如何配置Switch和RADIUS server以實現帶有動態VLAN分配的802.1x認證

選項
Zyxel小編 Nilo
Zyxel小編 Nilo 文章數: 31  Zyxel Employee
已編輯 十一月 2022 乙太網路交換器 常見問題

ZyxelSwitch支援802.1x認證,該認證強制用戶提交有效的用戶身份憑證,以由身份認證 server(在範例中為RADIUS server)進行身份認證,然後才能在Switch之間轉發其流量。

 

動態VLAN分配是PORT身份認證的一種,它可以根據提交的用戶憑證在特定VLAN中處理用戶流量,而非PORT的PVID。我們可以透過在用戶設定中添加某些屬性來達成這樣的需求。

 

下面的範例將示範如何設定Switch和RADIUS server,以允許基於提交的用戶憑證在特定VLAN中處理用戶流量。

 

 

USG為VLAN 10和VLAN 20中的用戶提供了動態IP地址配置:

-如果用戶輸入“ VLAN10”用戶憑證,則用戶將接收網路192.168.10.0/24的動態IP地址。

-如果用戶輸入“ VLAN20”用戶憑證,則用戶將接收網路192.168.20.0/24的動態IP地址。

-如果用戶輸入無效的憑證,則不允許用戶通過Switch進行通信。

在此範例中,用戶A和B將基於提交的用戶憑證通過動態VLAN分配獲得不同的網路IP。可以相應地實現靈活的網路分段和管理。

注意:

範例中所使用網絡IP和子網遮罩掩碼作為示例。請用您的實際網絡IP地址和子網遮罩替換它們。範例中的身份認證 server在PC中運行TekRADIUS Manager,而在Switch上運行GS1920-24HP。

1. Switch中的設定

1-1. 進入Switch的Web GUI。

1-2. 到進階設定> VLAN> VLAN設定>靜態VLAN設定。

1-3. 為用戶建立VLAN 10、20,為RADIUS server建立VLAN 100。

1-4. 到進階設定> VLAN> VLAN設定> VLAN port設定。

1-5. 為連接到RADIUS server的port設定PVID 100。

1-6. 到基本設定> IP設定。

1-7. 設定VLAN 10、20和100的IP。

1-8. 到進階設定> AAA> RADIUS server設定。

1-9. 輸入RADIUS server的IP地址,並將共享密碼設置為“ 12345”。


1-10. 到進階設定> AAA> AAA設定。

1-11. 檢查“授權”部分下的Dot1x。

 

1-12. 到進階設定 > port身份認證 >  802.1x。

1-13. 在連接到用戶的port上啟用port身份認證。


注意:

也可以添加Guest VLAN(請參閱如何設定Switch以在Guest VLAN中發送未經授權的用戶),以隔離未經授權的用戶。

 

2. 在RADIUS server中進行設定

2-1. 登入RADIUS server。

2-2. 編輯Switch的客戶端設定文件。

 

注意:

客戶端IP地址和密碼必須與Switch的管理IP和共享密碼相同。

2-3. 編輯用戶設定文件以獲取用戶憑證和屬性(VLAN ID)。



2-4. 重新啟動TekRADIUS服務以重新整理設定。

 

3. 測試結果

3-1. 關於Windows操作系統上的802.1x設定,請參閱如何設定Switch和RADIUS server以通過802.1x PORT身份認證提供網路訪問

3-2. 將用戶A PC連接到Switch的port1,用戶A PC上應顯示“需要更多資訊才能連接到該網絡”。


3-3. 輸入用戶名(VLAN10)和密碼(vlan10user)必須是與RADIUS server的用戶設定文件的設設定是一致的。


3-4. 進入Switch管理介面,然後到維護> MAC表。檢查Switch上的MAC表,應為用戶A分配VLAN ID 10。


3-5. 用戶A從USG上的DHCP server獲取VLAN 10中的動態IP192.168.10.X。


3-6. 將用戶B PC連接到Switch的port2,用戶B PC上應顯示“需要更多信息才能連接到該網絡”


3-7. 輸入用戶名(vlan20)和密碼(vlan20user),該名稱必須與RADIUS server的用戶設定文件設定一致。


3-8. 進入Switch管理介面,然後到維護> MAC表。檢查Switch上的MAC表,應為用戶B分配VLAN ID 20。


3-9. 用戶B從USG上的DHCP server獲取VLAN 20中的動態IP192.168.20.X。


注意:

動態VLAN分配的優先權高於Switch上的PVID。這意味著,如果您打算在特定port上使用PVID,則應使用不包括VLAN ID屬性分配的用戶憑證提交。

 

4. 可能出錯的地方

4-1. 確保預先建立有關要通過802.1x PORT身份認證動態分配的VLAN ID的特定VLAN。

4-2. 共享的密碼,用戶名和密碼均區分大小寫。確保用戶輸入正確的小寫或大寫字符。無效的憑證將被禁止訪問Switch,或被隔離到具有有限制網路資源的來賓VLAN。



分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)