RADIUS-Authentifizierung und "Guest VLAN" für Endgeräte an einem Port eines GS-3xxx Serie Switches mit einem LANCOM Router als RADIUS-Server (802.1X)

Beschreibung:

In Szenarien, in denen sich je Switch-Port nur ein einzelner Netzwerk-Teilnehmer per RADIUS authentifizieren und anschließend über diesen Port kommunizieren können soll, kann auf einem GS-3xxx Switch die Authentifizierungsmethode Single 802.1X verwendet werden.

Wenn Netzwerkteilnehmer kein 802.1X unterstützen oder dies deaktiviert ist, werden diese abgelehnt und können anschließend nicht an dem Switch-Port kommunizieren. Daher kann es sinnvoll sein für diese Teilnehmer ein separates Netzwerk zu erstellen und diese vom Switch automatisch in das entsprechende VLAN verschieben zu lassen. Dadurch können diese Netzwerk-Teilnehmer innerhalb dieses Netzwerks und je nach Konfiguration des Routers auch mit dem Internet kommunizieren, haben aber keinen Zugriff auf das Verwaltungs-Netzwerk (dies muss auf dem Router durch Firewall-Regeln oder Schnittstellen-Tags unterbunden werden). Auf einem GS-3xxx Switch kann dazu das Feature Guest VLAN verwendet werden.

In diesem Artikel wird beschrieben, wie auf einem GS-3xxx Switch eine RADIUS-Authentifizierung mit Single 802.1X und aktivem Guest VLAN konfiguriert werden kann. Ein LANCOM Router fungiert dabei als RADIUS-Server. 

Voraussetzungen:

• LANCOM Router als RADIUS-Server
• LCOS ab Version 10.30 auf dem Router, der als RADIUS-Server fungiert (download aktuelle Version) 
• LANtools ab Version 10.30 (download aktuelle Version)
• Switch der GS-3xxx Serie
• LCOS SX ab Version 4.00 RU6 (download aktuelle Version)
• Beliebiger Web-Browser für den Zugriff auf das Webinterface des GS-3xxx Switches

Szenario:

• Auf dem LANCOM Router ist bereits das Verwaltungs-Netzwerk (INTRANET) mit dem Adressbereich 192.168.1.0/24 eingerichtet und hat in diesem Netzwerk die IP-Adresse 192.168.1.254.
• Zusätzlich wird auf dem Router noch ein Gast-Netzwerk (GUEST) für das Guest VLAN eingerichtet. Dieses hat den Adressbereich 192.168.3.0/24 mit der IP-Adresse 192.168.3.254.
• Der LANCOM Router fungiert als RADIUS-Server.
• Ein Switch der GS-3xxx Serie mit der IP-Adresse 192.168.1.250 fungiert als RADIUS-Authenticator. Der Switch leitet also die Anfragen der Netzwerkteilnehmer an den RADIUS-Server weiter.
• Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem erfolgreichen Login am RADIUS-Server Zugriff auf das Verwaltungs-Netzwerk erhalten.
• Netzwerkteilnehmer mit 802.1X Support (RADIUS-Authenticator) sollen nach einem fehlerhaften Login am RADIUS-Server weder Zugriff in das Verwaltungs-, noch in das Gast-Netzwerk erhalten.
• Netzwerkteilnehmer ohne oder mit deaktiviertem 802.1X Support sollen vom Switch automatisch in das Guest VLAN verschoben werden und dadurch Zugriff auf das Gast-Netzwerk erhalten.

Vorgehensweise:

1. Konfigurationsschritte auf dem LANCOM Router:

1.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü IPv4 → Allgemein → IP-Netzwerke.

1.2 Klicken Sie auf Hinzufügen, um das Netzwerk für das Guest VLAN zu erstellen.

1.3 Passen Sie die folgenden Parameter an:

• Netzwerkname: Tragen Sie einen aussagekräftigen Netzwerknamen ein (in diesem Beispiel GAST-NETZWERK).
• IP-Adresse: Tragen Sie eine IP-Adresse aus dem Netzwerk für das Guest VLAN ein.
• Netzmaske: Tragen Sie die zugehörige Subnetzmaske ein.
• VLAN-ID: Tragen Sie eine bisher nicht verwendete VLAN-ID ein (in diesem Beispiel die VLAN-ID 3). Diese muss ebenso bei der VLAN-Konfiguration auf dem Switch hinterlegt werden (siehe Schritt 2.2).
• Schnittstellen-Tag: Vergeben Sie ein bisher nicht verwendetes Schnittstellen-Tag (in diesem Beispiel das Tag 1). Dadurch wird ein Zugriff aus dem Gastnetzwerk in die anderen Netzwerke unterbunden.

1.4 Wechseln Sie in das Menü IPv4 → DHCPv4 → DHCP-Netzwerke.

1.5 Klicken Sie auf Hinzufügen, um ein DHCP-Netzwerk für das in Schritt 1.3 erstellte Netzwerk anzulegen.

1.6 Passen Sie die folgenden Parameter an:

• Netzwerkname: Wählen Sie im Dropdownmenü das in Schritt 1.3 erstellte Netzwerk aus (in diesem Beispiel GAST-NETZWERK).
• DHCP-Server aktiviert: Wählen Sie die Option Ja aus.

