Ethernet

Aus NComputing Knowledge Base
Wechseln zu: Navigation, Suche

Auch im heutigen WLAN-Zeitalter werden sich die meisten Menschen in Unternehmen noch auf kabelgebundene Netzwerke (Ethernet) verlassen. Standardmäßig versucht NoTouch, seine IP-Konfiguration von einem DHCP-Server über die Ethernet-Schnittstelle zu beziehen, so dass die meisten Anwender hier nichts ändern müssen.

Für spezifische Ethernet-Optionen, VLANs, IEEE 802.1X Port-Sicherheit haben Sie jedoch viele Möglichkeiten, das System nach Ihren Bedürfnissen zu konfigurieren.

Ethernet-Konfigurationsparameter

Öffnen Sie einfach die lokale Konfigurationsanwendung. Klicken Sie auf Netzwerk → Schnittstellen → "Ethernet 1". Dann sind Sie in der Konfiguration dieser Schnittstellen.

Klicken Sie dann auf "Ethernet", um in den Unterbereich der Ethernet-Parameter zu gelangen. In NoTouch Center würde man einfach auf die Registerkarte "Ethernet" gehen.

OS-en-InterfacesWithWireless.jpg

OS-en-Ethernet.jpg

Grundeinstellungen

  • Media Mode. Standardmäßig wird der Ethernet-Medienmodus automatisch mit dem Netzwerk-Switch ausgehandelt. Sie können es auch auf eine Kombination von
    • 10 MBit, 100 MBit (Fast Ethernet), Gigabit Ethernet und 10G-Ethernet, und
    • Vollduplex oder Halbduplex setzen.
  • Wake-On-LAN. Wenn Sie das System zum Booten bringen wollen, indem Sie ein spezielles "magic packet" über das Netzwerk senden, haben Sie diesen Parameter auf "on". Nicht alle Systeme unterstützen Wake-On-LAN, nicht alle PC-BIOSe erlauben es, dass dies eingeschaltet ist, nicht alle Netzwerke erlauben es, dass magische Pakete durchlaufen - Ihre Laufleistung kann variieren. Weitere Informationen finden Sie hier: Wake-On-LAN
  • Energy Efficient Ethernet (EEE). Mit diesem Parameter kann die EEE-Funktionalität aktiviert oder deaktiviert werden. Einige neuere Adapter unterstützen dies, und zusammen mit einigen Switches kann es funktionieren oder nicht. Wenn Sie das Gefühl haben, dass Sie Netzwerkprobleme haben, deaktivieren Sie dies bitte - einige Netzwerk-Switches, auch solche von Markenherstellern, sind im Hinblick auf EEE schlecht implementiert.

IEEE 802.1X Authentifizierung

Die auf IEEE 802.1X basierende Port-Sicherheit verhindert, dass unbefugte Computer auf das Netzwerk zugreifen können. Dieser Mechanismus bietet eine angemessene Sicherheit, wenn Sie nicht wissen, wer einen - potenziell schädlichen - Computer an eine Ihrer Ethernet/RJ45-Buchsen anschließen wird. Während einige Aspekte Sie an die Sicherheit von Wireless LAN erinnern, unterscheidet sich IEEE 802.1X in vielen Aspekten.

Es gibt nur einen Hauptparameter, um ihn einzuschalten und die aktuelle Betriebsart auszuwählen:

  • 802.1X Authentifizierung. Dieser Parameter aktiviert eine bestimmte Betriebsart für 802.1X:
    • off. Es wird kein 802.1X verwendet.
    • PEAP-MSCHAPv2.
    • EAP-TLS.
    • MD5.

