Konfigurieren der 802.1x-Authentifizierung auf Cisco Business Switches der Serie 220

Download-Optionen

PDF (430.9 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (269.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (333.5 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:17. Mai 2021

Dokument-ID:1621287931623968

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

kmgmt-2880-cbs220-802-1x-Authentifizierung

Ziel

In diesem Artikel wird erläutert, wie Sie die 802.1x-Authentifizierung auf den Cisco Business Smart Switches der Serie 220 konfigurieren.

Unterstützte Geräte | Firmware-Version

CBS 220-Serie (Datenblatt) | 2.0.0.17

Einleitung

Die Port-Authentifizierung ermöglicht die Konfiguration von Parametern für jeden Port. Da einige Konfigurationsänderungen nur möglich sind, wenn sich der Port im Status "Force Authorized" befindet, z. B. bei der Host-Authentifizierung, wird empfohlen, die Port-Steuerung in "Force Authorized" zu ändern, bevor Sie Änderungen vornehmen. Wenn die Konfiguration abgeschlossen ist, setzen Sie die Portsteuerung auf den vorherigen Status zurück.

Ein Port, auf dem 802.1x definiert ist, kann kein Mitglied einer LAG werden. 802.1x und Port-Sicherheit können nicht auf demselben Port gleichzeitig aktiviert werden. Wenn Sie die Port-Sicherheit für eine Schnittstelle aktivieren, kann die administrative Port-Steuerung nicht in den Auto-Modus geändert werden.

Konfigurieren der Port-Authentifizierung

Schritt 1

Melden Sie sich bei der Webbenutzeroberfläche des Switches an, und wählen Sie Security > 802.1x > Port Authentication aus.

Schritt 2

Klicken Sie auf das Optionsfeld für den Port, den Sie konfigurieren möchten, und dann auf das Bearbeitungssymbol.

Schritt 3

Das Fenster "Edit Port Authentication" wird angezeigt. Vergewissern Sie sich in der Dropdown-Liste Interface (Schnittstelle), dass der angegebene Port derjenige ist, den Sie in Schritt 2 ausgewählt haben. Klicken Sie andernfalls auf den Dropdown-Pfeil, und wählen Sie den richtigen Port aus.

Schritt 4

Wählen Sie eine Optionsschaltfläche für die administrative Portsteuerung. Dadurch wird der Port-Autorisierungsstatus bestimmt. Folgende Optionen sind verfügbar:

Disabled (Deaktiviert): Deaktiviert 802.1x. Dies ist der Standardstatus.
Force Unauthorized (Nicht autorisiert erzwingen) - Verweigert den Schnittstellenzugriff, indem die Schnittstelle in den nicht autorisierten Status verschoben wird. Der Switch stellt dem Client keine Authentifizierungsdienste über die Schnittstelle zur Verfügung.
Auto - Aktiviert die portbasierte Authentifizierung und Autorisierung auf dem Switch. Die Schnittstelle wechselt je nach Authentifizierungsaustausch zwischen dem Switch und dem Client zwischen einem autorisierten oder einem nicht autorisierten Status.
Force Authorized (Autorisiert erzwingen) - Autorisiert die Schnittstelle ohne Authentifizierung.

Schritt 5 (optional)

Wählen Sie ein Optionsfeld für die RADIUS-VLAN-Zuweisung aus. Dadurch wird die dynamische VLAN-Zuweisung auf dem angegebenen Port aktiviert. Folgende Optionen sind verfügbar:

Disabled (Deaktiviert): Ignoriert das VLAN-Autorisierungsergebnis und behält das ursprüngliche VLAN des Hosts bei. Dies ist die Standardaktion.
Reject (Ablehnen): Wenn der angegebene Port autorisierte VLAN-Informationen empfängt, verwendet er diese. Wenn jedoch keine autorisierten VLAN-Informationen vorliegen, wird der Host zurückgewiesen, sodass er nicht autorisiert wird.
Statisch: Wenn der angegebene Port autorisierte VLAN-Informationen empfängt, verwendet er diese Informationen. Wenn jedoch keine autorisierten VLAN-Informationen vorliegen, wird das ursprüngliche VLAN des Hosts beibehalten.

Wenn über RADIUS autorisierte VLAN-Informationen vorliegen, das VLAN jedoch nicht administrativ auf dem DUT (Device Under Test) erstellt wird, wird das VLAN automatisch erstellt.

Choose a radio button for the RADIUS VLAN Assignment. This will enable Dynamic VLAN assignment on the specified port.

