MAB (MAC Authentication Bypass) ist eine pragmatische Ergänzung zu 802.1X: Wenn ein Endgerät keinen 802.1X-Supplicant unterstützt (z. B. Drucker, IoT, Kameras, Türcontroller), kann der Switch stattdessen die MAC-Adresse als „Identität“ an einen RADIUS-Server senden. Der RADIUS entscheidet dann per Policy, ob das Gerät Zugriff bekommt und in welches VLAN bzw. mit welchen ACLs. Wichtig: MAB ist kein gleichwertiger Ersatz für 802.1X, sondern ein kontrollierter Fallback, der nur mit zusätzlichen Schutzmaßnahmen wirklich sicher betrieben werden sollte.
Wann MAB sinnvoll ist
MAB ist für Geräte gedacht, die technisch nicht per 802.1X authentifizieren können. Ohne MAB bleiben dann nur offene Ports oder harte Port-Security-Limits. MAB bringt zentrale Steuerung und Logging zurück.
- Drucker/Scanner ohne 802.1X
- IoT-Geräte (Sensoren, Kameras, Gebäudetechnik)
- Industriegeräte/OT-Controller
- Legacy-VoIP/Embedded Devices (je nach Modell)
Wann MAB nicht die richtige Wahl ist
Für klassische Clients (Windows/macOS) ist 802.1X die bessere Lösung. MAB für Clients ist riskant, weil MAC-Adressen leichter zu spoofing sind und Policies damit schwächer werden.
Wie MAB funktioniert: Ablauf in der Praxis
Der Switchport versucht zunächst 802.1X (dot1x). Wenn keine 802.1X-Authentifizierung zustande kommt, nutzt er MAB: Er sendet die MAC-Adresse als Benutzername/Passwort an RADIUS. Der RADIUS matcht die MAC in einer Geräte-Datenbank und liefert Accept/Reject sowie VLAN/ACL.
- Auth-Reihenfolge: zuerst 802.1X, dann MAB
- MAB-Identität = MAC-Adresse (Policy entscheidet)
- RADIUS kann VLAN/ACL/Session-Timeout zurückgeben
- Logging/Accounting liefert Betriebssichtbarkeit
Wichtige Sicherheitsrealität
MAB basiert auf einer MAC-Adresse und ist damit grundsätzlich leichter angreifbar als 802.1X. Deshalb ist Segmentierung (IoT/Printer VLAN), restriktive ACLs und Monitoring Pflicht.
Voraussetzungen: AAA/RADIUS muss stehen
MAB braucht denselben AAA/RADIUS-Unterbau wie 802.1X. Der Switch muss RADIUS-Server erreichen, und der RADIUS muss MAC-basierte Policies abbilden.
RADIUS-Baseline (Beispiel)
enable
configure terminal
aaa new-model
radius server RADIUS-1
address ipv4 10.1.99.20 auth-port 1812 acct-port 1813
key
exit
aaa group server radius RAD-GRP
server name RADIUS-1
exit
aaa authentication dot1x default group RAD-GRP
aaa authorization network default group RAD-GRP
aaa accounting dot1x default start-stop group RAD-GRP
radius-server vsa send authentication
end
Port-Profil: 802.1X bevorzugt, MAB als Fallback
In produktiven Netzen ist der Standard: Port versucht 802.1X, wenn das nicht klappt, fällt er auf MAB zurück. Damit bleiben Clients auf 802.1X und Non-802.1X Geräte werden trotzdem kontrolliert zugelassen.
Beispiel: Access-Port mit 802.1X + MAB
configure terminal
vlan 10
name CLIENTS
exit
vlan 60
name IOT
exit
vlan 50
name REMEDIATION
exit
dot1x system-auth-control
interface gigabitEthernet 1/0/20
description IOT-DEVICE (DOT1X-OR-MAB)
switchport mode access
switchport access vlan 60
authentication order dot1x mab
authentication priority dot1x mab
authentication port-control auto
mab
authentication event fail action next-method
authentication event server dead action authorize vlan 50
authentication event server alive action reinitialize
spanning-tree portfast
spanning-tree bpduguard enable
end
Was hier wichtig ist
- Port bleibt kontrolliert (
port-control auto) - MAB wird nur genutzt, wenn 802.1X nicht greift
- Bei RADIUS-Ausfall wird ein definiertes VLAN genutzt (Controlled Fail-Open)
Reines MAB-Portprofil: Wenn 802.1X wirklich nicht genutzt wird
Für reine IoT-/Printer-Ports kannst du 802.1X weglassen und direkt MAB verwenden. Das ist jedoch nur sinnvoll, wenn du die Ports strikt segmentierst und die Policies restriktiv sind.
