Suchen

Netzwerk-Grundlagen – Authentisierung, Teil 2

MAC-, Web- und LLDP-Authentication als Alternativen zu IEEE 802.1x

Seite: 2/2

Firmen zum Thema

Phone Detection mittels CEP

Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP-Telefon auch als solches erkannt wird. Im Netzwerk werden dann automatisch passende Parameter für Quality of Service gesetzt. Zum Beispiel kann nach der Erkennung eines IP-Telefons dessen Datenverkehr via IEEE 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr.

Die Telefonerkennung kann dabei durch den LLDP-Standard oder spezielle Protokollnachrichten wie beispielsweise dem Enterasys Cabletron Discovery Protocol (CDP) erfolgen. Ansonsten können auch beliebige andere Protokolle wie Cisco Discovery Protocol 2.0 oder das Snooping aller Pakete mit Ziel UDPPort 4060 wie bei Siemens verwendet werden.

Link Layer Discovery Protocol (LLDP, IEEE 802.1ab)

Der gegenseitige Austausch von Identität und Eigenschaften zwischen den Netzwerk-Komponenten optimiert deren Zusammenspiel und ermöglicht darüber hinaus auch die Visualisierung von Layer-2-Verbindungen in grafischen Network Management Tools. Die bisher verwendeten Discovery-Protokolle (CDP, EDP) waren jedoch proprietärer Natur und boten damit eine eingeschränkte Interoperabilität.

Aus dieser Konzeption ratifizierte die IEEE im Jahre 2005 unter der Bezeichnung 802.1ab das herstellerunabhängige Link Layer Discovery Protokoll (LLDP). Eine durchgängige Unterstützung von LLDP durch die Netzwerkkomponenten ermöglicht die Rekonstruktion der kompletten Layer-2-Netzwerktopologie sowie das Erkennen neuer Netzwerk-Komponenten.

Bei der Entwicklung von LLDP wurde auf eine einfache Erweiterbarkeit des Standards geachtet. Ein Beispiel hierfür ist das Link Layer Discovery Protocol-Media Endpoint Discover. Mit LLDP-MED wird es möglich, Netzwerk-Einstellungen von Endgeräten wie VLAN-Priorität oder Diffserv-Werte automatisch zu erkennen.

Dies erleichtert die Integration besonderer Endgerätetypen wie z.B. IP-Telefone. LLDP-Informationen stellen darüber hinaus auch eine Entscheidungsgrundlage für die automatische Zuordnung von Secure Networks Policys dar.

Nun wissen wir mehr über IEEE 802.1x sowie Standort- und Geräte-spezifische Access Control. Damit sind aber noch all jene Endgeräte außen vor, die entsprechende Authentisierungsmethoden nicht unterstützen. Im dritten Beitrag werden wir uns neben dieser Thematik auch der Priorisierung einzelner Authentication-Mechanismen am Beispiel der Enterasys N-Serie widmen.

Über den Autor

(Archiv: Vogel Business Media)

Markus Nispel ist als Vice President Solutions Architecture zuständig für die strategische Produkt- und Lösungsentwicklung bei Enterasys. Sein Fokus liegt auf dem Ausbau der Sicherheits- und dort insbesondere der Network-Access-Control-Lösung (NAC) von Enterasys; hier zeichnet er als Architekt verantwortlich. Diese Position knüpft an seine vorherige Tätigkeit bei Enterasys als Director Technology Marketing an. Bereits hier war er intensiv in die weltweite Produktentwicklung und -strategie von Enterasys im Office des CTO involviert. Darüber hinaus berät er Key Accounts in Zentraleuropa, Asien und dem mittleren Osten bei strategischen Netzwerkentscheidungen und verantwortet die technischen Integrationsprojekte zwischen Enterasys und der Siemens Enterprise Communications Group.

In Zentraleuropa und Asien verantwortet er zudem das Security Business Development und steht mit einem Team an Security Spezialisten für die Implementierung von Security Projekten mit höchsten Anforderungen bereit.

Vor seiner Tätigkeit für Enterasys Networks war Markus Nispel als Systems Engineer bei Cabletron Systems aktiv. Hier führte er 1998 die ersten Layer 3 Switches für den europäischen Kundenstamm ein.

Markus Nispel studierte an der Fachhochschule der Deutschen Telekom in Dieburg und schloss sein Studium 1996 als Dipl.-Ing. Nachrichtentechnik erfolgreich ab. Erste Berufserfahrung sammelte er unter anderem bei der E-Plus Mobilfunk GmbH innerhalb der Netzwerkoptimierungsgruppe für DCS Mobile Networks.

(ID:2046372)