WX系列AC与Windows IAS配合实现下发用户VLAN属性功能的配置
一、 组网需求:
WX系列AC、FIT AP、交换机、便携机(安装有无线网卡)、Windows IAS服务器、PC
二、 组网图:
本配置举例中的AP使用的是WA2200系列无线局域网接入点设备,AC使用的是WX6103系列无线控制器。Radius server的IP地址为8.1.45.67/24。Client和AP通过DHCP服务器获取IP地址。
Client没有通过802.1x认证前在VLAN 10内,通过之后在VLAN 100内。
三、 特性介绍:
Dynamic Vlan Assignment是接入设备与Radius服务器配合来对用户的接入端口所属的VLAN进行控制,进而控制用户访问网络的权限。用户的认证之前属于一个VLAN,用户不可以访问网络资源,对用户进行认证,认证通过后根据Radius服务器报文中的属性把认证端口加入另外一个VLAN,此时用户可以访问外部网络资源。
网络管理员可以通过Dynamic Vlan Assignment对用户接入端口所属的VLAN进行控制,进而控制用户访问网络的权限,具有很强的灵活性和适应性。
四、 主要配置步骤:
在Dot1x接入端配置802.1x和认证。
# 启用端口安全port-security,配置Dot1x认证方式为CHAP。
[AC] port-security enable
[AC] dot1x authentication-method chap
# 配置认证策略。
[AC] radius scheme radius
[AC-radius-radius] primary authentication 8.1.45.67
[AC-radius-radius] primary accounting 8.1.45.67
[AC-radius-radius] key authentication radius
[AC-radius-radius] key accounting radius
[AC-radius-radius] nas-ip 8.1.61.3
[AC-radius-radius] accounting-on enable
[AC-radius-radius] quit
# 配置认证域。
[AC] domain radius
[AC-isp-radius] authentication lan-access radius-scheme radius
[AC-isp-radius] authorization lan-access radius-scheme radius
[AC-isp-radius] accounting lan-access radius-scheme radius
[AC-isp-radius] quit
# 把配置的认证域cams设置为系统缺省域。
[AC] domain default enable radius
# 配置无线口,并在无线口启用端口安全(802.1x认证)。
[AC] vlan 10
[AC-vlan10] quit
[AC] interface WLAN-ESS10
[AC-WLAN-ESS10] port link-type hybrid
[AC-WLAN-ESS10] port hybrid pvid vlan 10
[AC-WLAN-ESS10] port hybrid vlan 100 untagged
[AC-WLAN-ESS10] port-security port-mode userlogin-secure-ext
[AC-WLAN-ESS10] mac-vlan enable
# 配置无线服务模板。
[AC] wlan service-template 10 clear
[AC-wlan-st-10] ssid radius
[AC-wlan-st-10] bind WLAN-ESS 10
[AC-wlan-st-10] service-template enable
# 配置AP模板并绑定无线服务模板。
[AC] wlan ap wa2220x model WA2220X-AGP
[AC-wlan-ap-wa2220x] serial-id 210235A29E007C000009
[AC-wlan-ap-wa2220x] radio 2
[AC-wlan-ap-wa2220x-radio-2] channel 3
[AC-wlan-ap-wa2220x-radio-2] max-power 6
[AC-wlan-ap-wa2220x-radio-2] service-template 10
[AC-wlan-ap-wa2220x-radio-2] radio enable
# 配置VLAN虚接口。
[AC] vlan 210
[AC] quit
[AC] interface Vlan-interface 210
[AC-Vlan-interface210] ip address 8.1.61.3 24
[AC] interface Vlan-interface 1
[AC-Vlan-interface210] ip address 7.0.0.61 24
[AC-Vlan-interface1] dhcp select relay
[AC-Vlan-interface1] dhcp relay server-select 1
Windows IAS配置
在Windows IAS上配置VLAN下发,需要在用户使用的“远程访问策略”中添加三个属性:Tunnel-Type、Tunnel-Medium-Type、Tunnel-Pvt-Group-ID,配置方法如下:
(1)进入Internet验证服务的远程访问策略,双击选取用户所使用的访问策略,点击<编辑配置文件>按钮,弹出“编辑拨入配置文件”窗口。
(2)在“编辑拨入配置文件”窗口中选取“高级”页签,点击<添加>按钮,弹出“添加属性”窗口。
(3)在“添加属性”中选取Tunnel-Type选项,双击Tunnel-Type,弹出“多值属性信息”对话框。
(4)在“多值属性信息”对话框中点击<添加>按钮,弹出“可枚举的属性信息”窗口。
(5)在“可枚举的属性信息”窗口中配置Tunnel-Type属性值。
l 在“属性值”的下拉选项中选择Virtual LANs,然后单击<确定>按钮完成。
l 在“属性值”的下拉选项中选择选择802,然后单击<确定>按钮完成。
(6)如上同样步骤添加Tunnel-Pvt-Group-ID属性,在“属性信息”窗口中配置Tunnel-Type属性值,我司字符串和十六进制格式均支持。
l 设置输入属性值所用的格式为以字符串形式下发,下发的格式类型需要接入设备端支持。
l 设置输入属性值所用的格式为以十六进制数的形式下发,下发的格式类型需要接入设备端支持。
完后点击<确定>按钮,完成属性添加。
(7)完成属性添加后如下,点击<应用>按钮,然后确定完成。
五、 结果验证:
(1) Client连接 SSID,输入用户名和密码,上线成功。
(2)在AC上执行display connection可以看到有对应的Client的VLAN属性正确。
display connection ucibindex 1059 Index=1059, Username=test@radius
MAC=0810-742d-a88d
IP=N/A
Access=8021X ,AuthMethod=CHAP
Port Type=Wireless-802.11,Port Name=WLAN-DBSS10:78
Initial VLAN=10, Authorization VLAN=100
ACL Group=Disable
User Profile=N/A
CAR=Disable
Priority=Disable
Start=2008-09-14 13:30:59 ,Current=2008-09-14 13:31:58 ,Online=00h00m59s
Total 1 connection matched.
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作