下载文档原格式
IEEE 802.1x协议IEEE 802.1x是一个基于端口的网络访问控制协议,该协议的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能,从而实现认证与业务的分离,保证了网络传输的效率。
IEEE 802系列局域网(LAN)标准占据着目前局域网应用的主要份额,但是传统的IEEE 802体系定义的局域网不提供接入认证,只要用户能接入集线器、交换机等控制设备,用户就可以访问局域网中其他设备上的资源,这是一个安全隐患,同时也不便于实现对局域网接入用户的管理。
IEEE 802.1x是一种基于端口的网络接入控制技术,在局域网设备的物理接入级对接入设备(主要是计算机)进行认证和控制。
连接在交换机端口上的用户设备如果能通过认证,就可以访问局域网内的资源,也可以接入外部网络(如Internet);如果不能通过认证,则无法访问局域网内部的资源,同样也无法接入Internet,相当于物理上断开了连接。
IEEE 802. 1x协议采用现有的可扩展认证协议(Extensible Authentication Protocol,EAP),它是IETF提出的PPP协议的扩展,最早是为解决基于IEEE 802.11标准的无线局域网的认证而开发的。
虽然IEEE802.1x定义了基于端口的网络接入控制协议,但是在实际应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式,其中端口可以是物理端口,也可以是逻辑端口。
典型的应用方式有两种:一种是以太网交换机的一个物理端口仅连接一个计算机;另一种是基于无线局域网(WLAN)的接入方式。
其中,前者是基于物理端口的,而后者是基于逻辑端口的。
目前,几乎所有的以太网交换机都支持IEEE 802.1x协议。
RADIUS服务器RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。
radius 分配vlan 实现方法下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!Radius 分配 VLAN 实现方法引言在网络管理中,为了实现更好的安全性和管理效率,常常需要将不同的用户或设备分配到不同的 VLAN(虚拟局域网)中。
【标题】通过RADIUS服务器和无线控制器动态分配VLAN【译者姓名】韩啸晨【校对人】【翻译完成时间】2008-12-19【原文英文标题】Infrastructure Management Frame Protection (MFP) with WLC and LAP Configuration Example【原文链接】/en/US/tech/tk722/tk809/technologies_configuration_example09186a008 080dc8c.shtml【翻译内容】介绍本文介绍一种新的叫做管理帧保护(MFP)的安全功能,该文件还介绍了如何在LAP 和WLC上配置MFP的功能。
配置条件必要条件在配置前,请先确定掌握以下知识点:(1) WLC和LAP的基本知识(2) 802.11的管理帧的相关知识使用说明本文涉及的信息基于以下软件及硬件版本:(1) 运行4.1版固件的思科2000系列WLC(2) 思科1131AG LAP(3) 使用固件3.6的思科802.11a/b/g的无线客户端(4) 软件版本3.6的思科无线客户软件(ADU)【译者注】在WLC版本4.0.155.5及以后就支持MFP,版本4.0.206.0提供可选的执行MFP,客户端的MFP在版本4.1.171.0及后续支持。
文档中描述的是在实验环境,所有设备都是初始配置,请先确定各命令的意义,再做配置。
规定请参考以下网址,获得更多信息/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121ac5.shtml知识点在802.11中,认证过程,连接过程和探查过程中使用的管理帧都是没有经过认证和加密的,换句话说,802.11的管理帧经常被以不安全的形式发送,而不像被WPA,WPA2或者WEP加密的数据。
这样的话,一个攻击者就会模仿管理帧,对连接到AP上的客户端发起攻击。
H3C无线控制器AC间漫游典型配置举例(V7)1 组网需求如图1所示,在一个区域内通过部署两台AC来为用户提供无线服务,并实现客户端可以在AC间进行快速漫游。
具体要求如下:∙AC 1上的客户端业务VLAN为VLAN 200,AC 2上的客户端业务VLAN为VLAN 400。
