Authentifizierung Nach Ieee 802.1X Mit Authentifizierung Anhand Von Mac-Adressen - Siemens Simatic Net Ruggedcom Ros V5.8 Konfigurationshandbuch
Inhaltsverzeichnis
802.1X Port-Sicherheit in mehreren VLANs
Mit den Parametern Security und Autolearn kann Port-Sicherheit für mehrere VLANs
konfiguriert werden.
Ist die Unterstützung für mehrere VLANs aktiviert, beginnt der
Authentifizierungsprozess nach IEEE 802-1X-Standard, und es werden
Authentifizierungsframes zwischen Supplicant, Authenticator-Switch und
Authentifizierungsserver ausgetauscht. Nach der erfolgreichen Authentifizierung
geht der Port in den Zustand "Autorisiert", und die MAC-Adresse des verbundenen
Geräts wird in der Tabelle der mit 802.1X aufgelösten autorisierten MAC-Adressen
für das VLAN hinzugefügt.
Anschließend beginnt RUGGEDCOM ROS, die gleiche MAC-Adresse in mehreren
VLANs zu lernen, indem das Gerät eingehende Frames an diesem Port hört. Die
maximale Anzahl an VLANs, in denen die MAC-Adresse am Port autorisiert werden
kann, kann mit dem Parameter Autolearn in der Tabelle "Port Security" konfiguriert
werden. Die in jedem der neuen VLANs gelernten MAC-Adressen werden auch zur
Tabelle der autorisierten MAC-Adressen hinzugefügt.
Sobald die Gesamtzahl der VLANs die in Autolearn eingestellte Zahl erreicht, wird,
wenn die gleiche MAC-Adresse in einem neuen VLAN an diesem Port erkannt wird,
ein Alarm wegen einer Port-Sicherheitsverletzung erzeugt, der einen Fehler der
Autolearn-Funktion am Port anzeigt, und die MAC-Adresse wird am Port nicht
gelernt.
Weitere Informationen zum Konfigurieren von Port-Sicherheit in mehrere VLANs
finden Sie unter "Konfigurieren der Port-Sicherheit" (Seite 133).
6.4.1.4
Authentifizierung nach IEEE 802.1X mit Authentifizierung anhand von MAC-
Adressen
Dieses Verfahren wird auch als MAB (MAC-Authentifizierungs-Bypass) bezeichnet und
häufig auf Geräten wie VoIP-Telefonen und Ethernet-Druckern verwendet, die das
Protokoll 802.1x nicht unterstützen. Durch dieses Verfahren können solche Geräte
über die gleiche Datenbankstruktur verifiziert werden wie 802.1x.
IEEE 802.1x mit MAC-Authentifizierungs-Bypass funktioniert wie folgt:
1. Das Gerät verbindet sich mit einem Switch-Port.
2. Der Schalter lernt die MAC-Adresse des Geräts nach Empfang des ersten Frames
3. Der Switch sendet eine EAP-Abfragenachricht an das Gerät und versucht mit der
4. Während der Switch auf eine EAP-Antwort wartet löst er eine Zeitbegrenzung
5. Der Switch sendet eine Authentifizierungsnachricht an den
RUGGEDCOM ROS v5.8
Konfigurationshandbuch, 11/2023, C79000-G8900-1581-02
vom Gerät (das Gerät sendet nach dem Verbinden normalerweise ein eine DHCP-
Abfragenachricht).
802.1X-Authentifizierung zu beginnen.
aus, da das Gerät 802.1X nicht unterstützt.
Authentifizierungsserver und verwendet dabei die MAC-Adresse des Geräts als
Benutzernamen und Passwort.
Sicherheit
6.4.1 Port-Sicherheitskonzepte
129
Inhaltsverzeichnis
