RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例.pdf

RADIUS 服务器ACS 5.2 和无线控制器 动态VLAN 分配配置举例 简介 2 先决条件 2 要求2 组件使用2 RADIUS 服务器的动态VLAN 分配 2 配置3 网络图3 假设条件5 配置步骤 5 配置 RADIUS 服务器 5 配置网络资源6 配置用户9 定义策略元素11 应用访问策略14 配置无线控制器18 在无线控制器上配置认证服务器的详细信息18 配置动态接口（VLAN ）19 配置无线局域网WLANS （SSID ）23 配置无线客户端实用工具26 验证32 验证STUDENT-1 用户32 验证TEACHER-1 用户34 故障排除36 故障排除命令36 简介 本文档介绍了动态VLAN 分配的概念。它还介绍了如何配置无线控制器和 RADIUS 服务器， 即思科访问控制服务器（ACS ）5.2 版本，来为无线客户端动态分配一个特定的VLAN 。 先决条件 要求 请确保您满足下列要求，然后再尝试进行配置： * 具备基本的无线控制器和轻量级无线接入点的知识 * 具备AAA 服务器功能的知识 * 具备无线网络和无线网络安全问题的透彻认识 组件使用 本文档中的信息基于下列软件和硬件版本： * 思科5508 无线控制器，软件版本 * 思科3502 系列无线接入点 * 微软Windows 7 原生请求程序与英特尔6300-N 无线客户端（驱动程序版本14.3） * 思科Secure ACS 5.2 版本 * 思科3560 系列交换机 本文档中的资料是从一个特定实验室环境中的设备上生成的。本文档中使用的所有设备以缺 省（默认）配置开始配置。如果您的网络是正在使用的生产系统，请确保您了解所有命令带 来的潜在影响。 RADIUS 服务器的动态VLAN 分配 在大多数无线局域网系统中，每一个WLAN 都有一个静态的政策，适用于关联服务集标识符 （SSID ）的所有客户端。这种静态方法有其局限性，因为需要不同的QoS 和安全政策的客户 端必须关联不同的SSID 。 然而，对于支持身份识别的思科无线网络解决方案，一个单一的 SSID 允许根据用户凭据继 承不同的QoS、VLAN 属性和/或安全政策。 动态 VLAN 分配就是一个这样的功能，可根据用户提供的凭据将无线用户放到一个特定的 VLAN 。这个任务是由RADIUS 认证服务器处理，例如思科Secure ACS 。这可以用来允许无线 主机保持在同一个VLAN ，即使它在园区网内移动。 因此，当客户端试图关联注册到无线控制器的无线接入点时，用户凭据被传递到RADIUS 服 务器进行验证。一旦认证成功，RADIUS 服务器将特定的Internet 工程任务组（IETF）用户属 性传输给用户。这些 RADIUS 属性决定了应分配给无线客户端的VLAN ID 。用户始终被分配 到这个预定的VLAN ID 。 RADIUS 的用户VLAN ID 属性是： * IETF 64 (Tunnel Type) - 设置为VLAN。 * IETF 65 (Tunnel Medium Type) - 设置为802 。 * IETF 81 (Tunnel Private Group ID) - 设置为VLAN ID 。 VLAN ID 是一个12 位的介于1 和4094 （含）之间的值。Tunnel-Private-Group-ID 是字符串类 型，在RFC 2868 中定义，用于IEEE 802.1X 认证。VLAN ID 的整型值被编码为一个字符串。 正如在RFC2868 的3.1 节中描述：该域长度是一个字节，用于提供在同一隧道同一数据包的 一组属性。有效值是 0X01 到0x1F 。如果该域是未使用的，它的值必须是零（0x00 ）。参考 RFC 2868 获取所有RADIUS 属性的更多信息。 配置 在本节中将向您介绍如何配置本文档中描述的功能的信息。 注意：使用命令查找工具（注册用户才可访问）获得本节中使用的命令的更多信息。 网络图 本文使用的网络设置： 下列为图中所使用的组件的详细配置信息： * ACS （RADIUS）服务器的IP 地址是4。 * 无线控制器的管理和AP-manager 接口地址为4。