802.1x动态VLAN认证

coldface

大家好\r\n\r\n在做802.1x的时候遇到一个困惑,请帮忙.\r\n\r\n交换机端口在认证通过后可以分配到一特定的vlan(在Raduis里设置的Reply值),如果认证不成功就被分配到Guest vlan里.我的疑问是:如果在未实施802.1x之前由于公司比较大,已经划分了很多个VLAN,同一个交换机的不同接口属于不同的VLAN.那么如何确保在认证通过后还是在原来的vlan呢?\r\n例如第10台交换机的第10-20口属于vlan 10,第21-30口属于vlan 20,第31-40口属于vlan 30\r\n那如何确保每接口下的主机在认证通过后,仍然处于他们之前的vlan呢?\r\n\r\n我有考虑过先把接口划分到不同vlan下,然后启用802.1x,但是 不幸的是认证成功后被分配到了默认vlan(假如默认vlan为11)里,并没有分配到我们期望的vlan里.\r\n\r\n另外我的raduis是通过IAS做的,我也有考虑在访问策略里,把响应给交换机的认证vlan修改为多个或者增加新的认证策略.但是在多个认证策略共存或多个vlan属性共存的情况下,只会有一个起作用.\r\n\r\n请问还有甚么方法实现么?(自己认为,Raduis在认证过程中是把Reply字段中包含的vlan信息响应给交换机,然后交换机根据相应信息来把端口划分到Raduis返回值所指定的vlan里,所以解决这个问题的关键点应该是在Raduis服务器上,但是我每发现我的IAS有支持)\r\nxiexie!

coldface

下午翻阅了好多资料,找到解决方法了:\r\nCisco文档上有这样的几句话:\r\n If no VLAN is supplied by the RADIUS server or if IEEE 802.1x authentication is disabled, the port\r\nis configured in its access VLAN after successful authentication.\r\n所以我想802.1x认证是要的,大不了让RADUIS不响应VLAN信息,然后再还是把接口划分到指定VLAN,这样的话依据后面所说,认证通过后就可以认证到你想要的VLAN里了.\r\n\r\n经过初步测试这样是可以实现的.\r\n明天早上再加多几个端口和VLAN测试看看

ssffzz1

我有考虑过先把接口划分到不同vlan下,然后启用802.1x,但是 不幸的是认证成功后被分配到了默认vlan(假如默认vlan为11)里\r\n\r\n这个你试验过吗？\r\n我记得如果RADIUS不下发VLAN信息的话，认证通过后就是在接口所属的VLAN里

hjp0021

学习了，什么时候我也测试一下802.1X。

coldface

你说的没错,但是那动态vlan是基于用户账户的,\r\n就是raduis里设置多个认证策略,在不同策略里认证不同的账户,从而达到认证到不同vlan的效果.\r\n但是这样的话 会改变我当前的布局.由于网络比较大,这样的改变对于后期的解决还是要比较长一段时间的.\r\n\r\n我觉的我当前使用的那种可以

coldface

呵呵,确实我是试验过.\r\n现在回想起来,当时Raduis的相应值是一直存在的.\r\n而现在我把reply的group id去掉了.

coldface

基于MAC地址认证的话好像有问题,比如启用MAC-auth-bypass后,只对下面的一台设备认证,如果下联不可管理的交换机后,如果有多台的话就认证不过了.\r\n\r\n我想最好是列个MAC地址表,然后根据MAC和域账户双认证.