UniFi 802.1x mit Cisco ISE konfigurieren

802.1x ist der Standard für Netzwerkzugangskontrolle (NAC). Wer Ubiquiti UniFi Switches und Access Points betreibt und Cisco ISE als RADIUS-Server einsetzt, braucht eine saubere Konfiguration auf beiden Seiten. Dieser Guide zeigt, wie beides zusammenspielt – vom RADIUS-Profil in der UniFi Console bis zur Policy in der Cisco Identity Services Engine.

Viele Unternehmen stehen vor einer konkreten Herausforderung: Sie setzen Cisco ISE (Identity Services Engine) als zentrale NAC-Lösung für die Netzwerkzugangskontrolle ein, möchten aber bei der Infrastruktur auf die UniFi Enterprise Switches und Access Points von Ubiquiti setzen – sei es aus Kostengründen, wegen der einfachen Verwaltung über die UniFi Enterprise Netzwerklösungen oder im Rahmen einer schrittweisen Migration. Die gute Nachricht: Ubiquiti UniFi und Cisco ISE funktionieren über 802.1x (auch dot1x genannt) und RADIUS problemlos zusammen – und bilden gemeinsam ein leistungsfähiges NAC-Netzwerk. Die RADIUS-Authentifizierung erfordert aber ein paar gezielte Einstellungen auf beiden Seiten.

Das IEEE 802.1x-Protokoll (in der Cisco-Welt häufig als dot1x bezeichnet) regelt den Netzwerkzugang direkt an der Zugangsstelle – also am Switch-Port oder am WLAN-Access-Point. Es ist der De-facto-Standard für 802.1x Network Access Control in Unternehmensnetzen. Bevor ein Endgerät kommunizieren darf, muss es sich über einen RADIUS-Server authentifizieren. Im Zusammenspiel mit UniFi und Cisco ISE sieht der Ablauf so aus:

Ein Endgerät (Laptop, Telefon, Drucker) wird an einen UniFi Enterprise Switch-Port angeschlossen oder verbindet sich mit einem UniFi WiFi 7 Access Point. Der Switch oder AP agiert als sogenannter Authenticator. Er leitet die Zugangsdaten (Benutzername/Passwort oder Zertifikat) per RADIUS an die Cisco ISE weiter. Die ISE prüft die Identität des Geräts oder Benutzers gegen das Active Directory, eine interne Datenbank oder ein Zertifikat. Anhand der konfigurierten Authorization Policy weist die ISE dem Gerät ein bestimmtes VLAN, eine dACL (downloadable Access Control List) oder einen Security Group Tag (SGT) zu. Der UniFi Switch oder AP setzt diese Anweisung um und schaltet den Port in das zugewiesene VLAN frei – oder verweigert den Zugang.

Folgendes wird benötigt, bevor die Konfiguration beginnen kann: Eine laufende Cisco ISE-Installation (physische Appliance oder VM, ab Version 2.x), eine UniFi Console – beispielsweise ein UniFi Enterprise Fortress Gateway oder ein Cloud Gateway – mit aktueller Firmware, mindestens ein UniFi Switch oder Access Point der Enterprise-Serie, ein konfiguriertes Active Directory oder eine andere Identitätsquelle, die in der ISE als External Identity Source eingebunden ist, sowie ein grundlegendes VLAN-Konzept (z.B. VLAN 10 für Mitarbeiter, VLAN 20 für Gäste, VLAN 99 für Quarantäne).

Schritt 1: Cisco ISE – UniFi als Network Device anlegen

Der erste Schritt erfolgt in der Cisco ISE Administration Console. Unter Administration → Network Resources → Network Devices wird jeder UniFi Switch und jeder Access Point als eigenes Network Device angelegt. Dabei werden die IP-Adresse des jeweiligen UniFi-Geräts, ein Shared Secret für die RADIUS-Kommunikation (mindestens 16 Zeichen, Sonderzeichen empfohlen) und optional der Device Type (z.B. „Ubiquiti" als eigene Gruppe) konfiguriert. Der Device Type ist hilfreich, um später in den Authorization Policies gezielt nach UniFi-Hardware filtern zu können. Alternativ können auch IP-Adressbereiche angegeben werden, wenn alle UniFi-Geräte in einem bestimmten Management-VLAN liegen – so entfällt das Anlegen jedes einzelnen Geräts.

