Hallo,
ich habe noch ein Verständnisproblem bezüglich der Ethernet Port Profile.
Ich habe meinen USW-24-PoE über die "Global Switch Settings" 802.1X Control aktiviert, das Radius Profil Default ausgewählt und ein Fallback VLAN angegeben.
Das Radius Profil ist entsprechend gepflegt und die Fiktionalität an allen Ports gegeben. Scheinbar war der Unifi Controller hier so klug und hat auf alle Switch-Ports die VLANs als Tagged und das Default-LAN als untagged zu verteilen. Somit haben auch die Access Points inkl. VLAN ohne Probleme out of the Box funktioniert.
Soweit so gut.
Jetzt gibt es aber noch die "Ethernet Port Profiles" hier könnte man jetzt für jeden Port ein entsprechendes natives VLAN definieren und die tagged VLANs beschränken.
Hier bin ich mir jetzt unsicher was "richtig" ist.
Ich sehe das Default VLAN als Management-VLAN und würde es eigentlich ungerne auf jedem Port untagged anliegen haben. Das war allerdings die Standardeinstellung.
Da ich 802.1X mit Radius und MAC-Authentifizierung nutze, muss ich alle im Radius-Profil genutzten tagged VLANs an jedem Port ausgeben an dem ich das Feature nutzen möchte. Richtig?
Aus meiner Sicht wäre es sinnvoll ansonsten auf allen Ports z.B. das Guest-VLAN als "Native VLAN / Network" anzugeben und nicht das "Default" (=Management-LAN). Wäre das eine gute Wahl aus sicherheitstechnischer Sicht?
Oder fange ich mir damit in der Unifi-Welt andere Probleme ein?
Aktuell sieht die Portverteilung so aus:
Ist das so in Ordnung oder überhaupt nicht zu empfehlen?
