Herunterladen Inhalt Inhalt Diese Seite drucken

Zugriffsbeschränkte Vlans - Siemens RUGGEDCOM ROS v5.5 Konfigurationshandbuch

Vorschau ausblenden Andere Handbücher für RUGGEDCOM ROS v5.5:
Inhaltsverzeichnis

Werbung

Sicherheit
6.4.1 Port-Sicherheitskonzepte
2. Der Schalter lernt die MAC-Adresse des Geräts nach Empfang des ersten Frames
3. Der Switch sendet eine EAP-Abfragenachricht an das Gerät und versucht mit der
4. Während der Switch auf eine EAP-Antwort wartet löst er eine Zeitbegrenzung
5. Der Switch sendet eine Authentifizierungsnachricht an den
6. Der Switch authentifiziert das Gerät oder lehnt es ab, je nach Antwort vom
6.4.1.5
Zugriffsbeschränkte VLANs
RUGGEDCOM ROS erlaubt Benutzern, 802.1X-Ports im Modus Gast-VLAN oder
Quarantäne-VLAN zu konfigurieren, um Dienste auf Clients zu beschränken,
wenn die Authentifizierung nach IEEE 802.1x oder 802.1x/MAC-Auth fehlschlägt.
Beispielsweise kann ein Administrator den Zugriff für nicht authentifizierte Benutzer
auf Drucker, Internet oder bestimmte Downloads beschränken.
Wenn ein Client sich nach einer bestimmten Anzahl von Versuchen nicht
authentifiziert hat, schaltet der konfigurierte Port automatisch auf Quarantäne-VLAN
oder Gast-VLAN um, je nach Portsicherheitsmodus und Sicherheitseinstellungen für
den Client:
Ein SNMP-Trap wird generiert, wenn ein Client-Gerät unter Quarantäne gestellt oder
dem Gast-VLAN zugewiesen wird. Ein Alarm warnt den Benutzer bei der Änderung
des Portstatus.
Wenn ein Port ein Mitglied des Quarantäne-VLAN ist, versucht ROS, den Client in
konfigurierten Intervallen neu zu authentifizieren. Clients, deren Authentifizierung
fehlschlägt, bleiben im Quarantäne-VLAN, bis sie wieder erfolgreich authentifizert
wurden oder die physische Verbindung abgebaut wird. Wenn die erneute
Authentifizierung fehlschlägt, bleibt der Port ein Mitglied des Quarantäne-VLAN.
In Gast-VLANs gibt es für Clients keine Versuche zur erneuten Authentifizierung.
Wenn von dem Client ein EAPOL-Startframe empfangen wird, nimmt der Port wieder
den nicht authentifizierten Zustand ein. Der Client hat dann keine Möglichkeit mehr,
den Authentifizierungsprozess über das Gast-VLAN fortzusetzen.
138
vom Gerät (das Gerät sendet nach dem Verbinden normalerweise ein eine DHCP-
Abfragenachricht).
802.1X-Authentifizierung zu beginnen.
aus, da das Gerät 802.1X nicht unterstützt.
Authentifizierungsserver und verwendet dabei die MAC-Adresse des Geräts als
Benutzernamen und Passwort.
Authentifizierungsserver.
Wenn ein angeschlossenes Gerät die Sicherheitseinstellungen nach 802.1x
unterstützt, aber die Authentifizierung fehlgeschlagen ist, schaltet der Port auf
Quarantäne-VID um.
Ist ein angeschlossenes Gerät nicht mit 802.1X kompatibel und die
Portsicherheit auf 802.1X eingestellt, wird der Port nach Überschreitung der
Authentifizierungszeit zu einem Mitglied des Gast-VLAN.
RUGGEDCOM ROS v5.5
Konfigurationshandbuch, 10/2020, C79000-G8900-1474-01

Werbung

Inhaltsverzeichnis
loading

Diese Anleitung auch für:

Rst2228Rst2228p

Inhaltsverzeichnis