802.1X-Portkonfiguration

Tab. 802.1X-Einstellmöglichkeiten pro Port, Einträge in der Konfigurationstabelle

Parameter

Bedeutung

Mögliche ‍Werte

Lieferzustand

Port-Initialisierung

Rücksetzen der Initialisierungsfunktion. "true" veranlasst das Gerät für diesen Port die Funktion zurückzusetzen. Nach Abschluss des Rücksetzvorganges fällt der Wert wieder auf "false" zurück

true, false

false

Port-Reauthentifizierung

Ein- und Ausschalten der erneuten Authentifizierung des Ports. "true" veranlasst das Gerät, den Supplikant aufzufordern, sich an diesem Port erneut zu authentifizieren. Nach Anstoß der erneuten Authentifizierung setzt das Gerät den Wert wieder auf "false".

true, false

false

Authentifizierungsvorgang

Zeigt den aktuellen Zustand des Authentifizierungvorgangs an.

1 = aktiviert (initialize)

2 = getrennt (disconnected)

3 = Verbindung aufbauen (connecting)

4 = Authentifizierung durchführen (authenticating)
5 = authentifiziert (authenticated)

6 = Authentifizierung abbrechen (aborting authenticating)

7 = temporär nicht authentifiziert (held)

8 = Zugang ohne Authentifizierung (force Autherized)

9 = Kein Zugang (force Unauthorized)

Authentifizierungsstatus Server

Zeigt den aktuellen Status des Authentifizierungsservers.

1 = Anforderung (request)

2 = Antwort (response)

3 = Erfolg (success)

4 = Fehler (fail)

5 = Zeitüberschreitung (timeout)

6 = Ruhephase (idle)

7 = Einrichten (initialize)

Authentifizierungsstatus

Zeigt den aktuellen Wert des Authentifizierungsstatus´ für den Port an.

authorized = der angeschlossene Teilnehmer ist authentifiziert

unauthorized = der angeschlossene Teilnehmer ist nicht authentifiziert.

Maximale Benutzeranzahl

Maximale Anzahl an Clients, die das Gerät an einem Port gleichzeitig authentifiziert.
Dieser Parameter wirkt sich aus, wenn Sie die Portkontrolle (s.u.) auf macBased eingestellt haben.

1 - 16

16

Port-‍Kontrolle

Einstellen der Portzugangskontrolle.

Anmerkung:
  • In den Modi ForceAuthorized, ForceUnauthorized und auto öffnet oder sperrt der Switch den Port für alle Clients.Verwenden Sie diese Modi, wenn Sie einen einzelnen Client an den Switch anschließen.
  • Im Modus macBased authentifiziert der Switch die Clients auf der Basis der einzelnen MAC-Adressen und erlaubt oder sperrt deren Datenverkehr individuell. Verwenden Sie diesen Modus, wenn Sie die Multi-Client-Authentifizierung oder die Funktion „MAC Authentication Bypass“ nutzen möchten.

  • ForceAuthorized: Zugang auch ohne Authentifizierung für alle Clients offen.

  • ForceUnauthorized: Zugang für alle Clients gesperrt, auch für Clients mit Authentifizierung.

  • auto: der Zugang zum Port ist vom Authentifizierungsergebnis abhängig.

  • macBased: Verhalten wie bei auto. Zusätzlich Zugang für Clients mit einer MAC-Adresse, die der Client bei der Authentifizierung verwendet.

ForceAuthorized

Ruheperiode

Periode in Sekunden, in der der Authentifizierungsablauf keine Authentifizierung vom Supplikanten erwartet.

0-65.535

60

Sendeperiode

Wartezeit, bevor das Gerät ein EAP-Paket erneut sendet.

1-65.535

30

Supplikant-Zeitüberschreitung

Zeitüberschreitung bei der Kommunikation zwischen ‍Gerät und Supplikant in Sekunden.

1-65.535

30

Server-Zeitüberschreitung

Zeitüberschreitung bei der Kommunikation zwischen Gerät und Server in Sekunden.

1-65.535

30

Maximale Requestanzahl

Maximale Anzahl von Anforderungsversuchen an den Supplikanten, bevor der Authentifizierungsvorgang endet.

1-10

2

“Zugewiesene VLAN-ID”

VLAN, das der Switch dem Port zugewiesen hat. Der Port ist ungetaggtes Mitglied in diesem VLAN und die Port-VLAN-ID hat den selben Wert.

Voraussetzung: Die Portkontrolle ist auf auto gesetzt.

Anmerkung: Wenn Sie die Multi-Client-Einstellung verwenden, indem Sie die „Port-Kontrolle“ auf macBased setzen, beachten Sie:

0 - 4094

0

“Zuweisungsgrund”

Grund der Zuweisung des VLANs an den Port.

Voraussetzung: Die Portkontrolle ist auf auto gesetzt.

Anmerkung: Wenn Sie die Multi-Client-Einstellung verwenden, indem Sie die „Port-Kontrolle“ auf macBased setzen, beachten Sie:

notAssigned

radius

unauthenticatedVLAN

notAssigned

Reauthentifizierungsperiode

Zeit in Sekunden, nach der das Gerät eine erneute Authentifizierung vom Supplikanten anfordert.

