Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Forum zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller

Moderator: Lancom-Systems Moderatoren

Antworten
peddy
Beiträge: 13
Registriert: 09 Jun 2017, 07:40

Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Beitrag von peddy »

Hallo zusammen,

ich würde gerne innerhalb einer SSID die Benutzer anhand einer Windows AD Gruppe (Microsoft Network Policy Server) einem VLAN zuweisen, hat jemand mit so einem Setup Erfahrungen und besten falls Setup Beispiele/Vorschläge? Aktuell funktioniert die Zuteilung zu den VLANs anhand unterschiedlicher SSIDs. Eine Benutzer Authentifizierung mittels NPS läuft ebenfalls.

Die einzige annährend brauchbare Info die ich gefunden habe ist diese hier (allerdings ist mir die Konfiguration auf dem WLC nicht wirklich schlüssig):
https://www.lancom-systems.de/docs/LCOS ... 12768.html

Danke und viele Grüße
Patrick
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Beitrag von ua »

Hi,

das Stichwort dazu wäre "AV-Pairs", damit kann der AP Informationen vom Radius-Server entgegenehmen:
Hier ein Beispiel von Cisco: https://www.cisco.com/en/US/products/sw ... 7e364.html
Dein Radius-Server muss entsprechend einen richtigen Wert für das VLAN zurückgeben, anhand dessen dieser die Zuordnung vornehmen kann.
Momentan ist mit jedoch nicht bekannt, ob dieses im LCOS möglich ist (Alfred, übernehmen Sie :mrgreen: ). Einige AV-Pairs kann der AP, so werden z.B. die maximalen Datenraten für Public-Spot-Nutzer festgelegt.

Viele Grüße

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Benutzeravatar
alf29
Moderator
Moderator
Beiträge: 6205
Registriert: 07 Nov 2004, 19:33
Wohnort: Aachen
Kontaktdaten:

Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Beitrag von alf29 »

Moin,

die Übergabe eines Client-spezifischen VLANs zusammen mit dem RADIUS Accept ist in RFC3580 festgelegt:

-> Tunnel-Type=VLAN (13)
-> Tunnel-Medium-Type=802 (6)
-> Tunnel-Private-Group-ID=VLAN-Id (in ASCII geschrieben, nicht binär!)

So in diesem Format akzeptiert ein LANCOM das auch. Wie man das dem jeweiligen RADIUS-Server entlockt, das muß man anhand der Doku des Servers klären.

Viele Grüße

Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
peddy
Beiträge: 13
Registriert: 09 Jun 2017, 07:40

Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Beitrag von peddy »

Hallo zusammen,

den Radiusserver habe ich schon fertig konfiguriert, mir ging es um die Konfiguration des WLC (4025+) / Network Profiles.

Danke
Patrick
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Zuweisung unterschiedlicher VLANs innerhalb einer SSID

Beitrag von ua »

Hi,

Alfred: Danke für die Angaben, das zusammen mit LEPS+ bringt mich auf viele neue Ideen.... :mrgreen: ... dazu dann noch die performanteren Tunnel ...

Patrick: Beim LC habe ich dises Funktion noch nicht eingesetzt, habe im Moment auch keine Zeit für ein LAB, aber so würde ich es angehen:

1) Im WLC den externen Radius-Server eintragen (Stichwort Weiterleitung, den WLC im Radius als NAS anlegen)
2) Logisches WLAN-Profil mit AAA per Radius erstellen (keinen Radius-Server auf den AP eintragen, sonst musst Du alle im Radius-Server als berechtigte Clients anlegen, ohne Eintrag arbeitet der WLC als Proxy)
3a) Profil mit VLAN am AP anlegen, dann müssen alle VLANs am AP anliegen
3b) Profil mit CAPWAP anlegen: Achtung, frisst mächtig Resourcen auf dem WLC. CAPWAP-Tunnel auf einem LAN-IF enden lassen, dort dann alle VLAN anliegen lassen. GGf. ein ungetagtes Netz für Diagnose-/Test-Zwecke bervorraten.
4) Dem Radius beibringen welcher Client welches Attribute erhalten soll. Die Attribute hat Alfred weiter oben schon aufgeführt.
5) Testen & Berichten

Viel Spaß und schöne Grüße aus OBC

Udo
... das Netz ist der Computer ...
n* LC und vieles mehr...
Antworten

Zurück zu „Alles zum LANCOM WLC-4100, WLC-4025+, WLC-4025 und WLC-4006 WLAN-Controller“