Seitenhistorie

...

Wenn Netzwerkteilnehmer kein 802.1X unterstützen oder dies deaktiviert ist, werden diese abgelehnt und können anschließend nicht an dem Switch-Port kommunizieren. Daher kann es sinnvoll sein für diese Teilnehmer ein separates Netzwerk zu erstellen und diese vom Switch automatisch in das entsprechende VLAN schieben verschieben zu lassen. Dadurch können diese Netzwerk-Teilnehmer innerhalb dieses Netzwerks und je nach Konfiguration des Routers auch mit dem Internet kommunizieren, haben aber keinen Zugriff auf das ManagementVerwaltungs-Netzwerk (dies muss auf dem Router durch Firewall-Regeln oder Schnittstellen-Tags unterbunden werden). Auf einem GS-3xxx Switch kann dazu das Feature Guest VLAN verwendet werden.

...

• LANCOM Router als RADIUS-Server
• Switch der GS-3xxx Serie
• LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version) 
• LANtools ab Version 10.30 (download aktuelle Version)
• Switch der GS-3xxx Serie
• LCOS SX ab Version 4.00 RU6 (download aktuelle Version)
• Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx SwitchSwitches

Szenario:

• Auf dem LANCOM Router ist bereits das Verwaltungs-Netzwerk (INTRANET) mit dem Adressbereich 192.168.1.0/24 eingerichtet und hat in diesem Netzwerk die IP-Adresse 192.168.1.254.
• Zusätzlich wird auf dem Router noch ein Gast-Netzwerk (GUEST) für das Guest VLAN eingerichtet. Dieses hat den Adressbereich 192.168.3.0/24 mit der IP-Adresse 192.168.3.254.
• Der LANCOM Routerfungiert als RADIUS-Server.
• Ein Switch der GS-3xxx Serie mit der IP-Adresse 192.168.1.250 fungiert als RADIUS-Authenticator. Der Switch leitet also die Anfragen der Netzwerkteilnehmer an den RADIUS-Server weiter.
• Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem erfolgreichen Login am RADIUS-Server Zugriff auf das Verwaltungs-Netzwerk erhalten.
• Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem fehlerhaften Login am RADIUS-Server weder Zugriff in das Verwaltungs-, noch in das Gast-Netzwerk erhalten.
• Netzwerkteilnehmer ohne oder mit deaktiviertem 802.1X Support sollen vom Switch automatisch in das Guest VLAN verschoben werden und dadurch Zugriff auf das Gast-Netzwerk erhalten.

Image AddedSzenario:

Vorgehensweise:

1. Konfigurationsschritte auf dem LANCOM Router:

...

• Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GUEST GAST-NETZWERK).
• IP-Adresse: Tragen Sie eine IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
• Netzmaske: Tragen Sie die zugehörige Subnetzmaske des Netzwerks für das Guest VLAN ein ein.
• VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die VLAN-ID 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
• Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel das Tag 1). Dadurch wird ein Zugriff aus dem Gastnetzwerk in die anderen Netzwerke unterbunden.

...

• Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel GUEST GAST-NETZWERK).
• DHCP-Server aktiviert: Wählen Sie die Option Ja aus.

...

• IP-Adresse: Tragen Sie die IP-Adresse des SwitchSwitches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
• Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
• Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
• Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.24 auf dem Switch eingetragen.

...

• Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point Netzwerkteilnehmer sich am RADIUS-Server authentifiziert.
• Passwort: Tragen Sie ein Passwort ein ein, mit dem der Access Point Netzwerkteilnehmer sich am RADIUS-Server authentifiziert.
• Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
• Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

1.14 Die Konfiguration des RADIUS-Servers Konfigurationsschritte auf dem LANCOM Router ist sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

...

2.2 Passen Sie für den Switch-Port, an dem der Router angeschlossen ist, die folgenden Parameter an und klicken auf Apply:

• Mode: Wählen Sie den Tagging-Modus Hybrid aus.
• Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
• Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
• Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
• Allowed VLANs: Tragen Sie die VLANs 1 und 3 an ein (im Switch muss dies als 1,3 eingegeben werden), da das ManagementVerwaltungs-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das Netzwerk GUEST GAST-NETZWERK (verwendet die VLAN-ID 3) übertragen werden sollen.

...

• Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
• Key: Hinterlegen Sie das in Schritt 1.5 vergebene 11 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.

...

• Admin State: Wählen Sie im Dropdownmenü die Option Single 802.1X aus.
• Guest VLAN Enabled: Aktivieren Sie das Guest VLAN auf diesem Port. 

2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern. 

...