Benutzername/Passwort

Für Szenarien zur Authentifizierung von Benutzernamen und Passwörtern gibt es drei Möglichkeiten, wie Sie damit umgehen können:

  • Vorkonfigurieren/Speichern von Benutzeranmeldeinformationen in der Konfiguration. Dies würde entweder funktionieren mit
    • Maschinenkonten, z.B. für einen öffentlichen Computer, der einen Maschinenbenutzernamen und ein Passwort hat, oder
    • Benutzer-Desktops, auf denen sich der Benutzer nie ändern würde (quasi private Computer).
  • Weiterleitung der VDI-Anmeldeinformationen des Benutzers an den Ethernet-Stack.
  • Beide. Wenn in diesem Fall niemand an der Maschine arbeitet, wird der vorkonfigurierte Benutzername/Passwort verwendet, um in das Netzwerk zu gelangen. Wenn sich jemand in der Verbindung anmeldet, wird er zurückgesetzt und eine neue Verbindung basierend auf den Anmeldeinformationen des Benutzers hergestellt.

Vorkonfigurierte/gespeicherte Anmeldeinformationen

Diese Parameter ermöglichen es, Anmeldeinformationen auf der Maschine zu speichern:

  • Identity. Der Benutzername, mit dem Sie sich verbinden möchten.
  • Password. Das Passwort des Benutzers (nicht zu verwechseln mit der WLAN-Passphrase).

Hinweis: NoTouch verschlüsselt natürlich auch gespeicherte Passwörter. All diese Mechanismen können jedoch gebrochen werden, es geht nur darum, genügend Zeit und Geld zu investieren. Wir empfehlen, sich nicht auf gespeicherte Anmeldeinformationen zu verlassen.

Benutzername/Passwort Pass-through

Für verschiedene Verbindungsmodi zeigt NoTouch einen Anmeldedialog an und lässt den Benutzer seine Anmeldeinformationen eingeben: Benutzername, Passwort und möglicherweise eine Anmelde-Domäne. Diese Anmeldeinformationen können an den WiFi-Stack weitergeleitet werden, wodurch die bestehende WLAN-Verbindung und die Authentifizierung mit diesen Anmeldeinformationen zurückgesetzt werden. Dazu muss die Funktion sowohl in der Netzwerkkonfiguration als auch in den Verbindungsparametern aktiviert sein.

Diese Parameter regeln den Durchlauf:

  • Pass-through of user credentials. Stellen Sie dies auf on (default), wenn Sie möchten, dass die Funktionalität aktiviert wird. Hinweis - das allein reicht nicht aus. Sie müssen es auch in Ihrer Verbindung aktivieren.
  • Pass-through username/domain format. Legen Sie fest, ob die Domain auf dem WLAN-Stack in Präfix- (domain\username) oder Suffix-Notation (username@domain) oder gar nicht übergeben werden soll.
  • Diese Parameter im Abschnitt Extended Ihrer Verbindung:
    • Pass-through of user credentials. Stellen Sie dies auf on, wenn Sie möchten, dass der Durchlauf stattfindet. Standardmäßig ist dies ausgeschaltet.
    • Reset Ethernet connection. Stellen Sie dies auf Ein, wenn Sie möchten, dass Ihre Anmeldeinformationen an Ethernet-Verbindungen weitergegeben werden. Standardmäßig ist dies ausgeschaltet.

Zusammenfassend lässt sich sagen, dass Sie für den Durchlauf zu den Parametern Connection / Extended gehen und mindestens "Pass-through of user credentials" und "Reset Ethernet connection" aktivieren müssen. Mehr dazu erfahren Sie hier:

Wenn die VDI-Verbindung beendet wird, wird die Ethernet-Verbindung zurückgesetzt. In diesem Fall werden die vorkonfigurierten/gespeicherten Anmeldeinformationen verwendet, sofern diese definiert sind, bis sich der nächste Benutzer anmeldet.

Zertifikatsbasierte Authentifizierung

Unter Zertifikate erfahren Sie, wie Sie Zertifikate und Schlüsseldateien hochladen und verteilen können.

