Sicherheit: 802.1X-Authentifizierung
Authentifikator – Übersicht
HINWEIS
Administratorhandbuch für Managed Switches der Serien 200, 300 und 500 von Cisco Small Business (Interne Version)
Weitere Informationen zum Verhalten der diversen Modi, wenn die Funktion
„Zugewiesenes Radius-VLAN" auf dem Gerät aktiviert ist, finden Sie unter
3 Unterstützung für Gast-VLAN und RADIUS-VLAN-Zuordnung
folgenden Tabelle wird erläutert, wie authentifizierter und nicht
authentifizierter Datenverkehr in verschiedenen Szenarios behandelt wird.
Im Mehrfachsitzungsmodus wird die RADIUS-VLAN-Zuordnung nur dann
unterstützt, wenn sich das Gerät im Schicht-2-Systemmodus befindet.
Für Geräte, die für einen Port mit aktivierter DVA authentifiziert und autorisiert
werden sollen, gilt Folgendes:
•
Der RADIUS-Server muss das Gerät authentifizieren und ihm dynamisch ein
VLAN zuweisen. Sie können das Feld „RADIUS-VLAN-Zuordnung" auf der
Seite „Port-Authentifizierung" auf „Statisch" setzen. Damit kann der Host
gemäß der statischen Konfiguration überbrückt werden.
•
Ein RADIUS-Server muss DVA unterstützen mit den RADIUS-Attributen
tunnel-type (64) = VLAN (13), tunnel-media-type (65) = 802 (6) und tunnel-
private-group-id = eine VLAN-ID.
Ist die Funktion „Zugewiesenes Radius-VLAN" aktiviert, verhalten sich die
Hostmodi wie folgt:
•
Einzelhost- und Mehrfachhost-Modus
Datenverkehr mit und ohne Tags, der zum zugewiesenen RADIUS-VLAN
gehört, wird über dieses VLAN überbrückt. Datenverkehr, der nicht zu nicht
authentifizierten VLANs gehört, wird verworfen.
•
Vollständiger Mehrfachsitzungsmodus
Datenverkehr mit und ohne Tags, der nicht zu nicht authentifizierten VLANs
gehört und vom Client eingeht, wird dem zugewiesenen RADIUS-VLAN auf
Basis von TCAM-Regeln zugewiesen und über das VLAN überbrückt.
•
Mehrfachsitzungsmodus in Schicht-3-Systemmodus
In diesem Modus wird das zugewiesene RADIUS-VLAN nicht unterstützt,
19
Tabelle
und
In der
414