員在交換機(jī)上去手工的修改端口VLAN，才能使這些計(jì)算機(jī)重新接入到正確的VLAN里來。由于必須重新統(tǒng)計(jì)哪些端口改為哪個(gè)VLAN，這個(gè)過程不僅耗時(shí)，更糟糕的是，還可能由于統(tǒng)計(jì)上的錯(cuò)誤造成端口VLAN配置里的一些錯(cuò)誤，這必將對(duì)正常的工作產(chǎn)生影響。

為了解決以上問題，我院對(duì)局域網(wǎng)內(nèi)的所有接入交換機(jī)的接入端口VLAN采取了基于MAC認(rèn)證來動(dòng)態(tài)分配VLAN的改造。具體做法是：

1、首先，通過資產(chǎn)部門對(duì)我院在用的計(jì)算機(jī)進(jìn)行一次完整統(tǒng)計(jì)，建立一個(gè)數(shù)據(jù)表格，明確計(jì)算機(jī)使用人，計(jì)算機(jī)固定資產(chǎn)登記卡號(hào)，計(jì)算機(jī)所屬部門和計(jì)算機(jī)網(wǎng)卡的MAC地址的對(duì)應(yīng)關(guān)系；

2、增加一個(gè)RADIUS認(rèn)證服務(wù)器，并在RADIUS服務(wù)器里把各個(gè)接入交換機(jī)配置為該RADIUS服務(wù)器的RADIUS客戶端，在我院的案例里使用的是思科的ACS系統(tǒng)，然后把資產(chǎn)部門統(tǒng)計(jì)上來的各個(gè)MAC地址錄入為ACS的用戶；

3、修改接入交換機(jī)的配置，把每臺(tái)接入交換機(jī)設(shè)置為RADIUS客戶端，并把RADIUS服務(wù)器指向ACS，同時(shí)把各個(gè)接入端口配置為基于MAC地址認(rèn)證的動(dòng)態(tài)VLAN端口，網(wǎng)絡(luò)結(jié)構(gòu)如圖1。

這樣做有以下優(yōu)點(diǎn)：

1、員工原有的使用習(xí)慣沒有改變，不需要在每次開機(jī)的時(shí)候手工去輸入用戶名和密碼來驗(yàn)證用戶身份；

2、未登記網(wǎng)卡MAC地址的計(jì)算機(jī)只能處于guest-vlan里，而對(duì)于guest-vlan可以單獨(dú)配置一系列的網(wǎng)絡(luò)安全策略，大大增加了院生產(chǎn)網(wǎng)絡(luò)的安全性；

3、不用再關(guān)注各個(gè)部門所在的區(qū)域的網(wǎng)絡(luò)信息點(diǎn)情況，所有接入交換機(jī)可以做一次性統(tǒng)一配置；

4、各個(gè)部門的員工的辦公地點(diǎn)發(fā)生改變以致計(jì)算機(jī)的網(wǎng)絡(luò)接入點(diǎn)隨之改變時(shí)，無需修改交換機(jī)配置，每臺(tái)計(jì)算機(jī)不論接入在院局域網(wǎng)的哪個(gè)信息點(diǎn)上都不會(huì)改變計(jì)算機(jī)所屬VLAN；

圖1 有線網(wǎng)絡(luò)示意圖

5、網(wǎng)絡(luò)管理員可以方便的把某臺(tái)計(jì)算機(jī)從一個(gè)VLAN改到另一個(gè)VLAN；

6、認(rèn)證只和網(wǎng)卡的MAC地址有關(guān)，和計(jì)算機(jī)的種類及操作系統(tǒng)無關(guān)，認(rèn)證過程不需人工干預(yù)，對(duì)于如網(wǎng)絡(luò)打印機(jī)、網(wǎng)絡(luò)掃描儀等無法手工輸入用戶名和密碼去做認(rèn)證的設(shè)備一樣可以實(shí)現(xiàn)動(dòng)態(tài)VLAN的管理。

基于MAC地址認(rèn)證的動(dòng)態(tài)VLAN工作流程是這樣的：

1、在接入交換機(jī)的端口通過認(rèn)證之前，這個(gè)端口屬于我們定義的guest-vlan，當(dāng)這個(gè)guest-vlan端口收到來自某個(gè)MAC地址的數(shù)據(jù)包時(shí)（通常是一個(gè)DHCP discover廣播包），其所在的交換機(jī)向指定的RADIUS服務(wù)器發(fā)送AAA認(rèn)證請(qǐng)求包，認(rèn)證用的是UDP端口1812，報(bào)文里包括AAA的密鑰，和等待認(rèn)證的用戶名和密碼，其中，用戶名和密碼均為小寫的沒有分隔符的該MAC地址，如112233aabbcc。