1.7 Wechseln Sie in das Menü RADIUS → Server und setzen den Haken bei RADIUS-Authentisierung aktiv.

1.8 Wechseln Sie in das Menü RADIUS-Dienste Ports.

1.9 Stellen Sie sicher, dass der Authentifizierungs-Port 1812 hinterlegt ist.

1.10 Wechseln Sie in das Menü IPv4-Clients.

1.11 Erstellen Sie einen neuen Eintrag und hinterlegen folgende Parameter:

• IP-Adresse: Tragen Sie die IP-Adresse des Switches ein, damit dieser sich als RADIUS-Authenticator am RADIUS-Server authentifizieren kann
• Netzmaske: Tragen Sie die Netzmaske 255.255.255.255 ein. Diese steht für eine einzelne IP-Adresse.
• Protokolle: Stellen Sie sicher, dass das Protokoll RADIUS ausgewählt ist.
• Client-Secret: Tragen Sie ein Passwort ein, mit dem sich der Switch am RADIUS-Server authentifiziert. Dieses wird in Schritt 2.4 auf dem Switch eingetragen.

1.12 Wechseln Sie in das Menü Benutzerkonten.

1.13 Erstellen Sie einen neuen Eintrag und passen folgende Parameter an:

• Name / MAC-Adresse: Tragen Sie einen Benutzer-Namen ein, mit dem der Netzwerkteilnehmer sich am RADIUS-Server authentifiziert.
• Passwort: Tragen Sie ein Passwort ein, mit dem der Netzwerkteilnehmer sich am RADIUS-Server authentifiziert.
• Dienst-Typ: Wählen Sie im Dropdown-Menü Call-Check aus.
• Ablauf-Art: Wählen Sie im Dropdown-Menü Niemals aus, damit das Benutzerkonto dauerhaft gültig bleibt.

1.14 Die Konfigurationsschritte auf dem LANCOM Router sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.

2. Konfigurationsschritte auf dem GS-3xxx Switch:

2.1 Öffnen Sie das Webinterface des Gerätes und wechseln in das Menü VLAN Management → VLAN Configuration.

2.2 Passen Sie für den Switch-Port, an dem der Router angeschlossen ist, die folgenden Parameter an und klicken auf Apply:

• Mode: Wählen Sie den Tagging-Modus Hybrid aus.
• Port VLAN: Belassen Sie die Einstellung auf der VLAN-ID 1.
• Ingress Acceptance: Wählen Sie im Dropdownmenü Tagged and Untagged aus, da bei Verwendung des Tagging-Modus Hybrid sowohl getaggte als auch ungetaggte Pakete zugelassen werden.
• Egress Tagging: Wählen Sie Untag Port VLAN aus. Bei Verwendung des Tagging-Modus Hybrid wird ausgehend bei mit der Port VLAN-ID versehenen Paketen (hier die VLAN-ID 1) das VLAN-Tag entfernt.
• Allowed VLANs: Tragen Sie die VLANs 1 und 3 ein (im Switch muss dies als 1,3 eingegeben werden), da das Verwaltungs-Netzwerk INTRANET (verwendet auf dem Switch die VLAN-ID 1) als auch das GAST-NETZWERK (verwendet die VLAN-ID 3) übertragen werden sollen.

2.3 Wechseln Sie in das Menü Security → RADIUS → Configuration und klicken auf Add New Server.

2.4 Passen Sie in dem neuen Eintrag für den Server folgende Parameter an und klicken auf Apply:

• Hostname: Tragen Sie die IP-Adresse des Routers ein, auf dem in Schritt 1. der RADIUS-Server eingerichtet wurde.
• Key: Hinterlegen Sie das in Schritt 1.11 vergebene Client-Secret. Mit diesem Passwort authentifiziert sich der Switch am RADIUS-Server.

2.5 Wechseln Sie in das Menü Security → 802.1X → Configuration und passen die folgenden Parameter an:

• Mode: Aktivieren Sie die 802.1X-Authentifizierung, indem Sie den Schiebe-Regler auf on setzen.
• Guest VLAN Enabled: Aktivieren Sie das Guest VLAN. 
• Guest VLAN ID: Tragen Sie die VLAN ID für das Guest VLAN ein (in diesem Beispiel die VLAN-ID 3).

2.6 Passen Sie in der Port Configuration für die Ports, an denen Endgeräte authentifiziert werden sollen, die folgenden Parameter an und klicken auf Apply:

• Admin State: Wählen Sie im Dropdownmenü die Option Single 802.1X aus.
• Guest VLAN Enabled: Aktivieren Sie das Guest VLAN auf diesem Port. 

2.7 Klicken Sie auf der rechten oberen Ecke auf das rote Disketten-Symbol, um die Konfiguration als Start-Konfiguration zu speichern. 

2.8 Die Konfiguration des Switches ist damit abgeschlossen.