ISE分配动态VLAN

已于 2022-07-27 11:47:03 修改
阅读量1k 收藏 3
点赞数
分类专栏: # 路由交换 文章标签: 网络 网络协议 网络安全
于 2022-03-10 09:14:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13554371686/article/details/123392607
版权

需求来源

在给用户分配vlan的时候除了静态划分vlan之外,还可以根据用户和mac地址进行划分vlan,当您想为用户或用户组分配特定的VLAN时,由RADIUS服务器(例如Cisco ISE)动态分配VLAN可能会很有用。
为了实现此目的,必须在交换机上配置的VLANS配置一个名称,该名称在多个交换机之间必须保持一致。但是,VLAN编号不必在各个交换机之间都相同。此博文中的场景仅定义了2个VLAN(ADMIN和USERS),AD组Domain Admins的成员将分配给一个名为ADMIN的VLAN,其成员AD组中的“域用户”将分配给一个名为USERS的VLAN。

配置前提

已经配置Cisco ISE的802.1x身份验证

交换机的配置

SWI(config)#vlan 11 
SWI(config-vlan)#name user
SWI(config-vlan)#exit 
SWI(config)#vlan 12 
SWI(config-vlan)#name ADMIN 
SWI(config-vlan)#exit

ISE配置

授权配置文件

导航对策略 > 策略元素 > 结果 > 授权 > 授权配置文件

  • 创建一个新的授权配置文件并正确命名,例如VLAN_ADMIN
  • 在“常规任务”部分下,勾选“ VLAN”
  • 输入管理VLAN的ID /名称作为ADMIN
  • 点击保存
    请添加图片描述

重复该任务并为标准用户创建另一个授权配置文件,例如VLAN_USERS
输入正确的ID /名称(如USERS)
点击保存
请添加图片描述

配置策略规则

导航对策略>策略集

  • 修改用于802.1x的现有策略集
  • 确保针对管理员用户和标准用户有不同的授权策略规则
    • 将VLAN_ADMIN授权配置文件分配给管理规则配置文件
    • 将VLAN_USERS授权配置文件分配给标准用户规则配置文件
  • 保存政策
    请添加图片描述
    以用户身份登录之前,请确认测试计算机插入的接口的配置。请注意,VLAN设置为VLAN 10。
    请添加图片描述

运行命令show authentication session interface fastethernet 0/3,确认计算机在VLAN 10中具有有效的IP地址。在“ Vlan Policy N / A”下注意,这意味着未为该接口动态分配VLAN。
请添加图片描述

以作为AD组“域用户”成员的用户身份登录。

运行命令show authentication authentication interfaces interface fastethernet 0/3

这次将输出与上面进行比较。请注意,计算机现在具有来自VLAN 11 DHCP池的IP地址,并且Vlan策略= 11,这确认计算机已动态分配给VLAN 11。
请添加图片描述

用户登录时运行命令debug radius

您可以通过存在Tunnel-Private-Group来确认RADIUS服务器成功授权返回的VLAN名称。
请添加图片描述

注销并以Domain Admins AD组中的用户身份重新登录。

运行命令show authentication authentication interfaces interface fastethernet 0/3

这次将输出与上面进行比较。请注意,计算机现在具有来自VLAN 12 DHCP池的IP地址,并且Vlan策略= 12

请添加图片描述

运行命令debug radius可以确认RADIUS服务器发送了正确的VLAN名称ADMIN
请添加图片描述

这里不仅仅是ise可以做成这个分配,微软的nps也是ok的,只是授权服务器之间的配置不一样

请添加图片描述

在端口上启用IEEE 802.1X和AAA
Device> enable
Device# configure terminal
Device(config)# dot1x system-auth-control
Device(config)# aaa new-model
Device(config)# aaa authentication dot1x default group radius
Device(config)# interface fastethernet2/1
Device(config-if)# switchport mode access
Device(config-if)# authentication port-control auto
Device(config-if)# dot1x pae authenticator
Device(config-if)# end

