一個SSID下實現動態VLAN劃分

引言：基于無線控制器與“瘦”AP架構實現的無線網絡，往往其一個SSID只能關聯和對應唯一的一個VLAN或IP段，要實現傳統局域網的多VLAN多網段功能，需要廣播多個SSID。無論是在使用和管理上都會造成很大的混亂和不便。本文通過無線控制器與訪問控制服務器配合的方式，實現了在一個SSID下對于不同的接入設備進行認證并動態劃分VLAN及對應IP地址，為以后的無線網絡建設工程提供了比較有價值的參考方案。

本文的配置目標是實現不同設備使用密碼連接到同一個SSID時，通過訪問控制服務器的認證，無線控制器將不同設備分入不同VLAN。

無線控制器的相關設置（以CISCO的WLC5508設備配置方法為例）

1.在WLC中添加訪問控制服務器。打開WLC控 制 臺，進入SECURITY選項(如 圖1)，選 擇AAARADIUS-Authentication，點擊NEW新建一個RADIUS Authentication Servers，輸入ACS的相關信息，如果有多個ACS可以按照認證的先后順序設定優先級。分別輸入ACS的IP地址，共享秘鑰（此秘鑰需注意應與ACS中的Shared Secret完全一致），設定端口號（應與ACS的端口號設定一致）Server Status選擇Enabled,其它選項可保持默認或根據需求調整，例如網絡過于繁忙延遲較大的情況可以適當調高Timeout值。

圖1 WLC-security 界面

圖2 WLAN配置界面

2.建立WLAN。打開WLC控制臺，進入WLANs選項，選擇Create New,建立一個新的WLAN。

3.配 置WLAN。點擊剛剛建立好的WLAN ID，進入WLAN配置界面（如圖 2），在General窗口中，我們需要注意的是Interface選項，因為我們將采用訪問控制服務器進行VLAN劃分，因此此處不用做修改。如果要配置成固定VLAN，此處應該選擇對應的VLAN ID。

在Security界面中，Layer2進行加密方法和密碼的設置。

在AAA界面中進行與訪問控制服務器關聯的設置，勾選Radius Servers下的Enabled選項，將Interface Priorty設置為WLAN，因為我們只需要進行認證服務，所以下面只需勾選Authentication Servers對應的Enabled選項，最后在Server1中設置訪問控制服務器的IP地址及端口號（如圖 3）。

注意:雖然WLAN的VLAN將由訪問控制服務器來配置，但是我們仍然需要在WLAN的CONTROLLERInterfaces中 建立好所有可能被配置的VLAN ID。如果當一個設備連接到WLAN后，訪問控制服務器進行認證并通過，返回給WLC一個在Interfaces中沒有配置的VLAN，這個設備將不能被劃分到此VLAN。

訪問控制服務器(ACS)的配置

1.將W L C添加進ACS的Clients（如 圖 4）。 選 擇Network Resources下 的Network Devices and AAA Clients,在右側的界面中點擊Create,輸入相關信息，將WLC添加進列表中。Name我們可以按照便于自己理解來輸入，例如WLC。

圖3 配置AAA servers

圖4 將WLC添加進ACS的Clients

圖5 建立Group

圖6 添加用戶

IP輸入WLC的IP地址，Authentication Options勾選RADIUS選項，然后輸入Shared Secret和端口號，這兩項需要注意同之前我們在WLC的配置第一步中設置的分享秘鑰和端口號保持一致，否則WLC與ACS不能進行正常通訊。

2.在Users and Identity Stores 中選擇Identity Groups,對每個需要進行分配的VLAN建立一個Group。這里為了便于區分以及明確后續配置的關聯性，把每個group命名為vlan的 ID號，Description項可根據需求添加描述說明，也可不填（如圖 5）。

3.在Users中我們用允許接入網絡的設備的MAC地址作為用戶名和密碼建立用戶，將這些用戶劃分進他們所需VLAN對應的Identity Group中（如圖6）。

4.在Policy Elements中選擇Authorization Profiles,每個VLAN需在此建立一個對應的條目，在General中名字是必填字段（如圖7）。同樣為了便于區分與對應配置間的關系，這里將名字設置為對應的VLAN ID。

然后在 RADIUS Attributes選項卡中，做如圖8所示的設定其Tunnel-Private-Group-ID項 的Value即為VLAN ID,ACS會根據此處設定的內容返回給WLC。這三條的作用為明確返回給WLC的結果是 VLAN,VLAN的 ID是 101。

圖7 建立radius Authorization策略

圖8 RADIUS Authorization策略內容

圖9 建立Group與RADIUS Authorization的匹配規則

5.進入Access Policies中的 Authorization，在這里我們將上述的各條ACS配置進行關聯，點擊creat創建一條關聯規則，命名為rule-101。在Identity Group中選擇我們為VLAN101建立的Group，名字是 vlan101。在Results中選擇我們為這個VLAN建立的Authorization Profiles,它的名字是Vlan101。需要對每個group和它對應的Authorization Profiles在此處建立對應規則(如圖9 )。

WLC與ACS協同工作過程

這樣當WLC以一個接入設備的MAC地址作為用戶名向ACS發起認證后，ACS判 斷這個用戶屬于Identity Group中的vlan101。根 據Access Policies的Authorization中建立的匹配規則，Identity Group vlan101對應的規則是Rule-101。

ACS按照這條規則返回給WLC的結果是Authorization Profiles Vlan101中我們設置的內容。此內容告知了WLC接入的設備MAC屬于VLAN101。