∙客户端跨AC漫游后,客户端数据不经过IACTP隧道返回Home-AC。
∙配置用户隔离功能加强用户的安全性,并且减少用户产生的大量组播、广播报文对无线空口资源的占用。
图1 AC间漫游组网图2 配置关键点2.1 配置AC 1(1)在AC上配置相关VLAN和对应虚接口地址,并放通对应接口。
(2)配置802.1X认证# 选择802.1X认证方式为EAP。
[AC1] dot1x authentication-method eap#配置radius认证,配置radius服务器的IP地址、秘钥及radius报文发送的源地址。
[AC1] radius scheme office[AC1-radius-office] primary authentication 192.3.0.2[AC1-radius-office] primary accounting 192.3.0.2[AC1-radius-office] key authentication 12345678[AC1-radius-office] key accounting 12345678[AC1-radius-office] nas-ip 192.1.0.2#创建名为office的ISP域,配置认证、计费、授权方案。
[AC1] domain office[AC1-isp-office] authentication lan-access radius-scheme office [AC1-isp-office] authorization lan-access radius-scheme office [AC1-isp-office] accounting lan-access radius-scheme office (3)配置无线接入服务,配置dot1x认证[AC1] wlan service-template 1[AC1-wlan-st-1] ssid service[AC1-wlan-st-1] vlan 200[AC1-wlan-st-1] client forwarding-location ac[AC1-wlan-st-1] akm mode dot1x[AC1-wlan-st-1] client-security authentication-mode dot1x [AC1-wlan-st-1] dot1x domain office[AC1-wlan-st-1] cipher-suite ccmp[AC1-wlan-st-1] security-ie rsn[AC1-wlan-st-1] service-template enable(4)配置AP[AC1] wlan ap ap1 model WA4320i-ACN[AC1-wlan-ap-ap1] serial-id 210235A1GQC14C000225[AC1-wlan-ap-ap1] radio 1[AC1-wlan-ap-ap1-radio-1] service-template 1[AC1-wlan-ap-ap1-radio-1] radio enable[AC1-wlan-ap-ap1-radio-1] quit[AC1-wlan-ap-ap1] quit(5)配置漫游功能# 创建漫游组1,并进入漫游组视图。
无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置举例首先,需要配置无线控制器。
无线控制器是一个集中管理多个无线接入点的设备,可以通过该设备统一管理和配置所有的无线终端。
1.连接无线控制器和认证服务器:将无线控制器与认证服务器连接到同一个网络中,以便它们之间可以进行通信。
2.配置认证服务器信息:在无线控制器上设置认证服务器的相关信息,包括服务器的IP地址、端口号、共享密钥等。
3.配置无线控制器的VLAN:为不同的用户组设置不同的VLAN,以实现对不同用户的访问控制和隔离。
4.配置无线接入点:将无线接入点与无线控制器进行绑定,确保无线控制器可以管理和配置这些接入点。
接下来,需要配置认证服务器。
认证服务器负责对无线终端进行认证、授权和账号管理。
1. 配置用户身份验证方式:可以使用本地数据库、RADIUS服务器或Active Directory等方式进行用户身份验证。
2.设置用户账号:创建用户账号,并为每个账号分配相应的权限和VLAN。
3. 配置认证方式:可以选择使用802.1X、预共享密钥、Web Portal等认证方式进行无线终端的认证。
最后,需要配置无线终端。
