Beschreibung:
Werden bei Authentifizierung eines Netzwerk-Teilnehmers über die Modi Single 802.1x bzw. Multi 802.1x keine EAPoL-Pakete erkannt, erfolgt bei aktiviertem MAC-based Fallback eine Authentifizierung per MAC-Adresse (analog zum Authentifizierungs-Modus MAC-based Auth.). Werden auf dem Port wieder EAPoL-Pakete erkannt, erfolgt die Authentifizierung wieder anhand der Modi Single 802.1x bzw. Multi 802.1x.
Ohne weitere Anpassungen kann über den Authentifizierungs-Modus MAC-based Auth. nur der erste Netzwerk-Teilnehmer über den Port kommunizieren. Alle weiteren Netzwerk-Teilnehmer werden ignoriert. In dem Menü Port Security Limit Control Configuration ist es möglich, ein Benutzer-Limit für die MAC-Authentifizierung einzurichten sowie Aktionen zu hinterlegen, welche bei Überschreiten des Benutzer-Limits ausgeführt werden. Damit ist es bei Verwendung des Authentifizierungs-Modus Multi 802.1x zudem möglich, dass gleichzeitig verschiedene Netzwerk-Teilnehmer per 802.1x und per MAC-Adresse authentifiziert werden.
DIe Funktion MAC-based Fallback funktioniert ausschließlich mit den Authentifizierungs-Modi Single 802.1x bzw. Multi 802.1x. |
Voraussetzungen:
- LCOS SX ab den folgenden Versionen:
- Beliebiger Web-Browser für den Zugriff auf das Webinterface
- Bereits konfigurierte und funktionsfähige 802.1x Authentifizierung per Single 802.1x oder Multi 802.1x
Vorgehensweise:
Informationen zur Konfiguration eines Benutzers für die Authentifizierung per "MAC-based Fallback" auf dem RADIUS-Server:
Die MAC-Adresse muss auf dem RADIUS-Server im Format 00-12-34-ab-cd-ef hinterlegt werden (in Kleinbuchstaben). Als Dienst-Typ muss auf dem RADIUS-Server die Option Call-Check ausgewählt werden, da die Switches der GS-23xx und GS-3xxx Serien RADIUS-Requests immer mit diesem Dienst-Typ versenden.
Die Einrichtung des RADIUS-Servers sowie eines Benutzers auf einem LANCOM Router oder Access Point (nur LCOS) ist in dem folgenden Knowledge Base Artikel in Schritt 1. beschrieben:
Einrichtung einer MAC-basierten Authentifizierung mittels LANCOM GS-23xx Switch an einem LANCOM RADIUS-Server
Konfiguration einer MAC-Authentifizierung als Fallback für die Authentifizierungsmodi "Single 802.1x" bzw. "Multi 802.1x" auf einem Switch der GS-23xx Serie:
1. Aktivieren der Funktion "MAC-based Fallback" Serie:
1.1 Verbinden Sie sich mit dem Webinterface des GS-23xx Switches und wechseln in das Menü Security → NAS → Configuration.
1.2 Aktivieren Sie bei dem Port, für den der Authentifizierungs-Modus (Admin State) Single 802.1X oder Multi 802.1X ausgewählt ist, die Option MAC-based Fallback Enabled. Klicken Sie anschließend auf Apply.
2. Konfiguration der "Port Security" (optional):
2.1 Wechseln Sie in das Menü Security → Port Security → Limit Control.
2.2 Setzen Sie unter System Configuration den Parameter Mode auf Enabled, um die Funktion global zu aktivieren.
2.3 Passen Sie unter Port Configuration die folgenden Parameter an und klicken auf Apply:
- Mode: Wählen Sie bei dem entsprechenden Port die Option Enabled aus, damit die Funktion auf diesem Port aktiviert wird.
- Limit: Passen Sie optional das Limit für Netzwerk-Teilnehmer an, welche über diesen Port kommunizieren dürfen (maximal 1024 Netzwerk-Teilnehmer).
- Action: Wählen sie optional eine Aktion aus, welche bei Überschreiten des Limits ausgeführt wird. Generell wird die Kommunikation für alle Netzwerk-Teilnehmer über dem Limit unterbunden.
