In diesem Artikel gehe ich auf das Thema VLANs ein und möchte Ihnen die Vorzüge von virtuellen Netzen vorstellen und beschreiben, wie Sie unter Univention Corporate Server (UCS) VLANs konfigurieren. Anschließend erkläre ich Ihnen, wie Sie mit unserer RADIUS-App die Sicherheit für Ihre UCS-Umgebung weiter erhöhen und Endgeräte der Benutzer dynamisch über einen RADIUS-Server zu bestimmten VLANs zuordnen.
Inhaltsverzeichnis
Was sind überhaupt VLANs?
Virtual Local Area Networks, kurz VLANs, unterteilen bestehende physische Netzwerke in mehrere logische Netzwerke. Sie dienen dazu, den Datenverkehr der Benutzer auf Netzwerkebene zu trennen. Jedes VLAN, jeweils ausgestattet mit einer eigenen VLAN-ID, bildet dabei eine eigene Broadcast-Domain, also einen eigenen logischen Verbund von Netzwerkgeräten im LAN (Local Area Network). Daher können Geräte in unterschiedlichen VLANs nur über einen Router miteinander kommunizieren, der auch an beide virtuelle Netze angeschlossen ist.
VLANs kommen oft in großen Umgebungen zum Einsatz, etwa in Unternehmen oder auf dem Campus von Schulen, Hochschulen und Universitäten. So stellen Admins in Firmen-Netzwerken beispielsweise eigene Netze für Mitarbeiter*innen und Gäste bereit – ohne die Verkabelung zu verändern oder zusätzliche WLAN-Router einrichten zu müssen. Auch die Unterteilung von Firmennetzwerken in VLANs für die verschiedenen Abteilungen wie Marketing, Vertrieb usw. ist denkbar.
Eine Unterteilung von Netzwerken kann aus mehreren Gründen sinnvoll sein. Abgekapselte Subnetze erhöhen nicht nur die Sicherheit, sondern beeinflussen auch die Performance. Zur besseren Verwaltung der Bandbreite können VLANs nach außen erreichbare Serverdienste wie z. B. Webserver von anderen Diensten im selben Netz abgrenzen. Auch Dienste für Kommunikation wie etwa VoIP (Voice over IP) können über dedizierte VLANs erreichbar sein, die dann eine höhere Priorität im selben physikalischen Netz haben.
VLAN unter Univention Corporate Server (UCS) konfigurieren
Virtuelle Netzwerke für Ihre UCS-Domäne konfigurieren Sie über die Univention Management Console (UMC), im Modul System / Netzwerk-Einstellungen
. Nach einem Klick auf Hinzufügen
wählen Sie unter Netzwerkgerätetyp
den Eintrag Virtuelles LAN
aus. Als Nächstes entscheiden Sie sich für eine Netzwerk-Schnittstelle und geben diese als Übergeordnetes Netzwerkgerät
an.
Tragen Sie hier eine VLAN-ID ein; dabei handelt es sich um einen eindeutigen Bezeichner für das virtuelle Netz. Gültige Werte liegen zwischen 1
und 4095
. Klicken Sie danach auf die Schaltfläche Weiter. Jetzt weisen Sie der VLAN-Schnittstelle eine IP-Adresse zu. Achten Sie darauf, dass diese zum zugeordneten VLAN-Adressbereich passt.
UCS Handbuch
Grundlegende Informationen zur Konfiguration von IPv4- und IPv6-Adressen finden Sie in UCS Handbuch.
Um Benutzer und Gruppen bestimmten VLANs zuzuweisen, können Sie außerdem einen RADIUS-Server einrichten. Dieser übernimmt dann die Authentifizierung der Benutzer und gibt als Antwort eine VLAN-ID zurück. In den nächsten beiden Abschnitten erkläre ich kurz, wie das unter UCS gelingt.
RADIUS: Authentifizierungsverfahren für Kabel- und Funknetze
Mit RADIUS (Remote Authentication Dial-In User Service) konfigurieren Sie eine Zugangskontrolle zu den Netzwerken – nicht nur zu WLAN-Netzwerken, sondern auch zu kabelgebundenen Netzwerken.
RADIUS ist als Client-Server-Architektur umgesetzt. Der RADIUS-Server prüft zunächst, ob jemand zugangsberechtigt ist und übernimmt hierbei die Authentisierung und Autorisierung für Benutzer und Gruppen. Die Clients des RADIUS-Servers sind WLAN-Zugangspunkte, Netzwerk-Switches usw. Die Endgeräte der Benutzer (Laptops, Tablets, Smartphones usw.) sprechen nicht direkt mit dem RADIUS-Server.
Mit RADIUS können Sie also sicherstellten, dass nur berechtigte Benutzer auf ein Netzwerk zugreifen können. Weitere Informationen dazu finden Sie in unseren Blogartikel How-To: Netzwerke mit RADIUS absichern.
RADIUS unter UCS einrichten
Im Univention App Center stellen wir den Open-Source-RADIUS-Server FreeRADIUS als App für UCS zur Verfügung. Der Dienst ist so konfiguriert, dass er sich mit dem LDAP-Verzeichnisdienst von UCS verbindet. Nach der Installation können Sie Benutzern und Gruppen über den Menüpunkt RADIUS den Zugriff erlauben (Checkbox Netzwerkzugriff erlaubt
).
Die FreeRADIUS-App stellt außerdem Sperr- und Freigabelisten zur Verfügung, über die Sie gezielt Benutzeraccounts, Gruppen und Endgerät für diesen Dienst freischalten können – bequem per Mausklick über das UCS-Managementsystem.
In der Voreinstellung authentisieren sich Benutzer über ihr Domänen-Passwort. Alternativ ist es möglich, durch Setzen der UCR-Variable radius/use-service-specific-password
ein zusätzliches Passwort für RADIUS einzurichten. Damit Anwender*innen dieses Kennwort über unseren Self Service (neu) setzen können, muss die UCR-Variable umc/self-service/service-specific-passwords/backend/enabled
auf true
gesetzt werden.
Tipp: Sie können den Netzwerkzugriff auf bestimmte Geräte beschränken und einen Filter für die MAC-Adresse einrichten. Lesen Sie dazu das Kapitel MAC-Adressfilter in unserem Handbuch.
RADIUS und VLAN-IDs
Wenn Sie UCS so einrichten wollen, dass das System im RADIUS-Authentifizierungs-Prozess eine VLAN-ID zurückgibt, weisen Sie einer Gruppe einer bestimmten VLAN-ID zu.
Sie können außerdem eine Standard-VLAN-ID konfigurieren, die als Ersatz-ID zurückgegeben wird, wenn ein Benutzeraccount nicht Mitglied einer Gruppe mit VLAN-ID ist. Die Standard-VLAN-ID stellen Sie über die UCR-Variable freeradius/vlan-id
ein.
Fazit
VLANs, RADIUS, VLAN-IDs und mehr können Sie komfortabel über die Univention Management Console konfigurieren und damit die Sicherheit durch erweiterte Zugangskontrollen erhöhen.
Haben Sie Fragen oder eine andere Rückmeldung? Dann hinterlassen Sie gerne einen Kommentar unter diesem Artikel.