无线终端是连接无线网络的设备,通过认证服务器的授权,可以接入相应的VLAN。
1.配置无线接入方式:根据无线接入点的类型,设置无线终端的接入方式,包括无线网卡参数和接入点的SSID等。
2.配置认证方式:根据认证服务器的要求,设置无线终端的认证方式,如输入用户名和密码,或通过预共享密钥进行认证。
通过以上的配置步骤,无线控制器可以动态授权无线终端接入相应的VLAN。
当无线终端连接到无线网络时,它将向无线控制器发送认证请求,在认证服务器上进行身份验证。
如果认证成功,认证服务器将授权该无线终端接入指定的VLAN。
无线控制器会通过VLAN分发机制将无线终端隔离到相应的VLAN中,确保网络的安全和可靠性。
总结起来,无线控制器通过认证服务器动态授权无线终端接入VLAN是一种常见的网络配置。
Guest VLAN【背景描述】用户在通过802.1x 认证之前属于一个VLAN,这个VLAN就是GUEST VLAN。
没有通过认证的客户端计算机处于GUEST VLAN中,它们只能访问到GUEST VLAN服务器的资源,认证成功后,端口离开Guest VLAN,用户可以访问其特定的网络资源。
在上面的例子里连接端口1的计算机通过认证以后,端口1被交换机自动地添加到VLAN10里面,这个时候客户端计算机可以访问服务器2中的资源。
而客户端2和客户端3没有通过认证,只能继续留在Guest VLAN中,只可以访问服务器1的资源,而不能访问服务器2的资源。
需要注意的是:Guest vlan 仅支持基于端口的802.1X协议,不支持基于MAC地址的802.1 X协议。
【实验拓扑】将交换机的第1-12端口划分到V10中,将V10设置为GUEST VLAN,并且将1-8端口设置为需要进行认证的端口。
把交换机的第13-24端口设置为V20中的端口。
通过实验达到如下效果:将PC1接入到交换机1-8端口的任何一个,通过认证服务器的认证以后,PC 1所连接的端口被交换机自动的添加到V20里面,并且PC1和PC2可以互相通信。
拓扑说明:认证服务器IP:192.168.0.10交换机IP:192.168.0.250认证计算机IP:192.168.0.101V20中计算机IP:192.168.0.100橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口【实验设备】DGS-3627交换机1台,测试PC 3台,网线若干。
【实验步骤】把交换机的控制口和PC的串口相连,通过超级终端进入交换机的配置界面,如下图。
我们通过PC的“开始→程序→附件→通讯→超级终端”,进入超级终端界面。
将每秒位数设置为:115200 ,数据位:8 ,奇偶校验:无,停止位:1,数据流控制:硬件。
ACS+802.1X+DHCP实现动态VLAN 一直以来,我以为80%的工程师在划分VLAN的时候都使用基于端口的方式,至少我是这样,如果有客户要基于动态VLAN,那么我们在早期只能使用基于COS的操作系统建立VMPS服务器来做,可今天不需要用那么复杂的过程和繁琐的步骤就可以轻松实现了动态VLAN了,它就是采用ACS+802.1X+DHCP来实现,下面是我做的一点小小的步骤,愿对您有所帮助。
这里安装ACS就略了,直接步入正题吧,如下图所示:一、802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题。
现在已经开始被应用于一般的有线LAN的接入。
为了对端口加以控制,以实现用户级的接入控制。
802.1x就是IEEE为了解决基于端口的接入控制(Port-Based Access Control)而定义的一个标准。
1、802.1X首先是一个认证协议,是一种对用户进行认证的方法和策略。
2、802.1X是基于端口的认证策略(这里的端口可以是一个实实在在的物理端口也可以是一个就像VLAN 一样的逻辑端口,对于无线局域网来说个“端口”就是一条信道)3、802.1X的认证的最终目的就是确定一个端口是否可用。
对于一个端口,如果认证成功那么就“打开”这个端口,允许文所有的报文通过;如果认证不成功就使这个端口保持“关闭”,此时只允许802.1X的认证报文EAPOL(Extensible Authentication Protocol over LAN)通过。
