PageIdMakro |
---|
Seiteneigenschaften |
---|
Description:
In einigen Szenarien ist es erforderlich, dass bestimmte Endgeräte immer in ein bestimmtes VLAN gelangen, egal an welchem Switch-Port die Geräte angeschlossen werden. Dies kann durch eine RADIUS-Authentifizierung realisiert werden, bei der dem RADIUS-Benutzer ein bestimmtes VLAN zugewiesen wird (Dynamic-VLAN).
Some scenarios require certain end devices to always enter a specific VLAN, regardless of which switch port the devices are connected to. This can be achieved through RADIUS authentication, where the RADIUS user is assigned to a specific VLAN (dynamic VLAN).
This article describes how to set up dynamic VLAN on a switch of the In diesem Artikel wird beschrieben, wie Dynamic-VLAN auf einem Switch der XS-51xx / XS-6xxx und and GS-45xx Serien eingerichtet wirdseries.
Requirements:
- LANCOM Router als RADIUS-Serverrouter as the RADIUS server
- Switch of the XS-51xx / XS-61xx or GS-45xx series with LCOS SX from version Switch der XS- bzw. GS-45xx Serie mit LCOS SX ab Version 5.20 Rel (download aktuelle Versionlatest version)
- LCOS ab Version as of version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Versionon the router that acts as a RADIUS server (download latest version)
- LANtools ab Version from version 10.30 (download aktuelle Version)latest version)
- Any web browser for accessing the switch web interface Beliebiger Web-Browser für den Zugriff auf das Webinterface des Switches
Procedure:
1. Konfiguration des RADIUS-Servers auf dem LANCOM Router) Configuring the RADIUS server on the LANCOM router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv) In LANconfig, open the configuration for the router, navigate to the menu RADIUS → Server and set a checkmark next to RADIUS authentication active.
1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports) Navigate to the menu RADIUS services ports.
1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist) Check that the authentication port is set to 1812.
1.4 Wechseln Sie in das Menü IPv4-Clients) Go to the IPv4 clients menu.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter) Create a new entry and enter the following parameters:
- IP -Adresse: Tragen Sie die IP-Adresse des Switches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann.address: Enter the IP address of the switch so that it can authenticate itself as the RADIUS authenticator at the RADIUS server.
- Netmask: Enter the netmask 255.155Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
- Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.6 auf dem Switch eingetragen.
- . This stands for a single IP address.
- Protocols: Check that the protocol is set to RADIUS.
- Client secret: Enter a password that the switch uses to authenticate itself at the RADIUS server. This is entered on the switch in step 2.6.
1.6) Go to the User table menu1.6 Wechseln Sie in das Menü Benutzerkonten.
1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an) Create a new entry and adjust the following parameters:
- Name / MAC -Adresse: Tragen Sie den Benutzernamen ein (in diesem Beispiel benutzeraddress: Enter the user name (in this example user).Passwort: Tragen Sie das Passwort für den Benutzer ein
- Password: Enter the password for the user.
- VLAN: Tragen Sie das VLAN ein, welches dem Benutzer zugewiesen werden soll (in diesem Beispiel das Enter the VLAN to be assigned to the user (in this example the VLAN 5).
- Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.
Info |
---|
Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt. |
1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Authenticators auf dem Switch:
- Service type: From the drop-down menu, select Call check.
- Expiry type: From the drop-down menu, select Never so that the user account remains permanently valid.
Info |
---|
Repeat this step for additional users. The service type call check is only supported as of LCOS 10.30. |
1.8) This concludes the configuration of the RADIUS server on the LANCOM router. You can now write the configuration back to the device.
2) Configuring the RADIUS authenticator on the switch:
2.1 Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü 2.1) Connect to the web interface of the device and navigate to the menu System → AAA → Authentication List.
2.2 Wählen Sie den Eintrag dot1xList aus und klicken auf ) Select the entry dot1xList and then click Edit.
2.3 Markieren Sie unter ) Under Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit dieses in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf select the option Radius and click the upper “arrow” icon to move it into the Selected Methods. Then click Submit.
Info |
---|
Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitetThe option Radius must be stored here, otherwise the switch will not forward the RADIUS requests to the RADIUS server. |
2.4 Wechseln Sie in das Menü ) Go to the menu Security → RADIUS → Named Server.
2.5 Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen) Click Add to add a RADIUS server.
2.6 Passen Sie die folgenden Parameter an und klicken auf ) Modify the following parameters and then click Submit:
- IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, der die Authentifizierung vornehmen soll (in diesem Beispiel Enter the IP address or host name of the RADIUS server that is to handle the authentication (in this case 192.168.45.254):.
- Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassenIf necessary, adjust the name for the RADIUS server (in this example the name was left as the default setting Default RADIUS Server).
- Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert Leave the RADIUS port as the default value 1812.
- Secret: Tragen Sie das in Schritt Enter the client secret set in step 1.5 vergebene Client-Secret ein.
- Server Type: Wählen Sie die Option Primary ausSelect the option Primary.
2.7 Wechseln Sie in das Menü ) Go to the menu Security → Authentication Manager → Interface Configuration.
Hinweis |
---|
An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter At this point, under no circumstances should the Admin Mode under Security → Authentication Manager → Configuration aktiviert werden be activated (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglichbecause authentication is enabled globally for all ports. Otherwise, configuration access to the switch is no longer possible! |
Info |
---|
Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhältThe status of the Named Server under Current only changes to True when the switch receives a RADIUS request. |
2.8 Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port ) Select the interface used for configuration access (in this example the port 1/0/1, an dem auch der Router angeschlossen ist), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführtwhich the router is also connected to), under Control Mode select the option Force Authorized and click Submit. With this setting, no authentication is performed on this port.
2.9 Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel ) Select a port on which authentication should be performed (in this example 1/0/10), passen die folgenden Parameter an und klicken auf adjust the following parameters and click Submit:
- Make sure that the Control Mode option is set to Auto. This means that no communication is possible via the port until the connected network participant has authenticated itself.
- Under Host Mode, select the authentication method Single Authentication so that only one user can log in and communicate on this port
- Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
- Wählen Sie bei Host Mode die Authentifizierungs-Methode Single Authentication aus, damit sich an diesem Port nur ein Benutzer anmelden und über diesen Port kommunizieren kann.
2.12 Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf 10) On the Configuration tab, set the Admin Mode to the option Enable and click Submit.
2.13 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Info |
---|
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
11) Click on Save Configuration in the top right-hand corner to save the configuration as the start configuration.
Info |
---|
The start configuration is retained even if the device is restarted or there is a power failure. As an alternative, the current configuration can be saved as the Start Configuration from the command line with the command write memory. |
2.12) Confirm your changes by clicking 2.14 Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
...
Inhalt nach Stichwort | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|