Quelle anzeigen

Beschreibung:

In einigen Szenarien ist es erforderlich die Kommunikation im Netzwerk nur für WLAN-Teilnehmer zu erlauben, die eine IP-Adresse von einem lokalen DHCP-Server beziehen. WLAN-Teilnehmer mit einer statischen IP-Adresse sollen geblockt werden. Dies lässt sich über den Protokollfilter auf Access Points und WLAN-Routern realisieren.

In diesem Artikel wird beschrieben, wie durch Verwendung des Protokollfilters im WLAN nur Netzwerk-Teilnehmer zugelassen werden, die per DHCP eine IP-Adresse beziehen ("Mandatory DHCP").

In einem WLAN-Controller Szenario kann die in diesem Artikel vorgenommene Konfiguration des Protokollfilters über ein Teil-Skript auf die verwalteten Access Points ausgerollt werden. Die Vorgehensweise ist in dem Knowledge Base Artikel Zentrales Skript-Management bei LANCOM WLAN-Controllern beschrieben. Verwenden Sie dazu die folgende Skript-Datei.

Voraussetzungen:

LCOS ab Version 9.24 (download aktuelle Version)
LANtools ab Version 9.24 (download aktuelle Version)
Access Point oder WLAN-Router
Der DHCP-Server muss sich im lokalen Netzwerk befinden
Bereits eingerichtetes und funktionsfähiges WLAN

Vorgehensweise:

1. Öffnen Sie die Konfiguration des Gerätes in LANconfig und wechseln in das Menü Schnittstellen → LAN → LAN-Bridge.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 1.png

2. Wechseln Sie in das Menü Protokolle.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 2.png

3. Erstellen Sie einen neuen Eintrag, um ARP (Address Resolution Protocol) zu erlauben und passen die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW_ARP).
Protokoll: Tragen Sie den Wert 0806 ein. Dieser steht für ARP.
Per DHCP zugewiesene IP: Stellen Sie sicher, dass Irrelevant ausgewählt ist.
Interface-Liste: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden soll.
Aktion: Wählen Sie Pakete übertragen aus.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 3.png

4. Erstellen Sie einen neuen Eintrag, um DHCP (Dynamic Host Configuration Protocol) zu erlauben und passen die folgenden Parameter an:

Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW_DHCP).
Protokoll: Tragen Sie den Wert 0800 ein. Dieser steht für IPv4.
Untertyp: Tragen Sie den Wert 17 ein. Dieser steht für UDP.
Anfangs-Port: Tragen Sie den Port 67 ein.
End-Port: Tragen Sie den Port 68 ein.
Per DHCP zugewiesene IP: Stellen Sie sicher, dass Irrelevant ausgewählt ist.
Interface-Liste: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden soll.
Aktion: Wählen Sie Pakete übertragen aus.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 4.png

5. Erstellen Sie einen neuen Eintrag, um Pakete von WLAN-Teilnehmern zu übertragen, die ihre IP-Adresse von einem DHCP-Server bezogen haben. Passen Sie dazu die folgenden Protokolle an:

Name: Vergeben Sie einen aussagekräftigen Namen (in diesem Beispiel ALLOW_DHCP_ONLY).
Protokoll: Tragen Sie den Wert 0800 ein. Dieser steht für IPv4.
Per DHCP zugewiesene IP: Wählen Sie im Dropdownmenü Ja aus. Dadurch wird geprüft, ob der WLAN-Teilnehmer eine IP-Adresse per DHCP bezogen hat (DHCP-Tracking). Ist dies der Fall, wird das Paket übertragen.
Interface-Liste: Wählen Sie die WLAN-Schnittstellen aus, auf denen der Protokollfilter verwendet werden soll.
Aktion: Wählen Sie Pakete übertragen aus.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 5.png

6. Die Tabelle Protokolle muss anschließend wie folgt aussehen.

Eine Deny-Regel, welche den Datenverkehr für alle WLAN-Teilnehmer mit statischer IP-Adresse unterbindet, ist nicht erforderlich, da es für die WLAN-Schnittstellen Regeln gibt, welche aber nicht zutreffen. In diesem Fall greift die Standard-Regel mit der Aktion Pakete verwerfen. Diese Regel ist nicht in der Konfiguration sichtbar.

LANCOM Support Knowledge Base > Nur WLAN-Teilnehmer mit DHCP-Adressbezug erlauben ("Mandatory DHCP") > 6.png

7. Die Einrichtung des Protokollfilters ist damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.