Schritt 2: Cisco ISE – Authentication und Authorization Policies

Unter Policy → Policy Sets wird eine eigene Policy für die UniFi-Infrastruktur eingerichtet. Als Authentication Policy wird eine Regel angelegt, die RADIUS-Anfragen von den UniFi-Geräten (gefiltert nach Device Type oder IP-Bereich) gegen die gewünschte Identitätsquelle prüft – typischerweise das Active Directory. Für die Authorization Policy werden Regeln definiert, die je nach Gruppenzugehörigkeit des Benutzers oder Geräts unterschiedliche Ergebnisse liefern: Domain-Computer und Mitarbeiter erhalten z.B. VLAN 10 (Produktion), unbekannte Geräte werden in VLAN 99 (Quarantäne) geleitet, und Gäste landen in VLAN 20 (Guest). Die Zuweisung erfolgt über Authorization Profiles, in denen die RADIUS-Attribute Tunnel-Type (VLAN), Tunnel-Medium-Type (802) und Tunnel-Private-Group-ID (VLAN-Nummer) gesetzt werden.

Schritt 3: UniFi Console – RADIUS-Profil einrichten

In der UniFi Console wird unter Settings → Profiles → RADIUS ein neues RADIUS-Profil angelegt. Die IP-Adresse der Cisco ISE (oder bei einem ISE-Cluster die VIP-Adresse des Policy Service Node) wird als Authentication Server eingetragen, zusammen mit dem Shared Secret, das im vorherigen Schritt in der ISE konfiguriert wurde. Der Standard-Port ist 1812 für Authentication und 1813 für Accounting. Es empfiehlt sich, auch den Accounting Server zu konfigurieren, damit die ISE den vollständigen Session-Lifecycle protokollieren kann – das ist für Compliance und Troubleshooting essenziell.

Schritt 4: UniFi Switch – 802.1x auf Ports aktivieren

Für die kabelgebundene 802.1x-Authentifizierung werden in der UniFi Console unter Settings → Networks die entsprechenden VLANs angelegt (falls noch nicht vorhanden). Anschließend wird unter Settings → Profiles → Port/IP-Profiles ein neues Profil erstellt, bei dem 802.1x Control aktiviert wird. Drei Modi stehen zur Auswahl: Auto – der Port erfordert 802.1x-Authentifizierung und das VLAN wird dynamisch vom RADIUS-Server zugewiesen. Force Authorized – der Port ist dauerhaft freigeschaltet, keine Authentifizierung nötig (Standard). Force Unauthorized – der Port ist dauerhaft gesperrt. Für die NAC-Konfiguration wird Auto gewählt. Das erstellte Port-Profil mit 802.1x Control wird dann den gewünschten Switch-Ports zugewiesen. Unter Settings → Profiles → RADIUS muss das zuvor angelegte RADIUS-Profil dem Netzwerk zugeordnet werden.

Schritt 5: UniFi WLAN – 802.1x für Wireless konfigurieren

Für die drahtlose 802.1x-Authentifizierung wird unter Settings → WiFi ein neues WLAN-Netzwerk angelegt (oder ein bestehendes bearbeitet). Als Security Protocol wird WPA2/WPA3 Enterprise ausgewählt. UniFi zeigt dann die Option, ein RADIUS-Profil zuzuweisen – hier wird das zuvor konfigurierte Profil mit der Cisco ISE IP-Adresse gewählt. Die UniFi WiFi 7 Access Points leiten die Authentifizierungsanfragen der WLAN-Clients dann direkt an die Cisco ISE weiter. Für eine optimale Abdeckung empfiehlt sich vorab eine professionelle WLAN-Planung mit Heatmap.

Schritt 6: Testen und Troubleshooting

Nach der Konfiguration auf beiden Seiten wird ein Testgerät an einen 802.1x-gesicherten Switch-Port angeschlossen oder mit dem Enterprise-WLAN verbunden. In der Cisco ISE unter Operations → RADIUS → Live Logs erscheinen die Authentifizierungsversuche in Echtzeit. Dort lässt sich prüfen, ob die Anfrage vom richtigen Network Device kommt, welche Identity Source verwendet wird, ob die Authentication erfolgreich war und welches Authorization Profile zugewiesen wurde. In der UniFi Console zeigt die Client-Übersicht den zugewiesenen VLAN-Status an.

