Konfigurieren der 802.1X-Port-Authentifizierung auf den Cisco Smart Switches der Serie Sx220

Ziel

In diesem Artikel wird erläutert, wie Sie die Port-Authentifizierung auf den Smart Switches der Serie Sx220 konfigurieren.

802.1X Port Authentication ermöglicht die Konfiguration von 802.1X-Parametern für jeden Port Ihres Geräts. Ein Port, der Authentifizierung anfordert, wird als Supplicant bezeichnet. Der Authentifizierer ist ein Switch oder Access Point, der als Netzwerkwächter für Supplicants fungiert. Der Authentifikator leitet Authentifizierungsmeldungen an den RADIUS-Server weiter, sodass ein Port authentifiziert werden kann und Informationen senden und empfangen kann.

Unterstützte Geräte

• Sx220-Serie

Software-Version

• 1.1.0.14

Konfigurieren der Port-Authentifizierung

Schritt 1: Melden Sie sich beim webbasierten Dienstprogramm des Switches an, und wählen Sie Security > 802.1X > Port Authentication aus.

Schritt 2: Klicken Sie auf das Optionsfeld für den Port, den Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.

Hinweis: In diesem Beispiel wird Port GE4 ausgewählt.

Schritt 3: Das Fenster "Edit Port Authentication" wird angezeigt. Stellen Sie in der Dropdown-Liste Interface (Schnittstelle) sicher, dass der angegebene Port derjenige ist, den Sie in Schritt 2 gewählt haben. Andernfalls klicken Sie auf den Dropdown-Pfeil, und wählen Sie den richtigen Port aus.

Schritt 4: Wählen Sie eine Optionsschaltfläche für die administrative Portsteuerung. Dadurch wird der Port-Autorisierungsstatus bestimmt. Folgende Optionen sind verfügbar:

• Disabled (Deaktiviert): Deaktiviert 802.1x. Dies ist der Standardstatus.
• Force Unauthorized - Verweigert den Schnittstellenzugriff, indem die Schnittstelle in den nicht autorisierten Status versetzt wird. Der Switch stellt dem Client keine Authentifizierungsdienste über die Schnittstelle zur Verfügung.
• Auto - Aktiviert die portbasierte Authentifizierung und Autorisierung auf dem Switch. Die Schnittstelle wechselt je nach Authentifizierungsaustausch zwischen dem Switch und dem Client zwischen einem autorisierten oder einem nicht autorisierten Status.
• Force Authorized - Autorisiert die Schnittstelle ohne Authentifizierung.

Hinweis: In diesem Beispiel wird Auto (Automatisch) ausgewählt.

Schritt 5: Wählen Sie optional ein Optionsfeld für die RADIUS-VLAN-Zuweisung. Dadurch wird die dynamische VLAN-Zuweisung auf dem angegebenen Port aktiviert. Folgende Optionen sind verfügbar:

• Disabled (Deaktiviert): Ignoriert das VLAN-Autorisierungsergebnis und behält das ursprüngliche VLAN des Hosts bei. Dies ist die Standardaktion.
• Reject (Ablehnen) - Wenn der angegebene Port autorisierte VLAN-Informationen empfängt, verwendet er diese Informationen. Wenn jedoch keine autorisierten VLAN-Informationen vorliegen, wird der Host zurückgewiesen, sodass er nicht autorisiert wird.
• Statisch - Wenn der angegebene Port autorisierte VLAN-Informationen empfängt, verwendet er diese Informationen. Wenn jedoch keine autorisierten VLAN-Informationen vorliegen, wird das ursprüngliche VLAN des Hosts beibehalten.

Hinweis: Wenn vom RADIUS ein autorisiertes VLAN vorhanden ist, das VLAN jedoch nicht administrativ auf dem getesteten Gerät (Device Under Test, DUT) erstellt wird, wird das VLAN automatisch erstellt. In diesem Beispiel wird „Static“ ausgewählt.

