Inhaltsverzeichnis
Werbung
Sicherheit: 802.1X-Authentifizierung
Authentifikator – Übersicht
Mehrfachhost-Modus
•
Ein Port wird autorisiert, wenn mindestens ein autorisierter Client vorhanden ist.
Wenn ein Port nicht autorisiert wurde und ein Gast-VLAN aktiviert ist, wird Datenverkehr ohne Tags
erneut dem Gast-VLAN zugeordnet. Datenverkehr mit Tags wird nur dann weitergeleitet, wenn er
zum Gast-VLAN oder zu einem nicht authentifizierten VLAN gehört. Wenn ein Gast-VLAN auf einem
Port nicht aktiviert ist, wird nur Datenverkehr mit Tags überbrückt, der zu nicht authentifizierten
VLANs gehört.
Wenn ein Port autorisiert wird, wird Datenverkehr mit und ohne Tags von allen Hosts, die mit dem Port
verbunden sind, auf Basis der Portkonfiguration für die statische VLAN-Mitgliedschaft überbrückt.
Sie können festlegen, dass Datenverkehr ohne Tags von einem autorisierten Port erneut einem VLAN
zugeordnet wird, der im Rahmen des Authentifizierungsprozesses durch einen RADIUS-Server
zugewiesen wurde. Datenverkehr mit Tags wird nur dann weitergeleitet, wenn er zu einem
zugewiesenen RADIUS-VLAN oder den nicht authentifizierten VLANs gehört. Die RADIUS-VLAN-
Zuordnung auf einem Port wird auf der Seite „Port-Authentifizierung" festgelegt.
Mehrfachsitzungsmodus
•
Im Gegensatz zu den Einzelhost- und Mehrfachhost-Modi weist ein Port im Mehrfachsitzungsmodus
keinen Authentifizierungsstatus auf. Dieser Status wird jedem Client zugewiesen, der mit dem Port
verbunden ist. Dieser Modus macht eine TCAM-Suche erforderlich. Da Switche im Schicht-3-
Systemmodus keiner TCAM-Suche für Mehrfachsitzungen zugewiesen wurden, unterstützen sie nur
eine begrenzte Form des Mehrfachsitzungsmodus, bei dem Gast-VLAN- und RADIUS-VLAN-
Attribute nicht unterstützt werden. Die maximale Anzahl an autorisierten Hosts, die auf dem Port
unterstützt wird, wird auf der Seite „Port-Authentifizierung" definiert.
Datenverkehr mit Tags, der zu einem nicht authentifizierten VLAN gehört, wird immer überbrückt, und
zwar unabhängig davon, ob der Host autorisiert ist oder nicht.
Datenverkehr mit und ohne Tags von nicht autorisierten Hosts, die nicht zu einem nicht authentifizierten
VLAN gehören, wird dem Gast-VLAN neu zugeordnet, wenn er auf dem VLAN definiert und aktiviert
wird, oder er wird gelöscht, wenn das Gast-VLAN nicht auf dem Port aktiviert wird.
Wenn ein autorisierter Host über einen RADIUS-Server einem VLAN zugewiesen wird, wird der
gesamte Datenverkehr mit und ohne Tags, der nicht zum nicht authentifizierten VLAN gehört, über
das VLAN überbrückt. Wenn das VLAN nicht zugewiesen wurde, wird der gesamte Datenverkehr auf
der Basis der Portkonfiguration für die VLAN-Mitgliedschaft überbrückt.
802.1X-basierte Authentifizierung
Der 802.1X-basierte Authentifikator leitet transparente EAP-Nachrichten zwischen 802.1X-Anfragern und
Authentifizierungsservern weiter. Die EAP-Nachrichten zwischen Anfragern und dem Authentifikator
werden in 802.1X-Nachrichten gekapselt, und die EAP-Nachrichten zwischen dem Authentifikator und den
Authentifizierungsservern werden in die RADIUS-Nachrichten gekapselt.
Administratorhandbuch für Smart Switches der Serie 200 von Cisco Small Business
20
284
Quicklinks ausblenden:
Werbung
Inhaltsverzeichnis
