Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 5 Nächste Version anzeigen »


Beschreibung:



Voraussetzungen:

  • LANCOM Router als RADIUS-Server
  • Switch der GS-3xxx Serie
  • LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version
  • LANtools ab Version 10.30 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switch


Szenario:



Vorgehensweise:

1. Konfigurationsschritte auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 Klicken Sie auf Hinzufügen, um das Netzwerk für das Guest VLAN zu erstellen.

1.3 Passen Sie die folgenden Parameter an:

  • Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GUEST).
  • IP-Adresse: Tragen Sie die IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
  • Netzmaske: Tragen Sie die zugehörige Subnetzmaske des Netzwerks für das Guest VLAN ein.
  • VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
  • Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel die 1). Dadurch wird ein Zugriff aus dem Gastnetz in die anderen Netzwerke unterbunden.

Für das Management-Netzwerk INTRANET muss keine VLAN-ID hinterlegt werden. Auch muss das VLAN-Modul nicht aktiviert werden, da das Tagging vom Switch übernommen wird. Mit dem Tagging-Modus Hybrid wird die Port-VLAN-ID ausgehend entfernt, sodass die für das INTRANET bestimmten Pakete vom Switch am Router untagged ankommen (siehe Schritt 2.2).  

1.4 Wechseln Sie in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

1.5 Wechseln Sie in das Menü RADIUS-Dienste Ports.

1.6 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

1.7 Wechseln Sie in das Menü IPv4-Clients.

1.8 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

  • IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
  • Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.2 auf dem Switch eingetragen.

1.9 Wechseln Sie in das Menü Benutzerkonten.

1.10 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
  • Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
  • Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.

1.11 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



2. Konfigurationsschritte auf dem GS-3xxx Switch:

2.1 Öffnen Sie das Webinterface des Gerätes und wechseln in das Menü VLAN Management → VLAN Configuration.

2.2 Passen Sie für den Switch-Port, an dem der Router angeschlossen ist die folgenden Parameter an und klicken auf Apply:

  • Mode: Wählen Sie den Tagging-Modus Hybrid aus.
  • Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
  • Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
  • Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
  • Allowed VLANs: Tragen Sie die VLANs 1 und 3 an (im Switch muss dies als 1,3 eingegeben werden), da das Management-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das Netzwerk GUEST (verwendet die VLAN-ID 3) übertragen werden sollen.

Weitere Informationen zur VLAN-Konfiguration auf einem GS-3xxx Switch finden Sie in dem folgenden Knowledge Base Artikel:

VLAN-Konfiguration auf LANCOM Switches der GS-3xxx Serie

2.3 Wechseln Sie in das Menü Security → RADIUS → Configuration und klicken auf Add New Server.

2.4 Passen Sie in dem neuen Eintrag für den Server folgende Parameter an und klicken auf Apply:

  • Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
  • Key: Hinterlegen Sie das in Schritt 1.5 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.

2.5 Wechseln Sie in das Menü Security → 802.1X → Configuration und passen die folgenden Parameter an:

  • Mode: Aktivieren Sie die 802.1X-Authentifizierung, indem Sie den Schiebe-Regler auf on setzen.
  • Guest VLAN Enabled: Aktivieren Sie das Guest VLAN
  • Guest VLAN ID: Tragen Sie die VLAN ID für das Guest VLAN ein (in diesem Beispiel die VLAN-ID 3).

2.6 Passen Sie in der Port Configuration für die Ports, an denen Endgeräte authentifiziert werden sollen, die folgenden Parameter an und klicken auf Apply:

  • Admin State: Wählen Sie im Dropdownmenü die Option Single 802.1X aus.
  • Guest VLAN Enabled: Aktivieren Sie das Guest VLAN

Mit der Option  Single 802.1X kann sich nur ein Netzwerk-Teilnehmer an dem Port authentifizieren und anschließend über diesen kommunizieren. 

Unterstützt ein Netzwerkteilnehmer keine RADIUS-Authentifizierung oder ist diese deaktiviert, wird dieser Teilnehmer vom Switch in das Guest VLAN geschoben, sodass dieser dort kommunizieren kann und keinen Zugriff auf das Management-Netzwerk erhält.

2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern. 

Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur Verfügung.

2.8 Die Konfiguration des Switches ist damit abgeschlossen.

  • Keine Stichwörter