如何配置Switch(v4.8)和RADIUS server以實現帶有動態VLAN分配的802.1x認證

Zyxel小編 MinChi
Zyxel小編 MinChi 文章數: 31  Zyxel Employee
First Comment First Answer Friend Collector First Anniversary
已編輯 12月 2 日 乙太網路交換器 常見問題

ZyxelSwitch支援802.1x認證,該認證強制用戶提交用戶身份做認證,以由身份認證 server(在範例中為RADIUS server)進行身份認證,然後才能在Switch之間轉發其流量。動態VLAN分配是PORT身份認證的一種,它可以根據提交的用戶憑證在特定VLAN中處理用戶流量,而非PORT的PVID。我們可以透過在用戶設定中添加某些屬性來達成這樣的需求。下面的範例將示範如何設定Switch和RADIUS server,以允許基於提交的用戶憑證在特定VLAN中處理用戶流量。

image.png
image.png

USG為VLAN 10和VLAN 20中的用戶提供了動態IP地址配置:

-如果用戶輸入“ VLAN10”用戶憑證,則用戶將接收網路192.168.10.0/24的動態IP地址。

-如果用戶輸入“ VLAN20”用戶憑證,則用戶將接收網路192.168.20.0/24的動態IP地址。

-如果用戶輸入無效的憑證,則不允許用戶通過Switch進行通信。

在此範例中,用戶A和B將基於提交的用戶憑證通過動態VLAN分配獲得不同的網路IP。可以相應地實現靈活的網路分段和管理。

注意:

範例中所使用網絡IP和子網遮罩只作為示例。請用您的實際網絡IP位址和子網遮罩替換它們。範例中的身份認證server在windows PC中採用TekRADIUS Manager,而在Switch上使用GS2220-10 model。

1. Switch中的設定

1-1. 進入Switch的Web GUI。

1-2. 到進階設定> VLAN> VLAN設定>靜態VLAN設定。

1-3. 為用戶建立VLAN 10、20,為RADIUS server建立VLAN 100。

1-3-1. VLAN10/20 的DHCP server 使用 USG , 所以要將switch 與

USG的對接埠vlan10/20 tag打開

1-4. 到進階設定> VLAN> VLAN設定> VLAN port設定。

1-5. 為連接到RADIUS server的port設定PVID 100。

1-6. 到基本設定> IP設定。

1-7. 設定VLAN 10、20和100的IP。

1-8. 到進階設定> AAA> RADIUS server設定。

1-9. 輸入RADIUS server的IP地址,並將共享密碼設置為“ 12345”。

image-62f94e629524f-eac8.png

1-10. 到進階設定> AAA> AAA設定。

1-11. 檢查“授權”部分下的Dot1x。

image-6d97dcca8a751-3e24.png

1-12. 到進階設定 > port身份認證 >  802.1x。

1-13. 在連接到用戶的port上啟用port身份認證。

image-da376231cac1c-d2e5.png

注意:

也可以添加Guest VLAN(請參閱如何設定Switch以在Guest VLAN中發送未經授權的用戶),以隔離未經授權的用戶。

2. 在RADIUS server中進行設定

2-1. 登入RADIUS server。

2-2. 編輯Switch的客戶端設定文件。

注意:

客戶端IP地址和密碼必須與Switch的管理IP和共享密碼相同。

2-3. 編輯用戶設定文件以獲取用戶憑證和屬性(VLAN ID)。

https://us.v-cdn.net/6029482/uploads/editor/np/wv6q2e1kw1om.jpg
https://us.v-cdn.net/6029482/uploads/editor/1f/hq46fltxxvfq.jpg

2-4. 重新啟動TekRADIUS服務以重新整理設定。

3. 測試結果

3-1. 關於Windows操作系統上的802.1x設定,請參閱如何設定Switch和RADIUS server以通過802.1x PORT身份認證提供網路訪問

3-2. 將用戶A PC連接到Switch的port1,用戶A PC上應顯示“需要更多資訊才能連接到該網絡”。

https://us.v-cdn.net/6029482/uploads/editor/0s/zf4osu99tein.jpg

3-3. 輸入用戶名(VLAN10)和密碼(vlan10user)必須是與RADIUS server的用戶設定文件的設設定是一致的。

https://us.v-cdn.net/6029482/uploads/editor/u4/x4qkzwpvtklz.jpg

3-4. 進入Switch管理介面,然後到維護> MAC表。檢查Switch上的MAC表,應為用戶A分配VLAN ID 10。

https://us.v-cdn.net/6029482/uploads/editor/a9/7iltbu8qvmc5.jpg

3-5. 用戶A從USG上的DHCP server獲取VLAN 10中的動態IP192.168.10.X。

https://us.v-cdn.net/6029482/uploads/editor/3a/962t4hu2o3qz.jpg

3-6. 將用戶B PC連接到Switch的port2,用戶B PC上應顯示“需要更多信息才能連接到該網絡”

https://us.v-cdn.net/6029482/uploads/editor/5i/0jhc4zgbz5dq.jpg

3-7. 輸入用戶名(vlan20)和密碼(vlan20user),該名稱必須與RADIUS server的用戶設定文件設定一致。

https://us.v-cdn.net/6029482/uploads/editor/2j/ok69i01e5mgd.jpg

3-8. 進入Switch管理介面,然後到維護> MAC表。檢查Switch上的MAC表,應為用戶B分配VLAN ID 20。

https://us.v-cdn.net/6029482/uploads/editor/od/wbwkqwmvsssp.jpg

3-9. 用戶B從USG上的DHCP server獲取VLAN 20中的動態IP192.168.20.X。

https://us.v-cdn.net/6029482/uploads/editor/hg/c2t1d6hjurx3.jpg

注意:

動態VLAN分配的優先權高於Switch上的PVID。這意味著,如果您打算在特定port上使用PVID,則應使用不包括VLAN ID屬性分配的用戶憑證提交。

4. 可能出錯的地方

4-1. 確保預先建立有關要通過802.1x PORT身份認證動態分配的VLAN ID的特定VLAN。

4-2. 共享的密碼,用戶名和密碼均區分大小寫。確保用戶輸入正確的小寫或大寫字符。無效的憑證將被禁止訪問Switch,或被隔離到具有有限制網路資源的來賓VLAN。

https://us.v-cdn.net/6029482/uploads/editor/q5/q25cev3z1cl1.jpg
https://us.v-cdn.net/6029482/uploads/editor/ik/g840u36dvppt.jpg

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)