Siemens SIMATIC NET RUGGEDCOM ROS v5.6 Konfigurationshandbuch Seite 174

Beispielsweise kann ein Administrator den Zugriff für nicht authentifizierte Benutzer
auf Drucker, Internet oder bestimmte Downloads beschränken.
Wenn ein Client sich nach einer bestimmten Anzahl von Versuchen nicht
authentifiziert hat, schaltet der konfigurierte Port automatisch auf Quarantäne-VLAN
oder Gast-VLAN um, je nach Portsicherheitsmodus und Sicherheitseinstellungen für
den Client:
•
•
Ein SNMP-Trap wird generiert, wenn ein Client-Gerät unter Quarantäne gestellt oder
dem Gast-VLAN zugewiesen wird. Ein Alarm warnt den Benutzer bei der Änderung
des Portstatus.
Wenn ein Port ein Mitglied des Quarantäne-VLAN ist, versucht ROS, den Client in
konfigurierten Intervallen neu zu authentifizieren. Clients, deren Authentifizierung
fehlschlägt, bleiben im Quarantäne-VLAN, bis sie wieder erfolgreich authentifizert
wurden oder die physische Verbindung abgebaut wird. Wenn die erneute
Authentifizierung fehlschlägt, bleibt der Port ein Mitglied des Quarantäne-VLAN.
In Gast-VLANs gibt es für Clients keine Versuche zur erneuten Authentifizierung.
Wenn von dem Client ein EAPOL-Startframe empfangen wird, nimmt der Port wieder
den nicht authentifizierten Zustand ein. Der Client hat dann keine Möglichkeit mehr,
den Authentifizierungsprozess über das Gast-VLAN fortzusetzen.
Die folgende Tabelle erläutert das Verhalten bei der Einstufung Quarantäne vs. Gast
nach fehlgeschlagener Authentifizierung:
802.1x
802.1x/MAC-Auth
Weitere Informationen zum Konfigurieren eines Gast-VLAN/Quarantäne-VLAN finden
Sie unter
6.4.1.6 Zuweisen von VLANs zu Tunnelattributen
RUGGEDCOM ROS unterstützt die Zuordnung eines VLAN zum autorisierten Port
mit Hilfe von Tunnelattributen, wie in
festgelegt, wenn die Betriebsart Port-Sicherheit auf 802.1x oder 802.1x/MAC-Auth
eingestellt ist.
In bestimmten Fällen ist es vorteilhaft, einen Port je nach Authentifizierungsergebnis
in ein bestimmtes VLAN zu platzieren. Beispiel:
RUGGEDCOM ROS v5.6
Konfigurationshandbuch, 01/2022, C79000-G8900-1509-01
Wenn ein angeschlossenes Gerät die Sicherheitseinstellungen nach 802.1x
unterstützt, aber die Authentifizierung fehlgeschlagen ist, schaltet der Port auf
Quarantäne-VID um.
Ist ein angeschlossenes Gerät nicht mit 802.1X kompatibel und die
Portsicherheit auf 802.1X eingestellt, wird der Port nach Überschreitung der
Authentifizierungszeit zu einem Mitglied des Gast-VLAN.
Portsicherheitsmodus
"Konfigurieren der Port-Sicherheit (Seite
Client-Sicherheit
802.1x-fähig
Nicht 802.1x-fähig
802.1x-fähig
Nicht 802.1x-fähig
155)".
RFC 3580 [http://tools.ietf.org/html/rfc3580]
Sicherheit
6.4.1 Port-Sicherheitskonzepte
Platzierung nach
Authentifizierungsfehler
Quarantäne-VLAN
Gast-VLAN
Quarantäne-VLAN
Quarantäne-VLAN
153