RADIUS服务器ACS 5.2和无线控制器动态VLAN分配配置举例简介 (2)先决条件 (2)要求 (2)组件使用 (2)RADIUS服务器的动态VLAN分配 (2)配置 (3)网络图 (3)假设条件 (5)配置步骤 (5)配置RADIUS服务器 (5)配置网络资源 (6)配置用户 (9)定义策略元素 (11)应用访问策略 (14)配置无线控制器 (18)在无线控制器上配置认证服务器的详细信息 (18)配置动态接口（VLAN） (19)配置无线局域网WLAN S（SSID） (23)配置无线客户端实用工具 (26)验证 (32)验证S TUDENT-1用户 (32)验证T EACHER-1用户 (34)故障排除 (36)故障排除命令 (36)简介本文档介绍了动态VLAN分配的概念。

它还介绍了如何配置无线控制器和RADIUS服务器，即思科访问控制服务器（ACS）5.2版本，来为无线客户端动态分配一个特定的VLAN。

先决条件要求请确保您满足下列要求，然后再尝试进行配置：* 具备基本的无线控制器和轻量级无线接入点的知识* 具备AAA服务器功能的知识* 具备无线网络和无线网络安全问题的透彻认识组件使用本文档中的信息基于下列软件和硬件版本：* 思科5508无线控制器，软件版本7.0.220.0* 思科3502系列无线接入点* 微软Windows 7原生请求程序与英特尔6300-N无线客户端（驱动程序版本14.3）* 思科Secure ACS 5.2版本* 思科3560系列交换机本文档中的资料是从一个特定实验室环境中的设备上生成的。

本文档中使用的所有设备以缺省（默认）配置开始配置。

如果您的网络是正在使用的生产系统，请确保您了解所有命令带来的潜在影响。

RADIUS服务器的动态VLAN分配在大多数无线局域网系统中，每一个WLAN都有一个静态的政策，适用于关联服务集标识符（SSID）的所有客户端。

这种静态方法有其局限性，因为需要不同的QoS和安全政策的客户端必须关联不同的SSID。

然而，对于支持身份识别的思科无线网络解决方案，一个单一的SSID允许根据用户凭据继承不同的QoS、VLAN属性和/或安全政策。

动态VLAN分配就是一个这样的功能，可根据用户提供的凭据将无线用户放到一个特定的VLAN。

这个任务是由RADIUS认证服务器处理，例如思科Secure ACS。

这可以用来允许无线主机保持在同一个VLAN，即使它在园区网内移动。

因此，当客户端试图关联注册到无线控制器的无线接入点时，用户凭据被传递到RADIUS服务器进行验证。

一旦认证成功，RADIUS服务器将特定的Internet工程任务组（IETF）用户属性传输给用户。

这些RADIUS属性决定了应分配给无线客户端的VLAN ID。

用户始终被分配到这个预定的VLAN ID。

RADIUS的用户VLAN ID属性是：* IETF 64 (Tunnel Type) - 设置为VLAN。

* IETF 65 (Tunnel Medium Type) - 设置为802。

* IETF 81 (Tunnel Private Group ID) - 设置为VLAN ID。

VLAN ID是一个12位的介于1和4094（含）之间的值。

Tunnel-Private-Group-ID是字符串类型，在RFC 2868中定义，用于IEEE 802.1X认证。

VLAN ID的整型值被编码为一个字符串。

正如在RFC2868的3.1节中描述：该域长度是一个字节，用于提供在同一隧道同一数据包的一组属性。

有效值是0X01到0x1F。

如果该域是未使用的，它的值必须是零（0x00）。

参考RFC 2868 获取所有RADIUS属性的更多信息。

配置在本节中将向您介绍如何配置本文档中描述的功能的信息。

注意：使用命令查找工具（注册用户才可访问）获得本节中使用的命令的更多信息。

网络图本文使用的网络设置：下列为图中所使用的组件的详细配置信息：* ACS（RADIUS）服务器的IP地址是192.168.150.24。

* 无线控制器的管理和AP-manager接口地址为192.168.75.44。

* DHCP服务器的地址192.168.150.25。

* VLAN 253和VLAN 257被用于整个此配置。

用户连接到相同的SSID“goa”。

用户Student-1被配置为分配到VLAN 253，用户Teacher-1被配置为分配到VLAN 257。

* 用户将被分配到VLAN 253：o VLAN 253: 192.168.153.x/2。

网关：192.168.153.1o VLAN 257: 192.168.157.x/2。

网关：192.168.157.1o VLAN 75: 192.168.75.x/24。

网关：192.168.75.1* 本文使用802.1x和PEAP安全机制。

注：思科建议您使用高级的验证方法，如EAP-FAST和EAP-TLS进行验证，以确保WLAN的安全性。

假设条件* 交换机配置了所有三层的VLAN。

* DHCP服务器配置了一个DHCP的IP地址范围范围。

* 第3层连接在网络中的所有设备之间存在。

* 无线接入点已经加入到无线控制器。

* 每个VLAN为24位掩码。

* ACS 5.2安装了一个自签名的证书。

配置步骤配置分为三大步骤：1. 配置RADIUS服务器。

2. 配置无线控制器。

3. 配置无线客户端实用工具。

配置RADIUS服务器The RADIUS server configuration is divided into four steps: RADIUS服务器的配置分为四个步骤：1. 配置网络资源。