Quick Tipp: Damit die Funktion zur dynamischen VLAN-Zuweisung funktioniert, benötigt der Switch die folgenden VLAN-Attribute, die vom RADIUS-Server gesendet werden:

• [64] Tunneltyp = VLAN (Typ 13)
• [65] Tunnel-Medium-Type = 802 (Typ 6)
• [81] Tunnel-Private-Group-Id = VLAN-ID

Schritt 6: Aktivieren Sie das Kontrollkästchen Aktivieren, damit das Gast-VLAN ein Gast-VLAN für nicht autorisierte Ports verwendet.

Schritt 7. Aktivieren Sie das Kontrollkästchen Aktivieren für die regelmäßige erneute Authentifizierung. Dadurch werden Port-Neuauthentifizierungsversuche nach dem angegebenen Zeitraum für die erneute Authentifizierung aktiviert.

Hinweis: Diese Funktion ist standardmäßig aktiviert.

Schritt 8: Geben Sie im Feld "Reauthentication Period" (Zeitraum für erneute Authentifizierung) einen Wert ein. Die Zeit in Sekunden, die zur erneuten Authentifizierung des Ports erforderlich ist.

Hinweis: In diesem Beispiel wird der Standardwert 3600 verwendet.

Schritt 9. (Optional) Aktivieren Sie das Kontrollkästchen Jetzt neu authentifizieren, um die sofortige Port-Neuauthentifizierung zu aktivieren.

Hinweis: Im Feld "Authenticator State" (Authentifizierungsstatus) wird der aktuelle Authentifizierungsstatus angezeigt.

Hinweis: Wenn sich der Port nicht im Status Force Authorized oder Force Unauthorized befindet, befindet er sich im Auto-Modus, und der Authentifizierer zeigt den Status der aktiven Authentifizierung an. Nachdem der Port authentifiziert wurde, wird der Status als Authenticated (Authentifiziert) angezeigt.

Schritt 10. Geben Sie im Feld Max Hosts (Max. Hosts) die maximale Anzahl authentifizierter Hosts ein, die für den jeweiligen Port zulässig sind. Dieser Wert wird nur im Multi-Sitzungs-Modus wirksam.

Hinweis: In diesem Beispiel wird der Standardwert 256 verwendet.

Schritt 11. Geben Sie in das Feld Quiet Period (Stille Periode) die Anzahl der Sekunden ein, die der Switch nach einem fehlgeschlagenen Authentifizierungsaustausch im stillen Zustand verbleibt. Wenn sich der Switch im Ruhezustand befindet, bedeutet dies, dass der Switch keine neuen Authentifizierungsanforderungen vom Client abhört.

Hinweis: In diesem Beispiel wird der Standardwert 60 verwendet.

Schritt 12: Geben Sie im Feld Resending EAP (EAP erneut senden) die Anzahl der Sekunden ein, die der Switch auf eine Antwort auf eine EAP-Anfrage (Extensible Authentication Protocol) oder einen Identitäts-Frame vom Supplicant (Client) wartet, bevor er die Anfrage erneut sendet.

Hinweis: In diesem Beispiel wird der Standardwert 30 verwendet.

Schritt 13: Geben Sie im Feld Max EAP Requests (Max EAP-Anforderungen) die maximale Anzahl von EAP-Anforderungen ein, die gesendet werden können. Wenn nach dem definierten Zeitraum (Supplicant Timeout) keine Antwort eingeht, wird der Authentifizierungsprozess neu gestartet.

Hinweis: In diesem Beispiel wird der Standardwert 2 verwendet.

Schritt 14: Geben Sie im Feld Supplicant Timeout (Supplicant-Timeout) die Anzahl der Sekunden ein, die vergehen, bevor EAP-Anforderungen an den Supplicant gesendet werden.

Hinweis: In diesem Beispiel wird der Standardwert 30 verwendet.

Schritt 15: Geben Sie im Feld Server Timeout (Serverzeitüberschreitung) die Anzahl der Sekunden ein, die vergehen, bevor der Switch eine Anforderung an den Authentifizierungsserver erneut sendet.

Hinweis: In diesem Beispiel wird der Standardwert 30 verwendet.

Schritt 16: Klicken Sie auf Apply (Anwenden).

Sie sollten nun die Port-Authentifizierung erfolgreich auf Ihrem Switch konfiguriert haben.