Device# show dot1x interface fastethernet7/1 details

Dot1x Info for FastEthernet7/1
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both 
HostMode                  = SINGLE_HOST
ReAuthentication          = Disabled
QuietPeriod               = 60
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
RateLimitPeriod           = 0
Dot1x Authenticator Client List
-------------------------------
Supplicant                = 1000.0000.2e00
        Auth SM State     = AUTHENTICATED
        Auth BEND SM Stat = IDLE
Port Status               = AUTHORIZED
          
Authentication Method     = Dot1x
Authorized By             = Authentication Server
Vlan Policy               = N/A

Device> enable
Device# configure terminal
Device(config)# interface gigabitethernet 2/0/1
Device(config-if)# authentication port-control auto
Device(config-if)# authentication host-mode multihost
Device(config-if)# end

显示IEEE 802.1X统计信息和状态

要显示所有端口的IEEE 802.1X统计信息,请在特权EXEC配置模式下使用 show dot1x all statistics命令。
要显示特定端口的IEEE 802.1X统计信息,请在特权EXEC配置模式下使用 show dot1x status interface type number命令。
要显示交换机的IEEE 802.1X管理和操作状态,请使用 show dot1x all [详细信息| 统计资料| 摘要]命令在特权EXEC配置模式下使用。
要显示特定端口的IEEE 802.1X管理和操作状态,请在特权EXEC配置模式下使用 show dot1x interface type number命令。

Device# show dot1x all

Sysauthcontrol                 Enabled
Dot1x Protocol Version     2
Dot1x Info for FastEthernet1
-----------------------------------
PAE                       = AUTHENTICATOR
PortControl               = AUTO
ControlDirection          = Both 
HostMode                  = MULTI_HOST
ReAuthentication          = Disabled
QuietPeriod               = 60
ServerTimeout             = 30
SuppTimeout               = 30
ReAuthPeriod              = 3600 (Locally configured)
ReAuthMax                 = 2
MaxReq                    = 2
TxPeriod                  = 30
RateLimitPeriod           = 0
Device-871#
The following example displays show dot1x summary command output:

