tp-link Omada SDN Controller-Benutzerhandbuch

Starten Sie Ihren Omada Controller, wählen Sie eine Site aus der Dropdown-Liste „Organisation“ oben rechts aus und gehen Sie zu Einstellungen > Profiles > PPSK.
Klicken Sie auf +Neues PPSK Pro erstellenfile. Geben Sie einen Namen für den neuen Profi einfile.

Fügen Sie neue Einträge im PPSK Pro hinzufile oder Einträge aus einem importieren file.
Übernehmen Sie die Änderungen, um den Profi zu speichernfile.

2.1.2 Erstellen Sie ein neues drahtloses Netzwerk mit PPSK ohne RADIUS

Gehen Sie zu Einstellungen > Drahtlose Netzwerke. Klicken Sie auf +Neues drahtloses Netzwerk erstellen.

Geben Sie die SSID ein und wählen Sie PPSK ohne RADIUS für Sicherheit. Wählen Sie PPSK Profile erstellt.
Konfigurieren Sie erweiterte Einstellungen entsprechend Ihren Anforderungen und klicken Sie auf Übernehmen.

2.2 PPSK mit RADIUS konfigurieren

Für PPSK mit RADIUS müssen Sie Netzwerkzugriffsserver im RADIUS-Server erstellen, damit EAPs Authentifizierungsanfragen senden können.

Häufig gestellte Fragen

F: Was soll ich tun, wenn die EAPs die SSID nicht mit PPSK übertragen?

A: Stellen Sie sicher, dass die aktuelle Firmware-Version Ihrer EAPs PPSK mit/ohne RADIUS unterstützt. Wenn nicht, aktualisieren Sie die Firmware, um die Übertragung der SSID zu ermöglichen.

Überview

Ein privater Pre-Shared Key (kurz PPSK) ist eine Sicherheitslösung, mit der einzelne Client-Geräte ohne großen Aufwand verwaltet werden können. Wenn PPSK konfiguriert ist, wird jedem Benutzer eine eindeutige Passphrase zur Authentifizierung derselben SSID zugewiesen. Außerdem ermöglicht es die Bindung einer Passphrase und der MAC-Adresse(n) des Geräts, sodass nur die angegebenen Geräte mithilfe der Passphrase authentifiziert werden können. Sie können PPSK-Listen erstellen und diese auf mehrere drahtlose Netzwerke anwenden, sodass Sie nicht immer wieder dieselben Informationen einrichten müssen. Der Omada SDN Controller unterstützt zwei Arten von PPSK, PPSK ohne RADIUS und PPSK mit RADIUS. In diesem Konfigurationsleitfaden erfahren Sie, wie Sie PPSK ohne RADIUS und PPSK mit RADIUS über den Omada SDN Controller konfigurieren.

Bitte beachten Sie vor der Konfiguration Folgendes:

Das 6-GHz-Band unterstützt PPSK mit/ohne RADIUS aus Sicherheitsgründen nicht. Bitte deaktivieren Sie 6 GHz, um die PPSK-Funktion zu konfigurieren.
Bitte stellen Sie sicher, dass die aktuelle Firmware-Version Ihrer EAPs PPSK mit/ohne RADIUS unterstützt. Andernfalls sendet der EAP die SSID nicht mit PPSK mit/ohne RADIUS, was dazu führt, dass Benutzer die SSID auf beiden Frequenzbändern nicht erkennen können.

Konfigurieren Sie PPSK über den Omada SDN Controller

Konfigurieren Sie PPSK ohne RADIUS

Für PPSK ohne RADIUS können Sie einfach PPSK pro erstellenfiles auf dem Omada SDN Controller.

Die Konfiguration ist beendetview lautet wie folgt:

Erstellen Sie ein PPSK Profile auf dem Omada Controller.
Erstellen Sie ein neues drahtloses Netzwerk mit PPSK ohne RADIUS.

Erstellen Sie ein PPSK Profile auf dem Omada Controller

Starten Sie Ihren Omada Controller, wählen Sie eine Site aus der Dropdown-Liste „Organisation“ oben rechts aus und gehen Sie zu Einstellungen > Profiles > PPSK.

Klicken Sie auf +Neues PPSK Pro erstellenfile. Geben Sie einen Namen für den neuen Profi einfile.
Klicken Sie auf „Hinzufügen“, um neue Einträge im PPSK-Profil hinzuzufügen, oder klicken Sie auf „Importieren“, um Einträge in Stapeln aus einem zu importieren file.