二、802.1X的认证体系分为三部分结构:Supplicant System,客户端(PC/网络设备)Authenticator System,认证系统Authentication Server System,认证服务器三、认证过程1、认证通过前,通道的状态为unauthorized,此时只能通过EAPOL的802.1X认证报文;2、认证通过时,通道的状态切换为authorized,此时从远端认证服务器可以传递来用户的信息,比如VLAN、CAR参数、优先级、用户的访问控制列表等等;3、认证通过后,用户的流量就将接受上述参数的监管,此时该通道可以通过任何报文,注意只有认证通过后才有DHCP等过程。
ARUBA无线控制器的基本网络配置本章主要描述有关控制器的基本的网络配置,主要内容如下:一、VLANs 配置二、配置端口三、VLAN 协议四、配置静态路由五、环回IP地址配置六、控制器IP地址配置七、GRE隧道配置第一部分:VLANs配置/虚拟局域网配置2层交换机控制器的操作运用是以VLAN作为广播域,作为2层交换机,控制器要求需要外界的路径来实现与VLANs的路径连通。
该控制器还可以作为第三层交换机,可以定义VLAN 之间的交通路线的控制器。
你可以在控制器上配置一个/多个物理端口实现一个虚拟局域网。
另外,每个无线客户端口关联是连接到一个特定的虚拟局域网的端口控制器上。
你可以根据你的网络需要替换所有经认证授权的无线用户到单个VLAN或者替换到不同的VLANs。
VLANs可以单独存在在控制器里面或者可以通过802.1q VLAN标签存在在控制器外部。
你可以选择在控制器上为VLAN配置一个IP地址和子网掩码,当VLAN上最近的物理端口被激活的同时,该IP地址也被激活。
该VLAN IP地址可以作为外部设备的一个接入点,指向虚拟局域网IP地址的数据包不是为控制器指定的而是根据控制器的IP路由表来转发的。
创建和更新VLANs:创建和更新单个/多个VLANs1. 通过WEBUI 来创建或者修改单个VLAN1)打开2)点击“ADD新建”按钮创建一个新的VLAN。
(若需要修改,点击Edit按钮)具体参照58页创建一系列的VLANs。
3)为VLAN增加一个物理端口,点击选项4)点击2. 通过CLI(命令)创建或者修改VLAN3.通过WEBUI 来创建或者修改多个VLAN1)一次性增加并联的VLANs,点击2)在弹出的窗口,输入你想要创建的VLANs 序列。
例如,增加一个ID号码为200-300和302-350的VLAN,输入200-300,302-350。
3)点击“OK”4)为VLAN增加物理端点,点击“EDIT”进入你想要配置的VLAN页面,点击“PortSelection”选项设置端口。
【标题】 WLC上基于ACS与AD组映射的动态VLAN分配的配置方法【译者姓名】 张啸天【校对人】 吴小刚【翻译完成时间】 2008‐11‐28【原文英文标题】 Dynamic VLAN Assignment with WLCs based on ACS to Active Directory Group Mapping Configuration Example【原文链接】:/en/US/products/ps6366/products_configuration_example09186a00808c 9bd1.shtml【翻译内容】 见下文WLC上基于ACS与AD组映射的动态VLAN分配的配置方法文档编号: 99121介绍前提要求使用的设备惯例背景知识ACS上使用Windows用户数据库做组映射的限制配置网络示意图配置方案配置AD以及Windows用户数据库将网络中的服务器配置成域控制器在域中创建AD用户及用户组将ACS服务器作为成员添加入域配置思科ACS在ACS上配置Windows用户数据库认证和组映射配置ACS上动态VLAN分配配置无线局域网控制器在WLC上配置认证服务器在WLC上配置动态接口(VLAN)配置WLANs (SSID)配置无线客户端验证排障排障命令相关信息介绍本文解释了如何使用微软® Windows AD 数据库去认证无线客户端,如何配置思科ACS 用户组及AD用户组的映射关系,以及如何通过ACS组映射来动态的给通过认证的无线客户端动态分配VLAN。
本文主要讨论在ACS软件上的AD组映射,并不适用于ACS-SE 引擎。
前提要求在你配置之前确认满足以下条件:y拥有无线局域网控制器(WLCs)和轻量级接入点(LAP)的基本知识y对于思科的ACS有功能性的了解y对无线网络及无线网络安全问题有完整的了解y了解动态VLAN的功能,知道如何配置动态VLAN对于更多信息,请参阅动态VLAN的分配相关的知识。
