Radius属性tunnel-tag导致vlan切换不成功

在我的802.1x验证环境中,我将windows 2003的Radius server (IAS)换成了windows 2008的NAP。在建立远程访问策略时,Radius属性做了如下设置:

Framed-Protocol:PPP

Service-Type:Framed

Tunnel-Medium-Type:802(includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID: 这里具体填写vlan-id或者vlan-name

Tunnel-Type:Virtual LANs(VLAN)

Tunnel-Tag:1

做完如上设置,我以为大功告成。测试环境:

Radius Server: Windows 2008 NAP

Switch: Juniper Ex2200-48T-4G

Client: Dell Latitude E5400(Windows XP and Windows 7),Windows自带验证802.1x端

DHCP Server: Windows 2008 DHCP

将E5400接入交换机,测试结果大相径庭。在进行验证过程中,网卡显示正在获取网络地址,然后等待一段时间后,提示网络受限或无连接。查看NAP日志,发现用户验证已经被授权成功。理论上应该能够得到正确VLAN所属的正确IP地址。于是开始检查配置问题。交换机的相关配置没有问题,NAP的策略配置初步检查也没有问题。最后开始抓包查看。如下图:

clip_image005

从抓包的情况来看,EAP的验证是成功的。但是DHCP的请求却没有正常进行。根据此现象,我检查了DHCP的配置,确认没有问题。然后进入交换机,查看E5400所在的交换机端口是否被划分到正确的VLAN下面,结果发现端口没有被正确划分。根据以前的经验,802.1x的Dynamic VLANs的划分是在Radius 属性里面进行指定的,隧到Radius属性中查看,发现和我以往配置不同的地方就是属性值里面多了一个“Tunnel-Tag:1”的值。于是将其删除,删除后的属性配置如下:

Framed-Protocol:PPP

Service-Type:Framed

Tunnel-Medium-Type:802(includes all 802 media plus Ethernet canonical format)

Tunnel-Pvt-Group-ID: 这里具体填写vlan-id或者vlan-name

Tunnel-Type:Virtual LANs(VLAN)

验证结果成功。确认为Radius 属性里面的Tunnel-tag生成的原因。

查阅相关的资料,发现Tunnel-Tag只是为隧道指定一个标识符,而我们是动态VLAN的划分,当指定了标识符以后,导致了我们的VLAN无法正常划分。自然也就无法正常获得VLAN下的IP地址了。

本文出自 “define_myself” 博客,转载请与作者联系!

你可能感兴趣的:(dynamic,职场,VLAN,休闲,802.1x,Tunnel-Tag)