Um neue Einträge manuell hinzuzufügen, gehen Sie folgendermaßen vor:
1. Klicken Sie auf „Hinzufügen“ und wählen Sie „Manuell“ für die PPSK-Generierung.
2. Geben Sie einen Namen zur Identifizierung des erstellten PPSK-Eintrags und eine Passphrase ein, die der Client zur Authentifizierung verwendet.
  Sie können den PPSK an eine bestimmte MAC-Adresse binden, sodass nur der Client dieser MAC-Adresse die Passphrase zur Authentifizierung verwenden kann. Sie können auch die VLAN-ID festlegen, sodass der Client, der die Passphrase zur Authentifizierung verwendet, dem angegebenen VLAN zugewiesen wird. Die Einstellungen für MAC-Adresse und VLAN-ID sind optional.
  Notiz:
  Um die VLAN-Zuweisung zu aktivieren, sollten Sie zunächst VLAN-Schnittstellen erstellen (siehe 2.3 Schnittstellen für VLAN-Zuweisungen erstellen (optional)).
3. Um weitere Einträge hinzuzufügen, klicken Sie auf Neues PPSK hinzufügen und legen Sie die Parameter entsprechend fest.
4. Klicken Sie auf Übernehmen und die erstellten Einträge werden im Pro angezeigtfile.

Mit der automatischen PPSK-Generierung können Sie problemlos mehrere PPSK-Einträge gleichzeitig erstellen. Um neue Einträge automatisch hinzuzufügen, gehen Sie folgendermaßen vor:
1. Klicken Sie auf „Hinzufügen“ und wählen Sie „Automatisch“ für die PPSK-Generierung.
2. Geben Sie die Anzahl der PPSK an, die Sie erstellen möchten, das Präfix des PPSK-Namens und die Länge der Passphrase. Ordnen Sie die Clients, die diese PPSKs verwenden, entsprechend Ihren Anforderungen dem jeweiligen VLAN zu.
3. Klicken Sie auf „Übernehmen“ und die spezifische Anzahl von PPSK-Einträgen mit zufälligen Passphrasen wird automatisch erstellt und im Pro angezeigtfile.
Um Einträge stapelweise aus einem zu importieren fileführen Sie die folgenden Schritte aus:
1. Klicken Sie auf „Importieren“.
2. Klicken Sie auf „Vorlage“, um die PPSK-Eintragsvorlage herunterzuladen. Füllen Sie die Vorlage entsprechend Ihren Anforderungen mit den PPSK-Informationen aus und speichern Sie die Tabelle.
3. Klicken Sie auf dem Controller auf Durchsuchen und wählen Sie die PPSK-Einträge aus file erstellt in Schritt 2). Klicken Sie auf „Importieren“ und die in der Tabelle angegebenen ppsk-Einträge werden erstellt und im Pro angezeigtfile.
4. Auf dem PPSK Profile Klicken Sie auf der Seite „Übernehmen“ auf „Übernehmen“, um Ihre Konfiguration zu speichern.

Erstellen Sie ein neues drahtloses Netzwerk mit PPSK ohne RADIUS

Gehen Sie zu Einstellungen > Drahtlose Netzwerke. Klicken Sie auf +Neues drahtloses Netzwerk erstellen

Geben Sie die SSID ein und wählen Sie PPSK ohne RADIUS für Sicherheit. Wählen Sie PPSK Profile erstellt. Weitere erweiterte Einstellungen können entsprechend Ihren eigenen Anforderungen konfiguriert werden.
Klicken Sie auf Übernehmen. Unter der WLAN-Gruppe wurde die SSID „PPSK ohne RADIUS“ erstellt.

Konfigurieren Sie PPSK mit RADIUS

Für PPSK mit RADIUS sind hier einige Punkte zu beachten.

EAP fungiert als Network Access Server (NAS). Daher müssen Sie zunächst Netzwerkzugriffsserver (oder RADIUS-Clients) auf dem RADIUS-Server erstellen, damit die EAPs Authentifizierungsanfragen senden können.
Wenn sich ein Benutzer mit der SSID verbindet, übermittelt der EAP den Benutzernamen (die MAC-Adresse des Benutzers) und das Benutzerkennwort zur Authentifizierung an den RADIUS-Server.