Device# show dot1x all summary
 
Interface             PAE             Client                         Status 
------------------------------------------------------------------------------------------
Fa1                   AUTH             000d.bcef.bfdc           AUTHORIZED
凯歌响起
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动态VLAN介绍
01-04 1716
随着公司网络的不断扩大、交换机技术的不断进步,公司的网络管理员在布局时更愿意选择可网管交换机,然后在可网管交换机上应用VLAN(虚拟局域网),VLAN所连接的设备可以来自不同区域,使得不同区域的设备相互之间彼此隔离,VLAN可以...
CISCO ISE 3.1 中文版
06-02
CISCO ISE 3.1 中文版
动态vlan和静态vlan
热门推荐
aiaiai010101的博客
11-27 1万+
本文转自:http://blog.sina.com.cn/s/blog_4dbfc1db0100xzhc.html 静态VLAN。静态VLAN也称为基于端口的VLAN,因为用户的主机属于哪个VLAN是根据交换机的端口属于哪个VLAN而定的。网络管理员首先把端口分配到不同的VLAN内,根据规划把用户的主机与相应的端口相连,这样就把用户分配到了对应的VLAN内。本文主要讨论静态VLAN的配置。 动态...
【NPS】微软NPS配置802.1x,验证域账号,动态分配VLAN(NPS篇)
最新发布
u012153104的博客
05-10 1482
Network Policy Server(NPS)是微软Windows Server中的一个网络服务,它作为RADIUS服务器实现,用于集中管理网络接入请求。NPS处理对网络资源的认证、授权和审计请求,通常用于控制远程访问VPN和无线网络的接入。NPS可以与Active Directory集成,利用基于证书的认证增强安全性,允许网络策略的集中创建和实施。通过NPS,网络管理员能够定义哪些用户或设备可以连接到网络,以及连接的条件是什么,从而帮助维护网络的完整性和安全性。
通过RADIUS服务器和无线控制器动态分配VLAN
06-21
通过RADIUS服务器和无线控制器动态分配VLAN
动态Vlan+802。1x
weixin_33924220的博客
03-01 386
最近给几个客户作了几个案子,发现大家对安全的关注程度与前些年相比确实提高了不少,以前很多的客户对于安全简直就是文盲。好了言归正传,我们知道,Vlan就是虚拟局域网,划分Vlan网络管理和网络安全方面很重要的技术手段,Vlan的划分方式有静态和动态之分,静态就是基于交换机物理端口的划分方式也有人称之为端口硬隔离,优点是简单易操作,缺点是网管人员必须随时根据需要调整交换机的设置...
动态Vlan——GVRP-LNP-VCMP讲解
m0_49864110的博客
03-04 1374
VCMP(Vlan Central Management Protocol)称为Vlan集中管理协议,可以在二层网络中传输Vlan配置信息(创建Vlan、删除Vlan),能够保证二层网络Vlan配置信息一致。即GVRP是Vlan自动注册和注销。不允许端口动态注册注销Vlan,只可以让手工创建的Vlan通过(即使此接口允许所有Vlan通过了,但是实际上只允许手工创建的Vlan通过)Vlan注销:当端口收到一个Vlan属性的回收声明时,删除相关的动态Vlan,并将端口从此Vlan删除。
静态与动态VLAN
太阳了文哥的博客
08-04 3557
什么是静态VLAN,什么是动态VLAN 静态VLAN 在一台交换机上创建完VLAN后,直接与接口做绑定的VLAN 动态VLAN 在一台交换机上创建完VLAN后,与MAC绑定的VLAN。可以做到一台PC无论去到园区内哪个地方,都属于所绑定的VLAN 动态VLAN试验 这里直接演示动态VLAN的创建方法,静态VLAN不做展示 拓扑 配置命令 根据拓扑需求配置PC的IP地址 交换机: 创建VLAN 10 并在VLAN 10 内绑定主机MAC地址 vlan 10 mac-vlan m
思科无线ISE配置手册
06-15
"思科无线ISE配置手册" 思科ISE(Identity Service Engine)是一种身份服务引擎,提供了认证和授权的基础架构,是思科TrustSec解决方案的核心组件。下面是思科ISE配置手册的详细知识点总结: 1. ISE 简介 ISE是...
ISE.rar_ISE
09-19
5. **实现与布局布线**:将综合后的门级网表映射到具体的目标器件,包括逻辑优化、资源分配、布线等步骤。 6. **配置与编程**:ISE可以生成用于配置FPGA或CPLD的JTAG(Joint Test Action Group)编程文件,或者配置...
动态VLAN和基于MAC的VLAN教程
10-15