2、RADIUS服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進(jìn)行對(duì)比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（access-accept）發(fā)送給RADIUS客戶端（這里指的是接入交換機(jī)）；如果認(rèn)證失敗，則返回access-reject 響應(yīng)包。

3、接入交換機(jī)如果收到的響應(yīng)包是access-accept，則把要求認(rèn)證的端口VLAN從guest-vlan轉(zhuǎn)變成響應(yīng)包里所包含的VLAN ID信息的VLAN；如果收到的響應(yīng)包是access-reject，該 端 口 VLAN保持guest-vlan不變，且在設(shè)定的時(shí)間段內(nèi)再次收到來自該MAC地址的數(shù)據(jù)包時(shí)不再發(fā)起認(rèn)證。

4、一旦端口狀態(tài)變?yōu)閿嚅_連接，該端口上的認(rèn)證立即失效，并回到guest-vlan狀態(tài)

由于基于MAC地址的AAA認(rèn)證只用到了AAA的一小部分功能，AAA工作流程的具體細(xì)節(jié)這里不作過多論述。

相關(guān)設(shè)備的具體配置

配置RADIUS服務(wù)器

我院使用的RADIUS服務(wù)器是思科的CSACS-1121，ACS中安裝的軟件版本是5.2.0.26，由于不同的RADIUS服務(wù)器的具體配置方法不盡相同，但配置的關(guān)鍵步驟是一樣的，這里就以此環(huán)境用截圖的方式簡(jiǎn)要說明ACS里所做的配置。

定義ACS的網(wǎng)絡(luò)配置，配置的IP地址既是后面接入交換機(jī)發(fā)送認(rèn)證請(qǐng)求的目的IP，也是ACS本身的管理IP。如圖2所示。

把每一臺(tái)接入交換機(jī)定義為 AAA Clients，在我院的案例里，每個(gè)樓層的接入交換機(jī)為一個(gè)堆疊，邏輯上每個(gè)堆疊是一個(gè)交換機(jī)，如圖3所示。

同時(shí)為每個(gè)AAA Clients配置AAA認(rèn)證使用的協(xié)議端口和共享密鑰，如圖4所示。

把每一個(gè)VLAN分別定義為一個(gè)Identity Group，在 這 里，每 個(gè)Identity Group的名稱用的是VLAN名，而描述用的是VLAN所對(duì)應(yīng)的實(shí)際部門名稱，如圖5所示。

建立認(rèn)證策略，為每一個(gè)Identity Group定義認(rèn)證通過后賦予的VLAN ID，需要注意的是，思科的ACS里默認(rèn)的Tag是用T:1，但是如果接入交換機(jī)不是思科的，而是其它別的品牌時(shí)，會(huì)要求Tag用T:0，好在當(dāng)我們就設(shè)置為T:0時(shí)思科的交換機(jī)也可正常認(rèn)證，如圖6、圖7所示。

圖2 定義ACS的網(wǎng)絡(luò)配置

圖3 定義交換機(jī)

圖4 配置共享密鑰

圖5 描述VLAN

圖6 建立認(rèn)證策略

如圖8所示，調(diào)用認(rèn)證策略。為每個(gè)MAC地址定義所屬VLAN，在這里，每個(gè)MAC地址就是一個(gè)user，user的用戶名和密碼均為小寫的、沒有分隔符的MAC地址，定義MAC地址所屬VLAN在這里就是配置user所屬的Identity Group，而在每個(gè) user的描述里記錄了該MAC地址在資產(chǎn)部門登記的計(jì)算機(jī)使用人和固定資產(chǎn)卡號(hào)，這樣做的好處是，以后可以方便的通過檢索user的描述來通過使用人姓名或固定資產(chǎn)卡號(hào)查詢到對(duì)應(yīng)的MAC地址及其所屬VLAN，如圖 9、10所示。

配置匯聚交換機(jī)

在匯聚交換機(jī)上把所有連接接入交換機(jī)的端口配置為trunk，并允許所有在ACS中定義了的各個(gè)VLAN通過。

配置接入交換機(jī)