通过RADIUS服务器和无线控制器动态分配VLAN介绍本文介绍如何在RADIUS认证服务器和无线控制器(WLC)上配置VLAN动态指定.配置条件必要条件在配置前,请先确定掌握以下知识点:(1) LAP的基本知识(2) AAA服务器的基本知识(3) 无线网络相关安全知识(4) LAP的协议LWAPP涉及更多LWAPP协议的相关知识,请参考以下网址/en/US/prod/collateral/wireless/ps5678/ps6306/prod_white_paper0900aecd802c18ee.html使用说明本文涉及的信息基于以下软件及硬件版本:(1) 使用固件4.0 的思科2006WLC(2) 1000系列的LAP(3) 使用固件2.6的思科802.11a/b/g的无线客户端(4) 软件版本2.6.0.1的思科无线客户软件(ADU)(5) 软件版本3.2的思科准入控制软件ACS(6) 思科2950交换机文档中描述的是在实验环境,所有设备都是初始配置,请先确定各命令的意义,再做配置。
规定请参考以下网址,获得更多信息/en/US/tech/tk801/tk36/technologies_tech_note09186a0080121a c5.shtml知识点在大多数的无线环境下,每一个无线网络都有静态的策略应用到相应的SSID上,但它具有限制性,因为每个客户端通过不同的SSID关联后,应继承相应SSID的策略.在思科的无线网络中,支持具有身份认证的特性,容许通告唯一的SSID,和具有不同认证身份的客户端拥有相应权限.通过RADIUS认证服务器对不同的客户端的验证,指定动态VLAN,RADIUS服务器可以是思科的ACS.动态VLAN指定可以用在,当一个客户端在园区内移动时,仍然保持同样的VLAN接入.因此,当一个客户端通过LAP认证到WLC时,LAP可以把相应的认证数据发送到认证服务器做检测,一旦认证成功后,认证服务器会将相应的属性(比如VLAN ID)发送给客户端,不用关心SSID的设置。
利用802.1X、动态VLAN和radius技术组网测试方案一、组网测试背景IEEE 802.1X标准认证协议和动态VLAN的引入,在以太网交换机端口实现对用户认证、授权,,以其实现技术简单、灵活成为企业局域网的首选。
利用 802.1X 和RADIUS认证服务器的授权控制,根据用户不同动态分配交换机端口VLAN属性实现较灵活的控制,实现了一定范围内的移动办公需求。
整套方案应用成熟,易于实现,给企业局域网安全管理提供了一种有效的解决途径。
二、组网测试技术简介1、IEEE 802.1X认证协议它是基于C/S结构面向端口的访问控制认证协议。
交换机端口有几种状态Block、Listen、Learn和Forward,如果端口不配置认证,PC配置相应的地址即可访问网络。
通过对端口802.1X的配置,端口处于受控状态Authen和UNAuthen,在未认证状态下,端口仅收发EAPoL等认证包信息,不允许访问网络,如果未配置VLAN,端口处于那个VLAN都未知;在认证通过后,根据用户在服务器上的配置,端口分配相应特性,才可以访问网络。
这正是我们所需要的特性。
802.1X体系有三部分构成,客户机、网络设备和认证服务器。
客户机:实现EAPoL的请求和应答,目前Win2000SP4、WIN XP 、WIN2003均内置了认证客户端软件,WIN98SE、Linux需要相应客户端软件的支持,可选用第三方的802.1X认证软件。
网络设备:认证存取点,可以选取支持802.1X认证的无线AP和二层以上的交换机。
应注意支持的兼容性,对802.1x和RFC RADIUS支持良好。
尽管许多厂商都宣称支持802.1X,存在很多兼容性问题,往往引起工程实施中的难度。
认证服务器:实现客户端身份认证,并下发RADIUS的属性。
应选用对IETF支持良好的服务器,常用的有CISCO ACS3.1-3.3,华为的CAMS以及win2003自带的IAS服务。
1 简介本文档介绍了无线控制器通过认证服务器动态授权无线终端接入VLAN典型配置案例。
2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解802.1X特性。
3 配置举例3.1 组网需求如图1所示,在无线网络环境中部署了RADIUS服务器,现要求使用RADIUS服务器对无线客户端进行802.1X认证,并对认证通过的客户端下发授权VLAN 300。
图1 授权VLAN下发典型配置组网图3.2 配置注意事项∙ 开启无线侧的端口安全功能时,请确保该端口的802.1X功能或MAC 地址认证功能处于关闭状态。
∙ 关闭在线用户握手功能,以避免不支持在线握手功能的客户端被强制下线。
