利用802.11x协议实现动态vlan的划分

场景:在 DC 上安装 IAS 服务,在网络中搭建一台授权的 DHCP 服务器,针对每一个 vlan 设置 DHCP 的作用域,在 3 层交换机上作相应 DHCP 中继,确保 IAS 能和启用 802.1x 的交换机通信
在域的密码策略和用户属性中设置用可还原的加密保存密码,同时设置用户的拨入属性为允许拨入
1 ,和 802.1x 相关的交换机主要配置内容:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
!---
如果只是做 802.1x 认证,则 aaa authorization network 这句可不要,如要做 VLAN 分配或 per-user ACL ,则必须做 network authorization
dot1x system-auth-control
!---
注意在 12.1(14)EA1 版以后 802.1x 的配置有了修改,此句 enable 802.1x
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
dot1x max-req 3
spanning-tree portfast
!---dot1x port-control auto
句在 F0/1 enable dot1x ,另外注意在 F0/1 口下我并没有给它赋 VLAN

radius-server host 1.2.3 .4 auth-port 1812 acct-port 1813 key radius_string
radius-server vsa send authentication
必须配置
!---radius-server host 1.2.3.4
句定义 radius server 信息,并给出验证字串
!---
因为要配置 VLAN 分配必须使用 IETF 所规定的 VSA(Vendor-specific attributes )值, radius-server vsa send authentication 句允许交换机识别和使用这些 VSA 值。
2 Radius 服务器设置
1 ,创建客户端 159.226.130.50 为交换机的 ip 地址
2 ,设置远程访问记录,勾选以下 3 项(可选)
3 ,新建远程访问策略
新建策略一 times( 名字自定 )
新建策略二:
Ip 选项卡中设置用户请求 ip 地址
EAP 方法中添加 md5 质询(此步可选)
高级选项卡中添加以下三项( 2 vlan id 号不要使用 16 进制)
 
3 ,在客户端设置:
ok
当我们再一次连接到交换机上配置的交换机上时,我们将会发现在桌面的右下角会出现一个输入用户名的对话框,至于你的机器所连接的接口将会属于哪一个vlan就要看你所输入的用户名了
 

本文出自 “崇尚技术分享进步” 博客,谢绝转载!

你可能感兴趣的:(路由,DHCP,VLAN,动态vlan,802.11x协议)