在WFS709TP 80211x认证中如何实现将用户动态加入到指定VLAN.docx

1、在WFS709TP 80211x认证中如何实现将用户动态加入到指定VLAN在WFS709TP 802.1x认证中如何实现将用户动态加入到指定VLANNETGEAR中国客户服务部 技术支持工程师 高宁 2008年8月7日在802.1x认证实际应用中，我们有的客户会有这种想法：使用一个或多个SSID，利用无线控制器内部的认证服务器或外部Radius服务器，希望对每个通过认证的用户，根据用户名指派到各自的VLAN中去。NETGEAR ProSafe WFS709TP是可以实现这个功能的，下面，我们就分别以内部服务器和外部服务器的例子来说明配置方法。第一部分：使用WFS709TP内部认证服务器一、 拓

2、扑结构图WFS709TP上面开启VLAN 1和VLAN 2，但只提供了一个VLAN 1的SSID：guest，使用内部服务器提供802.1x认证。下面有两个客户端，用户名分别为aaa和bbb。正常情况下，这两个客户端认证通过后都是分配到VLAN 1中的。现在我们需要将aaa这个用户指派到VLAN 2中去。（假设VLAN 1和VLAN 2中都有各自的DHCP服务器。）二、 设置方法1、 首先创建一个使用内部服务器进行802.1x认证的SSID：guest，并创建两个用户aaa和bbb，如下图所示：2、进入Configuration Advanced Security AAA Servers In

3、ternal DB 中，在Server Rules中点Add。如下图：3、设置Attribute为“User-Name”，请注意大小写和中间的横杠。Condition选equals（等于），Value填入要设置的用户名，VLAN选要指定的VLAN号。注： Attribute是指Radius服务器里各种参数的属性类型，有专门的名字，不能随便写，如“User-Name”就代表用户名，不能写成“UserName”或“User Name”等。 Condition是指条件，有“包含”、“以此结尾”、“等于”、“不等于”、“以此开头”、“值为”等几种。 Value就是填入Attribute属性的值了。本例

4、中的设置意思就是：当User-Name的值equals（等于）aaa时，将此用户指派到VLAN 2。设置完成后点Apply应用，则回到前面的页面了。4、此时用客户端来测试（客户端设置可参考本文最后的方法），当用户名使用bbb时，获取的IP为VLAN 1中的地址（192.168.1.0），如下图：5、当使用aaa用户名时，获取的IP为VLAN 2中的地址（192.168.2.0），如下图：第二部分：使用外部Radius服务器（Windows 2003 Server + IAS + Active Directory）一、 拓扑结构图WFS709TP上开启VLAN 1和VLAN 2，分别对应两个SS

5、ID：gn1和gn2，这两个SSID均为802.1x认证，使用外部Radius服务器。VLAN 1和VLAN 2中都有各自的DHCP服务器。现有两个用户，分别使用用户名aaa和bbb。WGL102连在VLAN 1中。要求：用户aaa不论在哪个SSID下，都是分配到VLAN 1中的；而用户bbb不论在哪个SSID下，都是分配到VLAN 2中。二、 设置方法（一）WFS709TP的设置1、创建VLAN 1和VLAN 22、设置两个SSID：gn1和gn2，分别对应VLAN 1和VLAN 2，采用802.1x认证方式，并使用外部Radius服务器认证。（二）Radius服务器的设置环境：Micros

6、oft Windows Server 2003 Enterprise Edition（Service Pack 2）Active Directory、IAS1、Active Directory的设置1.1在Active Directory用户和计算机中，右键点Users，在“新建”中选“用户”，创建两个用户：aaa和bbb（新建用户的过程比较简单，不具体描述了）1.2修改用户的属性：双击“aaa”，进入“拨入”选项卡中，将远程访问权限设为“允许访问”。1.3同样方法修改“bbb”的属性。1.4新建两个组：vlan1和vlan2，为每个VLAN创建一个组，组里包含的就是各个VLAN的用户。1.4

7、.1右键点Users，在“新建”中选“组”1.4.2设置“组名”，作用域选“全局”，组类型选“安全组”。两个组建好后如下图：1.4.3将aaa和bbb分别加入到两个组中双击“vlan1”，选择“成员”选项卡，然后点“添加”，在出来的窗口填入“aaa”，最后点“确定”，即可将用户aaa加入vlan1组中。1.4.4同样方法将bbb加入vlan2组。2、Internet验证服务（IAS）的设置2.1新建Radius客户端。进入Internet验证服务（IAS），右键点“RADIUS客户端”，选择“新建RADIUS客户端”。填入自定义的名称，例如server2；客户端地址是指支持Radius Sta

8、ndard、IEEE802.1x的网络设备的IP地址，也就是指的WFS709TP了，例如 192.168.1.250。选择标准Radius，并设置共享密钥（须与WFS709TP的Radius Shared Key一致）。然后点完成结束。2.2新建访问策略。2.2.1右键点“远程访问策略”，选择“新建远程访问策略”2.2.2在出来的向导中，选自定义访问策略2.2.3下一步，在策略状况下点“添加”，选择“Windows-Groups”，再点添加随后会出现添加组的窗口，也是点“添加”，然后输入“vlan1”这个组名，点确定。2.2.4经过确定，策略添加成功，点下一步2.2.5授予远程访问的权限2.2

9、.6下一步，编辑配置文件，进入“身份认证”选项卡，点击“EAP方法”这里可以选择认证的类型，一般无线网卡通用的是PEAP方式2.2.7再进入“高级”选项卡，点“添加”。1）首先添加Tunnel-Medium-Type属性添加多值属性“802”2）再添加Tunnel-Pvt-Group-ID添加多值属性，格式为字符串，输入的参数代表VLAN ID或VLAN Name。所以输入1表示VLAN 1。3）最后添加Tunnel-Type属性添加多值属性“Virtual LANs（VLAN）”2.2.8完毕后，可以看到刚才添加的三个属性已经在配置文件中了。2.2.9再点下一步，即完成了VLAN 1的策略。

10、2.3使用同样方法，完成VLAN 2的策略。注意：1、每个策略对应一个VLAN组，所以要为每个VLAN组都要建立一个这样的策略2、在“远程访问策略”中，若有默认策略，需要将默认策略放到最后，使其优先级最低。三、 客户端检测（无论使用内部还是外部的服务器，若是PEAP认证的，都可以用XP自带的802.1x客户端来连接）1、添加gn1这个SSID1、 验证选择PEAP方式2、 点“属性”，将下图中的勾去掉，然后一路点“确定”退出。4、单击电脑右下角的提示，会出现输入用户名和密码的窗口输入用户名和密码，若正确，则可以连接成功。5、如下图所示，客户端连接的是gn1（VLAN 1），而拿到的IP为VLAN 2这个段的。这说明bbb用户已经动态的指派到VLAN 2中了。试验心得：1、 在控制器上建几个vlan后只需建一个SSID，然后在raduis服务器上设置vlan组，把相应的用户加入到VLAN组中，连接后就就会分配到相应的IP。2、 例：如果在控制上没有设置vlan2，而服务器上test用户却被指定到了vlan2中，用test连接SSID：netgear时，用户得到的IP会是SSID：netgear的指定的vlan IP。也就是连接时先匹配服务器上访问策略的vlan ，如果在控制器上没有找到，则会匹配SSID的vlan。