Weblog
Client-Authentifizierung und -Anmeldung in einem Ethernet-Netzwerk
28.05.2025 3 Min. Lesezeit
1. Physikalische und Datenverbindungsschicht (Layer 1 & 2)
1.1 Link Establishment
Ein Ethernet-Client (z. B. Laptop, IP-Telefon, Drucker) wird physisch mit einem Switchport verbunden. Sobald die elektrische Verbindung steht, beginnt der Auto-Negotiation-Prozess, bei dem Geschwindigkeit (z. B. 1 Gbps) und Duplex-Modus ausgehandelt werden. Danach erfolgt die Link Activation (PHY Layer Ready).
1.2 Portzustand: Unauthorized
Wenn der Switchport für IEEE 802.1X Port-Based Network Access Control konfiguriert ist, befindet sich der Port initial im Zustand unauthorized. Das bedeutet:
Nur EAPOL (Extensible Authentication Protocol over LAN)-Frames sind erlaubt. Jeglicher anderer Datenverkehr (z. B. DHCP, ARP, HTTP) wird verworfen oder ignoriert.
Der Switch agiert als Authenticator und wartet auf Authentifizierungsversuche des Clients.
2. Authentifizierung mit IEEE 802.1X und RADIUS
2.1 EAPOL-Handshake
Der Client (Supplicant) startet den Authentifizierungsprozess mit einem EAPOL-Start-Frame. Der Switch antwortet mit einem EAP-Request/Identity, woraufhin der Client seine Identität (z. B. Benutzername oder Zertifikat) übermittelt.
2.2 Weiterleitung an RADIUS
Der Switch encapsuliert die EAP-Nachrichten in RADIUS Access-Request-Pakete und leitet sie an den konfigurierten RADIUS-Server weiter. Dieser übernimmt die eigentliche Authentifizierung, z. B. über:
- EAP-TLS (Client-Zertifikat)
- PEAP (Benutzername/Passwort in TLS-Tunnel)
- EAP-TTLS, EAP-FAST, etc.
2.3 Access-Accept und Attributzuweisung
Bei erfolgreicher Authentifizierung sendet der RADIUS-Server ein Access-Accept mit optionalen Attributen:
- VLAN-Zuweisung (Tunnel-Private-Group-ID)
- QoS-Profile (Filter-ID)
- ACLs oder Downloadable ACLs
- Session-Timeouts
Der Switch setzt den Port in den Zustand authorized und aktiviert den Datenpfad.
3. IP-Zuweisung und Netzwerkzugang
3.1 DHCP-Prozess
Nach erfolgreicher Authentifizierung beginnt der Client mit der IP-Zuweisung:
- DHCP Discover (Broadcast)
- DHCP Offer (vom DHCP-Server)
- DHCP Request
- DHCP Ack
Der Client erhält:
- IPv4-Adresse
- Subnetzmaske
- Gateway
- DNS-Server
- ggf. weitere Optionen
3.2 ARP und DNS
Der Client führt anschließend ARP-Requests durch, um das Gateway zu erreichen, und beginnt mit der Namensauflösung über DNS.
4. Verhalten bei HTTP-Zugriff vor Authentifizierung (Captive Portal)
Falls der Switchport nicht 802.1X-fähig ist oder der Client 802.1X nicht unterstützt, kann alternativ ein Captive Portal verwendet werden. In diesem Fall:
Der Client sendet z. B. eine HTTP-Anfrage an http://example.com.
Der Switch erkennt, dass der Port noch nicht authentifiziert ist. Der Datenverkehr wird umgeleitet (HTTP 302 Redirect) auf eine lokale Webserver-Adresse, z. B. http://192.168.100.1/login.
Der Benutzer sieht eine Login-Seite (z. B. mit Benutzername/Passwort oder Voucher).
Nach erfolgreicher Authentifizierung wird der Port freigeschaltet oder eine dynamische ACL angewendet. Der Client wird auf die ursprünglich angeforderte Seite weitergeleitet.
Diese Methode ist weniger sicher als 802.1X, aber weit verbreitet in Gäste- oder BYOD-Netzen.
Zusätzliche Mechanismen
MAC Authentication Bypass (MAB)
Falls ein Gerät kein 802.1X unterstützt (z. B. Drucker), kann der Switch die MAC-Adresse als Identität verwenden und diese an den RADIUS-Server senden. Der Server entscheidet anhand von MAC-Listen oder Profilen über die Freigabe.
Change of Authorization (CoA)
Ein RADIUS-Server kann nachträglich Änderungen an einer aktiven Session anstoßen, z. B. VLAN-Wechsel oder Session-Abbruch. Dies erfolgt über RADIUS CoA-Pakete.
Zusammenfassung des Ablaufs
- Link-Up: PHY-Verbindung wird hergestellt.
- 802.1X: Authentifizierung über EAP/RADIUS.
- Port-Freigabe: Switch setzt Port auf authorized.
- DHCP: IP-Zuweisung.
- ARP/DNS: Netzwerkkommunikation beginnt.
- HTTP vor Authentifizierung: Captive Portal oder Blockierung.