Die Konfiguration ist beendetview ist wie folgt

Richten Sie einen RADIUS-Server ein
Erstellen Sie einen RADIUS Profile.
Erstellen Sie ein neues drahtloses Netzwerk mit PPSK mit RADIUS.

Richten Sie einen RADIUS-Server ein

Führen Sie einen RADIUS-Server aus. Hier nutzen wir als Beispiel den FreeRADIUS®-Server auf einem Linux-Serverample.
Bearbeiten Sie die „clients.conf“ file. Gehen Sie davon aus, dass sich die EAPs im Netzwerk 192.168.0.0/24 befinden und das gemeinsame Geheimnis, das für die Kommunikation zwischen den EAPs und dem RADIUS-Server verwendet wird, „tplink“ ist.
Bearbeiten Sie die „Benutzer“ file wie folgt.

Wenn der Benutzer mit der MAC-Adresse „00:66:19:8a:06:37“ versucht, eine Verbindung zur SSID herzustellen, muss er zur Authentifizierung „123_tplink“ als Passwort angeben. Wenn der Benutzer mit der MAC-Adresse „d0:a6:37:83:da:99“ das Passwort „456_tplink“ verwendet, wird er authentifiziert und mit dem Netzwerk von VLAN 10 verbunden. Wenn der Benutzer mit einer unbekannten MAC-Adresse das übermittelt Standardpasswort „789_tplink“, es wird mit dem Netzwerk von VLAN 20 verbunden.

Notiz:

Die MAC-Adresse kann verschiedene Formate haben und das NAS sendet die MAC-Adresse in dem spezifischen Format, das im Controller eingestellt ist. Hier verwenden wir das Standardformat „aa:bb:cc:dd:ee:ff“.
Das Tunnelpasswort sollte zwischen 8 und 63 Zeichen lang sein

Erstellen Sie einen RADIUS Profile

Starten Sie Ihren Omada Controller, wählen Sie eine Site aus der Dropdown-Liste „Organisation“ oben rechts aus und gehen Sie zu Einstellungen > Profiles > RADIUS Profile. Es gibt bereits einen integrierten RADIUS Profile (nur für Software-/Hardware-Controller). Um PPSK zu konfigurieren, müssen Sie ein neues RADIUS Pro erstellenfile
Klicken Sie auf +Neues RADIUS Pro erstellenfile. Geben Sie einen Namen für den neuen Profi einfile. Aktivieren Sie bei Bedarf die Option „VLAN-Zuweisung für drahtloses Netzwerk aktivieren“.
Notiz:
Die VLAN-Zuweisungsfunktion ermöglicht es dem RADIUS-Server, einen drahtlosen Benutzer basierend auf den vom Benutzer bereitgestellten Anmeldeinformationen einem bestimmten VLAN zuzuweisen. Um die Funktion nutzen zu können, sollten Sie zunächst VLAN-Schnittstellen erstellen (siehe 2.3 Schnittstellen für VLAN-Zuweisungen erstellen (optional)), und die Benutzer-zu-VLAN-Zuordnungen müssen bereits in der RADIUS-Serverdatenbank gespeichert sein.
Geben Sie die IP-Adresse des RADIUS-Authentifizierungsservers, den UDP-Zielport auf dem Authentifizierungsserver für Authentifizierungsanfragen und das Passwort (gemeinsames Geheimnis) ein, das zur Validierung der Kommunikation zwischen Netzwerkgeräten (EAPs) und dem RADIUS-Authentifizierungsserver verwendet wird
Speichern Sie Ihre Einstellungen und ein neues RADIUS profile wird erstellt.

Erstellen Sie ein neues drahtloses Netzwerk mit PPSK mit RADIUS

Gehen Sie zu Einstellungen > Drahtlose Netzwerke. Klicken Sie auf +Neues drahtloses Netzwerk erstellen.
Geben Sie die SSID ein und wählen Sie PPSK mit RADIUS für Sicherheit. Wählen Sie den RADIUS profile erstellt und der Authentifizierungstyp. Geben Sie die NAS-ID entsprechend Ihren eigenen Anforderungen ein. Dieses Feld ist optional. Wählen Sie das MAC-Adressformat. Das Standardformat ist „aa:bb:cc:dd:ee:ff“. Weitere erweiterte Einstellungen können entsprechend Ihren eigenen Anforderungen konfiguriert werden.
- Authentifizierungstyp „Generischer Radius mit gebundenem MAC“: Dieser Typ erfordert die Angabe von Geräte-MAC-Adressen.
- EKMS: Für die Verbindung zum ElevenOS-Server wird der Authentifizierungstyp EKMS (Eleven Key Matching Service) verwendet.
- Generic Radius mit ungebundenem MAC: Bei diesem Typ müssen keine Geräte-MAC-Adressen angegeben werden.
- Hinweis: Alle Authentifizierungstypen sind auf dem Omada Controller (Version 5.14.20 oder höher) und dem Omada Pro Controller verfügbar.

