问题描述:
一个半导体企业,不用vxlan和控制器情况下怎么实现动态vlan下发?就是员工电脑移动位置但是获取的ip地址和网络权限是不变的。
组网及组网描述:
一个半导体企业,不用vxlan和控制器情况下怎么实现动态vlan下发?就是员工电脑移动位置但是获取的ip地址和网络权限是不变的
- 2025-02-28提问
- 举报
-
(0)
最佳答案
端口安全方式下MAC认证实现动态VLAN下发案例
一、 实现需求
1、采用端口安全方式下的MAC向Radius服务器认证,实现动态VLAN下发;
2、默认用户认证上来放入VLAN 10,并获取VLAN 10的地址;如果动态下发VLAN 20则用户获取VLAN 20的地址,并能够正常上网。
二、 网络拓扑
本例中采用S31EI做接入认证交换机,DHCP服务器启在S3610 SI交换机上,拓扑如下:
使用版本:
S31EI:Comware Software, Version 3.10, Test 2210
S3610:Comware Software, Version 5.20, Release 5309P02
iMC/UAM:PLAT(E2606)/ UAM(E6208)
三、 配置关键点:
iMC服务器侧配置:
1、 分别创建不下发VLAN的服务service_10和下发VLAN的服务service_20,如下:
2、 创建用户0015c50d090b,由于只有一台电脑,所以替换着分别申请service_1和service_2服务。
3、 将S31EI设备在iMC UAM中添加为接入设备,如下图所示:
交换机侧配置:
S31EI配置:
1、 创建VLAN10、VLAN20、VLAN100,并将VLAN 100设置为管理VLAN并配置地址:
#
vlan 10
#
vlan 20
#
vlan 100
#
interface Vlan-interface100
ip address 192.168.132.222 255.255.255.0
2、 配置Radius服务器
radius scheme imc_auth
server-type standard
primary authentication 192.168.132.180
primary accounting 192.168.132.180
key authentication h3c
key accounting h3c
user-name-format without-domain
3、 配置认证域
domain imc_auth_domain
scheme radius-scheme imc_auth
4、 使能该域为默认域
domain default enable imc_auth_domain
5、 开启端口下的MAC-VLAN和认证配置
#
interface Ethernet1/0/3
port link-type hybrid
port hybrid vlan 10 20 untagged
undo port hybrid vlan 1
port hybrid pvid vlan 10
loopback-detection enable
port-security port-mode mac-authentication
port-security intrusion-mode blockmac
mac-vlan enable
#
6、 全局下使能端口安全和MAC认证
#
port-security enable
#
MAC-authentication domain imc_auth_domain
#
S3610的配置:
主要是DHCP Server的配置和开启,详见附件。
四、 实现效果
当我的PC接入网线的时候,自动启动端口安全MAC认证,可以看到iMC上该用户的在线信息,如下:
在设备上也可看到其在线信息及当前VLAN信息,如下:
[H3C]dis connection
------------------------Unit 1------------------------
Index=797 ,Username=xxxxc50d090b@imc_auth_domain
MAC=xxxx-c50d-090b ,IP=0.0.0.0
IPV6=::
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
[H3C]
[H3C]
[H3C]dis conn
[H3C]dis connection uci 797
------------------------Unit 1------------------------
Index=797 , Username=xxxxc50d090b@imc_auth_domain
MAC=xxxx-c50d-090b , IP=0.0.0.0
IPV6=::
Access=MAC-authentication,Auth=PAP ,Port=Ether ,Port NO=0x10003014
Initial VLAN=10, Authorization VLAN=20
ACL Group=Disable
CAR=Disable
Priority=Disable
Start=2000-04-02 13:03:45 ,Current=2000-04-02 13:03:55 ,Online=00h00m11s
On Unit 1:Total 1 connections matched, 1 listed.
Total 1 connections matched, 1 listed.
五、 案例外延
此案例当中的用户认证是针对不同用户,通过申请不同的服务来实现区别对待是否下发VLAN,还可以针对同一个用户来实现是否动态下发VLAN,即对同一个用户申请不同的服务,这些服务由不同的服务后缀(认证域)来区别,例如当帐号使用user@service1上来的时候不下发vlan,而使用user@service2上来的时候下发VLAN。
六、 配置附件
- 2025-02-28回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论