∙ # 关闭802.1X的组播触发功能,以节省无线的通信带宽。
∙ RADIUS服务器授权下发的VLAN必须是AC设备上已经配置的VLAN,否则802.1X无法认证成功。
∙ 配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.3 配置步骤3.3.1 AC的配置(1)配置AC的接口# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
<AC> system-view[AC] vlan 100[AC-vlan100] quit[AC] interface vlan-interface 100[AC-Vlan-interface100] ip address 125.100.1.4 24[AC-Vlan-interface100] quit# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN。
XX公司无线工程实施手册目录第一章:工程概述 (3)1工程介绍 (3)2 设计方案及实现目标 (3)第二章:无线工程项目实施 (4)2.1步骤一:项目实施准备工作 (5)2.2步骤二: 现场勘查 (5)2.3步骤三: 工程实施协调会 (5)2.4步骤四:设备连接 (5)第三章:配置文档 (7)3.1 控制器C4402配置 (7)3.1.1 注册AP到控制器 (7)3.1.2配置AP (9)3.1.3 配置RADUIS服务器 (11)3.1.4增加WLAN (12)3.2ACS配置 (15)3.2.1初次使用ACS (15)3.2.2创建一个用户 (15)3.2.3定义AAA客户端 (17)3.2.4安装证书,选择认证类型 (18)3.3实现一个SSID接入多个动态VLAN网段 (20)3.4客户端配置 (30)第一章:工程概述1工程介绍XX公司(以下简称XX电子公司)是世界上最大的显示器生产企业地处福清市,新厂区办公楼为5层。
XX电子公司无线网络需求是在整座办公楼内做无线信号覆盖,办公楼层和会议室楼层,外来客户可以实现无线移动办公。
XX电子公司无线局域网本期工程无线网络信号需要覆盖区域总共五楼。
无线用户需要在上述区域的任何地方上网且用户可以在新厂区办公楼内无缝漫游。
2 设计方案及实现目标根据XX电子公司大楼的信息点部署,物理分布和实际网络结构特点,此次工程实施选用集中无线网络解决方案,整体划一,系统管理,准确定位,高效运营,全面满足XX电子公司无线网络的业务需求。
网络拓扑图如下在中心机房放置思科无线综合控制器AIR-WLC4402-50-K9,通过光口与核心交换机6506相连。
AP布置在各楼层,通过楼层交换机连接到核心交换机上。
由于工程使用“瘦”AP1020,因此在核心交换机上设置DHCP,以将AP注册到控制器C4402上。
将ACS 和WCS连入服务器网段。
第二章:无线工程项目实施2.1步骤一:项目实施准备工作●准备好设备所需的电源及空间,无线控制器C4402有两路电源到机柜,机柜应配备足够的接线排。
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例简介 (2)先决条件 (2)要求 (2)组件使用 (2)RADIUS服务器的动态VLAN分配 (2)配置 (3)网络图 (3)假设条件 (5)配置步骤 (5)配置RADIUS服务器 (5)配置网络资源 (6)配置用户 (9)定义策略元素 (11)应用访问策略 (14)配置无线控制器 (18)在无线控制器上配置认证服务器的详细信息 (18)配置动态接口(VLAN) (19)配置无线局域网WLAN S(SSID) (23)配置无线客户端实用工具 (26)验证 (32)验证S TUDENT-1用户 (32)验证T EACHER-1用户 (34)故障排除 (36)故障排除命令 (36)简介本文档介绍了动态VLAN分配的概念。
它还介绍了如何配置无线控制器和RADIUS服务器,即思科访问控制服务器(ACS)5.2版本,来为无线客户端动态分配一个特定的VLAN。
先决条件要求请确保您满足下列要求,然后再尝试进行配置:* 具备基本的无线控制器和轻量级无线接入点的知识* 具备AAA服务器功能的知识* 具备无线网络和无线网络安全问题的透彻认识组件使用本文档中的信息基于下列软件和硬件版本:* 思科5508无线控制器,软件版本7.0.220.0* 思科3502系列无线接入点* 微软Windows 7原生请求程序与英特尔6300-N无线客户端(驱动程序版本14.3)* 思科Secure ACS 5.2版本* 思科3560系列交换机本文档中的资料是从一个特定实验室环境中的设备上生成的。
