Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 11 Nächste Version anzeigen »


Beschreibung:

In Szenarien, in denen sich je Switch-Port nur ein einzelner Netzwerk-Teilnehmer per RADIUS authentifizieren und anschließend über diesen Port kommunizieren können soll, kann auf einem GS-3xxx Switch die Authentifizierungsmethode Single 802.1X verwendet werden.

Wenn Netzwerkteilnehmer kein 802.1X unterstützen oder dies deaktiviert ist, werden diese abgelehnt und können anschließend nicht an dem Switch-Port kommunizieren. Daher kann es sinnvoll sein für diese Teilnehmer ein separates Netzwerk zu erstellen und diese vom Switch automatisch in das entsprechende VLAN schieben zu lassen. Dadurch können diese Netzwerk-Teilnehmer innerhalb dieses Netzwerks und je nach Konfiguration des Routers auch mit dem Internet kommunizieren, haben aber keinen Zugriff auf das Management-Netzwerk (dies muss auf dem Router durch Firewall-Regeln oder Schnittstellen-Tags unterbunden werden). Auf einem GS-3xxx Switch kann dazu das Feature Guest VLAN verwendet werden.

In diesem Artikel wird beschrieben, wie auf einem GS-3xxx Switch eine RADIUS-Authentifizierung mit Single 802.1X und aktivem Guest VLAN konfiguriert werden kann. Ein LANCOM Router fungiert dabei als RADIUS-Server. 


Voraussetzungen:

  • LANCOM Router als RADIUS-Server
  • Switch der GS-3xxx Serie
  • LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version
  • LANtools ab Version 10.30 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switch


Szenario:



Vorgehensweise:

1. Konfigurationsschritte auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 Klicken Sie auf Hinzufügen, um das Netzwerk für das Guest VLAN zu erstellen.

1.3 Passen Sie die folgenden Parameter an:

  • Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GUEST).
  • IP-Adresse: Tragen Sie eine IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
  • Netzmaske: Tragen Sie die zugehörige Subnetzmaske des Netzwerks für das Guest VLAN ein.
  • VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die VLAN-ID 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
  • Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel das Tag 1). Dadurch wird ein Zugriff aus dem Gastnetzwerk in die anderen Netzwerke unterbunden.

Für das Management-Netzwerk INTRANET muss keine VLAN-ID hinterlegt werden. Auch muss das VLAN-Modul nicht aktiviert werden, da das Tagging vom Switch übernommen wird. Mit dem Tagging-Modus Hybrid wird die Port-VLAN-ID ausgehend entfernt, sodass die für das INTRANET bestimmten Pakete vom Switch am Router untagged ankommen (siehe Schritt 2.2).  

1.4 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

1.5 Klicken Sie auf Hinzufügen, um ein DHCP-Netzwerk für das in Schritt 1.3 erstellte Netzwerk anzulegen.

1.6 Passen Sie die folgenden Parameter an:

  • Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel GUEST).
  • DHCP-Server aktiviert: Wählen Sie die Option Ja aus.

Optional können Sie hier weitere Parameter wie den Adress-Pool und das Standard-Gateway anpassen.

1.7 Wechseln Sie in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

1.8 Wechseln Sie in das Menü RADIUS-Dienste Ports.

1.9 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

1.10 Wechseln Sie in das Menü IPv4-Clients.

1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

  • IP-Adresse: Tragen Sie die IP-Adresse des Switch ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
  • Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.2 auf dem Switch eingetragen.

1.12 Wechseln Sie in das Menü Benutzerkonten.

1.13 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
  • Passwort: Tragen Sie ein Passwort ein, mit dem der Access Point sich am RADIUS-Server authentifiziert.
  • Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.

1.14 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



2. Konfigurationsschritte auf dem GS-3xxx Switch:

2.1 Öffnen Sie das Webinterface des Gerätes und wechseln in das Menü VLAN Management → VLAN Configuration.

2.2 Passen Sie für den Switch-Port, an dem der Router angeschlossen ist die folgenden Parameter an und klicken auf Apply:

  • Mode: Wählen Sie den Tagging-Modus Hybrid aus.
  • Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
  • Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
  • Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
  • Allowed VLANs: Tragen Sie die VLANs 1 und 3 an (im Switch muss dies als 1,3 eingegeben werden), da das Management-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das Netzwerk GUEST (verwendet die VLAN-ID 3) übertragen werden sollen.

Weitere Informationen zur VLAN-Konfiguration auf einem GS-3xxx Switch finden Sie in dem folgenden Knowledge Base Artikel:

VLAN-Konfiguration auf LANCOM Switches der GS-3xxx Serie

2.3 Wechseln Sie in das Menü Security → RADIUS → Configuration und klicken auf Add New Server.

2.4 Passen Sie in dem neuen Eintrag für den Server folgende Parameter an und klicken auf Apply:

  • Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
  • Key: Hinterlegen Sie das in Schritt 1.5 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.

2.5 Wechseln Sie in das Menü Security → 802.1X → Configuration und passen die folgenden Parameter an:

  • Mode: Aktivieren Sie die 802.1X-Authentifizierung, indem Sie den Schiebe-Regler auf on setzen.
  • Guest VLAN Enabled: Aktivieren Sie das Guest VLAN
  • Guest VLAN ID: Tragen Sie die VLAN ID für das Guest VLAN ein (in diesem Beispiel die VLAN-ID 3).

2.6 Passen Sie in der Port Configuration für die Ports, an denen Endgeräte authentifiziert werden sollen, die folgenden Parameter an und klicken auf Apply:

  • Admin State: Wählen Sie im Dropdownmenü die Option Single 802.1X aus.
  • Guest VLAN Enabled: Aktivieren Sie das Guest VLAN

Mit der Option  Single 802.1X kann sich nur ein Netzwerk-Teilnehmer an dem Port authentifizieren und anschließend über diesen kommunizieren. 

Unterstützt ein Netzwerkteilnehmer keine RADIUS-Authentifizierung oder ist diese deaktiviert, wird dieser Teilnehmer vom Switch in das Guest VLAN geschoben, sodass dieser dort kommunizieren kann und keinen Zugriff auf das Management-Netzwerk erhält.

2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern. 

Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur Verfügung.

2.8 Die Konfiguration des Switches ist damit abgeschlossen.

  • Keine Stichwörter