一個(gè)SSID下實(shí)現(xiàn)動(dòng)態(tài)VLAN劃分

引言：基于無(wú)線控制器與“瘦”AP架構(gòu)實(shí)現(xiàn)的無(wú)線網(wǎng)絡(luò)，往往其一個(gè)SSID只能關(guān)聯(lián)和對(duì)應(yīng)唯一的一個(gè)VLAN或IP段，要實(shí)現(xiàn)傳統(tǒng)局域網(wǎng)的多VLAN多網(wǎng)段功能，需要廣播多個(gè)SSID。無(wú)論是在使用和管理上都會(huì)造成很大的混亂和不便。本文通過無(wú)線控制器與訪問控制服務(wù)器配合的方式，實(shí)現(xiàn)了在一個(gè)SSID下對(duì)于不同的接入設(shè)備進(jìn)行認(rèn)證并動(dòng)態(tài)劃分VLAN及對(duì)應(yīng)IP地址，為以后的無(wú)線網(wǎng)絡(luò)建設(shè)工程提供了比較有價(jià)值的參考方案。

本文的配置目標(biāo)是實(shí)現(xiàn)不同設(shè)備使用密碼連接到同一個(gè)SSID時(shí)，通過訪問控制服務(wù)器的認(rèn)證，無(wú)線控制器將不同設(shè)備分入不同VLAN。

無(wú)線控制器的相關(guān)設(shè)置（以CISCO的WLC5508設(shè)備配置方法為例）

1.在WLC中添加訪問控制服務(wù)器。打開WLC控 制 臺(tái)，進(jìn)入SECURITY選項(xiàng)(如 圖1)，選 擇AAARADIUS-Authentication，點(diǎn)擊NEW新建一個(gè)RADIUS Authentication Servers，輸入ACS的相關(guān)信息，如果有多個(gè)ACS可以按照認(rèn)證的先后順序設(shè)定優(yōu)先級(jí)。分別輸入ACS的IP地址，共享秘鑰（此秘鑰需注意應(yīng)與ACS中的Shared Secret完全一致），設(shè)定端口號(hào)（應(yīng)與ACS的端口號(hào)設(shè)定一致）Server Status選擇Enabled,其它選項(xiàng)可保持默認(rèn)或根據(jù)需求調(diào)整，例如網(wǎng)絡(luò)過于繁忙延遲較大的情況可以適當(dāng)調(diào)高Timeout值。

圖1 WLC-security 界面

圖2 WLAN配置界面

2.建立WLAN。打開WLC控制臺(tái)，進(jìn)入WLANs選項(xiàng)，選擇Create New,建立一個(gè)新的WLAN。

3.配 置WLAN。點(diǎn)擊剛剛建立好的WLAN ID，進(jìn)入WLAN配置界面（如圖 2），在General窗口中，我們需要注意的是Interface選項(xiàng)，因?yàn)槲覀儗⒉捎迷L問控制服務(wù)器進(jìn)行VLAN劃分，因此此處不用做修改。如果要配置成固定VLAN，此處應(yīng)該選擇對(duì)應(yīng)的VLAN ID。

在Security界面中，Layer2進(jìn)行加密方法和密碼的設(shè)置。

在AAA界面中進(jìn)行與訪問控制服務(wù)器關(guān)聯(lián)的設(shè)置，勾選Radius Servers下的Enabled選項(xiàng)，將Interface Priorty設(shè)置為WLAN，因?yàn)槲覀冎恍枰M(jìn)行認(rèn)證服務(wù)，所以下面只需勾選Authentication Servers對(duì)應(yīng)的Enabled選項(xiàng)，最后在Server1中設(shè)置訪問控制服務(wù)器的IP地址及端口號(hào)（如圖 3）。

注意:雖然WLAN的VLAN將由訪問控制服務(wù)器來(lái)配置，但是我們?nèi)匀恍枰赪LAN的CONTROLLERInterfaces中 建立好所有可能被配置的VLAN ID。如果當(dāng)一個(gè)設(shè)備連接到WLAN后，訪問控制服務(wù)器進(jìn)行認(rèn)證并通過，返回給WLC一個(gè)在Interfaces中沒有配置的VLAN，這個(gè)設(shè)備將不能被劃分到此VLAN。

