Radius-Port-Profile Tagged/Untagged Verständnis-/Einstellungsfrage

    Hallo zusammen,

    eine Frage zur Ethernet Port Profile und vor allem Tagged/Untagged Traffic. Ich möchte an den meisten Switch-Ports ein Radius-Profil hinterlegen, dass eine MAC-Adressen basierte Zuordnung zu den unterschiedlichen VLANs vornimmt. Bei bekannten Geräten habe ich fixe IPs vergeben. Wenn sich solch ein Gerät dann irgendwo einstöpselt, soll es anhand der MAC-Adresse erkannt werden, seine fixe IP erhalten und folglich in sein entsprechendes VLAN verschoben werden. Fallback soll das Gäste-VLAN sein, wenn es ein unbekanntes Gerät ist. An manchen Ports soll aber eine fixe Zuordnung zu einem bestimmten VLAN erfolgen (auch für bekannte Geräte). Jetzt bin ich unschlüssig, welche Einstellungen ich vornehmen muss, insbesondere was das "Native VLAN" for untagged traffic angeht. Ich habe unten eine Grafik angehängt mit den drei Stellen an denen man dazu was einstellen kann (soweit ich weiß).

    Für die Radius gesteuerten Ports würde ich bei den entsprechen Ports einfach das Radius-Profil auswählen, aber defaultmäßig ist dort als Native VLAN das Haupt-Management VLAN ausgewählt (siehe mittleres Bild unter Pfeil 1), in dem die UDM-SE, Switch, APs etc. liegen. Sollte hier dann nicht eher das Gäste-VLAN eingestellt werden...? Und muss bei Pfeil 2 dann Tagged-Traffic erlaubt bleiben..?

    Für die fix eingestellten Ports habe ich dort dann die Einstellung wie in der Grafik rechts gewählt: Unter "Native" (Pfeil 3) das gewünschte fixierte VLAN und Tagged Traffic (Pfeil 4) vollständig blockiert, damit wirklich nur über das gewünschte VLAN Verbindungen aufgebaut werden können. Stimmt das?

    So ganz habe ich glaube ich einfach noch nicht den Unterschied zwischen Tagged und Untagged Traffic verstanden: Bedeutet Tagged, dass ich in den Netzwerkeinstellungen vom z.B. Laptop eine feste IP (und insofern auch ein spezielles Subnet) vorgebe und dann der Traffic von diesem Laptop als Tagged in das entsprechende VLAN verschoben wird? Untagged wäre dann also nur der Traffic von Geräten, die eine automatische IP-Zuweisung eingestellt haben. Und auch nur solche Geräte, die nicht bekannt sind, also nicht anhand ihrer MAC-Adresse in ein bestimmtes VLAN verschoben werden, oder..?

    Wäre für Input und Hilfe sehr dankbar! Viele Grüße, Sebastian

    Ja Du hast das tagged / untagged Thema noch nicht verstanden. Ist aber auch etwas schwierig nachvollziehbar zu Beginn.

    Das mit den festen Ports passt so. Untagged das VLAN was da benutzt werden soll und Block All bei den tagged Netzen. Warum das Ganze? Ein normales Netzwerkgerät wie ein PC oder Notebook, irgendwelche Drucker oder IOT Geräte benutzen nur ungetaggte Pakete. Rein theoretisch wäre es denen egal ob dort auch noch getaggte Pakete rumsausen oder nicht, weil die eigentlich ignoriert werden. Allerdings gibt es einige Geräte in denen entweder billige Chips oder eine billige Softwareimplementierung werkelt und sich solche Geräte dann gerne mal aus dem Tritt bringen lassen, falls da getaggte Paket auftauchen.

    Bei dem Radiusprofil stört das Management VLAN als natives Netz nicht. Hier war nur wichtig, dass im Profil alle VLANs vorhanden sind, die möglicherweise irgendeinem Geräte zugeordnet werden müssen. Zum tragen kommt die Einstellung des Profiles ja ohnehin nicht wirklich. Entweder ist die MAC des Gerätes bekannt und der Port wird dann automatisch so eingestellt, dass das Native VLAN eben das VLAN ist, welches der MAC zugeordnet ist oder die MAC ist unbekannt, dann wird das Fallbacknetz nativ auf den Port geschaltet. Das gilt für verkabelte Geräte. Bei WLAN gab es ja kein Fallbacknetz, falls das nicht geändert wurde und unbekannte MACs hängen dann im nichts, weil nicht Authorisiert.

    Das Verhalten hängt im Prinzip von der Konfiguration des Radiusservers ab und ist zumindest mit dem integrierten Unfif Radius nicht veränderbar. Bei Radius Abfragen von einem Switch, gibt es in der Antwort immer ein authorisiert. Ist die MAC bekannt kommt das zugewiesene VLAN mit, ist die unbekannt kommt die VLAN ID des Fallback Netzes mit. Bei WLAN gibts ein authorisiert mit der VLAN ID wenn die MAC bekannt ist, ansonsten gibts ein "Du kommst hier nicht rein". Mit einem vollwertig konfigurierbaren Radius könnte man im Prinzip die Antwort für unbekannte MACs beim WLAN auch ändern in Richtung Fallback Netz.

    Deine Konfig sollte also im Prinzip funktionieren. Fallback ging zumindest früher oft erst nach einem Neustart des Switches. Und gerne gemachter Fehler ist das Format der MAC Adresse.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login