把各個(gè)接入交換機(jī)到匯聚交換機(jī)的上聯(lián)口配置為trunk，并允許所有在ACS中定義了的各個(gè)VLAN通過。

我院的接入交換機(jī)使用的是思科的2960系列交換機(jī),在這里就以思科2960為例來介紹基于MAC地址的動(dòng)態(tài)VLAN的配置方法。

首先進(jìn)行全局配置：

aaa new-model（啟 用AAA，使用全局配置命令）

aaa authentication login default local(在用telnet登錄本地的接入交換機(jī)時(shí)，不去找RADIUS做認(rèn)證，而是做交換機(jī)本地的用戶名認(rèn)證。這是為了防止在無法和RADIUS服務(wù)器通訊時(shí)造成不能登錄到交換機(jī)里做配置)

aaa authentication dot1x default group radius local（aaa 通過802.1x使用RADIUS認(rèn)證服務(wù)，并使用交換機(jī)本地的用戶名去認(rèn)證，在本案例里，交換機(jī)本地的用戶名和密碼同為端口上學(xué)習(xí)到的MAC地址）

a a a a u t h o r i z a t i o n network default group radius local（aaa通 過 RADIUS授權(quán)給網(wǎng)絡(luò)，使用的是交換機(jī)本地的數(shù)據(jù)庫，換言之，RADIUS返回的VLAN ID一定要是交換機(jī)里已經(jīng)定義了的VLAN ID）

dot1x system-authcontrol（全局啟用802.1x認(rèn)證）

圖7 建立認(rèn)證策略

圖8 調(diào)用認(rèn)證策略

圖9 查詢MAC地址和VLAN

圖10 查詢MAC地址和VLAN

圖11 認(rèn)證過程

radius-server host a.b.c.d auth-port 1812 acct-port 1813 key cisco（指定RADIUS服務(wù)器的IP地址為a.b.c.d、認(rèn)證端口為1812、授權(quán)端口為1813、安全密鑰為cisco）

然后是為需要配置為動(dòng)態(tài)VLAN的端口開啟802.1x認(rèn)證：

switchport mode access（交換機(jī)端口模式為access）

authentication event noresponse action authorize vlan 250（如果認(rèn)證不能通過則該端口放入VLAN 250，這里的VLAN 250為guestvlan的VLAN ID）

authentication portcontrol auto（設(shè)置端口的802.1x狀態(tài)為auto，這里的auto狀態(tài)指的是端口可以通過使用802.1x來完成在認(rèn)證狀態(tài)和未認(rèn)證狀態(tài)之間的切換）

authentication periodic（開啟端口的802.1x重認(rèn)證）

mab eap（配置端口的802.1x認(rèn)證由交換機(jī)使用MAC地址作為客戶端身份標(biāo)記，把MAC地址作為用戶名和密碼發(fā)送給RADIUS服務(wù)器）

dot1x pae authenticator（開啟端口上的dot1x認(rèn)證功能）

dot1x timeout tx-period 4（設(shè)置交換機(jī)在啟動(dòng)802.1x功能的端口上發(fā)送認(rèn)證請(qǐng)求的間隔為4秒，如不設(shè)置，默認(rèn)值為30秒）

dot1x timeout supptimeout 4（設(shè)定認(rèn)證超時(shí)定時(shí)器的時(shí)長(zhǎng)為4秒，如不設(shè)置，默認(rèn)值為30秒）

通過以上配置我們就可以在ACS和接入交換機(jī)里看到如下認(rèn)證成功的日志了。

在接入交換機(jī)里看到如下認(rèn)證過程，顯示MAC地址74d4.3586.eaa9已通過認(rèn)證：

在ACS里看到如下認(rèn)證過程，其中綠色的記錄表示認(rèn)證通過，深色的記錄表示認(rèn)證未通過：，如圖11。

同時(shí)，要指出的是，基于MAC地址實(shí)現(xiàn)動(dòng)態(tài)VLAN也有一些不可回避的缺點(diǎn)，具體如下：

1、必須有資產(chǎn)部門的配合

新購的計(jì)算機(jī)必須要登記網(wǎng)卡的MAC地址才能通過認(rèn)證，報(bào)廢的計(jì)算機(jī)也需要資產(chǎn)部門通知IT部門在RADIUS服務(wù)器里手工刪除該計(jì)算機(jī)的MAC地址，如某臺(tái)計(jì)算機(jī)從一個(gè)部門轉(zhuǎn)入到另一個(gè)部門時(shí)，則需要網(wǎng)絡(luò)管理員在RADIUS服務(wù)器里修改該計(jì)算機(jī)的相關(guān)信息。

