Versionen im Vergleich

Alte Version 9

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Damit nur bestimmte Netzwerk-Teilnehmer Zugang zu einem Netzwerk erhalten, ist es sinnvoll auf dem verwendeten Switch eine RADIUS-Authentifizierung durchzuführen. Wenn ein Netzwerk-Teilnehmer sich selbst nicht per RADIUS anmelden und somit nicht als RADIUS-Supplicant dienen kann, besteht alternativ die Möglichkeit den Netzwerk-Teilnehmer anhand seiner MAC-Adresse zu authentifizieren. Bei einem Switch der XS-Serie wird es sich dabei aufgrund der SFP-Ports in der Regel um andere Netzwerk-Komponenten wie weitere Switches handeln, obschon eine Authentifizierung von Endgeräten an den Ethernet-Ports möglich ist.   

...

...

Ein Switch, der selber nicht als RADIUS-Supplicant fungieren kann, wird an einen Switch der XS-Serie angeschlossen. Dabei soll sichergestellt werden, dass nur der Switch direkt an den Switch der XS-Serie angebunden werden kann und keine anderen Netzwerk-Geräte stattdessen angeschlossen werden und über den Port kommunizieren können. Die Authentifizierung erfolgt daher anhand der MAC-Adresse. Dadurch sind keine zusätzlichen Konfigurationsschritte auf dem Switch ohne RADIUS-Supplicant-Unterstützung erforderlich. 

Image Added



Vorgehensweise:

1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:

...

  • IP-Adresse: Tragen Sie die IP-Adresse des XS-Serie Switches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann.
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
  • Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der XS-Serie Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.8 auf dem Switch eingetragen.

...

  • Name / MAC-Adresse: Tragen Sie die MAC-Adresse des Netzwerk-Gerätesin Großbuchstaben ein, welches angemeldet werden soll. anhand seiner MAC-Adresse authentifiziert werden soll, in Großbuchstaben im Format 00:A0:57:12:34:56 ein.
  • Passwort: Tragen Sie die MAC-Adresse des Netzwerk-Gerätesin Großbuchstaben ein, welches angemeldet werden soll analog zu dem Parameter Name / MAC-Adresse ein. 
  • Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

...

2.3 Markieren Sie unter Available Methods Methods die Option RADIUS Radius und klicken auf das nach rechts gewandte obere "Pfeil-Symbol", damit dieses diese in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.

...

  • IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, der die Authentifizierung vornehmen soll.
  • Server Name: Passen Sie bei Bedarf den den Gruppen-Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassen).  
  • Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert 1812.
  • Secret: Tragen Sie das in Schritt 1.5 vergebene Client-Secret ein.
  • Server Type: Wählen Sie die Option Primary aus. Gibt es keinen primären RADIUS-Server, so wird der sekundäre RADIUS-Server zum primären Server

2.9 Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.

Hinweis

An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich!

Info

Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhält. 

Image Added

2.10 Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/9), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.

...

  • Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist der Port unauthentifiziertkeine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
  • Wählen Sie bei Host Mode die Authentifizierungs-Methode Multiple Host aus. Damit können alle angebundenen muss sich nur ein Netzwerk-Teilnehmer nach der erfolgreichen Authentifizierung Teilnehmer authentifizieren. Alle weiteren Teilnehmer können dann ebenso über diesen Port kommunizieren. 
  • Aktivieren Sie den MAB Mode (MAC-based AuthenticationBypass). Damit wird anstelle von Benutzername und Passwort die MAC-Adresse für die Authentifizierung herangezogen. 

...