Description:
In einigen Szenarien ist es erforderlich, dass bestimmte Endgeräte immer in ein bestimmtes VLAN gelangen, egal an welchem Switch-Port die Geräte angeschlossen werden. Dies kann durch eine RADIUS-Authentifizierung realisiert werden, bei der dem RADIUS-Benutzer ein bestimmtes VLAN zugewiesen wird (Dynamic-VLAN).
In diesem Artikel wird beschrieben, wie Dynamic-VLAN auf einem Switch der XS-51xx / XS-6xxx und GS-45xx Serien eingerichtet wird.
Requirements:
- LANCOM Router als RADIUS-Server
- Switch der XS- bzw. GS-45xx Serie mit LCOS SX ab Version 5.20 Rel (download aktuelle Version)
- LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version)
- LANtools ab Version 10.30 (download aktuelle Version)
- Beliebiger Web-Browser für den Zugriff auf das Webinterface des Switches
Procedure:
1. Konfiguration des RADIUS-Servers auf dem LANCOM Router:
1.1 Öffnen Sie die Konfiguration des Routers in LANconfig, wechseln in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.
1.2 Wechseln Sie in das Menü RADIUS-Dienste Ports.
1.3 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.
1.4 Wechseln Sie in das Menü IPv4-Clients.
1.5 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:
- IP-Adresse: Tragen Sie die IP-Adresse des Switches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann.
- Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
- Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
- Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.6 auf dem Switch eingetragen.
1.6 Wechseln Sie in das Menü Benutzerkonten.
1.7 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:
- Name / MAC-Adresse: Tragen Sie den Benutzernamen ein (in diesem Beispiel benutzer).
- Passwort: Tragen Sie das Passwort für den Benutzer ein.
- VLAN: Tragen Sie das VLAN ein, welches dem Benutzer zugewiesen werden soll (in diesem Beispiel das VLAN 5).
- Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
- Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.
Der Dienst-Typ Call-Check wird erst ab LCOS 10.30 unterstützt.
1.8 Die Konfiguration des RADIUS-Servers auf dem LANCOM Router ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
2. Konfiguration des RADIUS-Authenticators auf dem Switch:
2.1 Verbinden Sie sich mit dem Webinterface des Gerätes und wechseln in das Menü System → AAA → Authentication List.
2.2 Wählen Sie den Eintrag dot1xList aus und klicken auf Edit.
2.3 Markieren Sie unter Available Methods die Option Radius und klicken auf das obere "Pfeil-Symbol", damit dieses in die Selected Methods aufgenommen wird. Klicken Sie anschließend auf Submit.
Die Option RADIUS muss hier zwingend hinterlegt werden, da der Switch die RADIUS-Requests ansonsten nicht an den RADIUS-Server weiterleitet.
2.4 Wechseln Sie in das Menü Security → RADIUS → Named Server.
2.5 Klicken Sie auf Add, um einen RADIUS-Server zu hinterlegen.
2.6 Passen Sie die folgenden Parameter an und klicken auf Submit:
- IP Address/Host Name: Geben Sie die IP-Adresse oder den Hostnamen des RADIUS-Servers an, der die Authentifizierung vornehmen soll (in diesem Beispiel 192.168.45.254).
- Server Name: Passen Sie bei Bedarf den Namen für den RADIUS-Server an (in diesem Beispiel wurde der Name auf der Standard-Einstellung Default-RADIUS-Server belassen).
- Port Number: Belassen Sie den RADIUS-Port auf dem Standard-Wert 1812.
- Secret: Tragen Sie das in Schritt 1.5 vergebene Client-Secret ein.
- Server Type: Wählen Sie die Option Primary aus.
2.7 Wechseln Sie in das Menü Security → Authentication Manager → Interface Configuration.
An dieser Stelle darf auf keinen Fall zuerst der Admin Mode unter Security → Authentication Manager → Configuration aktiviert werden (Enable), da die Authentifizierung global für alle Ports aktiviert wird. Ansonsten ist kein Konfigurations-Zugriff mehr auf den Switch möglich!
Der Status des Named Servers unter Current wechselt erst dann auf True, wenn der Switch einen RADIUS-Request erhält.
2.8 Wählen Sie das für den Konfigurations-Zugriff verwendete Interface aus (in diesem Beispiel der Port 1/0/1, an dem auch der Router angeschlossen ist), wählen bei Control Mode die Option Force Authorized aus und klicken auf Submit. Mit dieser Einstellung wird auf diesem Port keine Authentifizierung durchgeführt.
2.9 Wählen Sie einen Port aus, auf dem die Authentifizierung durchgeführt werden soll (in diesem Beispiel 1/0/10), passen die folgenden Parameter an und klicken auf Submit:
- Stellen Sie sicher, dass bei Control Mode die Option Auto ausgewählt ist. Damit ist keine Kommunikation über den Port möglich, bis der angeschlossene Netzwerk-Teilnehmer sich authentifiziert hat.
- Wählen Sie bei Host Mode die Authentifizierungs-Methode Single Authentication aus, damit sich an diesem Port nur ein Benutzer anmelden und über diesen Port kommunizieren kann.
2.12 Wechseln Sie in den Reiter Configuration, wählen bei Admin Mode die Option Enable aus und klicken auf Submit.
2.13 Klicken Sie in der rechten oberen Ecke auf Save Configuration, damit die Konfiguration als Start-Konfiguration gespeichert wird.
Die Start-Konfiguration bleibt auch nach einem Neustart des Gerätes oder einem Stromausfall erhalten.
Die Speicherung der aktuellen Konfiguration als Start-Konfiguration können Sie alternativ auch über die Konsole mit dem Befehl write memory vornehmen.
2.14 Bestätigen Sie den Speichervorgang mit einem Klick auf OK.
