Beschreibung:

Damit nur bestimmte Netzwerk-Teilnehmer Zugang zu einem Netzwerk erhalten, ist es sinnvoll auf dem verwendeten Switch eine RADIUS-Authentifizierung durchzuführen. Wenn ein Netzwerk-Teilnehmer sich selbst nicht per RADIUS anmelden und somit nicht als RADIUS-Supplicant dienen kann, besteht alternativ die Möglichkeit den Netzwerk-Teilnehmer anhand seiner MAC-Adresse zu authentifizieren. Bei einem Switch der XS-51xx / XS-6128QF Serie sowie dem CS-8132F und YS-7154CF wird es sich dabei aufgrund der SFP-Ports in der Regel um andere Netzwerk-Komponenten wie weitere Switches handeln, obschon eine Authentifizierung von Endgeräten an den Ethernet-Ports möglich ist.   

In diesem Artikel wird beschrieben, wie für ein Netzwerk-Gerät eine MAC-Adress-Authentifizierung auf einem Switch mit LCOS SX 5.xx eingerichtet wird, damit nur dieses Zugriff zum Netzwerk erhält.


Voraussetzungen:


Szenario:

Ein Switch, der selber nicht als RADIUS-Supplicant fungieren kann, wird an einen Switch der XS-51xx Serie angeschlossen. Dabei soll sichergestellt werden, dass nur der Switch direkt an den Switch der XS-51xx Serie angebunden werden kann und keine anderen Netzwerk-Geräte stattdessen angeschlossen werden und über den Port kommunizieren können. Die Authentifizierung erfolgt daher anhand der MAC-Adresse. Dadurch sind keine zusätzlichen Konfigurationsschritte auf dem Switch ohne RADIUS-Supplicant-Unterstützung erforderlich. 

Diagramm eines Netzwerk-Setups mit einem LANCOM Router, einem RADIUS Server, einem Verwaltungsnetzwerk und einem LANCOM XS Serie Switch ohne RADIUS-Supplicant-Unterstützung.



Vorgehensweise:

1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen für Netzwerkmanagement, einschließlich Einstellungen für RADIUS-Dienste, Firewall, QoS, IP-Management und Benutzerkonten.

1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.

Bildschirmansicht einer technischen Konfigurations-Oberfläche mit verschiedenen Einstellungsmöglichkeiten für Netzwerkmanagement, darunter RADIUS-Authentifizierung, IP-Firewall-Einstellungen und Benutzerkontendaten.

1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

Screenshot einer technischen Benutzeroberfläche mit Beschriftungen zu RADIUS-Diensten und Ports, einschließlich eines AccountingPorts und anderer spezifischer Einstellungsoptionen.

1.4 Wechseln Sie in das Menü IPv4-Clients.

Das Bild zeigt eine technische Benutzeroberfläche zur Konfiguration von RADIUS und RADSEC mit Optionen für Authentifizierung, Schnittstellen, Kommunikationsports, Benutzerdatenbank und weitere Netzwerkdienste.

1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

  • IP-Adresse: Tragen Sie die IP-Adresse des XS-Serie Switches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann.
  • Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
  • Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
  • Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der XS-Serie Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.8 auf dem Switch eingetragen.

Screenshot einer technischen Benutzeroberfläche für Netzwerkeinstellungen, die Optionen wie IP-Adresse, Netzmaske und Protokolle sowie einen Button zum Erzeugen eines Passworts zeigt.

1.6 Wechseln Sie in das Menü Benutzerkonten.

Bildschirmansicht eines technischen Konfigurationsmenüs mit Optionen für RADIUS-Authentifizierung, DRADSEC, Accounting und Netzwerkeinstellungen für Zeitintervalle, IP-Routing und Firewall-Qualitätssicherung.

1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

  • Name / MAC-Adresse: Tragen Sie die MAC-Adresse des Netzwerk-Gerätes, welches anhand seiner MAC-Adresse authentifiziert werden soll, in Großbuchstaben im Format 00:A0:57:12:34:56 ein.
  • Passwort: Tragen Sie die MAC-Adresse des  Netzwerk-Gerätes analog zu dem Parameter Name / MAC-Adresse ein. 
  • Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
  • Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.

Screenshot einer technischen Benutzeroberfläche mit Optionen zur Bearbeitung von Benutzerkonten, Passphrase-Eingabe, Attributwert-Angaben und verschiedenen anderen Einstellungen und Beschränkungen für die Benutzerauthentifizierung.

1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.



2. Konfiguration des RADIUS-Authenticators auf dem Switch:

2.1 Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü System → AAA → Authentication List.

Ein Bildschirmanzeige eines technischen Konfigurationsmenüs mit verschiedenen unleserlichen und fragmentierten Textelementen zu Themen wie Sicherheit, Stacking und Systemkonfiguration.