本文档中使用的所有设备以缺省(默认)配置开始配置。
如果您的网络是正在使用的生产系统,请确保您了解所有命令带来的潜在影响。
RADIUS服务器的动态VLAN分配在大多数无线局域网系统中,每一个WLAN都有一个静态的政策,适用于关联服务集标识符(SSID)的所有客户端。
这种静态方法有其局限性,因为需要不同的QoS和安全政策的客户端必须关联不同的SSID。
然而,对于支持身份识别的思科无线网络解决方案,一个单一的SSID允许根据用户凭据继承不同的QoS、VLAN属性和/或安全政策。
动态VLAN分配就是一个这样的功能,可根据用户提供的凭据将无线用户放到一个特定的VLAN。
这个任务是由RADIUS认证服务器处理,例如思科Secure ACS。
这可以用来允许无线主机保持在同一个VLAN,即使它在园区网内移动。
因此,当客户端试图关联注册到无线控制器的无线接入点时,用户凭据被传递到RADIUS服务器进行验证。
一旦认证成功,RADIUS服务器将特定的Internet工程任务组(IETF)用户属性传输给用户。
这些RADIUS属性决定了应分配给无线客户端的VLAN ID。
用户始终被分配到这个预定的VLAN ID。
RADIUS的用户VLAN ID属性是:* IETF 64 (Tunnel Type) - 设置为VLAN。
* IETF 65 (Tunnel Medium Type) - 设置为802。
* IETF 81 (Tunnel Private Group ID) - 设置为VLAN ID。
VLAN ID是一个12位的介于1和4094(含)之间的值。
Tunnel-Private-Group-ID是字符串类型,在RFC 2868中定义,用于IEEE 802.1X认证。
VLAN ID的整型值被编码为一个字符串。
正如在RFC2868的3.1节中描述:该域长度是一个字节,用于提供在同一隧道同一数据包的一组属性。
有效值是0X01到0x1F。
如果该域是未使用的,它的值必须是零(0x00)。
参考RFC 2868 获取所有RADIUS属性的更多信息。
配置在本节中将向您介绍如何配置本文档中描述的功能的信息。
注意:使用命令查找工具(注册用户才可访问)获得本节中使用的命令的更多信息。
网络图本文使用的网络设置:下列为图中所使用的组件的详细配置信息:* ACS(RADIUS)服务器的IP地址是192.168.150.24。
* 无线控制器的管理和AP-manager接口地址为192.168.75.44。
* DHCP服务器的地址192.168.150.25。
* VLAN 253和VLAN 257被用于整个此配置。
用户连接到相同的SSID“goa”。
用户Student-1被配置为分配到VLAN 253,用户Teacher-1被配置为分配到VLAN 257。
* 用户将被分配到VLAN 253:o VLAN 253: 192.168.153.x/2。
网关:192.168.153.1o VLAN 257: 192.168.157.x/2。
网关:192.168.157.1o VLAN 75: 192.168.75.x/24。
网关:192.168.75.1* 本文使用802.1x和PEAP安全机制。
注:思科建议您使用高级的验证方法,如EAP-FAST和EAP-TLS进行验证,以确保WLAN的安全性。
假设条件* 交换机配置了所有三层的VLAN。
* DHCP服务器配置了一个DHCP的IP地址范围范围。
* 第3层连接在网络中的所有设备之间存在。
* 无线接入点已经加入到无线控制器。
* 每个VLAN为24位掩码。
* ACS 5.2安装了一个自签名的证书。
配置步骤配置分为三大步骤:1. 配置RADIUS服务器。
2. 配置无线控制器。
3. 配置无线客户端实用工具。
配置RADIUS服务器The RADIUS server configuration is divided into four steps: RADIUS服务器的配置分为四个步骤:1. 配置网络资源。
2. 配置用户。
3. 定义策略元素。
4. 应用访问策略。
ACS 5.x是基于策略的访问控制系统。
也就是说,ACS 5.x使用一个以规则为基础的策略模型,而不是像4.x版本中使用基于组的模型。
ACS 5.x的以规则为基础的策略模式提供了更加强大和灵活的访问控制。