HP交换机的动态VLAN和基于MAC动态VLAN的配置方法,服务器及网络交换机的设置方法教程。 目录 第一章 系统概述 一、拓扑图 二、组网说明 第二章 Server功能角色添加搭建 一、添加服务角色前的工作 二、添加 AD (Active Directory域服务 三、添加 IIS (Internet信息服务) 四、添加 CA (Active Dirctory证书服务) 五、添加 DHCP(DHCP 服务器 六、添加 IAS (网络策略和访问服务) 第三章 基于 802.1X 用户VLAN 交换机配置 一、系统架构 二、核心交换机配置HP Switch 2610-24 三、接入交换机配置 HP Switch 2610-48 第四章 基于 802.1X 用户 VLAN Radius服务架设 一、添加用户和组 二、设置 IIS 认证书服务 三、建设 802.1X Radius服务 四、导出证书到终端设备 第五章 基于 802.1X用户 VLAN 客户端设置 一、打开客户端验证功能 二、安装证书到“受信任的根颁发机构 ” 三、本地连接设置 第六章 测试 802.1X用户动态VLAN 第七章 基于 MAC 动态 VLAN交换机配置 一、核心交换机配置HP Switch 2610-24 二、 接入交换机配置HP Switch 2610-48 第八章 基于 802.1X MAC VLAN Radius服务架设 一、添加用户和组 二、修改服务器系统注册表 三、建设 802.1X Radius服务 第九章 测试 MAC 动态 VLAN
GVRP 动态Vlan注册
China-P的博客
10-05 1102
即使允许所有 VLAN 通过,实际通过的 VLAN 也只能是 VLAN 1。1.3 在任意一台开启GVRP的交换机上创建静态vlan, 其他开启GVRP的交换机会通过Trunk接口自动注册并创建对应的动态VLAN。1.4 与静态Vlan不同,通过GVRP动态注册的VLAN,不能手动指定端口加入到动态创建的VLAN中。该模式下的端口禁止动态 VLAN 的注册或注销,只传播静态VLAN信息,不传播动态VLAN信息。该模式下端口允许动态 VLAN 的注册或注销,并传播动态VLAN和静态VLAN信息。
GVRP原理及配置示例---vlan属性动态注册配置示例
lehe99的专栏
04-24 999
GARP简介GVRP(GARP VLAN Registration Protocol):vlan属性动态注册协议GARP(Generic Attribute Registration Protocol):通用属性注册协议在涉及GVRP协议的应用时,我们通常将交换机上手工创建的VLAN称为静态VLAN,而将交换机利用GVRP协议自动创建的VLAN称为动态VLAN。GVRP协议提供了一种在交换机之间传递VLAN属性的机制,其主要作用是自动实现VLAN信息在交换机上的动态注册过程和注销过程。
神州数码 动态Vlan典型配置
z09364517158的博客
12-30 949
创建Vlan 100和Vlan 200,并将端口E 0/0/25设置为Trunk端口,允许Vlan 100和200通过。#创建Vlan 100和Vlan 200,并配置端口E 1/23和E 1/24分别属于Vlan 100和Vlan 200。#创建Vlan 100和Vlan 200,并将E 1/13和E 1/14分别配置属于Vlan 100和Vlan200。#配置E 1/1和E 1/2为Trunk端口,允许Vlan 100和Vlan 200通过。#配置PC 1和PC 2的MAC和Vlan的对应关系。
VLAN详解及实验
Y_S_J_112的博客
07-16 948
vlan的作用是隔绝广播域(隔绝广播风暴)vlan分为静态与动态静态vlan接口模式有access(交换机与主机或路由器之间)trunk(交换机和交换机相连)hybrid(默认模式)httpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttpshttps。...
通过RADIUS 服务器管理无线AP的VLAN
weixin_34216196的博客
10-15 447
前言 可能每个网络管理员,在使用AP的时候会想,能不能把AP当成三层交换机一样来使用---可以自动分配VLAN.答案是肯定的,下面我就以HP ProCurve Wireless Access Point 420这款AP,教你如何让AP也能划VLAN。 首先在一台win2003服务器上安装RADIUS Server。 1.在控制面板中,选择添加w...
cisco 802.1X进行自动VLAN分配
gotonet的专栏
10-29 1884
设备环境: Cisco Catalyst 3550-24-EMI(IOS:12.1(22)EA1 EMI),Cisco Secure ACS v3.3 1、 PC机设置,操作系统为:windows XP 500)this.width=500;" border="0" alt="" src="http://www.cublog.cn/u/18307/upfile/060709191451
华为网络交换机常用的配置VRRP\AAA\VLAN
jzyue
11-25 1052
一、网络规划及拓扑结构 image.png 二、配置命令 sysname HJA vlan batch 10 20 cluster enable ntdp enable ndp enable drop illegal-mac alarm diffserv domain default drop-profile default aaa authentication-scheme default authorization-scheme default ...
思科C3750+802.1X+freeradius+动态vlan
葡萄藤的博客
03-26 3806
【背景描述】用户在通过802.1x 认证之前属于一个VLAN,这个VLAN就是GUEST VLAN。没有通过认证的客户端计算机处于GUEST VLAN中,它们只能访问到GUEST VLAN服务器的资源,认证成功后,端口离开Guest VLAN,用户可以访问其特定的网络资源。在上面的例子里连接端口1的计算机通过认证以后,端口1被交换机自动地添加到VLAN10里面,这个时候客户端计算机可以访问服务器2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值