1-65.535

3.600

Reauthentifikation ein

Ein- oder Ausschalten der Reauthentifikation

Markiert (ein),
Nicht markiert (aus)

Nicht markiert (aus)

Gast-VLAN-ID

ID eines VLANs, das der Switch dem Port zuweist, wenn:

  • das Protokoll 802.1X an dem Port aktiv ist und die Port-Kontrolle auf auto oder macBased gesetzt ist,

  • ein Client Datenverkehr aufnehmen will

  • und EAPOL-Frames vom Client ausbleiben, der Client also das 802.1X-Protokoll nicht unterstützt.

Der Switch:

  • schaltet den Port in den authentifizierten Zustand,

  • lässt den Datenverkehr zu,

  • jedoch ausschließlich in das Gast-VLAN.

Geben Sie eine Gast-VLAN-ID an, wenn Sie Geräten ohne 802.1X-Unterstützung einen Zugang in ein Gast-VLAN erlauben möchten.

Anmerkung:
  • Verwenden Sie als Gast-VLAN ausschließlich ein VLAN, das Sie im Switch statisch eingerichtet haben.
  • Meldet sich ein Client dagegen per 802.1X und schlägt dessen Authentifizierung fehl, dann gibt der Switch ihm ausschließlich Zugang zum unauthentifizierten VLAN.
  • Wenn Sie Funktion MAC-Authorized-Bypass (MAB) aktivieren, setzt Gerät die Gast-VLAN-ID automatisch auf 0.

0 - 4094

Mit einer VLAN-ID von 0 blockiert der Switch den Datenverkehr, da er die Einrichtung eines VLANs mit dieser ID ablehnt.

0

Gast-VLAN-Intervall

Zeit, die der Switch nach dem Anschließen eines Gerätes an diesem Port auf EAPOL-Frames wartet, um festzustellen, ob dieses das 802.1X-Protokoll unterstützt.

Läuft diese Zeit ab, stellt der Switch dem angeschlossenen Gerät einen Zugang ausschließlich ins Gast-VLAN zur Verfügung.

1 - 300 s

90 s

Unauthenticated VLAN ID

ID eines VLANs, das der Switch dem Port zuweist, wenn:

  • das Protokoll 802.1X an dem Port aktiv ist,

  • der Switch EAPOL-Frames vom Client empfängt, dieser also das 802.1X-Protokoll unterstützt,

  • und die Authentifizierung des Clients fehlschlägt.

Der Switch:

  • schaltet den Port in den authentifizierten Zustand,

  • lässt den Datenverkehr zu,

  • jedoch ausschließlich in das unauthentifizierte VLAN.

Geben Sie eine VLAN-ID für unauthentifizierte Geräte an, wenn:

  • Sie Geräten einen Zugang in ein bestimmtes VLAN erlauben möchten,

  • diese Geräte 802.1X zwar unterstützen,

  • Ihrem Netz jedoch deren Identität und Authentizität unbekannt ist.

Anmerkung:
  • Verwenden Sie als unauthentifiziertes VLAN ausschließlich ein VLAN, das Sie im Switch statisch eingerichtet haben.

0 - 4094

Mit einer VLAN-ID von 0 blockiert der Switch den Datenverkehr, da er die Einrichtung eines VLANs mit dieser ID ablehnt.

0

MAC-Authorized-Bypass ein

Durch MAB stellt der Switch einen authentifizierten Zugang zur Verfügung, wenn:

  • Sie die „Port-Kontrolle“ auf macBased gesetzt haben,

  • ein Gerät mit einer bestimmten bekannten MAC-Adresse Datenverkehr aufnehmen will,

  • sich dieses Gerät nicht per 802.1X authentifiziert und

  • der RADIUS-Server die zugriffsberechtigten MAC-Adressen kennt.

Der Switch:

  • wartet dazu den Ablauf des Gast-VLAN-Intervalls ab,

  • sendet dann eine Anfrage an den RADIUS-Server und verwendet dabei die MAC-Adresse als Benutzername und Passwort.

Aktivieren Sie diese Funktion, wenn:

  • Sie bestimmten Geräten einen normalen Zugang erlauben möchten,

  • obwohl diese Geräte 802.1X nicht unterstützen.

Anmerkung:
  • Lehnt der RADIUS-Server die MAB-Authentifizierung ab, sperrt der Switch den Zugang für das Gerät.
  • Wenn Sie Funktion aktivieren, schaltet das Gerät den Gast-VLAN-Zugang automatisch ab.

An

Aus

Aus


Schaltflächen

Tab. Schaltflächen (Forts.)

Schaltfläche

Bedeutung

“Schreiben”

Überträgt die Änderungen in den flüchtigen Speicher (RAM) des Gerätes. Um die Änderungen anschließend permanent zu speichern, öffnen Sie den Dialog Grundeinstellungen:Laden/Speichern und klicken auf “Speichern”.

“Laden”

Aktualisiert die Felder mit den Werten, die im flüchtigen Speicher (RAM) des Gerätes gespeichert sind.

“Hilfe”

Öffnet die Online-Hilfe.