Beschreibung:
Voraussetzungen:
- LANCOM Router als RADIUS-Server
- Switch der GS-3xxx Serie
- LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version)
- LANtools ab Version 10.30 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switch
Szenario:
Vorgehensweise:
1. Konfigurationsschritte auf dem LANCOM Router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.
1.2 Klicken Sie auf Hinzufügen, um das Netzwerk für das Guest VLAN zu erstellen.
1.3 Passen Sie die folgenden Parameter an:
- Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GUEST).
- IP-Adresse: Tragen Sie die IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
- Netzmaske: Tragen Sie die zugehörige Subnetzmaske des Netzwerks für das Guest VLAN ein.
- VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
- Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel die 1). Dadurch wird ein Zugriff aus dem Gastnetz in die anderen Netzwerke unterbunden.
Für das Management-Netzwerk INTRANET muss keine VLAN-ID hinterlegt werden. Auch muss das VLAN-Modul nicht aktiviert werden, da das Tagging vom Switch übernommen wird. Mit dem Tagging-Modus Hybrid wird die Port-VLAN-ID ausgehend entfernt, sodass die für das INTRANET bestimmten Pakete vom Switch am Router untagged ankommen (siehe Schritt 2.2).
1.4 Wechseln Sie in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
1.5 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.6 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.
1.7 Wechseln Sie in das Menü IPv4-Clients.
1.8 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
- Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.2 auf dem Switch eingetragen.
1.9 Wechseln Sie in das Menü Benutzerkonten.
1.10 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
- Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.
Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.
1.11 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfigurationsschritte auf dem GS-3xxx Switch:
2.1 Öffnen Sie das Webinterface des Gerätes und wechseln in das Menü VLAN Management → VLAN Configuration.
2.2 Passen Sie für den Switch-Port, an dem der Router angeschlossen ist die folgenden Parameter an und klicken auf Apply:
- Mode: Wählen Sie den Tagging-Modus Hybrid aus.
- Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
- Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
- Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
- Allowed VLANs: Tragen Sie die VLANs 1 und 3 an (im Switch muss dies als 1,3 eingegeben werden), da das Management-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das Netzwerk GUEST (verwendet die VLAN-ID 3) übertragen werden sollen.
Weitere Informationen zur VLAN-Konfiguration auf einem GS-3xxx Switch finden Sie in dem folgenden Knowledge Base Artikel:
2.3 Wechseln Sie in das Menü Security → RADIUS → Configuration und klicken auf Add New Server.
2.4 Passen Sie in dem neuen Eintrag für den Server folgende Parameter an und klicken auf Apply:
- Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
- Key: Hinterlegen Sie das in Schritt 1.5 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.
2.5 Wechseln Sie in das Menü Security → 802.1X → Configuration und passen die folgenden Parameter an:
- Mode: Aktivieren Sie die 802.1X-Authentifizierung, indem Sie den Schiebe-Regler auf on setzen.
- Guest VLAN Enabled: Aktivieren Sie das Guest VLAN.
- Guest VLAN ID: Tragen Sie die VLAN ID für das Guest VLAN ein (in diesem Beispiel die VLAN-ID 3).
2.6 Passen Sie in der Port Configuration für die Ports, an denen Endgeräte authentifiziert werden sollen, die folgenden Parameter an und klicken auf Apply:
- Admin State: Wählen Sie im Dropdownmenü die Option Single 802.1X aus.
- Guest VLAN Enabled: Aktivieren Sie das Guest VLAN.
Mit der Option Single 802.1X kann sich nur ein Netzwerk-Teilnehmer an dem Port authentifizieren und anschließend über diesen kommunizieren.
Unterstützt ein Netzwerkteilnehmer keine RADIUS-Authentifizierung oder ist diese deaktiviert, wird dieser Teilnehmer vom Switch in das Guest VLAN geschoben, sodass dieser dort kommunizieren kann und keinen Zugriff auf das Management-Netzwerk erhält.
2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern.
Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur Verfügung.
2.8 Die Konfiguration des Switches ist damit abgeschlossen.
