Ab LCOS-Version 9.10 haben Sie die Möglichkeit, über ein externes Gateway die Quell-VLAN eines Benutzers an den Public Spot zu übermitteln und zur VLAN-ID-abhängigen Authentisierung an einen externen RADIUS-Server weiterzuleiten.
- SOURCE_VLAN (optional, nur in Verbindung mit der Authentifizierung über einen RADIUS-Server)
- Die VLAN-ID des Netzes, aus dem sich ein Public Spot-Benutzer anzumelden versucht (Quell-VLAN). Der Public Spot leitet die Quell-VLAN in seinem Access-Request an den internen oder einen externen RADIUS-Server weiter. Dazu verwendet der Public Spot das RADIUS-Attribut 81 (Tunnel-Private-Group-Id) im Zusammenspiel mit den RADIUS-Attributen 64 (Tunnel-Type) und 65 (Tunnel-Medium-Type). Der RADIUS-Server kann auf Basis der Quell-VLAN dann z. B. entscheiden, ob er den Access-Request des Public Spots akzeptiert oder ablehnt.Hat der RADIUS-Server die Anfrage akzeptiert, überträgt er in seinem Access-Accept die o. g. RADIUS-Attribute zurück an den Public Spot. Anschließend hinterlegt der Public Spot das Quell-VLAN für den jeweiligen Client und dessen Stationsliste und gibt dem Benutzer den Zugriff auf das Public Spot-Netz frei.
-
Tipp: Nutzen Sie Quell-VLAN in Verbindung mit dem Setup-Parameter 2.24.47. Dadurch verhindern Sie, dass sich ein Public Spot-Benutzer in VLAN-getrennten Public Spot-Netzen/SSIDs nach einmaliger Authentisierung durch den RADIUS-Server an sämtlichen verwalteten Public Spot-Netzen/SSIDs anmelden kann.
-
Anmerkung: Die SOURCE_VLAN ist nicht mit der VLAN_ID zu verwechseln. Die VLAN_ID wird nicht an den RADIUS-Server übermittelt, sondern vom Public Spot dazu genutzt, einem Benutzer nach erfolgreicher Authentifizierung eine vom Gateway vorgegebene VLAN-ID zuzuweisen.
Zur internen Prüfung hinterlegt der Public Spot innerhalb seiner Stationstabelle die Quell-VLAN, sobald der externe RADIUS-Server den Authentication Request akzeptiert hat. Wechselt ein Benutzer anschließend in ein anderers Public Spot-Netzwerk/SSIDs, dessen VLAN-ID von der eingetragenen abweicht, setzt der Public Spot den Benutzer auf "nicht authentisiert" und zeigt ihm beim nächsten Aufruf wieder die Anmeldeseite.