在WFS709TP 80211x认证中如何实现将用户动态加入到指定VLAN.docx
《在WFS709TP 80211x认证中如何实现将用户动态加入到指定VLAN.docx》由会员分享,可在线阅读,更多相关《在WFS709TP 80211x认证中如何实现将用户动态加入到指定VLAN.docx(29页珍藏版)》请在冰豆网上搜索。
在WFS709TP80211x认证中如何实现将用户动态加入到指定VLAN
在WFS709TP802.1x认证中如何实现将用户动态加入到指定VLAN
NETGEAR中国客户服务部技术支持工程师高宁
2008年8月7日
在802.1x认证实际应用中,我们有的客户会有这种想法:
使用一个或多个SSID,利用无线控制器内部的认证服务器或外部Radius服务器,希望对每个通过认证的用户,根据用户名指派到各自的VLAN中去。
NETGEARProSafeWFS709TP是可以实现这个功能的,下面,我们就分别以内部服务器和外部服务器的例子来说明配置方法。
第一部分:
使用WFS709TP内部认证服务器
一、拓扑结构图
WFS709TP上面开启VLAN1和VLAN2,但只提供了一个VLAN1的SSID:
guest,使用内部服务器提供802.1x认证。
下面有两个客户端,用户名分别为aaa和bbb。
正常情况下,这两个客户端认证通过后都是分配到VLAN1中的。
现在我们需要将aaa这个用户指派到VLAN2中去。
(假设VLAN1和VLAN2中都有各自的DHCP服务器。
)
二、设置方法
1、首先创建一个使用内部服务器进行802.1x认证的SSID:
guest,并创建两个用户aaa和bbb,如下图所示:
2、进入Configuration>Advanced>Security>AAAServers>InternalDB中,在ServerRules中点Add。
如下图:
3、设置Attribute为“User-Name”,请注意大小写和中间的横杠。
Condition选equals(等于),Value填入要设置的用户名,VLAN选要指定的VLAN号。
注:
●Attribute是指Radius服务器里各种参数的属性类型,有专门的名字,不能随便写,如“User-Name”就代表用户名,不能写成“UserName”或“UserName”等。
●Condition是指条件,有“包含”、“以此结尾”、“等于”、“不等于”、“以此开头”、“值为”等几种。
●Value就是填入Attribute属性的值了。
本例中的设置意思就是:
当User-Name的值equals(等于)aaa时,将此用户指派到VLAN2。
设置完成后点Apply应用,则回到前面的页面了。
4、此时用客户端来测试(客户端设置可参考本文最后的方法),当用户名使用bbb时,获取的IP为VLAN1中的地址(192.168.1.0),如下图:
5、当使用aaa用户名时,获取的IP为VLAN2中的地址(192.168.2.0),如下图:
第二部分:
使用外部Radius服务器(Windows2003Server+IAS+ActiveDirectory)
一、拓扑结构图
WFS709TP上开启VLAN1和VLAN2,分别对应两个SSID:
gn1和gn2,这两个SSID均为802.1x认证,使用外部Radius服务器。
VLAN1和VLAN2中都有各自的DHCP服务器。
现有两个用户,分别使用用户名aaa和bbb。
WGL102连在VLAN1中。
要求:
用户aaa不论在哪个SSID下,都是分配到VLAN1中的;而用户bbb不论在哪个SSID下,都是分配到VLAN2中。
二、设置方法
(一)WFS709TP的设置
1、创建VLAN1和VLAN2
2、设置两个SSID:
gn1和gn2,分别对应VLAN1和VLAN2,采用802.1x认证方式,并使用外部Radius服务器认证。
(二)Radius服务器的设置
环境:
MicrosoftWindowsServer2003EnterpriseEdition(ServicePack2)
ActiveDirectory、IAS