2. 配置用户。

3. 定义策略元素。

4. 应用访问策略。

ACS 5.x是基于策略的访问控制系统。

也就是说，ACS 5.x使用一个以规则为基础的策略模型，而不是像4.x版本中使用基于组的模型。

ACS 5.x的以规则为基础的策略模式提供了更加强大和灵活的访问控制。

传统的以组为基础的模型，可根据三种类型的信息基于组来定义政策，：* 身份信息–该信息可以使用AD或LDAP上的成员信息，或ACS内部静态用户信息。

* 其他限制或条件- 时间的限制，设备的限制等等。

* 权限- VLAN或思科IOS®权限级别。

ACS 5.x的策略模型是基于规则的形式：* If condition then result（如果满足条件则导致）例如，我们使用基于组的模型所描述的信息：* If identity-condition, restriction-condition then authorization-profile（如果匹配身份的条件，限制条件，则授权。

）因此，这给我们限制在什么条件下允许用户访问网络，以及符合特定条件时授权什么样的级别带来了灵活性。

配置网络资源在本节中，我们在RADIUS服务器上配置AAA客户端。

此过程说明如何在RADIUS服务器上添加无线控制器作为AAA客户端，以便使用户可以通过认证的过程。

完成以下步骤：1. 从ACS GUI界面，到网络资源> 网络设备组> 位置，然后单击“创建”（底部）。

2. 添加所需的字段，并单击“提交”。

现在，您将看到这样的画面：3. 单击“设备类型”>“创建”。

4. 点击“提交”。

您将看到下列画面：5. 到网络资源> 网络设备和AAA客户端。

6. 单击创建，填写详细信息，如下所示：7. 点击“提交”。

您将看到下列画面：配置用户在本节中，我们将在ACS上创建本地用户Student-1和Teacher-1，Student-1用户被分配在Student组，Teacher-1用户则分配到Teacher组。

1. 到用户和身份存储> 身份组> 创建。

2. 当您单击“提交”，页面如下：3. 创建用户并分配到各自的组。

4. 单击“用户和身份存储> 身份识别组”>“用户”> “创建”。

5. 同样的，创建Teacher-1。

屏幕上看起来像这样：定义策略元素完成下列步骤以便为用户定义IETF的属性：1. 转至策略元素> 授权和权限> 网络接入> 授权信息> 创建。

2. 从常见任务选项卡：3. 加入下列IETF属性：* Tunnel-Type = 64 = VLAN* Tunnel-Medium-Type = 802* Tunnel-Private-Group-ID = 253 (Student-1)和257 (Teacher-1) 对于Students组：对于Teachers组：4. 一旦添加了两个属性，屏幕上看起来像这样：应用访问策略在本节中，我们将描述选择要使用的身份验证方法和规则是如何进行配置的。

基于前面的步骤，我们将创建规则。

完成以下步骤：1. 到访问策略> 接入服务> 默认网络访问> 编辑：“默认网络访问”。

2. 选择无线客户端进行身份验证的EAP方法。

在这个例子中，我们使用PEAP-MSCHAPv2。

3. 点击“提交”。

4. 请确认您所选择的身份组。

在这个例子中，我们使用内部的用户组。

5. 为了验证授权配置，请访问策略> 接入服务> 默认网络访问授权。

您可以自定义在什么情况下你会允许用户对网络访问和以及分配授权配置文件（属性）。

这种划分仅适用于ACS 5.x。

在这个例子中，我们选择了基于位置、设备类型、协议、身份组和EAP验证方法。

6. 单击“确定”保存更改。

7. 下一步是要创建规则。

如果没有定义规则，则允许客户端访问而无需任何条件。

单击创建> 规则-1。

这条规则适用于用户Student-1。

8. 同样的，创建一个Teacher-1的规则。

点击“保存更改”。

屏幕上看起来像这样：9. 现在我们要定义服务选择规则。

使用此页配置一个简单的或以规则为基础的策略，以确定哪些服务适用于进入的的请求。

在这个例子中，我们使用以规则为基础的策略。

配置无线控制器配置需要以下步骤：1. 在无线控制器上配置身份验证服务器的详细信息。

2. 配置动态接口（VLAN）。

3. 配置无线局域网（SSID）。

在无线控制器上配置认证服务器的详细信息这是必要的无线控制器配置，以便它可以与RADIUS服务器进行通信来对客户端进行身份验证，也可用于任何其他交互。

完成以下步骤：1. 在控制器的GUI界面中，单击“安全性”。

2. 输入RADIUS服务器的IP地址，RADIUS服务器和无线控制器之间使用的共享密钥。

该共享密钥与在RADIUS服务器上的配置应该是相同的。

配置动态接口（VLAN）此过程说明如何在无线控制器配置动态接口。

如前面所释，根据RADIUS服务器的Tunnel-Private-Group ID属性指定的VLAN ID也必须在无线控制器上存在。