Beschreibung:
Damit nur bestimmte Netzwerk-Teilnehmer Zugang zu einem Netzwerk erhalten, ist es sinnvoll auf dem verwendeten Switch eine RADIUS-Authentifizierung durchzuführen. Wenn ein Netzwerk-Teilnehmer sich selbst nicht per RADIUS anmelden und somit nicht als RADIUS-Supplicant dienen kann, besteht alternativ die Möglichkeit den Netzwerk-Teilnehmer anhand seiner MAC-Adresse zu authentifizieren. Bei einem Switch der XS-Serie wird es sich dabei aufgrund der SFP-Ports in der Regel um andere Netzwerk-Komponenten wie weitere Switches handeln, obschon eine Authentifizierung von Endgeräten an den Ethernet-Ports möglich ist.
In diesem Artikel wird beschrieben, wie für ein Netzwerk-Gerät eine MAC-Adress-Authentifizierung auf einem Switch der XS-Serie eingerichtet wird, damit nur dieses Zugriff zum Netzwerk erhält.
Voraussetzungen:
Szenario:
Ein Switch, der selber nicht als RADIUS-Supplicant fungieren kann, wird an einen Switch der XS-Serie angeschlossen. Dabei soll sichergestellt werden, dass nur der Switch direkt an den Switch der XS-Serie angebunden werden kann und keine anderen Netzwerk-Geräte stattdessen angeschlossen werden und über den Port kommunizieren können. Die Authentifizierung erfolgt daher anhand der MAC-Adresse. Dadurch sind keine zusätzlichen Konfigurationsschritte auf dem Switch ohne RADIUS-Supplicant-Unterstützung erforderlich.
Vorgehensweise:
1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.
1.4 Wechseln Sie in das Menü IPv4-Clients.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
1.6 Wechseln Sie in das Menü Benutzerkonten.
1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt. |
1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Authenticators auf dem Switch:
2.1 Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü System → AAA → Authentication List.
2.2 Wählen Sie den Eintrag dot1xList aus und klicken auf Edit.
2.3 Markieren Sie unter Available Methods die Option RADIUS und klicken auf das nach rechts gewandte Pfeil-Symbol, damit dieses in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.
Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitet. |
2.4 Wechseln Sie in das Menü Security → Port Access Control → Configuration.
2.5 Wählen Sie bei Admin Mode die Option Enable aus und klicken auf Submit.
2.6 Wechseln Sie in das Menü Security → RADIUS → Named Server.
2.7 Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen.
2.8 Passen Sie folgende Parameter an und klicken auf Submit:
2.9 Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.
An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich! |
2.10 Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/9), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.
Wählen Sie die Einstellung Force Authorized auf allen Ports aus, auf denen keine Authentifizierung durchgeführt werden soll. |
2.11 Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel 1/0/10), passen die folgenden Parameter an und klicken auf Submit:
2.12 Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.
2.13 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten. Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen. |
2.14 Bestätigen Sie den Speichervorgang mit einem Klick auf OK.