March 3, 2026

802.1X auf Cisco Switch: Netzwerkzugang sicher steuern (Praxis)

802.1X ist der Standard, um Netzwerkzugang auf Switchports sicher zu steuern: Ein Endgerät bekommt erst dann Zugriff, wenn es sich erfolgreich authentifiziert hat. In Campus- und Mittelstandsnetzen ersetzt 802.1X damit unsichere „offene“ Access-Ports und reduziert Risiken durch fremde Geräte, Rogue-Switches oder unkontrollierte IoT-Endpoints. In der Praxis wird 802.1X fast immer mit AAA/RADIUS (z. B. Cisco ISE oder Windows NPS), optional mit MAB (MAC Authentication Bypass) für Geräte ohne 802.1X und mit klaren Fallback-VLANs betrieben. Dieses Tutorial zeigt ein praxistaugliches Setup auf Cisco IOS/IOS XE.

802.1X kurz erklärt: Rollen und Ablauf

802.1X besteht aus drei Rollen: Supplicant (Endgerät), Authenticator (Switchport) und Authentication Server (RADIUS). Der Switch blockiert Datenverkehr, bis die Authentifizierung über EAP erfolgreich ist. Danach wird der Port in einen autorisierten Zustand gesetzt und kann VLAN/ACL/Policies zugewiesen bekommen.

  • Supplicant: Windows/macOS/Linux, IP-Telefon, Drucker (wenn unterstützt)
  • Authenticator: Cisco Switch (Access-Port)
  • RADIUS: Policy-Engine, liefert Accept/Reject und ggf. VLAN/ACL

Warum 802.1X besser ist als Port Security

Port Security limitiert MACs, 802.1X authentifiziert Identitäten und erlaubt zentrale Policies (User/Device/VLAN/ACL). Für Enterprise-Zugangssteuerung ist 802.1X die nachhaltigere Lösung.

Voraussetzungen: Was du vor der Konfiguration klären musst

802.1X ist ein System aus Switch, RADIUS und Endpoint-Policy. Ohne saubere Vorbereitung entstehen „keine Verbindung“-Incidents. Plane daher Auth-Quellen, Zertifikate, Fallbacks und Rollout-Strategie.

  • RADIUS-Server erreichbar (Management-VLAN/Routing/ACLs)
  • Shared Secret zwischen Switch und RADIUS definiert
  • Endpoint-Strategie: 802.1X für Clients, MAB für IoT/Printer
  • Fallback-VLANs: Guest/Remediation/Critical
  • Rollout: zuerst Monitor/Low-Risk, dann Enforce

Connectivity-Checks zum RADIUS

ping <RADIUS-IP>
show ip interface brief
show ip route

AAA/RADIUS Baseline: Grundkonfiguration auf dem Switch

Der Switch muss AAA aktivieren und RADIUS-Server kennen. Die exakten Befehle variieren je nach IOS/IOS XE und Plattform, aber die Logik bleibt gleich: Server definieren, AAA-Methoden setzen, RADIUS-Parameter aktivieren.

RADIUS-Server definieren (Beispiel)

enable
configure terminal

aaa new-model


radius server RADIUS-1

address ipv4 10.1.99.20 auth-port 1812 acct-port 1813

key 

exit


radius server RADIUS-2

address ipv4 10.1.99.21 auth-port 1812 acct-port 1813

key 

exit


aaa group server radius RAD-GRP

server name RADIUS-1

server name RADIUS-2

exit


aaa authentication dot1x default group RAD-GRP

aaa authorization network default group RAD-GRP

aaa accounting dot1x default start-stop group RAD-GRP


end

RADIUS-Attribute für VLAN/ACL-Policies aktivieren

Viele Designs nutzen RADIUS-Attributes für VLAN-Zuweisung oder Downloadable ACLs. Stelle sicher, dass der Switch diese Attributes akzeptiert.

configure terminal
aaa authorization network default group RAD-GRP
radius-server vsa send authentication
end

802.1X global aktivieren: dot1x system-auth-control

Die globale Aktivierung schaltet 802.1X als Systemfunktion frei. Danach konfigurierst du die Ports, auf denen 802.1X laufen soll.

configure terminal
dot1x system-auth-control
end

802.1X Status prüfen

show dot1x all

Praxis-Portprofil: 802.1X mit MAB und Fallback-VLANs

In der Praxis authentifizieren sich nicht alle Geräte per 802.1X. Für Drucker/IoT nutzt du häufig MAB als Fallback. Zusätzlich definierst du Fallback-VLANs: „Guest“ (unbekannt) oder „Remediation“ (Quarantäne) und ein „Critical VLAN“ bei RADIUS-Ausfall.