訪問控制服務(wù)器(ACS)的配置

1.將W L C添加進(jìn)ACS的Clients（如 圖 4）。 選 擇Network Resources下 的Network Devices and AAA Clients,在右側(cè)的界面中點(diǎn)擊Create,輸入相關(guān)信息，將WLC添加進(jìn)列表中。Name我們可以按照便于自己理解來(lái)輸入，例如WLC。

圖3 配置AAA servers

圖4 將WLC添加進(jìn)ACS的Clients

圖5 建立Group

圖6 添加用戶

IP輸入WLC的IP地址，Authentication Options勾選RADIUS選項(xiàng)，然后輸入Shared Secret和端口號(hào)，這兩項(xiàng)需要注意同之前我們?cè)赪LC的配置第一步中設(shè)置的分享秘鑰和端口號(hào)保持一致，否則WLC與ACS不能進(jìn)行正常通訊。

2.在Users and Identity Stores 中選擇Identity Groups,對(duì)每個(gè)需要進(jìn)行分配的VLAN建立一個(gè)Group。這里為了便于區(qū)分以及明確后續(xù)配置的關(guān)聯(lián)性，把每個(gè)group命名為vlan的 ID號(hào)，Description項(xiàng)可根據(jù)需求添加描述說(shuō)明，也可不填（如圖 5）。

3.在Users中我們用允許接入網(wǎng)絡(luò)的設(shè)備的MAC地址作為用戶名和密碼建立用戶，將這些用戶劃分進(jìn)他們所需VLAN對(duì)應(yīng)的Identity Group中（如圖6）。

4.在Policy Elements中選擇Authorization Profiles,每個(gè)VLAN需在此建立一個(gè)對(duì)應(yīng)的條目，在General中名字是必填字段（如圖7）。同樣為了便于區(qū)分與對(duì)應(yīng)配置間的關(guān)系，這里將名字設(shè)置為對(duì)應(yīng)的VLAN ID。

然后在 RADIUS Attributes選項(xiàng)卡中，做如圖8所示的設(shè)定其Tunnel-Private-Group-ID項(xiàng) 的Value即為VLAN ID,ACS會(huì)根據(jù)此處設(shè)定的內(nèi)容返回給WLC。這三條的作用為明確返回給WLC的結(jié)果是 VLAN,VLAN的 ID是 101。

圖7 建立radius Authorization策略

圖8 RADIUS Authorization策略內(nèi)容

圖9 建立Group與RADIUS Authorization的匹配規(guī)則

5.進(jìn)入Access Policies中的 Authorization，在這里我們將上述的各條ACS配置進(jìn)行關(guān)聯(lián)，點(diǎn)擊creat創(chuàng)建一條關(guān)聯(lián)規(guī)則，命名為rule-101。在Identity Group中選擇我們?yōu)閂LAN101建立的Group，名字是 vlan101。在Results中選擇我們?yōu)檫@個(gè)VLAN建立的Authorization Profiles,它的名字是Vlan101。需要對(duì)每個(gè)group和它對(duì)應(yīng)的Authorization Profiles在此處建立對(duì)應(yīng)規(guī)則(如圖9 )。

WLC與ACS協(xié)同工作過程

這樣當(dāng)WLC以一個(gè)接入設(shè)備的MAC地址作為用戶名向ACS發(fā)起認(rèn)證后，ACS判 斷這個(gè)用戶屬于Identity Group中的vlan101。根 據(jù)Access Policies的Authorization中建立的匹配規(guī)則，Identity Group vlan101對(duì)應(yīng)的規(guī)則是Rule-101。

ACS按照這條規(guī)則返回給WLC的結(jié)果是Authorization Profiles Vlan101中我們?cè)O(shè)置的內(nèi)容。此內(nèi)容告知了WLC接入的設(shè)備MAC屬于VLAN101。