Wie werden die 802.1X-Authentifizierung mit dynamischer VLAN-Zuweisung auf TP-Link-Switches konfiguriert?

So werden die 802.1X-Authentifizierung mit dynamischer VLAN-Zuweisung auf TP-Link-Switches konfiguriert.


Teil 1: Radius-Server konfigurieren

Wir werden in diesem Beispiel den Freeradius-Server auf Ubuntu verwenden. Sie können einen beliebigen Radius-Server verwenden, dessen Konfiguration wir allerdings nicht unterstützen können.

1. Installation von Freeradius auf Ubuntu:

tplink@ubuntu-server:/$ sudo apt-get install freeradius


2. Clients für den Radius-Server konfigurieren.

Der der TP-Link-Switch ist hierbei ein Client.

tplink@ubuntu -server:/$ cd etc/freeradius/3.0/

tplink@ubuntu -server:/etc/freeradius/3.0$ sudo nano clients.conf

Bitte geben Sie die folgenden Zeilen ein:

 

172.31.72.115 ist die IP-Adresse des Switches.

 

Secret ist das Passwort, mit dem der Switch sich bei dem Radiusserver authentifiziert.

 

3. Benutzerkonten anlegen.

tplink@ubuntu -server:/etc/freeradius/3.0$ sudo nano users

Bitte geben Sie nun auch die folgenden Zeilen ein:

Für den User Sabrin haben wir ihren Tunneltyp auf VLAN geändert und ihr VLAN 100 zuordnet.

Für den User Mike behalten wir alles als Standard bei.


4. VLAN-Tunnel für PEAP aktivieren, da sonst die VLAN-Zuordnung nicht wirksam ist.

tplink@ubuntu -server:/etc/freeradius/3.0$ cd mods-available/
tplink@ ubuntu -server:/etc/freeradius/3.0/mods-available$ sudo nano eap

 

Änderen Sie “use_tunneled_reply” zu “yes” unter PEAP bitte.

 

5. Lassen Sie Port 1812 in den Firewall-Einstellungen zu:
tplink@ubuntu -server:/etc/freeradius/3.0$ sudo ufw allow 1812

 

6. Starten Sie den Freeradius-Server:
tplink@ubuntu -server:/etc/freeradius/3.0$ sudo service freeradius start

 

Teil 2: Switichkonfiguration

Netzwerktopologie
 

1. Melden Sie sich am Switch an (IP 172.31.72.115)

2. Fügen Sie den Freeradius-Server zur Server-Liste

Gehen Sie zu Security->AAA->Radius Config

3. Aktivieren Sie 802.1X

Gehen Sie zu Security->802.1X->Global Config

4. Aktiveren Sie für Port 4 die 802.1X Authentifikation

Security->802.1X->Port Config

Hinweis: Für die dynamische VLAN-Zuweisung muss hier “Port Based” als Methode gewählt werden.

 

5. Speichern Sie die Konfiguration

 

Teil 3: Konfigurieren Sie den Radius-Client

1. Laden Sie unseren 802.1X Client-Software und installieren Sie die Software. Klicken Sie hier für den Download. Sie können einen beliebigen 802.1X Client-Software verwenden, dessen Konfiguration wir allerdings nicht unterstützen können.

 

2. Starten Sie den 802.1X Client-Software,

 

3. Zu diesem Zeitpunkt, auch wenn der PC die Authentifikation bestanden hat, hat der PC Kein Netzzugriff, da die VLAN-Konfiguration nicht vollständig ist. Um die VLAN-Konfiguration abzuschließen, muss ein anderer PC an Port 5 angeschlossen werden. Sie können auch im Vorraus die Uplink-Ports(Trunks) mit dem entsprechenden VLAN(s) erstellen, die im foglenden Schritt erstellt werden

 

4. Melden Sie sich im Switch an. Unter L2 Features->VLAN->802.1Q VLAN, finden Sie, dass VLAN 100 automatisch erstellt wurde, aber nur Port 4 befindet sich in VLAN 100.

 

Damit der PC an Port 4 Internetzugriff erhält, muss Port 1 VLAN 100 hinzugefügt werden.

5. Sobald Port 1 VLAN 100 hinzugefügt wurde, wird der bereits authentifierte PC auf Port 4, Internetzugriff erhalten.