Klicken Sie auf „Übernehmen“, um Ihre Konfiguration zu speichern. Unter der WLAN-Gruppe wurde die SSID „PPSK mit RADIUS“ erstellt.

Notiz:

Der Controller konvertiert die MAC-Adresse in das ausgewählte Format und verwendet sie als Benutzernamen und Passwort, um RADIUS-Zugriff zur Authentifizierung anzufordern.

Erstellen Sie Schnittstellen für VLAN-Zuweisungen (optional)

Gehen Sie zu Einstellungen > Kabelgebundene Netzwerke > LAN und klicken Sie auf +Neues LAN erstellen.

Geben Sie einen Namen für das LAN ein, wählen Sie Schnittstelle als Zweck und geben Sie die VLAN-ID ein. Geben Sie die IP-Adresse und Subnetzmaske des Standard-Gateways ein
Andere Einstellungen können standardmäßig beibehalten oder nach Ihren eigenen Bedürfnissen konfiguriert werden. Klicken Sie auf Speichern, um die Schnittstelle zu erstellen. Durch den gleichen Prozess können weitere Schnittstellen erstellt werden

Testen Sie die Konfiguration

Nach Abschluss der PPSK-Konfiguration können Sie testen, ob die SSIDs normal funktionieren. Befolgen Sie diese Schritte, um die PPSK-Konfiguration in den SSIDs zu testen:

Testen Sie die SSID „PPSK ohne RADIUS“.
Testen Sie die SSID „PPSK mit RADIUS“.

Testen Sie die SSID „PPSK ohne RADIUS“

Laut folgendem PPSK-ProfifileTesten Sie mit diesen Schritten die SSID „PPSK ohne RADIUS“.

Verbinden Sie das Mobiltelefon mit der MAC-Adresse 00:66:19:8a:06:37 mit der SSID „PPSK ohne RADIUS“ unter Verwendung der Passphrase „123_tplink“. Das Telefon wurde erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wurde innerhalb des Standard-LAN-Netzwerks (192.168.0.103) zugewiesen.
Verbinden Sie das Mobiltelefon mit der MAC-Adresse a8:fe:9d:c3:a1:c0 mit der gleichen SSID, indem Sie die Passphrase „456_tplink“ verwenden. Das Telefon wurde erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wurde innerhalb des VLAN 10-Netzwerks zugewiesen (192.168.10.7).

Verbinden Sie das Mobiltelefon mit einer unbekannten MAC-Adresse mit derselben SSID, indem Sie die Passphrase „789_tplink“ verwenden. Das Telefon wurde erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wurde innerhalb des VLAN 20-Netzwerks zugewiesen (192.168.20.5).

Testen Sie die SSID „PPSK mit RADIUS“

Testen Sie gemäß den folgenden RADIUS-Servereinstellungen die SSID „PPSK mit RADIUS“ mit diesen Schritten:

Verbinden Sie das Mobiltelefon mit der MAC-Adresse 00:66:19:8a:06:37 mit der SSID „PPSK mit RADIUS“ unter Verwendung der Passphrase „123_tplink“. Das Telefon wird erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wird innerhalb des Standard-LAN-Netzwerks (192.168.0.103) zugewiesen.

Verbinden Sie das Mobiltelefon mit der MAC-Adresse d0:a6:37:83:da:99 mit der gleichen SSID, indem Sie die Passphrase „456_tplink“ verwenden. Das Telefon wurde erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wurde innerhalb des VLAN 10-Netzwerks zugewiesen (192.168.10.8).
Verbinden Sie das Mobiltelefon mit einer unbekannten MAC-Adresse mit derselben SSID, indem Sie die Passphrase „789_tplink“ verwenden. Das Telefon wurde erfolgreich mit dem drahtlosen Netzwerk verbunden und seine IP-Adresse wurde innerhalb des VLAN 20-Netzwerks zugewiesen (192.168.20.4).