需求来源
在给用户分配vlan的时候除了静态划分vlan之外,还可以根据用户和mac地址进行划分vlan,当您想为用户或用户组分配特定的VLAN时,由RADIUS服务器(例如Cisco ISE)动态分配VLAN可能会很有用。
为了实现此目的,必须在交换机上配置的VLANS配置一个名称,该名称在多个交换机之间必须保持一致。但是,VLAN编号不必在各个交换机之间都相同。此博文中的场景仅定义了2个VLAN(ADMIN和USERS),AD组Domain Admins的成员将分配给一个名为ADMIN的VLAN,其成员AD组中的“域用户”将分配给一个名为USERS的VLAN。
配置前提
已经配置Cisco ISE的802.1x身份验证
交换机的配置
SWI(config)#vlan 11
SWI(config-vlan)#name user
SWI(config-vlan)#exit
SWI(config)#vlan 12
SWI(config-vlan)#name ADMIN
SWI(config-vlan)#exit
ISE配置
授权配置文件
导航对策略 > 策略元素 > 结果 > 授权 > 授权配置文件
- 创建一个新的授权配置文件并正确命名,例如VLAN_ADMIN
- 在“常规任务”部分下,勾选“ VLAN”
- 输入管理VLAN的ID /名称作为ADMIN
- 点击保存
重复该任务并为标准用户创建另一个授权配置文件,例如VLAN_USERS
输入正确的ID /名称(如USERS)
点击保存
配置策略规则
导航对策略>策略集
- 修改用于802.1x的现有策略集
- 确保针对管理员用户和标准用户有不同的授权策略规则
- 将VLAN_ADMIN授权配置文件分配给管理规则配置文件
- 将VLAN_USERS授权配置文件分配给标准用户规则配置文件
- 保存政策
以用户身份登录之前,请确认测试计算机插入的接口的配置。请注意,VLAN设置为VLAN 10。
运行命令show authentication session interface fastethernet 0/3
,确认计算机在VLAN 10中具有有效的IP地址。在“ Vlan Policy N / A”下注意,这意味着未为该接口动态分配VLAN。
以作为AD组“域用户”成员的用户身份登录。
运行命令show authentication authentication interfaces interface fastethernet 0/3
这次将输出与上面进行比较。请注意,计算机现在具有来自VLAN 11 DHCP池的IP地址,并且Vlan策略= 11,这确认计算机已动态分配给VLAN 11。
用户登录时运行命令debug radius
您可以通过存在Tunnel-Private-Group来确认RADIUS服务器成功授权返回的VLAN名称。
注销并以Domain Admins AD组中的用户身份重新登录。
运行命令show authentication authentication interfaces interface fastethernet 0/3
这次将输出与上面进行比较。请注意,计算机现在具有来自VLAN 12 DHCP池的IP地址,并且Vlan策略= 12
运行命令debug radius可以确认RADIUS服务器发送了正确的VLAN名称ADMIN
这里不仅仅是ise可以做成这个分配,微软的nps也是ok的,只是授权服务器之间的配置不一样
在端口上启用IEEE 802.1X和AAA
Device> enable
Device# configure terminal
Device(config)# dot1x system-auth-control
Device(config)# aaa new-model
Device(config)# aaa authentication dot1x default group radius
Device(config)# interface fastethernet2/1
Device(config-if)# switchport mode access
Device(config-if)# authentication port-control auto
Device(config-if)# dot1x pae authenticator
Device(config-if)# end
Device# show dot1x interface fastethernet7/1 details
Dot1x Info for FastEthernet7/1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = SINGLE_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
Dot1x Authenticator Client List
-------------------------------
Supplicant = 1000.0000.2e00
Auth SM State = AUTHENTICATED
Auth BEND SM Stat = IDLE
Port Status = AUTHORIZED
Authentication Method = Dot1x
Authorized By = Authentication Server
Vlan Policy = N/A
Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication port-control auto
Device(config-if)# authentication host-mode multihost
Device(config-if)# end
显示IEEE 802.1X统计信息和状态
要显示所有端口的IEEE 802.1X统计信息,请在特权EXEC配置模式下使用 show dot1x all statistics
命令。
要显示特定端口的IEEE 802.1X统计信息,请在特权EXEC配置模式下使用 show dot1x status interface type number
命令。
要显示交换机的IEEE 802.1X管理和操作状态,请使用 show dot1x all [详细信息| 统计资料| 摘要]
命令在特权EXEC配置模式下使用。
要显示特定端口的IEEE 802.1X管理和操作状态,请在特权EXEC配置模式下使用 show dot1x interface type number
命令。
Device# show dot1x all
Sysauthcontrol Enabled
Dot1x Protocol Version 2
Dot1x Info for FastEthernet1
-----------------------------------
PAE = AUTHENTICATOR
PortControl = AUTO
ControlDirection = Both
HostMode = MULTI_HOST
ReAuthentication = Disabled
QuietPeriod = 60
ServerTimeout = 30
SuppTimeout = 30
ReAuthPeriod = 3600 (Locally configured)
ReAuthMax = 2
MaxReq = 2
TxPeriod = 30
RateLimitPeriod = 0
Device-871#
The following example displays show dot1x summary command output:
Device# show dot1x all summary
Interface PAE Client Status
------------------------------------------------------------------------------------------
Fa1 AUTH 000d.bcef.bfdc AUTHORIZED