如何設定Switch將未經授權的用戶發送到Guest VLAN

選項
Zyxel小編 Nilo
Zyxel小編 Nilo 文章數: 31  Zyxel Employee
已編輯 十一月 2022 乙太網路交換器 常見問題

此範例顯示了管理員如何在802.1x port身份認證為失敗或使用無效用戶認證的用戶使用Guest VLAN。在實際的應用程序中,我們可能需要允許訪客訪問USG,以便他們可以訪問Internet,但仍與Private Server隔離。相反,我們必須允許具有有效憑據的用戶僅訪問Private Server。


注意:

本文使用所有的網路IP位址和子網遮罩僅作為範例。請用您的實際網路IP位址和子網遮罩替換它們。

 

1. 設定

1-1. 在Switch中設定802.1x port身份認證

在所有用戶會用到的設備上配置802.1x。請勿在USG,RADIUS server和Private Server的port上啟用port身份認證。

1-2. 在Switch中為Guest VLAN設定VLAN

在Switch上為Guest VLAN(VLAN 100)配置VLAN。VLAN 100:設定port1,port2,port3,port30; 均為untagged port; 排除port31、port32;將port 30的pvid設為100。VLAN 1:設定排除port30。用於隔離VLAN 1和100。

1-3. 在Switch中設定Guest VLAN進行身份認證失敗

選到Menu > Advanced Application > Port Authentication > 802.1x > Guest Vlan。 在port 1-3上將Active打勾,然後將Guest VLAN輸入為100。按”Apply”。


1-4. 設定RADIUS server

1-4-1. /etc/freeradius/clients.conf中編輯客戶端設定文件。保存文件並退出。


注意:

客戶端IP位址和密碼必須與Switch的管理IP和共享密碼相匹配。

1-4-2. / etc / freeradius / users中添加以下用戶配置文件。保存文件並退出。


1-4-3. 重新啟動FreeRADIUS service。


1-5. 在Windows中設定user A,user B和Guest的設置

1-5-1. 服務視窗中,找到名為Wired AutoConfig的服務。確保服務狀態為“已啟動”。


1-5-2. 右鍵點擊您的網路卡,然後選擇屬性。點擊身份認證選項卡,然後選中”啟用IEEE 802.1X身份驗證”。確保網路身份驗證方法為Microsoft: Protected EAP (PEAP)”

1-5-3. 點擊其他設定,選擇指定身份認證模式並指定用戶身份認證


 

2. 測試結果

2-1. 斷開PC並將其與Switch連接。PC應顯示“Additional information is needed to connect to this network。”彈出訊息。


2-2. 輸入必須與RADIUS server的用戶設定文件設定一致的用戶名(User-A)和密碼(zyxeluserA)。


2-3. 使用User-A和User-B認證的設備可以與Private-Server通信。

2-4. 將User-A設備連接到Switch。User-A應顯示“Additional information is needed to connect to this network。”彈出訊息。

2-5. 輸入用戶名(Guest)和隨機密碼。

2-6. 使用Guest 認證的設備無法與Private-Server通信,但可以與USG通信。

2-7. 查看Switch的MAC表。認證錯誤的用戶設備已分配給VLAN100。(Menu > Management > MAC Table > Search


3. 可能出錯的地方

3-1. 如果將PC連接到Switch後PC沒有彈出驗證消息,請執行以下操作:

3-1-1. 嘗試使用切換ping Radius server。Switch應該能夠ping Radius server。

3-1-2. 右鍵點擊您的網路卡,然後選擇Properties > Authentication > Additional settings。取消選中“Validate server certificate”。


3-2. 如果Switch和PC的共享密碼設定符合,則身份認證將失敗。

3-3. 如果身份認證正常,但PC無法ping server,請檢查801.1X port身份認證設定。請勿在Uplink port(port2、3和12)上啟用身份認證。

3-4. 如果發送給Guest VLAN的設備無法到達USG,請確保Switch已在Advance Application > VLAN > VLAN Configuration > Static VLAN Setup中創建並設定了Guest VLAN。

 

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)