2、接入交換機(jī)學(xué)習(xí)到的MAC地址過多

由于每臺(tái)接入交換機(jī)到匯聚交換機(jī)的上聯(lián)端口上都要允許所有部門所屬VLAN的數(shù)據(jù)通過，每個(gè)VLAN的廣播數(shù)據(jù)包都將會(huì)到達(dá)所有的接入交換機(jī)，這在客觀上造成了每臺(tái)接入交換機(jī)都可能通過上聯(lián)端口學(xué)習(xí)到其他所有部門的所有計(jì)算機(jī)的MAC地址，這導(dǎo)致各個(gè)接入交換機(jī)的MAC地址表變得很龐大，而一般來說，接入交換機(jī)可支持的MAC地址數(shù)是有限的4096。如果網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)量突破了這個(gè)數(shù)量，就必須考慮對(duì)接入交換機(jī)做分組處理，每組交換機(jī)之間采用三層路由的方式通訊而不能用二層透?jìng)鞯姆绞剑鱾€(gè)部門所屬VLAN的ID在不同交換機(jī)組中為不同的VLAN ID，并為每組交換機(jī)分別部署一臺(tái)RADIUS服務(wù)器。這是另外的話題了，這里不做詳細(xì)討論了。

3、有時(shí)終端機(jī)不能通過DHCP獲得正確的IP地址

這是由于有時(shí)同時(shí)發(fā)起的認(rèn)證請(qǐng)求過多，以至于認(rèn)證過程延遲造成的，這種情況往往出現(xiàn)在早上剛到達(dá)上班時(shí)間的時(shí)候，由于這個(gè)時(shí)間段開機(jī)的計(jì)算機(jī)比較多，因而造成各個(gè)接入交換機(jī)發(fā)起的認(rèn)證請(qǐng)求過多，以至接入交換機(jī)發(fā)起認(rèn)證請(qǐng)求延遲或RADIUS服務(wù)器應(yīng)答響應(yīng)延遲。遇到這種情況的時(shí)候，通常的解決辦法是把網(wǎng)卡禁用然后再啟用，或者把網(wǎng)卡上的網(wǎng)線拔下再插上，通過這樣的動(dòng)作可以讓交換機(jī)的這個(gè)端口重新發(fā)起認(rèn)證。

4、RADIUS認(rèn)證服務(wù)器是個(gè)單一故障點(diǎn)

如果RADIUS服務(wù)器出現(xiàn)故障不能正常工作的話，勢(shì)必造成所有的動(dòng)態(tài)VLAN端口的計(jì)算機(jī)都處于guest-vlan，這將是災(zāi)難性的后果，因此必須做好RADIUS服務(wù)器的數(shù)據(jù)備份工作和備機(jī)服務(wù)準(zhǔn)備工作。

5、MAC地址是可以偽造的

盡管每塊網(wǎng)卡的MAC地址是唯一的，但在實(shí)際應(yīng)用中，交換機(jī)端口上學(xué)習(xí)到的MAC地址卻未必就是真實(shí)的網(wǎng)卡MAC地址，這是由于我們可以在操作系統(tǒng)里手工的修改網(wǎng)卡工作時(shí)使用的MAC地址，而只有在不手工修改MAC地址的情況下，操作系統(tǒng)才會(huì)采用網(wǎng)卡自身真實(shí)的MAC地址來工作。在以MAC地址作為網(wǎng)絡(luò)準(zhǔn)入認(rèn)證的環(huán)境里，竊取到了一個(gè)可以通過驗(yàn)證的MAC地址就等于竊取到了網(wǎng)絡(luò)準(zhǔn)入的權(quán)力，這確實(shí)是這個(gè)解決方案里一個(gè)不可回避的缺陷。不過，如果網(wǎng)絡(luò)中同時(shí)有兩個(gè)相同的MAC地址在工作的話，這兩個(gè)相同MAC地址的計(jì)算機(jī)的網(wǎng)絡(luò)通訊都會(huì)出現(xiàn)不同程度的丟包現(xiàn)象，被盜用MAC地址的用戶會(huì)很快發(fā)現(xiàn)問題并反應(yīng)給IT部門，而網(wǎng)絡(luò)管理員可以通過查看交換機(jī)端口的MAC地址列表很快找到竊取別人MAC地址的計(jì)算機(jī)的所在位置。

6、增加了接入交換機(jī)的負(fù)擔(dān)，影響到其它一些功能

在我院的案例里，如果對(duì)所有VLAN都開啟DHCP snooping的話，會(huì)直接導(dǎo)致各個(gè)接入交換機(jī)端口的認(rèn)證失效而需要重新認(rèn)證，而認(rèn)證通過不久就又會(huì)再次失效，反復(fù)如此，使得網(wǎng)絡(luò)通訊變得極不穩(wěn)定。所有廠家的接入交換機(jī)手冊(cè)里都沒有提及端口認(rèn)證和DHCP snooping之間是否有什么沖突，實(shí)測(cè)的結(jié)果是，在所有端口都采用動(dòng)態(tài)VLAN的情況下，每臺(tái)交換機(jī)上只對(duì)一或兩個(gè)VLAN開啟DHCP snooping是沒影響的，再多就會(huì)出問題。

