Beschreibung:

Über Access Control Lists (ACL) kann auf einem Switch Datenverkehr verboten oder erlaubt werden. Damit die ACL nicht auf jedem Switch einzeln konfiguriert werden muss, kann diese dynamisch von einem RADIUS-Server bezogen werden (Dynamic ACL).

In diesem Artikel wird beschrieben, wie der Bezug von Dynamic ACLs auf einem Switch der XS- und GS-45xx Serie konfiguriert werden kann.

Dynamic ACLS müssen auf dem RADIUS-Server in LANCOM ACL-Syntax angegeben werden.

Beispiele:

DHCP erlauben:
permit udp any any range 67 68

IP-Adresse verbieten:
deny ip any 192.168.2.10 255.255.255.255

Rest erlauben:
permit every


Voraussetzungen:

  • LCOS SX ab Version 5.20 RU8 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface vom Switch
  • Bereits konfigurierter und funktionsfähiger RADIUS-Server, von dem die Dynamic ACL bezogen wird

Der in LCOS integrierte RADIUS-Server unterstützt Dynamic ACL nicht und kann daher in einem solchen Szenario nicht verwendet werden.


Vorgehensweise:

1. Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü System → AAA → Authentication List.

Aufrufen des Menü Authentication List

2. Wählen Sie den Eintrag dot1xList aus und klicken auf Edit.

dot1xList in der Authentication List bearbeiten

3. Markieren Sie unter Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit diese in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.

Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitet.

Protokoll RADIUS in der dot1xList hinzufügen

Änderungen mit Submit übernehmen

4. Wechseln Sie in das Menü Security → Port Access Control → Configuration.

Aufrufen der Port Access Control Configuration

5. Wählen Sie bei Admin Mode die Option Enable aus und klicken auf Submit.

Aktivieren der Port Access Control

6. Wechseln Sie in das Menü Security → RADIUS → Named Server.

Aufrufen des RADIUS Named Server

7. Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen.

Eintrag für RADIUS-Server hinzufügen

8. Passen Sie folgende Parameter an und klicken auf Submit:

  • IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, von dem der Switch die Dynamic ACL beziehen soll.
  • Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassen).  
  • Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert 1812.
  • Secret: Tragen Sie das auf dem RADIUS-Server vergebene Client-Secret ein.
  • Server Type: Wählen Sie die Option Primary aus. 
  • Message Authenticator: Stellen Sie sicher, dass die Option Enable ausgewählt ist.

Parameter für RADIUS-Server eintragen

9. Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.

An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich!

Aufrufen der Authentication Manager Interface Configuration

Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhält. 

RADIUS-Server im Status True nach Erhalt eines RADIUS-Requests

10. Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/9), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.

Wählen Sie die Einstellung Force Authorized auf allen Ports aus, auf denen keine Authentifizierung durchgeführt werden soll.

Modus Forced Authorized setzen zwecks Management-Zugriff auf den Switch

11. Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel 1/0/10), passen die folgenden Parameter an und klicken auf Submit:

  • Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
  • Wählen Sie bei Host Mode die Authentifizierungs-Methode Single Authentication aus. Damit kann nur ein Netzwerk-Teilnehmer über diesen Port kommunizieren. 

Da Dynamic ACLs in der Regel verwendet werden um den Datenverkehr einzelner Geräte zu verbieten oder zu erlauben, wird in diesem Beispiel der Host Mode Single Authentication ausgewählt. Sollen an diesem Port mehrere Geräte angebunden werden (etwa über einen Access Point), muss stattdessen der Modus Multiple Domain/Host verwendet werden.

802.1X-Authentifizierung mit Single Authentication für einen Port setzen

12. Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.

Aktivieren des Authentication Managers

13. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.

Speichern der Switch-Konfiguration als Start-Konfiguration

14. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.

Speichern der Start-Konfiguration bestätigen