Ein Großteil der administrierbaren Switches ab einer bestimmten Größe beherrscht IEEE 802.1X, darunter etwa der Netgear FSM726 Managed Switch für 200 Euro mit zwei Gigabit-Ports [4] , der 3Com 2924-SFP Plus für 270 Euro [5] oder der Level One GSW-2494 für rund 340 Euro [6] . Alle Geräte haben 24 Ports und unterscheiden sich in einzelnen Ausstattungsmerkmalen.
Fast alle kommen mit einem Webinterface (Abbildung 2), einige lassen sich über ein Command Line Interface wie Ciscos IOS konfigurieren. Artikel 5.1 des 802.1X-Standards legt fest, welchen Anforderungen die Switches genügen müssen. Einige, wie die IOS-basierten, stellen zusätzliche Features zur Verfügung, etwa ein Gast-VLAN, in das der NAS den Supplikanten steckt, wenn er sich nicht ausweisen konnte – praktisch für Besucher oder in Konferenzräumen.
Um Network Access Control zu aktivieren, verbindet sich der Systemverwalter mit dem Switch. Er stellt die betroffenen PAEs von
»Authorized
«
auf den Modus
»Auto
«
und teilt dem Netzgerät das Passwort und die IP-Adresse für den Remote-Access-Server mit. Den schließt er optimalerweise in einem separaten VLAN mit getrenntem Admin-Subnetz an. Um ein Henne-Ei-Problem zu vermeiden, stellt er den zugehörigen Port auf
»Authorized
«
.
Im Cisco IOS aktiviert der Befehl
»dot1x system-auth-control
«
802.1X im ganzen Switch (
Listing 1
). Mittels
»radius-server host Radius-IP
«
trägt der Admin den Radius-Server, mit
»key
«
als Radius
»secret
«
ein. Wozu ein
»aaa authentication
«
die Gruppe
»radius
«
zuweist. Die Befehle
»dot1x pae authenticator
«
und
»dot1x port-control auto
«
verwandeln dann das gewählte Interface in ein 802.1X-Interface. Das Gast-VLAN, das bei fehlgeschlagenen Autorisierungsversuchen den Client in ein unkritisches Netz schaltet, konfiguriert der Admin mit
»dot1x guest-vlan vlan-id
«
. Bei weiteren Fragen helfen der IOS-Configuration-Guide
[7]
oder das Free-Radius-Wiki
[8]
.
Listing 1
Cisco IOS konfigurieren