- None (Standard-Einstellung):
Bei Überschreiten des Limits wird keine Aktion ausgeführt. - Trap:
- Bei Überschreiten des Limits wird ein SNMP-Trap versendet. Mit deaktiviertem Aging wird das SNMP-Trap nur beim erstmaligen Überschreiten des Limits versandt. Mit aktiviertem Aging wird ein SNMP-Trap bei jedem Überschreiten des Limits versandt.
- Shutdown:
Bei Überschreiten des Limits wird der Port heruntergefahren und es ist keine Kommunikation mehr möglich. Durch einen Klick auf die Schaltfläche Reopen kann die Kommunikation wieder freigeschaltet werden. - Trap & Shutdown:
Bei Überschreiten des Limits wird der Port heruntergefahren und die unter Trap und Shutdown beschriebenen Aktionen werden ausgeführt.
3. Prüfen des Port Security Status:
3.1 Wechseln Sie in das Menü Security → Port-Security → Switch Status.
3.2 In dem Menü Switch Status können Sie für die einzelnen Ports die folgenden Parameter einsehen:
- Users: Zeigt bei aktivierter Port Security an, welche Module auf dem Port aktiv sind (siehe die Erklärung unter User Module Legend).
- State: Zeigt den aktuellen Port-Status an. Dieser kann einer der folgenden Status sein:
- Disabled: Die Port Security ist auf diesem Port nicht aktiv.
- Ready: Die Port Security ist auf diesem Port aktiv und wartet auf Pakete von angeschlossenen Geräten (wird anhand der MAC-Adresse geprüft).
- Limit Reached: Die Port Security ist auf diesem Port aktiv und das Benutzer-Limit wurde erreicht. Es dürfen also keine weiteren Geräte mehr über diesen Port kommunizieren.
- Shut down: Die Port Security ist auf diesem Port aktiv. Der Port wurde heruntergefahren und es ist keine Kommunikation mehr möglich.
- MAC Count:
- Current: Zeigt die Gesamtzahl der verbundenen MAC-Adressen bis zum Limit an. Die Anzahl der MAC-Adressen verbundener Geräte über dem Limit werden im Gegensatz zur Implementierung bei der GS-3xxx Serie nicht angezeigt.
- Limit: Zeigt das in Schritt 2.3 gewählte Limit an (in diesem Beispiel wurde der Wert auf 1 gesetzt).
3.3 Durch einen Klick auf den Port gelangen Sie in die Detail-Ansicht des ausgewählten Ports, in dem Sie die folgenden Informationen einsehen können:
- MAC-Address: Zeigt die MAC-Adresse eines an diesem Port angebundenen Gerätes an. MAC-Adressen verbundener Geräte über dem Limit werden im Gegensatz zur Implementierung bei der GS-3xxx Serie nicht angezeigt.
- VLAN-ID: Zeigt die VLAN-ID, welche diesem Port zugewiesen ist.
- State: Zeigt an, ob das Gerät über den Port kommunizieren darf (Forwarding) oder ob dieses blockiert wird (Blocked).
- Time of Addition: Zeigt Datum und Uhrzeit an, an dem das Gerät zum ersten Mal an diesem Port erkannt wurde.
- Age/Hold: Zeigt die Laufzeit des verbundenen Gerätes in Sekunden an. Werden von einem Gerät nach Ablauf dieser Zeitspanne keine Pakete erkannt, wird die MAC-Adresse aus der Tabelle gelöscht. Ansonsten erfolgt eine erneute Authentifizierung und die Laufzeit beginnt erneut.
4. Speichern der Konfiguration als Start-Konfiguration:
Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
Konfiguration einer MAC-Authentifizierung als Fallback für die Authentifizierungsmodi "Single 802.1x" bzw. "Multi 802.1x" auf einem Switch der GS-3xxx Serie:
1. Aktivieren der Funktion "MAC-based Fallback":
1.1 Verbinden Sie sich mit dem Webinterface des GS-3xxx Switches und wechseln in das Menü Security → 802.1X → Configuration.
1.2 Aktivieren Sie bei dem Port, für den der Authentifizierungs-Modus (Admin State) Single 802.1X oder Multi 802.1X ausgewählt ist, die Option MAC-based Fallback Enabled. Klicken Sie anschließend auf Apply.