Die häufigsten Fehlerquellen bei der Inbetriebnahme sind ein nicht übereinstimmendes Shared Secret zwischen UniFi und ISE (die RADIUS-Pakete werden dann einfach verworfen), eine fehlende oder falsche Network Device-Konfiguration in der ISE (die IP-Adresse des UniFi-Geräts muss exakt stimmen), ein nicht aktiviertes 802.1x Control auf dem Switch-Port (standardmäßig steht jeder Port auf „Force Authorized"), sowie fehlende VLAN-Konfiguration auf dem UniFi Switch (die VLANs, die die ISE zuweist, müssen auf dem Switch existieren).

Praxistipps aus dem Projektgeschäft

MAC Authentication Bypass (MAB): Nicht jedes Gerät unterstützt 802.1x – Drucker, IoT-Sensoren wie die UniFi SuperLink-Serie oder ältere IP-Telefone beispielsweise nicht. Für diese Geräte wird in der ISE eine MAB-Policy konfiguriert, die anhand der MAC-Adresse authentifiziert. In der UniFi Console kann pro Port-Profil festgelegt werden, ob bei fehlgeschlagener 802.1x-Authentifizierung auf MAB zurückgefallen werden soll.

Guest VLAN: Für Endgeräte, die weder per 802.1x noch per MAB authentifiziert werden können, empfiehlt sich die Konfiguration eines Guest VLAN als Fallback. So landen unbekannte Geräte in einem isolierten Netzwerksegment mit eingeschränktem Internetzugang statt auf einem komplett gesperrten Port.

Stufenweise Einführung: Im Projektgeschäft hat sich bewährt, 802.1x zunächst im Monitor Mode einzuführen. Dabei werden alle Authentifizierungsversuche protokolliert, aber noch kein Gerät tatsächlich blockiert. So lassen sich Fehlkonfigurationen und nicht-kompatible Geräte identifizieren, bevor der Enforcement Mode aktiviert wird.

Zertifikatsbasierte Authentifizierung: Für die höchste Sicherheitsstufe empfiehlt sich EAP-TLS mit Maschinenzertifikaten statt Benutzername/Passwort. Dafür wird eine interne PKI (Public Key Infrastructure) benötigt, z.B. über die Microsoft Active Directory Certificate Services. Die Cisco ISE validiert das Zertifikat und gewährt dem Gerät basierend auf dem Zertifikatsattribut Zugang zum entsprechenden VLAN.

Change of Authorization (CoA): Cisco ISE unterstützt RADIUS CoA, um die Autorisierung eines bereits verbundenen Endgeräts nachträglich zu ändern – z.B. bei einem erkannten Sicherheitsvorfall. UniFi Switches unterstützen CoA über den Standard-Port 3799. Diese Funktion erlaubt es, kompromittierte Geräte sofort in ein Quarantäne-VLAN zu verschieben, ohne den physischen Port manuell umkonfigurieren zu müssen.

Integration mit Zutrittskontrolle: Wer neben der Netzwerkzugangskontrolle auch den physischen Gebäudezugang absichern möchte, kann UniFi Access als digitale Zutrittskontrolle parallel betreiben. Beide Systeme – 802.1x im Netzwerk und NFC/Biometrie an der Tür – laufen über dieselbe UniFi Console und lassen sich über das UniFi Identity Modul mit Microsoft Entra ID synchronisieren.

Warum die InSys AG als Ubiquiti Enterprise Partner und UniFi Professional Integrator optimal unterstützen kann?

Die InSys AG vereint als eines von wenigen IT-Systemhäusern in Deutschland beide Welten: Als Ubiquiti Enterprise Partner und Professional Integrator kennen wir die UniFi-Plattform bis ins letzte Detail. Gleichzeitig bringen wir als Microsoft Solutions Partner für Microsoft 365 Security umfassende Erfahrung mit Active Directory, Entra ID und Enterprise-Sicherheitsarchitekturen mit. Wer den Sicherheitsstatus seines Microsoft-365-Tenants prüfen lassen möchte, kann mit unserem Microsoft 365 Tenant Securitycheck starten. Diese Kombination macht uns zum idealen Partner für 802.1x-Projekte, bei denen UniFi-Infrastruktur auf Cisco ISE oder andere RADIUS-Server trifft. Von der initialen Ubiquiti UniFi Beratung und Consulting über die professionelle WLAN- und Netzwerkplanung bis zum laufenden UniFi Managed Service mit Remote Management – alles aus einer Hand. Als offizielles Ubiquiti Training Center für UniFi Schulungen bilden wir auf Wunsch auch Ihr Team aus.