RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例.pdf
37页
RADIUS服务器 ACS 5.2和 无线控制器 动态 VLAN分配配置举例 简介 ..................................................................................................................... 2 先决条件 .............................................................................................................. 2 要求 ............................................................................................................................ 2 组件使用 .................................................................................................................... 2 RADIUS服务器的动态 VLAN分配 ........................................................................ 2 配置 ............................................................................................................................ 3 网络图 ..................................................................................................................... 3 假设条件 ................................................................................................................. 5 配置步骤 .............................................................................................................. 5 配置 RADIUS服务器 ............................................................................................ 5 配置网络资源 ............................................................................................................ 6 配置用户 .................................................................................................................... 9 定义策略元素 .......................................................................................................... 11 应用访问策略 .......................................................................................................... 14 配置 无线控制器 .................................................................................................. 18 在 无线控制器 上配置认证服务器的详细信息 ...................................................... 18 配置动态接口( VLAN) ......................................................................................... 19 配置无线局域网 WLANS( SSID) .......................................................................... 23 配置无线客户端实用工具 ................................................................................... 26 验证 .................................................................................................................... 32 验证 STUDENT-1用户 ................................................................................................ 32 验证 TEACHER-1用户 ................................................................................................. 34 故障排除 ............................................................................................................. 36 故障排除命令 .......................................................................................................... 36 简介 本文档介绍了动态 VLAN 分配的概念。
它还介绍了如何配置 无线控制器 和 RADIUS 服务器 ,即思科 访问控制服务器( ACS) 5.2版本 ,来 为 无线客户端动态分配 一个特定的 VLAN 先决条件 要求 请确保您满足下列要求,然后再尝试进行配置: * 具备基本的 无线控制器 和轻量级无线接入点的知识 * 具备 AAA服务器功能的知识 * 具备无线网络和无线网络安全问题的透彻认识 组件使用 本文档中的信息基于 下列软件和硬件版本: * 思科 5508无线控制器 ,软件版本 7.0.220.0 * 思科 3502系列无线接入点 * 微软 Windows 7原生请求程序与英特尔 6300-N无线客户端(驱动程序版本 14.3) * 思科 Secure ACS 5.2版本 * 思科 3560系列交换机 本文档中的资料是从一个特定实验室环境中的设备上生成的本文档中使用的所有设备以缺省(默认)配置开始配置如果您的网络是正在使用的生产系统,请确保您了解所有命令带来的潜在影响 RADIUS服务器的动态 VLAN 分配 在大多数 无线 局域网 系统中,每一个 WLAN都 有一个静态的政策,适用于 关联服务集标识符( SSID)的 所有客户 端。
这种 静态方法有其局限性,因为 需要 不同的 QoS和安 全政策的 客户端必须关联 不同的 SSID 然而, 对于支持身份识别的 思科 无线网络 解决方案 , 一个单一的 SSID 允许根据用户凭据 继承不同的 QoS、 VLAN属性 和 /或安全政策 动态 VLAN 分配 就 是一个这样的功能 ,可 根据用户提供的凭据 将 无线用户 放 到一个特定的VLAN 这个任务是 由 RADIUS认证服务器 处理 , 例 如 思科 Secure ACS 这可以 用来 允许无线主机保持在同一个 VLAN, 即使它在园区 网 内 移动 因此,当客户端试图关联 注册 到 无线控制器 的无线接入点时 , 用户 凭据 被 传递到 RADIUS服务器进行验证 一旦 认证成功, RADIUS服务器将 特 定的 Internet工程任务组( IETF) 用户属性 传输给用户 这些 RADIUS 属性决定 了 应分配给无线客户端的 VLAN ID 用户 始终 被分配到这个预定的 VLAN ID RADIUS的 用户 VLAN ID属性是: * IETF 64 (Tunnel Type) - 设置为 VLAN。
* IETF 65 (Tunnel Medium Type) - 设置为 802 * IETF 81 (Tunnel Private Group ID) - 设置为 VLAN ID VLAN ID 是 一个 12 位的 介于 1和 4094(含)之间的值 Tunnel-Private-Group-ID 是字符串类型, 在 RFC 2868中定义,用于 IEEE 802.1X认证 VLAN ID的整型值被编码为一个字符串 正如在 RFC2868的 3.1节 中描述 : 该域长度是一个字节,用于提供 在同一 隧道同一数据 包 的一组 属性 有效值是 0X01 到 0x1F 如果该域是 未使用的,它 的值 必须是零( 0x00) 参考RFC 2868 获取所有 RADIUS属性的更多信息 配置 在本节中将向您介绍如何配置本文档中描述的功能的信息 注意:使用命令查找工具(注册用户才可访问)获得本节中使用的命令的更多信息 网络图 本文使 用的网络设置: 下列为 图中所使用的组件的详细配置信息: * ACS( RADIUS)服务器的 IP地址是 192.168.150.24。
* 无线控制器 的 管理和 AP-manager接口地址为 192.168.75.44 * DHCP服务器的地址 192.168.150.25 * VLAN 253和 VLAN 257 被用于整个此配置用户连接到相同的 SSID“ goa” 用户 Student-1被配置为 分配到 VLAN 253,用户 Teacher-1被配置为 分配到 VLAN 257 * 用户将被分配 到 VLAN 253: o VLAN 253: 192.168.153.x/2网关: 192.168.153.1 o VLAN 257: 192.168.157.x/2网关: 192.168.157.1 o VLAN 75: 192.168.75.x/24网关: 192.168.75.1 * 本文 使用 802.1x和 PEAP安全机制 注:思科建议您使用高级 的验证方法,如 EAP-FAST 和 EAP-TLS 进行 验证,以确保 WLAN 的安全性 假设 条件 * 交换机配置了 所有三层 的 VLAN * DHCP服务器 配置了 一个 DHCP的 IP地址范围 范围 * 第 3层连接在网络中的所有设备之间存在。
* 无线接入点 已经加入到 无线控制器 * 每个 VLAN为 24位掩码 * ACS 5.。