Quick Tipp: Damit die Funktion zur dynamischen VLAN-Zuweisung funktioniert, benötigt der Switch die folgenden VLAN-Attribute, die vom RADIUS-Server gesendet werden:

[64] Tunneltyp = VLAN (Typ 13)
[65] Tunnel-Medium-Type = 802 (Typ 6)
[81] Tunnel-Private-Group-Id = VLAN-ID

Schritt 6 (optional)

Aktivieren Sie das Kontrollkästchen Aktivieren, damit das Gast-VLAN ein Gast-VLAN für nicht autorisierte Ports verwendet.

Check the Enable check box for the Guest VLAN to use a guest VLAN for unauthorized ports.

Schritt 7

Aktivieren Sie das Kontrollkästchen Aktivieren für die regelmäßige erneute Authentifizierung. Dadurch werden Port-Neuauthentifizierungsversuche nach dem angegebenen Zeitraum für die erneute Authentifizierung aktiviert.

Check the Enable check box for Periodic Reauthentication. This will enable port re-authentication attempts after the specified Reauthentication Period.

Schritt 8

Geben Sie im Feld "Reauthentication Period" (Zeitraum für erneute Authentifizierung) einen Wert ein. Die Zeit in Sekunden, die zur erneuten Authentifizierung des Ports erforderlich ist.

Enter a value in the Reauthentication Period field. This is the time in seconds to reauthenticate the port.

Schritt 9 (optional)

Aktivieren Sie das Kontrollkästchen Jetzt neu authentifizieren, um die sofortige Port-Neuauthentifizierung zu aktivieren.

Im Feld "Authenticator State" (Authentifizierungsstatus) wird der aktuelle Authentifizierungsstatus angezeigt.

Check the Reauthenticate Now check box to enable immediate port re-authentication.

Wenn der Port nicht den Status "Force Authorized" oder "Force Unauthorized" aufweist, befindet er sich im Auto Mode, und der Authentifizierer zeigt den Status der aktiven Authentifizierung an. Nachdem der Port authentifiziert wurde, wird der Status als Authenticated (Authentifiziert) angezeigt.

Schritt 10

Geben Sie im Feld Max Hosts (Max. Hosts) die maximale Anzahl authentifizierter Hosts ein, die für den jeweiligen Port zulässig sind. Dieser Wert wird nur im Multi-Sitzungs-Modus wirksam.

In the Max Hosts field, enter the maximum number of authenticated hosts allowed on the specific port. This value only takes effect on multi-session mode.

Schritt 11

Geben Sie in das Feld Quiet Period (Stille Periode) die Anzahl der Sekunden ein, die der Switch nach einem fehlgeschlagenen Authentifizierungsaustausch im stillen Zustand verbleibt. Wenn sich der Switch im Ruhezustand befindet, bedeutet dies, dass der Switch nicht auf neue Authentifizierungsanforderungen vom Client wartet.

In the Quiet Period field, enter the number of seconds that the switch remains in the quiet state following a failed authentication exchange. When the switch is in a quiet state, it means the switch is not listening for new authentication requests from the client.

Schritt 12

Geben Sie im Feld Resending EAP (EAP erneut senden) die Anzahl der Sekunden ein, die der Switch auf eine Antwort auf eine EAP-Anfrage (Extensible Authentication Protocol) oder einen Identitäts-Frame vom Supplicant (Client) wartet, bevor er die Anfrage erneut sendet.

In the Resending EAP field, enter the number of seconds that the switch waits for a response to an Extensible Authentication Protocol (EAP) request or identity frame from the supplicant (client) before resending the request.

Schritt 13

Geben Sie im Feld Max EAP Requests (Max EAP-Anforderungen) die maximale Anzahl von EAP-Anforderungen ein, die gesendet werden können. Wenn nach dem definierten Zeitraum (Supplicant Timeout) keine Antwort eingeht, wird der Authentifizierungsprozess neu gestartet.

In the Max EAP Requests field, enter the maximum number of EAP requests that can be sent. If a response is not received after the defined period (supplicant timeout), the authentication process is restarted.

Schritt 14

Geben Sie im Feld Supplicant Timeout (Supplicant-Zeitüberschreitung) die Anzahl der Sekunden ein, die vergehen, bevor EAP-Anfragen erneut an den Supplicant gesendet werden.

In the Supplicant Timeout field, enter the number of seconds that lapses before EAP requests are resent to the supplicant.

Schritt 15

Geben Sie im Feld Server Timeout (Serverzeitüberschreitung) die Anzahl der Sekunden ein, die vergehen, bevor der Switch eine Anforderung an den Authentifizierungsserver erneut sendet.