Beispiel: Access-Port mit 802.1X + MAB

configure terminal

vlan 10

name CLIENTS

exit

vlan 40

name GUEST

exit

vlan 50

name REMEDIATION

exit

vlan 99

name MGMT

exit


interface gigabitEthernet 1/0/10

description DOT1X-CLIENT-PORT

switchport mode access

switchport access vlan 10


authentication order dot1x mab

authentication priority dot1x mab

authentication port-control auto

mab


authentication event fail action next-method

authentication event server dead action authorize vlan 50

authentication event server alive action reinitialize


spanning-tree portfast

spanning-tree bpduguard enable

end

Was diese Einstellungen praktisch bedeuten

  • order/priority: zuerst 802.1X, dann MAB als Fallback
  • port-control auto: Port ist bis zur Auth nicht voll offen
  • server dead: bei RADIUS-Ausfall in ein definiertes VLAN (Controlled Fail-Open)
  • server alive: Reauth, wenn RADIUS zurück ist

VLAN-Zuweisung per RADIUS: Dynamische Policies statt statischer Ports

Ein großer Vorteil von 802.1X ist dynamische VLAN-Zuweisung: Der Port bleibt technisch gleich, aber der RADIUS entscheidet, ob ein User/Device in VLAN 10 (Corp), VLAN 40 (Guest) oder VLAN 50 (Remediation) landet.

Verifikation der VLAN-Policy am Port

show authentication sessions interface gigabitEthernet 1/0/10 details
show interfaces gigabitEthernet 1/0/10 switchport

Voice + 802.1X: Telefon und PC am gleichen Port

Bei IP-Telefon + PC muss das Design klar definieren, wie viele „Sessions“ ein Port unterstützt und wie Voice VLAN zugewiesen wird. Häufig bleibt Voice VLAN statisch, während der PC per 802.1X/MAB authentifiziert wird.

Beispiel: Voice VLAN + 802.1X für Data

configure terminal
interface gigabitEthernet 1/0/15
 description DOT1X-VOICE+DATA
 switchport mode access
 switchport access vlan 10
 switchport voice vlan 20

authentication order dot1x mab

authentication priority dot1x mab

authentication port-control auto

mab


spanning-tree portfast

spanning-tree bpduguard enable

end

Monitoring und Troubleshooting: Die wichtigsten Show-Befehle

Wenn 802.1X „nicht geht“, ist Sichtbarkeit entscheidend: Session-Status, Auth-Methoden, RADIUS-Erreichbarkeit und Logs. Arbeite zuerst am Switchport, dann am RADIUS, dann am Endpoint.

Sessions und Status am Port

show authentication sessions
show authentication sessions interface gigabitEthernet 1/0/10 details
show dot1x interface gigabitEthernet 1/0/10 details

RADIUS/AAA Debug-Light (ohne Dauer-Debug)

show aaa servers
show radius statistics
show logging | include DOT1X|RADIUS|MAB|AUTH

Typische Fehlerbilder

  • RADIUS nicht erreichbar: Routing/ACL/Source-Interface prüfen
  • Shared Secret falsch: Auth-Requests werden abgelehnt
  • Endpoint ohne Supplicant: MAB erforderlich oder Device-Policy anpassen
  • Zertifikats-/EAP-Thema: Client-Konfig/PKI prüfen
  • Falsches VLAN/Policy: RADIUS-Antwort und Attribute prüfen

Rollout ohne Chaos: Praxisstrategie für produktive Netze

802.1X rollst du nicht „über Nacht“ aus. Eine sichere Strategie ist stufenweise: erst kleine Pilotgruppe, dann ganze Bereiche, dann Enforce. Fallback-VLANs und klare Kommunikationsprozesse verhindern Support-Stürme.

  • Pilot: wenige Ports/Etagen, klare Testgeräte
  • Monitor/Low-Impact: MAB-Fallback, kontrollierte Fail-Open Policy
  • Enforce: VLAN/ACL strikt, Unknown Devices in Guest/Remediation
  • Operational: RADIUS-HA, NTP, Syslog, Reporting

Best Practices: 802.1X als Campus-Standard

Ein stabiles 802.1X-Design entsteht durch klare Rollen, Fallbacks und standardisierte Port-Profile. Damit bleibt der Betrieb beherrschbar, auch wenn Gerätevielfalt hoch ist.

  • AAA/RADIUS redundant (mindestens 2 Server)
  • 802.1X primär, MAB als kontrollierter Fallback für Non-802.1X
  • Fallback-VLANs definieren (Guest/Remediation/Critical)
  • PortFast + BPDU Guard auf Edge-Ports
  • Policies zentral dokumentieren (VLAN/ACL-Mapping)
copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

ERSPAN-to-Collector: Skalierbare Packet Capture Pipelines im Enterprise

iACLs im Campus: Infrastruktur-Services absichern (DHCP/DNS/NTP)

EEM Applets & Automation: Self-Healing Workflows für Switch-Probleme

Logging & Audit Trails: Forensik-fähige Switch-Konfigurationen

Ansible für Catalyst at Scale: Idempotente Deployments & Diff-Checks

QoS Design im Campus: End-to-End Modell für Voice/Video/Collab

Konfiguration auditieren: CIS Benchmarks und automatische Remediation

Trust Boundary richtig setzen: CoS/DSCP am Access-Port (Expert)

„Single Pane of Glass“: Monitoring-Blueprint für Catalyst Switch Flotten

Queueing & Scheduling auf Catalyst: Shaping/Policing in der Praxis

WRED & Congestion Management: Wenn Microbursts die Performance killen

QoS Troubleshooting: Drops, Queue Counters und typische Irrtümer