Guía de configuración en VLAN dinámica con la función de asignación de VLAN de RADIUS
Con la función de asignación de VLAN de RADIUS, la solución Omada SDN puede colocar clientes autenticados por diferentes cuentas en las VLAN correspondientes. De esta forma, los clientes obtendrán direcciones IP de diferentes VLAN y no tendrá que crear muchos SSID vinculados con diferentes VLAN para redes inalámbricas, ni vincular los PVID de los puertos del switch a VLAN específicas para redes cableadas.
Para lograr las funciones anteriores, necesitará el controlador Omada SDN, EAP para la asignación inalámbrica, JetStream Switch para la asignación por cable y un servidor RADIUS externo. En este artículo, compartiremos la guía de configuración para la topología de red a continuación.
Paso 1. Configure el servidor RADIUS.
Aquí ejecutamos un servidor FreeRADIUS® en un servidor Linux. Para obtener más información sobre la instalación y configuración, consulte el sitio web oficial: https://freeradius.org/
Primero, edite el archivo " clients.conf ", configure la dirección IP del cliente como "192.168.0.0/24" y la contraseña como "tplink".
A continuación, edite el archivo " usuarios ", cree dos cuentas "test10" y "test20" en VLAN10 y VLAN20, respectivamente.
También puede editar el " eap.conf " para modificar el tipo de EAP para WPA-Enterprise. Después de la configuración, ejecute el servidor RADIUS para escuchar las solicitudes de acceso.
Paso 2. Cree el perfil RADIUS.
Vaya a Autenticación --- Perfil RADIUS, cree un nuevo perfil vinculado con el servidor RADIUS y marque "Habilitar asignación de VLAN para red inalámbrica" para asignar VLAN para clientes inalámbricos.
Paso 3. Cree más VLAN para las asignaciones de VLAN.
Suponiendo que el controlador haya adoptado todos los dispositivos Omada, vaya a Configuración --- Redes cableadas --- LAN y cree dos interfaces con VLAN10 y VLAN20.
Paso 4. Asignación de VLAN para redes inalámbricas.
Vaya a Configuración - Redes inalámbricas y cree un nuevo SSID con WPA-Enterprise como se muestra a continuación. Para conocer las diferencias entre WPA-Personal y WPA-Enterprise, consulte la FAQ500 .
Al conectar su cliente al SSID, se le pedirá que elija el tipo de autenticación de WPA-Enterprise e ingrese el nombre de usuario y la contraseña de la cuenta. Después de autenticarse con éxito con la cuenta "test10", el cliente obtendrá una dirección IP de VLAN10, mientras que con la cuenta "test20", la obtendrá de VLAN20.
Paso 5. Asignación de VLAN para redes cableadas.
Vaya a Autenticación --- 802.1X y habilite la función, seleccione Tipo de autenticación como "Basado en puerto", habilite "Asignación de VLAN" y verifique los puertos que se autenticarán de acuerdo con sus requisitos.
No hacer clic en los puertos dos veces para habilitar MAB para ellos.
Luego vaya a Wired Networks --- LAN --- Profile, cree un nuevo perfil de puerto, agregue VLAN10 y VLAN20 a redes sin etiquetar y asegúrese de que el modo de control 802.1X sea Auto.
Luego, vaya a Dispositivos, haga clic en su switch, vaya a Puertos, verifique los puertos de autenticación y edite por lotes para cambiar el perfil del puerto al que acaba de crear.
Para la autenticación 802.1X, es posible que deba ejecutar el software de cliente TP-Link 802.1X (haga clic aquí para descargar) para la autenticación. Consulte la Pregunta frecuente 787 y el Paso 3. Para obtener una guía detallada.