利用802.11x协议实现动态vlan的划分

场景：在 DC 上安装 IAS 服务，在网络中搭建一台授权的 DHCP 服务器，针对每一个 vlan 设置 DHCP 的作用域，在 3 层交换机上作相应 DHCP 中继，确保 IAS 能和启用 802.1x 的交换机通信

在域的密码策略和用户属性中设置用可还原的加密保存密码，同时设置用户的拨入属性为允许拨入

1 ，和 802.1x 相关的交换机主要配置内容：
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!--- 如果只是做 802.1x 认证，则 aaa authorization network 这句可不要，如要做 VLAN 分配或 per-user ACL ，则必须做 network authorization
dot1x system-auth-control
!--- 注意在 12.1(14)EA1 版以后 802.1x 的配置有了修改，此句 enable 802.1x
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto 句在 F0/1 上 enable dot1x ，另外注意在 F0/1 口下我并没有给它赋 VLAN

radius-server host 1.2.3 .4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication 必须配置
!---radius-server host 1.2.3.4 句定义 radius server 信息，并给出验证字串
!--- 因为要配置 VLAN 分配必须使用 IETF 所规定的 VSA(Vendor-specific attributes ）值， radius-server vsa send authentication 句允许交换机识别和使用这些 VSA 值。

2 ， Radius 服务器设置

1 ，创建客户端 159.226.130.50 为交换机的 ip 地址

2 ，设置远程访问记录，勾选以下 3 项（可选）

3 ，新建远程访问策略

新建策略一 times( 名字自定 )

新建策略二：

Ip 选项卡中设置用户请求 ip 地址

EAP 方法中添加 md5 质询（此步可选）

高级选项卡中添加以下三项（ 2 vlan id 号不要使用 16 进制）

 

3 ，在客户端设置：

ok

当我们再一次连接到交换机上配置的交换机上时，我们将会发现在桌面的右下角会出现一个输入用户名的对话框，至于你的机器所连接的接口将会属于哪一个vlan就要看你所输入的用户名了

 

本文出自 “崇尚技术分享进步” 博客，谢绝转载！