Perle Systems - Technischer Hinweis
Portbasierte Netzwerkzugriffskontrolle
mithilfe von IEEE 802.1x und Port-Sicherheit
Das Extensible Authentication Protocol (EAP) wurde für Unternehmensumgebungen entwickelt, in denen Administratoren mehr für die Sicherheit tun möchten, als einfach nur Benutzernamen und Passwörter für den Zugriff zu verteilen. EAP befindet sich im PPP-Authentifizierungsprotokoll und bietet ein verallgemeinertes Framework für verschiedene Authentifizierungsmethoden. Mit einem normisierten EAP werden die Interoperabilität und die Kompatibilität von Authentifizierungsmethoden einfacher gestaltet. IEEE 802.1X ist die Norm zur Verteilung des EAP über ein verdrahtetes oder drahtloses LAN. Die Verkapselung des EAP über IEEE 802.1x wird auch "EAP-over-LAN" oder EAPOL genannt.
802.1x nutzt drei Ausdrücke, die Sie kennen sollten:
- Antragsteller: Der Benutzer oder das Client-Gerät, das authentifiziert und Zugriff auf das Netzwerk erhalten möchte.
- Authentifizierungsserver: Der Server, der die Authentifizierung durchführt, normalerweise ein RADIUS-Server.
- Authentifikator: Das Gerät zwischen dem Antragsteller und dem Authentifizierungsserver.
Verwendung von Perle als Authentifikator
IEEE 802.1x bietet einen Authentifizierungsmechanismus für Geräte, die sich Access-Ports anhängen möchten.
Perle Produkte werden in Verbindung mit einem kompatiblen RADIUS-Authentifizierungsserver verwendet und erlauben in Ihrer Rolle als Authentifikator nur ihren Ports den Zugriff (und umgekehrt dem Netzwerk), wenn das 802.1X-Gerät (Antragsteller) sich erfolgreich mit dem RADIUS-Server authentifiziert hat. Die Antragstellerfunktion ist auf gängigen Arbeitsplatzbetriebssystemen wie Windows verfügbar.
In Fällen, in denen ein nicht mit 802.1X kompatibles Gerät (wie eine Industrieausrüstung) mit einem mit 802.1X kompatiblen Switch verbunden werden muss, kann die auf Perle Produkten verfügbare MAC Authentication Bypass (MAB)-Funktion verwendet werden. Wenn diese Funktion aktiviert ist, wird die spezifische MAC-Adresse des Geräts als ID und Passwort verwendet. Diese Information wurde im RADIUS-Authentifizierungsserver vorkonfiguriert und gewährleistet einen sicheren Zugriff auf den Switchport.
Verwendung von Perle als Antragsteller
802.1X kann über den Zugriff von Geräten auf einen Edge Switch hinaus gehen. Sie können Perle so konfigurieren, dass er als Antragsteller für einen anderen Switch fungiert, indem Sie den Edge Switch als Antragsteller konfigurieren. Dies kann verwendet werden, wenn sich ein Perle-Gerät außerhalb eines Kabelschranks befindet und über einen Trunk-Port mit einem Upstream-Switch verbunden ist. Perle, fungiert mit der 802.1x-Switch-Supplicant-Funktion, und authentifiziert sich mit dem Upstream-Switch (der als Authentifikator fungiert) für eine sichere Konnektivität.
Perle-Port-Sicherheit
Die Port-Sicherheitsfunktion bietet die Fähigkeit, Eingaben in eine Schnittstelle einzuschränken, indem die MAC-Adressen der Stationen, die Zugriff auf den Port (Access oder Trunk) haben, identifiziert und beschränkt werden und führt bei Regelverstößen wie dem Senden einer SNMP-Trap-Nachricht zum NMS oder dem Herunterfahren des Ports spezifische Maßnahmen ein.