2. Konfiguration der "Port Security" (optional):
2.1 Wechseln Sie in das Menü Security → Port Security → Configuration.
2.2 Passen Sie unter Port Configuration die folgenden Parameter an und klicken auf Apply:
- Mode: Wählen Sie bei dem entsprechenden Port die Option Enabled aus, damit die Funktion auf diesem Port aktiviert wird.
- Limit: Passen Sie optional das Limit für Netzwerk-Teilnehmer an, welche über diesen Port kommunizieren dürfen (maximal 1024 Netzwerk-Teilnehmer).
- Violation Mode: Wählen sie optional eine Aktion aus, welche bei Überschreiten des Limits ausgeführt wird.
- Protect (Standard-Einstellung):
Die Kommunikation von Netzwerk-Teilnehmern über dem Limit wird unterbunden. - Restrict:
Die Kommunikation von Netzwerk-Teilnehmern über dem Limit wird unterbunden. Zusätzlich werden die Netzwerk-Teilnehmer über dem Violation Limit als Violating markiert. - Shutdown:
Bei Überschreiten des Limits ist keine Kommunikation mehr über diesen Port möglich. Durch einen Klick auf die Schaltfläche Reopen kann die Kommunikation wieder freigeschaltet werden.
- Violation Limit:
Passen Sie optional den Wert für das Violation Limit an. Dabei werden Netzwerk-Teilnehmer über dem Limit als Violating markiert. DIeser Wert wird nur in Verbindung mit dem Modus Restrict verwendet.
In den meisten Szenarien ist es sinnvoll, die Parameter Limit und Violation Limit auf den gleichen Wert zu setzen. |
3. Prüfen des Port Security Status:
3.1 Wechseln Sie in das Menü Security → Port-Security → Status.
3.2 In dem Menü Port Status können Sie für die einzelnen Ports die folgenden Parameter einsehen:
- Violation Mode: Zeigt den in Schritt 2.2 ausgewählten Violation Mode an. Ist die Port Security auf einem Port nicht aktiv (Disabled), wird hier ebenfalls Disabled angezeigt.
- State: Zeigt den aktuellen Port-Status an. Dieser kann einer der folgenden Status sein:
- Disabled: Die Port Security ist auf diesem Port nicht aktiv.
- Ready: Die Port Security ist auf diesem Port aktiv und wartet auf Pakete von angeschlossenen Geräten (wird anhand der MAC-Adresse geprüft).
- Limit Reached: Die Port Security ist auf diesem Port aktiv und das Benutzer-Limit wurde erreicht.
- Shut down: Die Port Security ist auf diesem Port aktiv. Der Port wurde heruntergefahren und es ist keine Kommunikation mehr möglich (nur bei Verwendung des Violation Mode Shutdown).
- MAC Count:
- Current: Zeigt die Gesamtzahl der verbundenen MAC-Adressen an.
- Violating: Zeigt die Anzahl der MAC-Adressen über dem Limit an.
- Limit: Zeigt das in Schritt 2.2 gewählte Violation Limit an (in diesem Beispiel wurde der Wert auf 1 gesetzt).
3.3 Durch einen Klick auf den Port gelangen Sie in die Detail-Ansicht des ausgewählten Ports, in dem Sie die folgenden Informationen einsehen können:
- MAC-Address: Zeigt die MAC-Adresse eines an diesem Port angebundenen Gerätes an.
- VLAN-ID: Zeigt die VLAN-ID, welche diesem Port zugewiesen ist.
- State: Zeigt an, ob das Gerät über den Port kommunizieren darf (Forwarding) oder ob dieses blockiert wird (Violating).
- Time of Addition: Zeigt Datum und Uhrzeit an, an dem das Gerät zum ersten Mal an diesem Port erkannt wurde.
- Age/Hold: Zeigt die Laufzeit des verbundenen Gerätes in Sekunden an. Werden von einem Gerät nach Ablauf dieser Zeitspanne keine Pakete erkannt, wird die MAC-Adresse aus der Tabelle gelöscht. Ansonsten erfolgt eine erneute Authentifizierung und die Laufzeit beginnt erneut. Geräte im Status Violating haben keine Ablaufzeit.
4. Speichern der Konfiguration als Start-Konfiguration:
Klicken Sie auf das rote Disketten-Symbol in der rechten oberen Ecke, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. |