传统的以组为基础的模型,可根据三种类型的信息基于组来定义政策,:* 身份信息–该信息可以使用AD或LDAP上的成员信息,或ACS内部静态用户信息。
* 其他限制或条件- 时间的限制,设备的限制等等。
* 权限- VLAN或思科IOS®权限级别。
ACS 5.x的策略模型是基于规则的形式:* If condition then result(如果满足条件则导致)例如,我们使用基于组的模型所描述的信息:* If identity-condition, restriction-condition then authorization-profile(如果匹配身份的条件,限制条件,则授权。
)因此,这给我们限制在什么条件下允许用户访问网络,以及符合特定条件时授权什么样的级别带来了灵活性。
配置网络资源在本节中,我们在RADIUS服务器上配置AAA客户端。
此过程说明如何在RADIUS服务器上添加无线控制器作为AAA客户端,以便使用户可以通过认证的过程。
完成以下步骤:1. 从ACS GUI界面,到网络资源> 网络设备组> 位置,然后单击“创建”(底部)。
2. 添加所需的字段,并单击“提交”。
现在,您将看到这样的画面:3. 单击“设备类型”>“创建”。
4. 点击“提交”。
您将看到下列画面:5. 到网络资源> 网络设备和AAA客户端。
6. 单击创建,填写详细信息,如下所示:7. 点击“提交”。
您将看到下列画面:配置用户在本节中,我们将在ACS上创建本地用户Student-1和Teacher-1,Student-1用户被分配在Student组,Teacher-1用户则分配到Teacher组。
1. 到用户和身份存储> 身份组> 创建。
2. 当您单击“提交”,页面如下:3. 创建用户并分配到各自的组。
4. 单击“用户和身份存储> 身份识别组”>“用户”> “创建”。
5. 同样的,创建Teacher-1。
屏幕上看起来像这样:定义策略元素完成下列步骤以便为用户定义IETF的属性:1. 转至策略元素> 授权和权限> 网络接入> 授权信息> 创建。
2. 从常见任务选项卡:3. 加入下列IETF属性:* Tunnel-Type = 64 = VLAN* Tunnel-Medium-Type = 802* Tunnel-Private-Group-ID = 253 (Student-1)和257 (Teacher-1) 对于Students组:对于Teachers组:4. 一旦添加了两个属性,屏幕上看起来像这样:应用访问策略在本节中,我们将描述选择要使用的身份验证方法和规则是如何进行配置的。
基于前面的步骤,我们将创建规则。
完成以下步骤:1. 到访问策略> 接入服务> 默认网络访问> 编辑:“默认网络访问”。
2. 选择无线客户端进行身份验证的EAP方法。
在这个例子中,我们使用PEAP-MSCHAPv2。
3. 点击“提交”。
4. 请确认您所选择的身份组。
在这个例子中,我们使用内部的用户组。
5. 为了验证授权配置,请访问策略> 接入服务> 默认网络访问授权。
您可以自定义在什么情况下你会允许用户对网络访问和以及分配授权配置文件(属性)。
这种划分仅适用于ACS 5.x。
在这个例子中,我们选择了基于位置、设备类型、协议、身份组和EAP验证方法。
6. 单击“确定”保存更改。
7. 下一步是要创建规则。
如果没有定义规则,则允许客户端访问而无需任何条件。
单击创建> 规则-1。
这条规则适用于用户Student-1。
8. 同样的,创建一个Teacher-1的规则。
点击“保存更改”。
屏幕上看起来像这样:9. 现在我们要定义服务选择规则。
使用此页配置一个简单的或以规则为基础的策略,以确定哪些服务适用于进入的的请求。
在这个例子中,我们使用以规则为基础的策略。
配置无线控制器配置需要以下步骤:1. 在无线控制器上配置身份验证服务器的详细信息。
2. 配置动态接口(VLAN)。
3. 配置无线局域网(SSID)。
在无线控制器上配置认证服务器的详细信息这是必要的无线控制器配置,以便它可以与RADIUS服务器进行通信来对客户端进行身份验证,也可用于任何其他交互。
完成以下步骤:1. 在控制器的GUI界面中,单击“安全性”。
2. 输入RADIUS服务器的IP地址,RADIUS服务器和无线控制器之间使用的共享密钥。
该共享密钥与在RADIUS服务器上的配置应该是相同的。
配置动态接口(VLAN)此过程说明如何在无线控制器配置动态接口。
如前面所释,根据RADIUS服务器的Tunnel-Private-Group ID属性指定的VLAN ID也必须在无线控制器上存在。