  • Root certificate. Das Root-Zertifikat Ihrer Authentifizierungsstelle.
  • Client certificate. Das Zertifikat des Clients, das dem Server vorgelegt werden soll.
  • Client key. Die Schlüsseldatei des Zertifikats. Ohne einen solchen Schlüssel würde der Server nicht wissen, ob dieser Client der rechtmäßige Eigentümer des Zertifikats ist, so dass dies nicht ausgelassen werden kann.

Weitere Parameter

Es ist sehr selten, einen Grund zu haben, diese Parameter zu ändern:

  • PEAP label version. Legt fest, ob Version 0 oder Version 1 der PEAP-Etiketten verwendet werden soll. Der Standardwert von "auto" wählt den besten aus.
  • EAP fast re-authentication. Standardmäßig wird eine schnelle Re-Authentifizierung verwendet, so dass dieser Schalter verwendet werden kann, um dies zu deaktivieren.
  • IEEE 802.1X/EAPOL-Version (Standard 1, neuere Systeme verwenden 2). Regelt die zu verwendende EAPOL-Version.

Wenn Sie ein komplizierteres Setup erstellen müssen, wie z.B. die Verwendung einer Authentifizierungsmethode, die hier nicht vorhanden ist, oder die Erstellung von mehr als einem vorkonfigurierten WLAN-Setup, lesen Sie bitte hier weiter: en:WPASupplicant

VLAN

NoTouch unterstützt "tagged" VLANs, d.h. auf einem Ethernet-Kabel, auf dem mehrere VLANs zusammenleben, kann NoTouch dazu gebracht werden, über eines oder mehrere dieser virtuellen LANs zu kommunizieren, indem der VLAN-Tag dem Ethernet-Frame hinzugefügt wird.

Ein Klick auf den Parameterunterabschnitt "VLANs" zeigt eine Liste der konfigurierten VLANs. Wenn Sie dort zum ersten Mal klicken, ist die Liste leer. Nachdem Sie einen neuen Abschnitt erstellt oder einen bestehenden bearbeitet haben, sehen Sie die Konfiguration eines bestimmten VLANs.

1200px-OS-en-addVLAN.jpg

1200px-OS-en-VLAN.jpg

Die folgenden Parameter bilden eine VLAN-Definition:

  • VLAN ID (0-4095). Die ID des VLANs.
  • Reorder header flag. Setzen Sie dies, wenn Sie einen bestimmten Grund haben, den Paketheader neu zu ordnen, damit er wie ein normaler Ethernet-Header aussieht. Die meisten Leute sind mit dem Standard zufrieden, also verwenden Sie ihn nur, wenn Sie einen bestimmten Grund haben, wie z.B. Probleme mit der Paketfilterung oder bestimmte Netzwerkgeräte.
  • User-defined shell command. Ein Linux-Shell-Befehl, der beim Erstellen des VLANs ausgeführt wird (für Linux-Experten: dies ist Teil von vconfig-add).
  • IPv4 configuration. Legt fest, ob die IP-Konfiguration dynamisch (DHCP) oder statisch (siehe Parameter unten) konfiguriert oder überhaupt deaktiviert werden soll.
  • IP address. Wenn die IP-Konfiguration auf statisch gesetzt ist, enthält dieser Parameter die gewünschte IP-Adresse.
  • Subnet mask. Wenn die IP-Konfiguration auf statisch gesetzt ist, enthält dieser Parameter die zu verwendende Subnetzmaske.
  • Gateway. Wenn die IP-Konfiguration auf statisch gesetzt ist, enthält dieser Parameter die gewünschte Standard-Gateway-(Router-)Adresse.

Hinweis: Selbst wenn ein oder mehrere VLANs konfiguriert sind, wird das System weiterhin die "normale" Nicht-VLAN-Verbindung betreiben. In den meisten Fällen werden Sie es nicht einmal bemerken, da kein DHCP-Server verfügbar sein wird. Wenn Sie den Nicht-VLAN-Ethernet-Betrieb explizit abschalten möchten, stellen Sie einfach den IPv4-Konfigurationsparameter der Ethernet-Schnittstelle auf "disabled".