收藏
下载资源

RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例

上传人:油条 文档编号:12467721 上传时间:2017-09-04 格式:PDF 页数:37 大小:2.78MB
返回 下载 相关 举报
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例_第1页
第1页 / 共37页
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例_第2页
第2页 / 共37页
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例_第3页
第3页 / 共37页
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例_第4页
第4页 / 共37页
RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例_第5页
第5页 / 共37页
点击查看更多>>
资源描述

《RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例》由会员分享,可在线阅读,更多相关《RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例(37页珍藏版)》请在金锄头文库上搜索。

1、RADIUS服务器 ACS 5.2和 无线控制器 动态 VLAN分配配置举例 简介 . 2 先决条件 . 2 要求 . 2 组件使用 . 2 RADIUS服务器的动态 VLAN分配 . 2 配置 . 3 网络图 . 3 假设条件 . 5 配置步骤 . 5 配置 RADIUS服务器 . 5 配置网络资源 . 6 配置用户 . 9 定义策略元素 . 11 应用访问策略 . 14 配置 无线控制器 . 18 在 无线控制器 上配置认证服务器的详细信息 . 18 配置动态接口( VLAN) . 19 配置无线局域网 WLANS( SSID) . 23 配置无线客户端实用工具 . 26 验证 . 32

2、验证 STUDENT-1用户 . 32 验证 TEACHER-1用户 . 34 故障排除 . 36 故障排除命令 . 36 简介 本文档介绍了动态 VLAN 分配的概念。它还介绍了如何配置 无线控制器 和 RADIUS 服务器 ,即思科 访问控制服务器( ACS) 5.2版本 ,来 为 无线客户端动态分配 一个特定的 VLAN。 先决条件 要求 请确保您满足下列要求,然后再尝试进行配置: * 具备基本的 无线控制器 和轻量级无线接入点的知识 * 具备 AAA服务器功能的知识 * 具备无线网络和无线网络安全问题的透彻认识 组件使用 本文档中的信息基于 下列软件和硬件版本: * 思科 5508无线

3、控制器 ,软件版本 7.0.220.0 * 思科 3502系列无线接入点 * 微软 Windows 7原生请求程序与英特尔 6300-N无线客户端(驱动程序版本 14.3) * 思科 Secure ACS 5.2版本 * 思科 3560系列交换机 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺省(默认)配置开始配置。如果您的网络是正在使用的生产系统,请确保您了解所有命令带来的潜在影响。 RADIUS服务器的动态 VLAN 分配 在大多数 无线 局域网 系统中,每一个 WLAN都 有一个静态的政策,适用于 关联服务集标识符( SSID)的 所有客户 端。 这种

4、静态方法有其局限性,因为 需要 不同的 QoS和安 全政策的 客户端必须关联 不同的 SSID。 然而, 对于支持身份识别的 思科 无线网络 解决方案 , 一个单一的 SSID 允许根据用户凭据 继承不同的 QoS、 VLAN属性 和 /或安全政策。 动态 VLAN 分配 就 是一个这样的功能 ,可 根据用户提供的凭据 将 无线用户 放 到一个特定的VLAN。 这个任务是 由 RADIUS认证服务器 处理 , 例 如 思科 Secure ACS。 这可以 用来 允许无线主机保持在同一个 VLAN, 即使它在园区 网 内 移动。 因此,当客户端试图关联 注册 到 无线控制器 的无线接入点时 ,

5、用户 凭据 被 传递到 RADIUS服务器进行验证。 一旦 认证成功, RADIUS服务器将 特 定的 Internet工程任务组( IETF) 用户属性 传输给用户 。 这些 RADIUS 属性决定 了 应分配给无线客户端的 VLAN ID。 用户 始终 被分配到这个预定的 VLAN ID。 RADIUS的 用户 VLAN ID属性是: * IETF 64 (Tunnel Type) - 设置为 VLAN。 * IETF 65 (Tunnel Medium Type) - 设置为 802。 * IETF 81 (Tunnel Private Group ID) - 设置为 VLAN ID。

6、VLAN ID 是 一个 12 位的 介于 1和 4094(含)之间的值。 Tunnel-Private-Group-ID 是字符串类型, 在 RFC 2868中定义,用于 IEEE 802.1X认证 。 VLAN ID的整型值被编码为一个字符串。 正如在 RFC2868的 3.1节 中描述 : 该域长度是一个字节,用于提供 在同一 隧道同一数据 包 的一组 属性 。 有效值是 0X01 到 0x1F。 如果该域是 未使用的,它 的值 必须是零( 0x00)。 参考RFC 2868 获取所有 RADIUS属性的更多信息。 配置 在本节中将向您介绍如何配置本文档中描述的功能的信息。 注意:使用命

7、令查找工具(注册用户才可访问)获得本节中使用的命令的更多信息。 网络图 本文使 用的网络设置: 下列为 图中所使用的组件的详细配置信息: * ACS( RADIUS)服务器的 IP地址是 192.168.150.24。 * 无线控制器 的 管理和 AP-manager接口地址为 192.168.75.44。 * DHCP服务器的地址 192.168.150.25。 * VLAN 253和 VLAN 257 被用于整个此配置。用户连接到相同的 SSID“ goa”。 用户 Student-1被配置为 分配到 VLAN 253,用户 Teacher-1被配置为 分配到 VLAN 257。 * 用户

8、将被分配 到 VLAN 253: o VLAN 253: 192.168.153.x/2。网关: 192.168.153.1 o VLAN 257: 192.168.157.x/2。网关: 192.168.157.1 o VLAN 75: 192.168.75.x/24。网关: 192.168.75.1 * 本文 使用 802.1x和 PEAP安全机制。 注:思科建议您使用高级 的验证方法,如 EAP-FAST 和 EAP-TLS 进行 验证,以确保 WLAN 的安全性 。 假设 条件 * 交换机配置了 所有三层 的 VLAN。 * DHCP服务器 配置了 一个 DHCP的 IP地址范围 范围。 * 第 3层连接在网络中的所有设备之间存在。 * 无线接入点 已经加入到 无线控制器 。 * 每个 VLAN为 24位掩码。 * ACS 5.

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号