Beispiel: Printer-Port nur mit MAB
configure terminal
vlan 50
name PRINTERS
exit
interface gigabitEthernet 1/0/25
description PRINTER-MAB-ONLY
switchport mode access
switchport access vlan 50
authentication order mab
authentication priority mab
authentication port-control auto
mab
spanning-tree portfast
spanning-tree bpduguard enable
end
Policy-Design: VLAN/ACL pro Gerätetyp statt „alles ins gleiche Netz“
Der größte Sicherheitsgewinn bei MAB kommt nicht aus der MAC selbst, sondern aus der Policy: Geräte werden in ein eigenes VLAN oder bekommen restriktive ACLs, die nur notwendige Ziele/Ports erlauben.
- IoT VLAN: nur zu Management-Servern/Cloud-Endpoints, sonst deny
- Drucker VLAN: nur zu Print-Servern/Management, kein Client-to-Client
- Remediation VLAN: nur DHCP/DNS/Update/Portal
- Guest VLAN: Internet-only über Firewall
Verifikation: Welche Policy wurde angewendet?
show authentication sessions interface gigabitEthernet 1/0/25 details
Typische Fehlerbilder: Wenn MAB „nicht geht“
Bei MAB-Problemen ist die häufigste Ursache nicht der Switchport, sondern RADIUS-Policy oder fehlende MAC-Einträge. Arbeite vom Port zur RADIUS-Erreichbarkeit und dann zur Session-Auswertung.
- RADIUS nicht erreichbar: Routing/ACL/Source-Interface
- MAC nicht bekannt: RADIUS-Policy/Endpoint-Datenbank
- Falsches VLAN: Policy liefert anderes VLAN oder Default greift
- Port bleibt unauthorized: Auth-Order/port-control falsch
Troubleshooting-Befehle (Switch)
show authentication sessions
show authentication sessions interface gigabitEthernet 1/0/25 details
show aaa servers
show radius statistics
show logging | include MAB|RADIUS|AUTH|DOT1X
Sicherheitsmaßnahmen für MAB: So reduzierst du Spoofing-Risiken
Da MAC-Adressen fälschbar sind, musst du MAB mit zusätzlichen Kontrollen kombinieren. Das Ziel ist, dass eine gespoofte MAC trotzdem wenig Schaden anrichten kann.
- Strikte Segmentierung (IoT/Printer VLAN) und Firewall-Policies
- Downloadable ACLs oder VLAN-ACLs für minimale Erlaubnisse
- Port Security als ergänzende Begrenzung (realistische MAC-Limits)
- BPDU Guard + PortFast (Rogue-Switch Schutz)
- Monitoring: ungewöhnliche MAC-Wechsel, Sessions, Logs
Port Security als Ergänzung (Beispiel)
configure terminal
interface gigabitEthernet 1/0/25
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
end
Rollout-Strategie: MAB kontrolliert einführen
Führe MAB nicht „wild“ ein. Baue zuerst saubere Gerätegruppen und VLANs, dann hinterlege MACs im RADIUS und rolle Ports stufenweise aus. So vermeidest du Ticket-Stürme.
- Geräteinventar: welche Endpoints brauchen MAB?
- VLAN/ACL-Design pro Gerätetyp
- RADIUS-Policies testen (Accept/Reject, VLAN-Zuweisung)
- Pilotbereich, dann Ausweitung
Best Practices: MAB als „Fallback mit Leitplanken“
MAB ist in vielen Netzen unverzichtbar, aber nur sicher, wenn es durch Segmentierung und Monitoring flankiert wird. Für Clients bleibt 802.1X die erste Wahl.
- Standard: 802.1X zuerst, MAB nur als Fallback
- Reines MAB nur für Geräte ohne 802.1X, in eigenen VLANs
- Restriktive Policies (VLAN/ACL) statt „voller Zugriff“
- Edge-Härtung: PortFast + BPDU Guard, optional Port Security
- Regelmäßige Reviews: unbekannte MACs, Policy-Ausnahmen, Logs
copy running-config startup-config
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