2.2 Wählen Sie den Eintrag dot1xList aus und klicken auf Edit.

Bildschirmfoto einer Netzwerksicherheitsverwaltungs-Benutzeroberfläche mit mehreren Listen zur Auswahl für Authentifizierung, Autorisierung und Accounting, einschließlich Optionen wie 'defaultlist', 'networklist', 'noauthlist' und verschiedene Methoden wie 'Local', 'Enable', und 'None' für den Zugriffstyp.

2.3 Markieren Sie unter Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit diese in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.

Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitet.

Bildschirmansicht eines technischen Konfigurationsmenüs zur Verwaltung von Zugriffstypen und Authentifizierungsmethoden mit Optionen für lokale und RADIUS-Verifikation.

Screenshot einer technischen Konfigurationsseite, die die Bearbeitung einer Authentifizierungsliste mit dem Namen dotixList zeigt, einschließlich der Auswahl von Zugriffstypen und Authentifizierungsmethoden, wie Radius und Lokal.

2.4 Wechseln Sie in das Menü Security → Port Access Control → Configuration.

Screenshot einer Netzwerkverwaltungsoberfläche mit Optionen für Routing, Sicherheit, QoS, Authentifizierung und Zugriffskontrolllisten, inklusive Einstellungen für TACACS und Portkonfiguration.

2.5 Wählen Sie bei Admin Mode die Option Enable aus und klicken auf Submit.

Bildschirmansicht einer technischen Benutzeroberfläche, die verschiedene Menüoptionen wie SystemSwitching, Routing, Security, QoS und Stacking zeigt, sowie Details zu Port-Konfigurationen, Statistiken und Zugriffskontrollen.

2.6 Wechseln Sie in das Menü Security → RADIUS → Named Server.

Screenshot eines erweiterten Netzwerkkonfigurationsmenüs mit verschiedenen Optionen wie Systemwechsel, Routing, Portzusammenfassung, Portkonfiguration, Zugangskontrolle, Authentifizierungsmanagerstatistiken, AdminModus, Buchhaltungsserver und Softwareversion.

2.7 Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen.

Schnittstelle eines Netzwerkmanagementsystems, das Optionen für Routingsicherheit, Qualitätsservice, Konfiguration, Statistiken und Accounting in einer tabellarischen Anzeige mit Filteroptionen zeigt.

2.8 Passen Sie folgende Parameter an und klicken auf Submit:

  • IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, der die Authentifizierung vornehmen soll.
  • Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassen).  
  • Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert 1812.
  • Secret: Tragen Sie das in Schritt 1.5 vergebene Client-Secret ein.
  • Server Type: Wählen Sie die Option Primary aus. 

2.9 Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.

An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich!

Screenshot einer technischen Konfigurationsoberfläche mit verschiedenen Menüoptionen wie Port Access Control, RADIUS Server Status, TACACS, und IP-Adresskonfigurationen, einschließlich Statistiken und Historiendatendarstellung.

Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhält. 

Screenshot einer technischen Benutzeroberfläche mit verschiedenen Einträgen und Filteroptionen für Konfigurationsdetails wie IP-Adresse, Hostname, Servername, Portnummer, Servertyp und Authentifizierungseinstellungen.

2.10 Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/9), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.

Wählen Sie die Einstellung Force Authorized auf allen Ports aus, auf denen keine Authentifizierung durchgeführt werden soll.

Bild eines technischen Konfigurationsmenüs, das verschiedene Netzwerkeinstellungen wie Switching, Routing, Sicherheitsoptionen, Authentifizierungsmodi und VLAN-Konfigurationen aufzeigt.

2.11 Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel 1/0/10), passen die folgenden Parameter an und klicken auf Submit:

  • Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
  • Wählen Sie bei Host Mode die Authentifizierungs-Methode Multiple Host aus. Damit muss sich nur ein Netzwerk-Teilnehmer authentifizieren. Alle weiteren Teilnehmer können dann ebenso über diesen Port kommunizieren. 
  • Aktivieren Sie den MAB Mode (MAC-based Authentication Bypass). Damit wird anstelle von Benutzername und Passwort die MAC-Adresse für die Authentifizierung herangezogen. 

Bild eines Netzwerkeinstellungsmenüs mit Optionen für Switching, Routing, Security, Konfigurationen wie Authentifizierung und Autorisierung, Guest VLAN ID, und MAB-Modus, inklusive verschiedener Authentifizierungsmethoden und Kontrollmaßnahmen für Netzwerksicherheit.

2.12 Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.

Bildschirmansicht einer technischen Benutzeroberfläche zur Konfiguration von Netzwerkeinstellungen, einschließlich Authentifizierung, VLAN-Management, Sicherheitsüberwachung und Dienstqualität mit optionalen Modalitäten für Aktivierung und Deaktivierung verschiedener Funktionen.

2.13 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.

Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.

Screenshot einer technischen Benutzeroberfläche mit beschrifteten Einstellungen und Menüpunkten, darunter 'LAN', 'QoS', und 'Service Summary'.

2.14  Bestätigen Sie den Speichervorgang mit einem Klick auf OK.

Ein Screenshot eines Konfigurationsdialogs mit undeutlichem Text, der den Benutzer auffordert, zur Fortsetzung auf OK zu klicken.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH