Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

Version 1 Nächste Version anzeigen »


Description:

Über Access Control Lists (ACL) kann auf einem Switch Datenverkehr verboten oder erlaubt werden. Damit die ACL nicht auf jedem Switch einzeln konfiguriert werden muss, kann diese dynamisch von einem RADIUS-Server bezogen werden (Dynamic ACL).

In diesem Artikel wird beschrieben, wie der Bezug von Dynamic ACLs auf einem Switch der XS- und GS-45xx Serie konfiguriert werden kann.

Dynamic ACLS müssen auf dem RADIUS-Server in LANCOM ACL-Syntax angegeben werden.

Beispiele:

DHCP erlauben:
permit udp any any range 67 68

IP-Adresse verbieten:
deny ip any 192.168.2.10 255.255.255.255

Rest erlauben:
permit every


Requirements:

  • LCOS SX ab Version 5.20 RU8 (download aktuelle Version)
  • Beliebiger Web-Browser für den Zugriff auf das Webinterface vom Switch
  • Bereits konfigurierter und funktionsfähiger RADIUS-Server, von dem die Dynamic ACL bezogen wird

Der in LCOS integrierte RADIUS-Server unterstützt Dynamic ACL nicht und kann daher in einem solchen Szenario nicht verwendet werden.


Procedure:

1. Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü System → AAA → Authentication List.

2. Wählen Sie den Eintrag dot1xList aus und klicken auf Edit.

3. Markieren Sie unter Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit diese in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.

Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitet.

4. Wechseln Sie in das Menü Security → Port Access Control → Configuration.

5. Wählen Sie bei Admin Mode die Option Enable aus und klicken auf Submit.

6. Wechseln Sie in das Menü Security → RADIUS → Named Server.

7. Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen.

8. Passen Sie folgende Parameter an und klicken auf Submit:

  • IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, von dem der Switch die Dynamic ACL beziehen soll.
  • Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassen).  
  • Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert 1812.
  • Secret: Tragen Sie das auf dem RADIUS-Server vergebene Client-Secret ein.
  • Server Type: Wählen Sie die Option Primary aus. 
  • Message Authenticator: Stellen Sie sicher, dass die Option Enable ausgewählt ist.

9. Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.

An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich!

Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhält. 

10. Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/9), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.

Wählen Sie die Einstellung Force Authorized auf allen Ports aus, auf denen keine Authentifizierung durchgeführt werden soll.

11. Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel 1/0/10), passen die folgenden Parameter an und klicken auf Submit:

  • Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
  • Wählen Sie bei Host Mode die Authentifizierungs-Methode Single Authentication aus. Damit kann nur ein Netzwerk-Teilnehmer über diesen Port kommunizieren. 

Da Dynamic ACLs in der Regel verwendet werden um den Datenverkehr einzelner Geräte zu verbieten oder zu erlauben, wird in diesem Beispiel der Host Mode Single Authentication ausgewählt. Sollen an diesem Port mehrere Geräte angebunden werden (etwa über einen Access Point), muss stattdessen der Modus Multiple Domain/Host verwendet werden.

12. Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.

13. Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.


14. Bestätigen Sie den Speichervorgang mit einem Klick auf OK.

All LANCOM products and software versions are subject to LANCOM Software Lifecycle Management.
You can find information on our website at https://www.lancom-systems.com/products/firmware/software-lifecycle-management

© 2019-2025 LANCOM Systems GmbH