1、ActiveDirectory的设置
1.1在ActiveDirectory用户和计算机中,右键点Users,在“新建”中选“用户”,创建两个用户:
aaa和bbb
(新建用户的过程比较简单,不具体描述了)
1.2修改用户的属性:
双击“aaa”,进入“拨入”选项卡中,将远程访问权限设为“允许访问”。
1.3同样方法修改“bbb”的属性。
1.4新建两个组:
vlan1和vlan2,为每个VLAN创建一个组,组里包含的就是各个VLAN的用户。
1.4.1右键点Users,在“新建”中选“组”
1.4.2设置“组名”,作用域选“全局”,组类型选“安全组”。
两个组建好后如下图:
1.4.3将aaa和bbb分别加入到两个组中
双击“vlan1”,选择“成员”选项卡,然后点“添加”,在出来的窗口填入“aaa”,最后点“确定”,即可将用户aaa加入vlan1组中。
1.4.4同样方法将bbb加入vlan2组。
2、Internet验证服务(IAS)的设置
2.1新建Radius客户端。
进入Internet验证服务(IAS),右键点“RADIUS客户端”,选择“新建RADIUS客户端”。
填入自定义的名称,例如server2;客户端地址是指支持RadiusStandard、IEEE802.1x的网络设备的IP地址,也就是指的WFS709TP了,例如192.168.1.250。
选择标准Radius,并设置共享密钥(须与WFS709TP的RadiusSharedKey一致)。
然后点完成结束。
2.2新建访问策略。
2.2.1右键点“远程访问策略”,选择“新建远程访问策略”
2.2.2在出来的向导中,选自定义访问策略
2.2.3下一步,在策略状况下点“添加”,选择“Windows-Groups”,再点添加
随后会出现添加组的窗口,也是点“添加”,然后输入“vlan1”这个组名,点确定。
2.2.4经过确定,策略添加成功,点下一步
2.2.5授予远程访问的权限
2.2.6下一步,编辑配置文件,进入“身份认证”选项卡,点击“EAP方法”
这里可以选择认证的类型,一般无线网卡通用的是PEAP方式
2.2.7再进入“高级”选项卡,点“添加”。
1)首先添加Tunnel-Medium-Type属性
添加多值属性“802”
2)再添加Tunnel-Pvt-Group-ID
添加多值属性,格式为字符串,输入的参数代表VLANID或VLANName。
所以输入1表示VLAN1。
3)最后添加Tunnel-Type属性
添加多值属性“VirtualLANs(VLAN)”
2.2.8完毕后,可以看到刚才添加的三个属性已经在配置文件中了。
2.2.9再点下一步,即完成了VLAN1的策略。
2.3使用同样方法,完成VLAN2的策略。
注意:
1、每个策略对应一个VLAN组,所以要为每个VLAN组都要建立一个这样的策略
2、在“远程访问策略”中,若有默认策略,需要将默认策略放到最后,使其优先级最低。
三、客户端检测(无论使用内部还是外部的服务器,若是PEAP认证的,都可以用XP自带的802.1x客户端来连接)
1、添加gn1这个SSID
1、验证选择PEAP方式
2、点“属性”,将下图中的勾去掉,然后一路点“确定”退出。
4、单击电脑右下角的提示,会出现输入用户名和密码的窗口
输入用户名和密码,若正确,则可以连接成功。
5、如下图所示,客户端连接的是gn1(VLAN1),而拿到的IP为VLAN2这个段的。
这说明bbb用户已经动态的指派到VLAN2中了。
试验心得:
1、在控制器上建几个vlan后只需建一个SSID,然后在raduis服务器上设置vlan组,把相应的用户加入到VLAN组中,连接后就就会分配到相应的IP。
2、例:
如果在控制上没有设置vlan2,而服务器上test用户却被指定到了vlan2中,用test连接SSID:
netgear时,用户得到的IP会是SSID:
netgear的指定的vlanIP。
也就是连接时先匹配服务器上访问策略的vlan,如果在控制器上没有找到,则会匹配SSID的vlan。
升级会员 