Radius属性tunnel-tag导致vlan切换不成功

在我的802.1x验证环境中，我将windows 2003的Radius server (IAS)换成了windows 2008的NAP。在建立远程访问策略时，Radius属性做了如下设置：

Framed-Protocol:PPP

Service-Type:Framed

Tunnel-Medium-Type:802(includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID: 这里具体填写vlan-id或者vlan-name

Tunnel-Type:Virtual LANs(VLAN)

Tunnel-Tag:1

做完如上设置，我以为大功告成。测试环境：

Radius Server: Windows 2008 NAP

Switch: Juniper Ex2200-48T-4G

Client: Dell Latitude E5400(Windows XP and Windows 7),Windows自带验证802.1x端

DHCP Server: Windows 2008 DHCP

将E5400接入交换机，测试结果大相径庭。在进行验证过程中，网卡显示正在获取网络地址，然后等待一段时间后，提示网络受限或无连接。查看NAP日志，发现用户验证已经被授权成功。理论上应该能够得到正确VLAN所属的正确IP地址。于是开始检查配置问题。交换机的相关配置没有问题，NAP的策略配置初步检查也没有问题。最后开始抓包查看。如下图：

从抓包的情况来看，EAP的验证是成功的。但是DHCP的请求却没有正常进行。根据此现象，我检查了DHCP的配置，确认没有问题。然后进入交换机，查看E5400所在的交换机端口是否被划分到正确的VLAN下面，结果发现端口没有被正确划分。根据以前的经验，802.1x的Dynamic VLANs的划分是在Radius 属性里面进行指定的，隧到Radius属性中查看，发现和我以往配置不同的地方就是属性值里面多了一个“Tunnel-Tag:1”的值。于是将其删除，删除后的属性配置如下：

Framed-Protocol:PPP

Service-Type:Framed

Tunnel-Medium-Type:802(includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID: 这里具体填写vlan-id或者vlan-name

Tunnel-Type:Virtual LANs(VLAN)

验证结果成功。确认为Radius 属性里面的Tunnel-tag生成的原因。

查阅相关的资料，发现Tunnel-Tag只是为隧道指定一个标识符，而我们是动态VLAN的划分，当指定了标识符以后，导致了我们的VLAN无法正常划分。自然也就无法正常获得VLAN下的IP地址了。

本文出自 “define_myself” 博客，转载请与作者联系！