Hallo zusammen,
ich würde gerne innerhalb einer SSID die Benutzer anhand einer Windows AD Gruppe (Microsoft Network Policy Server) einem VLAN zuweisen, hat jemand mit so einem Setup Erfahrungen und besten falls Setup Beispiele/Vorschläge? Aktuell funktioniert die Zuteilung zu den VLANs anhand unterschiedlicher SSIDs. Eine Benutzer Authentifizierung mittels NPS läuft ebenfalls.
Die einzige annährend brauchbare Info die ich gefunden habe ist diese hier (allerdings ist mir die Konfiguration auf dem WLC nicht wirklich schlüssig):
https://www.lancom-systems.de/docs/LCOS ... 12768.html
Danke und viele Grüße
Patrick
Zuweisung unterschiedlicher VLANs innerhalb einer SSID
Moderator: Lancom-Systems Moderatoren
Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID
Hi,
das Stichwort dazu wäre "AV-Pairs", damit kann der AP Informationen vom Radius-Server entgegenehmen:
Hier ein Beispiel von Cisco: https://www.cisco.com/en/US/products/sw ... 7e364.html
Dein Radius-Server muss entsprechend einen richtigen Wert für das VLAN zurückgeben, anhand dessen dieser die Zuordnung vornehmen kann.
Momentan ist mit jedoch nicht bekannt, ob dieses im LCOS möglich ist (Alfred, übernehmen Sie
). Einige AV-Pairs kann der AP, so werden z.B. die maximalen Datenraten für Public-Spot-Nutzer festgelegt.
Viele Grüße
Udo
das Stichwort dazu wäre "AV-Pairs", damit kann der AP Informationen vom Radius-Server entgegenehmen:
Hier ein Beispiel von Cisco: https://www.cisco.com/en/US/products/sw ... 7e364.html
Dein Radius-Server muss entsprechend einen richtigen Wert für das VLAN zurückgeben, anhand dessen dieser die Zuordnung vornehmen kann.
Momentan ist mit jedoch nicht bekannt, ob dieses im LCOS möglich ist (Alfred, übernehmen Sie
). Einige AV-Pairs kann der AP, so werden z.B. die maximalen Datenraten für Public-Spot-Nutzer festgelegt.Viele Grüße
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID
Moin,
die Übergabe eines Client-spezifischen VLANs zusammen mit dem RADIUS Accept ist in RFC3580 festgelegt:
-> Tunnel-Type=VLAN (13)
-> Tunnel-Medium-Type=802 (6)
-> Tunnel-Private-Group-ID=VLAN-Id (in ASCII geschrieben, nicht binär!)
So in diesem Format akzeptiert ein LANCOM das auch. Wie man das dem jeweiligen RADIUS-Server entlockt, das muß man anhand der Doku des Servers klären.
Viele Grüße
Alfred
die Übergabe eines Client-spezifischen VLANs zusammen mit dem RADIUS Accept ist in RFC3580 festgelegt:
-> Tunnel-Type=VLAN (13)
-> Tunnel-Medium-Type=802 (6)
-> Tunnel-Private-Group-ID=VLAN-Id (in ASCII geschrieben, nicht binär!)
So in diesem Format akzeptiert ein LANCOM das auch. Wie man das dem jeweiligen RADIUS-Server entlockt, das muß man anhand der Doku des Servers klären.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID
Hallo zusammen,
den Radiusserver habe ich schon fertig konfiguriert, mir ging es um die Konfiguration des WLC (4025+) / Network Profiles.
Danke
Patrick
den Radiusserver habe ich schon fertig konfiguriert, mir ging es um die Konfiguration des WLC (4025+) / Network Profiles.
Danke
Patrick
Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID
Hi,
Alfred: Danke für die Angaben, das zusammen mit LEPS+ bringt mich auf viele neue Ideen.... ... dazu dann noch die performanteren Tunnel ...
Patrick: Beim LC habe ich dises Funktion noch nicht eingesetzt, habe im Moment auch keine Zeit für ein LAB, aber so würde ich es angehen:
1) Im WLC den externen Radius-Server eintragen (Stichwort Weiterleitung, den WLC im Radius als NAS anlegen)
2) Logisches WLAN-Profil mit AAA per Radius erstellen (keinen Radius-Server auf den AP eintragen, sonst musst Du alle im Radius-Server als berechtigte Clients anlegen, ohne Eintrag arbeitet der WLC als Proxy)
3a) Profil mit VLAN am AP anlegen, dann müssen alle VLANs am AP anliegen
3b) Profil mit CAPWAP anlegen: Achtung, frisst mächtig Resourcen auf dem WLC. CAPWAP-Tunnel auf einem LAN-IF enden lassen, dort dann alle VLAN anliegen lassen. GGf. ein ungetagtes Netz für Diagnose-/Test-Zwecke bervorraten.
4) Dem Radius beibringen welcher Client welches Attribute erhalten soll. Die Attribute hat Alfred weiter oben schon aufgeführt.
5) Testen & Berichten
Viel Spaß und schöne Grüße aus OBC
Udo
Alfred: Danke für die Angaben, das zusammen mit LEPS+ bringt mich auf viele neue Ideen....
... dazu dann noch die performanteren Tunnel ...Patrick: Beim LC habe ich dises Funktion noch nicht eingesetzt, habe im Moment auch keine Zeit für ein LAB, aber so würde ich es angehen:
1) Im WLC den externen Radius-Server eintragen (Stichwort Weiterleitung, den WLC im Radius als NAS anlegen)
2) Logisches WLAN-Profil mit AAA per Radius erstellen (keinen Radius-Server auf den AP eintragen, sonst musst Du alle im Radius-Server als berechtigte Clients anlegen, ohne Eintrag arbeitet der WLC als Proxy)
3a) Profil mit VLAN am AP anlegen, dann müssen alle VLANs am AP anliegen
3b) Profil mit CAPWAP anlegen: Achtung, frisst mächtig Resourcen auf dem WLC. CAPWAP-Tunnel auf einem LAN-IF enden lassen, dort dann alle VLAN anliegen lassen. GGf. ein ungetagtes Netz für Diagnose-/Test-Zwecke bervorraten.
4) Dem Radius beibringen welcher Client welches Attribute erhalten soll. Die Attribute hat Alfred weiter oben schon aufgeführt.
5) Testen & Berichten
Viel Spaß und schöne Grüße aus OBC
Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...