...
| Seiteneigenschaften |
|---|
Description:
In einigen Szenarien ist es erforderlich die Kommunikation im Netzwerk nur für WLAN-Teilnehmer zu erlauben, die eine IP-Adresse vom DHCP-Server des Access Points oder Routers beziehen. WLAN-Teilnehmer mit einer statischen IP-Adresse sollen geblockt werden. Dies lässt sich über den Protokollfilter auf Access Points und WLAN-Routern realisieren.
In diesem Artikel wird beschrieben, wie durch Verwendung des Protokollfilters im WLAN nur Netzwerk-Teilnehmer zugelassen werden, die per DHCP eine IP-Adresse beziehen ("Mandatory DHCP").
Requirements:
- LCOS ab Version 9.24 (download aktuelle Version)
- LANtools ab Version 9.24 (download aktuelle Version)
- Access Point oder WLAN-Router
- Der DHCP-Server des Access Points oder Routers muss verwendet werden
- Bereits eingerichtetes und funktionsfähiges WLAN
Procedure:
1. Öffnen Sie die Konfiguration des Gerätes in LANconfig und wechseln in das Menü Interfaces → LAN → LAN bridge.
2. Wechseln Sie in das Menü Protocols.
Some scenarios require that communication in the network should be possible only for Wi-Fi users who obtain an IP address from a DHCP server in the local network. Wi-Fi users with a static IP address should be blocked. This can be implemented using the protocol filter on access points and WLAN routers.
This article describes how to use the protocol filter so that only network users allowed to communicate on the network are those who obtained an IP address via DHCP (“mandatory DHCP”).
| Info | ||||||
|---|---|---|---|---|---|---|
In a WLAN controller scenario the protocol filter configuration can be rolled out to the access points via a script. The procedure is described in the Knowledge Base article Centralized script management with LANCOM WLAN controllers. Please use the attached script file.
|
Requirements:
- LCOS as of version 9.24 (download latest version)
- LANtools as of version 9.24 (download latest version)
- Access point or WLAN router
- The DHCP server has to be operated in the same network
- Installed and functional WLAN
Procedure:
1) Open the configuration for the device in LANconfig and switch to the menu item Interfaces → LAN → LAN bridge.
2) Go to the Protocols menu.
3) Add a new entry to allow 3. Erstellen Sie einen neuen Eintrag, um ARP (Address Resolution Protocol) zu erlauben und passen die folgenden Parameter anand adjust the following parameters:
- Name: Vergeben Sie einen aussagekräftigen Namen Enter a descriptive name (in diesem Beispiel this example ALLOW_ARP).
- Protocol: Tragen Sie den Wert 0806 ein. Dieser steht für Enter the value 0806. This stands for ARP.
- DHCP assigned IP: Stellen Sie sicher, dass Irrelevant ausgewählt istCheck that the value is set to Irrelevant.
- Interface list: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden sollHere you select the WLAN interfaces that the protocol filter is to operate on.
- Action: Wählen Sie Pakete übertragen ausSelect Pass packets.
4. Erstellen Sie einen neuen Eintrag, um ) Add a new entry to allow DHCP (Dynamic Host Configuration Protocol) zu erlauben und passen die folgenden Parameter anand adjust the following parameters:
- Name: Vergeben Sie einen aussagekräftigen Namen Enter a descriptive name (in diesem Beispiel this example ALLOW_DHCP).
- Protocol: Tragen Sie den Wert 0800 ein. Dieser steht für Enter the value 0800. This stands for IPv4.
- Subtype: Tragen Sie den Wert 17 ein. Dieser steht für Enter the value 17. This stands for UDP.
- First port: Tragen Sie den Port 67 einEnter port 67.
- Last port: Tragen Sie den Port 68 ein Enter port 68.
- DHCP assigned IP: Stellen Sie sicher, dass Irrelevant ausgewählt ist Check that the value is set to Irrelevant.
- Interface list: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden soll Here you select the WLAN interfaces that the protocol filter is to operate on.
- Action: Wählen Sie Select Pass packets aus.
5. Erstellen Sie einen neuen Eintrag, um Pakete von WLAN-Teilnehmern zu übertragen, die ihre IP-Adresse von einem DHCP-Server bezogen haben. Passen Sie dazu die folgenden Protokolle an:) Create a new entry in order to transmit packets from Wi-Fi participants who obtained their IP address from a DHCP server. To do this, adapt the following protocols:
- Name: Enter a descriptive name (in this example Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW_DHCP_ONLY).
- Protocol: Tragen Sie den Wert 0800 ein. Dieser steht für Enter the value 0800. This stands for IPv4.
- DHCP assigned IP: Wählen Sie im Dropdownmenü Yes aus. Dadurch wird geprüft, ob der WLAN-Teilnehmer eine IP-Adresse per DHCP bezogen hat (DHCP-Tracking). Ist dies der Fall, wird das Paket übertragenSelect Yes from the drop-down menu. This checks whether the Wi-Fi user has obtained an IP address via DHCP (DHCP tracking). If this is the case, the packet is transmitted.
- Interface list: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden sollHere you select the WLAN interfaces that the protocol filter is to operate on.
- Action: Wählen Sie Select Pass packets aus.
6. Die Tabelle Protocols muss anschließend wie folgt aussehen) The Protocols table should appear as shown below.
| Info |
|---|
Eine Deny-Regel, welche den Datenverkehr für alle WLAN-Teilnehmer mit statischer IP-Adresse unterbindet, ist nicht erforderlich, da es für die WLAN-Schnittstellen Regeln gibt, welche aber nicht zutreffen. In diesem Fall greift die Standard-Regel mit der Aktion Drop packets. Diese Regel ist nicht in der Konfiguration sichtbar. |
There is no need for a deny rule that prevents data traffic for all Wi-Fi users with a static IP address, as there are rules for the Wi-Fi interfaces, but these do not apply. In this case, the standard rule comes into effect with the action Drop packets. This rule is not visible in the configuration. |
7) This concludes the configuration of the protocol filter. You can now write the configuration back to the device7. Die Einrichtung des Protokollfilters ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.