7、不主動(dòng)發(fā)數(shù)據(jù)包的設(shè)備不能通過認(rèn)證

個(gè)別的設(shè)備接入網(wǎng)絡(luò)后始終不能通過認(rèn)證，經(jīng)檢查發(fā)現(xiàn)是由于這些設(shè)備不能主動(dòng)向外發(fā)送數(shù)據(jù)包，而只能被動(dòng)的響應(yīng)，例如一些門禁的讀卡器，網(wǎng)卡不能設(shè)置為DHCP，只能手工配置靜態(tài)IP地址，這使得交換機(jī)端口上的認(rèn)證不能被觸發(fā)。對(duì)于個(gè)別這樣的設(shè)備，只能無奈的回歸到為其配置靜態(tài)VLAN，好在這樣的情況很少。

還有一個(gè)有趣的現(xiàn)象值得一提。

當(dāng)接入交換機(jī)品牌是安奈特的交換機(jī)時(shí)，如果在一個(gè)動(dòng)態(tài)VLAN的端口上再接一個(gè)不可網(wǎng)管的小交換機(jī)，這個(gè)小交換機(jī)上分別接入兩個(gè)分屬不同VLAN的MAC地址的設(shè)備，這個(gè)時(shí)候會(huì)發(fā)現(xiàn)這兩個(gè)MAC地址都可以通過認(rèn)證，而此時(shí)在這個(gè)動(dòng)態(tài)VLAN的端口上兩個(gè)VLAN的數(shù)據(jù)同時(shí)都可以在這個(gè)端口做交換，這個(gè)端口同時(shí)屬于兩個(gè)VLAN了。不過，需要注意的是，不推薦這樣的做法。在實(shí)際應(yīng)用中發(fā)現(xiàn)，如果在同一個(gè)配置了動(dòng)態(tài)VLAN的端口上學(xué)習(xí)到了多個(gè)MAC地址，這時(shí)雖然每個(gè)MAC地址都可以分別通過認(rèn)證，但此時(shí)這個(gè)端口的認(rèn)證會(huì)變得很不穩(wěn)定，時(shí)常會(huì)出現(xiàn)認(rèn)證失效的現(xiàn)象。再者，由于接入交換機(jī)的動(dòng)態(tài)VLAN端口一般會(huì)配置有spanningtree的portfast和BPDU guard，一旦端口上接的小交換機(jī)發(fā)送了BPDU包會(huì)導(dǎo)致這個(gè)端口被阻斷，一個(gè)比較可行的辦法是，在每個(gè)接入端口上配置port-security，讓每個(gè)接入端口只學(xué)習(xí)一個(gè)MAC地址。關(guān)于spanning-tree的話題可以另行參考相關(guān)的其它文章。

而當(dāng)接入交換機(jī)是思科時(shí)，同樣是在一個(gè)802.1x端口上同時(shí)接入兩個(gè)分屬不同VLAN的MAC地址的設(shè)備，在默認(rèn)情況下，思科交換機(jī)只讓在該端口上先學(xué)習(xí)到的那個(gè)MAC地址正常通過認(rèn)證，并只對(duì)此來自此MAC地址的數(shù)據(jù)包做轉(zhuǎn)發(fā)，而另外的那個(gè)MAC地址無法被交換機(jī)學(xué)習(xí)到，因而不能正常通訊。如一定要讓多個(gè)MAC地址能在同一個(gè)dot1x端口上工作，就需要在此端口上加這樣一條配置：dot1x host-mode multi-host。

思科交換機(jī)此時(shí)的認(rèn)證方法是僅由最先學(xué)習(xí)到的那個(gè)MAC地址發(fā)起認(rèn)證，如認(rèn)證成功，則此端口上的所有MAC地址都將處于該MAC地址所屬的VLAN，如認(rèn)證失敗，則此端口進(jìn)入guestvlan。而當(dāng)成功認(rèn)證的那個(gè)MAC地址離開該端口后，該端口將被置入guest-vlan，能否再次通過認(rèn)證就要看之后最先學(xué)習(xí)到的MAC地址了。這樣的做法漏洞很明顯，并不值得采用。