...
- LANCOM Router als RADIUS-Server
- Switch der GS-3xxx Serie
- LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version)
- LANtools ab Version 10.30 (download aktuelle Version)
- Switch der GS-3xxx Serie
- LCOS SX ab Version 4.00 RU6 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switches
...
- Auf dem LANCOM Router ist bereits das Verwaltungs-Netzwerk (INTRANET) mit dem Adressbereich 192.168.1.0/24 eingerichtet und hat in diesem Netzwerk die IP-Adresse 192.168.1.254.
- Zusätzlich wird auf dem Router noch ein Gast-Netzwerk (GUEST) für das Guest VLAN eingerichtet. Dieses hat den Adressbereich 192.168.3.0/24 mit der IP-Adresse 192.168.3.254.
- Der LANCOM Routerfungiert als RADIUS-Server.
- Ein Switch der GS-3xxx Serie mit der IP-Adresse 192.168.1.250 fungiert als RADIUS-Authenticator. Der Switch leitet also die Anfragen der Netzwerkteilnehmer an den RADIUS-Server weiter.
- Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem erfolgreichen Login am RADIUS-Server Zugriff auf das Verwaltungs-Netzwerk erhalten.
- Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem fehlerhaften Login am RADIUS-Server keinen Zugriff auf eines der Netzwerke weder Zugriff in das Verwaltungs-, noch in das Gast-Netzwerk erhalten.
- Netzwerkteilnehmer ohne oder mit deaktiviertem 802.1X Support sollen vom Switch automatisch in das Guest VLAN verschoben werden und dadurch Zugriff auf das Gast-Netzwerk erhalten.
Vorgehensweise:
1. Konfigurationsschritte auf dem LANCOM Router:
...
- Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GUEST GAST-NETZWERK).
- IP-Adresse: Tragen Sie eine IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
- Netzmaske: Tragen Sie die zugehörige Subnetzmaske ein.
- VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die VLAN-ID 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
- Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel das Tag 1). Dadurch wird ein Zugriff aus dem Gastnetzwerk in die anderen Netzwerke unterbunden.
...
- Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel GUEST GAST-NETZWERK).
- DHCP-Server aktiviert: Wählen Sie die Option Ja aus.
...
- Mode: Wählen Sie den Tagging-Modus Hybrid aus.
- Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
- Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
- Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
- Allowed VLANs: Tragen Sie die VLANs 1 und 3 ein (im Switch muss dies als 1,3 eingegeben werden), da das ManagementVerwaltungs-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das Netzwerk GUEST GAST-NETZWERK (verwendet die VLAN-ID 3) übertragen werden sollen.
...
Info |
---|
Mit der Option Single 802.1X kann sich nur ein Netzwerk-Teilnehmer an dem Port authentifizieren und anschließend über diesen kommunizieren. Unterstützt ein Netzwerkteilnehmer keine RADIUS-Authentifizierung oder ist diese deaktiviert, wird dieser Teilnehmer vom Switch in das Guest VLAN verschoben, sodass dieser dort kommunizieren kann und keinen Zugriff auf das ManagementVerwaltungs-Netzwerk erhält. |
2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.
...