如何設定Switch將未經授權的用戶發送到Guest VLAN
Zyxel Employee
此範例顯示了管理員如何在802.1x port身份認證為失敗或使用無效用戶認證的用戶使用Guest VLAN。在實際的應用程序中,我們可能需要允許訪客訪問USG,以便他們可以訪問Internet,但仍與Private Server隔離。相反,我們必須允許具有有效憑據的用戶僅訪問Private Server。
注意:
本文使用所有的網路IP位址和子網遮罩僅作為範例。請用您的實際網路IP位址和子網遮罩替換它們。
1. 設定
1-1. 在Switch中設定802.1x port身份認證
在所有用戶會用到的設備上配置802.1x。請勿在USG,RADIUS server和Private Server的port上啟用port身份認證。
1-2. 在Switch中為Guest VLAN設定VLAN
在Switch上為Guest VLAN(VLAN 100)配置VLAN。VLAN 100:設定port1,port2,port3,port30; 均為untagged port; 排除port31、port32;將port 30的pvid設為100。VLAN 1:設定排除port30。用於隔離VLAN 1和100。
1-3. 在Switch中設定Guest VLAN進行身份認證失敗
選到Menu > Advanced Application > Port Authentication > 802.1x > Guest Vlan。 在port 1-3上將Active打勾,然後將Guest VLAN輸入為100。按”Apply”。
1-4. 設定RADIUS server
1-4-1. 在/etc/freeradius/clients.conf中編輯客戶端設定文件。保存文件並退出。
注意:
客戶端IP位址和密碼必須與Switch的管理IP和共享密碼相匹配。
1-4-2. 在/ etc / freeradius / users中添加以下用戶配置文件。保存文件並退出。
1-4-3. 重新啟動FreeRADIUS service。
1-5. 在Windows中設定user A,user B和Guest的設置
1-5-1. 在服務視窗中,找到名為Wired AutoConfig的服務。確保服務狀態為“已啟動”。
1-5-2. 右鍵點擊您的網路卡,然後選擇屬性。點擊身份認證選項卡,然後選中”啟用IEEE 802.1X身份驗證”。確保網路身份驗證方法為”Microsoft: Protected EAP (PEAP)”。
1-5-3. 點擊其他設定,選擇指定身份認證模式並指定用戶身份認證。
2. 測試結果
2-1. 斷開PC並將其與Switch連接。PC應顯示“Additional information is needed to connect to this network。”彈出訊息。
2-2. 輸入必須與RADIUS server的用戶設定文件設定一致的用戶名(User-A)和密碼(zyxeluserA)。
2-3. 使用User-A和User-B認證的設備可以與Private-Server通信。
2-4. 將User-A設備連接到Switch。User-A應顯示“Additional information is needed to connect to this network。”彈出訊息。
2-5. 輸入用戶名(Guest)和隨機密碼。
2-6. 使用Guest 認證的設備無法與Private-Server通信,但可以與USG通信。
2-7. 查看Switch的MAC表。認證錯誤的用戶設備已分配給VLAN100。(Menu > Management > MAC Table > Search)
3. 可能出錯的地方
3-1. 如果將PC連接到Switch後PC沒有彈出驗證消息,請執行以下操作:
3-1-1. 嘗試使用切換ping Radius server。Switch應該能夠ping Radius server。
3-1-2. 右鍵點擊您的網路卡,然後選擇Properties > Authentication > Additional settings。取消選中“Validate server certificate”。
3-2. 如果Switch和PC的共享密碼設定不符合,則身份認證將失敗。
3-3. 如果身份認證正常,但PC無法ping server,請檢查801.1X port身份認證設定。請勿在Uplink port(port2、3和12)上啟用身份認證。
3-4. 如果發送給Guest VLAN的設備無法到達USG,請確保Switch已在Advance Application > VLAN > VLAN Configuration > Static VLAN Setup中創建並設定了Guest VLAN。
