Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Description:

Über Access Control Lists (ACL) kann auf einem Switch Datenverkehr verboten oder erlaubt werden. Damit die ACL nicht auf jedem Switch einzeln konfiguriert werden muss, kann diese dynamisch von einem RADIUS-Server bezogen werden ACLs) can be used to prohibit or allow data traffic on a switch. To avoid having to configure the ACL individually on each switch, it can be obtained dynamically from a RADIUS server (Dynamic ACL).

In diesem Artikel wird beschrieben, wie der Bezug von Dynamic ACLs auf einem Switch der XS- und GS-45xx Serie konfiguriert werden kannThis article describes how to configure the retrieval of Dynamic ACLs on an XS- or GS-45xx series switch.

Info

Dynamic ACLS müssen auf dem RADIUS-Server in LANCOM ACL-Syntax angegeben werden.

BeispieleExamples:

Allow DHCP erlauben:
permit udp any any range 67 68

Prohibit IP -Adresse verbietenaddress:
deny ip any 192.168.2.10 255.255.255.255

Rest erlaubenAllow all others:
permit every


Requirements:

  • LCOS SX ab Version as of version 5.20 RU8 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface vom Switch
  • Bereits konfigurierter und funktionsfähiger RADIUS-Server, von dem die Dynamic ACL bezogen wird
Info

Der in LCOS integrierte RADIUS-Server unterstützt Dynamic ACL nicht und kann daher in einem solchen Szenario nicht verwendet werden.

Procedure:

  • latest version)
  • Any web browser for accessing the switch web interface
  • Previously configured and functional RADIUS server to supply the Dynamic ACL
Info

The RADIUS server integrated in LCOS does not support Dynamic ACL and therefore cannot be used in such a scenario.


Procedure:

1. Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü 1) Connect to the web interface of the device and navigate to the menu System → AAA → Authentication List.

2. Wählen Sie den Eintrag dot1xList aus und klicken auf ) Select the entry dot1xList and then click Edit.

3. Markieren Sie unter ) Under Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit diese in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf select the option Radius and click the upper “arrow” icon to move it into the Selected Methods. Then click Submit.

Info

Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitetThe option Radius must be stored here, otherwise the switch will not forward the RADIUS requests to the RADIUS server.

4. Wechseln Sie in das Menü ) Go to the menu Security → Port Access Control → Configuration.

5. Wählen Sie bei Admin Mode die Option Enable aus und klicken auf ) Under Admin mode, select the option Enable and click Submit.

6. Wechseln Sie in das Menü ) Go to the menu Security → RADIUS → Named Server.

7. Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen) Click Add to add a RADIUS server.

8. Passen Sie folgende Parameter an und klicken auf ) Modify the following parameters and then click Submit:

  • IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, von dem der Switch die Dynamic ACL beziehen sollEnter the IP address or host name of the RADIUS server from which the switch obtains the Dynamic ACL.
  • Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassenIf necessary, adjust the name for the RADIUS server (in this example the name was left as the default setting Default RADIUS Server).  
  • Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert Leave the RADIUS port as the default value 1812.
  • Secret: Tragen Sie das auf dem RADIUS-Server vergebene Client-Secret einEnter the Client Secret set on the RADIUS server.
  • Server Type: Wählen Sie die Option Primary ausSelect the option Primary
  • Message Authenticator: Stellen Sie sicher, dass die Option Enable ausgewählt istCheck that the option Enabled is selected.

9. Wechseln Sie in das Menü ) Change to the menu Security → Authentication Manager → Interface Configuration.

Hinweis

An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter At this point, under no circumstances should the Admin Mode under Security → Authentication Manager → Configuration aktiviert werden be activated (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglichbecause authentication is enabled globally for all ports. Otherwise, configuration access to the switch is no longer possible!

Info

Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhältThe status of the Named Server under Current only changes to True when the switch receives a RADIUS request

10. Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port ) Select the interface used for configuration access (in this example the port 1/0/9), wählen bei under Control Mode die Option select the option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt and click Submit. With this setting, no authentication is performed on this port.

Info

Wählen Sie die Einstellung Force Authorized auf allen Ports aus, auf denen keine Authentifizierung durchgeführt werden sollSelect Force Authorized for all ports on which no authentication should be performed.

11. Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel ) Select a port on which authentication should be performed (in this example 1/0/10), passen die folgenden Parameter an und klicken auf adjust the following parameters and click Submit:

  • Make sure that the Control Mode option is set to Auto. This means that no communication is possible via the port until the connected network participant has authenticated itself.
  • Under Host Mode, select the authentication method Single Authentication. This means that only one network participant can communicate via this port
  • Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
  • Wählen Sie bei Host Mode die Authentifizierungs-Methode Single Authentication aus. Damit kann nur ein Netzwerk-Teilnehmer über diesen Port kommunizieren
Info

Da Dynamic ACLs in der Regel verwendet werden um den Datenverkehr einzelner Geräte zu verbieten oder zu erlauben, wird in diesem Beispiel der Host Mode Single Authentication ausgewählt. Sollen an diesem Port mehrere Geräte angebunden werden (etwa über einen Access Point), muss stattdessen der Modus Multiple Domain/Host verwendet werden.

Image Removed

12. Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.

Image Removed

13. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Info

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.

Image Removed

Since Dynamic ACLs are usually used to deny or allow data traffic to individual devices, this example has the Host Mode set to Single Authentication. If several devices are to be connected to this port (e.g. via an access point), the mode Multiple Domain/Host is required.

Image Added

12) On the Configuration tab, set the Admin Mode, to the option Enable and click Submit.

Image Added

13) Click on Save Configuration in the top right-hand corner to save the configuration as the start configuration.

Info

The start configuration is retained even if the device is restarted or there is a power failure.

As an alternative, the current configuration can be saved as the Start Configuration from the command line with the command write memory.

Image Added

14. Bestätigen Sie den Speichervorgang mit einem Klick auf 14) Confirm your changes by clicking OK.