Access-Listen; Konzept - ABB EDS500-Serie Handbuch

Ethernet- & dsl-switches teil 2: funktionen release 2

Vorschau ausblenden Andere Handbücher für EDS500-Serie:

Bedienungsanleitung (7 Seiten)

Inhalt

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

Inhaltsverzeichnis

Funktionen

Wenn 802.1X verwendet werden soll, aber ein Supplicant dies nicht unterstützt, so

kann auf MAC-Authentication-Bypass (MAB) zurückgegriffen werden. Hierbei findet die

Authentifizierung anhand der MAC-Adresse des Supplicants statt.

Um MAB zu aktivieren, muss zusätzlich zur < s e t d o t 1 x p o r t c o n t r o l { ... } p a e -

a u t o > Einstellung noch < s e t d o t 1 x m a b { ... } e n a b l e > zu konfiguriert werden.

RADIUS Attribute

1 (Username)

2 (Password)

31(Calling-Station-Id)

Tabelle

Konfiguration des RADIUS-Servers für einen Supplicant mit MAB

37:

Befehle zur Verbindung von 802.1X

< s e t d o t 1 x [ n o ] e n a b l e >

< s e t d o t 1 x p o r t c o n t r o l { f a s t e t h e r n e t 0 | f o 1 | f o 2 | p o r t 1

| p o r t 2 | p o r t 3 | p o r t 4 } { a u t h - f o r c e | p a e - a u t o | u n a u t h -

f o r c e } >

< s e t d o t 1 x m a b { p o r t 1 | p o r t 2 | p o r t 3 | p o r t 4 } [ n o ] e n a b l e >

< s e t d o t 1 x r e a u t h e n t i c a t i o n p o r t - d o w n [ n o ] a l l o w >

< s h o w d o t 1 x >

In der Einstellung < s e t d o t 1 x r e a u t h e n t i c a t i o n p o r t - d o w n a l l o w >

besteht die Gefahr, dass durch Zwischenschalten eines Ethernet-Switches o.ä. zwischen

Supplicant und Authentificator potentiell unberechtigter Netzwerkzugriff möglich wird. Bei

Verwendung eines Hubs kann sogar die 802.1X Authentifizierung mitgeschnitten werden.

2.25

Access-Listen

2.25.1

Konzept

EDS500-Geräte bieten 16 Access-Listen, die zur Bewertung von Ethernet-Rahmen dienen.

Trifft mindestens eine der Regeln einer Liste auf einen Ethernet-Rahmen zu, so wird die

verknüpfte Aktion ausgeführt (Weiterleiten, Blockieren, Class-of-Service ändern).

Access-Listen können entweder als Deny List definiert sein (Blacklist, erlaubt alle außer

den angegebenen Kriterien), oder eine Permit List (Whitelist, erlaubt nichts außer den

angegebenen Kriterien).

Voreinstellung:

Access-Listen sind deaktiviert.

Jede Access-Liste kann bis zu 16 Regeln enthalten.

Mit dem Anlegen der ersten Regel einer bestimmten Access List wird festgelegt, ob diese

Liste eine Deny List oder eine Permit List ist.

Nachfolgende, davon abweichende Befehle werden ignoriert.

1KGT151021 V000 0

Format

12 Hexadezimalzeichen, nur

Kleinschreibung, und keine

Trennzeichen

Der Username (verschlüsselt)

6 Gruppen von 2 Hexadezimal-

zeichen, nur Großschreibung,

getrennt durch Bindestriche

A C H T U N G

Access-Listen

Beispiel

30b216002f3a

30-B2-16-00-2F-3A

Inhaltsverzeichnis

Access-Listen; Konzept - ABB EDS500-Serie Handbuch

Access-Listen

Konzept

Verwandte Anleitungen für ABB EDS500-Serie

Verwandte Produkte für ABB EDS500-Serie

Inhaltsverzeichnis